CNAS-SC175-2017

2017年01月01日发布2017年01月01日实施CNAS-SC175信息技术服务管理体系认证机构认可方案Accreditationschemeforbodiesprovidingauditandcertificationofinformationtechnologyservicemanagementsystems中国合格评定国家认可委员会CNAS-SC175:2017第1页共19页2017年01月01日发布2017年01月01日实施目次前言.................................................................21范围................................................................32规范性引用文件......................................................33术语和定义..........................................................34ITSMS认证机构认可规范的构成.........................................4R1认可申请...........................................................4R2预访问.............................................................5R3初次认可的见证评审.................................................5R4认证业务范围的认可.................................................5R5其他...............................................................5C.1通用要求（CNAS-CC01条款5.1至5.3）...............................6C.2能力准则的确定（CNAS-CC01条款7.1.2）.............................6C.3能力评价（CNAS-CC01条款7.1.3）...................................7C.4审核员的个人行为（CNAS-CC01条款7.2.4）...........................7C.5能力的持续改进（CNAS-CC01条款7.2.8和7.2.9）.....................7C.6信息要求（CNAS-CC01条款8.4至8.5）...............................8C.7过程要求（CNAS-CC01条款9.1至9.9）...............................9G.1ITSMS认证范围界定指南............................................10G.2ITSMS审核时间确定指南............................................11G.3服务点的抽样.....................................................13附录A（规范性附录）ITSMS认证的技术领域...............................14附录B（资料性附录）ITSMS初次认证审核基本审核时间的测算...............16附录C（资料性附录）ITSMS复杂度及其对审核时间的影响分析...............18CNAS-SC175:2017第2页共19页2017年01月01日发布2017年01月01日实施前言本文件由中国合格评定国家认可委员会（CNAS）制定。本文件是CNAS对信息技术服务管理体系（ITSMS）认证机构提出的特定要求和指南，并与相关认可规则和认可准则共同用于CNAS对ITSMS认证机构的认可。本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。本文件附录A为规范性附录，附录B和C为资料性附录。本文件代替了CNAS-SC175:2015。CNAS-SC175:2017第3页共19页2017年01月01日发布2017年01月01日实施信息技术服务管理体系认证机构认可方案1范围1.1为确保中国合格评定国家认可委员会（CNAS）对实施ISO/IEC20000-1《信息技术服务管理第1部分：服务管理体系要求》认证的信息技术服务管理体系（ITSMS）认证机构实施评审和认可的一致性，指导申请和获得认可的ITSMS认证机构理解和实施认可规范要求，特制定本文件。1.2本文件包括对ITSMS认证机构认可规范的补充和指南，适用于CNAS对ITSMS认证机构的认可。本文件R部分和C部分分别是对相关认可规则和认可准则的补充。本文件G部分是对相关认可准则的应用指南。2规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文件，仅该版本适用于本文件；未注明日期的引用文件，其最新版本（包括任何修订）适用于本文件。CNAS-RC01认证机构认可规则CNAS-CC01管理体系认证机构要求CNAS-CC175信息技术服务管理体系认证机构要求CNAS-CC11基于抽样的多场所认证CNAS-CC12已认可的管理体系认证的转换3术语和定义GB/T19000－2008、GB/T27000－2006和CNAS-CC01中的术语和定义以及下列术语和定义适用于本文件。3.1认证业务范围：认证机构的ITSMS认证活动涉及的技术领域。注：本文件附录A给出了ITSMS认证的技术领域。3.2专业能力：能够应用特定技术领域的知识实现预期结果的本领。3.3服务点：在服务级别协议（SLA）有效期内客户进行特定工作或服务的地点，不在客户的物理范围内。例如驻场服务的客户现场等。