新版《信息技術(shù)服務(wù)管理體系認證規(guī)則》釋義【規(guī)則條款】1.1為規(guī)范信息技術(shù)服務(wù)管理體系（以下簡稱ITSMS）認證活動，根據(jù)《中華人民共和國認證認可條例》和《認證機構(gòu)管理辦法》等法律法規(guī)，結(jié)合相關(guān)技術(shù)標準制定本規(guī)則。1.2本規(guī)則規(guī)定了認證機構(gòu)實施ITSMS認證的程序與管理的基本要求，是認證機構(gòu)從事ITSMS認證活動的基本依據(jù)。1.3在中華人民共和國境內(nèi)從事ITSMS認證活動應(yīng)遵守《中華人民共和國認證認可條例》《認證機構(gòu)管理辦法》及本規(guī)則。1.4認證機構(gòu)遵守本規(guī)則的規(guī)定，并不意味著可免除其所承擔的法律責任?！疽c與釋義】1.本規(guī)則是認證機構(gòu)從事ITSMS認證活動的基本依據(jù)和底線要求，認證機構(gòu)可在此規(guī)則的基礎(chǔ)上制定更加詳細的ITSMS認證管理制度、程序文件等。2.本規(guī)則適用于認證機構(gòu)在中國境內(nèi)開展的ITSMS認證活動，認證機構(gòu)在境外開展的ITSMS認證活動不適用本規(guī)則?！?—4.認證機構(gòu)作為經(jīng)營主體，應(yīng)對開展的認證活動及其他行為負責。認證機構(gòu)即使遵守本規(guī)則，但若存在其他違反法律法規(guī)的行為，仍需承擔相應(yīng)法律責任?！疽?guī)則條款】2認證依據(jù)《Informationtechnology—Servicemanagement—Part1:息技術(shù)服務(wù)管理第1部分：服務(wù)管理體系要求》）【要點與釋義】1.認證依據(jù)規(guī)定了管理體系應(yīng)滿足的要求。認證機構(gòu)2.認證依據(jù)需要在管理體系認證證書中列明。認證機構(gòu)發(fā)放的管理體系認證證書應(yīng)列明現(xiàn)行有效的標準名稱及標準號。如，信息技術(shù)服務(wù)管理體系認證所依據(jù)的現(xiàn)行標準為《Informationtechnology—Servicemanagement—Part1:Servicemanagementsystemrequirements》（《信息技術(shù)服務(wù)管理第1部分：服務(wù)管理體系要求》），現(xiàn)行有效的標準號為ISO/IEC20000-1:2018?！疽?guī)則條款】3對認證機構(gòu)的基本要求3.1獲得國家認證認可監(jiān)督管理委員會（以下簡稱國家認監(jiān)委）批準、取得ITSMS認證領(lǐng)域資質(zhì)。3.2開展ITSMS認證活動，應(yīng)當圍繞國家經(jīng)濟和社會發(fā)展目標，重點服務(wù)于經(jīng)濟社會高質(zhì)量發(fā)展，不得影響國家安全和社會公共利益，不得違背社會公序良俗。17021—1《合格評定管理體系審核認證機構(gòu)要求第1部分：要求》和ISO/IEC20000—6《信息技術(shù)服務(wù)管理第6部分：服務(wù)管理體系審核與認證機構(gòu)要求》，確保持續(xù)滿足開展ITSMS認證的基本要求。3.4建立風險防范機制，對從事ITSMS認證活動可能引發(fā)的風險和責任采取合理有效措施。認證機構(gòu)應(yīng)能證明其已對ITSMS認證活動引發(fā)的風險進行了評估，對引發(fā)的責任作出了充分安排（如保險或儲備金）。3.5建立認證人員管理制度，明確認證人員的能力準則、選擇條件、聘用和評價程序，以及能力提升機制。確保從事ITSMS認證的人員持續(xù)具備相應(yīng)職業(yè)素養(yǎng)和能力?！?—3.6具有并持續(xù)保持10名（含）以上經(jīng)注冊的ITSMS專職審核員。在擬開展的ITSMS認證業(yè)務(wù)范圍（認證業(yè)務(wù)范圍分類見附錄A表A），具備2名（含）以上ITSMS專業(yè)領(lǐng)域?qū)徍藛T。認證機構(gòu)應(yīng)結(jié)合認證業(yè)務(wù)范圍識別相關(guān)專業(yè)的學歷和專業(yè)信息技術(shù)服務(wù)工作經(jīng)歷。相應(yīng)認證業(yè)務(wù)范圍的專業(yè)領(lǐng)域?qū)徍藛T，應(yīng)具備如下條件之一：（1）具有本科（含）以上學歷，并且具有至少2年（含）以上該專業(yè)的信息技術(shù)服務(wù)工作經(jīng)歷或具有該專業(yè)的中級（含）以上技術(shù)職稱；注：信息技術(shù)服務(wù)工作包括信息技術(shù)服務(wù)管理、信息技術(shù)研究與開發(fā)及服務(wù)、信息技術(shù)服務(wù)認證、信息系統(tǒng)測評、信息技術(shù)教學等。（2）取得ITSMS正式審核員注冊資格后，參加該認證業(yè)務(wù)范圍信息技術(shù)服務(wù)專業(yè)技術(shù)培訓且考核合格，并且在ITSMS專業(yè)領(lǐng)域?qū)徍藛T或技術(shù)專家的指導下完成一定數(shù)量的ITSMS專業(yè)審核活動，不少于4次10個現(xiàn)場審核人日；（3）作為項目主要參加人，在該專業(yè)完成一定數(shù)量的信息技術(shù)服務(wù)標準的制定、科研項目（應(yīng)用于相應(yīng)行業(yè)/過程的信息技術(shù)服務(wù)）和設(shè)計開發(fā)等信息技術(shù)服務(wù)專業(yè)技術(shù)工作，數(shù)量要求至少為1項。3.7應(yīng)對其認證活動的公正性負責，不允許商業(yè)、財務(wù)或其他壓力損害公正性。如：不得將申請認證的組織（以下稱認證委托人）是否獲得認證與參與認證審核的審核員及其他人員的薪酬掛鉤。3.8對認證活動中所知悉的國家秘密、商業(yè)秘密負有保密義務(wù)。應(yīng)通過在法律上具有強制實施力的協(xié)議，確保認證活動中所獲得的信息在未經(jīng)認證委托人書面同意的情況下，不向第三方透漏，認證行政監(jiān)管有要求的除外。3.9應(yīng)對ITSMS認證活動的真實性、有效性負責，加強認證人員的管理及素質(zhì)、能力提升，合理安排審核員的工作量。每個審核員參加包括ITSMS在內(nèi)的管理體系現(xiàn)場審核時間的總和不應(yīng)超過180天/周期年。3.10認證機構(gòu)擁有的ITSMS有效認證證書的數(shù)量應(yīng)與該機構(gòu)ITSMS審核員數(shù)量相匹配，人均每個審核員匹配的包括ITSMS在內(nèi)的管理體系有效認證證書總數(shù)不應(yīng)超過50張/周期年。3.11不得委派未取得ITSMS注冊資格的審核員開展ITSMS認證審核活動。3.12不得以“認證證書在國家認監(jiān)委網(wǎng)站可查”或近似表述進行廣告宣傳?！疽c與釋義】1.認證活動應(yīng)圍繞我國經(jīng)濟社會發(fā)展目標，重點服務(wù)于經(jīng)濟社會高質(zhì)量發(fā)展（如，推動制造業(yè)轉(zhuǎn)型升級、實施鄉(xiāng)村振興戰(zhàn)略、推進生態(tài)文明建設(shè)、發(fā)展現(xiàn)代服務(wù)業(yè)、促進消費升級等）。認證機構(gòu)不得擅自開展涉及國家安全、政治組織、社會民俗、民族宗教等領(lǐng)域的認證業(yè)務(wù)。2.認證機構(gòu)應(yīng)當建立健全風險防范機制，選擇以儲備金形式應(yīng)對潛在風險的，需制定專門的儲備金管理制度，明確儲備金的計提標準、管理要求（包括專戶存儲、獨立核算等）以及使用規(guī)范（包括使用條件、審批程序、補充機制等）。3.認證機構(gòu)應(yīng)確保參與ITSMS認證活動的人員能力滿足認證機構(gòu)資質(zhì)審批的相關(guān)要求。同時，認證申請評審人員、認證審核人員、認證決定或復核人員需要具備GB/T27021.1和ISO/IEC20000-6中列明的相應(yīng)知識和技能，以確保ITSMS認證的有效性。4.ITSMS審核具備較強行業(yè)專業(yè)性，專職ITSMS審核員是保障ITSMS認證質(zhì)量的必要基礎(chǔ)。認證機構(gòu)應(yīng)確保具有并持續(xù)保持職審核員不足10人開展ITSMS認證活動的，市場監(jiān)管部門將按照包括但不限于暫停認證機構(gòu)在“認證認可業(yè)務(wù)信息統(tǒng)一上報平臺”上5.在擬開展的ITSMS認證業(yè)務(wù)范圍，需要具備至少2名專業(yè)領(lǐng)域?qū)徍藛T（專、兼職均可），專業(yè)領(lǐng)域?qū)徍藛T不能為ITSMS實習審核員，ITSMS實習審核員不評定專業(yè)領(lǐng)域。在擬開展的ITSMS認證業(yè)務(wù)范圍，專業(yè)領(lǐng)域?qū)徍藛T低于2人的，則不能開展該認證業(yè)務(wù)范圍的ITSMS認證活動。如，某認證機構(gòu)擬在05.02安全運維業(yè)務(wù)范圍開展ITSMS認證，需要具備至少2名05.02安全運維領(lǐng)域的專業(yè)審核員。6.認證機構(gòu)應(yīng)當基于本規(guī)則附錄A，適用時可細分認證業(yè)務(wù)范圍，并依據(jù)本規(guī)則3.6條款列明的條件，建立認證業(yè)務(wù)范圍專業(yè)領(lǐng)（1）基于專業(yè)工作經(jīng)歷。通過此方式獲得專業(yè)能力的，需要一定時間的全職信息技術(shù)服務(wù)工作經(jīng)歷。（2）基于專業(yè)技術(shù)職稱。以信息系統(tǒng)工程監(jiān)理業(yè)務(wù)范圍為例，只有具有信息系統(tǒng)監(jiān)理師中級及以上職稱，可被評定信息系統(tǒng)工程監(jiān)理專業(yè)領(lǐng)域?qū)徍藛T。（3）基于專業(yè)審核經(jīng)歷。專業(yè)審核經(jīng)歷是指針對相應(yīng)認證業(yè)務(wù)范圍類別內(nèi)的專業(yè)過程所實施ITSMS認證審核的經(jīng)歷，如研發(fā)部門的服務(wù)規(guī)劃設(shè)計與轉(zhuǎn)換、變更控制過程，技術(shù)部門的發(fā)布與部署管理過程，服務(wù)臺與支持部門的事件、服務(wù)請求、問題管理過程，保障部門的可用性、連續(xù)性、信息安全管理過程，運維部門的資產(chǎn)、配置管理過程等。