CNAS-SC175 信息技术服务管理体系认证机构认可方案.pdf
《CNAS-SC175 信息技术服务管理体系认证机构认可方案.pdf》由会员分享,可在线阅读,更多相关《CNAS-SC175 信息技术服务管理体系认证机构认可方案.pdf(16页珍藏版)》请在咨信网上搜索。
1、 2013 年 12 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 CNAS-SC175 信息信息技术服务技术服务管理体系认证机构认可方案管理体系认证机构认可方案 Accreditation scheme for bodies providing audit and certification of information technology service management systems 中国合格评定国家认可委员会 CNAS-SC175:2013 第 2 页 共 16 页 2013 年 12 月 01 日 发布 2015 年
2、 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 目目 次次 前 言.3 1 范围.4 2 规范性引用文件.4 3 术语和定义.4 4 ITSMS 认证机构认可规范的构成.5 R1 认可申请.5 R2 预访问.6 R3 初次认可的见证评审.6 R4 认证业务范围的认可.6 R5 其他.6 C1 已认可的 ITSMS 认证的转换(CNAS-CC01 条款 9.1.3.4).7 G1 ITSMS 认证范围界定指南.7 G2 ITSMS 审核时间确定指南.8 G3 多场所组织及其服务点的抽样.10 附录 A(资料性附录)ITSMS 初次认证审核基本审核时间的测算.13 附录
3、B(资料性附录)ITSMS 复杂度及其对审核时间的影响分析.15 CNAS-SC175:2013 第 3 页 共 16 页 2013 年 12 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 前前 言言 本文件由中国合格评定国家认可委员会(CNAS)制定。本文件是 CNAS 对信息技术服务管理体系(ITSMS)认证机构提出的特定要求和指南,并与相关认可规则和认可准则共同用于 CNAS 对 ITSMS 认证机构的认可。本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议。本文件 2013 年首次发布,2015 年两次修订主要
4、进行了如下编辑性调整:1)4.2 条款 a)和 h),更新了 CNAS-R01 和 CNAS-R07 的文件名称;2)R.5.1 条款,删除了有关 CNAS ITSMS 认证机构认可标识的描述;3)R.5.2 条款,更新对 CNAS-RC03 相关条款的引用;4)更新了本文件对 CNAS-CC01:2015 相关条款的引用;5)第 3 章,增加了对 CNAS-CC01 的引用,同时删除了“能力”和“技术领域”两个术语。CNAS-SC175:2013 第 4 页 共 16 页 2013 年 12 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日
5、实施 信息技术服务管理体系认证机构认可方案 信息技术服务管理体系认证机构认可方案 1 范围范围 1.1 为确保中国合格评定国家认可委员会(CNAS)对实施 GB/T 24405.1信息技术 服务管理 第 1 部分:服务管理体系要求(ISO/IEC 20000-1,IDT)认证的信息技术服务管理体系(ITSMS)认证机构实施评审和认可的一致性,指导申请和获得认可的 ITSMS 认证机构理解和实施认可规范要求,特制定本文件。1.2 本文件包括对ITSMS认证机构认可规范的补充和指南,适用于CNAS对ITSMS认证机构的认可。本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充。本文件
6、G 部分是对相关认可准则的应用指南。2 规范性引用文件规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文件,仅该版本适用于本文件;未注明日期的引用文件,其最新版本(包括任何修订)适用于本文件。CNAS-RC01 认证机构认可规则 CNAS-CC01 管理体系认证机构要求 CNAS-CC175 信息技术服务管理体系认证机构要求 CNAS-CC12 已认可的管理体系认证的转换 3 术语和定义术语和定义 GB/T 190002008、GB/T 270002006 和 CNAS-CC01 中的术语和定义以及下列术语和定义适用于本文件。3.1 认证业务范围:认证机构的
7、ITSMS 认证活动涉及的技术领域。注:CNAS-CC175信息技术服务管理体系认证机构要求附录 A 给出了 ITSMS认证的技术领域。3.2 专业能力:能够应用特定技术领域的知识实现预期结果的本领。3.3 场所:客户组织实施活动或提供服务的永久性地点。3.4 多场所组织:客户组织有一个确定的中心职能机构(以下称作中心办公室,但不一定是客户组织的总部)来策划、控制或管理某些活动,并且有一个由地方办公室CNAS-SC175:2013 第 5 页 共 16 页 2013 年 12 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 或分支(即场
