信息安全管理体系（ISMS）和信息技术服务管理体系（ITSM）涉及的现场审核资料清单

以下是为信息安全管理体系（ISMS）和信息技术服务管理体系（ITSM）设计的现场审核资料清单，基于ISO 27001和ISO 20000标准要求，涵盖关键审核项及操作方法。清单分为两部分，总字数约1500字。

信息安全管理体系（ISMS）现场审核清单

1. 管理体系总体要求

审核项：是否建立完整的ISMS框架，包括方针、目标、范围及适用性声明？

检查方法：

  - 查阅《信息安全管理手册》及范围文件。

  - 确认体系范围是否覆盖所有关键业务和系统。

  - 验证方针是否经管理层批准并传达至全员。

2. 管理层责任

审核项：管理层是否提供资源支持并定期评审体系有效性？

检查方法：

  - 检查管理评审会议记录（至少每年一次）。

  - 访谈管理层对ISMS目标的认知及资源分配情况。

  - 确认内部审核报告是否被高层审阅。

3. 风险评估与处置

审核项：是否定期进行风险评估并制定风险处置计划？

检查方法：

  - 检查最新的风险评估报告（含资产清单、威胁分析、风险等级）。

  - 验证高风险项是否对应控制措施（如加密、备份等）。

  - 抽查风险处置计划的实施证据（如采购记录、流程变更文档）。

4. 访问控制

审核项：是否对物理和逻辑访问权限实施分级管理？

检查方法：

  - 检查用户权限矩阵表，验证权限分配是否符合最小化原则。

  - 观察机房、服务器区域的物理访问控制（如门禁、监控）。

  - 测试是否存在默认密码或共享账号。

5. 事件管理

审核项：是否建立安全事件响应流程并定期演练？

检查方法：

  - 查阅《安全事件管理程序》及演练记录（如钓鱼攻击模拟）。

  - 验证事件分类、上报、处置流程是否清晰。

  - 检查过去6个月的事件处理闭环记录。

6. 业务连续性

审核项：是否制定业务连续性计划（BCP）及灾难恢复计划（DRP）？

检查方法：

  - 检查BCP/DRP文档，确认覆盖核心业务系统。

  - 验证备份恢复测试报告（如数据库恢复演练）。

  - 访谈关键岗位人员对BCP的熟悉程度。

7. 合规性

审核项：是否定期评估法律法规及合同要求的符合性？

检查方法：

  - 检查合规性评审报告（如GDPR、网络安全法）。

  - 抽查供应商合同中的安全条款履行情况。

  - 验证是否保留违规处罚记录及改进措施。

信息技术服务管理体系（ITSM）现场审核资料清单

1. 服务策略与设计

审核项：是否定义服务目录（SLA）并明确服务级别目标？

检查方法：

  - 查阅服务目录及SLA文档，确认内容完整。

  - 验证SLA是否与客户需求一致（如可用性≥99.9%）。

  - 检查服务设计文档（如架构图、容量规划）。

2. 变更管理

审核项：是否实施标准化的变更管理流程？

检查方法：

  - 检查变更请求（RFC）记录，评估审批完整性。

  - 验证紧急变更是否有事后评审（如系统补丁更新）。

  - 访谈运维人员对变更回滚流程的熟悉度。

3. 事件与服务请求

审核项：是否实现事件分类、优先级划分及闭环管理？

检查方法：

  - 抽查事件工单（如故障处理记录），确认响应时间是否符合SLA。

  - 验证是否建立知识库用于常见问题解决。

  - 检查用户满意度调查结果及改进措施。

4. 配置管理

审核项：是否维护配置管理数据库（CMDB）并定期更新？

检查方法：

  - 检查CMDB中的资产信息（如服务器、软件版本）。

  - 验证配置项与实际环境的一致性（随机抽样核对）。

  - 确认配置变更是否关联到变更管理流程。

5. 容量与可用性管理

审核项：是否监控资源利用率并制定容量规划？

检查方法：

  - 检查容量监控报告（如CPU、存储使用率）。

  - 验证是否设定阈值并触发扩容流程。

  - 查阅最近的容量优化方案（如虚拟机迁移）。

6. 供应商管理

审核项：是否评估供应商服务能力并签订协议？

检查方法：

  - 检查供应商准入评审记录（如云服务商资质）。

  - 验证合同中的服务级别协议（OLA）是否与SLA对齐。

  - 抽查供应商绩效评估报告（如月度KPI达成率）。

7. 持续改进

审核项：是否通过PDCA循环优化服务管理体系？

检查方法：

  - 检查改进计划（如客户投诉分析、流程优化项）。

  - 验证纠正措施的实施效果（如缩短事件响应时间）。

  - 访谈团队对持续改进文化的认同度。

通用审核要点

1. **文档控制**：体系文件是否版本受控、定期评审？

2. **培训与意识**：是否开展员工培训并保留记录？

3. **内部审核**：是否按计划执行并跟踪不符合项整改？

4. **记录保存**：是否规定记录保留周期及存储方式？

现场审核操作指南

准备阶段：提前获取受审方文件清单，制定抽样计划。

执行阶段：采用“查、问、看”结合（查记录、问人员、看现场）。

报告阶段：记录不符合项并分级（严重/一般），提出整改期限。

本清单覆盖ISMS和ITSM的核心审核项，可根据企业实际需求调整。建议结合标准条款细化检查内容，确保全面性和可操作性。