專業(yè)審核經(jīng)歷需要在取得ITSMS正式審核員注冊資格后在本認證機構(gòu)內(nèi)獲得。專業(yè)審核經(jīng)歷需要在每次認證審核中，從首次會議到末次會議期間全程與專業(yè)領(lǐng)域?qū)徍藛T或技術(shù)專家在同一組進行實習，同時，專業(yè)實習的ITSMS審核員按ITSMS實習審核員管理，其審核時間不計入該次ITSMS認證審核的審核時間，但計入其周期年內(nèi)的現(xiàn)場審核天數(shù)。審核人日數(shù)以該次現(xiàn)場審核專業(yè)過程的審核人日數(shù)計算。專業(yè)審核經(jīng)歷的次數(shù)，以參與全程的初次認證審核第二階段審核、監(jiān)督審核和再認證審核計算，不包括初次認證審核第一階段審核和特殊審核。參加該認證業(yè)務(wù)范圍的專業(yè)技術(shù)培訓和考核時，培訓可由認證機構(gòu)自行組織，但須考核合格，培訓情況和考核結(jié)果需要留有證據(jù)。（4）基于專業(yè)技術(shù)工作。作為主要起草人參與制定信息技術(shù)服務(wù)標準的，所制定的信息技術(shù)服務(wù)相關(guān)標準應(yīng)為國家標準或行業(yè)標準，所承擔的角色應(yīng)為主要起草人（前5名參與市廳級和高校以上（含）級別科研項目的，所承擔的角色應(yīng)至少為技術(shù)骨干。7.對于不能滿足本規(guī)則3.6條款專業(yè)領(lǐng)域條件，但在本規(guī)則發(fā)布前已被認證機構(gòu)評定為專業(yè)領(lǐng)域?qū)徍藛T的（留存有證據(jù)材料），同時滿足以下條件的可以維持專業(yè)領(lǐng)域?qū)徍藛T資格：（1）本規(guī)則發(fā)布前，近5年在本機構(gòu)作為專業(yè)領(lǐng)域?qū)徍藛T參與不少于10次專業(yè)審核經(jīng)歷；（2）本規(guī)則發(fā)布后經(jīng)專業(yè)領(lǐng)域?qū)徍藛T重新見證評審。見證評審是見證人在初次認證第二階段審核、監(jiān)督審核或再認證審核中與被見證人同組，見證其對專業(yè)過程的審核能力。見證人應(yīng)為經(jīng)認證機構(gòu)確認滿足3.6條款要求的ITSMS專業(yè)領(lǐng)域?qū)徍藛T，在被見證人能力不足時見證人應(yīng)接管審核任務(wù)。見證人的見證時間不計入審核人日，但計入見證人和被見證人周期年內(nèi)的現(xiàn)場審核天數(shù)。8.通過認可的認證機構(gòu)可采用認可機構(gòu)認可的方式擴展ITSMS認證審核員的認證業(yè)務(wù)范圍專業(yè)領(lǐng)域，但未經(jīng)認可的認證業(yè)務(wù)范圍應(yīng)按3.6列明的條件開展相應(yīng)認證業(yè)務(wù)范圍的審核員專業(yè)領(lǐng)域評定。9.認證機構(gòu)對認證活動中了解到的認證委托人/獲證組織的保密信息，未經(jīng)認證委托人/獲證組織書面同意不得向第三方透露（包括無意透露），尤其是涉及國家秘密和商業(yè)秘密的信息。認證機構(gòu)應(yīng)制定認證活動保密制度，要求認證人員和技術(shù)專家簽署保密協(xié)議。除認證委托人/獲證組織自行公開或其與認證機構(gòu)商定公開的信息外，所有信息均視為保密信息。如果認證委托人事先沒有禁止認證機構(gòu)接觸某一信息和相關(guān)資產(chǎn)，或未告知認證機構(gòu)應(yīng)滿足的要求，但認證機構(gòu)在認證過程中發(fā)現(xiàn)自己并不具備接觸該信息資產(chǎn)的資格和條件，應(yīng)立即向認證委托人提出。審核組成員不宜在審核過程中以任何方式記錄認證委托人的保密或敏感信息。審核組在離開認證委托人現(xiàn)場前，宜請認證委托人檢查和確認審核組攜帶的文件、資料和設(shè)備中未夾帶認證委托人的任何保密或敏感信息。10.認證機構(gòu)應(yīng)對認證活動的真實性負責。為確保認證有效性，認證機構(gòu)應(yīng)合理安排審核員的工作量，給審核員留出充足時間開展審核策劃、審核準備、審核報告編制，以及對不符合的整改措施進行審查、驗證，并有充足時間接受繼續(xù)教育、培訓，保持和提升能力。11.每個ITSMS審核員（包括實習審核員）在1個周期年內(nèi)（從2026年3月1日之后的任意起始日期開始計算，連續(xù)滿12個月為一個周期年。例如，從2026年3月16日開始的周期年，截止日為2027年3月15日參加包括ITSMS在內(nèi)的管理體系現(xiàn)場審核時間的總和不應(yīng)超過180天?，F(xiàn)場審核時間是審核時間的一部分，包括從首次會議到末次會議之間實施審核活動的所有時間。管理體系認證審核員超出180天參加的管理體系認證審核的認證結(jié)果，不具有證明作用。認證機構(gòu)應(yīng)對審核安排是否符合本規(guī)則3.9條款的情況進行持續(xù)監(jiān)督，管理體系現(xiàn)場審核時間總和超過180天的審核員仍作為審核組成員參與現(xiàn)場審核的，該次現(xiàn)場審核無效，認證機構(gòu)應(yīng)重新組建符合本規(guī)則要求的審核組，在該次無效現(xiàn)場審核結(jié)束后1個月內(nèi)完成對該認證項目的再次現(xiàn)場審核。通過再次現(xiàn)場審核的，該認證項目的認證證書才能持續(xù)有效，證書有效期與原證書相同。對于違反本規(guī)則3.9條款規(guī)定的，市場監(jiān)管部門將按照減少遺漏認證規(guī)則規(guī)定的程序進行處理，對相關(guān)認證機構(gòu)、審核員從嚴處理，包括但不限于暫停認證機構(gòu)在“認證認可業(yè)務(wù)信息統(tǒng)一上報平臺”上傳管理體系認證證書信息，以及在“全國認證認可信息公共服務(wù)平臺”（認e云）展示其頒發(fā)的管理體系認證證書信息的權(quán)限。12.管理體系認證審核員，如果同時擁有產(chǎn)品認證檢查員或服務(wù)認證審查員注冊資質(zhì)，開展產(chǎn)品認證和服務(wù)認證的現(xiàn)場審核時間不計算在管理體系現(xiàn)場審核時間180天內(nèi)。13.ITSMS認證審核員需要在同時滿足以下情況并經(jīng)本機構(gòu)批準后，可被評定為本機構(gòu)其他相應(yīng)管理體系領(lǐng)域認證業(yè)務(wù)范圍專業(yè)領(lǐng)域的技術(shù)專家：（2）未在相應(yīng)管理體系認證領(lǐng)域注冊為認證審核員或?qū)嵙暲纾硨徍藛T為ITSMS“01.03信息系統(tǒng)軟件設(shè)計、開發(fā)服務(wù)”專業(yè)領(lǐng)域?qū)徍藛T，其沒有ISMS審核員資格，在其具備能力并經(jīng)認證機構(gòu)評定的前提下，可作為ISMS“04.08信息與通信技術(shù)”專業(yè)領(lǐng)域的技術(shù)專家，但其不能再被評為ITSMS的技術(shù)專家。其作為審核員身份和技術(shù)專家身份每年參與管理體系現(xiàn)場審核時間的總和不得超過180天。14.人均每個審核員匹配的包括ITSMS在內(nèi)的管理體系有效認證證書總數(shù)不應(yīng)超過50張/周期年。（1）每個周期年內(nèi)，認證機構(gòu)持有的ITSMS有效證書的數(shù)量不應(yīng)超過ITSMS認證審核員人數(shù)×50張。（2）每個周期年內(nèi)，認證機構(gòu)持有的管理體系有效認證證書數(shù)量總計不應(yīng)超過管理體系認證審核員人數(shù)×50張。（3）上述ITSMS認證審核員數(shù)量、管理體系認證審核員數(shù)的ITSMS認證審核員、管理體系認證審核員數(shù)量的平均值；新規(guī)則正式實施前，管理體系認證審核員人均證書數(shù)大于50張的認證機構(gòu)，應(yīng)采取相應(yīng)措施，確保在新規(guī)則正式施行后的一年內(nèi)（2027年2月28日前），其管理體系認證審核員人數(shù)與證書數(shù)的匹配情況滿足新規(guī)則的要求。（4）管理體系認證審核員包括專職審核員和兼職審核員，不包括實習審核員。（5）有效認證證書數(shù)包括子證書數(shù)，即所有帶證書編號的認證證書數(shù)量總和；1張主認證證書附帶N張子認證證書的，證（6）有效認證證書數(shù)包括統(tǒng)計時點下的認證證書狀態(tài)為“有效”和“暫停”的證書數(shù)量。15.認證機構(gòu)委派開展ITSMS認證審核的所有審核員，均應(yīng)取得ITSMS審核員注冊資格；對于不滿足此條件并頒發(fā)認證證書的，應(yīng)撤銷相應(yīng)認證證書，已委派的，應(yīng)立即終止認證審核活動。16.認證機構(gòu)不得在其網(wǎng)站、宣傳冊、廣告等相關(guān)材料以及市場推廣等活動中，宣傳其認證證書可在國家認監(jiān)委相關(guān)網(wǎng)站查詢?！疽?guī)則條款】4對認證人員的基本要求4.1遵守認證認可相關(guān)法律法規(guī)、部門規(guī)章及規(guī)范性文件的要求，具有從事認證工作的基本職業(yè)操守，對認證活動及其結(jié)果的真實性和有效性承擔相應(yīng)責任。4.2審核員應(yīng)取得國家認監(jiān)委確定的認證人員注冊機構(gòu)批準的ITSMS審核員注冊資格。4.3審核員不得接受超出其注冊資格的認證審核任務(wù)。4.4不得發(fā)生影響認證公正性的行為，應(yīng)主動告知認證機構(gòu)其所了解的任何可能使本人或認證機構(gòu)陷入利益沖突的情況。因認證人員未履行告知義務(wù)而導致非公正認證結(jié)果的，認證人員應(yīng)當負有連帶責任（如承擔因此造成的經(jīng)濟損失）。4.5按要求接受人員注冊/保持注冊所要求的繼續(xù)教育培訓，以及認證機構(gòu)要求的能力（包括知識和技能）提升活動，以持續(xù)具備從事ITSMS認證工作相適宜的能力?！疽c與釋義】1.