ISO20000信息技術服務管理體系內部審核檢查表

1、信息技術 服務管理體系內部審核檢查表（ISO/IEC 20000-1:2018）編號：條款審核要點審核記錄審核結論4.1理解組織及其環(huán)境1.組織是否確定與其宗旨和戰(zhàn)略相關并且影響其實現(xiàn)服務管理體系預期結果能力的外部和內部因素？4.2理解相關方的需求和期望1.組織是否確定服務管理體系及服務的相關方？2.組織是否確定相關方要求？4.3 確定服務管理體系范圍1.組織是否確定服務管理體系的邊界及其適用性，以建立其范圍？2.服務管理體系的范圍定義是否包括范圍內的服務以及管理和交付服務的組織名稱？3.服務管理體系的范圍是否保留成文信息，可獲得并得到保持？4.4 服務管理體系1.組織是否按照本標準的要求，建

2、立、實現(xiàn)、維護和持續(xù)改進服務管理體系，包括其所需要過程及其相互作用？5.1 領導和承諾1.最高管理層應通過哪些方式證實其對服務管理體系的領導作用和承諾？5.2.1 制定服務管理方針1.最高管理層是否制定了服務管理方針？2.服務管理方針是否適應組織的宗旨和環(huán)境并支持其戰(zhàn)略方向？3.服務管理方針是否為建立服務管理目標提供框架？4.服務管理方針是否包括對滿足適用的服務管理相關要求的承諾？5.服務管理方針是否包括對持續(xù)改進服務管理體系及服務的承諾？5.2.2 溝通服務管理方針1.服務管理方針是否可獲取并保持成文信息？2.服務管理方針是否在組織內得到溝通？3.服務管理方針，適用時，是否可為相關方獲??？5

3、.3 組織的角色，責任和權限1.最高管理層是否確保與服務管理體系及服務相關崗位的責任和權限得到分配和溝通？2.最高管理層是否分配責任和權限？6.1應對風險和機遇的措施1.當策劃服務管理體系時，組織是否考慮到內外部因素和相關方要求，并確定需要應對的風險和機遇？2.組織是否確定有關的風險；風險對客戶的影響和服務管理體系及服務的機遇；風險接受標準；風險管理的方法？是否形成文件？3.組織是否策劃應對風險和機遇的措施及優(yōu)先級？策劃如何將這些措施整合到服務管理體系過程中，并予以實現(xiàn)？策劃如何評價這些措施的有效性？6.2.1 制定目標1.組織是否在相關職能和層級上制定服務管理目標？2.服務管理目標是否與服務

4、管理方針保持一致？3.服務管理目標是否可測量？4.服務管理目標是否考慮適用的要求？5.服務管理目標是否予以監(jiān)視？6.服務管理目標是否予以溝通？7.服務管理目標是否適當時更新？8.組織是否保留有關服務管理目標的成文信息？6.2.2 策劃實現(xiàn)目標1.在策劃如實現(xiàn)服務管理目標時，組織是否確定要做什么？需要什么資源？由誰負責？什么時候完成？如何評價結果？6.3 策劃服務管理體系1.組織是否制定、實施和維護服務管理計劃？2.計劃是否考慮到服務管理方針，服務管理目標，風險與機遇，服務要求和本標準的要求？3.服務管理計劃是否包含或引用以下內容：a) 服務清單b) 影響服務管理體系和服務的已知限制；c) 有關

5、的方針，標準和法律法規(guī)要求、合同的義務；d) 服務管理體系和服務的權限、職責；e) 運行服務管理體系和服務所需要的人員、技術、信息和財務資源；f) 服務生命周期中和相關方采取的工作方法；g) 支持服務管理體系的技術h) 如何測量、審核、報告和改進服務管理體系和服務的有效性。4.其它的計劃是否與服務管理計劃相一致？7.1 資源1.組織是否確定并提供建立、實現(xiàn)、維護和持續(xù)改進服務管理體系和運行服務所需的人員、技術、信息和財務資源，以滿足服務要求和實現(xiàn)服務管理目標。7.2能力1.組織是否確定在組織控制下工作人員所需要的能力，這些人員從事的工作會影響績效和服務管理體系及服務的有效性？2.組織是否基于適

