ISO0内部审检查表模板.docx

1、ISO0内部审检查表模板内审检查表受 审 核 方： XXX有限公司 组别/审核员：A组: XX、XX、XX B组: XXX、XXX、XX 审核日期： 20XX-X-X 注意观察并适当记录以下证据：会见人员过程策划证据（文件、输入、输出、活动、控制、资源要求是否明确，所有者）过程活动和控制实施情况（活动符合性证据、资源配备情况和维护情况）过程控制，效果及改进情况（过程监控测量情况，是否达到目标，有无改进需要，改进的策划实施）过程接口运作情况（本过程与其它过程的关系，含配合及支持，过程内各部门之间配合是否顺畅）4 服务管理体系总要求 4.1 管理职责相关条款控制要求与检查题受审核部门审核事实记录结

2、论合格不合格观察4.1.1 管理承诺组织是否有一个定义ISMS范围的过程？最高管理层有，根据公司发展策略、业务覆盖等确认了体系覆盖范围为“IT运维服务”是否有对任何范围的删减？最高管理层无组织是否有一个ISMS方针和目标文件？最高管理层有，“提升服务意识 创造服务价值”服务管理方针是否向组织传到满足服务需求的重要性？最高管理层有，对服务流程进行跟踪，并主动推进实施进度是否向组织传达满足法律法规要求和合同义务的重要性最高管理层有是否确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源（包括人力资源、基础设施、财力资源）等，如招聘合适的人员，管理人员的更新；最高管理层公司提供了人、财、物

3、等资源满意体系的实施要求。是否按照计划的时间间隔实施管理评审最高管理层每年进行一次内审，一次管理评审。是否确保已经评估和管理服务风险，以确保其持续的适宜性、充分性和有效性最高管理层每年做一次ITSMS的外审。4.1.2 服务管理方针服务管理方式否按照体系要求的6点内容相符合?最高管理层是4.1.3 权限、职责和沟通是否建立并实施书面的沟通程序最高管理层有，服务沟通管理程序4.2 其他方运行过程的治理是否识别所有被其他方全部或部分运行的过程最高管理层识别了内部门，供应商的过程4.3 文件管理相关条款控制要求与检查题受审核部门审核事实记录结论合格不合格观察4.3.1 建立和维护文件检查是否形成文件

4、化的管理体系。文件体系是否包括：1.文件化的服务管理方针和计划；2.文件化的服务级别协议；3.标准所要求的形成文件的流程和程序；4.标准所要求的记录。人力部文件管理程序建立了服务管理体系文件，包括管理手册、程序文件、支持文件、记录文件；手册中包括方针，记录中包括各种计划；建立了服务级别协议、服务合同；包括23个程序文件；包括各种记录表。4.3.2 文件控制文件控制检查相应部门是否制订了相应文件控制过程？检查是否按要求实施？是否建立按照不同类型进行文件和记录模板的编制、评审、批准、保留、处置和控制的程序和职责。人力部文件和记录管理程序，文件编写规范体系文件已经按照文件控制的要求作编号、版本号、修

5、订号、制定、批准和审核。4.3.3 记录控制记录控制检查相应部门是否制订了相应记录控制过程？检查是否按要求实施？标准要求的记录是否都有？是否得到标识，易于检索？记录的保管？访问权限控制？人力部文件和记录管理程序纪录一览表，文件编写规范， 文件和记录控制归属部门为。4.4 资源管理相关条款控制要求与检查题受审核部门审核事实记录结论合格不合格观察4.4.1 资源提供管理者是否提供SMS活动所需要的资源？最高管理者人力资源管理程序：建立了客服专员、技术支持等岗位的说明书，包括职责和任务、能力要求。是否提供提供客户满意度所需要的资源？最高管理者有4.4.2 人力资源是否定义并保持所有服务管理者的角色和

6、职责以及有效履行这些角色和职责所需的能力。人力部有定义，服务管理手册查看IT服务各角色（如事件经理、问题经理等）的岗位职责，是否有IT服务角色的职责要求。人力部有定义，在各流程文件中定义了解员工IT服务工作能力和服务意识，重点查看重要岗位人员（如服务台、事件处理、能力管理、可用性管理、持续性管理等人员）是否具备相关资格能力；人力部IT服务流程的角色由IT经理、技术工程师等岗位担任。访谈IT服务技术及管理培训情况，查看相关培训记录。人力部有相关的培训记录4.5 建立和改进SMS相关条款控制要求与检查题受审核部门审核事实记录结论合格不合格观察4.5.1 定义范围访谈高管及服务管理小组，关注是否确定