認證人員作為認證活動的實施者，應(yīng)遵守認證認可相關(guān)的法律法規(guī)和政策要求，如《中華人民共和國認證認可條例》《認證機構(gòu)管理辦法》《信息技術(shù)服務(wù)管理體系認證規(guī)則》以及市場2.認證人員應(yīng)具有誠實、正直、客觀、公正等職業(yè)操守，不得在認證活動中弄虛作假、減少遺漏認證程序，并對作出的記錄、出具的結(jié)論負責。3.“國家認監(jiān)委確定的認證人員注冊機構(gòu)”目前指中國認證認頒發(fā)的ITSMS審核員注冊證書。ITSMS審核員在實施審核時，其ITSMS審核員注冊證書應(yīng)在有效期內(nèi)且注冊狀態(tài)有效，注冊執(zhí)業(yè)機構(gòu)應(yīng)為安排認證審核任務(wù)的認證機構(gòu)。4.審核員在接到認證審核任務(wù)后，應(yīng)確認注冊資格與認證審核任務(wù)是否匹配。若注冊資格與認證審核任務(wù)不匹配，應(yīng)及時與認證機構(gòu)溝通，不得接受該項審核任務(wù)。1個周期年內(nèi)管理體系現(xiàn)場審核時間總和超過180天的審核員，該周期年內(nèi)不得再接受管理體系審核任務(wù)。5.ITSMS實習審核員，不得接受獨自開展ITSMS審核活動的審核任務(wù)；非ITSMS專業(yè)領(lǐng)域?qū)徍藛T，不得接受對ITSMS專業(yè)過程的審核任務(wù)。6.認證機構(gòu)應(yīng)公正開展認證活動，并對認證活動的公正性負責，不受商業(yè)、財務(wù)或其他方面的影響和干預。認證活動涉及的所有人員（無論專職還是兼職，審核員還是技術(shù)專家），應(yīng)恪守公正，不得接受任何商業(yè)賄賂，不得損害認證活動的公正性。認證機構(gòu)應(yīng)建立相關(guān)機制確保認證活動涉及的所有人員，理解認證的公正性并保留相應(yīng)證據(jù)，如簽署公正性及保密聲明等。7.審核員在注冊證書有效期內(nèi)，為持續(xù)具備從事ITSMS認證工作相適宜的能力，應(yīng)滿足CCAA《管理體系審核員注冊準則》關(guān)于繼續(xù)教育的要求。【規(guī)則條款】5認證程序5.1認證申請5.1.1認證機構(gòu)應(yīng)向認證委托人至少公開以下信息：（1）可開展的認證業(yè)務(wù)范圍，獲得認可的情況，以及分包境外認證機構(gòu)業(yè)務(wù)的情況；（2）開展ITSMS認證活動所依據(jù)的認證標準以及相關(guān)的認證方案、認證流程；（3）授予、拒絕、保持、更新、暫停（恢復）、注銷、撤銷認證證書以及擴大或縮小認證范圍的程序規(guī)定；（4）擬向認證委托人獲取的信息以及保密規(guī)定；（5）認證收費標準；（6）認證證書、認證標志及相關(guān)的使用規(guī)定；（7）對認證過程和結(jié)果的申訴、投訴規(guī)定；（8）認證標準換版的規(guī)定（適用時）；（9）“提前較短時間通知的審核”的情形；（10）其他需要公開的信息?！疽c與釋義】1.認證機構(gòu)應(yīng)結(jié)合自身管理要求，規(guī)定其信息公開的途徑/方式。認證機構(gòu)應(yīng)確保其公開的信息準確、真實。認證機構(gòu)應(yīng)適時評審公開信息的有效性，必要時予以更新。3.認證機構(gòu)應(yīng)通過其網(wǎng)站或者其他形式公布相關(guān)信息，對相關(guān)信息的真實性、有效性負責，并保證以不同形式公布的信息具有一致性和可追溯性?！疽?guī)則條款】5.1.2提出認證申請時，認證委托人應(yīng)具備以下條件：（1）取得合法主體資格，并處于有效期內(nèi)；（2）取得相關(guān)法律法規(guī)規(guī)定的行政許可（適用時），并處于有效期內(nèi)；（3）已按認證標準建立ITSMS，且運行滿三個月；（4）因獲證組織自身原因被原發(fā)證機構(gòu)暫停、注銷或撤銷ITSMS認證證書已滿一年（適用時）；（5）原ITSMS認證證書發(fā)證機構(gòu)被國家認監(jiān)委撤銷ITSMS認證資質(zhì)已滿三個月（適用時）；（6）當前未被行政監(jiān)管部門責令停產(chǎn)停業(yè)整頓；（7）當前未列入“國家企業(yè)信用信息公示系統(tǒng)”和“信用中國”發(fā)布的嚴重違法失信名單；【要點與釋義】1.認證委托人應(yīng)取得合法主體資格，合法主體資格包括企業(yè)法人、合伙企業(yè)、個人獨資企業(yè)及其分支機構(gòu)，以及機關(guān)、事業(yè)單位、社會團體、民辦非企業(yè)單位等。2.無合法主體資格的單位（如無營業(yè)執(zhí)照的內(nèi)設(shè)部門）申請認證，應(yīng)以合法主體資格證照上載明的主體作為認證委托人。認證委托人申請簽發(fā)子證書的場所，也應(yīng)取得合法主體資格。3.因獲證組織自身原因，ITSMS認證證書被暫停、撤銷、注銷滿一年后，原獲證組織方可向認證機構(gòu)（包括原認證機構(gòu)）重新申請認證。ITSMS認證證書暫停期滿后被撤銷的，按ITSMS認證證書被暫停的日期起算滿一年。ITSMS認證證書暫停后未辦理恢復，認證證書有效截止日期后失效的，在其認證證書暫停滿一年后方可向認證機構(gòu)（包括原認證機構(gòu)）重新提出ITSMS認證申請。4.認證委托人被行政監(jiān)管部門責令停產(chǎn)停業(yè)整頓的，應(yīng)積極整改違法違規(guī)行為，消除相應(yīng)后果。提出認證申請時，認證委托人應(yīng)處于正常開展生產(chǎn)經(jīng)營活動狀態(tài)。【規(guī)則條款】5.1.3認證機構(gòu)應(yīng)要求認證委托人提供以下信息和文件資（1）認證申請，包括認證委托人的名稱、地址、認證依據(jù)的標準、申請的認證范圍、認證范圍內(nèi)人員數(shù)量及影響體系有效性的外包過程；（2）法律地位的證明文件，當ITSMS覆蓋多個法律實體時，應(yīng)提供每個法律實體的法律地位證明文件；（3）申請認證范圍所涉及的信息技術(shù)法律法規(guī)要求的行政許可文件、資質(zhì)證書等（適用時）；（4）組織機構(gòu)及職責；（5）信息技術(shù)服務(wù)的流程、班次及輪班情況；（6）ITSMS運行滿三個月的證據(jù)；（7）其他需要提供的文件。【要點與釋義】1.信息技術(shù)服務(wù)的流程、班次及輪班情況，包括：服務(wù)流程圖，輪班的班次、人數(shù)、各班次的工作內(nèi)容和工作時間信息等。2.ITSMS運行時間的認定應(yīng)基于多維度證評審記錄、過程運行數(shù)據(jù)等。ITSMS有效運行滿要滿足ISO/IEC20000-1要求的文件化制度實施已滿3個月?！疽?guī)則條款】5.2.1認證機構(gòu)應(yīng)建立并實施相應(yīng)程序，對認證委托人提交的申請信息和文件資料實施申請評審，仔細鑒別申請信息和文件資料的真?zhèn)危_定是否受理認證申請，并保存相應(yīng)評審記錄。5.2.2滿足以下條件的，認證機構(gòu)可以受理認證申請：）；（2）認證機構(gòu)具備實施認證的能力；（3）雙方就認證事宜達成一致。5.2.3對于新的認證委托人，僅在同時滿足下列情況的前提下，認證機構(gòu)可實施認證轉(zhuǎn)換，否則應(yīng)按照初次認證開展認證活（1）認證機構(gòu)具有認證委托人申請認證的ITSMS認證范圍的認可資格；（2）認證委托人持有其他被認可的認證機構(gòu)（原認證機構(gòu)）頒發(fā)的帶認可標識的ITSMS認證證書（原認證證書）；（3）原認證證書處于有效期內(nèi)，未被原認證機構(gòu)實施暫?；虺蜂N；（4）原認證機構(gòu)認證業(yè)務(wù)正常運行，不存在認可資格到期、被暫?；虺蜂N的問題；（5）認證機構(gòu)應(yīng)獲得認證委托人初次認證審核報告或最近一次的再認證審核報告、監(jiān)督審核報告、審核中發(fā)現(xiàn)的不符合及其糾正措施。5.2.4認證機構(gòu)應(yīng)將申請評審的結(jié)果告知認證委托人。【要點與釋義】1.申請評審時，認證機構(gòu)應(yīng)評估自身是否具備實施認證的能力，包括獲批的認證業(yè)務(wù)范圍、現(xiàn)有審核員能力、認證決定人員及其他認證人員能力、滿足認證委托人其他要求的能力等。2.其他被認可的認證機構(gòu)，是指已取得認可機構(gòu)授予的ITSMS認可資格的認證機構(gòu)。本釋義所述認可機構(gòu)為全球認可合作組織多邊互認協(xié)議（GLOBACMRA）簽約成員，或國際認可—20—有效），且簽署ITSMS認證機構(gòu)認可互認協(xié)議。ITSMS不在多邊互認協(xié)議范圍內(nèi)時，認證機構(gòu)應(yīng)取得同一認可機構(gòu)授予的ITSMS認可資格。3.認證轉(zhuǎn)換時，認證機構(gòu)應(yīng)收集認證委托人最近一個認證周期內(nèi)的認證資料，包括初次認證或最近一次的再認證審核報告及最近一次的監(jiān)督審核報告，所有在這些審核中發(fā)現(xiàn)的不符合及其糾正措施?！疽?guī)則條款】5.3認證合同及相關(guān)責任5.3.1通過申請評審的，認證機構(gòu)應(yīng)與每個認證委托人簽訂具有法律效力的認證合同，明確認證服務(wù)的費用、付費方式和違約條款，及認證委托人、認證機構(gòu)和獲證組織的責任。認證費用應(yīng)由認證委托人向認證機構(gòu)直接支付。5.3.2認證機構(gòu)應(yīng)及時向符合認證要求的認證委托人頒發(fā)認證證書，對獲證組織ITSMS運行情況進行有效監(jiān)督，通過其網(wǎng)站或者其他形式向社會公布認證證書信息；因認證機構(gòu)批準資質(zhì)注銷或被撤銷導致獲證組織ITSMS認證證書無法有效保持的，需及時告知獲證組織并作出妥善處理，并承擔由此導致的獲證組織在合同上約定或法律認定的經(jīng)濟損失。5.3.3認證委托人應(yīng)遵守認證程序要求，如實提供相關(guān)材料—21—和信息，配合認證行政監(jiān)管部門的監(jiān)督檢查和認證機構(gòu)對投訴的調(diào)查，及時向認證機構(gòu)通報ITSMS及5.1.2中條件的變更情況，承擔選擇的認證機構(gòu)資質(zhì)被撤銷而帶來的認證活動終止、認證證書無法使用的風險。