CNAS-SC175:2017 信息技术服务管理体系认证机构认可方案.pdf
《CNAS-SC175:2017 信息技术服务管理体系认证机构认可方案.pdf》由会员分享,可在线阅读,更多相关《CNAS-SC175:2017 信息技术服务管理体系认证机构认可方案.pdf(20页珍藏版)》请在咨信网上搜索。
1、 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 CNAS-SC175 信息信息技术服务技术服务管理体系认证机构认可方案管理体系认证机构认可方案 Accreditation scheme for bodies providing audit and certification of information technology service management systems 中国合格评定国家认可委员会 CNAS-SC175:2017 第 1 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 目目 次次 前 言
2、 . 2 1 范围 . 3 2 规范性引用文件 . 3 3 术语和定义 . 3 4 ITSMS 认证机构认可规范的构成 . 4 R1 认可申请 . 4 R2 预访问 . 5 R3 初次认可的见证评审 . 5 R4 认证业务范围的认可 . 5 R5 其他 . 5 C.1 通用要求(CNAS-CC01 条款 5.1 至 5.3) . 6 C.2 能力准则的确定(CNAS-CC01 条款 7.1.2) . 6 C.3 能力评价(CNAS-CC01 条款 7.1.3) . 7 C.4 审核员的个人行为(CNAS-CC01 条款 7.2.4) . 7 C.5 能力的持续改进(CNAS-CC01 条款 7
3、.2.8 和 7.2.9) . 7 C.6 信息要求(CNAS-CC01 条款 8.4 至 8.5) . 8 C.7 过程要求(CNAS-CC01 条款 9.1 至 9.9) . 9 G.1 ITSMS 认证范围界定指南 . 10 G.2 ITSMS 审核时间确定指南 . 11 G.3 服务点的抽样 . 13 附录 A(规范性附录)ITSMS 认证的技术领域 . 14 附录 B(资料性附录)ITSMS 初次认证审核基本审核时间的测算 . 16 附录 C(资料性附录)ITSMS 复杂度及其对审核时间的影响分析 . 18 CNAS-SC175:2017 第 2 页 共 19 页 2017 年 01
4、 月 01 日 发布 2017 年 01 月 01 日 实施 前前 言言 本文件由中国合格评定国家认可委员会(CNAS)制定。 本文件是 CNAS 对信息技术服务管理体系 (ITSMS) 认证机构提出的特定要求和指南, 并与相关认可规则和认可准则共同用于 CNAS 对 ITSMS 认证机构的认可。 本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议。 本文件附录 A 为规范性附录,附录 B 和 C 为资料性附录。 本文件代替了 CNAS-SC175:2015。 CNAS-SC175:2017 第 3 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01
5、月 01 日 实施 信息信息技术服务技术服务管理体系认证机构管理体系认证机构认可认可方案方案 1 1 范围范围 1.1 为确保中国合格评定国家认可委员会(CNAS)对实施 ISO/IEC 20000-1信息技术 服务管理 第 1 部分: 服务管理体系要求 认证的信息技术服务管理体系 (ITSMS)认证机构实施评审和认可的一致性, 指导申请和获得认可的 ITSMS 认证机构理解和实施认可规范要求,特制定本文件。 1.2 本文件包括对 ITSMS 认证机构认可规范的补充和指南,适用于 CNAS 对 ITSMS认证机构的认可。 本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充。 本文
6、件 G 部分是对相关认可准则的应用指南。 2 2 规范性引用文件规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文件,仅该版本适用于本文件;未注明日期的引用文件,其最新版本(包括任何修订)适用于本文件。 CNAS-RC01 认证机构认可规则 CNAS-CC01 管理体系认证机构要求 CNAS-CC175 信息技术服务管理体系认证机构要求 CNAS-CC11 基于抽样的多场所认证 CNAS-CC12 已认可的管理体系认证的转换 3 3 术语和定义术语和定义 GB/T 190002008、GB/T 270002006 和 CNAS-CC01 中的术语和定义以及下列
