ISO01内审检查表.docx
- 文档编号:24850961
- 上传时间:2023-06-02
- 格式:DOCX
- 页数:25
- 大小:24.82KB
ISO01内审检查表.docx
《ISO01内审检查表.docx》由会员分享,可在线阅读,更多相关《ISO01内审检查表.docx(25页珍藏版)》请在冰豆网上搜索。
ISO01内审检查表
IT服务管理体系内审检査表
受审核部门:
管理层
审核准则:
ISO/IEC200004:
2018,体系文件、适用法律法规审核日期:
2020.7.2
审核员,
审核条款
检查内容
检査结果
4.1理解组织及其环境
公司是否有部门简介,并能充分反应公司内部情况,如:
背景、经营范围、财务表现、规模及设施、人力资源能力、技术优势、知识等(内部因素)及涉及法律法规和专利技术、市场占有率、主要合作伙伴及同行的影响、物理边界、信息渠道(外部因素)?
符合
4.2理解相关方的需求和期望
公司是否收集相关方需求及期望(上级及主要供方及客户)包括:
•顾客对信息技术服务的要求;己与顾客或外部供应商达成的合同;行业规范及标准:
和社区团体或非政府组织的协议:
法规法案;备忘录;许可,执照或其他授权形式;监管机构发布的制度:
条约.公约及草案;和公共机构及顾客的协议:
组织要求;自愿原则或行为规范:
自愿标示或环境承诺;组织契约合同的承担义务;
符合
4.3确定IT服务管理体系范国
公司是否有一个定义ITSMS范国的过程?
有没有明确的体系范围和边界?
是否有对任何范围的删减?
符合
4.4IT服务管理体系
公司形成完整的体系文件
公司性体系文件描述适用于公司实际情况
符合
5.1领导力和承诺
是否冇一个确保管理者对ITSMS的建立、实施与运行.监视与评审、保持和改进,做出承诺的过程?
管理者提供承诺的证据是否包括以卜内容,
a)制定ITSMS方针;
b)确保建立ITSMS目标和计划:
0建立信息技术服务的角色和职责:
d)向该组织传达满足信息技术服务目标与符合信息技术服务方针的重要性、法律責任和持续改进的需要:
e)提供足够的资源;
0决定接受风险的准则和风险的可接受级别准则:
g)确保ITSMS内审的执行:
进行ITSMS管理评审.
符合
受审核部门:
管理层
审核准则:
ISO/IEC20000-1:
2018,体系文件、适用法律法规
审核日期:
2020.7.2
审核员:
审核条款
检查内容
检査结果
5.2方针
公司是否有一个ITSMS方针文件?
公司的ITSMS方针文件是否满足以下要求:
1)包括信息技术服务的冃标框架、信息技术服务工作的总方向和原则:
2)考虑业务要求、法律法规的要求和合同要求:
3)与组织开发与维护1TSMS的战略性风险管理,结合一起或保持一致:
4)建立风险评价准则;
5)获得管理者批准。
符合
5.3组织的角色,职责和权限
公司内各职位职责是否明确?
权限分派、沟通和理解是否适宜?
备职责间关系是否明确?
是否有颁布令和授权令?
符合
6.1应对风险和机会的措施
公司是否有明确可能所需要应对的风险和机遇?
为确定需要应对的风险和机遇:
1、公司任策划IT服务管理体系时,是否考虑内部和外部因素?
2.公司在策划IT服务管理体系时,是否有理解相关方需求?
公司是否有策划应对风险和机遇的措施?
这些措施可能是产品及服务的检査、监视和測量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方而。
2.应对风险和机遇的措施是否得到实施和评价措施的有效性?
