完整内容的ISO IEC 20000-1-2018信息技术服务管理体系内部审核检查表

完整内容的ISOIEC20000-1-2018信息技术服务管理体系内部审核检查表受审核部门：管理层审核准则：ISO/IEC20000-1:2018，体系文件、适用法律法规审核员：条款号审核条款内容检查内容审核记录审核结果理解组织及其环境公司是否有部门简介，并能充分反应公司内部情况，如：背景、经营范围、财务表现、规模及设施、人力资源能力、技术优势、知识等（内部因素）及涉及法律法规和专利技术、市场占有率、主要合作伙伴及同行的影响、物理边界、信息渠道（外部因素）？查看公司组织经营内部及外部因素分析表，最近更新理解相关方的需求和期望公司是否收集相关方需求及期望(上级及主要供方及客户)包括：•顾客对信息技术服务的要求；已与顾客或外部供应商达成的合同；行业规范及标准；和社区团体或非政府组织的协议；作者李柏伦翻版盗卖必追究责任法规法案；备忘录；许可，执照或其他授权形式；监管机构发布的制度；条约，公约及草案；和公共机构及顾客的协议；组织要求；自愿原则或行为规范；自愿标示或环境承诺；组织契约合同的承担义务；查看相关方需求和期望分析表，最近更新日期为确定IT服务管理体系范围公司是否有一个定义ITSMS范围的过程？有没有明确的体系范围和边界？是否有对任何范围的删减？查管理手册，明确确定IT服务管理体系的范围IT服务管理体系公司形成完整的体系文件公司性体系文件描述适用于公司实际情况查看管理手册、程序文件、作业指导书及相关记录领导力和承诺是否有一个确保管理者对ITSMS的建立、实施与运行、监视与评审、保持和改进，做出承诺的过程？管理者提供承诺的证据是否包括以下内容：c)建立信息技术服务的角色和职责；d)向该组织传达满足信息技术服务目标与符合信息技术服务方针的重要性、法律责任和持续改进的需要；e)提供足够的资源；f)决定接受风险的准则和风险的可接受级别准则；进行ITSMS管理评审。查看管理手册、任命书、管理方针、管理目标、内审记录及管理评审记录等，与最高管理层及管理代表方针公司是否有一个ITSMS方针文件？公司的ITSMS方针文件是否满足以下要求：1)包括信息技术服务的目标框架、信息技术服务工作的总方向和原则；2)考虑业务要求、法律法规的要求和合同要求；3)与组织开发与维护ITSMS的战略性风险管理，结合一起或保持一致；4)建立风险评价准则；5)获得管理者批准。查看管理方针。与最高管理层及管理代表与中层管理及基层员工交组织的角色，职责和权限公司内各职位职责是否明确？权限分派、沟通和理解是否适宜？各职责间关系是否明确？是否有颁布令和授权令？查看组织架构图、各部门职责说明书及各岗位职责说与中层及基层人员交谈。应对风险和机会公司是否有明确可能所需要应对的风险和机遇？为确定需要应对的风险和机遇：1、公司在策划IT服务管理体系时，是否考虑内部和外部因2、公司在策划IT服务管理体系时，是否有理解相关方需求？公司是否有策划应对风险和机遇的措施？这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面。2.应对风险和机遇的措施是否得到实施和评价措施的有效性？查看风险和机遇识别、评价分析及应对措施记录总表，最近更新日期为信息技术服务目标和实现规划公司信息技术服务目标是否：1)包括信息技术服务的目标框架、信息技术服务工作的总方向和原则；2)考虑业务要求、法律法规的要求和合同要求；3)与组织开发与维护ITSMS的战略性风险管理，结合一起或保持一致；4)建立风险评价准则；5)获得管理者批准。在对这个要求的符合性审核时，要确保组织的ITSMS方针满足上述5个要求。还要注意到ITSMS方针与信息技术服务方针的关系。查看目标管理方案及最近一年的目标测量记录。与中层管理交谈。策划服务管理体系1、在在确定产品和服务要求时，公司是否考虑如下因素：顾客和法律法规要求、组织战略要求、利益相关方的相关要求？2、是否建立过程控制，产品和服务验收的准则，公司是否考虑：风险和机会、质量目标、产品和服务要求？