CNAS-SC175-2017-xd1

2017年01月01日发布2017年12月29日第1次修订2018年01月01日实施CNAS-SC175基于ISO/IEC20000-1的服务管理体系认证机构认可方案AccreditationschemeforbodiesprovidingauditandcertificationofservicemanagementsystemsbasedonISO/IEC20000-1中国合格评定国家认可委员会CNAS-SC175:2017第1页共9页2017年01月01日发布2017年12月29日第1次修订2018年01月01日实施目次前言....................................................................................................................21范围..................................................................................................................32规范性引用文件.................................................................................................33术语和定义........................................................................................................34SMS认证机构认可规范的构成..........................................................................3R部分..............................................................................................................4R.1预访问（CNAS-RC01条款5.1.4）................................................................4R.2初次认可的见证评审（CNAS-RC01条款5.4.3.1）........................................4R.3认证业务范围的认可（CNAS-RC01条款6）................................................4R.4信息通报（CNAS-RC03条款5.2）..............................................................5R.5其他.................................................................................................................5C部分..............................................................................................................5C.1通用要求（CNAS-CC01条款5.1至5.3）......................................................5C.2信息要求（CNAS-CC01条款8.1至8.5）......................................................5C.3过程要求（CNAS-CC01条款9.1至9.9）......................................................5G部分..............................................................................................................6G.1服务点的抽样...................................................................................................6附录A（规范性附录）SMS认证机构认证业务范围分类........................................8CNAS-SC175:2017第2页共9页2017年01月01日发布2017年12月29日第1次修订2018年01月01日实施前言本文件由中国合格评定国家认可委员会（CNAS）制定。本文件是CNAS对依据ISO/IEC20000-1实施服务管理体系认证的机构所提出的特定要求和指南，并与相关认可规则和认可准则共同用于CNAS对这类认证机构的认可。本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。本文件附录A为规范性附录。本文件2017年1月首次发布，本次是第一次修订，主要修订内容如下：1）文件名称由“信息技术服务管理体系认证机构认可方案”调整为“基于ISO/IEC20000-1的服务管理体系认证机构认可方案”；2）R部分：删除了原R.1-认可申请，并调整了原R.4-认证业务范围的认可的相关描述；3）C部分：删除了原C.2-C.5节中有关能力管理的要求，以及原C.7.2-针对特定客户的审核和认证能力需求分析价等内容；4）G部分：删除了原G.1-ITSMS认证范围界定指南、G.2-ITSMS审核时间确定指南和附录B，修改了原G.3-服务点的抽样。