CNAS-SC175 信息技术服务管理体系认证机构认可方案.pdf

资源描述

1、 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施 CNAS-SC175 信息信息技术服务技术服务管理体系认证机构认可方案管理体系认证机构认可方案 Accreditation scheme for bodies providing audit and certification of information technology service management systems 中国合格评定国家认可委员会 CNAS-SC175:2013 第 2 页共 16 页 2013 年 12 月 01 日发布 2015 年

2、 07 月 15 日第二次修订 2015 年 12 月 16 日实施目目次次前言.3 1 范围.4 2 规范性引用文件.4 3 术语和定义.4 4 ITSMS 认证机构认可规范的构成.5 R1 认可申请.5 R2 预访问.6 R3 初次认可的见证评审.6 R4 认证业务范围的认可.6 R5 其他.6 C1 已认可的 ITSMS 认证的转换（CNAS-CC01 条款 9.1.3.4）.7 G1 ITSMS 认证范围界定指南.7 G2 ITSMS 审核时间确定指南.8 G3 多场所组织及其服务点的抽样.10 附录 A（资料性附录）ITSMS 初次认证审核基本审核时间的测算.13 附录

3、B（资料性附录）ITSMS 复杂度及其对审核时间的影响分析.15 CNAS-SC175:2013 第 3 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施前前言言本文件由中国合格评定国家认可委员会（CNAS）制定。本文件是 CNAS 对信息技术服务管理体系（ITSMS）认证机构提出的特定要求和指南，并与相关认可规则和认可准则共同用于 CNAS 对 ITSMS 认证机构的认可。本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。本文件 2013 年首次发布，2015 年两次修订主要

4、进行了如下编辑性调整：1）4.2 条款 a）和 h），更新了 CNAS-R01 和 CNAS-R07 的文件名称；2）R.5.1 条款，删除了有关 CNAS ITSMS 认证机构认可标识的描述；3）R.5.2 条款，更新对 CNAS-RC03 相关条款的引用；4）更新了本文件对 CNAS-CC01:2015 相关条款的引用；5）第 3 章，增加了对 CNAS-CC01 的引用，同时删除了“能力”和“技术领域”两个术语。CNAS-SC175:2013 第 4 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日

5、实施信息技术服务管理体系认证机构认可方案信息技术服务管理体系认证机构认可方案 1 范围范围 1.1 为确保中国合格评定国家认可委员会（CNAS）对实施 GB/T 24405.1信息技术服务管理第 1 部分：服务管理体系要求（ISO/IEC 20000-1,IDT）认证的信息技术服务管理体系（ITSMS）认证机构实施评审和认可的一致性，指导申请和获得认可的 ITSMS 认证机构理解和实施认可规范要求，特制定本文件。1.2 本文件包括对ITSMS认证机构认可规范的补充和指南，适用于CNAS对ITSMS认证机构的认可。本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充。本文件

6、G 部分是对相关认可准则的应用指南。2 规范性引用文件规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文件，仅该版本适用于本文件；未注明日期的引用文件，其最新版本（包括任何修订）适用于本文件。CNAS-RC01 认证机构认可规则 CNAS-CC01 管理体系认证机构要求 CNAS-CC175 信息技术服务管理体系认证机构要求 CNAS-CC12 已认可的管理体系认证的转换 3 术语和定义术语和定义 GB/T 190002008、GB/T 270002006 和 CNAS-CC01 中的术语和定义以及下列术语和定义适用于本文件。3.1 认证业务范围：认证机构的

7、ITSMS 认证活动涉及的技术领域。注：CNAS-CC175信息技术服务管理体系认证机构要求附录 A 给出了 ITSMS认证的技术领域。3.2 专业能力：能够应用特定技术领域的知识实现预期结果的本领。3.3 场所：客户组织实施活动或提供服务的永久性地点。3.4 多场所组织：客户组织有一个确定的中心职能机构（以下称作中心办公室，但不一定是客户组织的总部）来策划、控制或管理某些活动，并且有一个由地方办公室CNAS-SC175:2013 第 5 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施或分支（即场