7、术语和定义适用于本文件。 3.1 认证业务范围:认证机构的 ITSMS 认证活动涉及的技术领域。 注:本文件附录 A 给出了 ITSMS 认证的技术领域。 3.2 专业能力:能够应用特定技术领域的知识实现预期结果的本领。 3.3 服务点:在服务级别协议(SLA)有效期内客户进行特定工作或服务的地点,不在客户的物理范围内。例如驻场服务的客户现场等。 CNAS-SC175:2017 第 4 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 4 4 ITSMSITSMS 认证机构认可规范认证机构认可规范的构成的构成 4.1 主要规则和准则: CNAS-
8、RC01认证机构认可规则是 ITSMS 认证机构认可活动的基本程序规则; CNAS-CC01管理体系认证机构要求是 ITSMS 认证机构的基本认可准则; CNAS-CC175信息技术服务管理体系认证机构要求是 ITSMS 认证机构的专用认可准则。 4.2 其他适用的认可规则包括: a) CNAS-R01认可标识使用和认可状态声明规则 ; b) CNAS-R02公正性和保密规则 ; c) CNAS-R03申诉、投诉和争议处理规则 ; d) CNAS-RC02认证机构认可资格处理规则 ; e) CNAS-RC03认证机构信息通报规则 ; f) CNAS-RC04认证机构认可收费管理规则 ; g)
9、CNAS-RC05多场所认证机构认可规则 ; h) CNAS-RC07具有境外场所的认证机构认可规则 。 4.3 其他适用的认可准则包括: a) CNAS-CC11基于抽样的多场所认证 b) CNAS-CC12已认可的管理体系认证的转换 ; c) CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用 d) CNAS-CC106CNAS-CC01 在一体化管理体系审核中的应用 。 R R 部分部分 R R. .1 1 认可认可申请申请 在中华人民共和国境内从事 ITSMS 认证活动的认证机构申请认可的(以下称为“申请方” ) ,应具备 CNAS-RC01 条款 5.1.1 规定的
10、基本条件以及下列条件: a) ITSMS 认证活动已被国家认监委批准; b) 已按照 CNAS-CC01 和 CNAS-CC175 建立了管理体系, 且运行时间不少于 6 个月(如已获 CNAS 信息安全管理体系认证机构认可, 则运行时间不少于 3 个月) 。 申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息: 1) ITSMS 认证活动国家认监委批准文件复印件; 2) 已审核过的客户名单(对应到认证业务范围相应大类) ; 3) 自申请时间起 6 个月内计划实施的审核项目清单(对应到认证业务范围相应大类) ; 4) 需要时,CNAS 要求的其他信息。 CNA
11、S-SC175:2017 第 5 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 R R. .2 2 预访问预访问 必要时,CNAS 可在受理申请过程中安排预访问,以了解申请方是否已满足认可申请条件,以及是否基本具备接受认可评审的条件。 R R. .3 3 初次认可的初次认可的见证评审见证评审 CNAS 结合申请方 ITSMS 认证活动的范围、规模和风险水平确定初次认可的见证评审安排。 R R. .4 4 认证业务范围的认证业务范围的认可认可 R.4.1 CNAS 通过对 ITSMS 认证机构的认证业务范围(见本文件附录 A)进行认可来确定该机
12、构的认可范围。CNAS 按认证业务范围的大类进行认可。CNAS 认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类,且系统运行基本有效。为此,认证机构应满足以下条件: a) 对该大类进行了适宜、有效的能力需求分析; b) 根据该大类的能力需求分析,以适宜、有效的方式确定了能力分析和评价系统的相关组成部分(例如技术领域、能力准则等) ; c) 能力分析和评价系统在与该大类有关的认证活动中有效地发挥了作用。 CNAS 按申请认可的每个大类评价认证机构是否满足以上条件,并根据认证机构ITSMS 认证活动的范围、 规模、 风险水平和绩效对其认证业务范围大类实施见证评审。 R.4.2 CN
13、AS 对某一大类的认可,仅表明 CNAS 基于评审认为,认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力,并不表明 CNAS认为认证机构已经具备了在该大类实施认证活动所需的全部能力, 在该大类的每次认证活动都有效,也不意味着 CNAS 批准认证机构可以对该大类的任何客户实施认证。因此, 认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力。 R R. .5 5 其他其他 R.5.1 CNAS 对 ITSMS 认证机构认可标识的管理遵循 CNAS-R01 认可标识使用和认可状态声明规则的相关要求。 R.5.2 CNAS-RC03 条款 5.2