6、當?shù)慕逃?、培訓或經驗，確保這些人員是勝任的？3.適用時，是否采取措施以獲得所需的能力，并評價措施的有效性？4.組織是否保留適當?shù)某晌男畔?，作為人員能力的證據(jù)？7.3 意識1.組織是否確保在其控制下的工作人員知曉服務管理方針；服務管理目標；與工作有關的服務；其對服務管理體系有效性的貢獻，包括改進績效帶來的益處；不符合服務管理體系要求帶來的后果？7.4 溝通1.組織是否確定與服務管理體系和其范圍內的服務相關的內部和外部的溝通？包括：溝通什么？何時溝通？與誰溝通？如何溝通？誰負責溝通？7.5.1成文信息總則1.組織的服務管理體系是否包括本標準所要求的成文信息？2.組織的服務管理體系是否包括組織所確定

7、的、為確保服務管理體系的有效性必要的成文信息？7.5.2 成文信息創(chuàng)建和更新1.創(chuàng)建和更新成文信息時，組織是否確保適當?shù)臉俗R和描述？2.創(chuàng)建和更新成文信息時，組織是否確保適當?shù)母袷剑?.創(chuàng)建和更新成文信息時，組織是否確保適當?shù)脑u審和批準，以保持適宜性和充分性？7.5.3成文信息的控制1.服務管理體系及本標準所要求的成文信息是否得到控制？2.為控制成文信息，適用時，組織是否進行下列活動？a) 分發(fā)，訪問，檢索和使用；b) 存儲和保護，包括保持可讀性；c) 變更控制（例如版本控制）；d) 保留和處置。3.對于組織確定的策劃和運行服務管理體系所必需的來自外部的成文信息，是否得到適當?shù)淖R別，并予以控制

8、？7.5.4 服務管理系統(tǒng)成文信息1.服務管理體系的成文信息是否包括：a) 服務管理體系范圍；b) 服務管理的方針和目標；c) 服務管理計劃；d) 變更管理方針、信息安全方針和服務連續(xù)性計劃（一個或多個） ；e) 服務管理體系的過程；f) 服務要求；g) 服務目錄；h) 服務級別協(xié)議（SLA） ；i) 與外部供應商的合同；j) 與內部供應商和充當供應商的客戶的協(xié)議；k) 本標準要求的程序；l) 證明符合本標準和服務管理體系要求的記錄。7.6 知識1.組織是否確定和保持必要的知識，以運行服務管體系和服務？8.1 運行策劃和控制1.組織是否策劃、實現(xiàn)和控制滿足要求所需要的過程？2.組織是否控制策劃

9、的變更并評審非預期變更的后果，必要時，采取措施減輕不利影響？3.組織是否確保外包過程受控8.2.1服務交付1.組織是否運行服務管理體系，確保協(xié)作活動和資源。2.組織是否執(zhí)行交付服務所需要的活動。8.2.2策劃服務1.已存在服務、新服務、服務變更的要求是否確認和保留成文信息。2.組織是否基于組織、客戶、用戶和相關方的需求確認服務的關鍵性。3.組織是否確認和管理服務間的依賴關系和復制關系。4.考慮已知限制和風險，組織是否提議服務變更，以便服務與服務管理方針、服務管理目標和服務要求保持一致。5.考慮可用資源，組織應對服務變更進行優(yōu)先排序和提議新服務、服務變更，以便服務管理目標和業(yè)務目標保持一致。8.