3、根据产品和服务提供过程的性质和复杂度，作者李柏伦翻版盗卖必追究责任公司是否确定所需的资源以及现有资源是否充足？4、公司是否制定有效措施，用于控制：确认满足了准则、交付了预期的输出、识别了需要改进的区域？5、公司是否形成并保持、保留准则及支持准则的运行的成文信息？查看管理手册及IT服务管理策划控制程序公司是否有对为满足IT服务管理体系要求的人力资源、材料、能力、信息、设施等进行评估？2、公司是否识别各种现有制约，即为减少不良影响或达成目标需要什么，以及需要什么措施？查看资源控制程序、资源评估表公司是否定期总结并收集各项管理经验，并进行交流？以确保经验知识的积累；获取组织内部人员的知识和经验；从顾客、供应商和合作伙伴方面收集知识；获取组织内部存在的知识（隐性的和显性的与竞争对手比较；与相关方分享组织知识；根据改进的结果更新必要的组织知识查看组织知识控制程序及组织知识清单。发现有建立组织知识清单，单没明确组织知识的实际运用情况。不符合运行策划和控制公司有哪些运行控制？有无明确运行准则？对变更的控制？异常情况的评审？产品设计开发的输出的有关信息中是否包括生产周期每一阶段的信息技术服务要求？采购过程的控制？对外部供方的控制的类型与程度？运输、交付、使用、最终处置等？查看运行控制程序、相关作业指导书和相关记录控制服务生命周期涉及的相关方公司是否确定并应用评估和选择服务生命周期中涉及的其他各方的标准，公司是否应确定并文件化：由其他各方提供或运行的服务;由其他各方提供或运行的服务组件;由其他各方运行的组织SMS中的过程或过程的一部分。公司是否从以下方面为其他各方定义和应用相关控制：过程绩效的测量和评估;测量和评估服务和服务组件在满足服务要求方面的有效性？查看过程绩效测量和评估控制程序及相关测量评估记录公司是否对使用供方：a)以提供和运行服务；b)作为运行服务组件；c)做为公司运行服务管理体系范围内的过程或过程的一部分进行确定？查供方管理控制程序及供方评价记录监视、测量、分析和评价公司确定的需要监视和测量的对象包括：监理服务的符合性、管理体系的符合性、管理体系的适宜性、充分性、有效性、管理体系绩效、顾客满意等；2)公司确定的确保结果有效所需的监视、测量、分析和评价方法包括：识别和得到了外来的标准，制定了检验文件，通过实施进货验证、过程检验、成品检验等证实产品的符合性；通过内审、管理评审等证实体系的符合性、适宜性、充分性、有效性；通过顾客满意率调查、用户质量反馈等证实管理体系绩效、顾客满意；3)通过纠正、纠正措施、预防措施、改进计划、简单的统计分析保持管理体系持续改进的有效性，并确定了质量目标/过程绩效指标及监视和测量方法，考核频次。公司在管理手册中对监视、测量、分析和改进过程进行了策划，对确保管理体系的适宜性、产品质量的符合性及应用数据分析等方式来实现对管理体系的改进和提高进行了策划，并在实际工作中通过日常的监视和测量对发现的问题及时进行分析、解决，并建立了相应的信息流过程，就有关质量、环境、职业健康安全绩效进行内部和外部信息交流查监视、测量、分析及评价控制程序及相关监视、测量、分析及评价记录。1）公司是否定期进行内部审核？2）内部审核的频次和结果是否满足部门体系运行要求？公司是否定期进行内部审核？内部审核的频次和结果是否满足部门体系运行要求？作者李柏倫翻版盜賣必追究責任内部审核是否得到了有效的实施和保查内部审核控制程序及最近一次的内部审核记录（包括审核计划、审核检查表、审核报告、首末次会议签到表、不符合报告及纠正预防措施报告）管理评审公司是否定期召开管理评审？并在管理评审中确定体系的运行是否适宜、充分和有效，并与组织的战略方向一致？管理评审输入资料是否满足要求？是否包括以为管理评审采取措施的情况？环境目标的实现程度？组织环境绩效方面的信息？资源的充分性？来自相关方的有关信息交流？应对风险和机遇采取的措施是否有效？作者李柏伦翻版盗卖必追究责任有无改进的机会？管理评审输出资料是否满足要求？并保留形成文件的信息？体系改进有关的信息？环境目标为实现时需要采取的措施？改进管理体系与其他业务过程融合的机遇？任何与组织战略方向相关的结论？