5.3.4獲證組織應(yīng)遵守認證程序要求，如實提供相關(guān)材料和信息，通過ITSMS認證后持續(xù)有效運行ITSMS，配合認證行政監(jiān)管部門的監(jiān)督檢查和認證機構(gòu)對投訴的調(diào)查，在廣告、宣傳等活動中正確使用認證證書、認證標志和有關(guān)信息，及時向認證機構(gòu)通報ITSMS及5.1.2中條件的變更情況，承擔選擇的認證機構(gòu)資質(zhì)被撤銷而帶來的認證證書無法使用的風險?！疽c與釋義】1.認證機構(gòu)在2026年2月28日前已簽訂的認證合同可繼續(xù)執(zhí)行，但2026年3月1日（含）后開展的認證活動應(yīng)符合本規(guī)則的要求。2026年3月1日（含）后新簽訂的認證合同應(yīng)滿足本規(guī)則5.3的要求。2.認證委托人應(yīng)向認證機構(gòu)直接支付認證費用，不得通過第三支付?！?2—4.認證機構(gòu)應(yīng)在合同中約定認證委托人隱瞞真實信息的責任，以及因認證機構(gòu)批準資質(zhì)注銷或被撤銷導致獲證組織ITSMS認證證書無法有效保持的責任和經(jīng)濟賠償?！疽?guī)則條款】5.4審核方案和審核策劃5.4.1審核方案5.4.1.1認證機構(gòu)應(yīng)針對每一認證委托人建立認證周期內(nèi)的審核方案，以清晰地識別所需的審核活動。5.4.1.2初次認證的審核方案應(yīng)包括兩階段初次認證審核、獲證后的監(jiān)督審核和認證到期前的再認證審核。再認證的審核方案應(yīng)包括再認證審核、獲證后的監(jiān)督審核和認證到期前的再認證審5.4.1.3初次認證審核和再認證審核是對認證委托人完整體系的審核，應(yīng)覆蓋ISO/IEC20000—1所有要求，以及認證范圍內(nèi)的典型信息技術(shù)服務(wù)。認證證書有效期內(nèi)的監(jiān)督審核累計應(yīng)覆蓋ISO/IEC20000—1所有要求。5.4.1.4初次認證及再認證后的第一次監(jiān)督審核應(yīng)在認證證書簽發(fā)之日起12個月內(nèi)進行。此后，監(jiān)督審核間隔不應(yīng)超過12個—23—5.4.1.5認證機構(gòu)應(yīng)考慮認證委托人不同班次完成的過程，以及其所證實的對每個班次的ITSMS控制水平來策劃對不同班次實施的審核程度，以確保審核的有效性：（1）每次審核應(yīng)至少對其中一個班次的信息技術(shù)服務(wù)活動現(xiàn)場進行審核；（2）未審核其他班次信息技術(shù)服務(wù)活動現(xiàn)場的，應(yīng)記錄未審核的理由?！疽c與釋義】1.一個認證周期內(nèi)的審核方案中，應(yīng)包括至少兩次監(jiān)督審核。監(jiān)督審核的安排應(yīng)同時滿足以下要求：（1）第一次監(jiān)督審核應(yīng)在證書簽發(fā)之日起12個第二次監(jiān)督審核應(yīng)在認證證書簽發(fā)之日起24個月內(nèi)進行；（2）兩次監(jiān)督審核的時間間隔不應(yīng)超過12個月，即本次監(jiān)督審核的開始日期距上一次監(jiān)督審核的結(jié)束日期不超過12個月；（3）除再認證的年份外，監(jiān)督審核每個日歷年需要進行12.在具體實施認證審核過程中，認證機構(gòu)可根據(jù)認證委托人ITSMS的實際情況對審核方案進行必要的調(diào)整。3.認證范圍內(nèi)的典型信息技術(shù)服務(wù)（參考附錄AITSMS認證業(yè)務(wù)范圍中類的分類內(nèi)容）是指該信息技術(shù)服務(wù)的實現(xiàn)過程，同時也能涵蓋認證范圍內(nèi)的其他信息技術(shù)服務(wù)的實現(xiàn)過程，認證機—24—構(gòu)應(yīng)記錄確定典型信息技術(shù)服務(wù)的理由。原則上，至少應(yīng)在同一認證業(yè)務(wù)范圍分類內(nèi)選取典型信息技術(shù)服務(wù)，選取的典型信息技術(shù)服務(wù)應(yīng)具有代表性。4.認證委托人存在多班次服務(wù)情況的，認證機構(gòu)應(yīng)根據(jù)各班次的服務(wù)內(nèi)容，以及認證委托人對各班次的控制水平，策劃對不同班次的審核。【規(guī)則條款】5.4.2審核時間5.4.2.1審核時間包括在認證委托人現(xiàn)場的審核時間以及在現(xiàn)場審核以外實施策劃、文件審核和編寫審核報告等活動的時間。審核時間以人日計，1人日為8小時，不應(yīng)通過增加工作日的工作小時數(shù)以減少審核人日數(shù)。如果認證委托人工作日的實際工作時間不足8小時，則應(yīng)延長現(xiàn)場審核天數(shù)以滿足審核時間要求。5.4.2.2認證機構(gòu)應(yīng)以附錄B所規(guī)定的審核時間為基礎(chǔ)，考慮認證委托人有效人數(shù)等因素，建立文件化的不同審核類型審核時間（包括現(xiàn)場審核時間）的確定方法?！?5—5.4.2.3每次審核的審核時間確定過程應(yīng)形成記錄，尤其是減少審核時間的理由，減少的審核時間不得超過附錄B所規(guī)定的審核時間的30％，現(xiàn)場審核時間不得少于所確定的審核時間的80%。如果審核人日計算后結(jié)果包括小數(shù)，應(yīng)將其調(diào)整為最接近的半人日數(shù)。5.4.2.4認證機構(gòu)應(yīng)建立文件化的結(jié)合審核時間確定方法，ITSMS和其他管理體系實施結(jié)合審核的，結(jié)合審核的總審核時間不得少于多個單獨體系所需審核時間之和的80%。【要點與釋義】1.對于市場監(jiān)管總局（國家認監(jiān)委）或認可機構(gòu)未明確審核時間要求的管理體系，信息技術(shù)服務(wù)管理體系不能與其實施結(jié)合審核，也不能通過結(jié)合審核的方式減少審核時間。2.現(xiàn)場審核時間的人日數(shù)計算最終結(jié)果含有小數(shù)的，應(yīng)調(diào)整為就近的半人日數(shù)。如5.3人日應(yīng)調(diào)整為5.5人日，5.2人日應(yīng)調(diào)整為5人日。【規(guī)則條款】5.4.3多場所抽樣方案5.4.3.1認證機構(gòu)應(yīng)建立并實施文件化的多場所組織認證抽樣的規(guī)則，策劃并保留多場所組織的抽樣及審核時間確定的記錄。5.4.3.2對涵蓋相同活動、過程的多個相似場所ITSMS可進行抽樣審核，抽樣數(shù)量應(yīng)不少于按以下方法計算的結(jié)果：—26—（2）監(jiān)督審核：Y（3）再認證審核：Y注：其中Y為抽樣的數(shù)量，結(jié)果向上取整；X為相似場所的總體數(shù)量。5.4.3.3對多個非相似場所，則不應(yīng)抽樣，初審和再認證審核應(yīng)當逐一到各場所進行審核。監(jiān)督審核應(yīng)抽取不少于30%的場所進行審核，且每次審核均應(yīng)包括中心職能部門。第二次監(jiān)督審核選取的場所通常不同于第一次監(jiān)督審核所選取的場所。5.4.3.4分場所審核人日的計算方法參見5.4.2，且現(xiàn)場審核時間不得少于依據(jù)附錄B所確定的現(xiàn)場審核時間的50%。服務(wù)點審核人日應(yīng)與審核組在該服務(wù)點所需完成的審核活動相匹配，通常每個服務(wù)點的現(xiàn)場審核時間不少于0.25人日。對每個場所（包括服務(wù)點）單獨計算的現(xiàn)場審核時間進行匯總，得出的多場所總現(xiàn)場審核時間不應(yīng)小于依據(jù)附錄B計算出的總現(xiàn)場審核時間?！疽c與釋義】1.認證機構(gòu)建立的多場所組織認證抽樣規(guī)則（包含服務(wù)點應(yīng)包括多場所抽樣的應(yīng)用條件。可應(yīng)用抽樣的多場所，抽樣數(shù)量計算結(jié)果出現(xiàn)小數(shù)點均應(yīng)進位，如可抽樣多場所數(shù)量為3，按要求監(jiān)督審核的抽樣量計算結(jié)果為1.04，抽樣量應(yīng)為2。2.認證機構(gòu)根據(jù)各場所有效人數(shù)、審核時間增減條件，按本規(guī)則5.4.2條款的要求分別確定中心職能部門和分場所的審核時—27—間，其中分場所現(xiàn)場審核時間的減少量不能超過附錄B確定的現(xiàn)場審核時間的50%。3.服務(wù)點的審核人日應(yīng)與審核組在該服務(wù)點所需完成的審核活動相匹配，通常每個服務(wù)點的現(xiàn)場審核時間不少于0.25人日。服務(wù)點的抽樣數(shù)量可參考認可相關(guān)規(guī)定?！疽?guī)則條款】5.4.4組建審核組5.4.4.1認證機構(gòu)應(yīng)根據(jù)實現(xiàn)審核目的所需的能力和公正性要求組建審核組，至少1名實施第一階段審核的審核員應(yīng)參加第二階段審核，每個審核組應(yīng)包括：（1）審核組長：認證機構(gòu)應(yīng)建立并實施審核組長的選擇、培訓以及任用的管理制度；審核組長應(yīng)當具有管理和領(lǐng)導審核組達成審核目標的知識和技能，其能力應(yīng)至少滿足GB/T19011《管理體系審核指南》中對審核組長的通用要求;（2）至少1名與認證委托人所屬認證業(yè)務(wù)范圍相匹配的ITSMS專業(yè)領(lǐng)域?qū)徍藛T。在必要時還應(yīng)配備相關(guān)行業(yè)的信息技術(shù)服務(wù)管理技術(shù)專家。ITSMS和其他管理體系實施結(jié)合審核的，審核組還應(yīng)包括其他管理體系的專業(yè)人員，確保專業(yè)人員的能力覆蓋實施結(jié)合審核的全部管理體系;（3）至少1名認證機構(gòu)的專職審核員，并確保專職審核員全程參與ITSMS審核過程?！?8—5.4.4.2技術(shù)專家主要負責為審核組提供技術(shù)支持，不作為審核員實施審核，不計入審核時間。5.4.4.3實習審核員應(yīng)在正式審核員的指導下參加審核，不計入審核時間，其在審核過程中的活動由負責指導的正式審核員承擔責任。審核組中實習審核員的數(shù)量不得超過正式審核員的數(shù)5.4.4.4審核組成員不得與認證委托人存在利益關(guān)系?！