符合
6.2信息技术服务目标和实现规划
公司信息技术服务目标是否:
1)包括信息技术服务的目标框架、信息技术服务工作的总方向和原则;
2)考虑业务要求、法律法规的要求和合同要求:
3)与组织开发与维护ITSMS的战略性风险管理,结合一起或保持一致:
4)建立风险评价准则:
5)获得管理者批准。
在对这个要求的符合性审核时,要确保组织的ITSMS方针满足上述5个要求。
还要注意到ITSMS方针与信息技术服务方针的关系。
符合
受审核部门:
管理层
审核准则:
ISO/IEC20000-1:
2018,体系文件、适用法律法规
审核日期:
2020.7.2
审核员:
审核条款
检查内容
检査结果
6.3策划服务管理体系
1、在在确定产品和服务要求时,公司是否考虑如卜因素:
顾客和法律法规要求、组织战略要求、利益相关方的相关要求?
2、是否建立过程控制,产品和服务验收的准则,公司是否考虑:
风险和机会、质量目标、产品和服务要求?
3、根据产品和服务提供过程的性质和夏杂度,公司是否确定所需的资源以及现冇资源是否充足?
4、公司是否制定有效措施,用于控制:
确认满足了准则、
交付了预期的输岀、识别了需要改进的区域?
5、公司是否形成并保持、保留准则及支持准则的运行的成文信息?
符合
7.1资源
公司是否有对为满足IT服务管理体系要求的人力资源、材料、能力、信恩、设施等进行评估?
2、公司是否识别各种现有制约,即为减少不良影响或达成日标需要什么,以及需要什么措施?
符合
7.6知识
公司是否定期总结并收集各项管理经验,并进行交流?
以确保经验知识的枳累:
获取组织内部人员的知识和经验;从顾客、供应商和合作伙伴方而收集知识;获取组织内部存在的知识(隐性的和显性的):
与竞争对手比较;与相关方分享组织知识:
根据改进的结果更新必要的组织知识
符合
8.1运行策划和控制
公司有哪些运行控制?
有无明确运行准则?
对变更的控制?
异常情况的评审?
产品设il开发的输出的有关信息中是否包括生产周期每一阶段的信息技术服务要求?
采购过程的控制?
对外部供方的控制的类型与程度?
运输、交付、使用、最终处置等?
符合
受审核部门:
管理层
审核准则:
ISO/IEC20000-1:
2018,体系文件、适用法律法规审核日期:
2020.7.2
审核员:
审核条款
检查内容
检査结果
823控制服务生命周期涉及的相关方
公司是否确定并应用评估和选择服务生命周期中涉及的其他各方的标准,公司是否应确定并文件化:
由其他各方提供或运行的服务;
由其他各方提供或运行的服务组件;
由其他各方运行的组织SMS中的过程或过程的一部分。
公司是否从以下方面为其他各方定义和应用相关控制:
过程绩效的测量和评估;
测量和评估服务和服务组件在满足服务要求方面的有效性?
符合
8.3.1总则
公司是否对使用供方:
a)以提供和运行服务;b)作为运行服务组件:
c)做为公司运行服务管理体系范围内的过程或过程的一部分进行确定?
符合
9.1监视、测量、分析和评价
公司确定的需要监视和测量的对象包括:
监理服务的符合性、管理体系的符合性、管理体系的适宜性、充分性、有效性、管理体系绩效、顾客满意等;
2)公司确定的确保结果有效所需的监视、测量、分析和评价方法包括:
识别和得到了外来的标准,制定了检验文件,通过实施进货验证、过程检验、成品检验等证实产品的符合性;通过内审、管理评审等证实体系的符合性、适宜性、充分性、有效性:
通过顾客满意率调査、用户质量反馈等证实管理体系绩效、顾客满意;
3)通过纠正、纠正措施、预防措施、改进计划、简单的统计分析保持管理体系持续改进的有效性,并确定了质量目标/过程绩效指标及监视和测量方法,考核频次。
公司在管理手册中对监视、测量、分析和改进过程进行了策划,对确保管理体系的适宜性、产品质量的符合性及应用数据分析等方式来实现对管理体系的改进和提高进行了策划,并在实际工作中通过日常的监视和测量对发现的问题及时进行分析、解决,并建立了相应的信息流过程,就有关质量、环境、职业健康安全绩效进行内部和外部信息交流
符合
受审核部门:
管理层
审核准则:
ISO/IEC20000-1:
2018,体系文件、适用法律法规
审核日期:
2020.7.2
审核员:
审核条款
检査内容
检査结果
9.2内部审核
1)公司是否定期进行内部审核?