8、所）组成的网络来实施（或部分实施）这些活动。注：客户组织的多场所可以是多个法律实体，例如流程的外包商。3.5 服务点：在服务级别协议（SLA）有效期内客户组织进行特定工作或服务的地点，不在客户组织的物理范围内。例如驻场服务的客户现场等。4 ITSMS 认证机构认可规范的构成认证机构认可规范的构成 4.1 主要规则和准则：CNAS-RC01认证机构认可规则是 ITSMS 认证机构认可活动的基本程序规则；CNAS-CC01管理体系认证机构要求是 ITSMS 认证机构的基本认可准则；CNAS-CC175信息技术服务管理体系认证机构要求是 ITSMS 认证机构的专用认可准则。4.2 其他适用的认可规则

9、包括：a)CNAS-R01认可标识使用和认可状态声明规则；b)CNAS-R02公正性和保密规则；c)CNAS-R03申诉、投诉和争议处理规则；d)CNAS-RC02认证机构认可资格处理规则；e)CNAS-RC03认证机构信息通报规则；f)CNAS-RC04认证机构认可收费管理规则；g)CNAS-RC05多场所认证机构认可规则；h)CNAS-RC07具有境外场所的认证机构认可规则。4.3 其他适用的认可准则包括：a)CNAS-CC12已认可的管理体系认证的转换；b)CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用。R 部分部分 R1 认可申请认可申请在中华人民共和国境内从事

10、 ITSMS 认证活动的认证机构申请认可的（以下称为“申请方”），应具备 CNAS-RC01 条款 5.1.1 规定的基本条件以及下列条件：a)ITSMS 认证活动已被国家认监委批准；b)已按照 CNAS-CC01 和 CNAS-CC175 建立了管理体系，且运行时间不少于6 个月（如已获 CNAS 信息安全管理体系认证机构认可，则运行时间不少于3 个月）。申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息：CNAS-SC175:2013 第 6 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015

11、年 12 月 16 日实施 1）ITSMS 认证活动国家认监委批准文件复印件；2）已审核过的客户组织名单（对应到认证业务范围相应大类）；3）自申请时间起 6 个月内计划实施的审核项目清单（对应到认证业务范围相应大类）；4）需要时，CNAS 要求的其他信息。R2 预访问预访问必要时，CNAS 可在受理申请过程中安排预访问，以了解申请方是否已满足认可申请条件，以及是否基本具备接受认可评审的条件。R3 初次认可的见证评审初次认可的见证评审 CNAS 结合申请方 ITSMS 认证活动的范围、规模和风险水平确定初次认可的见证评审安排，通常情况下进行不少于两次见证评审。R4 认证业务范围的认可认证业务

12、范围的认可 R4.1 CNAS 通过对 ITSMS 认证机构的认证业务范围（见 CNAS-CC175 附录 A）进行认可来确定该机构的认可范围。CNAS 按认证业务范围的大类进行认可。CNAS认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类，且系统运行基本有效。为此，认证机构应满足以下条件：a)对该大类进行了适宜、有效的能力需求分析；b)根据该大类的能力需求分析，以适宜、有效的方式确定了能力分析和评价系统的相关组成部分（例如技术领域、能力准则等）；c)能力分析和评价系统在与该大类有关的认证活动中有效地发挥了作用。CNAS 按申请认可的每个大类评价认证机构是否满足以上条件，并根据

13、认证机构ITSMS 认证活动的范围、规模、风险水平和绩效对其认证业务范围大类实施见证评审。通常情况下，初次认可至少选取 2 个、复评至少选取 1 个申请或已获认可的认证业务范围大类实施见证评审；每次监督评审至少选取 1 个申请或已获认可的认证业务范围大类实施监督评审；扩大认可范围评审视情况确定需见证评审的认证业务范围的数量。R4.2 CNAS 对某一大类的认可，仅表明 CNAS 基于评审认为，认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力，并不表明CNAS 认为认证机构已经具备了在该大类实施认证活动所需的全部能力，在该大类的每次认证活动都有效，也不意味着 CNAS

14、批准认证机构可以对该大类的任何客户组织实施认证。因此，认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力。R5 其他其他 CNAS-SC175:2013 第 7 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施 R5.1 CNAS 对 ITSMS 认证机构认可标识的管理遵循 CNAS-R01 认可标识使用和认可状态声明规则的相关要求。R5.2 CNAS-RC03 条款 5.2 中“获证组织发生重大事故/事件”是指获得 ITSMS 认证的客户组织发生具有下列之一影响的服务质量

