2015年12月30日發(fā)布2016年04月2015年12月30日發(fā)布2016年04月01日實施CNAS-CC175信息技術服務管理體系認證機構要求Requirementsforbodiesprovidingauditandcertificationofinformationtechnologyservicemanagementsystems中國合格評定國家認可委員會CNAS-CC175:2015第1頁共6頁2015年12月30日發(fā)布2016年04月01日實施目次前言.................................................................21范圍.................................................................32規(guī)范性引用文件CNAS-CC175:2015第1頁共6頁2015年12月30日發(fā)布2016年04月01日實施目次前言.................................................................21范圍.................................................................32規(guī)范性引用文件.......................................................33術語和定義...........................................................34原則.................................................................35通用要求.............................................................36結構要求.............................................................37資源要求.............................................................37.1ITS7.1.2能力準則的確定...........................................37.2ITS7.2.8持續(xù)專業(yè)發(fā)展.............................................38信息要求.............................................................48.1ITS8.4保密........................................................49過程要求.............................................................49.1ITS9.1.4確定審核時間..............................................49.2ITS9.1.5多場所的抽樣.............................................49.3ITS9.2.1.3客戶ITSMS的范圍和邊界..................................59.4ITS9.3.1.2第一階段................................................59.5ITS9.3.1.3第二階段................................................59.6ITS9.4.8審核報告.................................................510認證機構的管理體系要求..............................................5附錄A（規(guī)范性附錄）所要求的知識和技能..................................6CNAS-CC175:2015第2頁共6頁2015年12月30日發(fā)布2016年04月01日實施前言本文件等同采用IAFCNAS-CC175:2015第2頁共6頁2015年12月30日發(fā)布2016年04月01日實施前言本文件等同采用IAF發(fā)布的強制性文件IAF-MD18:2015《ISO/IEC17021：2011在服務管理業(yè)（ISO/IEC20000-1）中的應用》。本文件是CNAS對信息技術服務管理體系認證機構的專用認可準則，與管理體系認證機構基本認可準則CNAS-CC01:2015《管理體系認證機構要求》共同構成CNAS對信息技術服務管理體系認證機構的認可準則。本文件中，術語“宜”表明滿足標準要求的公認方法。如果認證機構采用等效的方式來滿足這些要求，需向認可機構證實該方式能達到這一目的。術語“應”表明相應的規(guī)定是強制性的，它反映了相關標準的要求。本文件在對IAFMD18:2015的轉化中進行了下列編輯性修改，包括：1、刪除了IAFMD18:2015的前言，增加了本文件前言；2、為便于與CNAS-CC01同時使用，調(diào)整了本文件的結構，使之與CNAS-CC01:2015保持一致；此外，還將規(guī)范性引用文件由CNAS-CC01:2011調(diào)整為CNAS-CC01:2015。3、針對ITSMS審核和認證所增加的特定要求和指南，用“ITS”加以標識。4、“clientorganization”翻譯為“客戶”；本文件的附錄為規(guī)范性附錄。本文件代替了CNAS-CC175:2013。CNAS-CC175:2015第3頁共6頁2015年12月30日發(fā)布2016年04月01日實施信息技術服務管理體系認證機構要求本文件是強制性的，以便能夠一致地應用CNAS-CC01。CNAS-CC01的所有條款繼續(xù)適用，本文件沒有取代CNAS-CC01的任何要求。1范圍本文件在CNAS-CC01所含的要求之外，為提供信息技術服務管理體系審核與認證的機構規(guī)定了要求并提供了指南。本文件的主要目的是為ITSMS認證機構認可提供支持。2規(guī)范性引用文件ISO/IEC20000-1:2011信息技術服務管理CNAS-CC175:2015第3頁共6頁2015年12月30日發(fā)布2016年04月01日實施信息技術服務管理體系認證機構要求本文件是強制性的，以便能夠一致地應用CNAS-CC01。CNAS-CC01的所有條款繼續(xù)適用，本文件沒有取代CNAS-CC01的任何要求。