ISO20000内审员培训笔记

ISO19011标准（审核员分行业：背景要求）审核员特质1、 开放的思想2、 外交能力3、 观察力4、 理解力5、 多才多艺6、 不屈不挠7、 坚定8、 自信高质量的概念是：高于客户期望值ISO/IEC20000-1为审核活动提供了一个标准（强制标准，审核员用）ISO/IEC20000-2实践规则（实施参考）ITIL是最佳实践的解释比ISO/IEC20000-2更详细。认证围ISO/IEC20000针对部和外部的服务提供商认证（本身）不适用于提供最佳实践建议的组织对服务管理工具类的产品进行认证是不可能的咨询组织的作用是为独立审核的准备提供建议解决流程事件、服务请求和问题管理服务台提供单一的联系点（影响和紧迫性（影响和紧迫性）解决方案的目标应该包含在服务级别协议里，应该基于优先级影响应该基于破坏业务的规模紧迫性应该基于业务受影响的时间知识库应在工作有效性的基础上进行维护服务交付流程-服务级别、服务连续性和可用性、容量、财务、信息安全管理-以客户和业务为中心-长期流程，需制定计划-服务和服务级别的持续改进-注意ISO/IEC20000在流程名称上有‘服务报告’和其他细小的差别关系流程（1）关系流程应该确保所有相关方都：理解和满足业务需要理解能力和限制理解职责和义务流程应该确保客户满意度水平是适当的，未来的业务需求要得到充分的沟通和理解。关系流程（2）应该确定和商定业务供应商关系的围、角色和职责，包括 :■识别利益相关方-联系人-勾通渠道和频率需考虑的角色？高管层/管理代表服务提供方供应商组织/部小组客户/作为供应商的客户利益相关方审员业务关系经理供应商经理服务经理流程负责人职能经理（如：变革经理）业务关系管理是纯粹的客户感受服务管理体系要求（必须）一组强制性要求（13个流程）（必须）容目录引言围标准化参考术语与定义服务管理体系总要求新的或变更的服务的设计和转换

服务交付流程关系流程8•解决流程9•控制流程计划P、执行D、检查C、处理A（戴明环）⑷计划：建立服务管理体系、形成文件并达成一致，体系包括满足服务要求必需的政策、目标、计划和流程执行：实施和运行服务管理体系检查：对照政策、目标、计划和要求对服务管理体系进行监督、衡量和评审,并报告结果处理：采取措施持续改进服务管理体系和服务的绩效计划慕执行.检查.处理（戴明环）嵐It嵐It観计划的事帝臭加有啟的监督和评审服务管理体系（检查）（4.5.4）服务提供方应使用合适的方法来监督和衡量服务管理体系和服务，包括审和管理评审，这两者都:-把目标形成文档-证实服务管理体系和服务能够达成服务管理目标并满足要求的能力-识别岀针对标准本部分要求、服务管理体系要求和服务需求的不符合项-应记录审和管理评审的结果和处理措施并与相关方沟通监督和评审服务管理体系（检查）（4.5.4）应进行审以确定服务管理体系和服务是否得到了有效实施和维护并且满足了相应的要求,括：-程序文档，审核规划，以及确定的标准、围、频率和方法-审核员的选择和行为应确保客观性和公正性 （一定不能审自己的工作 ）-对不符合项进行沟通并划分优先级，对处理措施的责任进行分派-纠正措施不应该耽搁，应对采取的措施进行验证，并报告结果审计类型((APMG:15O/IEC20000反习初输认研审i十EhRCB根拯1$61屋匚20000^进打的第「抉浮倍*枉APMG认讦怵誓中.如現邮1成功堰览评曲.削瀬境T为期三年的证书.3年三一[hRCBtti!WlSOIEC20000-ljZb的釦一汽flAPMGA丄惮垂中一如県刪或功通过评估，则烦发一粉为期三年的证萇・尺U日至山毎年討能述劉瞬甘评估.即憧确慄与标准的一鞍性*年申确部管理悻鑑的甫有力厠樺龙期进厅整督.年申花费的划制比初枕审计和童箱申计都规.主要於注改进、内审*普理评古、挖佢牡理、追总性制*SMSffi对「脱务管理目标的科效性.U性州中览现的車玄变址锁尊的騎顼.内审參考FSi的第一方审计.^ISanEC200M-1的内部审计靖达SWJUa的耍求"朝一方审计ft用屋务提供方自身的畫驚或代表它的外部群询杆进行的申计.通常（T为内就.繭二卉审计第三方审计由对JK务鼻樑方具育用户糊益的牛ABUflftiSfi1的审计・切窖户.