疽c與釋義】1.審核組成員是指組成審核組的審核員、實習審核員和技術(shù)專家，不包括可能一同進入認證委托人現(xiàn)場的觀察員、翻譯或其他外部人員。審核組中的審核員應(yīng)承擔審核任務(wù)和責任。2.當認證委托人所屬的認證業(yè)務(wù)范圍包括不同分類的，ITSMS3.每次審核均應(yīng)有專職審核員全程參加，包括初次認證審核的第一階段。當發(fā)生突發(fā)情況或不可抗力時，認證機構(gòu)可更換專職審核員，但應(yīng)確保審核過程全程有專職管理體系審核員參加?！?9—專業(yè)領(lǐng)域?qū)徍藛T全程同組的，其在審核中的活動和審核發(fā)現(xiàn)由6.對于多場所的審核活動，不要求專職審核員參與每一個場所【規(guī)則條款】5.4.5審核計劃5.4.5.1認證機構(gòu)應(yīng)依據(jù)審核方案制定每次現(xiàn)場審核的審核計劃。審核計劃至少包括：審核目的、審核準則、審核范圍、現(xiàn)場審核的日期、時間安排和場所、審核組成員及審核任務(wù)安排。其中，審核員應(yīng)注明ITSMS審核員注冊號，專業(yè)領(lǐng)域?qū)徍藛T和技術(shù)專家應(yīng)標明專業(yè)代碼，兼職審核員和技術(shù)專家應(yīng)注明工作單位。5.4.5.2現(xiàn)場審核應(yīng)安排在認證委托人的信息技術(shù)服務(wù)處于正常運行時進行。5.4.5.3現(xiàn)場審核開始前，應(yīng)將審核計劃提交給認證委托人并經(jīng)其確認。如需要臨時調(diào)整審核計劃，應(yīng)經(jīng)雙方協(xié)商一致后實施。【要點與釋義】1.信息技術(shù)服務(wù)處于正常運行，是指信息技術(shù)服務(wù)實現(xiàn)過程的主要環(huán)節(jié)正常進行。認證機構(gòu)應(yīng)在編制審核計劃前，與認證委托人確認審核期間擬實施審核的服務(wù)是否處于正常運行，現(xiàn)場審核不應(yīng)安排在無服務(wù)現(xiàn)場活動的時間段。2.審核計劃應(yīng)注明兼職審核員和技術(shù)專家的工作單位。兼職審核員以及技術(shù)專家暫無工作單位的，可依據(jù)社保繳納單位填寫，如果未繳納社保的，填寫無。兼職審核員以及技術(shù)專家退休的，填寫退休單位并注明已退休。3.認證機構(gòu)與認證委托人確認審核計劃的方式，可包括郵件或其他溝通途徑，認證機構(gòu)應(yīng)留存溝通記錄。【規(guī)則條款】5.5實施審核5.5.1ITSMS認證審核應(yīng)在認證委托人的現(xiàn)場實施，包括初次認證審核以及認證周期內(nèi)的每年度的監(jiān)督審核、再認證審核和特殊審核。5.5.2審核組應(yīng)按照審核計劃實施審核，并采用中文記錄審核過程，可補充使用圖片/音像作為記錄。5.5.3審核組應(yīng)會同認證委托人召開首、末次會議，認證委托人的最高管理者、ITSMS相關(guān)職能部門負責人應(yīng)參加首、末次會議，認證機構(gòu)應(yīng)保留首、末次會議簽到記錄、圖片/音像證明材料。認證委托人的最高管理者不能參加首、末次會議的，應(yīng)由獲得書面授權(quán)的其他高級管理層成員參會，審核組應(yīng)記錄最高管理者缺席理由。5.5.4審核組應(yīng)通過面對面訪談等形式，對認證委托人的最高管理者在ITSMS中發(fā)揮領(lǐng)導作用的情況進行重點審核，并保留現(xiàn)場圖片/音像、審核記錄等證明材料。最高管理者不熟悉組織自身的信息技術(shù)服務(wù)方針、信息技術(shù)服務(wù)目標，未親自參與并推動ITSMS實施的，認證審核應(yīng)不予通過。5.5.5發(fā)生下列情況的，審核組應(yīng)向認證機構(gòu)報告后終止審（1）認證委托人對審核活動不予配合，審核活動無法進行；（2）認證委托人的最高管理者或經(jīng)授權(quán)的高級管理層成員缺席首、末次會議；（3）認證委托人實際情況與申請材料有重大不一致；（4）其他導致審核程序無法完成的情況。【要點與釋義】2.認證委托人的最高管理者，是指認證委托人申請認證范圍活動的主要負責人或決策者，可以是一個人或一組人。認證委托人僅對其某個組成部分申請認證的，最高管理者可以是該組成部分的負責人。3.認證委托人對審核活動不予配合的情形，是指由于認證委托人的原因?qū)е聦徍私M無法按計劃開展審核活動，或無法獲取有效審核證據(jù)。4.認證委托人實際情況與申請材料有重大不一致，是指認證委托人實際情況（如認證委托人的組織機構(gòu)、場所、活動、認證條款要求的申請材料不一致，對審核方案有重大影響，導致審核組無法按原來的策劃開展審核活動。【規(guī)則條款】5.6初次認證審核初次認證審核應(yīng)分為兩個階段實施：第一階段審核和第二階段審核。兩個階段審核時間間隔最短不應(yīng)少于5日，最長不應(yīng)超過6個月。如需要更長的時間間隔，應(yīng)重新實施第一階段審核。5.6.2第一階段審核ITSMS和其對第二階段的準備情況，確定其是否具備接受第二階段審核的條件并策劃第二階段審核的關(guān)注點。第一階段審核的內(nèi)容包括但不限于以下方面：（1）了解認證委托人的情況，包括其信息技術(shù)服務(wù)活動、設(shè)施設(shè)備、服務(wù)流程、現(xiàn)場運作以及適用的信息技術(shù)服務(wù)標準；（2）評審認證委托人ITSMS體系文件，確認其與認證委托人業(yè)務(wù)活動及信息技術(shù)服務(wù)相吻合；（3）確認認證委托人申請信息和文件資料的真實性；（4）審核認證委托人理解和實施ISO/IEC20000—1標準的情況，特別是對ITSMS關(guān)鍵績效、過程、信息技術(shù)服務(wù)目標和運作的識別情況；（5）確認認證委托人是否為第二階段審核做好準備，已實施了內(nèi)部審核和管理評審；（6）確認認證委托人ITSMS認證范圍、體系覆蓋范圍內(nèi)有效人數(shù)和場所；（7）認證委托人的信息技術(shù)服務(wù)符合信息技術(shù)服務(wù)相關(guān)法律法規(guī)的情況。5.6.2.2為達到第一階段審核的目的和要求，除下列情況外，第一階段審核應(yīng)在認證委托人現(xiàn)場實施：（1）認證委托人已獲本認證機構(gòu)頒發(fā)的其他管理體系認證領(lǐng)域的有效認證證書，認證機構(gòu)已對認證委托人ITSMS有充分了解；（2）認證委托人獲得了經(jīng)認可機構(gòu)認可的其他認證機構(gòu)頒發(fā)的有效的ITSMS認證證書，通過對其文件和資料的審核可以達到第一階段審核的目的和要求。認證機構(gòu)應(yīng)記錄未在現(xiàn)場進行第一階段審核的理由。5.6.2.3認證機構(gòu)應(yīng)將認證委托人是否具備第二階段審核條件的結(jié)論書面告知認證委托人，包括所識別的需引起關(guān)注的、在第二階段可能被判定為不符合的問題。5.6.2.4認證機構(gòu)通過第一階段審核發(fā)現(xiàn)相關(guān)申請信息和文件資料存在虛假情況的，應(yīng)終止認證活動。5.6.3第二階段審核5.6.3.1第二階段審核的目的是評價認證委托人ITSMS的實施情況，包括對ISO/IEC20000—1標準要求的符合性和體系的有效性。5.6.3.2第二階段審核應(yīng)在認證委托人的現(xiàn)場實施，至少覆蓋（1）認證委托人ITSMS與ISO/IEC20000—1標準的符合情況及證據(jù)；（2）依據(jù)ITSMS關(guān)鍵績效目標和指標，對績效進行的監(jiān)視、測量、報告和評審；（3）認證委托人實施ITSMS的能力以及在符合適用法律法規(guī)要求方面的績效；（4）認證委托人信息技術(shù)服務(wù)過程的運作控制；（5）認證委托人的內(nèi)部審核和管理評審；（6）針對認證委托人ITSMS方針的管理職責?！疽c與釋義】1.初次認證審核分為兩個階段審核，認證機構(gòu)應(yīng)在第一階段審核結(jié)論的基礎(chǔ)上策劃安排第二階段現(xiàn)場審核。2.認證委托人獲得了經(jīng)認可機構(gòu)認可的其他認證機構(gòu)頒發(fā)的有3.未進行第一階段現(xiàn)場審核的，審核組應(yīng)在第二階段現(xiàn)場審核時關(guān)注認證委托人申請信息和文件資料的真實性，發(fā)現(xiàn)存在認證委托人實際情況與申請材料有重大不一致的虛假情況的，應(yīng)終止審核，認證機構(gòu)確認申請信息和文件資料存在虛假情況的，應(yīng)終止認證活動。4.審核組應(yīng)匯總第一階段和第二階段收集的審核證據(jù)，綜合審核組所有成員的審核發(fā)現(xiàn)，做出初次認證的審核結(jié)論?！疽?guī)則條款】5.7監(jiān)督審核5.7.1認證機構(gòu)應(yīng)對獲證組織進行有效跟蹤，依據(jù)審核方案對獲證組織開展監(jiān)督審核，并要求獲證組織的最高管理者參與審核訪談，以確認獲證組織ITSMS與ISO/IEC20000—1標準的持續(xù)符合性和運行的有效性。5.7.2每次監(jiān)督審核應(yīng)盡可能覆蓋認證范圍內(nèi)的典型信息技術(shù)服務(wù)，并確保在認證證書有效期內(nèi)的監(jiān)督審核覆蓋認證范圍內(nèi)的所有典型信息技術(shù)服務(wù)。5.7.3監(jiān)督審核應(yīng)重點關(guān)注獲證組織的變更以及ITSMS績效的持續(xù)改進，監(jiān)督審核的內(nèi)容至少包括：（2）對上次審核確定的不符合采取的糾正措施及效果；（3）ITSMS在實現(xiàn)獲證組織目標和ITSMS預期結(jié)果方面的有（4）為持續(xù)改進而策劃的活動的進展；（5）持續(xù)的運作控制；（6）任何變更，應(yīng)包括服務(wù)目錄的變化情況；（7）認證證書、認證標志的使用和（或）任何其他對認證信息的引用；（8）ITSMS相關(guān)投訴的處理。5.7.4監(jiān)督審核的時間應(yīng)根據(jù)獲證組織當前有效人數(shù)確定，不少于依據(jù)附錄B所確定的初次認證審核時間的1/3。