引言
ISO/IEC 20000-1:2018 第三方审核与其他管理体系审核最大的不同在于:审核对象不是”产品”或”流程”,而是”服务”——一种无形、持续、依赖人员与系统协作的交付物。本文从实战角度,系统讲解ITSMS第三方审核的策划思路、现场技巧、常见不符合项,以及与ISO 9001/27001整合审核的方法。
一、ITSMS审核策划的特殊性
服务是无形的——如何”看见”服务?
与审核制造业(看产品)不同,ITSMS审核员必须学会”透过系统看服务”。核心方法是:以SLA为主线,沿服务生命周期追溯证据。
| 服务生命周期阶段 | 对应20000-1条款 | 审核取证方法 |
|---|---|---|
| 服务设计与转换 | 8.2服务组合、8.3关系与协议 | 查服务目录、SLA模板、新服务上线评审记录 |
| 服务交付运行 | 8.5解决、8.6服务保障、8.7服务交付 | 查事件记录、可用性报告、SLA达成率报表 |
| 服务持续改进 | 9.1监视测量、10.2持续改进 | 查服务改进措施、客户满意度调查结果 |
多场所审核的策划
ITSMS经常出现”服务提供场所”与”认证范围”不一致的情况(如云服务商、IT外包商)。审核策划时必须明确:
- 物理场所清单:所有参与服务交付的地点(数据中心、备援中心、服务台)
- 远程支持:远程运维团队是否纳入审核范围?
- 云服务特殊情形:数据中心由第三方提供时,是否通过供应商审核覆盖了?
⚠️ 审核策划陷阱
范围写的是”北京市XX公司IT服务”,但实际服务交付团队在成都——如果成都团队未被纳入审核范围,这是范围定义的严重缺陷,必须在第一阶段提出。
二、现场审核核心技巧
技巧1:从SLA报告入手
SLA报告是ITSMS审核中最高效的”入口文件”——它连接了第6章(目标)、第7章(资源能力)、第8章(运行)和第9章(绩效评价)。
审核提问链:
1. “请展示上月的SLA报告” → 看报告结构是否完整
2. “可用性99.9%,是如何测量的?数据来源是什么系统?” → 验证9.1监视测量
3. “上个月有3次超时,原因是什么?有没有纠正措施?” → 验证10.1不符合管理
4. “这个SLA指标是谁定义的?最近一次评审是什么时候?” → 验证6.2目标管理
技巧2:事件记录的”三段式”追溯
抽查事件记录时,不要只看”有没有关闭”,而要沿三步追溯:
事件记录 → 分类是否正确? → 响应是否在SLA内? → 根因分析是否到位?
抽样建议: 至少抽取5个事件(含1个P1、2个P2、2个P3),覆盖不同服务类型。
技巧3:变更管理的”假紧急”识别
20000-1要求所有变更(包括紧急变更)都必须有记录和评审。现场常见问题是:所有变更都走”紧急变更”通道。
识别方法: 统计过去3个月的变更记录,如果紧急变更占比超过30%,基本可以判定变更分类失控。
三、常见不符合项图谱
高频不符合项TOP 5
| 排名 | 不符合项描述 | 对应条款 | 整改方向 |
|---|---|---|---|
| 1 | SLA未达标,无纠正措施记录 | 8.7服务交付、10.1 | 建立SLA未达标的改进行动流程 |
| 2 | 紧急变更无事后评审 | 8.1运行策划与控制 | 强制要求紧急变更24小时内补充评审 |
| 3 | 服务目录不完整,存在影子IT | 8.2服务组合 | 全面梳理IT服务,纳入SMS范围 |
| 4 | 内审未覆盖所有核心服务 | 9.2内部审核 | 修订内审方案,按服务而非部门策划 |
| 5 | 最高管理者未参与管理评审 | 9.3管理评审、5.1领导力 | 建立最高管理者参与SMS活动的书面记录 |
典型不符合项案例
案例1:SLA指标不可测量
– 发现: 某SLA中写”及时响应客户请求”,未定义”及时”的具体时限。
– 条款: 8.3.2(服务级别协议)、6.2(可测量的目标)
– 纠正措施: 重新定义SLA指标,将”及时响应”改为”工作时间2小时内响应”。
案例2:供应商管理缺失
– 发现: 核心云服务由AWS提供,但组织未对AWS进行任何供应商评价。
– 条款: 8.4供给与需求、8.3.3(供应商协议)
– 纠正措施: 建立云服务商年度评价流程,将SLA要求写入供应商合同。
四、ITSMS与ISO 9001/27001整合审核
整合的可行性
20000-1:2018与ISO 9001:2015、ISO 27001:2022有相当程度的重叠,可以整合审核:
| 整合点 | 20000-1条款 | 9001条款 | 27001条款 |
|---|---|---|---|
| 领导力 | 第5章 | 第5章 | 第5章 |
| 策划(风险) | 6.1 | 6.1 | 第6章 |
| 能力意识 | 7.2、7.3 | 7.2、7.3 | A.7.2、A.7.3 |
| 内审管评 | 9.2、9.3 | 9.2、9.3 | 9.2、9.3 |
| 持续改进 | 第10章 | 第10章 | 第10章 |
不能合并的条款
| 20000-1独有条款 | 说明 |
|---|---|
| 8.2服务组合 | 9001/27001无对应概念 |
| 8.3关系与协议 | SLA/OLA/UC是ITSMS特有 |
| 8.5解决过程 | 事件管理是ITSMS核心,9001仅间接涉及 |
| 8.6服务保障 | 可用性/容量/连续性管理,虽有重叠但侧重点不同 |
整合审核策划建议
- 审核组构成: 必须包含ITSMS专业审核员(熟悉ITIL/服务管理),不能只用QMS或ISMS审核员代替
- 审核顺序: 先审公共条款(第4、5、7、9、10章),再分别审专业条款
- 检查表设计: 同一张检查表标注三个标准的条款号,避免重复提问
五、审核报告编写要点
ITSMS审核报告应突出”服务”特性,与QMS/ISMS报告有所区别:
报告应包含的特殊内容:
1. 服务目录与范围的符合性结论
2. SLA达成情况统计分析
3. 事件管理有效性的评价
4. 服务连续性与可用性保障能力的评估
5. 云服务/外包服务的风险控制评价
典型结论表述:
“经审核,该组织的服务管理体系基本符合ISO/IEC 20000-1:2018要求,服务交付过程总体受控。主要待改进项包括:SLA指标体系需要进一步完善(部分指标不可测量),事件管理的根因分析深度不足。建议组织在下次监督审核前完成整改。”
从审核员的持续成长角度来看,每完成一次审核都应当进行自我复盘:这次审核中哪些环节做得好?哪些问题问得不够深入?哪条证据收集得不充分?将复盘结果记录下来,形成自己的审核案例库。久而久之,你会形成一套独特的审核方法论和判断直觉。审核是一项实践性极强的工作,理论知识只是基础,真正的成长来自每一次现场审核的积累。无论是质量管理还是信息安全领域的审核员,坚持学习和实践永远是提升专业能力的不二法门。希望本文的分享能够对正在学习和从事审核工作的同行有所帮助。在实际工作中遇到疑难问题时,不妨回到标准原文,对照本文梳理的要点逐一排查。