查管理评审控制程序及最近一次的管理评审记录（包括管理评审计划，管理评审会议记录，管理评审各部门汇报记录，管理评审报告不符合及纠正措施1）是否建立和实施改进、纠正措施的要求？是否保存管理体系改进与创新记录？2）是否调查分析了不合格的原因（包括顾客报怨）在内并起到防止不合格再发生的目的3）是否针对原因提出措施并实施和记录结果？4）纠正措施的实施是否验证其效果，并作出评价？重大的纠正措施是否成为管理评审的输入？查看不符合及纠正措施控制程序及不符合及纠正预防措施记录持续改进公司是否通过多种途径，持续改进ITSMS的有效性持，包括：1)使用信息技术服务方针；2)使用安全目标；3)使用审核结果；4)使用监视事件的分析；5)使用纠正措施与预防措施；6)使用管理评审。查持续改进控制程序，不符合及纠正预防措施控制程序以及持续改进记录受审核部门：行政部审核准则：ISO/IEC20000-1:2018，体系文件、适用法律法规审核员：条款号审核条款内容检查内容检查结果组织的角色、责任和权限公司内各职位职责是否明确？权限分派、沟通和理解是否适宜？各职责间关系是否明确？是否有颁布令和授权令？查人员任职说明书应对风险和机会公司是否有明确可能所需要应对的风险和机遇？为确定需要应对的风险和机遇：1、公司在策划IT服务管理体系时，是否考虑内部和外部因2、公司在策划IT服务管理体系时，是否有理解相关方需求？公司是否有策划应对风险和机遇的措施？这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面。2.应对风险和机遇的措施是否得到实施和评价措施的有效性？查行政部的风险和机遇的识别评价及应对措施表1、公司是否有对为满足管理体系要求的人力资源、材料、能力、信息、设施等进行评估？2、公司是否识别各种现有制约，即为减少不良影响或达成目标需要什么，以及需要什么措施？查看资源评估表1）是否对从事影响体系活动的部门、层次、岗位人员进行了识别，对各类人员所需的教育、培训、技能和经验提出了要求？2）针对需求是否提出了培训计划（包括特殊工种、工作人员）或采取其他措施并组织实施？3）通过何种方式宣传/培训确保员工意识到所从事活动的相关性和重要性，并为实现质量目标做出贡献？4）是否适当地保存了教育、培训、技能、经验的记录？5）看培训需求是否合理？是否按计划实施？通过查相关记录验证计划完成情况，抽查相关培训和评价记录。查看岗位任职说明书、年度培训计划、培训记录发现其中两次培训未进行培训效果评价确认。不符合1、公司员工及各相关方是否知晓公司信息技术服务方针、信息技术服务2、公司员工及各相关方是否明确“可接受”产品和“不合格”产品和服务的知识和理解。以及当产品和服务不满足规范时，该如何去做。3、公司是否信息技术服务体系有相关沟通过程。现场观察员工是否知晓管理体系方针和目标？员工是否知晓其对管理体系的贡献？员工是否知晓不符合管理体系要求的后果？与管理层、中层管理及基层员工进行交谈。沟通最高管理者应确保在组织内建立适当的沟通过程，并确保对体系的有效性进行沟通。各职能层次间的沟通是如何开展的？对信息沟通的职责和方法以及对重大事件、问题的沟通是如何开展的？2）是否使用了恰当的沟通形式？开展的情况，信息是否被有效的利用？3）沟通的内容是否能促进组织质量活动协调和体系过程及其有效性？作者李柏倫翻版盜賣必追究責任如何策划内外部沟通的过程？有哪些记录来证明？外部信息交流的内容？正面的？负面的（如投诉是否及时给出清晰回复？是否涉及绩效的改进？查看信息沟通控制程序及相关沟通记录、会议记录及联络单等形成文件的信息公司是否按标准要求和按公司情况形成质量管理体系文件信息？并保持和保留这些文件信息？如何进行文件的分发、存储、更新、保留和处置等？如何识别外部文件，文件是如何保管的？文件是否有标识和说明？文件都有哪些形式？是否经过评审和批准？记录控制程序是否完整，是否有可操作性？作者李柏倫翻版盜賣必追究責任程序文件是否为有效版本？记录控制程序是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定？记录控制情况如何？记录的形成与质量活动是否同步进行？