GB∕T 27422-2019 合格评定 业务连续性管理体系审核和认证机构要求

书书书犐犆犛３５．０４０犔８０!#$%&’’()*犌犅／犜２７４２２—２０１９!#$　%&’()*+,-./0123456犆狅狀犳狅狉犿犻狋狔犪狊狊犲狊狊犿犲狀狋—犚犲狇狌犻狉犲犿犲狀狋狊犳狅狉犫狅犱犻犲狊狆狉狅狏犻犱犻狀犵犪狌犱犻狋犪狀犱犮犲狉狋犻犳犻犮犪狋犻狅狀狅犳犫狌狊犻狀犲狊狊犮狅狀狋犻狀狌犻狋狔犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿狊２０１９１２１０78２０２００７０１9:’(+,-./012’()*3/045678书书书目　　次前言Ⅲ…………………………………………………………………………………………………………引言Ⅳ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义１………………………………………………………………………………………………４　原则１………………………………………………………………………………………………………５　通用要求１…………………………………………………………………………………………………　５．１　法律与合同事宜１……………………………………………………………………………………　５．２　公正性的管理１………………………………………………………………………………………　５．３　责任和财力２…………………………………………………………………………………………６　结构要求２…………………………………………………………………………………………………７　资源要求２…………………………………………………………………………………………………　７．１　人员能力２……………………………………………………………………………………………　７．２　参与认证活动的人员３………………………………………………………………………………　７．３　外部审核员和外部技术专家的使用４………………………………………………………………　７．４　人员记录４……………………………………………………………………………………………　７．５　外包４…………………………………………………………………………………………………８　信息要求４…………………………………………………………………………………………………　８．１　公开信息４……………………………………………………………………………………………　８．２　认证文件４……………………………………………………………………………………………　８．３　认证资格的引用和标志的使用５……………………………………………………………………　８．４　保密５…………………………………………………………………………………………………　８．５　认证机构与其客户间的信息交换５…………………………………………………………………９　过程要求５…………………………………………………………………………………………………　９．１　认证前的活动５………………………………………………………………………………………　９．２　策划审核６……………………………………………………………………………………………　９．３　初次认证６……………………………………………………………………………………………　９．４　实施审核６……………………………………………………………………………………………　９．５　认证决定６……………………………………………………………………………………………　９．６　保持认证７……………………………………………………………………………………………　９．７　申诉７…………………………………………………………………………………………………　９．８　投诉７…………………………………………………………………………………………………　９．９　客户的记录７…………………………………………………………………………………………Ⅰ犌犅／犜２７４２２—２０１９１０　认证机构的管理要求７……………………………………………………………………………………附录Ａ（资料性附录）　业务连续性管理体系审核及认证的知识８………………………………………附录Ｂ（资料性附录）　ＢＣＭＳ能力需求分析与评价９……………………………………………………附录Ｃ（资料性附录）　ＢＣＭＳ认证审核时间确定指南１１…………………………………………………参考文献１４……………………………………………………………………………………………………Ⅱ犌犅／犜２７４２２—２０１９前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国认证认可标准化技术委员会（ＳＡＣ／ＴＣ２６１）提出并归口。本标准起草单位：中国网络安全审查技术与认证中心、山东省标准化研究院、中国标准化研究院、中国合格评定国家认可中心、广发银行股份有限公司信用卡中心、北京奇安信科技有限公司、中国认证认可协会、中金金融认证中心有限公司、中国民航大学、北京华认企业管理咨询有限公司。本标准主要起草人：魏军、尤其、王凤娇、王曙光、公伟、秦挺鑫、付志高、张桂明、鲍旭华、郝静、谢宗晓、顾兆军、任天。Ⅲ犌犅／犜２７４２２—２０１９引　　言　　ＧＢ／Ｔ２７０２１．１—２０１７《合格评定　管理体系审核认证机构要求　第１部分：要求》为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照ＧＢ／Ｔ３０１４６《公共安全　业务连续性管理体系　要求》开展以业务连续性管理体系（ＢＣＭＳ）审核和认证为目的活动，对ＧＢ／Ｔ２７０２１．１—２０１７补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循ＧＢ／Ｔ２７０２１．１—２０１７的结构，增加了针对业务连续性管理体系审核和认证机构的专用要求，并与ＧＢ／Ｔ２７０２１．