信息技術(shù)服務(wù)管理體系管理評(píng)審規(guī)定

1、信息技術(shù)服務(wù)管理體系管理評(píng)審規(guī)定文件編號(hào)：SA-02005本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。1. 分發(fā)控制、土 -hz. 讀者文檔權(quán)限說明公司內(nèi)部員工只讀2. 文件版本信息版本號(hào)修訂變更描述日期審核批準(zhǔn)V1.0編寫組全文20100726芮芳華劉文中3. 文件版本信息說明文件版本信息，記錄本文件提交時(shí)當(dāng)前有效的版本控制信息， 當(dāng)前版本文件 有效期將在新版本文檔生效時(shí)自動(dòng)結(jié)束。 文件版本小于1.0時(shí)，表示該版本文件 為草案，僅

2、可作為參照資料之目的。1總則1.2職責(zé)與權(quán)限.1.3規(guī)定2.3.1評(píng)審頻次23.2評(píng)審內(nèi)容23.3評(píng)審輸入23.4評(píng)審實(shí)施33.5評(píng)審輸出33.6后續(xù)跟蹤44附則4.1總則1.1目的本規(guī)定旨在對(duì)公司信息技術(shù)服務(wù)管理體系的適用性、全面性、充分性和有效 性進(jìn)行評(píng)審，使公司信息技術(shù)服務(wù)管理體系不斷地完善并持續(xù)有效運(yùn)行， 滿足公 司信息技術(shù)服務(wù)策略要求，實(shí)現(xiàn)公司信息技術(shù)服務(wù)管理目標(biāo)。1.2范圍本規(guī)定適用于對(duì)公司的信息技術(shù)服務(wù)管理體系的適用性、全面性、充分性和有效性進(jìn)行審核和評(píng)價(jià)。1.3定義與縮寫本文件采用020000:2005的定義和縮寫，本文件中需補(bǔ)充說明的定義和縮 寫為：管理評(píng)審：最高管理者應(yīng)按策

3、劃的時(shí)間間隔評(píng)審信息技術(shù)服務(wù)，以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)價(jià)信息技術(shù)服務(wù)管理體系改進(jìn)的機(jī) 會(huì)和變更的需要，包括信息技術(shù)服務(wù)方針和目標(biāo)。詳見信息技術(shù)服務(wù)管理體系術(shù)語定義。2職責(zé)與權(quán)限2.1總經(jīng)理：負(fù)責(zé)主持管理評(píng)審活動(dòng)，對(duì)信息技術(shù)服務(wù)管理體系運(yùn)行整體情況進(jìn)行管理評(píng) 審，并作出相應(yīng)的管理評(píng)審決策。2.2管理者代表審核管理評(píng)審報(bào)告。負(fù)責(zé)評(píng)審后的跟蹤檢查及協(xié)調(diào)落實(shí)改進(jìn)措施中的問 題。2.3辦公室：負(fù)責(zé)本規(guī)定的組織制定、解釋和修改；負(fù)責(zé)組織管理評(píng)審會(huì)議；負(fù)責(zé)組織相關(guān)部門完成管理評(píng)審輸入材料的收集整理準(zhǔn)備工作；負(fù)責(zé)體系運(yùn)行有效性測(cè)量結(jié)果的審核。2.4各部門負(fù)責(zé)人按照本規(guī)定要求，負(fù)責(zé)審核

4、本部門需要提交管理評(píng)審的各項(xiàng)輸入材料，包括體系運(yùn)行狀況報(bào)告、相關(guān)方反饋等；參加管理評(píng)審會(huì)議；負(fù)責(zé)組織對(duì)管理評(píng)審決議的執(zhí)行。3規(guī)定3.1評(píng)審頻次3.1.1公司信息技術(shù)服務(wù)管理體系管理評(píng)審會(huì)議每年召開一次。3.1.2體系運(yùn)行關(guān)鍵活動(dòng)（體系度量和內(nèi)部審核等）應(yīng)安排在管理評(píng)審會(huì)議之前 完成，活動(dòng)記錄應(yīng)提交管理評(píng)審會(huì)議。3.1.3如遇信息技術(shù)服務(wù)內(nèi)容重大變更、重大信息安全問題、公司組織架構(gòu)變更、 公司業(yè)務(wù)發(fā)生重大調(diào)整、信息技術(shù)的重大變革、信息資產(chǎn)的威脅源發(fā)生顯著變化 等情況，也應(yīng)酌情安排進(jìn)行管理評(píng)審。3.2評(píng)審內(nèi)容3.2.1體系建立前或上一次體系文件修訂前的整體情況；3.2.2體系的運(yùn)行效果、體系文件修