14、中“获证组织发生重大事故/事件”是指获得 ITSMS 认证的客户发生具有下列之一影响的服务质量事故: a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证客户及其相关方的合法权益; b) 可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连带责任。 发生上述情况时,颁证机构应及时采取相应措施并向 CNAS 通报相关情况。 CNAS-SC175:2017 第 6 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 R.5.3 如果 CNAS 可能需要在评审中接触认证机构的客户的相关信息, 认证机构应向相关客户询问是否同
15、意 CNAS 接触这些信息。如果客户同意,认证机构应识别 CNAS接触这些信息时须满足的所有要求,并告知 CNAS。如果客户不同意或 CNAS 无法满足相关要求,CNAS 将根据评审所受的影响采取相应的措施。 C C 部分部分 C.1 C.1 通用要求(通用要求(CNASCNAS- -CC01CC01 条款条款 5.15.1 至至 5.5.3 3) C C.1.1 .1.1 认证协议认证协议(CNASCNAS- -CC01CC01 条款条款 5.1.25.1.2) 认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定,包括明确认证机构和客户及其有关人员的责任与义务。 C.1.2 C.1
16、.2 风险评估和责任安排风险评估和责任安排(CNASCNAS- -CC01CC01 条款条款 5.3.15.3.1) 认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证机构可能承担的责任进行评估,并做出充分的安排(例如,购买职业责任保险或设立储备金)。 C.2 C.2 能力准则的确定(能力准则的确定(CNASCNAS- -CC01CC01 条款条款 7.1.27.1.2) C.2.1 C.2.1 ITSMSITSMS认证的技术领域认证的技术领域 ITSMS 认证的技术领域见本文件附录 A。 C C.2.2 .2.2 能力需求分析能力需求分析 C.2.2.1 ITSMS认证机构应
17、分析ITSMS审核和认证所需的通用能力和特定技术领域能力(即能力需求分析) ,并形成文件。 C.2.2.2 ITSMS 认证机构的能力需求分析应: a) 包括 ITSMS 认证机构能力管理系统构建和扩展(增加新的技术领域)时进行的能力需求分析,以及在申请评审和审核方案管理中根据特定客户具体情况进行的能力需求分析(见本文件 C.7.2); b) 覆盖各类认证人员。 C.2.2.3 ITSMS认证机构的能力需求分析宜考虑下列方面,并根据下列方面的发展变化及时得到更新: a) 认证活动的范围和规模; b) 信息技术; c) 服务管理理论与实践; d) 适用标准和法律法规; e) 本机构审核和认证的实
18、践(包括针对特定客户的审核和认证能力需求分析,见本文件 C.7.2)。 C C.2.3 .2.3 能力准则能力准则 CNAS-SC175:2017 第 7 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 C.2.3.1 ITSMS认证机构应根据能力需求分析结果确定各类认证人员的能力准则,并根据能力需求分析结果的变化及时更新能力准则。能力准则应包括: a) 认证人员在认证活动中需要实现的预期结果; b) 认证人员为实现预期结果而需要应用的知识和(或)技能的具体内容。 C.2.3.2 除了CNAS-CC01附录A规定的三类认证人员之外,ITSMS认
19、证机构宜参考CNAS-CC01附录A和CNAS-CC175附录A为其他认证人员确定其需要应用的知识和技能的类型、具体内容与相对程度。 注:其他认证人员包括ITSMS认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等。 C.3 C.3 能力评价(能力评价(CNASCNAS- -CC01CC01 条款条款 7.1.37.1.3) C.3.1C.3.1 能力评价过程能力评价过程 ITSMS认证机构应建立并持续改进形成文件的能力评价过程。该过程应包括: a) 初始能力评价(参见 CNAS-CC01 条款 7.1.3); b) 能力和绩效的持续监视(参见 CNAS-CC01 的条款 7.