7、了ITSMS范围管理层是，范围有总经理批准4.5.2 策划服务管理体系（策划）访谈高管及服务管理小组，是否制订了ITSMS方针；管理层是，方针有总经理批准检查IT服务管理手册检查服务管理是否定义了：1）组织内服务管理的范围？ 2）服务管理所要实现的目标和要求？ 3）服务管理过程和如何协调活动之间的接口？4）交付新服务的项目及变更已有服务的项目的接口的方法？5）实现IT服务目标所要求的预算、设施和其他资源？ 6）提供管理、审查和持续改进服务管理质量的方法？7）定义服务管理团队内的关键角色和职责？8）适当时，指出服务内第三方供应商的使用？9）所有程序文件是否与服务管理手册协调一致？10）适用的支持

8、流程和工具；管理层ITSMS范围：信息系统的运维客户服务业务方针：技术创新 服务敏锐目标：客户回访满意率达到90%以上； 事件解决率达95%以上；计划巡检完成率100%；客户投诉及时处理率达到99%；重大变更成功率达到95%；全年无重大事件发生（重大事件发生不超过1件）。通过经理（管理者代表）协调各部门策划和实施客户服务。公司对提出年度预算，经董事会批准，次年1月31日做上年度结算。通过内审和管理评审等持续改进机制提高服务管理质量。任命了管理者代表，服务管理小组和各过程负责人。在手册中有供应商管理。在手册中引用了程序文件。4.5.3 实施和运行服务管理体系（实施）访谈体系管理小组，关注IT服务

9、项目计划的制定情况；关注角色和职责的落实情况；管理层IT服务管理手册中定义的角色已经到人，规定了管理者代表、服务管理负责人和各过程负责人。服务管理体系是否已实施，比如：1）资金和预算分配给管理者？2）角色与职责已分配给个人或团队？3）记录并维护每一流程或系列流程的方针、计划、程序和定义4）对服务的风险进行识别和管理？5）团队管理已到位？包括服务台及服务运营6）管理预算？7）管理了设施？8）管理了团队？即招聘、开发合适的人员以及管理人员的持续性9）是否适时报告计划的进度？10）协调了服务管理过程？管理层每年分配预算。角色已经分配给服务管理小组、服务热线和客服人员等。建立了服务管理方针，各种计划和

10、记录。识别了服务实施的风险，如服务器宕机、热线电话中断、人力资源和政策性风险，并由应对机制。建立了服务热线和服务小组，各种规范和服务标准已经建立。公司分配部门预算，部门管理预算使用。服务管理的设施以及得到识别和管理，如电话、邮件等。根据需要招聘合适的人员。有周报、月报、重大故障报告等。管理层协调各部门，部门内部由部门经理协调4.5.4 监视和评审服务管理体系（检查）访谈体系管理小组，存在哪些监控程序或控制措施；有否策划定期对ITSMS进行评审；了解是否监控和评审ITSMS；结合内审和管理评审进行检查。管理层服务质量改进管理程序每年进行一次内审和一次管理评审。查阅ITSMS内审相关文件（计划、检

11、查表、内审报告等等），并评价其有效性管理层编写了年度内审计划、内审检查表、内审不合格报告等文件。内部审核全部审核，覆盖了所有的过程和标准条款。内审后及时进行整改。访谈高管，了解是否制订了评审计划，并按策划安排对ITSMS进行评审，对每一次服务管理评审、评估和审查：1. 是否记录目标；是否识别发现和纠正措施？ 2. 是否将显著的不符合项和关注问题领域传达给所有相关方？评审输入查阅ITSMS管理评审相关文件，是否包含a) 既定服务目标的达成度；b) 顾客满意；c) 资源使用率；d) 趋势；e) 重大不符合；评审输出查阅ITSMS管理评审相关文件，是否包括标准要求的内容，并评价其有效性。查管理评审的