CNAS-SC175:2017第3页共9页2017年01月01日发布2017年12月29日第1次修订2018年01月01日实施基于ISO/IEC20000-1的服务管理体系认证机构认可方案1范围1.1为确保中国合格评定国家认可委员会（CNAS）对依据ISO/IEC20000-1《信息技术服务管理第1部分：服务管理体系要求》开展服务管理体系（SMS）认证的认证机构（以下简称“SMS认证机构”）实施评审和认可的一致性，指导申请和获得认可的SMS认证机构理解和实施认可规范要求，特制定本文件。1.2本文件包括对SMS认证机构认可规范的补充和指南，适用于CNAS对SMS认证机构的认可。本文件R部分和C部分分别是对相关认可规则和认可准则的补充。本文件G部分是对相关认可准则的应用指南。2规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文件，仅该版本适用于本文件；未注明日期的引用文件，其最新版本（包括任何修订）适用于本文件。CNAS-CC01管理体系认证机构要求ISO/IECTR20000-10信息技术服务管理第10部分：概念与术语CNAS-CC12已认可的管理体系认证的转换3术语和定义CNAS-CC01和ISO/IEC20000-10中的术语和定义以及下列术语和定义适用于本文件。3.1服务点：客户在服务级别协议有效期内进行特定工作或服务的地点，该地点不在客户的物理范围内，且不会成为常设场所。例如驻场服务的客户现场等。注：该定义基于“临时场所”的定义（见CNAS-CC11，1.3）并进行了改写。4SMS认证机构认可规范的构成4.1主要规则和准则：CNAS-RC01《认证机构认可规则》是SMS认证机构认可活动的基本程序规则；CNAS-CC01《管理体系认证机构要求》是SMS认证机构的基本认可准则；CNAS-CC175《基于ISO/IEC20000-1的服务管理体系认证机构要求》是SMS认证机构的专用认可准则。CNAS-SC175:2017第4页共9页2017年01月01日发布2017年12月29日第1次修订2018年01月01日实施4.2其他适用的认可规则包括：a)CNAS-R01《认可标识使用和认可状态声明规则》b)CNAS-R02《公正性和保密规则》c)CNAS-R03《申诉、投诉和争议处理规则》d)CNAS-RC02《认证机构认可资格处理规则》e)CNAS-RC03《认证机构信息通报规则》f)CNAS-RC04《认证机构认可收费管理规则》g)CNAS-RC05《多场所认证机构认可规则》h)CNAS-RC07《具有境外场所的认证机构认可规则》4.3其他适用的认可准则包括：a)CNAS-CC11《多场所组织的管理体系认证》b)CNAS-CC12《已认可的管理体系认证的转换》c)CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》d)CNAS-CC106《CNAS-CC01在一体化管理体系审核中的应用》R部分R.1预访问（CNAS-RC01条款5.1.4）必要时，CNAS可在受理申请过程中安排预访问，以了解申请方是否已满足认可申请条件和是否基本具备接受认可评审的条件。R.2初次认可的见证评审（CNAS-RC01条款5.4.3.1）初次认可时，CNAS将至少见证1次认证机构对同一客户实施的第一阶段审核和第二阶审核。R.3认证业务范围的认可（CNAS-RC01条款6）R.3.1SMS认证业务范围分类（CNAS-RC01条款6.2）本文件附录A规定了认证业务范围。CNAS根据附录A来确定认证机构的认可业务范围，通常认可到表A.1中的大类。R.3.2SMS认证业务范围认可的见证评审要求（CNAS-RC01条款6.3.3）CNAS根据认证机构SMS认证活动的范围、规模、风险水平和绩效对其认证业务范围的大类实施见证评审。初次认可时，CNAS至少选取1个所申请认认可的认证业务范围大类实施见证评审。CNAS-SC175:2017第5页共9页2017年01月01日发布2017年12月29日第1次修订2018年01月01日实施R.4信息通报（CNAS-RC03条款5.2）CNAS-RC03条款5.2中“获证组织发生重大事故/事件”是指SMS获证客户发生具有下列之一影响的服务质量事故：a)已经或可能严重损害国家安全、社会秩序、公共利益或获证客户及其相关方的合法权益；b)可能损害颁证机构或CNAS的公信力、声誉，或使颁证机构或CNAS承担连带责任。R.5其他如果CNAS可能需要在评审中接触认证机构的客户的相关信息，认证机构应向相关客户询问是否同意CNAS接触这些信息。如果客户同意，认证机构应识别CNAS接触这些信息时须满足的所有要求，并告知CNAS。如果客户不同意或CNAS无法满足相关要求，CNAS将根据评审所受的影响采取相应的措施。C部分C.1通用要求（CNAS-CC01条款5.1至5.3）C.1.1风险评估和责任安排（CNAS-CC01条款5.3.1）认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证机构可能承担的责任进行评估，并做出充分的安排（例如，购买职业责任保险或设立储备金）。C.2信息要求（CNAS-CC01条款8.1至8.5）C.2.1保密（CNAS-CC01条款8.4）C.2.1.1如果客户事先没有禁止认证机构接触某一信息，或未告知认证机构应满足的要求，但认证机构在认证过程中发现自己并不具备接触该信息的资格和条件，应立即向客户提出。C.2.1.2认证机构宜要求直接接触客户信息的认证人员（例如审核组成员）遵守客户的保密政策，例如：按照客户的保密要求与客户签署保密协议。C.2.1.3审核组成员不宜在审核过程中以任何方式记录客户的保密或敏感信息。审核组在离开客户前，宜请客户检查和确认审核组携带的文件、资料和设备中未夹带客户的任何保密或敏感信息。C.3过程要求（CNAS-CC01条款9.1至9.9）C.3.1申请（CNAS-CC01条款9.1.1）CNAS-SC175:2