【要點與釋義】獲證組織認證范圍覆蓋多種信息技術(shù)服務(wù)的，在一個認證周期內(nèi)的監(jiān)督審核應(yīng)覆蓋所有典型信息技術(shù)服務(wù)（參考附錄AITSMS認證業(yè)務(wù)范圍中類的分類內(nèi)容）?！疽?guī)則條款】5.8再認證審核5.8.1認證證書期滿前，獲證組織申請繼續(xù)持有認證證書的，認證機構(gòu)應(yīng)依據(jù)審核方案實施再認證審核，以判斷獲證組織的ITSMS作為一個整體與ISO/IEC20000—1的持續(xù)符合性和運行的有效性。5.8.2再認證審核應(yīng)在獲證組織現(xiàn)場進行，并應(yīng)在認證證書到期前完成。再認證審核的內(nèi)容至少應(yīng)包括：（1）結(jié)合其內(nèi)部環(huán)境和外部環(huán)境的變化情況，確認獲證組織ITSMS有效性及認證范圍的持續(xù)相關(guān)性和適宜性；（2）ITSMS績效持續(xù)改進的證實；（3）ITSMS在實現(xiàn)獲證組織目標和ITSMS預期結(jié)果方面的有5.8.3再認證審核策劃時應(yīng)考慮獲證組織最近一個認證周期內(nèi)的ITSMS績效，包括調(diào)閱以往的監(jiān)督審核報告。5.8.4再認證審核的審核時間應(yīng)按5.4.2的要求，根據(jù)獲證組織當前有效人數(shù)來確定，不少于依據(jù)附錄B所確定的初次認證審核時間的2/3?！疽c與釋義】認證機構(gòu)應(yīng)關(guān)注獲證組織的認證證書到期時間，提前進行再認證審核的策劃安排，確保留有足夠的時間在認證證書到期前完成再認證現(xiàn)場審核。不能在認證證書到期前完成現(xiàn)場審核的，認證機構(gòu)應(yīng)按初次認證開展認證活動，滿足5.6.2.2的情況下第一階段審核可不在認證委托人現(xiàn)場實施?！疽?guī)則條款】5.9特殊審核5.9.1擴大認證范圍對于已授予的認證，認證機構(gòu)應(yīng)對擴大認證范圍的申請進行評審，并確定任何必要的審核活動，以作出是否可予擴大的決定。這類審核活動可以結(jié)合監(jiān)督審核同時進行。5.9.2提前較短時間通知的審核為調(diào)查投訴，對變更作出回應(yīng)或?qū)Ρ粫和５目蛻暨M行追蹤，可能需要在提前較短時間或不通知獲證組織的情況下進行審核，（1）認證機構(gòu)應(yīng)說明并使獲證組織提前了解將在何種條件下進行此類審核；（2）由于獲證組織缺乏對審核組成員的任命表示反對的機會，認證機構(gòu)應(yīng)在指派審核組時給予更多的關(guān)注?！疽c與釋義】1.認證機構(gòu)應(yīng)明確擴大認證范圍的必要審核活動，包括文件審核和現(xiàn)場審核（適用時）。擴大認證范圍審核活動的范圍和深度，取決于申請評審和審核方案策劃的結(jié)果。2.特殊審核與監(jiān)督審核同時進行的，應(yīng)注意審核結(jié)論與審核目3.發(fā)生涉及獲證組織ITSMS認證范圍的投訴、變更或有需要跟蹤被暫停的認證證書的，認證機構(gòu)在評估認證有效性可能遇到的威脅后，可安排提前較短時間通知的審核。【規(guī)則條款】5.10不符合項及其驗證5.10.1對審核中發(fā)現(xiàn)的不符合，認證機構(gòu)應(yīng)要求認證委托人在規(guī)定的時限內(nèi)進行原因分析，采取相應(yīng)的糾正措施。5.10.2認證機構(gòu)應(yīng)對認證委托人所采取的糾正措施的有效性進行驗證。認證委托人可以針對輕微不符合制定糾正措施計劃，由認證機構(gòu)在下次審核時驗證。5.10.3嚴重不符合的驗證時限應(yīng)滿足以下要求：（1）初次認證：在第二階段審核結(jié)束之日起6個月內(nèi)完成；（2）監(jiān)督審核：在審核結(jié)束之日起3個月內(nèi)完成；（3）再認證：在原認證證書到期前完成。5.10.4對于認證委托人未能在規(guī)定的時限內(nèi)完成對不符合所采取措施的情況，認證機構(gòu)不應(yīng)作出授予認證、保持認證或更新認證的決定?！疽c與釋義】1.對于輕微不符合，認證機構(gòu)可要求認證委托人在規(guī)定的時限內(nèi)進行原因分析并完成整改，也可要求認證委托人制定整改計劃，并結(jié)合下一次現(xiàn)場審核進行驗證，認證機構(gòu)的處理方式應(yīng)符合其自行制定的管理要求。2.關(guān)于嚴重不符合的驗證時限，應(yīng)滿足以下要求：（1）初次認證審核的嚴重不符合在6個月內(nèi)未完成驗證的，認證機構(gòu)應(yīng)在驗證期限截止后30日內(nèi)重新實施一次第二階段審核；（2）監(jiān)督審核的嚴重不符合在3個月內(nèi)未完成驗證的，表明獲證組織ITSMS運行有效性存在問題，認證機構(gòu)應(yīng)暫停或撤銷—40—認證證書；應(yīng)按初次認證開展認證活動，滿足5.6.2.2的情況下第一階段審核可不在認證委托人現(xiàn)場實施。【規(guī)則條款】5.11.1認證機構(gòu)應(yīng)就每次審核向認證委托人提供書面的審核報告。審核組長應(yīng)對審核報告的內(nèi)容負責。5.11.2審核報告的內(nèi)容應(yīng)準確、簡明和清晰，反映認證委托人ITSMS的真實狀況，描述對照ISO/IEC20000—1標準的符合性和有效性的客觀證據(jù)信息，及對認證結(jié)論的推薦意見。5.11.3審核報告至少應(yīng)包括或引用以下內(nèi)容：（2）認證委托人的名稱和地址及其代表；（3）審核類型（如初次認證、監(jiān)督、再認證或其他類型（4）結(jié)合、聯(lián)合或一體化審核情況（適用時）；（6）審核目的及其是否達到的確認；（7）審核范圍，特別是標識出所審核的組織、職能單元或過程，以及審核時間；—41—（8）任何偏離審核計劃的情況及其理由；（9）任何影響審核方案的重要事項；（10）審核組成員姓名、身份及任何與審核組同行的人員；（11）審核活動（現(xiàn)場或非現(xiàn)場，永久或臨時場所）的實施審核證據(jù)的引用）以及審核結(jié)論，重點反映認證委托人信息技術(shù)服務(wù)提供過程與控制情況、內(nèi)部審核和管理評審的過程、所取得的績效，認證委托人實際情況與其預期信息技術(shù)服務(wù)目標之間存在的差距和改進機會；（適用時（14）獲證組織對認證證書和認證標志使用的控制情況（適用時（15）對以前不符合采取的糾正措施有效性的驗證情況（適用時（17）說明審核基于對可獲得信息的抽樣過程的免責聲明；（18）審核組的推薦意見以及對申請的認證范圍適宜性的結(jié)5.11.4認證機構(gòu)應(yīng)保留用于證實審核報告中相關(guān)信息的審核—42—5.11.5對終止審核的項目，審核組應(yīng)將終止審核的原因以及已開展的工作情況形成報告，認證機構(gòu)應(yīng)將此報告提交給認證委托人?！疽c與釋義】1.初次認證審核第一階段、初次認證審核第二階段、監(jiān)督審核、再認證審核、特殊審核結(jié)束后，認證機構(gòu)均應(yīng)向認證委托人提供書面審核報告。第一階段的審核報告可不包括本規(guī)則第5.11.3條款中的全部內(nèi)容。2.“應(yīng)描述與審核類型要求一致的審核發(fā)現(xiàn)、審核證據(jù)（或?qū)徍俗C據(jù)的引用）以及審核結(jié)論”是指：（1）初次認證審核第一階段的審核報告，應(yīng)覆蓋本規(guī)則5.6.2.1條款要求內(nèi)容；（2）初次認證審核第二階段的審核報告，應(yīng)覆蓋本規(guī)則5.6.3.2條款要求內(nèi)容；（3）監(jiān)督審核的審核報告，應(yīng)覆蓋本規(guī)則5.7.3條款要求內(nèi)容；（4）再認證審核的審核報告，應(yīng)覆蓋本規(guī)則5.8.2條款要求（5）擴大認證范圍審核的審核報告，應(yīng)覆蓋擬擴大的以及獲證組織ITSMS實施情況；擴大認證范圍與監(jiān)督審核結(jié)合實—43—施的，還應(yīng)滿足本條釋義（3）的要求；（6）提前較短時間通知審核的審核報告應(yīng)與審核目的要求一致。3.審核組長對審核報告所有內(nèi)容的真實性、準確性承擔責任。4.除審核報告外，認證機構(gòu)應(yīng)妥善保存在認證審核過程中收集的、用于證實審核報告所陳述信息，特別是審核發(fā)現(xiàn)和結(jié)論的證據(jù)，如審核記錄等。【規(guī)則條款】5.12認證決定5.12.1認證機構(gòu)應(yīng)在對審核報告、不符合的糾正措施及驗證情況和其他信息進行復核、綜合評價的基礎(chǔ)上，作出認證決定。認證決定人員應(yīng)為認證機構(gòu)的專職認證人員，并不得為審核組成員，能力應(yīng)滿足關(guān)于認證機構(gòu)資質(zhì)審批的相關(guān)要求。認證決定過程不得外包，認證決定須由中華人民共和國境內(nèi)的工作人員作5.12.2認證機構(gòu)有充分的證據(jù)確認認證委托人滿足下列條件的，應(yīng)作出授予、更新、擴大認證范圍的決定：（2）對于嚴重不符合，已評審、接受并驗證了糾正措施的有效性；對于輕微不符合，已評審、接受了認證委托人的糾正措施或計劃采取的糾正措施；—44—（3）認證委托人的ITSMS符合ISO/IEC20000—1標準要求且運行有效；（4）認證委托人按照認證合同規(guī)定履行了相關(guān)義務(wù)。5.12.3初次認證審核的認證決定應(yīng)在現(xiàn)場審核后6個月內(nèi)完成。否則應(yīng)在推薦認證注冊前再實施一次第二階段審核。5.12.4再認證審核的認證決定宜在上一認證周期認證證書到期前完成，最遲應(yīng)在認證證書到期之日起6個月內(nèi)完成。如果在當前認證證書終止日期前，認證機構(gòu)未能完成再認證審核或?qū)乐夭环蠈嵤┑募m正和糾正措施未能進行驗證，則不應(yīng)予以再認證，也不應(yīng)延長原認證證書的有效期。5.12.5認證委托人不能滿足5.12.2要求的，認證機構(gòu)應(yīng)以書面形式告知其未通過認證的原因。