1范圍本文件在CNAS-CC01所含的要求之外，為提供信息技術服務管理體系審核與認證的機構規(guī)定了要求并提供了指南。本文件的主要目的是為ITSMS認證機構認可提供支持。2規(guī)范性引用文件ISO/IEC20000-1:2011信息技術服務管理第1部分：服務管理體系要求CNAS-CC01:2015管理體系認證機構要求（ISO/IEC17021-1:2015,IDT）3術語和定義CNAS-CC01第3章和ISO/IEC20000-1中確定的術語和定義適用于本文件。4原則CNAS-CC01第4章適用。5通用要求CNAS-CC01第5章適用。6結構要求CNAS-CC01第6章適用。7資源要求CNAS-CC01的第7章適用，并且以下ITSMS特定要求和指南適用。7.1ITS7.1.2能力準則的確定注：針對CNAS-CC01附錄A，本文件附錄A給出了ITSMS的特定要求和指南。7.2ITS7.2.7持續(xù)專業(yè)發(fā)展認證機構應為認證人員提供持續(xù)專業(yè)發(fā)展機會，以使其在ISO/IEC20000認證方面的能力得到保持和改進。尤其是，認證機構應確保審核員在IT服務管理實踐和相關法律法規(guī)方面的知識得到更新。持續(xù)專業(yè)發(fā)展可包括，但不限于：CNAS-CC175:2015第4頁共6頁2015年12月30日發(fā)布2016年04月01日實施a)額外的工作經(jīng)驗b)參加培訓課程c)輔導d)自學e)參加會議、研討會或其他類似活動8信息要求CNAS-CC01第8章適用，并且以下ITSMS特定要求和指南適用。8.1ITS8.4保密在認證審核前，認證機構應要求客戶報告是否存在因包含保密性或敏感性信息而導致不能提供給審核組核查的任何ITSMS記錄，并提供相應的理由。認證機構應確定ITSMS是否能在缺少這些保密性信息的情況下得到充分審核，并予以記錄，同時還應CNAS-CC175:2015第4頁共6頁2015年12月30日發(fā)布2016年04月01日實施a)額外的工作經(jīng)驗b)參加培訓課程c)輔導d)自學e)參加會議、研討會或其他類似活動8信息要求CNAS-CC01第8章適用，并且以下ITSMS特定要求和指南適用。8.1ITS8.4保密在認證審核前，認證機構應要求客戶報告是否存在因包含保密性或敏感性信息而導致不能提供給審核組核查的任何ITSMS記錄，并提供相應的理由。認證機構應確定ITSMS是否能在缺少這些保密性信息的情況下得到充分審核，并予以記錄，同時還應詳細說明相應的理由。如果認證機構的結論是若不核查所識別的保密性或敏感性信息就不能對ITSMS充分的審核，那么認證機構應告知客戶只有在適當?shù)脑L問安排得到允許后才能進行認證審核。注：一種替代的方式是由一名具有充分能力且具備查看保密或敏感信息所需許可級別的中間人來調(diào)閱這些記錄，并證實所要求的信息。中間人應得到認證機構和其客戶的接受。但是，這個中間人宜獨立于客戶。9過程要求CNAS-CC01第9章適用，并且以下ITSMS特定要求和指南適用。9.1ITS9.1.4確定審核時間時間的分配應考慮以下ITSMS特定因素：1)ITSMS范圍的規(guī)模2)ITSMS的復雜度和客戶所交付的服務的復雜度3)ITSMS范圍內(nèi)所開展的業(yè)務的類型4)在實施ITSMS各個要素時，所應用的技術的水平和多樣性5)場所的數(shù)量6)以往已證實的ITSMS的績效7)在ITSMS范圍內(nèi)，SLAs的水平和所使用的第三方協(xié)議；8)適用于認證的標準和法規(guī)9)參與服務提供的其他相關方的數(shù)量，例如供應商、充當供應商角色的內(nèi)部小組或顧客。9.2ITS9.1.5多場所的抽樣CNAS-CC11《基于抽樣的多場所認證》的0至5.2中的要求適用。CNAS-CC175:2015第5頁共6頁2015年12月30日發(fā)布2016年04月01日實施當一個多場所組織在不同的場所或一組場所里運作一些不相似的過程或活動時，認證機構需要證明其決定在管理體系認證中實施抽樣的理由的合理性，并予以記錄。這應證實認證機構對所有場所的管理體系符合性獲得了同等程度的信心。還須關注對“虛擬地點”的審核，如非永久場所、在線場所等等。在這類場所中，抽樣可能是適宜的，或不適宜的。9.3ITS9.2.1.3審核范圍審核組應根據(jù)適用的認證要求審核所確定范圍內(nèi)的客戶ITSMS。認證機構應確保根據(jù)業(yè)務特征、組織、組織的物理位置、資產(chǎn)和技術清晰地界定了客戶ITSMS的范圍和邊界，并考慮了ISO/IEC20000-3。認證機構應證實客戶考慮了其ITSMS范圍內(nèi)所規(guī)定的要求。9.4ITS9.3.1.2第一階段在這個審核階段，認證機構應獲得有關ITSMS設計的文件。該文件應包括ISO/IEC20000-1CNAS-CC175:2015第5頁共6頁2015年12月30日發(fā)布2016年04月01日實施當一個多場所組織在不同的場所或一組場所里運作一些不相似的過程或活動時，認證機構需要證明其決定在管理體系認證中實施抽樣的理由的合理性，并予以記錄。這應證實認證機構對所有場所的管理體系符合性獲得了同等程度的信心。還須關注對“虛擬地點”的審核，如非永久場所、在線場所等等。在這類場所中，抽樣可能是適宜的，或不適宜的。9.3ITS9.2.1.3審核范圍審核組應根據(jù)適用的認證要求審核所確定范圍內(nèi)的客戶ITSMS。認證機構應確保根據(jù)業(yè)務特征、組織、組織的物理位置、資產(chǎn)和技術清晰地界定了客戶ITSMS的范圍和邊界，并考慮了ISO/IEC20000-3。認證機構應證實客戶考慮了其ITSMS范圍內(nèi)所規(guī)定的要求。9.4ITS9.3.1.2第一階段在這個審核階段，認證機構應獲得有關ITSMS設計的文件。該文件應包括ISO/IEC20000-1的4.3.1中所要求的文件。一階段審核的目的是：結合客戶的ITSMS方針和目標，尤其是其所聲稱的審核準備情況，了解客戶的ITSMS，為二階段審核提供關注點。一階段審核包括但不限于文件評審。認證機構應與客戶就實施文件評審的時間和地點達成一致。在任何情況下，文件評審應在二階段審核前完成。一階段審核的結果應記錄在書面報告中。認證機構應評審一階段審核報告，以決定是否實施二階段審核并選擇具備必要能力的二階段審核組成員。認證機構應使得客戶知曉在二階段審核中可能要對更進一步的信息或文件進行詳細檢查。9.5ITS9.3.1.3第二階段審核應關注客戶的：1)ISO/IEC20000-1的4.3.1中的文件要求；2)對實施、監(jiān)視、測量和評審服務管理目標計劃和過程的有效控制3)ITSMS內(nèi)部審核和管理評審4)方針的管理責任9.6ITS9.4.8審核報告認證審核報告應提供客戶IT組織在識別、評估和管理服務風險方面的信息。10認證機構的管理體系要求CNAS-