10、2.3控制服務生命周期的相關方1.無論任何相關方涉及到在支持服務生命周期中執(zhí)行活動，組織是否對本標準的要求和交付的服務負責。2.組織是否確認和應用本標準評估和選擇服務生命周期中的其它相關方。3.組織是否確認和成文化下列內容？a) 其它相關方提供和運行的服務；b) 其它相關方提供和運行的服務組件；c) 其它相關方運行的服務管理體系范圍內的流程或部分流程。4.組織是否集成組織自身或其它相關方提供和運行的服務管理體系范圍內的服務、服務組件和流程？5.組織是否進行協(xié)調包括服務生命周期中，策劃、設計、轉換、交付和改進活動的其它相關方。6.組織是否對其它相關方定義和應用下列控制措施？a) 測量和評估過程績

11、效；b) 測量和評估服務、服務組件滿足服務要求的有效性。8.2.4 服務目錄管理1.組織是否創(chuàng)建和維護一個或多個服務目錄。2.服務目錄是否包括描述服務的組織、客戶、用戶和其它相關方的信息、它們預期的結果和服務間依賴關系。3.組織是否對客戶、用戶和其它相關方提供合適的訪問（部分）服務目錄的渠道。8.2.5 資產管理1.組織是否確保管理用于交付服務的資產以滿足服務要求和合同義務？8.2.6 配置管理1.配置項的類型是否定義？服務是否分類為配置項？2.配置信息是否記錄到適合服務關鍵性和類型的詳細程度？訪問配置信息是否受控？3.每個配置項的配置信息是否包括？a) 唯一性標識；b) 配置項類型；c) 配

12、置項描述；d) 與其它配置項的關系；e) 狀態(tài)。4.配置項是否受控？配置項的變更是否可追溯和可審計，以維護配置信息的完整性？配置項的變更發(fā)布后，配置項是否更新？5.適用時，配置信息是否對其它服務管理活動可用？8.3.1 關系與協(xié)議總則1.組織是否使用供應商提供和運行服務？2.組織是否使用供應商提供和運行服務組件？3.組織是否使用供應商運行服務管理體系范圍內的流程或部分流程？8.3.2 業(yè)務關系管理1.服務的客戶，用戶和相關方是否予以識別，并保留成文信息？2.組織是否指定一個或多個專人負責管理客戶關系和維護客戶滿意度？3.組織是否與確定客戶和相關方溝通的安排？溝通是否促進對不斷進化的服務運行的業(yè)

13、務環(huán)境的理解，是否使組織能夠響應新的或變更的服務的要求？4.組織是否與客戶按策劃的時間間隔評審審服務績效趨勢和結果？5.組織是否按照策劃的時間間隔，基于對服務的客戶進行抽樣，調查客戶滿意度？是否對結果進行分析和評審以識別改進機會？6.服務投訴是否予以記錄、管理直至關閉和報告。當服務投訴通過正常渠道得不到解決，是否升級處理？8.3.3 服務級別管理1.組織是否與客戶約定交付的服務？2.對于所交付的每項服務，組織是否基于服務要求與客戶協(xié)商確定一個或多個服務級別協(xié)議（SLAs）？服務級別協(xié)議是否包括服務級別目標，工作量和例外情況？3.組織是否按照策劃的時間間隔監(jiān)控、評審和匯報：a) 服務級別目標的績

14、效；b) 與服務級別目標的工作量比較，實際和周期性的工作量的變更。4.服務級別目標未滿足時，組織是否識別改進機會？8.3.4.1 管理外部供應商1.組織是否指定一個或多個專人負責管理與外部供應商的關系、合同和績效？2.組織和外部供應商是否協(xié)商形成成文的合同？3.合同中是否包含或引用以下內容？a) 外部供應商提供或者運行的服務范圍、服務組件、流程或部分流程；b) 外部供應商需要滿足的要求；c) 服務等級目標或其它合同義務；d) 組織與外部供應商的職責與權限。4.組織是否評估外部供應商的服務等級目標或者其它合同義務與客戶的服務等級目標保持一致，和管理已識別的風險。5.組織是否按照策劃的時間間隔監(jiān)視

15、外部供應商的績效？服務等級目標和其他合同義務未滿足的場合，組織是否確保識別改進機會？6.組織是否按照策劃的時間間隔依據(jù)當前的服務要求評審合同？變更授權前，合同的變更對服務管理體系和服務的影響是否予以評估？7.組織和外部供應商的爭議是否予以記錄、管理直至關閉？8.3.4.2 管理內部供應商和充當供應商的客戶1.對于每一個內部供應商和充當供應商的客戶，組織是否開發(fā)、協(xié)商和維護成文的協(xié)議，以定義服務等級目標，其它承諾，活動和相互間的接口？2.組織是否按照策劃的時間間隔監(jiān)視內部供應商和充當供應商的客戶的績效。服務等級目標和其它約定的承諾未滿足的場合，組織是否確保識別改進機會。8.4.1 服務預算與核算