15、事故：a)已经或可能严重损害国家安全、社会秩序、公共利益或获证客户组织及其相关方的合法权益；b)可能损害颁证机构或 CNAS 的公信力、声誉，或使颁证机构或 CNAS 承担连带责任。发生上述情况时，颁证机构应及时采取相应措施并向 CNAS 通报相关情况。R5.3 如果 CNAS 可能需要在评审中接触认证机构的客户组织的相关信息，认证机构应向相关客户组织询问是否同意 CNAS 接触这些信息。如果客户组织同意，认证机构应识别 CNAS 接触这些信息时须满足的所有要求，并告知 CNAS。如果客户组织不同意或 CNAS 无法满足相关要求，CNAS 将根据评审所受的影响采取相应的措施。C 部分部分 C1

16、已认可的已认可的 ITSMS 认证的转换（认证的转换（CNAS-CC01 条款条款 9.1.3.4）认证机构仅应根据CNAS-CC12对CNAS认可的其他认证机构颁发的ITSMS认证实施转换。除此以外的其他情况应按照初次认证对待。此时，认证机构若要考虑客户组织以往所获的 ITSMS 认证，应满足 CNAS-CC01 条款 9.1.3.4 的要求。G 部分部分 G1 ITSMS 认证范围界定指南认证范围界定指南 ITSMS 认证范围宜基于服务提供者对其 ITSMS 范围的描述界定。ISO/IEC TR 20000-3 建议服务提供者通过下列参数描述其 ITSMS 的范围：a)提供服务的组织单元

17、，例如单个部门、一组部门或所有部门；b)所提供的服务，例如单个服务，一组服务或所有服务；或金融服务、零售服务、电子邮件服务；c)服务提供者交付服务的物理场所，例如单一办公场所、一组办公场所、区域的、全国的或全球的；d)顾客及其地点，例如一个顾客、多个顾客、外部顾客或内部顾客；e)服务提供所使用的技术。ITSMS 范围的描述不能包括有助于服务交付的其他方的名称。CNAS-SC175:2013 第 8 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施 ITSMS 范围描述示例：中文：“服务提供者的组织单元

18、的名称从从地理位置向向顾客的组织和（或）组织单元的名称交付交付服务的服务管理体系的服务管理体系”英文：“The service management system of name of service provider organizational unit that delivers service(s)to customer organizational name and/or name of organizational unit from geographical location”G2 ITSMS 审核时间确定指南审核时间确定指南 G2.1 概述概述对于每一个申请

19、ITSMS 认证的客户组织，认证机构需要确定初次认证审核（含一、二阶段）、监督审核和再认证审核所需要的审核时间。本条旨在建立一套科学合理的审核时间确定方法，确保各认证机构在确定审核时间上保持一致。在此基础上，本条提倡认证机构根据客户组织的 ITSMS 范围所涉及的服务活动种类、客户组织规模以及业务的复杂程度等信息对审核时间进行调整。经验表明，除了根据认证审核流程确定的基本审核时间外，客户组织 ITSMS 范围涉及的物理场所的分布情况、客户组织的规模、业务的复杂程度、所提供的服务种类、服务点的数量及其分布等基本情况对认证机构在核定审核活动所需的审核时间也均有着很大影响。G2.2 审核时间的确定审

20、核时间的确定在进行初次认证审核时间确定时，认证机构应根据 G2.3.1 中的计算公式对审核时间进行计算。G2.3.1 中公式内的基本审核时间 Tj为进行 ITSMS 认证审核的最少审核人日。认证机构在执行 ITSMS 认证审核时所用的时间不得低于基本审核时间 Tj中规定的审核人日。G2.3.1 中公式同时包含服务种类增加所需审核时间 Tz及体系复杂度影响所需审核时间 Tf两个时间变量要素。需要增加时间变量要素时，认证机构需在审核方案中予以记录，并给出审核时间增加的理由。G2.3 初次认证审核时间的计算初次认证审核时间的计算 G2.3.1 初次认证审核时间初次认证审核时间 Tc 初次认证审核时

21、间包含审核组初次认证审核（含第一阶段审核、第二阶段审核）所需的全部审核时间，其中包括接触客户组织、人员、记录、文件、过程和书写计划及报告所用的时间。不包含审核员的旅途时间。初次认证审核时间按式（1）计算：Tc=Tj+Tz+Tf(1)式中：Tc 初次认证审核时间；Tj 基本审核时间；Tz 服务种类增加所需审核时间；CNAS-SC175:2013 第 9 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施 Tf 体系复杂度影响所需审核时间。G2.3.2 基本审核时间基本审核时间 Tj 基本审核时间 Tj为初