与本组织的记录有哪些？作者李柏伦翻版盗卖必追究责任与受审核部门有关记录有哪些？是否有保存期的规定？记录是否按档案管理规范的要求处理和管理？查看形成文件信息控制程序及受控文件清单、外来文件清单、记录清单，文件发放记录、文件的最新版本的控制情况等、资产管理1、组织在体系策划和为实现产品/服务过程策划中是否确定和提供并维护为实现产品符合性所需的基础设施？2、基础设施包括建筑物、工作场所和相关设施、过程设备（硬件和软件）等是否进行了适当的维护？并能保持实现产品的符合性？3、支持性服务如运输或通讯等是否能确定和提供？查看资产管理控制程序及资产登记表、资产维护保养记录等受审核部门：技术部审核准则：ISO/IEC20000-1:2018，体系文件、适用法律法规审核员：条款号审核条款检查内容检查结果组织的角色、责任和权限公司内各职位职责是否明确？权限分派、沟通和理解是否适宜？各职责间关系是否明确？是否有颁布令和授权令？查看技术部的岗位职责说与技术部相关人员进行交谈应对风险和机会公司是否有明确可能所需要应对的风险和机遇？为确定需要应对的风险和机遇：1、公司在策划IT服务管理体系时，是否考虑内部和外部因2、公司在策划IT服务管理体系时，是否有理解相关方需求？公司是否有策划应对风险和机遇的措施？这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面。2.应对风险和机遇的措施是否得到实施和评价措施的有效性？查看技术部的风险和机遇分析评价及应对措施表运行策划和控制公司有哪些运行控制？有无明确运行准则？对变更的控制？异常情况的评审？产品设计开发的输出的有关信息中是否包括生产周期每一阶段的信息技术服务要求？采购过程的控制？对外部供方的控制的类型与程度？运输、交付、使用、最终处置等？查看运行控制程序及服务管理规范、服务管理的控制记录等服务交付1、是否有针对此次产品或服务的实施进行合格性评价？2、是否实施与产品和服务相关的服务？3、是否满足顾客要求？4、是否收集顾客反馈记录？查看服务交付确认表。策划服务是否对服务管理进行策划，并明确定义了：a.信息技术中心的服务管理范围b.服务管理的目标的和需求d.管理角色和职责框架，包括高级负责人、流程负责人和供应商管理e.服务管理流程之间的接口，流程活动协调的方式f.识别、评估、管理阻碍达成既定目标的问题、风险的方法g.为建立、调整服务的项目定义接口的方法查看策划控制程序及相关项目的策划书策划服务h.达成即定目标所需要的资源、设备和预算j.如何对服务质量进行管理、审核和改进2.是否有清晰的管理方向和成文定义的检查、签署、沟通、实施、维护服务管理计划的职责3.任何具体的流程计划是否与服务管理计划一致查看服务进度跟踪表服务目录管理公司是否创建和维护一个或多个服务目录。服务目录是否包括公司、客户、用户和其它相关方的信息，描述服务、预期的结果和服务间的依赖关系。公司是否为客户、用户和其它相关方提供服务目录适当的部分的访问的渠道。查看服务目录表配置管理1.是否综合地计划变更和配置管理2.是否定义了配置管理与财务管理流程的接口3.是否明确定义了哪些项目应被作为配置项进行记录和管理？4.是否明确定义了每个配置项应该记录什么信息5.每个配置项该记录的信息中是否包括了：a.配置项关系、b.进行有效管理所需的相关文档6.配置管理是否提供相应机制对所有可标识的服务和基础设施组件的版本进行：识别、控制、跟踪？查看配置管理控制程序及配置管理记录服务级别管理1.是否存在相应流程或机制保证服务提供的范围、服务级别目标、工作量特性都经过相关方面同意并且记录4．服务级别协议、支持服务的协议、供应商合同和相关步骤是否都经相关方面协商同意并记录5.是否有相应流程或机制保证服务级别协议的变更均由变更管理流程控制6.是否存在相应流程或机制，保证服务级别协议定期由相关方面检查以确保及时更新和持续有效查看服务级别控制程序及相关流程图、及服务协议书等容量管理公司是否确定、文件化和维护人力、技术、信息和财务资源的容量要求，并考虑服务和绩效要求。