认可委 CNAS-CC41信息技术服务管理体系认证机构要求

信息技术服务管理体系认证机构要求

Requirements for bodies providing audit and certification of information technology service management systems

(2013-3-8-征求意见稿)

前言

本文件等同采用国家标准GB/T 27308《合格评定 信息技术服务管理体系审核认证机构要求》。本文件是CNAS对信息技术服务管理体系（ITSMS）认证机构的专用认可准则，与CNAS针对各类管理体系认 证机构的基本认可准则CNAS-CC01《管理体系认证机构要求》共同构成CNAS对ITSMS认证机构的认可要求。

GB/T 27308的现行有效版本为GB/T 27308-2011，其内容基于ISO/IEC 17021:2006《合格评定——管理体系审核认证机构的要求》。ISO/IEC 17021:2006已废止，被ISO/IEC 17021:2011取代，全国认证认可标准化技术委员会正在依据ISO/IEC 17021:2011对GB/T 27308进行修订（由CNAS具体组织实施）；CNAS也已将ISO/IEC 17021:2011等同采用为CNAS-CC01:2011，作为各类管理体系认证机构的基本认可准则。因此，为确保CNAS的信息技术服务管理体系认 证机构认可活动与CNAS的其他各类管理体系认证机构认可活动相一致，本文件暂时等同采用GB/T 27308的修订草案，作为试行版；待GB/T 27308修订版正式发布后，本文件将等同采用正式发布的GB/T 27308。

本文件用术语“应”表示要求，用术语“宜”表示指南。如果ITSMS认证机构未遵循或偏离本文件的指南，则需要向CNAS证实其做法与本文件指南的等效性。

在本文件的条款名称中以“ITS+条款号”的形式出现的，表明该条款及该条款的下级内容是对CNAS-CC01中对应条款在ITSMS的补充要求和指南，例 如：“5.1  ITS 5.1.2 认证协议”，即指该条款是对“CNAS-CC01 5.1.2”在ITSMS的补充。

信息技术服务管理体系认证机构要求

1　范围

本文件提供了对依据GB/T 24405.1《信息技术 服务管理 第1部分：服务管理体系要求》实施信息技术服务管理体系（以下简称“ITSMS”）审核和认证的机构（以下简称“ITSMS认证机构”）的要求和指南，是 对CNAS-CC01的补充，旨在保证ITSMS认证机构的能力与可信性。

注    ：本文件也可以作为ITSMS认证机构间同行评审或其他针对ITSMS认证机构的评价活动的准则文件。

2　规范性引用文件

下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件，然而，鼓励根据本文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本文件。

CNAS-CC01  管理体系认证机构要求（GB/T 27021/ISO/IEC 17021, IDT）

GB/T 24405.1 信息技术 服务管理 第1部分：服务管理体系要求（ISO/IEC 20000-1, IDT）

ISO 19011 管理体系审核指南

3　术语和定义

GB/T 19000、GB/T 24405.1、GB/T 27000和GB/T 27021中确定的术语和定义适用于本文件。

4　原则

CNAS-CC01第4章适用。

5　通用要求

CNAS-CC01第5章适用，并且以下ITSMS特定要求和指南适用。

5.1　ITS 5.1.2认证协议

认证协议应就控制审核和认证活动引发的客户组织信息安全风险做出规定，包括明确认证机构和客户组织及其有关人员的责任与义务。

5.2　ITS 5.3.1风险评估和责任安排

认证机构应对其审核和认证活动可能给客户组织的信息安全带来的风险以及认证机构可能承担的责任进行评估，并做出充分的安排（例如，购买职业责任保险或设立储备金）。

6　结构要求

CNAS-CC01第6章适用于本文件。

7　资源要求

CNAS-CC01的第7章与附录A（规范性附录）适用，并且以下ITSMS特定要求和指南适用。

7.1　ITS 7.1.2能力准则的确定

7.1.1    ITSMS认证的技术领域

ITSMS认证的技术领域见本文件附录A（规范性附录）。

7.1.2    能力需求分析

7.1.2.1  ITSMS认证机构应分析ITSMS审核和认证所需的通用能力和特定技术领域能力（即能力需求分析），并形成文件。

7.1.2.2  ITSMS认证机构的能力需求分析应：

a）    包括ITSMS认证机构能力管理系统构建和扩展（增加新的技术领域）时进行的能力需求分析，以及在申请评审和审核方案管理中根据特定客户具体情况进行的能力需求分析（参见本文件9.2.2）；

b）    覆盖各类认证人员。

ITSMS认证机构的能力需求分析宜：

a）    考虑认证活动的范围和规模；

b）    随着信息技术发展、服务管理理论与实践发展、适用标准和法律法规的变化以及本机构自身审核和认证实践的发展（包括特定客户组织能力需求分析，参见本文件9.2.2）及时得到更新。