16、1.組織是否在保持與財務管理方針和流程一致的情況下進行服務或一組服務的預算和核算？2.是否對服務成本進行預算，使提供的服務能有效地進行財務控制和決策？3.按照策劃的時間間隔，組織是否依據(jù)預算來監(jiān)視和報告實際成本，審核財務預測并管理成本？8.4.2 需求管理1.按照策劃的時間間隔，組織是否：a) 確定服務當前需求和預測未來需求；b) 監(jiān)視和評審需求與服務使用情況。8.4.3 能力管理1.考慮服務和性能要求，人員、技術、信息和財務資源的能力要求是否予以確定、保留成文信息和維護？2.組織是否對能力進行策劃？包括：a) 基于服務需求，當前和預測的能力；b) 對約定的服務等級目標、服務可用性、服務連續(xù)性

17、要求的預期影響；c) 能力變更的時間跨度和閥值。3.組織是否提供充分的容量滿足商定的容量和性能要求？組織是否監(jiān)視能力的使用、分析能力和性能數(shù)據(jù)和識別改進機會？8.5.1.1 變更管理方針1.變更管理方針是否予以制定和保留成文信息？8.5.1.2 變更管理啟動1.變更請求，包括增加、移除或轉移服務，是否予以記錄和分類？2組織是否在下列情況使用服務設計和轉換流程：a) 由變更管理方針確定的，對客戶或其它服務有潛在重大影響的新服務；b) 由變更管理方針確定的，對客戶或其它服務有潛在重大影響的服務變更；c) 依據(jù)變更管理方針，通過服務設計和轉換管理的變更類別；d) 移除服務；e) 轉移已存在的服務至客

18、戶或其它方；f) 從客戶或其它方轉移已存在的服務至組織；8.5.1.3 變更管理活動1.組織和相關方是否就變更請求的授權和優(yōu)先級做出決策。決策是否考慮風險、業(yè)務收益、可行性和財務影響。2.決策是否考慮變更的潛在影響？3.授權的變更是否予以準備、確認，可行的情況下，進行測試？授權變更的建議發(fā)布日期和其它細節(jié)是否和相關方溝通？4.回退或補救不成功變更的活動是否予以策劃，可行的情況下，進行測試？不成功的變更是否予以調查和采取約定的措施？5.組織是否評審變更的有效性，與相關方采取約定的措施。6.是否按照策劃的時間間隔分析變更請求記錄以識別趨勢？分析所得的結果和結論是否予以記錄和評審以識別改進機會？8.

19、5.2.1 策劃新的或變更的服務1.策劃是否使用條款8.2.2確定的新的或者變更的服務的要求？是否包括或引用下列內容：a) 設計、構建和轉換活動的權限和職責；b) 組織以及其他相關方擬執(zhí)行的活動， 包括時間跨度；c) 人員、技術、信息和財務資源；d) 與其它服務的依賴關系；e) 新的服務或變更的服務需要的測試；f) 服務驗收標準；g) 以可測量的術語表述的交付新的或變更的服務的預期結果。h) 對服務管理體系、其它服務、計劃的變更、客戶、用戶和其它相關方的影響。2.針對將要被移除的服務，組織是否進行服務移除的策劃？策劃額外是否包括移除歸檔、數(shù)據(jù)的廢棄與轉移、文檔信息以及服務組件？3.受新的或變更

20、的服務影響的配置項是否通過配置管理控制？8.5.2.2 設計1.新的或者變更的服務是否予以設計和保留成文信息以滿足條款8.2.2確定的服務要求？設計是否包括下列內容：a) 交付新的或變更的服務時的各方權限和職責；b) 對人員、技術、信息和財務資源變更的要求；c) 對適當?shù)慕逃⑴嘤柡徒涷灥囊?；d) 支持服務的新的或變更的服務等級協(xié)議、合同和其他形成文件的協(xié)議；e) 變更對服務管理體系的影響，包括新的或變更的方針、計劃、過程、程序、測量或知識；f) 對其它服務的影響；g) 更新服務目錄（一個或多個） 。8.5.2.3 構建與轉換1.新的或變更的服務是否被構建和測試，以驗證其能否滿足服務要求，設

