CNAS-SC175信息技術(shù)服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案Accreditationschemeforbodiesprovidingauditandcertificationofinformationtechnologyservicemanagementsystems中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì) 2 3 3 3 4 4 5 5 5 5 6 6 7 7 7 8 9 信息技術(shù)服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案下列文件中的條款通過(guò)本文件的引用而成為本文件的條款。注明日期的引用文R.4.1CNAS通過(guò)對(duì)ITSMS認(rèn)證機(jī)構(gòu)的認(rèn)證業(yè)務(wù)范圍（見(jiàn)本文件附錄A）進(jìn)行認(rèn)可來(lái)確定該機(jī)構(gòu)的認(rèn)可范圍。CNAS按認(rèn)證業(yè)務(wù)范圍的大類進(jìn)行認(rèn)可。CNAS認(rèn)可某一大類b)根據(jù)該大類的能力需求分析，以適宜、有效的方）；R.4.2CNAS對(duì)某一大類的認(rèn)可，僅表明CNAS基于評(píng)審認(rèn)為，認(rèn)證機(jī)構(gòu)的能力分析證活動(dòng)都有效，也不意味著CNAS批準(zhǔn)認(rèn)證機(jī)構(gòu)可以對(duì)該大類的任何客戶實(shí)施認(rèn)證。認(rèn)證機(jī)構(gòu)應(yīng)對(duì)其審核和認(rèn)證活動(dòng)可能給客戶的信息安全帶來(lái)的風(fēng)險(xiǎn)以及認(rèn)證），行的能力需求分析，以及在申請(qǐng)?jiān)u審和審核方案管理中根據(jù)特定客戶具體）；C.2.3.2除了CNAS-CC01附錄A規(guī)定的三類認(rèn)證人員之外，ITSMS認(rèn)證機(jī)構(gòu)宜參考CNAS-CC01附錄A和CNAS-CC175附錄A為其他認(rèn)證人員確定其需要應(yīng)用的知識(shí)和技能注：其他認(rèn)證人員包括ITSMS認(rèn)證機(jī)構(gòu)的管理人員、行政支持性人員、相關(guān)委）；），C.3.2.1ITSMS認(rèn)證機(jī)構(gòu)宜確定并持續(xù)改進(jìn)用于判斷認(rèn)證人員是否滿足能力準(zhǔn)則ITSMS認(rèn)證機(jī)構(gòu)宜保留上述被評(píng)價(jià)人信息、比較和判斷的記錄，這些記錄宜足注：CNAS-CC01附錄D和ISO19011就期望認(rèn)證人員表現(xiàn)出的個(gè)人行為提供了示C.5.2.2上述交流和研討的頻次C.6.1.1在認(rèn)證審核前，認(rèn)證機(jī)構(gòu)應(yīng)要求客戶識(shí)別并向認(rèn)證機(jī)構(gòu)告知認(rèn)證機(jī)構(gòu)在C.6.1.2認(rèn)證機(jī)構(gòu)應(yīng)與其ITSMS認(rèn)證相關(guān)人員簽訂在法律上具有強(qiáng)制實(shí)施力的協(xié)C.6.1.4審核組成員不宜在審核過(guò)程中以任何方式記錄客戶的保密或敏感信息。