ISO20000-1：2018程序文件-内部审核管理规定.pdf

《ISO20000-1：2018程序文件-内部审核管理规定.pdf》由会员分享，可在线阅读，更多相关《ISO20000-1：2018程序文件-内部审核管理规定.pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息技术服务管理体系内部审核管理规定文件编号： SA-020041.分发控制读者文档权限说明2.文件版本信息版本号修订变更描述日期审核批准V1.0 编写组全文3.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。目录1 总则. 12 职责与权限 . 13规定. 23.1内审准备 - 23.2内审首次会议 - 33.3现场审核实施 - 33.4内审末次会议 - 33.5编制内部审核报告 - 43.6跟踪验证 - 44 附则. 4第 1 页 共 4 页1 总则

2、1.1 目的本规定旨在为公司信息技术服务管理体系的内部审核（内审）提供依据。通过定期组织内部审核活动， 检查信息技术服务管理活动及其结果是否符合有关标准或文件制度要求，为体系的改进提供依据，确保管理体系持续有效地运行。1.2 范围本规定适用于公司信息技术服务管理体系内审活动的组织与管理。1.3 定义与缩写本规定采用 ISO20000:2005的定义和缩写，需补充说明的定义缩写为：内审：是指组织对信息技术服务管理体系运行情况进行的全面的、系统的检查和评价活动，包括检查信息技术服务策略、标准、规定及其他相关规章制度是否得到正确实施， 信息系统是否符合技术服务实施标准，信息技术服务和安全控制措施是否

3、得当等。详见信息技术服务管理体系术语定义 。2 职责与权限2.1 管理者代表：负责本制度的审批，任命审核组长；2.2 办公室 : 负责组织本管理规定的制定、解释和修订；负责按照本规定要求，负责编制年度内审计划，保存内审记录。；负责信息技术服务管理体系内部审核的协调和组织工作；确保参与审核工作的内审员应该与被审核方没有直接的报告关系，以保证审核的客观性和独立性；2.3 审核组组长职责策划内部信息技术服务管理体系审核，制订内审计划。2.4 内部审核员职责内审员负责编制内部审核检查表，实施分工范围内的审核工作。2.5 各部门 : 负责按本规定要求配合审核小组进行内审活动准备和实施内审活动；第 2 页

4、 共 4 页负责内审整改工作进展的跟踪和验证关闭等。3 规定3.1 内审准备3.1.1 内部审核计划制定a. 每年依据 ISO20000 标准，至少进行一次覆盖公司全范围的信息技术服务管理体系内审活动。b. 审核组长负责编制信息技术服务管理体系内审计划。c. 审核范围应覆盖 ISO20000 标准各项要求 , 既包括信息技术服务各个流程风险管理框架、体系自身运行框架，也包括适用性声明(SOA) 文件中覆盖的各个控制项；d. 信息技术服务体系度量活动应在内审活动前完成，以期通过内审活动检查度量指标的正确性。e. 在下列情况下，办公室可以提出申请，经管理者代表批准后，可追加进行内审活动：1. 某部

5、门的信息技术服务事件频发时；2. 有信息技术服务重大变更和重大信息安全事件发生时；3. 外部审核之前。3.1.2成立内部审核小组a. 管理者代表根据被审核部门特点及其工作性质，从公司内部审核员队伍中推选具有资格的合适人选担任内审小组组长，由内审小组组长负责本次审核的具体组织工作。b. 由内审小组组长从相关部门中选派具有内审员资格并且与被审核部门无直接干系者担任审核组成员，并根据内审计划适当地分工。3.1.3收集并审阅有关文件和记录a. 内审小组组长根据内部审核计划进行审核分工和时间安排。b. 应在审核前下发本次内部审核计划到受审核部门负责人，事先约定该次审核的所有被访谈的角色。c. 审核组成员

6、根据分工任务编制内部审核检查表。d. 内审小组依据内部审核计划，收集与被审核部门信息技术服务和安全管理活第 3 页 共 4 页动有关的文件和资料，并进行审阅。e. 审核员在做文件审核与现场审核时需做好记录。3.2 内审首次会议3.2.1 内审小组组长主持召开内审首次会议。首次会议出席人员还包括内审小组成员、受审核部门的负责人及陪同人员。3.2.2 由内审小组组长介绍本次审核的目的、依据、范围、方法、规定及日程安排等。3.2.3 内审小组组长指定专人负责参会人员的签到与会议纪要。3.3 现场审核实施3.3.2现场收集客观证据a. 内审员按照审核日程安排和内部审核检查表内容要求，到审核现场进行逐项

7、检查。b. 在检查过程中，审核员应做必要的文件查阅，检查现场，收集证据，检查信息技术服务管理体系的运行情况。c. 现场发现问题时应与该项工作的负责人员进行确认，以保证不符合项能够完全被理解，有利于后期采取正确的纠正措施。3.3.3确认不符合项a. 内部审核小组对内审中收集的客观证据进行充分讨论，确定符合项与不符合项；b. 当实际执行的客观证据不足以证明相关流程被执行时，审核员可据此开具不符合项；c. 内审小组依据问题可能造成的影响程度和范围，确定不符合项的性质（重大或轻微不符合项）。d. 确定不符合项时， 审核员应以 ISO20000 标准以及相关体系文件制度为依据，以运行记录和现场事实为证据

8、，保持客观公正。e.内审小组组长根据各内审员填写的内部审核检查表编写内部审核不符合报告。3.4 内审末次会议3.4.1 内审小组组长主持召开内审末次会议；第 4 页 共 4 页3.4.2 内审小组全体成员、 受审核部门负责人和陪同人员参与内部审核末次会议；3.4.3 内审小组组长说明内部审核的不符合项报告和分类，并按重要程度的次序宣读内部审核不符合报告；3.4.4 内审小组就各个不符合项回答受审核部门提出的问题，并对受审核部门应采取的纠正措施提出整改建议；3.4.5 受审核部门负责人对内部审核报告中的不符合项进行确认；3.4.6 内部审核小组长指定专人负责参会人员的签到与会议记录。3.5 编制

9、内部审核报告3.5.1 审核结束后，内审小组应编写内审报告，如实反映审核结果，报管理者代表审批、总经理签署意见。3.5.2 内部审核报告经批准后， 由内审小组组长将内审报告发放至相关受审部门。3.6 跟踪验证3.6.1 受审核部门接到内部审核不符合报告后，应及时分析原因，及时提出纠正措施以及完成期限，编写内审整改计划, 报部门负责人审批。3.6.2 部门负责人批准内审整改计划后，受审部门将整改计划报备办公室。3.6.3 受审核部门开始实施整改计划，并依据纠正预防措施控制管理规定跟踪纠正措施的执行情况。3.6.4 纠正措施预定日期已到或接到纠正措施已完成时，管理者代表应委派内审员到受审核方， 参与验证该纠正措施完成效果的验证评审。该内审员在完成纠正措施的有效性验证后，应在“纠正预防措施计划表”的“纠正和预防措施效果评审（验证）”栏中签字予以确认。4 附则4.1 各部门可根据本规定制定相应的实施细则。4.2 本规定由办公室负责组织制定、解释和修改。4.3 本规定自印发之日起实行。4.4 相关文件信息技术服务管理手册纠正预防控制管理规定信息技术服务管理体系术语定义