22、次认证审核所需的基本时间，基于以下条件所确定：a)客户组织物理场所为单一场所；b)客户组织所申请的ITSMS认证范围仅涵盖ITSMS认证业务范围的一个中类；c)客户组织 ITSMS 体系覆盖人数少于 50 人；d)客户组织 ITSMS 体系覆盖内的 SLA 数量少于 10 个；e)客户组织 ITSMS 体系覆盖内的供应商数量少于 5 个。基本审核时间为 8 人日，其测算参见本文件附录 A。当客户组织认证范围超出以上基本限制条件时，认证机构应通过对服务种类增加所需审核时间 Tz及体系复杂度影响所需审核时间 Tf进行增加调整，以保证审核人日满足本条要求。G2.3.3 服务种类增加所需审核时间服务种

23、类增加所需审核时间 Tz 服务种类增加所需审核时间 Tz为每增加一个服务种类需要增加的审核时间。ITSMS 认证业务范围中的每个中类即为一个服务种类，见 CNAS-CC175 附录 A。Tz按式（2）计算，单位为人日：Tz=(Lz 1)0.75(2)式中：Lz 服务种类（中类）数量。示例：客户组织所申请的认证范围涉及的服务种类（中类）为信息系统咨询规划（01.01）及信息系统硬件设计、开发服务（01.02）两个中类，则 T 服务种类增加所需审核时间所需要增加的审核时间为(2 1)0.75 人日，共计增加 0.75 人日。G2.3.4 体系复杂度影响所需审核时间体系复杂度影响所需审核时间 Tf

24、体系复杂度影响所需审核时间Tf为基于ITSMS复杂程度需要增加的审核时间。本文件附录 B 给出了 ITSMS 复杂度及其对审核时间的影响分析指南。认证机构可以根据该指南对 ITSMS 复杂度及其对审核时间的影响进行计算，测算出由 ITSMS复杂程度影响所需要增加的审核时间，认证机构也可以以其他合理方式对 ITSMS复杂程度进行计算，并测算出 ITSMS 复杂程度所影响的审核时间。该测算方法应在审核方案中予以记录。确定 Tf时，应对认证范围内的多场所数量及临时服务点数量予以考虑。G3 中给出了认证机构对于多场所及服务点的抽样方式，认证机构在进行多场所及服务点审核时，可以考虑使用 G3 中的方式进

25、行抽样审核。每一个多场所应安排至少 1 人日的审核时间，每个临时服务点应至少安排 0.25 审核人日时间。G2.3.5 其他考虑其他考虑 G2.3.5.1 在认证审核过程中，工作语言超过一种的（需要翻译或影响审核员个人独立工作）宜增加初次认证审核时间 Tc中审核时间的 20%-30%。G2.3.5.2 本公式中确定的初次认证审核时间不包括审核员的旅途时间。CNAS-SC175:2013 第 10 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施 G2.3.5.3 认证机构如果使用了远程审核技术（例如，

26、交互式基于 web 的协作、web 会议、电话会议和/或组织过程的电子验证），这些活动宜在审核计划中加以识别，可以考虑将其作为审核时间的一部分。如果认证机构审核计划中远程审核活动占据大于 30%的现场审核时间注1，认证机构宜确定审核计划的适当性，并在实施前得到认可机构的特殊批准。注 1：现场审核时间是指单独场所的现场审核时间。远程场所的电子审核被视为远程审核，即使电子审核在组织的物理场所进行。G2.4 监督审核及再认证审核时间监督审核及再认证审核时间对客户组织的监督审核时间宜与初次认证审核审核时间成比例，每年用于监督审核的时间总量应不低于初次认证审核审核总时间的 40%，再认证审核的时间总量

27、应不低于初次认证审核审核总时间的 70%。认证机构宜适时地核查其所策划的监督审核时间，以考虑客户组织的变更及 ITSMS 的成熟度等，至少宜在再认证审核时进行核查。G3 多场所组织及其服务点的抽样多场所组织及其服务点的抽样 G3.1 多场所抽样的条件多场所抽样的条件当客户组织拥有满足以下条件的多个场所时，认证机构可以考虑使用基于抽样的方法进行多场所抽样审核：a)所有场所都应在同一 ITSMS 控制下运行，接受统一的管理；b)所有的场所执行相同的 ITSMS 流程，且所有的场所相互之间相对独立，不存在相互关联的过程；c)所有的场所都应包含在组织的 ITSMS 内部审核方案中，且在内部审核方案范