１—２０１７共同使用。本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效地协调一致。Ⅳ犌犅／犜２７４２２—２０１９合格评定　业务连续性管理体系审核和认证机构要求１　范围本标准规定了在ＧＢ／Ｔ２７０２１．１—２０１７和ＧＢ／Ｔ３０１４６—２０１３的基础上，业务连续性管理体系（ＢＣＭＳ）认证机构所遵循的原则和对ＢＣＭＳ认证机构的要求，明确了ＢＣＭＳ审核与认证机构的能力、一致性和公正性的原则、认证相关活动的实施和管理要求等。本标准适用于所有提供ＢＣＭＳ审核和认证的机构，这些机构需要在能力和可靠性方面证实其满足本标准中的要求。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ２７０００—２００６　合格评定　词汇和通用原则ＧＢ／Ｔ２７０２１．１—２０１７　合格评定　管理体系审核认证机构要求　第１部分：要求ＧＢ／Ｔ３０１４６　公共安全　业务连续性管理体系　要求３　术语和定义ＧＢ／Ｔ２７０００—２００６、ＧＢ／Ｔ２７０２１．１—２０１７、ＧＢ／Ｔ３０１４６界定的以及下列术语和定义适用于本文件。３．１　认证文件　犮犲狉狋犻犳犻犮犪狋犻狅狀犱狅犮狌犿犲狀狋表明客户的ＢＣＭＳ符合规定的ＢＣＭＳ标准及ＢＣＭＳ所要求的任何补充性文件的一类文件。４　原则应符合ＧＢ／Ｔ２７０２１．１—２０１７中第４章的要求。５　通用要求５．１　法律与合同事宜应符合ＧＢ／Ｔ２７０２１．１—２０１７中５．１的要求。５．２　公正性的管理应符合ＧＢ／Ｔ２７０２１．１—２０１７中５．２的要求，并且以下要求同时适用。认证机构可以从事以下工作，而不被视为咨询或具有潜在的利益冲突：１犌犅／犜２７４２２—２０１９ａ）　安排培训课程并作为教师参与讲授，如果这些课程涉及业务连续性管理、有关的管理体系或审核，认证机构应仅限于提供可公开获取的通用信息和建议，即认证机构不应针对具体客户提供那些违反下面ｂ）要求的建议。ｂ）　根据请求，提供或发布认证机构对认证审核标准要求的解释性信息。ｃ）　仅以确定认证审核是否就绪为目的的审核前活动，但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求，且没有把这些活动作为减少最终认证审核时间的理由。ｄ）　根据没有包含在认可范围内的标准或法规，实施第二方或第三方审核。ｅ）　在认证审核和监督审核过程中的增值活动，例如，在审核过程中，当改进机会明显时，识别改进机会但不推荐具体的解决方案。认证机构不应为寻求认证的客户的ＢＣＭＳ提供内部业务连续性评审。此外，认证机构应独立于提供ＢＣＭＳ内部审核的机构（包括任何个人）。５．３　责任和财力应符合ＧＢ／Ｔ２７０２１．１—２０１７中５．３的要求。６　结构要求应符合ＧＢ／Ｔ２７０２１．１—２０１７中第６章的要求。７　资源要求７．１　人员能力７．１．１　总则应符合ＧＢ／Ｔ２７０２１．１—２０１７中７．１的要求，并且７．１．２～７．１．３中的要求同时适用。７．１．２　总体考虑为实施业务连续性管理体系认证，管理层应确保选择、提供和管理那些具备与受审核的活动和有关的业务连续性管理事宜相适应的技能和综合能力的人员。认证机构应对ＧＢ／Ｔ２７０２１．１—２０１７表Ａ．１中的每一项认证职能定义能力要求。在定义这些能力要求时，认证机构应考虑ＧＢ／Ｔ２７０２１．１—２０１７中指明的所有要求，和本标准７．１和７．２中的所有要求。注：附录Ａ提供了对业务连续性管理体系认证职能所涉及人员能力要求的信息摘要。７．１．３　能力准则的确定认证机构应确保相关人员理解组织业务连续性管理有关的技术、法律、法规以及其他相关要求。认证机构应有形成文件的过程，以确定参与管理和实施审核与认证的人员及其能力准则。这些人员包括但不限于实施申请评审以确定所需的审核组能力，选择审核组成员并确定审核时间的人员，复核审核报告并作出认证决定的人员，审核和领导审核组的人员。学历教育、在职培训、工作经历是人员获取所需能力的途径，认证机构应对各类人员实际所具有的能力进行评价和证实，而不应仅用资格条件的审查代替能力的评价和证实。该过程的输出应是形成文件的所要求知识和技能的准则，这些知识和技能是有效地实施审核与认证任务以实现预期结果所必需的。２犌犅／犜２７４２２—２０１９注：附录Ｂ为认证机构建立ＢＣＭＳ的能力需求分析与评价系统提供了指南。７．２　参与认证活动的人员７．２．１　总则应符合ＧＢ／Ｔ２７０２１．１—２０１７中７．２的要求，并且以下要求同时适用。７．２．２　申请评审、选择审核组和确定审核时间的人员实施申请评审以确定所需的审核组和选择审核组成员并确定审核时间的人员应具有以下能力：ａ）　选择审核员并验证他们的能力；ｂ）　给业务连续性管理体系审核员提供简要的指导并安排必要的培训；ｃ）　做出授予、保持、更新、扩大、缩小、暂停或撤销认证决定；ｄ）　建立和实施投诉、申诉和争议程序；ｅ）　实施申请评审以确定所需的审核组的能力。７．２．３　审核人员认证机构应为培训和选择审核组成员建立准则，以确保审核员具备特定的知识和技能。业务连续性管理体系审核员特定的知识和技能要求宜是以下１０个方面相关内容的组合，认证机构应根据审核活动的能力需求确定实施审核所需的特定知识和技能：ａ）　业务连续性管理（ＢＣＭ）术语：具备ＢＣＭ及风险的词汇、定义和概念等知识。ｂ）　组织环境：具备组织运行所处相关环境的知识。ｃ）　法律法规和其他要求：理解组织业务连续性管理有关的技术、法律、法规以及其他相关要求。ｄ）　业务连续性管理过程中的关系：具备ＢＣＭ各元素内部关系的知识。ｅ）　业务影响分析和风险评估：１）　具备业务影响分析（ＢＩＡ）的知识，包括：———技术和方法；———对提供产品和服务的活动的识别；———时间上的影响评估，当影响变得不可接受时应能予以识别；———对预期结果设定具有优先排序的时间表；———对支持资源的识别。２）　具备风险评估和