7.1.3    能力准则

7.1.3.1  ITSMS认证机构应根据能力需求分析结果确定各类认证人员的能力准则，并根据能力需求分析结果的变化及时更新能力准则。能力准则应包括：

a）    认证人员在认证活动中需要实现的预期结果；

b）    认证人员为实现预期结果而需要应用的知识和（或）技能的具体内容。

7.1.3.2  CNAS-CC01附录A（规范性附录）和本文件附录B（规范性附录）给出了四类认证人员需要应用的知识或技能的类别与相对程度。对于每类认证人员需要应 用的每类知识或技能，ITSMS认证机构应根据该类认证人员需要实现的预期结果，确定此类知识和技能的具体内容。

对于以上四类认证人员以外的其他认证人员，ITSMS认证机构宜参考CNAS-CC01附录A（规范性附录）和本文件附录B（规范性附录）确定其需要应用的知识和（或）技能的类型、具体内容与相对程度。

注    ：其他认证人员包括ITSMS认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等。

7.2　ITS 7.1.3能力评价

7.2.1　能力评价过程

ITSMS认证机构应建立并持续改进形成文件的能力评价过程。该过程应包括：

a）    初始能力评价（参见CNAS-CC01条款7.1.3）；

b）    能力和绩效的持续监视（参见CNAS-CC01的条款7.1.3和条款7.2.10）；

c）    能力的复核（参见CNAS-CC01条款7.2.10）。

当能力准则发生变化时（参见本文件7.1.3.1），ITSMS认证机构应及时对相关人员的能力进行审查和必要的评价。

7.2.2　能力评价方法

ITSMS认证机构宜确定并持续改进用于判断认证人员是否满足能力准则的评价方法，包括：

a）    用于判断认证人员是否具备某一知识或技能的方法，和（或）

b）    用于判断认证人员能否实现预期结果的方法。

注    ：CNAS-CC01附录B（资料性附录）和ISO 19011提供了评价方法的指南和示例。

ITSMS认证机构在对认证人员的能力进行评价时，宜：

a）    获取与能力准则的内容相关的被评价人信息，然后

b）    将被评价人信息与能力准则进行比较，判断被评价人是否满足能力准则。

ITSMS认证机构宜保留上述被评价人信息、比较和判断的记录，这些记录宜足以支持能力评价的结论。

7.3　ITS 7.2.4审核员的个人行为

ITSMS认证机构应确定期望ITSMS审核员表现出的个人行为。

注    ：CNAS-CC01附录D（资料性附录）和ISO 19011就期望认证人员表现出的个人行为提供了示例和指南。

7.4　能力的持续改进

7.4.1  （对CNAS-CC01条款7.2.8和7.2.10的补充）ITSMS认证机构宜为认证人员提供持续专业发展机会，以使其能力得到保持和改进。持续专业发展的方式可以包括（但不限于）：

——获取工作经验；

——培训；

——辅导；

——自学；

——研讨会、会议或其他类似活动。

7.4.2  ITSMS认证机构宜确保审核员在信息技术、服务管理理论与实践以及适用标准和法律法规等方面的知识及时得到更新，并宜根据审核员的持续专业发展情况复核其能力。

ITSMS认证机构在组织审核员持续专业发展时，宜考虑：

a）    能力准则的更新；

b）    通过能力评价发现的人员实际能力与能力准则的差距；

c）    信息技术、服务管理理论与实践的发展；

d）    适用标准和法律法规的变化；

e）    本机构ITSMS审核和认证实践的发展。

7.4.3  ITSMS认证机构宜组织和促进认证人员之间的经验交流和技术研讨，以总结和推广ITSMS审核和认证的经验、方法、技巧，并在必要时，根据交流和研讨的成果制定或修订相关文件，例如：

——ITSMS审核和认证的程序或作业指导文件；

——ITSMS审核检查单；

——ITSMS审核和认证的能力需求分析、能力准则、能力评价过程或评价方法。

ITSMS认证机构在确定上述交流和研讨的频次、范围、规模等宜考虑：

a）    ITSMS认证机构审核和认证活动的范围、规模和绩效；

b）    ITSMS认证机构审核和认证人员的数量、能力范围与水平、工作量和绩效。

8　信息要求

CNAS-CC01第8章适用，并且以下ITSMS特定要求和指南适用。

8.1　ITS 8.5保密

8.2.1    在认证审核前，认证机构应要求客户组织识别并向认证机构告知其ITSMS范围内的哪些信息资产不允许认证机构接触，或者认证机构在接触相关信息资产时应 满足哪些要求，包括法律要求、相关方的要求和组织自身的要求。认证机构应满足所有这些要求，否则不应在认证活动中接触组织的相关信息资产。

如果认证机构因为未获得组织的允许或无法满足适用的要求而不能接触相关信息资产，那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施（例如终止审核、缩小审核和认证的范围等）。