28、围内对所有场所进行内部审核；d)所有的场所都应包含在客户组织的 ITSMS 管理评审方案中；e)客户组织对所有场所具有资源管理权力，可以收集所有场所的数据并要求其执行统一的 ITSMS 管理措施。G3.2 服务点抽样的条件服务点抽样的条件一般情况下服务点不在认证范围内，当认证机构和客户组织协商一致时，多场所认证的范围也可以包括服务点。如果认证范围包括服务点，应注明该场所是服务点。当客户组织拥有满足以下条件的多个服务点时，认证机构可以考虑使用基于抽样的方法对服务点进行审核：a)场所内的工作人员应为客户组织的员工或与客户组织具有合同关系的外包人员；b)所有场所的工作人员均在同一个 ITSMS 下

29、进行管理，客户组织对人员具有分配和调配的权力，有权要求场所内提供服务的工作人员提供工作量和工作质CNAS-SC175:2013 第 11 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施量的数据；c)客户组织在所有的场所提供的服务和活动的变动，或场所的成立和撤销不影响客户组织的 ITSMS 运行的完整性；d)所有的场所都包含在客户组织的 ITSMS 内部审核方案中。G3.3 抽样的考虑抽样的考虑认证机构在使用基于抽样的方法时，宜具备程序以确保：a)在初次的合同评审中，最大程度地识别场所之间的差异，

30、以便确定适宜的抽样水平；b)结合以下因素抽取具有代表性的场所：1)内部审核的结果，2)管理评审的结果，3)场所规模的差异，4)场所业务目的的差异，5)实施管理体系方面的差异，6)工作方式的差异，7)所实施活动的差异，8)任何不同的法律、法规要求；c)除上述因素外在服务点的抽样过程中应考虑业务类型和服务方式的差异；d)从客户组织的 ITSMS 范围内的所有场所中选择具有代表性的样本，该选择宜基于上述 b)中所列因素以及随机因素所作出的判断；e)多场所抽样应保证覆盖 GB/T 24405.1 中的 13 个管理流程；f)同一流程的不同部分在多个场所实施时，这些场所不参与抽样；g)所有的场所都应在认

31、证范围内，需要补充的在审核范围内的其他场所不在此抽样范围内；h)根据上述要求，设计监督审核方案时考虑客户组织 ITSMS 认证范围内有代表性的场所业务范围；i)无论是在任何一个场所内发现不符合，纠正措施的实施适用于包括在认证范围内的总部和所有场所（适用时）；j)确定所有场所的活动都在同一管理体系之下，该管理体系确实覆盖了所有场所，以及 G3.1 和 G3.2 中规定的所有条件都得到了满足。G3.4 抽样方法抽样方法认证机构应建立多场所和服务点的抽样方法，以确保：a)抽样审核的结果可以满足证明其 ITSMS 的适宜性、充分性和有效性，并具有在抽样无法满足上述要求时的应对措施；b)体现抽样样本的

32、代表性和随机性；c)在多场所抽样时，初次认证审核抽样样本量通常不低于同种类样本总量的平CNAS-SC175:2013 第 12 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施方根；监督审核抽样样本量通常不低于同种类样本总量平方根的 0.6 倍，再认证审核抽样样本量通常不低于同种类样本总量平方根的 0.8 倍；d)对服务点抽样时，样本覆盖认证范围内的所有业务类型，且应考虑同种业务类型的服务点的服务复杂程度；e)对服务点抽样时，初次认证审核抽样样本量通常不低于同种类样本总量的平方根，监督审核抽样样本量

33、通常不低于同种类样本总量平方根的 0.6 倍，再认证审核抽样样本量通常不低于同种类样本总量平方根的 0.8 倍。当有合理理由时，可适当降低样本量。CNAS-SC175:2013 第 13 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施附录附录 A（资料性附录）（资料性附录）ITSMS 初次认证审核基本审核时间的测算初次认证审核基本审核时间的测算表 A.1 给出了 ITSMS 初次认证审核基本审核时间的测算方法，并不作为审核计划编制及审核指南要求。经验表明，在进行 ITSMS 认证审核时，认证机构

