认可委 CNAS-SC41信息技术服务管理体系认证机构认可方案
CNAS-SC41信息技术服务管理体系认证机构认可方案
Accreditation scheme for bodies providing audit and certification of information technology service management systems
(2013-3-6-征求意见稿)
中国合格评定国家认可委员会
前 言
本文件由中国合格评定国家认可委员会(CNAS)制定。
本文件是CNAS对信息技术服务管理体系(ITSMS)认证机构提出的特定要求和指南,并与相关认可规则和认可准则共同用于CNAS对ITSMS认证机构的认可。
本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议。
信息技术服务管理体系认证机构认可方案
1 范围
1.1 为确保CNAS对实施GB/T 24405.1《信息技术 服务管理 第1部分:服务管理体系要求》(ISO/IEC 20000-1, IDT)认证的信息技术服务管理体系(以下称为“ITSMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的ITSMS认证机构理解和实施认可 规范要求,特制定本文件。
1.2 本文件包括对信息技术服务管理体系认证机构认可规范的补充说明和指南,适用于CNAS对ITSMS认证机构的认可。
本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明。本文件G部分是对相关认可准则的应用指南。
2 规范性引用文件
下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。
CNAS-RC01《认证机构认可规则》
CNAS-CC01《管理体系认证机构要求》
CNAS-CC41《信息技术服务管理体系认证机构要求》
CNAS-CC12《已认可的管理体系认证的转换》
3 术语和定义
GB/T 19000-2008和GB/T 27000-2006中的术语和定义以及下列术语和定义适用于本文件。
3.1 认证业务范围:认证机构的ITSMS认证活动涉及的技术领域。
注:CNAS-CC41《信息技术服务管理体系认证机构要求》附录A给出了ITSMS认证的技术领域。
3.2 能力:应用知识和技能实现预期结果的本领。
3.3 技术领域:以ITSMS相关过程的共性为特征的领域。
3.4 专业能力:能够应用特定技术领域的知识实现预期结果的本领。
3.5 场所:组织实施活动或提供服务的永久性地点。
3.6 多场所组织:组织有一个确定的中心职能机构(以下称作中心办公室,但不一定是组织的总部)来策划、控制或管理某些活动,并且有一个由地方办公室或分支(即场所)组成的网络来实施(或部分实施)这些活动。
注:组织的多场所可以是多个法律实体,例如流程的外包商。
3.7 服务点:在服务级别协议(SLA)有效期内组织进行特定工作或服务的地点,不在组织的物理范围内。例如驻场服务的客户现场等。
4 ITSMS认证机构认可规范的构成
4.1 主要规则和准则:
CNAS-RC01《认证机构认可规则》是ITSMS认证机构认可活动的基本程序规则;
CNAS-CC01《管理体系认证机构要求》是ITSMS认证机构的基本认可准则;
CNAS-CC41《信息技术服务管理体系认证机构要求》是ITSMS认证机构的专用认可准则。
4.2 其他适用的认可规则包括:
a) CNAS-R01《认可标识和认可状态声明管理规则》;
b) CNAS-R02《公正性和保密规则》;
c) CNAS-R03《申诉、投诉和争议处理规则》;
d) CNAS-RC02《认证机构认可资格处理规则》;
e) CNAS-RC03《认证机构信息通报规则》;
f) CNAS-RC04《认证机构认可收费管理规则》;
g) CNAS-RC05《多场所认证机构认可规则》;
h) CNAS-RC07《具有境外关键场所的认证机构认可规则》。
4.3 其他适用的认可准则包括:
a) CNAS-CC12《已认可的管理体系认证的转换》;
b) CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》。
R部分
R.1 认可申请
在中华人民共和国境内从事ITSMS认证活动的认证机构申请认可的(以下称为“申请方”),应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件:
a) ITSMS认证活动已被国家认监委批准;
b) 已按照CNAS-CC01和CNAS-CC41建立了管理体系,且运行时间不少于6个月。
申请方应提供CNAS-RC01条款5.1.2规定的申请文件以及下列文件和信息:
1) ITSMS认证活动国家认监委批准文件复印件;
2) 已审核过的组织名单(对应到认证业务范围相应大类);
3) 自申请时间起6个月内计划实施的审核项目清单(对应到认证业务范围相应大类);
4) 需要时,CNAS要求的其他信息。
R.2 预访问
必要时,CNAS可在受理申请过程中安排预访问,以了解申请方是否已满足认可申请条件以及是否基本具备接受认可评审的条件。
R.3 初次认可的见证评审
CNAS结合申请方ITSMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排,通常情况下进行不少于两次见证评审。
R.4 认证业务范围的认可
R.4.1 CNAS通过对ITSMS认证机构的认证业务范围进行认可来确定该机构的认可范围。CNAS按认证业务范围的大类进行认可。CNAS认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类,且系统运行基本有效。为此,认证机构应满足以下条件:
a) 对该大类进行了适宜、有效的能力需求分析;
b) 根据该大类的能力需求分析,以适宜、有效的方式确定了能力分析和评价系统的相关组成部分(例如技术领域、能力准则等);
c) 能力分析和评价系统在与该大类有关的认证活动中有效地发挥了作用。
CNAS 按申请认可的每个大类评价认证机构是否满足以上条件,并根据认证机构ITSMS认证活动的范围、规模、风险水平和绩效对其认证业务范围大类实施见证评审。 通常情况下,初次认可和复评至少选取2个申请或已或认可的认证业务范围大类实施见证评审;每次监督评审至少选取1个申请或已获认可的认证业务范围大类实施 监督评审;扩大认可范围评审视情况确定需见证评审的认证业务范围的数量。
R.4.2 CNAS对某一大类的认可,仅表明CNAS基于评审认为,认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力,并不表明 CNAS认为认证机构已经具备了在该大类实施认证活动所需的全部能力,在该大类的每次认证活动都有效,也不意味着CNAS批准认证机构可以对该大类的任何 组织实施认证。因此,认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力。
R.5 其他
R.5.1 CNAS对ITSMS体系认证机构认可标识的管理遵循CNAS-R01《认可标识和认可状态声明管理规则》相关要求。获得CNAS认可的ITSMS认证机构不得针对ITSMS认证使用IAF-MLA/CNAS联合标识。
ITSMS体系认证机构认可标识的式样:
体系认证
CNAS-CXXX-ITS
其中“C”代表认证机构认可,“XXX”为认可流水号,“ITS”为ITSMS的认证领域代码。
R.5.2 CNAS-RC03条款5.1.2中“获得认证的组织或产品发生重大事故”是指获得ITSMS认证的组织发生具有下列影响的服务质量事故:
a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益;或者
b) 可能损害颁证机构或CNAS的公信力、声誉,或使颁证机构或CNAS承担连带责任。
发生上述情况时,颁证机构应及时采取相应措施并向CNAS通报相关情况。
R.5.3 如果CNAS可能需要在评审中接触认证机构的客户组织的相关信息资产,认证机构应向相关组织询问是否同意CNAS接触这些信息资产。如果组织同意,认证机 构应识别CNAS接触这些信息资产时须满足的所有要求,并告知CNAS。如果组织不同意或CNAS无法满足相关要求,CNAS将根据评审所受的影响采取相 应的措施。
C部分
C.1 已认可的ITSMS认证的转换(CNAS-CC01条款9.1.1)
认证机构仅应根据CNAS-CC12对CNAS认可的其他认证机构颁发的ITSMS认证实施转换。除此以外的其他情况应按照初次认证对待。此时,认证机构若要考虑客户组织以往所获的ITSMS认证,应满足CNAS-CC01条款9.1.1的要求。
G部分
G.1 ITSMS认证范围界定指南
ITSMS认证范围宜基于服务提供者对其ITSMS范围的描述界定。ISO/IEC TR 20000-3建议服务提供者通过下列参数描述其ITSMS的范围:
a) 提供服务的组织单元,例如单个部门、一组部门或所有部门;
b) 所提供的服务,例如单个服务,一组服务或所有服务;或金融服务、零售服务、电子邮件服务;
c) 服务提供者交付服务的物理场所,例如单一办公场所、一组办公场所、区域的、全国的或全球的;
d) 顾客及其地点,例如一个顾客、多个顾客、外部顾客或内部顾客;
e) 服务提供所使用的技术。
ITSMS范围的描述不能包括有助于服务交付的其他方的名称。
ITSMS范围描述示例:
——中文:“[服务提供者的组织单元的名称] 从 [地理位置] 向 [顾客的组织和(或)组织单元的名称] 交付 [服务] 的服务管理体系”
—— 英文:“The service management system of [name of service provider organizational unit] that delivers [service(s)] to [customer organizational name and/or name of organizational unit] from [geographical location]”
G.2 ITSMS审核时间确定指南
G.2.1 概述
对 于每一个申请ITSMS认证的组织,认证机构需要确定初次审核(含一、二阶段)、监督审核和再认证审核所需要的审核时间。本附录旨在建立一套科学合理的审 核时间确定方法,确保各认证机构在确定审核时间上保持一致。在此基础上,本附录提倡认证机构根据受审核组织的ITSMS范围所涉及的服务活动种类、受审核 组织规模以及业务的复杂程度等信息对审核时间进行调整。经验表明,除了认证审核流程确定的最小审核时间外,受审核组织ITSMS范围涉及的物理场所的分部 情况、组织的规模、业务的复杂程度、所提供的服务种类、服务点的数量及其分布等基本情况对认证机构在核定审核活动所需的审核时间也均有着很大影响。
G.2.2 审核时间的确定
在 进行初次认证审核时间确定时,认证机构应根据G.2.3中的计算公式对审核时间进行计算。G.2.3中公式内的基本审核时间T基本审核时间为进行 ITSMS认证审核的最少审核人日,认证机构在执行ITSMS认证审核时所用的时间不得低于基本审核时间T基本审核时间中规定的审核人日。G.2.3中公 式同时包含服务种类增加所需审核时间T服务种类增加所需审核时间及体系复杂度影响所需审核时间T体系复杂度所需审核时间 两个时间变量要素,每个时间要素的增加,认证机构需在审核方案中予以记录,并给出审核时间增加的理由。
G.2.3 初次审核时间的计算
初次审核时间T初次 = 基本审核时间T基本审核时间 + 服务种类增加所需审核时间T服务种类增加所需审核时间 + 体系复杂度影响所需审核时间T体系复杂度所需审核时间
G.2.3.1 初次审核时间T初次
表 示初次审核所需的全部审核时间,其中该审核时间由T最少审核时间,T服务种类增减所需审核时间,T体系复杂度所需审核时间 三项时间累加而得。初次审核时间包含审核组在初次审核(含初次认证第一阶段审核、第二阶段审核)所需的审核时间,其中包括接触受审核组织、人员、记录、文 件、过程和书写计划及报告所用的时间。不包含审核员的旅途时间。
G.2.3.2 基本审核时间T基本审核时间
表示初次审核所需的基本审核时间,是基于以下条件所确定的基础审核时间,即:
a) 受审核组织物理场所为单一场所;
b) 受审核组织所申请的ITSMS认证范围仅涵盖ITSMS认证业务范围的一个中类;
c) 受审核组织ITSMS体系覆盖人数少于50人;
d) 受审核组织ITSMS体系覆盖内的SLA数量少于10个;
e) 受审核组织ITSMS体系覆盖内的供应商数量少于5个。
基 本审核时间为8人日。当受审核组织认证范围超出以上基本限制条件时,认证机构应通过对服务种类增加所需审核时间T服务种类增加所需审核时间及体系复杂度影 响所需审核时间T体系复杂度所需审核时间进行增加调整,以保证审核人日满足本附录要求。基本审核时间T基本审核时间中审核人日的测算方法见附录A。
G.2.3.3 服务种类增加所需审核时间T 服务种类增加所需审核时间
表示每增加一个服务种类需要增加的审核时间,ITSMS认证业务范围的每个种类即为一个服务种类。每增加一个服务种类(中类),所需要增加的审核时间为:[服务种类(中类)数量 – 1] × 0.75 人日。
示例:受审核组织所申请的认证范围涉及的服务种类(中类)为信息系统咨询规划(01.01)及信息系统硬件设计、开发服务(01.02)两个中类,则T 服务种类增加所需审核时间所需要增加的审核时间为[2 – 1] × 0.75 人日,共计增加0.75人日。
G.2.3.4 体系复杂度影响所需审核时间T体系复杂度所需审核时间
表 示基于ITSMS复杂程度需要增加的审核时间。附录B中给出了ITSMS复杂度及其对审核时间的影响分析指南。认证机构可以根据该指南对ITSMS复杂度 及其对审核时间的影响进行计算,测算出由ITSMS复杂程度影响所需要增加的审核时间,认证机构也可以以其他合理方式对ITSMS复杂程度进行计算,并测 算出ITSMS复杂程度所影响的审核时间。该测算方法应在审核方案中予以记录。
T 体系复杂度所需审核时间同时应对认证范围内的多场所数量及临时服务点数量予以考虑。G.3中给出了认证机构对于多场所及临时场所的抽样方式,认证机构在进 行多场所及临时场所审核时,可以考虑使用G.3中的方式进行抽样审核。每一个多场所应安排至少1人日的审核时间,每个临时服务点应至少安排0.25审核人 日时间。