8、所)组成的网络来实施(或部分实施)这些活动。注:客户组织的多场所可以是多个法律实体,例如流程的外包商。3.5 服务点:在服务级别协议(SLA)有效期内客户组织进行特定工作或服务的地点,不在客户组织的物理范围内。例如驻场服务的客户现场等。4 ITSMS 认证机构认可规范的构成认证机构认可规范的构成 4.1 主要规则和准则:CNAS-RC01认证机构认可规则是 ITSMS 认证机构认可活动的基本程序规则;CNAS-CC01管理体系认证机构要求是 ITSMS 认证机构的基本认可准则;CNAS-CC175信息技术服务管理体系认证机构要求是 ITSMS 认证机构的专用认可准则。4.2 其他适用的认可规则
9、包括:a)CNAS-R01认可标识使用和认可状态声明规则;b)CNAS-R02公正性和保密规则;c)CNAS-R03申诉、投诉和争议处理规则;d)CNAS-RC02认证机构认可资格处理规则;e)CNAS-RC03认证机构信息通报规则;f)CNAS-RC04认证机构认可收费管理规则;g)CNAS-RC05多场所认证机构认可规则;h)CNAS-RC07具有境外场所的认证机构认可规则。4.3 其他适用的认可准则包括:a)CNAS-CC12已认可的管理体系认证的转换;b)CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用。R 部分部分 R1 认可申请认可申请 在中华人民共和国境内从事
10、 ITSMS 认证活动的认证机构申请认可的(以下称为“申请方”),应具备 CNAS-RC01 条款 5.1.1 规定的基本条件以及下列条件:a)ITSMS 认证活动已被国家认监委批准;b)已按照 CNAS-CC01 和 CNAS-CC175 建立了管理体系,且运行时间不少于6 个月(如已获 CNAS 信息安全管理体系认证机构认可,则运行时间不少于3 个月)。申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息:CNAS-SC175:2013 第 6 页 共 16 页 2013 年 12 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015
11、年 12 月 16 日 实施 1)ITSMS 认证活动国家认监委批准文件复印件;2)已审核过的客户组织名单(对应到认证业务范围相应大类);3)自申请时间起 6 个月内计划实施的审核项目清单(对应到认证业务范围相应大类);4)需要时,CNAS 要求的其他信息。R2 预访问预访问 必要时,CNAS 可在受理申请过程中安排预访问,以了解申请方是否已满足认可申请条件,以及是否基本具备接受认可评审的条件。R3 初次认可的见证评审初次认可的见证评审 CNAS 结合申请方 ITSMS 认证活动的范围、规模和风险水平确定初次认可的见证评审安排,通常情况下进行不少于两次见证评审。R4 认证业务范围的认可认证业务
12、范围的认可 R4.1 CNAS 通过对 ITSMS 认证机构的认证业务范围(见 CNAS-CC175 附录 A)进行认可来确定该机构的认可范围。CNAS 按认证业务范围的大类进行认可。CNAS认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类,且系统运行基本有效。为此,认证机构应满足以下条件:a)对该大类进行了适宜、有效的能力需求分析;b)根据该大类的能力需求分析,以适宜、有效的方式确定了能力分析和评价系统的相关组成部分(例如技术领域、能力准则等);c)能力分析和评价系统在与该大类有关的认证活动中有效地发挥了作用。CNAS 按申请认可的每个大类评价认证机构是否满足以上条件,并根据
13、认证机构ITSMS 认证活动的范围、规模、风险水平和绩效对其认证业务范围大类实施见证评审。通常情况下,初次认可至少选取 2 个、复评至少选取 1 个申请或已获认可的认证业务范围大类实施见证评审;每次监督评审至少选取 1 个申请或已获认可的认证业务范围大类实施监督评审;扩大认可范围评审视情况确定需见证评审的认证业务范围的数量。R4.2 CNAS 对某一大类的认可,仅表明 CNAS 基于评审认为,认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力,并不表明CNAS 认为认证机构已经具备了在该大类实施认证活动所需的全部能力,在该大类的每次认证活动都有效,也不意味着 CNAS
14、 批准认证机构可以对该大类的任何客户组织实施认证。因此,认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力。R5 其他其他 CNAS-SC175:2013 第 7 页 共 16 页 2013 年 12 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 R5.1 CNAS 对 ITSMS 认证机构认可标识的管理遵循 CNAS-R01 认可标识使用和认可状态声明规则的相关要求。R5.2 CNAS-RC03 条款 5.2 中“获证组织发生重大事故/事件”是指获得 ITSMS 认证的客户组织发生具有下列之一影响的服务质量
15、事故:a)已经或可能严重损害国家安全、社会秩序、公共利益或获证客户组织及其相关方的合法权益;b)可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连带责任。发生上述情况时,颁证机构应及时采取相应措施并向 CNAS 通报相关情况。R5.3 如果 CNAS 可能需要在评审中接触认证机构的客户组织的相关信息,认证机构应向相关客户组织询问是否同意 CNAS 接触这些信息。如果客户组织同意,认证机构应识别 CNAS 接触这些信息时须满足的所有要求,并告知 CNAS。如果客户组织不同意或 CNAS 无法满足相关要求,CNAS 将根据评审所受的影响采取相应的措施。C 部分部分 C1