2)内部审核的频次和结果是否满足部门体系运行要求?
公司是否定期进行内部审核?
内部审核的频次和结果是否满足部门体系运行要求?
内部审核是否得到了有效的实施和保持?
符合
9.3管理评审
公司是否定期召开管理评审?
并在管理评审中确定体系的运行是否适宜、充分和有效,并与组织的战略方向一致?
管理评审输入资料是否满足要求?
是否包括以为管理评审采取措施的情况?
环境目标的实现程度?
组织环境绩效方ifii的信息?
资源的充分性?
来自相关方的有关信息交流?
应对风险和机遇采取的措施是否有效?
有无改进的机会?
管理评审输出资料是否满足要求?
并保留形成文件的信息?
体系改进有关的信息?
环境目标为实现时需要采取的措施?
改进管理体系与其他业务过程融合的机遇?
任何与组织战略方向相关的结论?
符合
10.1不符合及纠正措施
1)是否建立和实施改进、纠正措施的要求?
是否保存管理体系改进与创新记录?
2)是否调査分析了不合格的原因(包括顾客报怨)在内),并起到防止不合格再发生的目的
3)是否针对原因提出措施并实施和记录结果?
4)纠正措施的实施是否验证其效果,并作出评价?
重大的纠正措施是否成为管理评审的输入?
符合
10.2持续改进
公司是否通过多种途径,持续改进ITSMS的有效性持,包括:
1)使用信息技术服务方针:
2)使用安全目标:
3)使用审核结果:
4)使用监视事件的分析:
5)使用纠正措施与预防措施;
6)使用管理评审。
符合
受审核部门:
行政部
审核准则:
ISOZIEC20000-1:
2018,体系文件、适用法律法规
审核日期:
2020.7.2
审核员;
审核条款
检査内容
检查结果
5.3组织的角色、责任和权限
公司内各职位职责是否明确?
权限分派、沟通和埋解是否适宜?
各职责间关系是否明确?
是否有颁布令和授权令?
符合
6.1应对风险和机会的措施
公司是否有明确可能所需要应对的风险和机遇?
为确定需要应对的风险和机遇:
1、公司在策划IT服务管理体系时,是否考虑内部和外部因素?
2.公司在策划IT服务管理体系时,是否有理解相关方需求?
公司是否有策划应对风险和机遇的措施?
这些措施可能是产品及服务的检査、监视和测量、校准、产品及过程没计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方而。
2.应对风险和机遇的措施是否得到实施和评价措施的有效性?
符合
7.1资源
1、公司是否有对为满足管理体系要求的人力资源、材料、能力、信息"设施等进行评估?
2、公司是否识别各种现有制约,即为减少不良影响或达成目标需要什么,以及需要什么措施?
7.2能力
1)是否对从事影响体系活动的部门、层次、尚位人员进行了识别,对各类人员所需的教育、培训、技能和经验提出了要求?
2)针对需求是否提出了培训计划(包括特殊【:
种、匸作人员)或釆取其他措施并组织实施?
3)通过何种方式宣传/培训确保员工意识到所从事活动的相关性和重要性,并为实现质量目标做出贡献?
4)是否适当地保存了教育、培训、技能、经验的记录?
5)看培训需求是否合理?
是否按计划实施?
通过査相关记衆验证计划完成情况,抽查相关培训和评价记录。
受审核部门:
行政部
审核准则:
ISO/IEC200004:
2018,体系文件、适用法律法规
审核日期:
2020.7.2
审核员:
审核条款
椅查内容
检査结果
7.3意识
1、公司员工及各相关方是否知晓公司信息技术服务方针、信息技术服务目标
2、公司员工及各相关方是否明确“可接受"产品和“不合格''产品和服务的知识和理解。
以及当产品和服务不满足规范时.该如何去做。
3、公司是否信息技术服务体系有相关沟通过程"现场观察员工是否知晓管理体系方针和目标?