ITSMS認(rèn)證機(jī)構(gòu)應(yīng)在申請(qǐng)?jiān)u審中，基于本文件C.2.2.2a）所述的能力需求分針對(duì)特定客戶的審核和認(rèn)證能力需求分析宜關(guān)注那些在進(jìn)行本文件C.2.2.2a）C.7.3.2認(rèn)證機(jī)構(gòu)僅應(yīng)根據(jù)CNAS-CC12對(duì)CNAS認(rèn)可的其他認(rèn)證機(jī)構(gòu)頒發(fā)的ITSMS認(rèn)b)所提供的服務(wù)，例如單個(gè)服務(wù)，一組服務(wù)或和（或）組織單元的名稱]交付[服務(wù)]的服務(wù)管理體系”nameand/ornameoforganizationalunit]from[所需的全部審核時(shí)間，其中包括接觸客戶、人員、記錄、文件、過(guò)程和書(shū)寫(xiě)計(jì)劃及服務(wù)種類增加所需審核時(shí)間Tz為每增示例：客戶所申請(qǐng)的認(rèn)證范圍涉及的服務(wù)種類（中類）為信息系統(tǒng)咨詢規(guī)劃G.2.3.5.1在認(rèn)證審核過(guò)程中，工作語(yǔ)言超過(guò)一種的（需要翻譯或影響審核員個(gè)對(duì)客戶的監(jiān)督審核時(shí)間宜與初次認(rèn)證審核審核時(shí)間成比例，每年用于監(jiān)督審核一般情況下服務(wù)點(diǎn)不在認(rèn)證范圍內(nèi)，當(dāng)認(rèn)證方根，監(jiān)督審核抽樣樣本量通常不低于同種類樣本總量平方根的0.6倍，再認(rèn)證審核抽樣樣本量通常不低于同種類樣本總量平方根的0.8倍。當(dāng)有合理大類備注01規(guī)劃與設(shè)計(jì)服務(wù)01.01信息系統(tǒng)咨詢規(guī)劃信息系統(tǒng)咨詢、規(guī)劃服務(wù)01.02信息系統(tǒng)硬件設(shè)計(jì)、開(kāi)發(fā)服務(wù)對(duì)信息系統(tǒng)硬件的架構(gòu)、選型和實(shí)施策略進(jìn)行設(shè)計(jì)，并實(shí)施開(kāi)發(fā)。01.03信息系統(tǒng)軟件設(shè)計(jì)、開(kāi)發(fā)服務(wù)軟件設(shè)計(jì)、開(kāi)發(fā)服務(wù)。01.04信息技術(shù)咨詢服務(wù)硬件或軟件使用的咨詢及培訓(xùn)服務(wù)。02集成服務(wù)02.01設(shè)備系統(tǒng)集成服務(wù)指以搭建需方的信息化管理支持平臺(tái)為目的，將設(shè)備及其嵌入式軟件進(jìn)行集成設(shè)計(jì)、安裝調(diào)試的服務(wù)。如網(wǎng)絡(luò)系統(tǒng)集成服務(wù)、智能建筑系統(tǒng)集成服務(wù)、安全防護(hù)系統(tǒng)集成服務(wù)等。02.02軟件系統(tǒng)集成服務(wù)將各個(gè)分離的軟件、功能和信息等集成到相互關(guān)聯(lián)的、統(tǒng)一和協(xié)調(diào)的平臺(tái)之中的服務(wù)。如界面集成、數(shù)據(jù)集成、應(yīng)用集成等。03測(cè)試與監(jiān)理服務(wù)03.01信息系統(tǒng)測(cè)試服務(wù)檢驗(yàn)信息系統(tǒng)是否與要求相吻合的測(cè)試服03.02軟件產(chǎn)品測(cè)試服務(wù)檢驗(yàn)軟件產(chǎn)品是否與要求相吻合的測(cè)試服03.03信息系統(tǒng)工程監(jiān)理對(duì)信息系統(tǒng)工程實(shí)施監(jiān)理的服務(wù)。03.04軟件工程監(jiān)理服務(wù)對(duì)軟件開(kāi)發(fā)實(shí)施監(jiān)理的服務(wù)。03.05其他測(cè)試與監(jiān)理服務(wù)04運(yùn)行維護(hù)服務(wù)04.01基礎(chǔ)設(shè)施運(yùn)行維護(hù)服務(wù)機(jī)房電力、空調(diào)、消防、安防、網(wǎng)絡(luò)等設(shè)施的運(yùn)維服務(wù)。