12、决定和措施的落实情况。管理层暂时未做管理评审，待内审后实施管理评审。4.5.5 维护和改进服务管理体系（处置）访谈高管，了解高管的持续改进意识。公司持续改进机制？包括改进机会怎样识别？改进途径？改进落实情况等来了解持续改进的情况管理层已定义服务改进方式，改进途径访谈高管，是否制订相应措施以维护和改进ITSMS；管理层是访谈体系管理小组，组织是否进行了以下活动：1）收集并分析基线数据，调整组织的管理和交付服务管理能力？2）IT服务管理体系识别、策划和实施改进？3）改进是否咨询所有相关方？4）设定质量、成本和资源使用方面的改进目标？5）考虑所有服务管理程序对服务改进的相关输入？6）测量、评价、报告

13、和传达服务改进情况？7）在必要时修改服务管理方针、计划和程序？ 8）确保所有批准的措施都被执行并取得预期的目标？管理层体系刚建立，暂时未进行持续改进，待第一次内审结束后再做改进，并在第二次内审时验证改进情况。5 设计和转换新的或变更的服务相关条款控制要求与检查题受审核部门审核事实记录结论合格不合格观察5.1 总要求是否对现有服务或新服务进行设计和转换的过程控制？研发部有，服务策划与实施管理程序5.2 策划新的或变更的服务访谈IT服务项目负责人及检查服务计划书或项目计划书、方案书、可行性分析报告等文件。检查：1. 新的或服务变更的方案是否考虑由服务交付和管理所导致的成本、组织的、技术的和商业上的

14、影响。2. 服务项目的可行性分析过程是否与新服务或变更服务管理程序的一致。3. 新的或变更的服务的实施（包括服务终止），是否有策划过程并经过变更管理者的正式批准。4. 策划和实施是否包括服务交付和管理所需的资金和资源。研发部根据服务策划管理程序文件对信息系统运维服务做策划和实施。编写了服务计划书；编写了服务规范；根据服务成本、业务影响定义了服务范围、服务优先级。与服务策划管理程序保持一致。可行性分析体现服务计划书已批准。在服务计划书中包含部门预算表。5.3 设计和开发新的或变更的服务抽查IT服务项目计划（方案）是否包括：1. 实施、运行和保持新的或变更服务的角色和职责，包括客户和供应商将实施的

15、活动；2. 现有服务管理框架和服务的变更；3. 与相关方沟通；4. 新的或变更的合同和协议以与业务需求的变更保持一致；5. 人力资源和招聘的要求；6. 技能和培训的要求，如用户和技术支持人员；7. 将使用的与新的或变更的服务有关的流程、度量、方法和工具，如能力管理和核算管理；8. 预算和时间表；9. 服务接收准则；10. 以可度量的术语表达的、新服务运行的预期结果。研发部由负责客户服务的实施，建立了服务团队。见服务计划书中的沟通机制。是，公司服务需求变化，服务合同也做变更。在服务计划书中可见服务团队的描述。在岗位职责表中描述了技能要求。见服务计划书见服务计划书中的成本预算和时间表见服务计划书中

16、的服务接收准则见服务计划书中的关键测量指标。5.4 转换新的或变更的服务是否对已设计的新服务或变更服务进行测试和实施的控制？客户是否对新服务或变更服务进行验收的过程？研发部有，服务报告程序6 服务交付过程6.1 服务级别管理相关条款控制要求与检查题受审核部门审核事实记录结论合格不合格观察6.1 服务级别管理根据服务级别管理要求，就下列内容进行确认：1. 服务级别经理的职责2. 服务级别管理流程3. 服务级别协议的内容4. 服务目录5. 运营级别协议6. 支撑合同软件部服务级别管理程序确定了服务级别管理负责人的职责、流程。服务级别协议或服务合同及访谈服务级别经理或项目经理，确认服务级别协议是否包

17、括：1. 所协商的服务内容和服务质量要求；2. 考虑来自外部服务供应商的管理控制和来自组织内部的支持要求；3. 服务级别指标和预期服务工作量特性；4. 反映了服务、工作量、服务级别变更而产生的潜在需求，包括协议变更机制；5. 服务交付成本；6. 第三方供应商支持；7. 服务被正式变更控制程序所覆盖。软件部检查服务级别协议：记录了服务的具体内容，如网络、系统等。记录了服务提供的指标，如运行率、服务响应率、服务可用性等。有外部支持合同；无内部支持，无需OLA提供5*8小时的服务工作量要求。如果服务需求发生变更，协议和规范也将发生变更。服务交付成本在服务合同中体现服务级别协议在变更控制范围内。访谈有

