CNAS-SC143-2018 业务连续性管理体系认证机构认可方案

2018年04月01日发布2018年10月01日实施CNAS-SC143业务连续性管理体系认证机构认可方案Accreditationschemeforbodiesprovidingauditandcertificationofbusinesscontinuitymanagementsystems中国合格评定国家认可委员会CNAS-SC143:2018第1页共12页2018年04月01日发布2018年10月01日实施目次前言....................................................................................................................21范围..................................................................................................................32规范性引用文件.................................................................................................33术语和定义........................................................................................................34BCMS认证机构认可规范的构成.......................................................................3R部分..............................................................................................................4R.1预访问...........................................................................................................4R.2认证业务范围的认可......................................................................................4R.3其他...............................................................................................................4C部分..............................................................................................................5C.1审核方案（CNAS-CCO1条款9.1.3）.............................................................5G部分..............................................................................................................5G.1能力需求分析与评价系统（CNAS-CC01条款7.1.2）.....................................5G.2审核时间（CNAS-CCO1条款9.1.4）..............................................................5附录A（规范性附录）BCMS认证业务范围分类表................................................6附录B（资料性附录）BCMS能力需求分析与评价................................................7附录C（资料性附录）BCMS认证审核时间确定指南.............................................9CNAS-SC143:2018第2页共12页2018年04月01日发布2018年10月01日实施前言本文件由中国合格评定国家认可委员会（CNAS）制定。本文件是CNAS对业务连续性管理体系（BCMS）认证机构提出的特定要求和指南，并与相关认可规则和认可准则共同用于CNAS对BCMS认证机构的认可。本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。本文件附录A为规范性附录，附录B和C为资料性附录。本文件2018年首次发布。CNAS-SC143:2018第3页共12页2018年04月01日发布2018年10月01日实施业务连续性管理体系认证机构认可方案1范围1.1为确保中国合格评定国家认可委员会（CNAS）对实施ISO22301《公共安全业务连续性管理体系要求》认证的业务连续性管理体系（BCMS）认证机构实施评审和认可的一致性，指导申请和获得认可的BCMS认证机构理解和实施认可规范要求，特制定本文件。1.2本文件包括对BCMS认证机构认可规范的补充和指南，适用于CNAS对BCMS认证机构的认可。本文件R部分和C部分分别是对相关认可规则和认可准则的补充。本文件G部分是对相关认可准则的应用指南。2规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文件，仅该版本适用于本文件；未注明日期的引用文件，其最新版本（包括任何修订）适用于本文件。