1、书 书 书犐 犆犛 犔 ? ? ? ? ? ? ? ? ? ? ?犌犅犜 ?犆狅 狀 犳 狅 狉犿 犻 狋 狔犪 狊 狊 犲 狊 狊犿犲 狀 狋犚犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犳 狅 狉犫 狅 犱 犻 犲 狊狆 狉 狅 狏 犻 犱 犻 狀 犵犪 狌 犱 犻 狋犪 狀 犱犮 犲 狉 狋 犻 犳 犻 犮 犪 狋 犻 狅 狀狅 犳犫 狌 狊 犻 狀 犲 狊 狊犮 狅 狀 狋 犻 狀 狌 犻 狋 狔犿犪 狀 犪 犵 犲犿犲 狀 狋狊 狔 狊 狋 犲犿狊 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?书 书 书目次前言引言范围规范性引用文件术语和定义原则通用要
2、求 法律与合同事宜 公正性的管理 责任和财力结构要求资源要求 人员能力 参与认证活动的人员 外部审核员和外部技术专家的使用 人员记录 外包信息要求 公开信息 认证文件 认证资格的引用和标志的使用 保密 认证机构与其客户间的信息交换过程要求 认证前的活动 策划审核 初次认证 实施审核 认证决定 保持认证 申诉 投诉 客户的记录犌犅犜 认证机构的管理要求附录(资料性附录)业务连续性管理体系审核及认证的知识附录(资料性附录)能力需求分析与评价附录(资料性附录)认证审核时间确定指南 参考文献 犌犅犜 前言本标准按照 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利
3、的责任。本标准由全国认证认可标准化技术委员会( )提出并归口。本标准起草单位:中国网络安全审查技术与认证中心、山东省标准化研究院、中国标准化研究院、中国合格评定国家认可中心、广发银行股份有限公司信用卡中心、北京奇安信科技有限公司、中国认证认可协会、中金金融认证中心有限公司、中国民航大学、北京华认企业管理咨询有限公司。本标准主要起草人:魏军、尤其、王凤娇、王曙光、公伟、秦挺鑫、付志高、张桂明、鲍旭华、郝静、谢宗晓、顾兆军、任天。犌犅犜 引言 合格评定管理体系审核认证机构要求第部分:要求为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照 公共安全业务连续性管理体系要求开展以业务连续性
4、管理体系()审核和认证为目的活动,对 补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循 的结构,增加了针对业务连续性管理体系审核和认证机构的专用要求,并与 共同使用。本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效地协调一致。犌犅犜 合格评定业务连续性管理体系审核和认证机构要求范围本标准规定了在 和 的基础上,业务连续性管理体系()认证机构所遵循的原则和对认证机构的要求,明确了审核与认证机构的能力、一致性和公正性的原则、认证相关活动的实施和管理要求等。本标准适用于所有提供审核和认证的机构,这些机构需要在能力和可靠性方面证实其满足本标准中的要求。规范性引用
5、文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 合格评定词汇和通用原则 合格评定管理体系审核认证机构要求第部分:要求 公共安全业务连续性管理体系要求术语和定义 、 、 界定的以及下列术语和定义适用于本文件。 认证文件犮 犲 狉 狋 犻 犳 犻 犮 犪 狋 犻 狅 狀犱 狅 犮 狌犿犲 狀 狋表明客户的符合规定的标准及所要求的任何补充性文件的一类文件。原则应符合 中第章的要求。通用要求 法律与合同事宜应符合 中 的要求。 公正性的管理应符合 中 的要求,并且以下要求同时适用。认证机构