由具备评用5桥、通常称为认证机构的啊規进行曲审H鬥川]袪“T眼等提供“井耳其半存在用户利益r初始认证审计：DR（文件审计）+IV初访IA初审（做完DR-IV不能少于1个月，不超过3个月）PA年审RA重新认证审核管理评审：高管层应按照规划的间隔评审服务管理体系和服务的适应性和有效性，确定改进的机会。输入应该包括:-客户反馈、服务和流程的符合性-当前和未来对所需资源的级别和能力的要求-风险-审核和以前的评审结果和跟踪措施-预防和纠正措施的状况-识别变更和改进机会服务交忖流程服务连续性和可用性管理（服务连续性和可用性管理（6.3）计划应包括或参考-发生重大服务缺失时执行的程序-当计划被启用时的可用性要求和目标-恢复要求-恢复到正常工作状态的方法现场外可用的计划、清单和配置管理数据库CMDB评估所有变更对上述计划的影响应对可用性进行监督，把结果同目标进行比较计划外的不可用性必须加以调查，并采取措施两个计划都要依据适当的要求进行测试，发生重大变化后要再次测试要记录测试结果，在每次测试和计划启用后，要进行评审;发现不足后，要采取必要的措施加以解决，并报告采取的措施服务的预算和核算©4)与其他财务管理流程有明确的接口，应有关于以下方面的政策和程序-服务组件的预算和核算，包括：-资产、许可证、资源、管理费用、资本和运营费用，外部提供的服务，人员和设施-为服务分摊间接成本和分配直接成本-有效的财务控制和批准服务的预算和核算(6.4)应对支出进行预算以便能够进行有效的财务控制和决策对照预算监督和报告支出，审核财务预测，并管理支出支持变更请求成本的信息容量管理©5)服务提供方应识别容量和绩效要求并与客户和相关方达成一致制定容量计划，其变更通过变更管理流程加以控制容量管理(6.5)该流程应包括-当前和预测的服务需求-协商一致的要求对其他流程的影响—服务容量升级的时间表和成本阈值-法律法规、合同或组织变更的影响—新技术和新工艺的影响够进行预测性分析或可以参考的程序监督容量使用情况，分析容量数据和调整性能，以满足协商一致的容量要求信息安全管理©6）信息安全政策（661）应由具有充分权限的管理者批准安全政策，并考虑到服务需求、法律法规和合同的要求。管理者应:-向适当的人员传达政策以及符合政策的重要性-建立信息安全目标-明确管理风险的方法，按照计划的间隔进行风险评估-确保信息安全审得以实施，对其结果进行了评审，并识别了改进机会关系谎程客户服务要求資養戒变更伫漆夸鶯資并旬转碍厲\•蓉盘评理•袈基圧戏澧出

可耐"客户服务要求資養戒变更伫漆夸鶯資并旬转碍厲\•蓉盘评理•袈基圧戏澧出

可耐"・W豪盘・責・常理-■T■FT茂斗去务I弘呻卢DNV-3L丄合同提供方和供应商的关系丄合同/1、|服务圾别协侦 U*1»U啼务C（,■术体聚供应丽1主供应商 1合同业务关系管理（7.1）服务投诉-对投诉的定义与客户达成一致-使用程序文档管理投诉-对投诉要进行记录、调查、采取措施、报告和关闭-对未解决投诉的升级流程客户满意度-按照计划的间隔对有代表性的客户进行衡量-分析和评审结果，识别改进机会业务关系管理(7.1)服务投诉-对投诉的定义与客户达成一致-使用程序文档管理投诉-对投诉要进行记录、调查、采取措施、报告和关闭-对未解决投诉的升级流程客户满意度-按照计划的间隔对有代表性的客户进行衡量-分析和评审结果，识别改进机会供应商关系管理(7.2)将协商一致的合同存档，应包括咬付服务的围，服务、流程和各方之间的依赖关系喪求，服务目标-共应商和其他方运行的服务管理流程之间的接口-将供应商的活动整合到服务管理体系7作量的特性，合同例外的处理-服务提供方和供应商的权利和职责-共应商进行报告和沟通的义务-攵费的依据-（提前或预期的）合同终止及服务转移供应商关系管理⑺2）将协商一致的合同存档，应包括-交付服务的围，服务、流程和各方之间的依赖关系-要求，服务目标-共应商和其他方运行的服务管理流程之间的接口-将供应商的活动整合到服务管理体系-工乍量的特性，合同例外的处理-服务提供方和供应商的权利和职责-共应商进行报告和沟通的义务-攵费的依据-（提前或预期的）合同终止及服务转移解决流程控制流程客户服务要求眾备背理体塞林）・解决流程控制流程客户服务要求眾备背理体塞林）・亶科辔址、着環報量，血*施朋Jt挣狈血•才._4；片廿”■-辰新的迸雯更的杀等