34、可以采用过程审核方法对 ITSMS 进行体系认证审核。表 A.1 中的审核过程为认证机构在进行 ITSMS 认证审核时，所需进行的全部审核内容（审核条款），根据经验表明，表 A.1 中为每个审核过程进行了相应的审核时间分配，认证机构在制定审核计划时可以参考此表中所列审核过程。表 A.1 ITSMS 初次认证审核基本审核时间的测算序号序号审核过程审核过程审核场所审核场所审核时间（人日）审核时间（人日）一阶段审核一阶段审核 1.编制一阶段审核计划非现场 0.19 2.客户组织管理体系文件审核非现场/现场 1 3.首次会议现场 0.07 4.评价受客户组织运作场所和现场的具体情况，收集

35、关于客户组织的管理体系范围、过程和场所的必要信息现场 0.07 5.审查客户组织理解和实施标准要求的情况，特别是对管理体系的关键绩效或重要的因素、过程、目标和运作的识别情况现场 0.13 6.评价客户组织是否策划和实施了内部审核与管理评审，以及管理体系的实施程度能否证明客户组织已为第二阶段审核做好准备现场 0.13 7.收集与客户组织相关的法律法规要求和遵守情况现场 0.1 8.审查客户组织第二阶段审核所需资源的配置情况，并与客户组织商定第二阶段审核细节现场 0.1 9.结合可能的重要因素充分了解客户组织的 ITSMS 和现场运作，以便为策划第二阶段审核提供关注点现场 0.13 1

36、0.与客户组织进行一阶段审核问题沟通现场 0.13 11.末次会议现场 0.07 12.编制一阶段审核报告非现场/现场 0.19 二阶段审核二阶段审核 13.编制二阶段审核计划非现场 0.26 CNAS-SC175:2013 第 14 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施序号序号审核过程审核过程审核场所审核场所审核时间（人日）审核时间（人日）14.首次会议现场 0.07 15.ITSMS 4.1 管理职责现场 0.07 16.ITSMS 4.2 其他方运行过程的治理现

37、场 0.1 17.ITSMS 4.3 文件管理现场 0.1 18.ITSMS 4.4 资源管理现场 0.1 19.ITSMS 4.5 建立和改进服务管理体系现场 0.32 20.ITSMS 5 设计和转换新的或变更的服务现场 0.32 21.ITSMS 6.1 服务级别管理现场 0.39 22.ITSMS 6.2 服务报告现场 0.26 23.ITSMS 6.3 服务的连续性和可用性管理现场 0.32 24.ITSMS 6.4 服务的预算和核算现场 0.19 25.ITSMS 6.5 能力管理现场 0.31 26.ITSMS 6.6 信息安全现场 0.39 27.ITSMS

38、 7.1 业务关系管理现场 0.27 28.ITSMS 7.2 供应商管理现场 0.27 29.ITSMS 8.1 事件和服务请求管理现场 0.39 30.ITSMS 8.2 问题管理现场 0.27 31.ITSMS 9.1 配置管理现场 0.27 32.ITSMS 9.2 变更管理现场 0.31 33.ITSMS 9.3 发布和部署管理现场 0.27 34.与客户组织进行二阶段审核问题沟通现场 0.13 35.末次会议现场 0.06 36.编制二阶段审核报告现场/非现场 0.25 总计 8 注：表 A.1 中的“审核时间”总计 8 人日。1 人日按照一个完整的正常工作时间

39、计算，通常为 8 小时。CNAS-SC175:2013 第 15 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施附录附录 B（资料性附录）（资料性附录）ITSMS 复杂度及其对审核时间的影响分析复杂度及其对审核时间的影响分析在审核时间确定过程中，认证机构需要考虑 ITSMS 的复杂度对审核时间的影响。给出 ITSMS 复杂度的分析方法有助于确定：a)认证机构在进行 ITSMS 审核过程中承担的风险和责任；b)ITSMS 审核时间；c)ITSMS 审核员的能力要求。影响 ITSMS 复杂度的因素很

