ISO20220-1：2022程序文件-内部审核管理规定.docxVIP

信息技术服务管理体系

内部审核管理规定

文件编号：SA-02004

1.分发控制

文

文档权限

读者

说明

2.文件版本信息

版本号修订变更描述日期审核批准

V1.0编写组全文

3.文件版本信息说明

文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0时，表示该版本文件为草案，仅可作为参照资料之目的。

目录

1总则 1

2职责与权限 1

3规定 2

3.1内审准备 2

3.2内审首次会议 3

3.3现场审核实施 3

3.4内审末次会议 3

3.5编制内部审核报告 4

3.6跟踪验证 4

4附则 4

第1页共4页

1总则

1.1目的

本规定旨在为公司信息技术服务管理体系的内部审核(内审)提供依据。通过定期组织内部审核活动，检查信息技术服务管理活动及其结果是否符合有关标准或者文件制度要求，为体系的改进提供依据，确保管理体系持续有效地运行。

1.2范围

本规定合用于公司信息技术服务管理体系内审活动的组织与管理。1.3定义与缩写

本规定采用ISO20000:2005的定义和缩写，需补充说明的定义缩写为：

内审：是指组织对信息技术服务管理体系运行情况进行的全面的、系统的检查和评价活动，包括检查信息技术服务策略、标准、规定及其他相关规章制度是否得到正确实施，信息系统是否符合技术服务实施标准，信息技术服务和安全控制措施是否得当等。

详见《信息技术服务管理体系术语定义》。

2职责与权限

2.1管理者代表：负责本制度的审批，任命审核组长；

2.2办公室:

负责组织本管理规定的制定、解释和修订；

负责按照本规定要求，负责编制年度内审计划，保存内审记录。；负责信息技术服务管理体系内部审核的协调和组织工作；

确保参预审核工作的内审员应该与被审核方没有直接的报告关系，以保证审核的客观性和独立性；

2.3审核组组长职责

策划内部信息技术服务管理体系审核，制订内审计划。

2.4内部审核员职责

内审员负责编制内部审核检查表，实施分工范围内的审核工作。2.5各部门:

负责按本规定要求配合审核小组进行内审活动准备和实施内审活动；

第2页共4页

负责内审整改工作发展的跟踪和验证关闭等。

3规定

3.1内审准备

3.1.1内部审核计划制定

a.每年依据ISO20000标准，至少进行一次覆盖公司全范围的信息技术服务管理体系内审活动。

b.审核组长负责编制信息技术服务管理体系内审计划。

c.审核范围应覆盖ISO20000标准各项要求,既包括信息技术服务各个流程风险管理框架、体系自身运行框架，也包括合用性声明(SOA)文件中覆盖的各个控

制项；

d.信息技术服务体系度量活动应在内审活动前完成，以期通过内审活动检查度量指标的正确性。

e.在下列情况下，办公室可以提出申请，经管理者代表批准后，可追加进行内审活动：

1.某部门的信息技术服务事件频发时；

2.有信息技术服务重大变更和重大信息安全事件发生时；

3.外部审核之前。

3.1.2成立内部审核小组

a.管理者代表根据被审核部门特点及其工作性质，从公司内部审核员队伍中推选具有资格的合适人选担任内审小组组长，由内审小组组长负责本次审核的具体

组织工作。

b.由内审小组组长从相关部门中选派具有内审员资格并且与被审核部门无直接干系者担任审核组成员，并根据内审计划适当地分工。

3.1.3采集并审阅有关文件和记录

a.内审小组组长根据内部审核计划进行审核分工和时间安排。

b.应在审核前下发本次内部审核计划到受审核部门负责人，事先约定该次审核的所有被访谈的角色。

c.审核组成员根据分工任务编制内部审核检查表。

d.内审小组依据内部审核计划，采集与被审核部门信息技术服务和安全管理活

第3页共4页

动有关的文件和资料，并进行审阅。

e.审核员在做文件审核与现场审核时需做好记录。

3.2内审首次会议

3.2.1内审小组组长主持召开内审首次会议。首次会议出席人员还包括内审小组成员、受审核部门的负责人及陪同人员。

3.2.2由内审小组组长介绍本次审核的目的、依据、范围、方法、规定及日程安排等。

3.2.3内审小组组长指定专人负责参会人员的签到预会议记要。

3.3现场审核实施

3.3.2现场采集客观证据

a.内审员按照审核日程安排和内部审