客户服务中心是否进行容量规划，包括：基于服务需求的当前和预测的容量;服务可用性和服务连续性对达成一致的服务级别目标中容量的预期影响;服务容量变化的时间尺度和阈值。公司是否提供足够的容量来满足达成一致的容量和绩效要求。客户服务中心是否监控容量使用情况，分析容量和性能数据，并确定改进绩效的机会。查看服务容量及性能分析表变更管理1.服务和基础设施变更的范围是否清晰地定义成文2.是否存在相应流程或步骤对所有的变更请求进行：记录、分类4.变更管理流程是否包括恢复或者弥补不成功变更的方法5.变更管理流程中是否有相应步骤或要求来评估变更对连续性计划和可用性计划的影响查看变更管理控制程序及表更记录服务设计与转换发布和分发的过程的设计、实施是否确保了硬件和软件在安装、交付、打包、交付时的正确性公司是否识别了设计和转化新的或变更的服务流程、服务交付流程、信息安全流程、关系流程、解决流程、控制流程查看服务设计方案及服务的运行跟踪表发布与部署管理公司是否定义发布的类型，包括紧急发布，发布频率及如何管理？公司是否对新的或变更的服务和服务组件部署到运行环境中进行规划？规划是否剖包括每个版本的部署日期，可交付成果和部署方法。发布应根据文件化的验收标准进行验证，并在部署前获得批准。作者李柏倫翻版盜賣必追究責任如果不符合验收标准，组织和相关方应对必要的行动和部署做出决定。查看发布及部署控制程序事件管理公司是否确立标准以重大事件？重大事件是否依据文件程序进行分类和管理？重大事件的信息是否通知最高管理者？重大事件是否分配责任人？事件解决后，重大事件是否予以汇报和评审，以识别改进机会？查看事件管理控制程序及事件管理记录服务请求管理服务请求的记录是否根据采取的措施及时更新？履行服务请求的指南是否对履行服务请求的人员可用？查看服务请求记录问题记录是否根据所采取的行动及时更新？解决问题所需的变更是否根据变更管理方针进行管理？公司是否识别减少或消除问题对服务影响的措施？是否记录已知错误？是否为其他服务管理活动提供有关已知错误和问题解决方案的最新信是否按计划的时间间隔，监测、评审和报告问题解决的有效性？查看问题管理控制程序及问题管理记录服务可用性管理是否按计划的时间间隔，评估服务可用性的风险，并形成文件？公司是否确定服务可用性要求和目标？达成一致的要求是否考虑相关的业务要求，服务要求，SLA和风险？服务可用性要求和目标是否形成文件并维护？是否监控服务可用性，记录结果并与目标进行比较？是否对计划外的不可用进行调查并采取必要的措施查看服务可用性管理控制程序服务连续性管理是否按计划的时间间隔，评估和记录服务连续性的风险？公司是否确定服务连续性要求？达成一致的要求是否考虑相关的业务要求、服务要求、SLA和风险？公司是否创建、实施和维护一个或多个服务连续性计划？是否确保能够访问服务连续性计划和联系人列表？是否按计划的时间间隔，按照服务连续性要求对服务连续性计划进行测试？服务连续性计划是否在服务环境发生重大变化后重新测试？是否记录测试结果？是否在每次测试后和服务连续性计划调用后进行审核？作者李柏倫翻版盜賣必追究責任如果发现不足，公司是否采取必要的措施？公司是否在启动服务连续性计划时报告原因、影响和恢复情况？查看服务连续性控制程序及连续性计划信息安全管理服务管理体系和服务的信息安全风险是否按策划的时间间隔进行评价并形成文件？信息安全控制措施是否确认、实施和运行，以支持信息安全方针并处置已识别的信息安全风险？信息安全控制措施的决策是否保留成文信息？公司是否批准并实施信息安全控制措施以是否对与外部组织有关的信息安全风险？公司是否监控和评审信息安全控制措施的有效性，并采取必要的措施？查看信息安全管理控制程序及信息安全记录服务报告2.服务报告是否包括以下内容：a.相对服务级别目标而言的服务绩效b.不合规的内容和事件，如违反服务级别协议或安全规范c.工作量特件发生后的绩效报告，如重大突发事件、重大变更3.管理决策和更正活动是否考虑了服务报告中的发现4.管理决策和更正活动是否与相关方面沟通查看服务报告控制程序及服务报告记录受审核部门：业务部（含采购）审核准则：ISO/IEC20000-1:2018，体系文件、适用法律法规审核员：