江门ISO20000内部审计和管理审查实施方法

       ISO/IEC20000IT服务管理体系的实施是一个复杂的过程，因此，掌握正确的步骤、方法是非常重要的。江门ISO20000内部审计和管理审查实施方法是怎样的呢？

        

       内部审计      
       1)ISO20000认证制定内部审计计划并与受评者沟通；　　
       2)召开内部审计第一次会议，明确审查计划、审查范围、审计目的、审计活动日程等；　　
       3)领导内部审计员的现场审计活动：　　
       4)根据审计发现发布不符合要求的报告，明确的审计对象，审计发现，与事实不符，改善要求并确定纠正负责人，提高期限：　　
       5)召开内部审计最后一次会议，报告所有审计结果：对不符合情况进行跟踪验证，以确保有效关闭所有不符合情况。
       管理系统有效性度量　
       1)各种管理流程中的安全性主要绩效指标KPI设计开发的测量方法。　　
       2)在操作过程中收集历史数据，利用量化的数据分析反映管理系统的改进。　　
       3)比较ISO20000认证信息安全管理目标和指标系统，评定KPI是否实现了管理目标。　　
       4)对发现的问题进行沟通，制定纠正预防措施，实施负责人，提高经营系统的效果。
       经营评审　
       1)制定管理评审计划　　
       2)准备ISO20000认证管理审查输入资料，包括风险情况、安全措施实施、各相关人员的反馈、业务连续性管理体系结构、管理系统内部审计情况、系统有效性衡量报告等。　　
       3)举行管理评审会议；根据最高管理者提出的管理要求，实施纠正预防措施或管理改善方案。　　
       4)跟踪纠正预防措施和管理改善方案的实施情况。
       ISO20000认证机构初次访问和正式审查　　
       1)与审计机关沟通审计日程。实施审计活动并提交审计报告。　　
       2)根据审计报告制定必要的纠正预防措施，并将改进的证据提交审计机关。　　
       3)获取信息安全管理体系认证证书。
       主记录文件　　
       ISO20000认证管理手册、信息安全适宜性声明、信息安全管理系统指导程序文件(信息安全风险评估管理程序、文件控制程序、记录控制程序、信息处理设备管理程序、文件信息秘密级别控制程序、监视和测量管理程序、更正预防措施控制程序、人力资源管理程序、信息安全培训管理程序、 物理访问控制程序、用户访问控制程序、远程访问管理程序、系统开发和维护控制程序、事故漏洞和故障管理程序、内部审计控制程序、重要信息备份管理员等)控制策略(信息资源机密策略、可移动代码预防策略、备份安全策略、第三方访问策略、物理访问策略、变更管理安全策略、更改管理安全策略。

文章整理：江门ISO20000内部审计和管理审查实施方法  www.goodiso.cn  深圳市瑞峰盈企业管理咨询有限公司