CNAS-RC01认证机构认可规则CNAS-RC03认证机构信息通报规则CNAS-CC01管理体系认证机构要求3术语和定义CNAS-CC01和ISO22300中的术语和定义以及下列术语和定义适用于本文件。4BCMS认证机构认可规范的构成4.1主要规则和准则：CNAS-RC01《认证机构认可规则》是BCMS认证机构认可活动的基本程序规则；CNAS-CC01《管理体系认证机构要求》是BCMS认证机构的基本认可准则；CNAS-CC143《业务连续性管理体系审核及认证的能力要求》是BCMS认证机构的专用认可准则。4.2其他适用的认可规则包括：a)CNAS-R01《认可标识使用和认可状态声明规则》；b)CNAS-R02《公正性和保密规则》；CNAS-SC143:2018第4页共12页2018年04月01日发布2018年10月01日实施c)CNAS-R03《申诉、投诉和争议处理规则》；d)CNAS-RC02《认证机构认可资格处理规则》；e)CNAS-RC03《认证机构信息通报规则》；f)CNAS-RC04《认证机构认可收费管理规则》；g)CNAS-RC05《多场所认证机构认可规则》；h)CNAS-RC07《具有境外场所的认证机构认可规则》。4.3其他适用的认可准则包括：a)CNAS-CC11《多场所组织的管理体系审核与认证》b)CNAS-CC12《已认可的管理体系认证的转换》；c)CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》d)CNAS-CC106《CNAS-CC01在一体化管理体系审核中的应用》。R部分R.1预访问必要时，CNAS可在受理申请过程中安排预访问，以了解申请方是否已满足认可申请条件，以及是否基本具备接受认可评审的条件。R.2认证业务范围的认可CNAS按照本文件附录A来管理BCMS认证机构的认证业务范围。通常，CNAS按认证业务范围的大类进行认可。初次认可时，CNAS需见证1次认证机构对同一个客户实施的第一阶段审核和第二阶。获得认可之后，CNAS将每年见证1次认证机构的现场审核活动。在选择被见证的认证审核项目时，CNAS将考虑认证机构的发证数量、认证项目的典型性/风险程度/组织规模、审核类型、以往的见证评审情况等因素。R.3其他R.3.1CNAS-RC03条款5.2中“获证组织发生重大事故/事件”是指获得BCMS认证的客户发生具有下列之一影响的服务质量事故：a)已经或可能严重损害国家安全、社会秩序、公共利益或获证客户及其相关方的合法权益；b)可能损害颁证机构或CNAS的公信力、声誉，或使颁证机构或CNAS承担连带责任。发生上述情况时，颁证机构应及时采取相应措施并向CNAS通报相关情况。R.3.2如果CNAS可能需要在评审中接触认证机构的客户的相关信息，认证机构应向相关客户询问是否同意CNAS接触这些信息。如果客户同意，认证机构应识别CNAS-SC143:2018第5页共12页2018年04月01日发布2018年10月01日实施CNAS接触这些信息时须满足的所有要求，并告知CNAS。如果客户不同意或CNAS无法满足相关要求，CNAS将根据评审所受的影响采取相应的措施。C部分C.1审核方案（CNAS-CCO1条款9.1.3）BCMS审核方案宜包含对客户演练活动的现场观察，以便为确定客户BCMS的有效性建立充分的信心。审核方案中对现场观察客户演练活动的安排，宜与客户的业务影响分析（BIA）结果和认证机构对客户BCMS的风险与绩效的评估结果相适宜。注：对客户BCMS的演练活动的现场观察，宜不晚于获证后的第一次监督审核活动。G部分G.1能力需求分析与评价系统（CNAS-CC01条款7.1.2）附录B为认证机构建立BCMS的能力需求分析与评价系统提供了指南。G.2审核时间（CNAS-CCO1条款9.1.4）附录C为认证机构确定BCMS认证审核时间提供了指南。CNAS-SC143:2018第6页共12页2018年04月01日发布2018年10月01日实施附录A（规范性附录）BCMS认证业务范围分类表大类编号大类名称1制造业2电力、热力、燃气及水生产和供应业3交通运输、仓储和邮政业4信息传输、软件和信息技术服务业5金融业6其他注：1)该分类表基于GB/T4754-2011国民经济行业分类，重点关注了那些组织发生业务中断时将造成较大影响的行业，同时也考虑了现有的BCMS认证市场；2)基于对BCMS认证机构认可市场的分析，CNAS目前仅在编号为1-5的大类内开展认可。CNAS-SC143:2018第7页共12页2018年04月01日发布2018年10月01日实施附录B（资料性附录）BCMS能力需求分析与评价B.1引言BCMS认证机构的能力需求分析宜：a)包括BCMS认证机构能力管理系统构建和扩展（如增加新的技术领域）时进行的能力需求分析，以及在申请评审和审核方案管理中根据特定客户具体情况进行的能力需求分析；b)覆盖与BCMS认证与审核活动相关的各类人员，包括认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等。c)能够根据业务连续性管理理论与实践、适用标准与法规和认证机构的BCMS认证实践（如认证范围、认证经验等）的变化及时更新；对特定技术领域的能力需求分析，宜考虑相应的业务活动的典型流程、业务连续面对的特定风险、所使用的信息通信技术（ICT）、与业务连续性有关的法律法规和标准、业务连续性计划的演练技术等。B.2能力准则对于复核审核报告和做出认证决定的人员和审核和领导审核组的人员，还宜知晓相应业务所使用的信息通信技术（ICT）和业务影响分析（BIA）方法。B.3能力评价BCMS认证机构在对认证人员的能力进行评价时宜：a)获取与能力准则的内容相关的被评价人信息；b)将被评价人信息与能力准则进行比较，判断被评价人员是否满足能力准则。BCMS认证机构宜保留上述被评价人信息、比较和判断的记录，这些记录宜足以支持能力评价的结论。B.4能力的持续改进BCMS认证机构在组织审核员持续专业发展时宜考虑：a)能力准则的更新；b)通过能力评价发