艳设汁晰押两詹决滅程團■曹样需庆芬*rf挣■、叭"配置管理（9.1）每个类型的配置项应有书面定义有效控制所需的信息包括-CI的描述、关系（配置项与其他配置项，配置项与服务组件）、状态、版本、相关的（变更请求、问题和已知错误）配置项应唯一识别并记录在CMDB中管理CMDB以确保可靠性和准确性，尤其要控制对CMDB的更新访问把记录、控制和跟踪配置项版本的程序形成文档，维护其完整性，考虑到与配置项相关的风险和服务需求配置管理（9.1）按照计划的间隔审核CMDB中的记录CMDB信息可用于支持对变更请求的评估配置项的变更应可追溯并可审核，以维护配置项和 CMDB的完整性在发布和部署前确定配置项的基线保护并存储所有的电子主备份定义配置管理流程和财务资产管理流程之间的接口第二章为什么要审核？以及什么是审核？本章将覆盖以下容:为什么审核很重要什么是审核及审核的输出什么是审核的过程谁将参与审核以及他们的责任第一方审核，审。依据公司部要求审核，要求比较高，比较详细组织在他们关注的流程的风险区域进行审核第二方审核，外部审核，客户要求，保护客户利益。组织审核合同或供应商相关的风险区域第三方审核，ISO审核，通用标准框架审核。最低要求。由独立机构进行的审核 （以风险管理为基础）认可机构：UKAS审核的目的是为了符合行的评估。审核员不能评价服务管理过程，且不能提岀改进意见为什么审核很重要？审核（ISO19011,3.1条款）是一个系统的、独立的、文档化的获得审核证据，并客观评价这些证据以确定审核标准是否被履行的过程。审核的原则审核员的原则道德行为：是基本的职业要求审核员期望在审核时遵守基本的原则：信任、诚信、保密和有判断力审核员有责任报告审核发现和报告真实准确的审核结论审核员在执行审核时，必须经过专业的审核训练？审核原则审核必须依据基本的公正和客观原则进行。一个基本的要审核员不能审核自己的工作审核必须基于客观证据，使用系统的审核流程和达到可靠及可重复产生审核结论。审核准则的意义审核准则被用来作为审核证据比较的参照审核准则是审核发现符合或不符合唯一参照的基础最终的审核结论，最终产生于考虑了所有的审核发现审核准则因此非常重要审核准则包括IT服务管理方针（策略）、支持方针策略的程序和客户要求。审核准则的举例管理层需要授权ITSM的实施管理层需要测量服务水平的有效性以验证业务要否得到满足。要求可以来自不同的出处：组织的流程和运营组织的管理手册程序作业指导书规说明法律法规需求实践规则系统标准这里很重要的一点是要求不仅是审核员的 “期望”。要求必须是确实的不是审核员自己的施加的影响。不符合事项不符合事项是实施和维护过程中、一项或多项IT服务管理体系要求要素的缺失或失效，或一种依据客观证据对IT服务管理体系达成组织的IT服务方针和目标的能力有显著怀疑的状态。EA7/03:2002不符合:没有履行一个要求对不符合确实存在相关的要素：要求、失误和证据失误需澄清一定有失误否则就没有问题证据必须获得“客观证据客观证据可以通过观察、测量、测试或其他方式获得。观察项观察项可以是：潜在的问题风险无效率无效应用最佳实践失效错误理解值得努力（表扬）值得努力的例子：采用最佳实践证明改善高层的承诺鼓舞系统优化FOLLOW-UPPLANCONDUCT（『；恫卿呦观dcbhIE^lai-.iudtoifpitHwiiotalSvflplhgHwiiotalSvflplhglir^^taTKtjipJrtjDrjffiteiiainridjettittClofJigamljngI啣愉I啊槪M胸血诃t瞼惟MlCategoi血#Finfin^WnMfi的lewiRActivity活动LAAMRTOC\o"1-5"\h\z协助审核小组的选择 LA负责所有阶段的审核 LA为第一、二方审核确定目标 MR选择审核员 LA与审核小组协作MR计划审核LA符合审核要求，围和审核目标 LAA选择审员和小组 MR确定审核时间表 MR接收审核报告MR11评审体系文件 LA计划和执行审核活动 LALA不管是否因为IT服务管理体系的问题与外部相关方联络LA监控审核过程 LA为持续改进做岀贡献 LAAMR对审核小组进行简报 LA报告审核发现 LA A提供授权和资源 MR向管理层报告IT服务管理体系的绩效和改进的需要 MR提