40、多，每种因素对 ITSMS 复杂度的影响程度也不一样。为此，本附录提供了计算 ITSMS 复杂度值 A 和确定体系复杂度影响所需审核时间 Tf的方法。B.1 ITSMS 复杂度的影响因素复杂度的影响因素表 B.1 给出了一般情况下 ITSMS 复杂度的影响因素，按每种影响因素的取值范围或等级赋予该因素一个影响值 a，并根据每种影响因素对 ITSMS 复杂度的影响程度给出该影响因素的权重 W。对于特定的 ITSMS，认证机构可以根据实际情况对表 B.1 进行必要的调整，例如增加适用的影响因素。认证机构在对特定的 ITSMS 增加其他因素时，宜考虑获取该因素真实数据的难易程度。表 B.1 ITS

41、MS 复杂度影响因素影响因素影响因素影响值影响值 a 序序号号名称名称权重权重 W 1.0 2.0 3.0 4.0 5.0 影响因素的取值范围或等级影响因素的取值范围或等级 1 人员数量 25%50 51-150 151-500 501-1000 1000 2 SLA 的数量 25%10 11-50 51-100 101-200 200 3 供应商数量 15%5 6-15 16-30 31-50 50 4 与服务相关的风险注 1 35%低中低中中高高注 1：与服务相关的风险等级分为：低、中低、中、中高、高。各认证机构可以根据具体ITSMS 认证审核情况，选择服务相关的风险等

42、级，与服务相关的风险等级的确定宜从服务失效或违反法律法规产生的影响来考虑，具体可能涉及如下几个方面：a)客户组织的企业性质；b)被认证服务在服务提供过程中适用的法律法规要求的强度和复杂度；c)被认证服务遵照的 SLAs 要求的强度和复杂度。服务失效的风险等级可以先由客户组织评估和声明，再进行检查和证实，必要时对其进行修正。CNAS-SC175:2013 第 16 页共 16 页 2013 年 12 月 01 日发布 2015 年 07 月 15 日第二次修订 2015 年 12 月 16 日实施 B.2 ITSMS 复杂度值复杂度值 A 的计算的计算 ITSMS 复杂度值 A 按式（B

43、.1）计算：niii=1A=aW (B.1)式中：A ITSMS 复杂度值；ai 第 i 个 ITSMS 复杂度影响因素的分值；Wi 第 i 个 ITSMS 复杂度影响因素的权重；i ITSMS 复杂度影响因素的序号；n ITSMS 复杂度影响因素的数量，按表 B.1 计算时为 4。B.3 体系复杂度影响所需审核时间体系复杂度影响所需审核时间 Tf的确定的确定在计算出 ITSMS 复杂度值 A 后，表 B.2 给出了 A 值的不同区间所对应的体系复杂度影响所需审核时间 Tf。如果认证机构针对特定的 ITSMS 对表 B.1 进行了调整，可能也需要对表 B.2 进行相应的调整。表 B.2 IT

44、SMS 复杂度值 A 对应的体系复杂度影响所需审核时间 Tf ITSMS 复杂度值复杂度值 A 取值范围取值范围体系复杂度影体系复杂度影响所需审核时响所需审核时间间 Tf(人日人日)参考参考资料资料:根据根据表表B.1计算时计算时 A的的所有所有可能的可能的取值取值 A=1.0 0 1.0 1.0A1.1 0.25 1.05/1.10 1.1A1.2 0.5 1.15/1.20 1.2A1.4 1.0 1.25/1.30/1.35/1.40 1.4A1.7 1.5 1.45/1.50/1.55/1.60/1.65 1.7A1.9 2.0 1.70/1.75/1.80/1.85/1.90 1.

45、9A2.2 2.5 1.95/2.00/2.05/2.10/2.15/2.20 2.2A2.6 3.0 2.25/2.30/2.35/2.40/2.45/2.50/2.55/2.6A3.0 3.5 2.60/2.65/2.70/2.75/2.80/2.85/2.90/2.95/3.0A3.4 4.0 3.00/3.05/3.10/3.15/3.20/3.25/3.30/3.35/3.40 3.4A3.9 4.5 3.45/3.50/3.55/3.60/3.65/3.70/3.75/3.80/3.85/3.90 3.9A4.6 5.0 3.95/4.00/4.05/4.10/4.15/4.20/4.25/4.30/4.35/4.40/4.45/4.50/4.55 4.6A5.0 5.5 4.60/4.65/4.70/4.75/4.80/4.85/4.90/4.95/5.00

展开阅读全文