5.12.6對于監(jiān)督審核，認證機構(gòu)在滿足下列條件時，可根據(jù)審核組長的肯定性結(jié)論保持對獲證組織的認證，無需再進行獨立的認證決定：（1）監(jiān)督審核未發(fā)現(xiàn)嚴重不符合及其他可能導致認證證書暫停、撤銷的情況；（2）獲證組織認證信息未發(fā)生變更，不存在擴大、縮小認證范圍的情況；（3）認證機構(gòu)建立了監(jiān)督審核的監(jiān)視機制并予以實施，可確保監(jiān)督審核活動的有效性?！疽c與釋義】—45—1.在中華人民共和國境內(nèi)開展的所有類型的ITSMS認證，認證決定過程必須在中華人民共和國境內(nèi)實施，且必須由中華人民共和國境內(nèi)的工作人員做出。2.認證決定過程包括對審核報告等認證記錄的復核，并做出認證決定，該過程可由一個人或一組人完成；如果是一組人，其中做出最終認證決定的人員應(yīng)為認證機構(gòu)的專職認證人員；認證機構(gòu)可選擇兼職技術(shù)專家為認證決定提供技術(shù)支持。3.授予、更新、擴大認證范圍的決定，必須基于對審核的發(fā)現(xiàn)、不符合及其驗證結(jié)果等信息的綜合評價，并有充分證據(jù)證明已滿足本規(guī)則第5.12.2條款的所有要求。4.認證機構(gòu)宜在獲證組織的認證證書到期前完成再認證審核的認證決定，使再認證證書與原證書無縫連接；在獲證組織的認證證書到期前未完成再認證決定的，認證機構(gòu)應(yīng)注意后續(xù)認證活動的時效性。重點關(guān)注以下情形：糾正措施計劃的評審和接受）和認證決定，可在原認證證書到期后6個月內(nèi)完成。（2）再認證審核開具嚴重不符合的，嚴重不符合的關(guān)閉（對糾正措施有效性的驗證）需要在證書到期前完成，認證決定應(yīng)在原認證證書到期后6個月內(nèi)完成。（3）在原認證證書到期后6個月內(nèi)仍未完成認證決定的，獲證組織應(yīng)重新申請認證。重新申請認證時，認證機構(gòu)應(yīng)按初次—46—認證審核開展認證活動。5.對于監(jiān)督審核，如滿足本規(guī)定第5.12.6條款的要求，可以不單獨進行“保持認證的認證決定”，可根據(jù)審核組提供的監(jiān)督審核報告及其中“建議保持認證”的審核結(jié)論，保持對獲證組織的認證。6.對監(jiān)督審核不單獨進行“保持認證的認證決定”的前提是，認證機構(gòu)建立了文件化的監(jiān)督審核的監(jiān)視機制，并保留實施了監(jiān)視的證據(jù)。7.監(jiān)督審核的發(fā)現(xiàn)可能導致認證證書暫?；虺蜂N時，認證機構(gòu)應(yīng)按本規(guī)則5.12條款的要求進行認證決定。監(jiān)督審核的結(jié)論涉及認證證書變更的（如擴大認證范圍、變更證書信息等），認證機構(gòu)也應(yīng)按本規(guī)則5.12條款的要求進行認證決定?！疽?guī)則條款】6認證證書和認證標志6.1.1認證機構(gòu)應(yīng)制定文件化的管理制度，要求獲證組織正確使用ITSMS認證證書和認證標志，以滿足《認證證書和認證標志管理辦法》相關(guān)規(guī)定。6.1.2獲證組織可以在認證證書有效時使用ITSMS認證證書和認證標志，并接受認證機構(gòu)的監(jiān)督管理。認證證書處于暫停期—47—間、被撤銷或注銷后，不得繼續(xù)使用認證證書和認證標志。6.1.3獲證組織應(yīng)當在廣告等有關(guān)宣傳中正確使用ITSMS認證標志，只有在注明獲證組織通過ITSMS認證及認證機構(gòu)名稱情況下，方可使用ITSMS認證標志。獲證組織不得利用ITSMS認證證書、認證標志或相關(guān)文字、符號，誤導公眾認為其信息技術(shù)服務(wù)通過認證。6.1.4認證機構(gòu)發(fā)現(xiàn)獲證組織未正確使用認證證書和認證標志的，應(yīng)當要求獲證組織立即采取有效糾正措施，并跟蹤監(jiān)督糾正情況?！疽c與釋義】1.認證機構(gòu)應(yīng)建立文件化的認證證書和認證標志管理制度，且該制度應(yīng)符合國家認監(jiān)委關(guān)于認證證書和認證標志管理的相關(guān)要求，如《認證證書和認證標志管理辦法》等，避免誤導公眾或侵犯公共利益。2.認證機構(gòu)應(yīng)結(jié)合監(jiān)督審核和再認證審核，現(xiàn)場查看獲證組織對認證證書和認證標志的使用情況。同時，認證機構(gòu)應(yīng)根據(jù)掌握的獲證組織的認證證書狀態(tài)變化情況，對獲證組織正確使用認證證書和認證標志履行告知和監(jiān)督義務(wù)。3.獲證組織僅可在認證證書處于有效狀態(tài)的情況下使用該認證證書，如認證證書處于暫停期間、被撤銷或注銷后，認證機構(gòu)應(yīng)要求獲證組織不得使用認證證書和認證標志；認證證書被暫停、撤銷或注銷的，獲證組織應(yīng)及時對正在使用的認證證書和認證標—48—志進行處理，如包裝或宣傳材料等不可再繼續(xù)使用認證證書和認證標志的信息，原印制有認證證書和認證標志信息的包裝或宣傳材料等應(yīng)妥善處理?！疽?guī)則條款】6.2認證證書6.2.1認證機構(gòu)應(yīng)及時向認證決定符合要求的組織出具認證證書，認證證書的有效期最長為3年。6.2.2認證證書有效期的起算日期為認證證書簽發(fā)日期，認證證書的簽發(fā)日期不應(yīng)早于作出認證決定的日期。6.2.3對于未能在原認證證書到期前完成再認證決定的，獲證組織的ITSMS認證證書到期后自動失效，直至獲得新簽發(fā)的再認證證書，新簽發(fā)的再認證證書的終止日期不超過上一認證周期終止日期再加3年。6.2.4對每張ITSMS認證證書應(yīng)賦予一個認證證書編號，認證證書編號應(yīng)遵循一定的規(guī)律，具體詳見附錄C。6.2.5認證證書在中華人民共和國境內(nèi)使用的，認證證書應(yīng)使用中文。6.2.6認證證書的信息應(yīng)真實、準確，不產(chǎn)生誤導，并至少包含以下內(nèi)容：（1）獲證組織名稱、統(tǒng)一社會信用代碼、注冊地址、認證范圍所覆蓋的經(jīng)營地址。若認證的ITSMS覆蓋多場所，應(yīng)表述認—49—證所覆蓋的所有場所的地址信息；（2）獲證組織ITSMS所覆蓋的活動、服務(wù)的范圍；包括每個場所相應(yīng)的認證范圍，且沒有誤導或歧義（適用時）；（3）認證依據(jù)的認證標準ISO/IEC20000—1所采用的當時有效版本的完整標準號；（4）認證證書簽發(fā)日期和有效截止日期，認證證書應(yīng)注明：獲證組織必須定期接受監(jiān)督審核并經(jīng)審核合格此證書方繼續(xù)有效的提示信息；（5）認證證書編號（或唯一的識別代碼）；（6）認證機構(gòu)名稱、地址；（7）認證標志、相關(guān)的認可標識及認可注冊號（適用時（8）認證證書信息及認證證書狀態(tài)的查詢途徑?！疽c與釋義】1.本規(guī)則實施前簽發(fā)的有效期超過3年的再認證證書，可以繼續(xù)使用至該認證證書到期；本規(guī)則實施后，新簽發(fā)的再認證證書有效期不得超過3年。2.存在以下情況的，認證機構(gòu)不能按照再認證簽發(fā)認證證書：（1）原證書到期前未完成再認證現(xiàn)場審核的；（2）原證書到期前未完成嚴重不符合的整改和驗證的；3.本規(guī)則實施后，認證機構(gòu)頒發(fā)的ITSMS認證證書，證書編號應(yīng)遵循本規(guī)則附錄C的編號規(guī)則，且該證書編號應(yīng)具有唯一性。C編號規(guī)則的，認證機構(gòu)可結(jié)合監(jiān)督審核和再5.認證機構(gòu)應(yīng)在2029年3月1日前完成所有不符合本規(guī)則附錄C的編號規(guī)則認證證書的換證工作。6.認證證書上載明的獲證組織名稱、統(tǒng)一社會信用代碼和注冊7.認證機構(gòu)應(yīng)在認證證書上注明認證證書狀態(tài)的查詢方式，確【規(guī)則條款】6.3認證標志認證機構(gòu)自行制定的認證標志的式樣、文字和名稱，不得違反法律、行政法規(guī)的規(guī)定，不得與國家統(tǒng)一的自愿性認證標志或其他認證機構(gòu)自行制定并公布的認證標志相同或者近似，不得妨礙社會管理，不得有損社會道德風尚?！疽c與釋義】1.認證機構(gòu)可根據(jù)需要，確定是否制定本機構(gòu)信息技術(shù)服務(wù)管理體系認證標志。自行制定管理體系認證標志的，應(yīng)建立管理體系認證標志的管理制度，明確認證標志式樣、使用要求等。2.認證機構(gòu)自行制定的信息技術(shù)服務(wù)管理體系認證標志，須確保其合法性，應(yīng)符合本規(guī)則第6.1條款的相關(guān)要求?！疽?guī)則條款】7認證證書的暫停、撤銷和注銷認證機構(gòu)應(yīng)建立并實施認證證書暫停、撤銷和注銷的文件化的管理制度，不得隨意暫停、撤銷和注銷認證證書?！疽c與釋義】1.認證機構(gòu)應(yīng)建立文件化的認證證書暫停、撤銷和注銷管理制度或程序文件，制度或程序文件應(yīng)包括獲證組織認證證書暫停、撤銷和注銷的適用情形及處理流程，適用情形應(yīng)包括本規(guī)則第7.2.1條款、第7.3條款和第7.4條款中列明的情形。2.認證機構(gòu)不得隨意暫停、撤銷和注銷獲證組織的認證證書。認證機構(gòu)應(yīng)按本規(guī)則規(guī)定的暫停、撤銷和注銷情形以及認證機構(gòu)的管理制度，執(zhí)行認證證書的暫停、撤銷和注銷，并保留暫停、撤銷和注銷相關(guān)記錄性資料?！疽?guī)則條款】7.2認證證書的暫停7.2.1獲證組織有以下情形之一的，認證機構(gòu)應(yīng)在調(diào)查核實后5日內(nèi)暫停其認證證書，并保留相應(yīng)證據(jù)：（1）ITSMS持續(xù)或嚴重不滿足認證要求的，包括ITSMS文件與實際業(yè)務(wù)運作嚴重脫離；（2）不滿足ITSMS適用的法律法規(guī)要求，且未采取有效糾正措施的；（3）受到與信息技術(shù)服務(wù)相關(guān)的行政處罰，且尚未完成整（4）拒絕配合市場監(jiān)管部門的認證執(zhí)法監(jiān)督檢查，或者提供虛假材料或信息的；（5）持有的與ITSMS認證范圍有關(guān)的行政許可文件、資質(zhì)證書等過期失效的；（6）不能按照規(guī)定的時間間隔接受監(jiān)督審核的；（7）未按相關(guān)規(guī)定正確引用和宣傳獲得的認證證書和有關(guān)信息，包括認證證書和認證標志的使用；（8）不承擔、履行認證合同約定的責任和義務(wù)的；（9）被有關(guān)行政監(jiān)管部門責令停業(yè)整頓的；（10）發(fā)生與信息技術(shù)服務(wù)相關(guān)重大輿情的；（12）監(jiān)督審核時發(fā)現(xiàn)的嚴重不符合的糾正措施未能在3個月內(nèi)完成驗證的；（13）其他應(yīng)暫停認證證書的。