20、1.3 和条款 7.2.9); c) 能力的复核(参见 CNAS-CC01 条款 7.2.9)。 当能力准则发生变化时(参见本文件C.2.3),ITSMS认证机构应及时对相关人员的能力进行审查和必要的评价。 C.3.2C.3.2 能力评价方法能力评价方法 C.3.2.1 ITSMS认证机构宜确定并持续改进用于判断认证人员是否满足能力准则的评价方法,包括: a) 用于判断认证人员是否具备某一知识或技能的方法,和(或) b) 用于判断认证人员能否实现预期结果的方法。 注:CNAS-CC01附录B和ISO 19011提供了评价方法的指南和示例。 C.3.2.2 ITSMS认证机构在对认证人员的能力进
21、行评价时,宜: a) 获取与能力准则的内容相关的被评价人信息; b) 将被评价人信息与能力准则进行比较,判断被评价人是否满足能力准则。 ITSMS认证机构宜保留上述被评价人信息、比较和判断的记录,这些记录宜足以支持能力评价的结论。 C.4 C.4 审核员的个人行为(审核员的个人行为(CNASCNAS- -CC01CC01 条款条款 7.2.47.2.4) ITSMS认证机构应确定期望ITSMS审核员表现出的个人行为。 注:CNAS-CC01附录D和ISO 19011就期望认证人员表现出的个人行为提供了示例和指南。 C C.5 .5 能力的持续改进(能力的持续改进(CNASCNAS- -CC01
22、CC01 条款条款 7.2.7.2.8 8 和和 7.2.97.2.9) C.5.1 C.5.1 持续专业发展持续专业发展 CNAS-SC175:2017 第 8 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 C.5.1.1 ITSMS认证机构在组织审核员持续专业发展时宜考虑: a) 能力准则的更新; b) 通过能力评价发现的人员实际能力与能力准则的差距; c) 本机构 ITSMS 审核和认证实践的发展。 C.5.1.2 ITSMS 认证机构应根据认证人员的持续专业发展情况复核其能力。 C.5.1.3 ITSMS认证机构应确保审核员在信息技术
23、、服务管理理论与实践以及适用标准和法律法规等方面的知识随着这些方面的发展变化及时得到更新。 C.5.C.5.2 2 交流和研讨交流和研讨 C.5.2.1 ITSMS认证机构宜组织和促进认证人员之间的经验交流和技术研讨,以总结和推广ITSMS审核和认证的经验、方法、技巧。必要时,ITSMS认证机构宜根据上述交流和研讨的成果制定或修订相关文件,例如: ITSMS审核和认证的程序或作业指导文件; ITSMS审核检查单; ITSMS审核和认证的能力需求分析、 能力准则、 能力评价过程或评价方法。 C.5.2.2 上述交流和研讨的频次、范围、规模宜与下列方面相适宜: a) ITSMS 认证机构审核和认证
24、活动的范围、规模和绩效; b) ITSMS 认证机构审核和认证人员的数量、能力范围与水平、工作量和绩效。 C.6 C.6 信息要求(信息要求(CNASCNAS- -CC01CC01 条款条款 8.8.1 1 至至 8.58.5) C.6C.6.1.1 保密(保密(CNASCNAS- -CC01CC01 条款条款 8.48.4) C.6.1.1 在认证审核前,认证机构应要求客户识别并向认证机构告知认证机构在接触相关信息时应满足哪些要求, 包括法律要求、 相关方的要求和客户自身的要求。认证机构应满足所有这些要求,否则不应在认证活动中接触客户的相关信息。 如果认证机构因为无法满足适用的要求而不能接触
25、相关信息,那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施(例如终止审核、缩小审核和认证的范围等)。 如果客户事先没有禁止认证机构接触某一信息,或未告知认证机构应满足的要求,但认证机构在认证过程中发现自己并不具备接触该信息的资格和条件,应立即向客户提出。 C.6.1.2 认证机构应与其ITSMS认证相关人员签订在法律上具有强制实施力的协议,以确保认证相关人员对审核和认证过程中接触到的客户的保密或敏感信息予以保密。认证机构还宜要求直接接触客户信息的认证人员(例如审核组成员)按照客户的保密要求与客户签署保密协议,或向客户做出保密承诺。 C.6.1.3 认证机构宜对其ITSMS认证人员
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CNAS-SC175:2017 信息技术服务管理体系认证机构认可方案 CNAS SC175 2017 信息技术 服务 管理体系 认证 机构 认可 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【yp****2】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【yp****2】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。