CNAS-CC143-2018 业务连续性管理体系审核及认证的能力要求

2018年04月01日发布2018年10月01日实施CNAS-CC143业务连续性管理体系审核及认证的能力要求Competencerequirementsforauditingandcertificationofbusinesscontinuitymanagementsystems中国合格评定国家认可委员会CNAS-CC143:2018第1页共9页2018年04月01日发布2018年10月01日实施目次前言.................................................................................................................2引言.................................................................................................................31范围..................................................................................................................42规范性引用文件.................................................................................................43术语和定义........................................................................................................44通用能力要求....................................................................................................45业务连续性管理体系审核员、复核审核报告并做出认证决定的人员的能力要求....................................................................................................................45.1总则............................................................................................................45.2业务连续性管理（BCM）术语....................................................................55.3组织环境.....................................................................................................55.4适用法律法规和其他要求............................................................................55.5业务连续性管理过程中的关系.....................................................................55.6业务影响分析和风险评估............................................................................55.7业务连续性策略..........................................................................................55.8事件管理.....................................................................................................65.9业务连续性计划..........................................................................................65.10业务连续性演练........................................................................................65.11业务连续性管理体系绩效评价...................................................................66实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员的能力要求.............................................................................................66.1总则............................................................................................................66.2业务连续性管理术语...................................................................................66.3组织环境.....................................................................................................66.4业务连续性管理过程中的关系.....................................................................7附录A（资料性附录）业务连续性管理体系审核及认证的知识..............................8参考文献.................................................................................................................9CNAS-CC143:2018第2页共9页2018年04月01日发布2018年10月01日实施前言本文件等同采用ISO/IECTS17021-6:2014《合格评定管理体系审核与认证机构要求第6部分：实施业务连续性管理体系审核及认证的能力要求》（Conformityassessment—Requirementsforbodiesprovidingauditandcertificationofmanagementsystems—Part6:Competencerequirementsforauditingandcertificationofbusinesscontinuitymanagementsystems），本文件是CNAS对业务连续性管理体系认证机构的专用认可准则。本文件与管理体系认证机构的基本认可准则CNAS-CC01:2015《管理体系认证机构要求》共同构成CNAS对业务连续性管理体系认证机构的认可准则。本文件附录A为资料性附录。本文件对ISO/IECTS17021-6:2014进行了编辑性修改，包括：1.删除了ISO/IECTS17021-6引言中“本技术规范中使用下列助动词：——“应”表示要求；——“宜”表示建议；——“可以”表示允许；——“能”表示能够。进一步内容参见ISO/IEC指令第2部分。为了研究的目的，鼓励使用者分享他们对本技术规范的观点以及在他们认为在后续版本变化中优先考虑的事项。点击以下链接参加在线调查：”；2.本文件中将对ISO/IEC17021:2011的引用更新为对CNAS-CC01:2015的引用；3.本文件中将对ISO9000的引用调整为对GB/T19000的引用，对ISO19011的引用调整为对GB/T19011的引用，对ISO22301:2012的引用调整为对GB/T30146-2013的引用，对ISO/IEC17000的引用调整为对GB/T27000的引用；4.修正6.1条中对后续条款号（6.2至6.4）的引用，修正附录A的表A.1中对5.4、5.7条款名称的引用。本文件与CNAS适用认可规则、认可准则等规范文件共同构成对业务连续性管理体系认证机构的认可要求。本文件2018年首次发布。CNAS-CC143:2018第3页共9页2018年04月01日发布2018年10月01日实施引言本文件是对CNAS-CC01的补充，特别是明确了CNAS-CC01:2015附录A所述的认证过程涉及人员的能力要求。CNAS-CC01:2015的第4章的指导原则是本文件中要求的基础。对于相关方（包括认证机构的客户和获得管理体系认证的组织的顾客），认证机构有责任确保业务连续性管理体系（BCMS）认证是可靠的、仅使用相关能力得到证实的认证人员。BCMS认证人员需要具有CNAS-CC01:2015所述的通用能力，也具有本文件所述的BCMS特定知识。认证机构需要针对每个BCMS审核的范围识别审核组所需的特定能力。CNAS-CC143:2018第4页共9页2018年04月01日发布2018年10月01日实施业务连续性管理体系审核及认证的能力要求1范围本文件对CNAS-CC01:2015的现有需求进行了补充。本文件包括对业务连续性管理体系（BCMS）认证过程中所涉及人员的特定能力要求。2规范性引用文件本文件中涉及的以下文件的部分或全部内容组成了此文件的要求。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。CNAS-CC01:2015管理体系认证机构要求GB/T27000合格评定词汇和通用原则（ISO/IEC17000，IDT）GB/T30146公共安全业务连续性管理体系要求（ISO22301，IDT）ISO22300公共安全-术语3术语和定义CNAS-CC01:2015、ISO22300、GB/T30146和GB/T27000中给出的术语和定义适用于本文件。4通用能力要求认证机构应对CNAS-CC01:2015表A.1中的每一项认证职能定义能力要求。在定义这些能力要求时，认证机构应考虑CNAS-CC01:2015中规定的所有要求，以及本文件第5章至第6章中规定的所有要求。注1：附录A提供了对特定的认证职能所涉及人员能力要求的信息摘要。注2：GB/T19011提供了审核原则的信息。5业务连续性管理体系审核员、复核审核报告并做出认证决定的人员的能力要求5.1总则所有BCMS审核员、复核审核报告并做出认证决定的人员应具备一定程度的能力，包括CNAS-CC01:2015中所描述的通用能力，以及本文件5.2到5.11所描述的BCMS知识。注1：审核组中的每位审核员不必具备同样的能力，然而审核组的整体能力需要足以实现审核目标。CNAS-CC143:2018第5页共9页2018年04月01日发布2018年10月01日实施注2：尽管知识要求的基本要素都一样，但应该承认对审核员、复核审核报告并做出认证决定的人员而言，知识要求的细节程度可能不尽相同。这由每个独立的认证机构负责确定。5.2业务连续性管理（BCM）术语审核组、复核审核报告并做出认证决定的