CNAS-SC175:2017第4页共19页2017年01月01日发布2017年01月01日实施4ITSMS认证机构认可规范的构成4.1主要规则和准则：CNAS-RC01《认证机构认可规则》是ITSMS认证机构认可活动的基本程序规则；CNAS-CC01《管理体系认证机构要求》是ITSMS认证机构的基本认可准则；CNAS-CC175《信息技术服务管理体系认证机构要求》是ITSMS认证机构的专用认可准则。4.2其他适用的认可规则包括：a)CNAS-R01《认可标识使用和认可状态声明规则》；b)CNAS-R02《公正性和保密规则》；c)CNAS-R03《申诉、投诉和争议处理规则》；d)CNAS-RC02《认证机构认可资格处理规则》；e)CNAS-RC03《认证机构信息通报规则》；f)CNAS-RC04《认证机构认可收费管理规则》；g)CNAS-RC05《多场所认证机构认可规则》；h)CNAS-RC07《具有境外场所的认证机构认可规则》。4.3其他适用的认可准则包括：a)CNAS-CC11《基于抽样的多场所认证》b)CNAS-CC12《已认可的管理体系认证的转换》；c)CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》d)CNAS-CC106《CNAS-CC01在一体化管理体系审核中的应用》。R部分R.1认可申请在中华人民共和国境内从事ITSMS认证活动的认证机构申请认可的（以下称为“申请方”），应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件：a)ITSMS认证活动已被国家认监委批准；b)已按照CNAS-CC01和CNAS-CC175建立了管理体系，且运行时间不少于6个月（如已获CNAS信息安全管理体系认证机构认可，则运行时间不少于3个月）。申请方应提供CNAS-RC01条款5.1.2规定的申请文件以及下列文件和信息：1）ITSMS认证活动国家认监委批准文件复印件；2）已审核过的客户名单（对应到认证业务范围相应大类）；3）自申请时间起6个月内计划实施的审核项目清单（对应到认证业务范围相应大类）；4）需要时，CNAS要求的其他信息。CNAS-SC175:2017第5页共19页2017年01月01日发布2017年01月01日实施R.2预访问必要时，CNAS可在受理申请过程中安排预访问，以了解申请方是否已满足认可申请条件，以及是否基本具备接受认可评审的条件。R.3初次认可的见证评审CNAS结合申请方ITSMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排。R.4认证业务范围的认可R.4.1CNAS通过对ITSMS认证机构的认证业务范围（见本文件附录A）进行认可来确定该机构的认可范围。CNAS按认证业务范围的大类进行认可。CNAS认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类，且系统运行基本有效。为此，认证机构应满足以下条件：a)对该大类进行了适宜、有效的能力需求分析；b)根据该大类的能力需求分析，以适宜、有效的方式确定了能力分析和评价系统的相关组成部分（例如技术领域、能力准则等）；c)能力分析和评价系统在与该大类有关的认证活动中有效地发挥了作用。CNAS按申请认可的每个大类评价认证机构是否满足以上条件，并根据认证机构ITSMS认证活动的范围、规模、风险水平和绩效对其认证业务范围大类实施见证评审。R.4.2CNAS对某一大类的认可，仅表明CNAS基于评审认为，认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力，并不表明CNAS认为认证机构已经具备了在该大类实施认证活动所需的全部能力，在该大类的每次认证活动都有效，也不意味着CNAS批准认证机构可以对该大类的任何客户实施认证。因此，认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力。R.5其他R.5.1CNAS对ITSMS认证机构认可标识的管理遵循CNAS-R01《认可标识使用和认可状态声明规则》的相关要求。R.5.2CNAS-RC03条款5.2中“获证组织发生重大事故/事件”是指获得ITSMS认证的客户发生具有下列之一影响的服务质量事故：a)已经或可能严重损害国家安全、社会秩序、公共利益或获证客户及其相关方的合法权益；b)可能损害颁证机构或CNAS的公信力、声誉，或使颁证机构或CNAS承担连带责任。发生上述情况时，颁证机构应及时采取相应措施并向CNAS通报相关情况。CNAS-SC175:2017第6页共19页2017年01月01日发布2017年01月01日实施R.5.3如果CNAS可能需要在评审中接触认证机构的客户的相关信息，认证机构应向相关客户询问是否同意CNAS接触这些信息。如果客户同意，认证机构应识别CNAS接触这些信息时须满足的所有要求，并告知CNAS。如果客户不同意或CNAS无法满足相关要求，CNAS将根据评审所受的影响采取相应的措施。C部分C.1通用要求（CNAS-CC01条款5.1至5.3）C.1.1认证协议（CNAS-CC01条款5.1.2）认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定，包括明确认证机构和客户及其有关人员的责任与义务。C.1.2风险评估和责任安排（CNAS-CC01条款5.3.1）认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证机构可能承担的责任进行评估，并做出充分的安排（例如，购买职业责任保险或设立储备金）。C.2能力准则的确定（CNAS-CC01条款7.1.2）C.2.1ITSMS认证的技术领域ITSMS认证的技术领域见本文件附录A。C.2.2能力需求分析C.2.2.1ITSMS认证机构应分析ITSMS审核和认证所需的通用能力和特定技术领域能力（即能力需求分析），并形成文件。C.2.2.2ITSMS认证机构的能力需求分析应：a）包括ITSMS认证机构能力管理系统构建和扩