员工是否知晓其对管理体系的页献?
员工是否知晓不符合管理体系要求的后果?
符合
7.4沟通
最高管理者应确保在组织内建立适当的沟通过程,并确保对体系的冇效性进行沟通。
佇职能层次间的沟通是如何开展的?
对信息沟通的职责和方法以及对重大事件、问题的沟通是如何开展的?
2)是否使用了恰当的沟通形式?
开展的情况,信息是否被有效的利用?
3)沟通的内容是否能促进蛆织质量活动协调和体系过程及其冇效性?
如何策划内外部沟通的过程?
有哪些记录来证明?
外部信息交流的内容?
正而的?
负而的(如投诉)?
是否及时给出清晰回复?
是否涉及绩效的改进?
符合
7.5形成文件的信息
公司是否按标准要求和按公司情况形成质量管理体系文件信息?
并保持和保留这些文件信息?
如何进行文件的分发、存储、更新、保留和处置等?
如何识别外部文件,文件是如何保管的?
文件是否有标识和说明?
文件都有哪些形式?
是否经过评审和批准?
记录控制程序是否完整,是否有可操作性?
程序文件是否为有效版本?
记录控制程序是否对记录的标说、收集、编目、归档、保存、维护、査阅、处置.管理做出了规定?
M录控制情况如何?
记录的形成与质虽活动是否同步进行?
与本组织的记录有哪些?
与受审核部门有关记录有哪些?
是否有保存期的规定?
记录是否按档案管理规范的要求处理和管理?
符合
受审核部门:
行政部
审核准则:
ISO/IEC20000-1:
2018,体系文件、适用法律法规审核日期:
2020.7.2
审核员:
审核条款
检查内容
检査结果
8.2.5资产管理
1、组织在体系策划和为实现产品/服务过程策划中是否确定和提供并维护为实现产品符合性所需的基础设施?
2、基础设施包括建筑物、匸作场所和相关设施、过程设备(硬件和软件)等是否进行r适当的维护?
并能保持实现产品的符合性?
3、支持性服务如运输或通讯等是否能确定和提供?
符合
受审核部门:
技术部
审核准则:
ISO/IEC200004:
2018,体系文件、适用法律法规
审核日期:
2020.7.2
审核员,
审核条款
检查内容
检査结果
5.3蛆织的角色、责任和权限
公司内各职位职责是否明确?
权限分派.沟通和理解是否适宜?
各职责间关系是否明确?
是否有颁布令和授权令?
符合
6.1应对风险和机会的措施
公司是否有明确可能所需要应对的风险和机遇?
为确定需要应对的风险和机遇:
1、公司在策划IT服务管理体系时,是否考虑内部和外部因素?
2、公司在策划IT服务皆理体系时.是否有理解相关方需求?
公司是否有策划应对风险和机遇的措施?
这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面.
2.应对风险和机遇的措施是否得到实施和评价措施的有效性?
符合
8.1运行策划和控制
公词冇哪些运行控制?
冇无明确运行准则?
对变更的控制?
异常情况的评审?
产品设计开发的输出的有关信息中是否包括生产周期每--阶段的信息技术服务要求?
采购过程的控制?
对外部供方的控制的类型与程度?
运输、交付、使用、最终处置等?
符合
8.2.1服务交付
1、是否有针对此次产品或服务的实施进行合格性评价?
2、是否实施与产品和服务相关的服务?
3、是否满足顾客要求?
4、是否收集顾客反馈记录?
符合
8.2.2策划服务
是否对服务管理进行策划,并明确定义了:
a.信息技术中心的服务管理范围
b.服务管理的目标的和需求
C.将要执行的流程
d.管理角色和职责框架,包括髙级负责人、流程负责人和供应商管理
e.服务管理流程之间的接口,流程活动协调的方式
f.识别、评估、管理阻碍达成既定目标的问题、风险的方法
g.为建立、调整服务的项目定义接口的方法
符合
受审核部门:
技术部
审核准则:
ISO/IEC20000-1:
2018,体系文件、适用法律法規
审核日期:
2020.7.2
审核员:
审核条款
检查内容
检査结果
8.2.2策划服务
h.达成即定目标所需要的资源、设备和预算
i.支持流程的合适工具
j.如何对服务质量进行管理、审核和改进
2,是否有清晰的管理方向和成文定义的检査、签署、沟通、实施、维护服务管理计划的职责
3.任何具体的流程计划是否与服务管理计划一致
符合
8.2.4服务目录管理
公司是否创建和维护一个或多个服务目录。
服务目录是否包括公司、客户、用户和其它相关方的信息,描述服务、预期的结果和服务间的依赖关系•
公司是否为客户、用户和其它相关方提供服务目录适当的部分的访问的渠道。
符合
8.2.6配置管理
1.是否综合地计划变更和配置管理
2.是否定义了配置管理与财务管理流程的接口
3.是否明确定义了哪些项目应被作为配置项进行记录和管理?
4.是否明确定义了每个配置项应该记录什么信息
5.每个配置项该记录的信息中是否包括了:
a.配置项关系、b.进行有效管理所需的相关文档
6.配置管理是否提供相应机制对所冇可标识的服务和基础设施组件的版本进行:
设别、控制、跟踪?
符合
8.3.3服务级别管理
1.是否存在相应流程或机制保证服务提供的范围、服务级别目标、工作量特性都经过相关方面同意并且记录
4.服务级别协议、支持服务的协议、供应商合同和相关步骤是否都经相关方面协商同意并记录
5.是否冇相应流程或机制保证服务级别协议的变更均由变更管理流程控制
6.是否存在相应流程或机制,保证服务级别协议定期由相关方而检查以确保及时更新和持续冇效
符合
受审核部门:
技术部
审核准则:
ISO/IEC20000-1:
2018,体系文件、适用法律法規
审核日期:
2020.7.2
审核员:
审核条款
检查内容
检査结果
8.4.3容量管理
公司是否确定、文件化和维护人力、技术、信忌和财务资源的容量要求,并考虑服务和绩效要求。
客户服务中心是否进行容量规划,包括:
基于服务需求的当前和预测的容量;
服务可用性和服务连续性对达成一致的服务级别目标中容量的预期影响:
服务容量变化的时间尺度和阈值。
公司是否提供足够的容量来満足达成一致的容量和績效要求。
客户服务中心是否监控容垃使用情况,分析容虽和性能数据,并确定改进绩效的机会。
符合
8.5.1变更管理
1.服务和基础设施变更的范围是否清晰地定义成文
2.是否存在相应流程或步骤对所有的变更请求进行:
记录、分类
4.变更管理流程是否包括恢复或者弥补不成功变更的方法
5.变更管理流程中是否冇相应步驟或要求来评估变更对连续性计划和可■用性计划的影响
符合
8.5.2服务设计与转换
发布和分发的过程的设计、实施是否确保了硬件和软件在安装、交付、打包、交付时的正确性
公司是否识别了设计和转化新的或变更的服务流程、服务交付流程、信息安全流程、关系流程、解决流程、控制流程
符合
8.5.3发布与部署管理
公司是否定义发布的类型,包括紧急发布,发布频率及如何管理?
公司是否对新的或变更的服务和服务蛆件部署到运行环境中进行规划?
规划是否剖包括毎个版本的部署日期,可交付成果和部署方法。
发布应根据文件化的验收标准进行验证,并在部署前获得批准。
如果不符合验收标准,组织和相关方应对必要的行动和部署做出决定.
符合
受审核部门:
技术部
审核准则:
ISO/IEC20000-1:
2018,体系文件、适用法律法规
审核H期:
2020.7.2
审核员:
审核条款
检查内容
检査结果
8.6.1事件管理
公司是否确立标准以重大事件?