18、关人员或抽查服务级别报告：1）是否监视并通报服务级别目标的执行情况，报告是否让有关人员所获取？2）是否监测并报告了现有和趋势信息，这些信息是关于：已达到的服务级别、所利用的资源、服务成本。3）服务级别协议是否在变更控制之内？4）服务级别协议是否定期评审，并得到更新和持续改进？5）不符合指标的原因是否进行了报告、评审及作为服务改进计划的输入。软件部抽查了2、3月服务月报：监视和通报了服务级别目标的执行情况，如故障解决率、满意率、投诉次数等。对协议、合同和服务规范进行评审。服务级别协议在变更控制范围内。暂无不符合指标6.2 服务报告相关条款控制要求与检查题受审核部门审核事实记录结论合格不合格观察6

19、.2 服务报告抽查服务报告是否清晰阐明其标识、目的、目标读者以及数据来源。报告是否包括反应性报告、预防性报告、计划性报告；服务报告是否包括：1. 与服务水平目标相比较的业绩；2. 不符合及问题，即违反服务级别协议及安全违规；3. 工作量特征，即能力和资源使用率；4. 重大事件的业绩报告，即重大事件或变更；5. 趋势信息；6. 满意度分析。7. 是否考虑服务报告的发现并据此确定管理决策和纠正措施，并与相关方沟通。软件部检查2、3、4月服务月报：与服务级别协议指标进行了比较；说明了存在的问题，如故障解决、满意率、投诉等体现了巡检、接听电话、故障解决等的工作量有满意度分析提出了部分纠正措施，建议增加

20、纠正和预防措施章节。6.3 服务的连续性和可用性管理相关条款控制要求与检查题受审核部门审核事实记录结论合格不合格观察6.3 服务的连续性和可用性管理访谈可用性经理并检查可用性管理程序：1. 可用性经理的职责；2. 可用性管理流程；3. 可用性计划设计的内容是否包括：1）可用性管理的目的和目标是否反映了关注核心业务服务的需求？2）是否把业务计划、服务级别协议和风险评估作为建立可用性要求的输入？3）重大变更时是否考虑对可用性计划的影响？是否对可用性计划重新测试？软件部 服务持续性及可用性管理程序描述了可用性管理负责人的职责和可用性管理流程。可用性管理的目的和目标是根据硬件服务管理系统服的需求制定。

21、可用性计划依据服务级别协议和风险评估的结果建立。在发生重大变更时，对可用性计划也进行变更和测试。抽查IT服务项目的可用性计划，验证：1）可用性计划是否反映业务所需的变更？2）是否预测和预防了可能影响可用性的问题？3）是否定义、度量、监测和交付了业务过程所需服务的可用性？4）是否识别了不符合服务可用性的原因，是否把这些原因形成文件并采取了适当的措施？5）可用性计划是否识别了检测、诊断、护理、维修、修复和恢复的要素？软件部 检查可用性计划：在业务系统变更时，对可用性计划也做变更。在风险评估报告中提出了风险级别。可用性计划中定义了在事件记录、服务报告中分析了服务的可用性指标。在服务报告中分析不符合服

22、务可用性的原因，如用户打不通热线的原因分析，并采取了措施。1）是否每年至少进行一次可用性计划评审，以确保满足了要求？2）是否测量和记录了服务可用性？软件部 已做可用性计划评审，以后每年评审一次。在服务报告中记录和统计了服务的可用性。访谈服务持续性经理，检查服务持续性管理程序：1. 持续性经理的职责；2. 持续性管理流程；3. 持续性计划的内容：1）IT服务持续性的目的和目标是否反映了关注核心业务服务的需求？2）是否具有应对失效或灾难的修复服务的应急计划？3）启动应急计划的管理权限是否清晰明确，并形成文件？访谈有关人员，检查有关服务级别协议及其对应的服务持续性计划验证：1）是否根据服务级别协议、

