CNAS-SC175-2013 信息技术服务管理体系认证机构认可方案（2015年第二次修订）

CNAS-SC175-2013 信息技术服务管理体系认证机构认可方案（2015年第二次修订） 本文件由中国合格评定国家认可委员会（CNAS）制定。 本文件是 CNAS 对信息技术服务管理体系（ITSMS）认证机构提出的特定要求 和指南，并与相关认可规则和认可准则共同用于 CNAS 对 ITSMS 认证机构的认可。 本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。 本文件 2013 年首次发布，2015 年两次修订主要进行了如下编辑性调整： 1）4.2 条款 a）和 h），更新了 CNAS-R01 和 CNAS-R07 的文件名称； 2）R.5.1 条款，删除了有关 CNAS ITSMS 认证机构认可标识的描述； 3）R.5.2 条款，更新对 CNAS-RC03 相关条款的引用； 4）更新了本文件对 CNAS-CC01:2015 相关条款的引用； 5）第 3 章，增加了对 CNAS-CC01 的引用，同时删除了“能力”和“技术领 域”两个术语。 范围 1.1 为确保中国合格评定国家认可委员会（CNAS）对实施 GB/T 24405.1《信息技 术 服务管理 第 1 部分：服务管理体系要求》（ISO/IEC 20000-1, IDT）认证的信息 技术服务管理体系（ITSMS）认证机构实施评审和认可的一致性，指导申请和获得认 可的 ITSMS 认证机构理解和实施认可规范要求，特制定本文件。 1.2 本文件包括对 ITSMS 认证机构认可规范的补充和指南，适用于 CNAS 对 ITSMS 认证机构的认可。 本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充。本文件 G 部 分是对相关认可准则的应用指南。 2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文 件，仅该版本适用于本文件；未注明日期的引用文件，其最新版本（包括任何修订） 适用于本文件。 CNAS-RC01 认证机构认可规则 CNAS-CC01 管理体系认证机构要求 CNAS-CC175 信息技术服务管理体系认证机构要求 CNAS-CC12 已认可的管理体系认证的转换 3 术语和定义 GB/T 19000－2008、GB/T 27000－2006 和 CNAS-CC01 中的术语和定义以及 下列术语和定义适用于本文件。 3.1 认证业务范围：认证机构的 ITSMS 认证活动涉及的技术领域。 注：CNAS-CC175《信息技术服务管理体系认证机构要求》附录 A 给出了 ITSMS 认证的技术领域。 3.2 专业能力：能够应用特定技术领域的知识实现预期结果的本领。 3.3 场所：客户组织实施活动或提供服务的永久性地点。 3.4 多场所组织：客户组织有一个确定的中心职能机构（以下称作中心办公室，但 不一定是客户组织的总部）来策划、控制或管理某些活动，并且有一个由地方办公室或分支（即场所）组成的网络来实施（或部分实施）这些活动。 注：客户组织的多场所可以是多个法律实体，例如流程的外包商。 3.5 服务点：在服务级别协议（SLA）有效期内客户组织进行特定工作或服务的地 点，不在客户组织的物理范围内。例如驻场服务的客户现场等。 4 ITSMS 认证机构认可规范的构成 4.1 主要规则和准则： CNAS-RC01《认证机构认可规则》是 ITSMS 认证机构认可活动的基本程序规 则； CNAS-CC01《管理体系认证机构要求》是 ITSMS 认证机构的基本认可准则； CNAS-CC175《信息技术服务管理体系认证机构要求》是 ITSMS 认证机构的专 用认可准则。 4.2 其他适用的认可规则包括： a) CNAS-R01《认可标识使用和认可状态声明规则》； b) CNAS-R02《公正性和保密规则》； c) CNAS-R03《申诉、投诉和争议处理规则》； d) CNAS-RC02《认证机构认可资格处理规则》； e) CNAS-RC03《认证机构信息通报规则》； f) CNAS-RC04《认证机构认可收费管理规则》； g) CNAS-RC05《多场所认证机构认可规则》； h) CNAS-RC07《具有境外场所的认证机构认可规则》。 4.3 其他适用的认可准则包括： a) CNAS-CC12《已认可的管理体系认证的转换》； b) CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》。 R 部分 R1 认可申请 在中华人民共和国境内从事 ITSMS 认证活动的认证机构申请认可的（以下称为 “申请方”），应具备 CNAS-RC01 条款 5.1.1 规定的基本条件以及下列条件： a) ITSMS 认证活动已被国家认监委批准； b) 已按照 CNAS-CC01 和 CNAS-CC175 建立了管理体系，且运行时间不少于 6 个月（如已获 CNAS 信息安全管理体系认证机构认可，则运行时间不少于 3 个月）。 申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息： 1）ITSMS 认证活动国家认监委批准文件复印件； 2）已审核过的客户组织名单（对应到认证业务范围相应大类）； 3）自申请时间起 6 个月内计划实施的审核项目清单（对应到认证业务范围 相应大类）； 4）需要时，CNAS 要求的其他信息。 R2 预访问 必要时，CNAS 可在受理申请过程中安排预访问，以了解申请方是否已满足认可 申请条件，以及是否基本具备接受认可评审的条件。 R3 初次认可的见证评审 CNAS 结合申请方 ITSMS 认证活动的范围、规模和风险水平确定初次认可的见 证评审安排，通常情况下进行不少于两次见证评审。 R4 认证业务范围的认可 R4.1 CNAS 通过对 ITSMS 认证机构的认证业务范围（见 CNAS-CC175 附录 A） 进行认可来确定该机构的认可范围。CNAS 按认证业务范围的大类进行认可。CNAS 认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类，且系统运 行基本有效。为此，认证机构应满足以下条件： a) 对该大类进行了适宜、有效的能力需求分析； b) 根据该大类的能力需求分析，以适宜、有效的方式确定了能力分析和评价系 统的相关组成部分（例如技术领域、能力准则等）； c) 能力分析和评价系统在与该大类有关的认证活动中有效地发挥了作用。 CNAS 按申请认可的每个大类评价认证机构是否满足以上条件，并根据认证机构 ITSMS 认证活动的范围、规模、风险水平和绩效对其认证业务范围大类实施见证评 审。通常情况下，初次认可至少选取 2 个、复评至少选取 1 个申请或已获认可的认证 业务范围大类实施见证评审；每次监督评审至少选取 1 个申请或已获认可的认证业务 范围大类实施监督评审；扩大认可范围评审视情况确定需见证评审的认证业务范围的 数量。 R4.2 CNAS 对某一大类的认可，仅表明 CNAS 基于评审认为，认证机构的能力分 析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力，并不表明 CNAS 认为认证机构已经具备了在该大类实施认证活动所需的全部能力，在该大类的 每次认证活动都有效，也不意味着 CNAS 批准认证机构可以对该大类的任何客户组 织实施认证。因此，认证机构应确保运用能力分析和评价系统为该大类的每次认证活 动配备所需的全部能力。