7.2.2認證機構(gòu)可根據(jù)暫停的原因和性質(zhì)確定暫停期限，暫停期限最長不得超過6個月。7.2.3暫停期間，ITSMS認證證書暫時無效。如獲證組織采取有效的糾正措施，造成暫停的原因已消除的，認證機構(gòu)應(yīng)恢復其認證證書，并保留相應(yīng)證據(jù)。【要點與釋義】1.認證機構(gòu)應(yīng)對獲證組織的行政許可文件、資質(zhì)證書等持續(xù)有效情況開展調(diào)查核實，并在合同中約定獲證組織應(yīng)及時通報的相關(guān)變化情況。2.對適用暫停認證證書的情形，認證機構(gòu)應(yīng)在調(diào)查核實后的5日內(nèi)暫停認證證書。若認證機構(gòu)在作出暫停決定前，已確認該暫停情形在調(diào)查核實后5日內(nèi)徹底消除且無再發(fā)生風險，可不予暫停；若暫停決定已作出，則須認證機構(gòu)正式驗證并確認暫停原因已消除后，方可恢復認證證書。3.第一次監(jiān)督審核未能在認證證書簽發(fā)后12個月內(nèi)開展的，以及第二次監(jiān)督審核未能在第一次監(jiān)督審核按期結(jié)束后12個月開展的，認證機構(gòu)應(yīng)暫停認證證書。認證證書因不能按期接受第一次監(jiān)督審核被暫停，在暫停期間認證證書狀態(tài)恢復，第二次監(jiān)督審核未能在認證證書簽發(fā)之日起24個月內(nèi)開展的，認證機構(gòu)應(yīng)暫停認證證書。4.獲證組織可根據(jù)自身需求與認證機構(gòu)協(xié)商一致，提前進行再認證審核。獲證組織選擇提前再認證的，認證機構(gòu)應(yīng)確保在認證周期內(nèi)的每個日歷年有一次監(jiān)督審核或再認證審核，且提前再認證審核時間距離上一次監(jiān)督審核不應(yīng)超過12個月，否則應(yīng)暫停認證證書。5.認證證書被暫停后，認證證書狀態(tài)應(yīng)由有效變更為暫停。認證機構(gòu)應(yīng)公開認證證書的暫停起止日期，通知并要求獲證組織暫停期間不得使用認證證書和認證標志。6.認證機構(gòu)應(yīng)根據(jù)暫停的原因和實際情況確定暫停期限，暫停期限最長不得超過6個月，暫停截止日期不應(yīng)超過證書有效期。7.暫停期內(nèi)，認證機構(gòu)確認暫停原因已消除的，應(yīng)恢復獲證組織的認證證書，證書狀態(tài)由暫停變更為有效，并告知其可以恢復使用認證證書和認證標志。暫停期限已滿，暫停原因仍未消除的，應(yīng)按照本規(guī)則第7.3條款的規(guī)定撤銷認證證書。【規(guī)則條款】7.3認證證書的撤銷獲證組織有以下情形之一的，認證機構(gòu)應(yīng)在獲得相關(guān)信息并調(diào)查核實后5日內(nèi)撤銷其認證證書，并保留相應(yīng)證據(jù)：（1）被注銷或撤銷法律地位證明文件的；（2）被“國家企業(yè)信用信息公示系統(tǒng)”和“信用中國”列入嚴重違法失信名單的；（3）認證證書的暫停期限已滿，但導致暫停的問題未得到解決或有效糾正的；（4）ITSMS沒有運行或者已不具備運行條件的；（5）其他應(yīng)撤銷認證證書的?！疽c與釋義】1.對于適用撤銷認證證書的情形，認證機構(gòu)應(yīng)在獲得2.撤銷的認證證書失效，且不可恢復?！疽?guī)則條款】7.4認證證書的注銷獲證組織主動申請不再保持認證證書時，認證機構(gòu)應(yīng)確認不存在暫?；虺蜂N情形后，注銷其認證證書，并保留相應(yīng)證據(jù)?！疽c與釋義】1.獲證組織主動申請不再保持認證證書時，認證機構(gòu)2.注銷的認證證書失效，且不可恢復。【規(guī)則條款】8申訴（投訴）處理8.1認證機構(gòu)應(yīng)建立并實施文件化的申訴（投訴）處理制度。認證委托人對認證決定有異議的，可以向認證機構(gòu)提出申訴。任何組織和個人對認證過程和認證決定有異議的，可以向認證機構(gòu)提出投訴。8.2申訴（投訴）的提交、調(diào)查和決定不應(yīng)造成針對申訴人/投訴人的歧視。認證機構(gòu)對申訴人（投訴人）、申訴（投訴）事項的信息應(yīng)予以保密。8.3認證機構(gòu)應(yīng)及時、公正、有效地處理申訴（投訴），采訴）事項無關(guān)的人員作出，或經(jīng)其審核和批準，并應(yīng)在60日內(nèi)將處理結(jié)果書面告知申訴人（投訴人）?！疽c與釋義】2.認證機構(gòu)處理申訴（投訴）時，不得存在歧視、區(qū)別對待等情形。認證機構(gòu)須對申訴（投訴）人和申訴（投訴）事項的相關(guān)信息嚴格保密，申訴（投訴）處理人員應(yīng)簽署保密承諾書等?！疽?guī)則條款】9信息公開與報告9.1認證機構(gòu)應(yīng)建立并實施文件化的認證信息報告制度。按照國家認監(jiān)委關(guān)于認證信息上報的要求，按時上報認證相關(guān)信息，至少包括：（2）社會責任報告；（3）認證計劃及認證結(jié)果；（4）認證證書的狀態(tài)；（5）其他應(yīng)報告的信息。9.2認證機構(gòu)應(yīng)至少在現(xiàn)場審核實施前3日，將審核計劃上報國家認監(jiān)委。9.3認證機構(gòu)在頒發(fā)認證證書后，應(yīng)在次月10日前將認證結(jié)果相關(guān)信息報送國家認監(jiān)委。認證機構(gòu)應(yīng)通過其網(wǎng)站或者其他形式，向公眾提供查詢認證證書有效性的方式，不得僅提供“國家認監(jiān)委”或“全國認證認可信息公共服務(wù)平臺（認e云）”查詢路徑。9.4認證機構(gòu)應(yīng)通過其網(wǎng)站或者其他方式公開暫停、撤銷、注銷認證證書的信息。暫停認證證書的，還應(yīng)明確暫停的起始日期和暫停期限。認證機構(gòu)應(yīng)在暫停、撤銷、注銷認證證書之日起2個工作日內(nèi)，按規(guī)定程序和要求將相關(guān)信息報送國家認監(jiān)委。【要點與釋義】1.認證機構(gòu)應(yīng)履行公開認證證書信息的主體責任，公布認證證書信息的自有查詢方式。公開的認證證書信息應(yīng)包括：獲證組織名稱及統(tǒng)一社會信用代碼、認證范圍、認證依據(jù)、證書編號、簽發(fā)日期和有效截止日期、是否被認可及認可機構(gòu)名稱等。認證證書暫停的，還應(yīng)公開暫停起止日期；認證證書撤銷、注銷的，還需公開撤銷、注銷日期。2.認證機構(gòu)的自有查詢方式，不得僅鏈接跳轉(zhuǎn)至國家認監(jiān)委官方查詢平臺，如“全國認證認可信息公共服務(wù)平臺（認e云）”等；否則，不能認為是認證機構(gòu)的自有查詢方式。【規(guī)則條款】10.1認證機構(gòu)應(yīng)建立文件化的認證記錄、認證資料歸檔留存制度，記錄認證活動全過程并妥善保存。歸檔留存期限為認證證書有效期屆滿之日起2年以上，或被注銷、撤銷之日起2年以上。10.2認證記錄應(yīng)真實、準確、完整，以證實認證活動得到有效實施。認證記錄包括但不限于：（2）認證申請評審記錄；（3）認證合同；（4）審核方案，包括多場所抽樣方法（適用時）；（5）確定審核時間的理由（計算過程）；（6）審核計劃；（7）首、末次會議簽到表；（9）不符合報告及驗證記錄；10.3在認證證書有效期內(nèi)，認證活動參與各方簽字或者蓋章的認證記錄、資料等，應(yīng)保存具有法律效力的原件，可以紙質(zhì)文件或符合《電子簽名法》規(guī)定的電子文件形式保存。簽字或蓋章的認證記錄至少包括：（2）認證合同；（4）首、末次會議簽到表；（5）不符合報告；（6）認證決定的結(jié)論。10.4認證記錄應(yīng)使用中文，以電子文檔形式保存認證記錄的，應(yīng)采用不可編輯的方式。10.5為了證實認證活動的實施，除了認證機構(gòu)要保持上述認證記錄外，獲證組織應(yīng)留存認證證書有效期內(nèi)相應(yīng)的認證記錄，至少包括：（2）審核計劃；（3）首、末次會議簽到表；（4）不符合報告及原因分析和糾正措施；（6）暫停、撤銷通知（適用時）。【要點與釋義】1.認證機構(gòu)應(yīng)制定文件化的認證記錄、認證資料歸檔留存制度或程序文件，對認證全流程（包括認證申請、申請評審、方案策劃、現(xiàn)場審核、認證復核與決定、認證證書簽批及監(jiān)督審核、再認證等環(huán)節(jié)）形成的記錄、報告等資料進行歸檔，確保認證全過程可追溯。2.認證證書有效期正常屆滿的，認證記錄、認證資料歸檔留存時間為有效期屆滿之日起2年以上；認證證書在其有效期內(nèi)被注銷或撤銷的，認證記錄歸檔留存時間為認證證書被注銷或撤銷之日起2年以上。歸檔留存期間需采取有效的防損毀、防篡改等措施，以滿足監(jiān)督檢查、法律糾紛舉證及認證有效性追溯等需求。3.認證記錄的真實性要求認證記錄內(nèi)容必須與認證活動實際開展情況一致，杜絕虛假或誤導性信息；準確性要求數(shù)據(jù)、時間、人員、結(jié)論等關(guān)鍵信息精準無錯誤；完整性要求認證記錄覆蓋認證全流程，所記錄的信息完整無遺漏。認證記錄包括但不限于本規(guī)則第10.2條款列明的11項內(nèi)容。4.根據(jù)《認證機構(gòu)管理辦法》，在認證證書有效期內(nèi)，認證活動參與各方蓋章或者簽字的認證記錄、認證資料等，應(yīng)當保存具有法律效力的原件。本規(guī)則10.3條明確了簽字、蓋章的記錄至少包括所列明的6項內(nèi)容。5.認證機構(gòu)采用電子化認證記錄的，建議根據(jù)《電子簽名法》等法律法規(guī)的規(guī)定，委托電子認證服務(wù)提供者為其電子簽名、數(shù)據(jù)電文（如電子化認證記錄、認證資料）的真實性、可靠性進行驗證，并提供電子認證證