ISO20000：2018程序文件-管理評審程序

ISO20000：2018程序文件-管理評審程序第1頁文檔編號：HTPC-ITSM-B-06管理評審程序版本號：V1.0管理評審程序編制：審核：批準(zhǔn)：發(fā)布日期：實(shí)施日期：ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第1頁。 ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第1頁。修訂履歷版本變更履歷變更人/變更日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期目錄TOC\o"1-2"\h\z\u1目的 32范圍 33職責(zé) 33.1總經(jīng)理 33.2信息安全管理小組 34相關(guān)文件 35程序 35.1管理評審策劃 35.2管理評審輸入 55.3管理評審會議 65.4管理評審輸出 65.5改進(jìn)和驗(yàn)證 76記錄 7ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第2頁。

1目的ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第2頁。為確保組織信息技術(shù)服務(wù)管理體系持續(xù)的適宜性、充分性和有效性，評估組織信息技術(shù)服務(wù)管理體系改進(jìn)和變更的需要，特制定本程序。2范圍本程序適用于對信息技術(shù)服務(wù)管理體系中要求進(jìn)行的管理評審的實(shí)施程序的管理。3職責(zé)3.1總經(jīng)理主持信息技術(shù)服務(wù)管理體系管理評審。3.2IT服務(wù)管理小組負(fù)責(zé)信息技術(shù)服務(wù)管理體系管理評審的歸口管理。4相關(guān)文件《信息技術(shù)服務(wù)管理手冊》《文件控制程序》《記錄控制程序》5程序5.1管理評審策劃5.1.1管理評審的頻次5.1.1.1定期管理評審由總經(jīng)理主持，通常每年進(jìn)行一次，一般在內(nèi)部審核后一至兩個月內(nèi)進(jìn)行。5.1.1.2非定期當(dāng)遇到下列情況時，可不受5.1.1.1的限制，由IT服務(wù)管理小組制定計(jì)劃，IT服務(wù)管理員審核，報總經(jīng)理批準(zhǔn)后實(shí)施:ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第3頁。當(dāng)出現(xiàn)重大信息安全事件時；ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第3頁。當(dāng)信息技術(shù)服務(wù)管理體系發(fā)生較大變化時；當(dāng)客戶要求或外部環(huán)境條件發(fā)生重大變化時；內(nèi)部審核、客戶審核或ISO/IEC20000-1外部審核時，發(fā)現(xiàn)了對全組織有影響，屬信息技術(shù)服務(wù)管理體系上的重大不符合事項(xiàng)時。5.1.2管理評審的方式管理評審以專題會議的方式進(jìn)行，由總經(jīng)理主持管理評審，評審會議由總經(jīng)理、IT服務(wù)管理員、IT服務(wù)管理小組全員、相關(guān)部門負(fù)責(zé)人參加，必要時可吸收對應(yīng)專業(yè)管理人員參加。5.1.3管理評審的準(zhǔn)備5.1.3.1計(jì)劃編制IT服務(wù)管理小組根據(jù)IT服務(wù)管理員的要求組織編制《管理評審計(jì)劃》，報IT服務(wù)管理員審核，總經(jīng)理批準(zhǔn)后，提前一周下發(fā)至各相關(guān)部門。5.1.3.2相關(guān)準(zhǔn)備相關(guān)部門按《管理評審計(jì)劃》要求，對照信息技術(shù)服務(wù)管理體系運(yùn)行情況進(jìn)行自評，按各自職責(zé)做好相關(guān)信息、資料的準(zhǔn)備工作，并將有關(guān)信息、資料于管理評審會議召開前3天提供給IT服務(wù)管理小組。5.1.3.3資料匯總IT服務(wù)管理小組將各相關(guān)部門提供的材料匯總、分析后編寫《信息技術(shù)服務(wù)管理體系運(yùn)行情況報告》于管理評審前1天交IT服務(wù)管理員審核。5.1.3.4議程ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第4頁。管理評審會議召開前1天，IT服務(wù)管理小組應(yīng)安排好會議的議程，通過IT服務(wù)管理者代表批準(zhǔn)后填寫《管理評審?fù)ㄖ獑巍?，并發(fā)放至評審計(jì)劃要求參加的各相關(guān)部門（人員）。ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第4頁。5.2管理評審輸入5.2.1資料各相關(guān)部門接到《管理評審計(jì)劃》后應(yīng)向IT服務(wù)管理小組提供如下材料和信息：信息技術(shù)服務(wù)管理體系運(yùn)行的改進(jìn)建議；本部門相關(guān)的外部反饋意見；本部門改進(jìn)信息技術(shù)服務(wù)管理體系績效的技術(shù)、產(chǎn)品和程序；預(yù)防和糾正措施的實(shí)施情況；本部門相關(guān)的有效性測量、考核情況及建議；風(fēng)險評估未考慮的威脅和薄弱點(diǎn)；提供的資源滿足需要的情況；與本部門相關(guān)的其它情況；信息技術(shù)服務(wù)管理體系變更和改進(jìn)的建議。5.2.2報告要求IT服務(wù)管理小組編寫的《信息技術(shù)服務(wù)管理體系運(yùn)行情況報告》作為管理評審的輸入，應(yīng)包含以下內(nèi)容：信息技術(shù)服務(wù)管理體系方針、目標(biāo)、指標(biāo)的完成情況；內(nèi)、外部審核結(jié)果和合規(guī)性評價的結(jié)果；客戶反饋（客戶滿意度測量結(jié)果、客戶投訴、客戶抱怨、投訴和抱怨的處理結(jié)果）；改進(jìn)信息技術(shù)服務(wù)管理體系績效的技術(shù)、產(chǎn)品和程序；預(yù)防措施與糾正措施實(shí)施狀況；風(fēng)險評估未考慮的威脅和薄弱點(diǎn)；有效性測量、考核情況及建議；上次管理評審跟蹤措施的實(shí)施情況；可能影響信息安全管理體系的變更的情況（如：內(nèi)部員工的變化，法律、法規(guī)的變化，組織機(jī)構(gòu)或產(chǎn)品、活動的變化，外部環(huán)境的變化等）；ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第5頁。信息技術(shù)服務(wù)管理體系變更和改進(jìn)的建議。ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第5頁。5.3管理評審會議5.3.1會議簽到IT服務(wù)管理小組組織召開管理評審會議，與會人員在《管理評審會議簽到表》上簽到。5.3.2報告總經(jīng)理主持召開管理評審會議，IT服務(wù)管理員提交《信息技術(shù)服務(wù)管理體系運(yùn)行情況報告》，作信息技術(shù)服務(wù)管理體系運(yùn)行情況的專題報告。5.3.3討論全體與會人員根據(jù)IT服務(wù)管理員的專題報告,討論并評審信息技術(shù)服務(wù)管理體系的適宜性、充分性和有效性。5.3.4總結(jié)總經(jīng)理對管理評審作結(jié)論性評價，提出要求和決策。5.3.5會議記錄綜合管理部負(fù)責(zé)管理評審現(xiàn)場記錄，形成《管理評審會議記錄》。5.4管理評審輸出5.4.1報告內(nèi)容IT服務(wù)管理小組根據(jù)《管理評審會議記錄》編寫《管理評審報告》?！豆芾碓u審報告》包括以下內(nèi)容：管理評審的目的、時間、參加人員及評審內(nèi)容；信息技術(shù)服務(wù)管理體系的適用性、充分性、有效性的綜合評價和需要改進(jìn)的地方；方針、目標(biāo)、指標(biāo)適宜性的評價及需要的更改；風(fēng)險評估和風(fēng)險處理計(jì)劃的更新要求；修訂程序和控制措施的需求；ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第6頁。管理評審確定的改進(jìn)決定和措施、責(zé)任部門和完成日期。ISO20000：2018程序文件-管理評審程序全文共7頁，當(dāng)前為第6頁。5.4.2批準(zhǔn)《管理評審報告》經(jīng)IT服務(wù)管理員審核后交總經(jīng)理批準(zhǔn)。5.4.3IT服務(wù)管理小組將經(jīng)過總經(jīng)理批準(zhǔn)的《管理評審報告》以文件形式下發(fā)各部門并存檔。5.5改進(jìn)和驗(yàn)證5.5.1改進(jìn)根據(jù)《管理評審報告》提出的要求，IT服務(wù)管理員組織各相關(guān)部門制定改進(jìn)措施計(jì)劃，并對實(shí)施情況進(jìn)行協(xié)調(diào)、監(jiān)督、檢查。5.5.2文件控制《管理評審報告》要求進(jìn)行文件修改的，由IT服務(wù)管理小組按《文件控制程序》執(zhí)行。5.5.3驗(yàn)證IT服務(wù)管理小組組織相關(guān)職能部門對確定的糾正與預(yù)防改進(jìn)措施的實(shí)施情況進(jìn)行跟蹤檢查，并