现场审核体会_现场审核体会

现场审核体会由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“现场审核体会”。

ISMS/ITSM现场审核实践体会

信息安全认证中心王崇斌

作为一名信息安全管理体系、IT服务管理审核新兵，根据中心安排，我以观察员身份自2011年4月7日至2011年5月26日先后参加了北京启明星辰（二阶段）、天津南开创元（监审）、北京通融通信息技术有限公司（预审核）、中国移动通信集团北京分公司（监审）的ISMS以及中国电子商务有限公司（一、二阶段）的ITSM审核工作。通过现场审核实践，我对ISMS/ITSM审核工作的认识、ISMS/ITSM审核员职责、ISMS/ITSM 审核知识和技巧及审核中注意的问题有了较全面的理解，收获很大。

由一名新人到一名合格的审核员，观察、实习既是一个必不可少的过程，更是一个难得的学习机会，在此向中心领导能够提供这样一个好的实习机会表示衷心的感谢，向在实践期间给与关心和帮助的中心同志和实践过程中给与无私指导的审核老师表示最真挚的谢意！

下面我就分三个方面向领导汇报自己的现场审核体会：

体会一：ISMS/ITSM审核工作责任重大，对审核员基本素质要求高。

首先，ISMS/ITSM审核人员的审核工作，一定程度体现了中心国家级的权威性、严肃性，责任重大。中国信息安全认证中心是由八部委联合授权成立，隶属于国家质检总局的直属事业单位，是国内最具权威性的信息安全认证和培训机构，是已获得中国合格评定国家认可中心（CNAS）的认可评审并可在证书上加施CNAS认可标志的认证机构，也是国内唯一一家可从事ITSM认证的单位。因此，作为中心的审核人员代表中心审核，其言行、工作作风关乎中心的形象，其业务水平也一定程度上反映中心的专业实力。作为审核员在审核工作中一定要具有客观、公正的道德行为，良好的职业素养，并在任何情况下不与客户发生不道德的交易行为，保证不给中心抹黑。

其次，从对客户负责的角度看，ISMS/ITSM审核工作既要提升客户（组织）信心，又要促进其体系持续改进以满足业务需求，责任重大。客户（组织）通过ISMS/ITSM认证，证明组织有能力保障重要信息/提供有效的IT服务，提高组织的知名度与信任度；但获得认证证书不是最终目的，建立有责、有序、有效、高效并不断完善的管理体系，以进一步满足业务需求才是最终目的。因此，作为第三方审核，依据审核依据，结合业务特点，帮助客户（组织）发现问题并跟踪问题最终使其解决问题，这既是客户认证的一个重要目的，也是我们认证工作的真正的价值所在。在审核中，要求审核员的审核工作要结合组织业务特点依据相关标准、法律法规和组织体系文件来进行，审核结论一定要基于可证实的证据得出。

最后，审核人员在一线同客户打交道，有责任维护好中心与客户关系，保证中心业务顺利开展。客户不同，要求也不一样，审核人员既要保证中心审核工作的客观性、权威性、严肃性，同时又不能同客户发生正面冲突，影响中心与客户的关系进而影响中心业务开展。这要求审核人员既要坚持原则，遇到问题又要灵活处理（在中心同意基础上），做到“有理，有利，有节”。

体会二：要做好ISMS/ITSM审核工作，对审核员的业务能力要求高。审核是为获得审核证据并对其进行客观评价，以确定满足审核准则的程度所进行的系统地、独立的并形成文件的过程。这要求审核员有足够的能力收集审核

证据，并应熟悉审核准则，以进行客观评价并文件化。

首先，审核员应具备良好的观察能力、沟通能力、语言表达能力、提炼和总结能力。审核证据收集的方法通常包括：谈、查、看、听、记等，这些方法要取得实效，就必须具备上述基本能力。

其次，审核员要熟悉标准和相关的法律法规。标准和相关的法律法规是ISMS/ITSM审核依据，只有熟悉并理解它们才能对审核证据作出客观评价。

再次，ISMS/ITSM是为组织业务服务的，并根据据组织特点确定解决方案，因此熟悉组织相关业务特点，对高质量完成审核任务并获得组织认可非常重要。

再次，应具备扎实的文字基本功，避免错误。审核发现或审核记录表达应精炼、言简意赅，更应准确传意、无任何歧义，力避由于粗心大意出现的书面错误以引起不必要的麻烦。

最后，审核员应具备较强的学习能力。审核是一个不断学习提高的过程，在审核中要注意向有经验的审核员学习，要不断学习积累审核技能；不断加强相关标准和法律法规的学习和知识更新；加强对不同业务类型组织的业务特点的了解。

体会三：ISMS/ITSM审核工作的有一定技巧，需要在审核中不断提高。首先，一个好的审核计划对顺利实施审核非常重要。一个思路清晰，审核目的、审核准则、审核范围、审核组成员分工明确的审核计划能够保证审核高效、有序的进行。

其次，审核不同阶段关注点应有所侧重。在中国电子商务有限公司ITSM第一阶段（文审）审核时，主要为了解组织ITSM运行整体策划的合理性及运行情况，所以重点关注其方针和目标、IT服务管理指南及各管理流程，通过文审、现场查阅相关主要资料并结合现场观察来收集其整体策划证据，并判断是否具备二阶段审核的条件，为主要条款进行粗线条、关键面的审核；第二阶段审核时，重点考虑为收集全过程具体实施的符合性、充分性及有效性审核，是全过程的覆盖，对涉及各个不同部门采取抽样、访谈、现场查看的方法收集审核证据，得出审核发现。例如：查看东单备份中心时发现：人员进出机房登记信息没有证件信息与出入机房管理制度要求不符(6.6)—观察项；与屋业之间无服务协议（7.3）--不符合项，限期关闭；

监督审核重点关注持续、改进情况，例如：北京移动审核对上次观察项进行跟踪，发现已改正，提出观察项：文件中部分用词与GB/T22080-2008不一致应改正，提出不符合项：应急演练计划审阅无记录，不符合业务连续性计划规定，应尽快关闭。

再次，审核的组织物理范围和业务范围是被审核方特别关注的问题，也是中心认证工作严谨性、科学性和严肃性的重要体现。应主动与被审核方多沟通使对方理解中心在这一问题的原则立场，同时也应及时向中心反映客户合理的诉求，使审核工作既不违反原则又合情合理。

再次，审核不能跑题，审核证据应能够被证实。一个好的审核员在收集审核证据时，首先必需紧扣“与审核准则有关的”这个主题，也就是说，审核不能跑题； 不能被证实的的信息不能作为审核证据，主观分析、推断、臆测要发生的事不能成为审核证据，而已作废的管理体系文件中的规定和经擅自修改过的记录不能成为证明当前发生的情况的审核证据。被访问的、对被审核的过程负有责任的人的谈话可以成为审核证据，而传闻、陪同人员或其他与被审核的过程无关人员的谈话不能成为审核证据。

最后，个人认为审核是一门艺术—纯粹是个人的感性认识。一个优秀的审核人员可以使审核工作变得轻松愉快，能赢得被审核方人员对工作的理解、支持和配合，从而使审核工作高效、有序进行，最终在双方相互理解的基础上圆满完成审核任务。

以上是本人现场审核实践的体会，由于自己刚刚介入ISMS/ITSM审核工作，经验不足，在理解上、认识上还存在偏差甚至错误，望领导、同志们不吝指教。