21、計文件的要求，以及約定的驗收標準？如果不符合服務驗收標準，組織和相關方是否就必要的措施和部署進行決策？2.發(fā)布和部署管理是否被用于部署已批準的新的或變更的服務到實際運行環(huán)境中？3.轉換活動完成后，組織是否向相關方報告所實現(xiàn)的結果，并與預期結果進行對比。8.5.3發(fā)布與部署管理1.組織是否定義發(fā)布類型，包括緊急發(fā)布，發(fā)布頻率和如何管理？2.組織是否與對新的或變更的服務和服務組件部署到實際運行環(huán)境進行策劃？策劃是否與變更管理過程協(xié)調一致，并包含對相關的變更請求、已知錯誤和通過該發(fā)布所關閉問題的引用？策劃是否包括每個發(fā)布的部署日期、交付物和部署方法？3.組織是否依據(jù)成文的驗收準則對發(fā)布進行驗證，并在

22、部署前被授權？如果未能滿足驗收準則，組織和相關方是否就采取必要的措施和部署進行決策？4.發(fā)布部署到實際運行環(huán)境前，是否建立受影響的配置項的基線？5.發(fā)布是否部署到實際運行環(huán)境中，以使服務和服務組件的完整性得到保持？6.是否監(jiān)視和分析發(fā)布的成功或失??？測量內容是否包括發(fā)布在部署之后至隨后的發(fā)布間的的事件？分析的結果和結論是否予以記錄和評審以識別改進機會？7.適用時，發(fā)布成功或者失敗、未來發(fā)布日期的信息是否對其它服務管理活動可用？8.6.1 事件管理1.事件是否：a) 記錄和分類；b) 考慮影響和緊急性，進行優(yōu)先排序；c) 需要時升級；d) 解決；e) 關閉。2.事件記錄是否根據(jù)采取的措施進行更新

23、？3.組織是否確定識別重大事件的標準？重大事件依據(jù)成文的程序進行分類和管理?重大事件的信息是否通知最高管理者?組織是否分配管理重大事件的責任人?事件解決后，重大事件是否予以匯報和評審，以識別改進機會?8.6.2 服務請求管理1服務請求是否：a) 記錄和分類；b) 優(yōu)先排序；c) 完成；d) 關閉。2.服務請求是否根據(jù)采取的措施進行更新？3.服務請求完成的指南是否對服務請求完成的有關人員可用？8.6.3 問題管理1.組織是否分析事件數(shù)據(jù)和趨勢，以識別問題？組織是否進行根本原因分析和確定潛在的措施，以阻止事件的出現(xiàn)或者再現(xiàn)？2.問題是否：a) 記錄和分類；b) 優(yōu)先排序；c) 需要時升級；d) 可

24、能時進行解決；e) 關閉。3.問題記錄是否根據(jù)采取的措施進行更新？問題解決的變更是否依據(jù)變更管理方針進行管理？4.根本原因已經識別，但問題沒有永久解決時，組織是否確認降低和消除問題對服務影響的措施？已知錯誤是否予以記錄？適用時，已知錯誤的最新信息和問題解決方案是否對其它服務管理活動可用？5.按照策劃的時間間隔，問題解決方案的有效性是否予以監(jiān)視、評審和報告？8.7.1 服務可用性管理1.按策劃的時間間隔，與服務可用性有關的風險是否予以評估和保留成文信息？組織是否確定服務可用性要求和目標？協(xié)定的要求是否考慮了相關的業(yè)務要求、服務要求、SLA和風險？2.服務可用性的要求和目標是否保留成文信息并維護？