如果组织事先没有禁止认证机构接触某一信息资产，或未告知认证机构应满足的要求，但认证机构在认证过程中发现自己并不具备接触该信息资产的资格和条件，应立即向组织提出。

8.2.2    认证机构应与其ITSMS认证相关人员签订在法律上具有强制实施力的协议，以确保认证相关人员对审核和认证过程中接触到的组织的保密或敏感信息予以保 密。认证机构还宜要求直接接触组织信息的认证人员（例如审核组成员）按照组织的保密要求与组织签署保密协议，或向组织做出保密承诺。

8.2.3    认证机构宜对其ITSMS认证人员进行保密意识教育，并进行保密方面的法律法规、标准、规章制度、知识技能的培训。

8.2.4    审核组成员不宜在审核过程中以任何方式记录受审核组织的保密或敏感信息。审核组在离开受审核组织前，宜请受审核组织检查和确认审核组携带的文件、资料和设备中未夹带受审核组织的任何保密或敏感信息。

8.2.5    认证机构应为包含客户组织保密或敏感信息的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁建立保密程序。

8.2　ITS 8.6.3客户ITSMS变化的通报

认证机构应要求客户组织即时向认证机构通报：

a）    ITSMS范围和边界的变化；

b）    与其ITSMS相关的法律法规的变化。

9　过程要求

CNAS-CC01第9章适用，并且以下ITSMS特定要求和指南适用。

9.1　ITS 9.1通用要求

9.1.1　ITS 9.1.1审核方案

ITSMS认证机构宜遵循ISO 19011相关指南针对每个客户组织建立审核方案，并对该审核方案进行管理。

9.1.2　ITS 9.1.2.2.3客户ITSMS的范围和边界

ITSMS认证机构应确保客户组织通过其业务活动、组织单元、地理位置、资产和技术等清晰界定其ITSMS的范围和边界。

注    ：ISO/IEC TR 20000-3就ITSMS范围的界定提供了指南。

9.1.3　ITS 9.1.2.2.4管理体系规范性文件的解释

如果需要对GB/T 24405.1的应用做出解释，这种解释应由公正的和具备必要技术能力的相关委员会或人员给出，并由ITSMS认证机构正式发布。

9.1.4　ITS 9.1.9.5.2审核方法

ITSMS认证审核所使用的信息收集方法还宜包括对ITSMS过程有效性的测试。

ITSMS认证审核计划中宜说明拟在审核中使用的远程审核技术。

注    ：远程审核技术，例如，电话会议、网络会议、基于网络的互动式沟通和远程电子访问ITSMS文件和（或）ITSMS过程等方式。关注这些技术将有助于提高审核的有效性和效率，并支持审核过程的完整性。

9.1.5　ITS 9.1.10审核报告

ITSMS认证审核报告宜提供客户组织的服务风险分析的信息。

9.2　ITS 9.2初次审核与认证

9.2.1　ITS 9.2.1申请

ITSMS 认证机构宜要求客户组织向其说明适用的关于ITSMS认证机构的资质、诚信守法记录或认证人员身份背景的要求，以及适用的与保守国家秘密或维护国家安全有 关的法律法规要求，并即时更新该说明，以便ITSMS认证机构判断其是否具备对该组织实施认证活动的资格或条件。

ITSMS认证机构应要求客户组织确定其ITSMS的范围（参见本文件9.1.2）。认证机构应确保组织的ITSMS范围恰当地反映其服务活动，并确保组织没有将其活动中应包含的ITSMS运行要素排除在认证范围之外。

适用时，客户组织应在递交认证申请时指明不完全包含在ITSMS范围内的服务活动。例如，与其他组织共同提供服务的情况。

9.2.2　ITS 9.2.2特定客户组织的能力需求分析

ITSMS认证机构应在申请评审中，基于本文件7.1.2.2 a）所述的能力需求分析的结果，根据特定客户组织的具体情况分析对其实施审核和认证所需的能力，并确保相关认证人员具备或能够获取所需的能力。

特定客户组织的能力需求分析宜关注那些在进行本文件7.1.2.2 a）所述的能力需求分析时未考虑到的情况。

ITSMS认证机构宜根据已获证客户组织ITSMS的变化对已有的能力需求分析结果进行审查和必要的更新。

9.2.3　ITS 9.2.3初次认证审核

9.2.3.1  ITS 9.2.3.1第一阶段审核

当客户组织由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息时，认证机构应通过第一阶段审核在客户组织的现场补充对上述信息的确认，并完成申请评审任务。这种情况下，认证机构应增加第一阶段现场审核时间。

9.2.3.2  ITS 9.2.3.2第二阶段审核

ITSMS初次认证第二阶段审核应关注客户组织的下列方面：

a）    GB/T 24405.1对ITSMS文件的要求；

b）    服务管理目标和计划的实施、监视、测量和审查；

c）    服务管理过程之间的相互作用；

d）    ITSMS内部审核和管理评审；

e）    关于服务管理方针的管理职责；

10　认证机构的管理体系要求

CNAS-CC01第10章适用。