G.2.3.5 其他考虑
G.2.3.5.1 在认证审核过程中,工作语言超过一种的(需要翻译或影响审核员个人独立工作)宜增加初次审核时间T初次中审核时间的20%-30%。
G.2.3.5.2 本公式中确定的初次审核时间不包括审核员的旅途时间。
G.2.3.5.3 认证机构如果使用了远程审核技术(例如,交互式基于web的协作、web会议、电话会议和/或组织过程的电子验证),这些活动宜在审核计划中加以识别,可以考虑将其作为审核时间的一部分。
如果认证机构审核计划中远程审核活动占据大于30%的现场审核时间注1,认证机构宜确定审核计划的适当性,并在实施前得到认可机构的特殊批准。
注1:现场审核时间是指单独场所的现场审核时间。远程场所的电子审核被视为远程审核,即使电子审核在组织的物理场所进行。
G.2.4 监督审核及再认证审核时间
对 受审核组织的监督审核时间宜与初次审核审核时间成比例,每年用于监督审核的时间总量应不低于初次审核审核总时间的40%,再认证审核的时间总量应不低于初 次审核审核总时间的70%。认证机构宜适时的核查其所策划的监督审核时间,以考虑受审核组织的变更及ITSMS的成熟度等,至少宜在再认证审核时进行核 查。
G.3 多场所组织和组织的服务点的抽样
G.3.1 多场所抽样的条件
当组织拥有满足以下条件的多个场所时,认证机构可以考虑使用基于抽样的方法进行多场所抽样审核:
a) 所有场所都应在同一ITSMS控制下运行,接受统一的管理;
b) 所有的场所执行相同的ITSMS流程,且所有的场所相互之间相对独立,不存在相互关联的过程;
c) 所有的场所都应包含在组织的ITSMS内部审核方案中,且在内部审核方案范围内对所有场所进行内部审核;
d) 所有的场所都应包含在组织的ITSMS管理评审方案中;
e) 组织对所有场所具有资源管理权力,可以收集所有场的数据并要求其执行统一的ITSMS管理措施。
G.3.2 服务点抽样的条件
一般情况下服务点不在认证范围内,当认证机构和组织协商一致时,多场所认证的范围也可以包括服务点。如果认证范围包括服务点,应注明该场所是服务点。
当组织拥有满足以下条件的多个临时场所时,认证机构可以考虑使用基于抽样的方法进行临时场所认证审核:
a) 场所内的工作人员应为组织的员工或与组织具有合同关系的外包人员;
b) 所有场所的工作人员均在同一个ITSMS下进行管理,组织对人员具有分配和调配的权力,有权要求场所内提供服务的工作人员提供工作量和工作质量的数据;
c) 组织在所有的场所提供的服务和活动的变动,或场所的成立和撤销不影响组织的ITSMS运行的完整性;
d) 所有的场所都包含在组织的ITSMS内部审核方案中。
G.3.3 抽样的考虑
认证机构在使用基于抽样的方法时,宜具备程序以确保:
a) 在初次的合同评审中,最大程度地识别场所之间的差异,以便确定适宜的抽样水平;
b) 结合以下因素抽取具有代表性的场所:
1) 内部审核的结果;
2) 管理评审的结果;
3) 场所规模的差异;
4) 场所业务目的的差异;
5) 实施管理体系方面的差异;
6) 工作方式的差异;
7) 所实施活动的差异;
8) 任何不同的法律、法规要求。
c) 除上述因素外在临时场所的抽样过程中应考虑业务类型和服务方式的差异;
d) 从组织的ITSMS范围内的所有场所中选择具有代表性的样本,该选择宜基于上述b)中所列因素以及随机因素所作出的判断;
e) 多场所抽样应保证覆盖标准13个管理流程;
f) 同一流程的不同部分在多个场所进行实施时,这些场所不参与抽样;
g) 所有的场所都应在认证范围内,需要补充的在审核范围内的其他场所不在此抽样范围内;
h) 根据上述要求,设计监督审核方案时考虑组织ITSMS认证范围内有代表性的场所业务范围;
i) 无论是在任何一个场所内发现不符合,纠正措施的实施适用于包括在认证范围内的总部和所有场所(适用时);
j) 确定所有场所的活动都在同一管理体系之下,该管理体系确实覆盖了所有场所,以及G.3.1和G.3.2中规定的所有条件都得到了满足。
G.3.4 抽样方法
认证机构应建立多场所和临时场所的抽样方法,以确保:
a) 抽样审核的结果可以满足证明其ITSMS的适宜性、充分性和有效性,并具有在抽样无法满足上述要求时的应对措施;
b) 体现抽样样本的代表性和随机性;
c) 在多场所抽样时,初次审核抽样样本量应不低于同种类样本总量的平方根;监督审核抽样样本量应不低于同种类样本总量的0.6,再认证审核抽样样本量应不低于同种类样本总量的0.8;
d) 在临时场所抽样时样本覆盖认证范围内的所有业务类型,且应考虑同种业务类型的临时场所的服务复杂程度;
e) 在临时场所抽样时样本量通常不低于样本总量的平方根,当有合理理由时,可适当降低样本量。