25、3.服務可用性是否予以監(jiān)控、記錄結果和與目標作比較？非計劃的不可用是否予以調查和采取必要的措施？8.7.2 服務連續(xù)性管理1.按策劃的時間間隔，與服務連續(xù)性有關的風險是否予以評估和保留成文信息？組織是否確定服務連續(xù)性要求？協(xié)定的要求是否考慮了相關的業(yè)務要求、服務要求、SLA和風險？2.組織是否建立、實施和維護一個或者多個業(yè)務連續(xù)性計劃？3.業(yè)務連續(xù)性計劃是否包括或引用下列內容：a) 激活服務連續(xù)性計劃的標準和職責；b) 在重大服務中斷時實施的程序；c) 激活服務連續(xù)性計劃時的可用性目標；d) 服務恢復要求；e) 返回正常工作條件的程序；4.正常服務位置訪問被阻止時，服務連續(xù)性計劃和聯(lián)系人清單是

26、否有可訪問的渠道？5.按策劃的時間間隔，服務連續(xù)性計劃是否按照服務要求進行測試？服務環(huán)境有重大變更后，服務連續(xù)性計劃是否重新測試？測試的結果是否予以記錄？每次測試后和服務連續(xù)計劃激活后，發(fā)現(xiàn)有缺陷或不足時，組織是否采取必要的措施？6.服務連續(xù)性計劃已經激活時，組織是否報告原因，影響和恢復活動？8.7.3.1 信息安全策略1.合適授權的管理者是否同意組織的信息安全策略？信息安全策略應保留成文信息和考慮服務要求及合同義務？2.適用時，信息安全策略是否可用和可獲??？組織是否溝通符合信息安全策略的重要性和應用策略于服務管理體系和服務的下列人員？a) 組織；b) 客戶和用戶；c) 外部供應商、內部供應商

27、和其它相關方。8.7.3.2 信息安全控制措施1.按策劃的時間間隔，與服務管理體系和服務有關的信息安全風險是否予以評估和保留成文信息？信息安全控制措施是否確認、實施和運行，以支持信息安全策略和應對識別的信息安全風險？信息安全控制措施的決策是否保留成文信息？2.組織是否同意和實施信息安全控制措施以應對與外部組織有關的信息安全風險？3.組織是否監(jiān)控和評審信息安全控制措施的有效性，必要時，采取措施？8.7.3.3信息安全事件1.信息安全事件是否：a) 記錄和分類；b) 考慮信息安全風險，進行優(yōu)先排序；c) 需要時，升級；d) 解決；e) 關閉。2.組織是否基于類型、數(shù)量、對服務管理體系和相關方的影響

28、分析信息安全事件？信息安全事件是否報告和評審，以發(fā)現(xiàn)改進機會？9.1 監(jiān)視、測量、分析和評價1.組織是否確定服務管理體系和服務需要監(jiān)視和測量什么？2.組織是否確定需要用什么方法進行監(jiān)視、策略、分析和評價，以確保結果有效？3.組織是否確定何時實施監(jiān)視和測量？4.組織是否確定何時對監(jiān)視和測量結果進行分析和評價？5.組織是否保留適當?shù)某晌男畔?，以作為結果的證據(jù)？6.組織是否對服務管理目標評估服務管理管理體系的績效和有效性？組織是否對服務要求評估服務的有效性？9.2內部審核1.組織是否按策劃的時間間隔進行內部審核？2.組織是否策劃、建立、實現(xiàn)和維護審核方案（一個或多個）？3.審核方案是否包括審核頻次、

29、方法、責任、策劃要求和報告？4.審核方案是否考慮下列內容：1) 關注流程的重要性；2) 變更對組織的影響；3) 前一次審核的結果。5.組織是否規(guī)定每次審核的審核準則和范圍？6.組織是否選擇審核員并實施審核？7.組織是否確保將審核結果報告至相關管理層；8.是否保留成文信息作為實施審核方案以及審核結果的證據(jù)？9.3 管理評審1.最高管理層是否按策劃的時間間隔評審組織的服務管理體系和服務？2.管理評審輸入信息是否包括：a) 以往管理評審提出的措施的狀態(tài)；b) 與服務管理體系相關的外部和內部因素的變化；c) 有關信服務管理體系績效，包括以下方面的趨勢：1) 不符合和糾正措施；2) 監(jiān)視和測量結果；3) 審核結果；d) 持續(xù)改