5、訂后的變化；3.2.3信息技術(shù)服務(wù)方針策略、目標(biāo)是否適應(yīng)外部環(huán)境及內(nèi)部環(huán)境的變化、實(shí)現(xiàn) 情況如何、是否需要調(diào)整和修訂；3.2.4信息技術(shù)服務(wù)管理體系文件是否滿足實(shí)際需要、是否需要修訂；3.2.5信息技術(shù)服務(wù)管理的組織結(jié)構(gòu)、資源（人員、技術(shù)、設(shè)備等）是否滿足信 息技術(shù)服務(wù)和安全管理體系有效運(yùn)行的需要，是否需要調(diào)整和增加資源投入；3.2.6體系運(yùn)行過程中的各項(xiàng)活動(dòng)是否受控，是否需要改進(jìn)；3.3評(píng)審輸入信息技術(shù)服務(wù)管理體系管理評(píng)審的輸入包括但不限于以下內(nèi)容：a. 上一次管理評(píng)審會(huì)議的結(jié)果；b. 相關(guān)方（內(nèi)部用戶、干系方、外部用戶、外部服務(wù)供應(yīng)商等）的反饋；c. 體系實(shí)施過程中文件的修訂情況；d. 用

6、于改進(jìn)公司信息技術(shù)服務(wù)管理體系績效和有效性的方法、產(chǎn)品或者流程制度;e. 糾正和預(yù)防措施的實(shí)施情況；f. 體系運(yùn)行有效性的測(cè)量指標(biāo)結(jié)果；g. 上次管理評(píng)審會(huì)議之后對(duì)相關(guān)問題所采取控制措施的跟蹤驗(yàn)證情況;h. 任何可能影響信息技術(shù)管理體系的變化，可能包括：1）業(yè)務(wù)要求；2）影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；3）法律法規(guī)要求；4）合同責(zé)任；5）資源需求；6）改進(jìn)測(cè)量控制措施有效性的方法。3.4評(píng)審實(shí)施341辦公室根據(jù)本制度規(guī)定要求，負(fù)責(zé)籌劃和組織管理評(píng)審會(huì)議并編制管理評(píng) 審計(jì)劃，在評(píng)審前向參加評(píng)審的部門或人員下發(fā)會(huì)議通知和會(huì)議議程，做好相關(guān)準(zhǔn)備工作。3.4.2管理者代表協(xié)同總經(jīng)理按管理評(píng)審計(jì)劃中所列內(nèi)容

7、逐項(xiàng)審議。3.4.3各部門按會(huì)議議程進(jìn)行匯報(bào)和提交有關(guān)資料。3.4.4總經(jīng)理根據(jù)評(píng)審情況做出相應(yīng)評(píng)定結(jié)論，包括：a. 對(duì)影響信息技術(shù)服務(wù)管理體系方針、目標(biāo)及信息技術(shù)服務(wù)管理體系管理 體系適宜性和有效性的問題，提出明確的改進(jìn)要求；b. 對(duì)所有活動(dòng)所需資源予以確認(rèn)與保證。3.4.5辦公室負(fù)責(zé)記錄評(píng)審過程的會(huì)議紀(jì)要并歸檔。3.5評(píng)審輸出管理評(píng)審的輸出應(yīng)包括但不限于以下決定和措施：a. 信息技術(shù)服務(wù)管理體系有效性的改進(jìn)；b. 必要時(shí)，修訂影響信息技術(shù)服務(wù)的管理規(guī)定及控制措施，以反映可能影 響信息技術(shù)服務(wù)管理體系的內(nèi)外事件。3.6后續(xù)跟蹤3.6.1管理評(píng)審會(huì)議決議中涉及到的需要采取改進(jìn)或糾正預(yù)防措施的部門，依據(jù) 糾正預(yù)防控制管理規(guī)定，由各部門主要負(fù)責(zé)人組織和制定整改計(jì)劃，確定整 改和預(yù)防措施，明確整改期限。整改工作納入部門的日常工作內(nèi)容。3.6.2管理者代表負(fù)責(zé)依據(jù)糾正預(yù)防控制管理規(guī)定組織對(duì)