重大事件是否依据文件程序进行分类和管理?
重大事件的伯息是否通知最高管理者?
重大事件是否分配责任人?
事件解决后,重大事件是否予以汇报和评审,以识别改进机会?
符合
8.6.2服务请求管理
服务请求的记录是否根据采取的措施及时更新?
履行服务请求的指南是否对履行服务请求的人员可用?
符合
8.6.3问题管理
问题记录是否根据所采取的行动及时更新?
解决1'可题所需的变更是否根据变更管理方针进行管理?
公司是否识别减少或消除问题对服务影响的措施?
是否记录已知错误?
是否为其他服务管理活动提供冇关已知错误和问题解决方案的最新信息?
是否按计划的时间间隔,监测、评审和报告问题解决的有效性?
符合
8.7.1服务可用性管理
是否按计划的时间间隔,评估服务可用性的风险,井形成文件?
公司是否确定服务可用性要求和目标?
达成一致的要求是否考虑相关的业务要求,服务要求,SLA和风险?
服务可用性要求和目标是否形成文件并维护?
是否监控服务可用性.记录结果并与目标进行比较?
是否对计划外的不可用进行调査并采取必要的措施
符合
受审核部门:
技术部
审核准则:
ISO/IEC20000-1:
2018,体系文件、适用法律法规审核日期:
2020.7.2
审核员:
审核条款
检查内容
检査结果
8.7.2服务连续性管理
是否技计划的时间间隔,评估和记录服务连续性的风险?
公司是否确定服务连续性要求?
达成一致的要求是否考虑相关的业务要求、服务要求、SLA和风险?
公司是否创建、实施和维护一个或多个服务连续性计划?
是否确保能够访问服务连续性计划和联系人列表?
是否按计划的时间间隔,按照服务连续性要求对服务连续性计划进行测试?
服务连续性计划是否在服务环境发生重大变化后重新测试?
是否记录测试结果?
是否在每次测试后和服务连续性il•划调用后进行审核?
如果发现不足,公司是否采取必要的措施?
公司是否任启动服务连续性计划时报告原因、影响和恢复情况?
符合
8.7.3信息安全管理
服务管理体系和服务的信息安全风险是否按策划的时间冋隔进行评价并形成文件?
信息安全控制措施是否确认、实施和运行,以支持信息安全方针并姓置己识别的信息安全风险?
信息安全控制措施的决策是否保留成文信息?
公司是否批准并实施信息安全控制措施以是否对与外部蛆织冇关的信息安全风险?
公司是否监控和评审信息安全控制措施的有效性,并采取必要的措施?
符合
9.4服务报告
1.服务报告是否对以下方面有清晰的定义:
a,标识b.口的c.受众d.详细数据来源?
2.服务报告是否包括以下内容:
a.相对服务级别冃标而言的服务绩效b,不合规的内容和事件,如述反服务级别协议或安全规范C.工作量特征,比如流量和资源利用的情况d.趋势信息d.满意度分析d.重大事件发生后的绩效报告,如重大突发事件、重大变更
3.管理决策和更正活动是否考虑了服务报吿中的发现
4.管理决策和更正活动是否与相关方而沟通
符合
受审核部门:
业务部
审核准则:
ISO/IEC200004:
2018,体系文件、适用法律法规
审核日期:
2020.7.2
审核员,
审核条款
检查内容
检査结果
5.3蛆织的角色、责任和权限
公司内各职位职责是否明确?
权限分派.沟通和理解是否适宜?
各职责间关系是否明确?
是否有颁布令和授权令?
符合
6.1应对风险和机会的措施
公司是否有明确可能所需要应对的风险和机遇?
为确定需要应对的风险和机遇:
1、公司在策划IT服务管理体系时,是否考虑内部和外部因素?
2、公司在策划IT服务皆理体系时.是否有理解相关方需求?
公司是否有策划应对风险和机遇的措施?
这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面.
2.应对风险和机遇
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO01 检查表