04.02硬件運(yùn)行維護(hù)服務(wù)計(jì)算機(jī)及其外部設(shè)備、網(wǎng)絡(luò)設(shè)備、音視頻設(shè)備、自動(dòng)化控制設(shè)備及其他采用信息技術(shù)控制的硬件及設(shè)備的狀態(tài)監(jiān)控、故障處理、性能優(yōu)化等相關(guān)維護(hù)服務(wù)。04.03軟件運(yùn)行維護(hù)服務(wù)基礎(chǔ)軟件和應(yīng)用軟件的安裝、升級(jí)、故障處理、病毒防護(hù)等維護(hù)服務(wù)。04.04其他信息技術(shù)運(yùn)行維護(hù)服務(wù)大類備注05安全服務(wù)05.01風(fēng)險(xiǎn)評(píng)估評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。05.02安全運(yùn)維通過(guò)專業(yè)的服務(wù)，解決網(wǎng)絡(luò)和信息系統(tǒng)日常運(yùn)行中的安全問(wèn)題，包括系統(tǒng)安全加固、日常安全監(jiān)控、定期安全審計(jì)、安全通告、補(bǔ)丁更新以及安全技術(shù)支持等。05.03應(yīng)急處理為降低安全事件給客戶造成的損失和影響，在處置網(wǎng)絡(luò)與安全事件時(shí)提供一系列的措施和行動(dòng)。05.04災(zāi)難恢復(fù)將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)的活動(dòng)和流程。05.05其他安全服務(wù)06業(yè)務(wù)流程服務(wù)06.01電子商務(wù)支持服務(wù)電子商務(wù)活動(dòng)的支持和管理服務(wù)。06.02軟件運(yùn)營(yíng)服務(wù)通過(guò)網(wǎng)絡(luò)提供軟件功能的服務(wù)。06.03數(shù)據(jù)處理圖片、文字、影像、語(yǔ)音等信息內(nèi)容運(yùn)用數(shù)字化技術(shù)進(jìn)行加工處理、運(yùn)用的服務(wù)。06.04呼叫中心/服務(wù)臺(tái)服務(wù)呼叫中心服務(wù)。06.05其他業(yè)務(wù)流程服務(wù)序號(hào)審核時(shí)間（人日）一階段審核編制一階段審核計(jì)劃非現(xiàn)場(chǎng)0.19客戶管理體系文件審核非現(xiàn)場(chǎng)/現(xiàn)場(chǎng)1首次會(huì)議現(xiàn)場(chǎng)0.074.評(píng)價(jià)受客戶運(yùn)作場(chǎng)所和現(xiàn)場(chǎng)的具體情況，收集關(guān)于客戶的管理體系范圍、過(guò)程和場(chǎng)所的必要信息現(xiàn)場(chǎng)0.07審查客戶理解和實(shí)施標(biāo)準(zhǔn)要求的情況，特別是對(duì)管理體系的關(guān)鍵績(jī)效或重要的因素、過(guò)程、目標(biāo)和運(yùn)作的識(shí)別情況現(xiàn)場(chǎng)0.13評(píng)價(jià)客戶是否策劃和實(shí)施了內(nèi)部審核與管理評(píng)審，以及管理體系的實(shí)施程度能否證明客戶已為第二階段審核做好準(zhǔn)備現(xiàn)場(chǎng)0.13收集與客戶相關(guān)的法律法規(guī)要求和遵守情況現(xiàn)場(chǎng)0.1審查客戶第二階段審核所需資源的配置情況，并與客戶商定第二階段審核細(xì)節(jié)現(xiàn)場(chǎng)0.1結(jié)合可能的重要因素充分了解客戶的ITSMS和現(xiàn)場(chǎng)運(yùn)作，以便為策劃第二階段審核提供關(guān)注點(diǎn)現(xiàn)場(chǎng)0.13與客戶進(jìn)行一階段審核問(wèn)題溝通現(xiàn)場(chǎng)0.13末次會(huì)議現(xiàn)場(chǎng)0.07編制一階段審核報(bào)告非現(xiàn)場(chǎng)/現(xiàn)場(chǎng)0.19二階段審核編制二階段審核計(jì)劃非現(xiàn)場(chǎng)0.26首次會(huì)議現(xiàn)場(chǎng)0.07序號(hào)審核時(shí)間（人日）ITSMS4.1管理職責(zé)現(xiàn)場(chǎng)0.07ITSMS4.2其他方運(yùn)行過(guò)程的治理現(xiàn)場(chǎng)0.1ITSMS4.3文件管理現(xiàn)場(chǎng)0.1ITSMS4.4資源管理現(xiàn)場(chǎng)0.1ITSMS4.5建立和改進(jìn)服務(wù)管理體系現(xiàn)場(chǎng)0.3220.ITSMS5設(shè)計(jì)和轉(zhuǎn)換新的或變更的服務(wù)現(xiàn)場(chǎng)0.3221.ITSMS6.1服務(wù)級(jí)別管理現(xiàn)場(chǎng)0.3922.ITSMS6.2服務(wù)報(bào)告現(xiàn)場(chǎng)0.2623.ITSMS6.3服務(wù)的連續(xù)性和可用性管理現(xiàn)場(chǎng)0.3224.ITSMS6.4服務(wù)的預(yù)算和核算現(xiàn)場(chǎng)0.1925.ITSMS6.5能力管理現(xiàn)場(chǎng)0.3126.ITSMS6.6信息安全現(xiàn)場(chǎng)0.3927.ITSMS7.1業(yè)務(wù)關(guān)系管理現(xiàn)場(chǎng)0.2728.ITSMS7.2供應(yīng)商管理現(xiàn)場(chǎng)0.2729.ITSMS8.1事件和服務(wù)請(qǐng)求管理現(xiàn)場(chǎng)0.39現(xiàn)場(chǎng)0.27ITSMS9.1配置管理現(xiàn)場(chǎng)0.27ITSMS9.2變更管理現(xiàn)場(chǎng)0.31ITSMS9.3發(fā)布和部署管理現(xiàn)場(chǎng)0.27與客戶進(jìn)行二階段審核問(wèn)題溝通現(xiàn)場(chǎng)0.13末次會(huì)議現(xiàn)場(chǎng)0.06編制二階段審核報(bào)告現(xiàn)場(chǎng)/非現(xiàn)場(chǎng)0.25總計(jì)8注：表B.1中的“審核時(shí)間”總計(jì)8人日。1人日按照一個(gè)完整的正常工作時(shí)間計(jì)算，通影響因素影響值a序號(hào)名稱權(quán)重W影響因素的取值范圍或等級(jí)1人員數(shù)量25%51-150501-1000>1000225%51-100>2003供應(yīng)商數(shù)量6-1531-50>504與服務(wù)相關(guān)的風(fēng)險(xiǎn)注1低中高注1：與服務(wù)相關(guān)的風(fēng)險(xiǎn)等級(jí)分為：低、中低、中、中高、高。各認(rèn)證機(jī)構(gòu)可以根據(jù)具體ITSMS認(rèn)證審核情況，選擇服務(wù)相關(guān)的風(fēng)險(xiǎn)等級(jí)，與服務(wù)相關(guān)的風(fēng)險(xiǎn)等級(jí)的確定宜從服務(wù)失效或違反法律法規(guī)產(chǎn)生的影響來(lái)考慮，具體可能涉及如下幾個(gè)方面：a)客戶的企業(yè)性質(zhì)；b)被認(rèn)證服務(wù)在服務(wù)提供過(guò)程中適用的法律法規(guī)要求的強(qiáng)度和復(fù)雜度；c)被認(rèn)證服務(wù)遵照的SLAs要求的強(qiáng)度和復(fù)雜度。服務(wù)失效的風(fēng)險(xiǎn)等級(jí)可以先由客戶評(píng)估和聲明，再進(jìn)行檢查和證實(shí)，必要時(shí)對(duì)其進(jìn)行修正。