16、 已认可的已认可的 ITSMS 认证的转换(认证的转换(CNAS-CC01 条款条款 9.1.3.4)认证机构仅应根据CNAS-CC12对CNAS认可的其他认证机构颁发的ITSMS认证实施转换。除此以外的其他情况应按照初次认证对待。此时,认证机构若要考虑客户组织以往所获的 ITSMS 认证,应满足 CNAS-CC01 条款 9.1.3.4 的要求。G 部分部分 G1 ITSMS 认证范围界定指南认证范围界定指南 ITSMS 认证范围宜基于服务提供者对其 ITSMS 范围的描述界定。ISO/IEC TR 20000-3 建议服务提供者通过下列参数描述其 ITSMS 的范围:a)提供服务的组织单元
17、,例如单个部门、一组部门或所有部门;b)所提供的服务,例如单个服务,一组服务或所有服务;或金融服务、零售服务、电子邮件服务;c)服务提供者交付服务的物理场所,例如单一办公场所、一组办公场所、区域的、全国的或全球的;d)顾客及其地点,例如一个顾客、多个顾客、外部顾客或内部顾客;e)服务提供所使用的技术。ITSMS 范围的描述不能包括有助于服务交付的其他方的名称。CNAS-SC175:2013 第 8 页 共 16 页 2013 年 12 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 ITSMS 范围描述示例:中文:“服务提供者的组织单元
18、的名称 从从 地理位置 向向 顾客的组织和(或)组织单元的名称 交付交付 服务 的服务管理体系的服务管理体系”英文:“The service management system of name of service provider organizational unit that delivers service(s)to customer organizational name and/or name of organizational unit from geographical location”G2 ITSMS 审核时间确定指南 审核时间确定指南 G2.1 概述概述 对于每一个申请
19、ITSMS 认证的客户组织,认证机构需要确定初次认证审核(含一、二阶段)、监督审核和再认证审核所需要的审核时间。本条旨在建立一套科学合理的审核时间确定方法,确保各认证机构在确定审核时间上保持一致。在此基础上,本条提倡认证机构根据客户组织的 ITSMS 范围所涉及的服务活动种类、客户组织规模以及业务的复杂程度等信息对审核时间进行调整。经验表明,除了根据认证审核流程确定的基本审核时间外,客户组织 ITSMS 范围涉及的物理场所的分布情况、客户组织的规模、业务的复杂程度、所提供的服务种类、服务点的数量及其分布等基本情况对认证机构在核定审核活动所需的审核时间也均有着很大影响。G2.2 审核时间的确定审
20、核时间的确定 在进行初次认证审核时间确定时,认证机构应根据 G2.3.1 中的计算公式对审核时间进行计算。G2.3.1 中公式内的基本审核时间 Tj为进行 ITSMS 认证审核的最少审核人日。认证机构在执行 ITSMS 认证审核时所用的时间不得低于基本审核时间 Tj中规定的审核人日。G2.3.1 中公式同时包含服务种类增加所需审核时间 Tz及体系复杂度影响所需审核时间 Tf两个时间变量要素。需要增加时间变量要素时,认证机构需在审核方案中予以记录,并给出审核时间增加的理由。G2.3 初次认证审核时间的计算初次认证审核时间的计算 G2.3.1 初次认证审核时间初次认证审核时间 Tc 初次认证审核时
21、间包含审核组初次认证审核(含第一阶段审核、第二阶段审核)所需的全部审核时间,其中包括接触客户组织、人员、记录、文件、过程和书写计划及报告所用的时间。不包含审核员的旅途时间。初次认证审核时间按式(1)计算:Tc=Tj+Tz+Tf(1)式中:Tc 初次认证审核时间;Tj 基本审核时间;Tz 服务种类增加所需审核时间;CNAS-SC175:2013 第 9 页 共 16 页 2013 年 12 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 Tf 体系复杂度影响所需审核时间。G2.3.2 基本审核时间基本审核时间 Tj 基本审核时间 Tj为初
22、次认证审核所需的基本时间,基于以下条件所确定:a)客户组织物理场所为单一场所;b)客户组织所申请的ITSMS认证范围仅涵盖ITSMS认证业务范围的一个中类;c)客户组织 ITSMS 体系覆盖人数少于 50 人;d)客户组织 ITSMS 体系覆盖内的 SLA 数量少于 10 个;e)客户组织 ITSMS 体系覆盖内的供应商数量少于 5 个。基本审核时间为 8 人日,其测算参见本文件附录 A。当客户组织认证范围超出以上基本限制条件时,认证机构应通过对服务种类增加所需审核时间 Tz及体系复杂度影响所需审核时间 Tf进行增加调整,以保证审核人日满足本条要求。G2.3.3 服务种类增加所需审核时间服务种
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CNAS-SC175 信息技术服务管理体系认证机构认可方案 CNAS SC175 信息技术 服务 管理体系 认证 机构 认可 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【fangha****n2009】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【fangha****n2009】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。