XXX有限公司 ISO20000体系文件 ISO20000内部审核报告 文档信息 文档编号：ITSM-04-GP-0 文档名称： ISO20000内部审核报告 起草人： 审核人： 批准人： 生效日期： 发布范围： 版本记录 版本号 版本日期 修改 修改章节 修改记录 审核目的 为检查恒昌利通投资管理有限公司技术中心运维及IT服务部（以下简称“运维及IT服务部”）IT服务管理体系建设和运行的效果，审核IT服务管理体系与标准要求和体系文件要求的符合性、有效性，并确认是否具备向认证机构提交进行现场审核的条件。 审核范围 北京恒昌利通投资管理有限公司技术中心运维及IT服务部所涉对公司业务研发部提供之IT服务 审核时间 2017.4.5-2017.4. 上次审核时间 无 审核依据 ISO/IEC 20000-1:2011； 有关的法律法规及其他要求； 审核组成员 审核情况综述： 按照IT服务管理体系标准要求和公司体系建设总体策划安排，技术中心运维及IT服务部于2017年4月5-7日进行了IT服务管理体系的正式内部审核。 本次审核涉及到IT服务管理体系覆盖的各运维及IT服务团队，包括：IT服务台、网络组、云平台组、应用组、数据库组、信息安全组及管理者代表等。 本次审核是在公司即将进行的外审认证前的一次全面、系统的检查，也是对各团队按体系要求运行情况的一次符合性和有效性的审核。部门总经理非常重视，要求各团队认真对待，及早发现问题，及时整改。由于是第一次正式内审，为了提高审核的效果，避免问题遗漏，本次审核由各团队多名内审员参加，以便各内审员从不同视角充分发现问题。审核组本着公正、客观的原则，回避了各内审员对自己工作的审核，综合采用现场查看、人员访谈、调阅相关资料、进入服务管理平台查验等方式，使审核结果更具有客观性。但由于体系在不同团队中推进的时间和程度有差异，因落地方式正式迁移至线上时间稍短，所提供按标准运行的记录稍许分散和有限，使得本次内审的抽样有一定的局限性，但通过本次审核可以看出各团队对体系的要求具备了基本的实践，按标准要求建立了较系统的体系文件，尽管还有些需要继续完善，但基本覆盖IT服务台及网络、服务器、存储、数据库、应用软件、信息安全维护等IT基础架构和应用支持服务。审核中看到，体系运行尽管时间不长，但总体上，体系的框架基本建立，IT服务的方针、目标具备实现的手段，控制措施和流程设置基本合理，体系运行基本满足标准要求。 虽然体系建设取得了初步成果，但还是发现了一些问题。本次审核共开出了3个不符合项，2个观察项和1个建议项，并与相关团队负责人交换了意见。本次不符合项主要反映在6.1服务级别管理、9.2变更管理和8.1事件管理。这些问题在一定程度上反映出体系运行中对标准要求的理解和细节关注还不够，对体系的要求还需要进一步熟悉。 注： ? 严重不符合项 造成IT服务管理体系失效的不符合项，或违反国家、行业相关规定。 ? 一般不符合项 不满足标准要求的项目。 ? 观察项为 试运行阶段部分设计或人员调整导致不同文件中描述不统一或者同一文件前后不统一的项目。 ? 建议项 为基本符合要求，但适用性需要优化的项目，或未在标准中明确说明，但是基于运营优化所提出的建议。 在管理层汇报会上，部门领导非常重视，张总要求各部门针对不符合报告和审核发现的有关问题，举一反三，采取有效措施予以改进，责成各团队要尽快落实纠正，加强体系的推广应用，真正建立起高效、低成本、高质量的IT服务运作机制，尽快实现全线上平台管理，增强改善整体IT服务的规范性和效率。 审核中发现的主要问题分析及改进措施： 1）严重不符合 由于体系建立时间较短，优先梳理了服务提供方（运维及IT服务部）内部的管理流程并进行了落地实现的优化，体系对外的服务级别目标仍在讨论中，尚未产出文档化结果。不明确的服务需求目标，将导致服务交付设计和执行过程缺乏足够的依据，极大的影响了体系的有效性。需要尽快进行相关定义，以便对服务交付设计和执行进行改善和调优。 2）一般不符合 变更的策略（变更分类、审批路径、风险判定标准、日程安排等）进行了初步的设计，但与实际执行仍有较大差异，需要集体协商，尽快制定一套切实可行，兼顾效率和严谨性的变更策略方案。 3）一般不符合 事件（故障、错误或中断）管理缺乏升级策略规则，无法（特别是在发生重大事件时）有效的向管理层及专家/供应商进行事件的升级告知，以获取更充分的资源和更资深的能力，从而促进事件的有效解决。 4）观察项 服务连续性计划，如为了实现RPO、RTO所进行的备份恢复方案设计（备份/恢复机