23、业务计划、风险评估做持续性计划；2）持续性计划是否包括端对端的可用性、响应时间、访问权限的要求？3）是否记录和协商了紧急服务级别，以作为服务级别协议的要素？4）当不能正常办公访问时，持续性计划、合同列表、配置管理数据库是否让相关人员所获取？5）计划是否迎合了在失效或灾难之后正常服务的恢复？软件部 持续性管理程序描述了持续性管理负责人的职责和流程。检查持续性计划：针对硬件服务管理系统做持续性管理。有应急预案。已经分配了应急指挥小组等职责权限。根据如硬件服务管理系统的运行需求、风险评估计划、服务合同等要求作持续性计划。包括了灾难恢复内容和恢复时间表。包括关键、主要系统人员配备清单。包括了灾难恢复内

24、容和恢复时间表。访谈有关人员，检查持续性测试计划、测试报告、持续性计划评审记录等检查：1）是否依据业务需求对服务持续性计划进行测试？2）对持续性计划进行测试是否记录并编制报告？3）是否每年至少进行一次持续性计划评审？4）服务连续性计划是否包括返回正常工作状态的内容？5）是否实施了改进措施以表明测试中发现的缺陷？软件部 检查持续性计划测试报告：6.4 服务的预算及核算管理相关条款控制要求与检查题受审核部门审核事实记录结论合格不合格观察6.4 服务的预算及核算管理访谈财综合管理中心根据IT服务的预算及核算程序，验证：1）IT服务预算及核算管理的目的和目标是否阐明了所有服务和整个客户范围？2）是否具

25、有一个清晰的预算和核算策略，如范围、成本、授权等信息。3）服务提供商是否依据预算来监视并报告成本情况，评审财务预算并相应地进行成本管理？4）是否计算服务变更的成本，并经过变更管理流程的批准。产品部服务预算及核算管理程序包括目的和范围，范围包括固定、日常、培训和市场费用。包括直接支出和公司分摊成本。在程序文件中描述，定义了预算和结算流程，各部门职责。如根据办公面积分摊管理成本。日常开支进行监控，并在月度结算和年度结算中报告指出情况。超支需要审批。检查预算及核算表，查看：1）年度预算是否预测了服务费用？2）是否预算了IT开支，未来能够有效控制和决策开支？3）是否分配和规定了可记录的服务费用的基础？

26、4）服务变更的费用是否作为变更审批过程的一部分？5）主要的开支领域是否细分为成本单元？产品部年度预算包括了部门固定、日常、培训和市场费用。年度预算经过董事会评审通过后执行，季度由总经理审批，月度预算由月度预算会议评审。服务变更的费用在预算和结算中体现。预算和结算包括24项成本单元。控制、报告与审核1）是否根据预算对成本进行监测和汇报？2）是否根据支付的成本定期评审预算？3）IT成本和收费是否是组织评审职责的一部分？产品部财综合管理中心周支出汇总后发给各部门经理。包括月/季/年结算表；公司预算会议、董事会会议讨论公司财务支出情况。6.5 能力管理相关条款控制要求与检查题受审核部门审核事实记录结论

27、合格不合格观察6.5 能力管理访谈能力经理，依据能力管理程序，检查：1. 能力管理经理的职责2. 能力管理流程3. 能力管理的内容人力部能力管理程序定义了能力管理负责人的职责和流程。抽查能力计划，检查：1）是否在适当的时间间隔内对所有服务的能力进行评估？2）是否覆盖了所有物理的和逻辑的组织部分和组织的各个级别。3）是否对服务的所有相关能力因素进行评估，包括非IT资源？人力部检查能力计划：每年进行一次访问能力评定。覆盖了硬件设备和服务热线等。根据服务级别协议及对应能力计划检查：1）是否识别和应用了方法、程序和技术，以： 监视服务能力 调节服务性能 提供适当的能力2）能力管理是否包括以下内容： 预计的未来业务需求 新技术、技能和升级的预期的影响 内部变更的影响 服务升级的时间表、限度和成本 当前能力和绩效要求 预测的能力和绩效要求 预测分析所需的数据和过程人力部检查能力计划：日常巡检服务器资源能力，发现目前资源配备符合要求，不需要调整。在能力计划中包括这些内容：如企业用户数量增多；系统升级的要求和资源配备；对当前能力做了评价；预测了服务升级的能力要求；对数据做了对比分析。控制、报告与审核