6、可以从事以下工作,而不被视为咨询或具有潜在的利益冲突:犌犅犜 )安排培训课程并作为教师参与讲授,如果这些课程涉及业务连续性管理、有关的管理体系或审核,认证机构应仅限于提供可公开获取的通用信息和建议,即认证机构不应针对具体客户提供那些违反下面)要求的建议。)根据请求,提供或发布认证机构对认证审核标准要求的解释性信息。)仅以确定认证审核是否就绪为目的的审核前活动,但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求,且没有把这些活动作为减少最终认证审核时间的理由。)根据没有包含在认可范围内的标准或法规,实施第二方或第三方审核。)在认证审核和监督审核过程中的增
7、值活动,例如,在审核过程中,当改进机会明显时,识别改进机会但不推荐具体的解决方案。认证机构不应为寻求认证的客户的提供内部业务连续性评审。此外,认证机构应独立于提供内部审核的机构(包括任何个人) 。 责任和财力应符合 中 的要求。结构要求应符合 中第章的要求。资源要求 人员能力 总则应符合 中 的要求,并且 中的要求同时适用。 总体考虑为实施业务连续性管理体系认证,管理层应确保选择、提供和管理那些具备与受审核的活动和有关的业务连续性管理事宜相适应的技能和综合能力的人员。认证机构应对 表 中的每一项认证职能定义能力要求。在定义这些能力要求时,认证机构应考虑 中指明的所有要求,和本标准 和 中的所有
8、要求。注:附录提供了对业务连续性管理体系认证职能所涉及人员能力要求的信息摘要。 能力准则的确定认证机构应确保相关人员理解组织业务连续性管理有关的技术、法律、法规以及其他相关要求。认证机构应有形成文件的过程,以确定参与管理和实施审核与认证的人员及其能力准则。这些人员包括但不限于实施申请评审以确定所需的审核组能力,选择审核组成员并确定审核时间的人员,复核审核报告并作出认证决定的人员,审核和领导审核组的人员。学历教育、在职培训、工作经历是人员获取所需能力的途径,认证机构应对各类人员实际所具有的能力进行评价和证实,而不应仅用资格条件的审查代替能力的评价和证实。该过程的输出应是形成文件的所要求知识和技能
9、的准则,这些知识和技能是有效地实施审核与认证任务以实现预期结果所必需的。犌犅犜 注:附录为认证机构建立的能力需求分析与评价系统提供了指南。 参与认证活动的人员 总则应符合 中 的要求,并且以下要求同时适用。 申请评审、选择审核组和确定审核时间的人员实施申请评审以确定所需的审核组和选择审核组成员并确定审核时间的人员应具有以下能力:)选择审核员并验证他们的能力;)给业务连续性管理体系审核员提供简要的指导并安排必要的培训;)做出授予、保持、更新、扩大、缩小、暂停或撤销认证决定;)建立和实施投诉、申诉和争议程序;)实施申请评审以确定所需的审核组的能力。 审核人员认证机构应为培训和选择审核组成员建立准则
10、,以确保审核员具备特定的知识和技能。业务连续性管理体系审核员特定的知识和技能要求宜是以下 个方面相关内容的组合,认证机构应根据审核活动的能力需求确定实施审核所需的特定知识和技能:)业务连续性管理()术语:具备及风险的词汇、定义和概念等知识。)组织环境:具备组织运行所处相关环境的知识。)法律法规和其他要求:理解组织业务连续性管理有关的技术、法律、法规以及其他相关要求。)业务连续性管理过程中的关系:具备各元素内部关系的知识。)业务影响分析和风险评估:)具备业务影响分析( )的知识,包括: 技术和方法; 对提供产品和服务的活动的识别; 时间上的影响评估,当影响变得不可接受时应能予以识别; 对预期结果
11、设定具有优先排序的时间表; 对支持资源的识别。)具备风险评估和风险管理的知识,包括: 对中断事件进行风险识别、风险分析和风险评估; 现有控制措施的有效性; 对适当的风险处置的识别。)业务连续性策略:具备相关的策略方法等知识,以降低中断事件的影响及其发生的可能性,包括: 策略变化; 已准备措施; 对可选性策略的选择; 连续性策略的成本收益分析; 和外部股东的协调方法; 事件反应; 沟通和交流;犌犅犜 指挥和控制; 相关组织的协调; 恢复和重建。)事件管理:具备应对事件管理的知识,包括预警和沟通需要,以确定组织是否对中断事件做出了适当反应。在验证组织的事件管理能力时,审核组、审核报告复核及做出认证
12、决定的人员亦应具备评估组织的事件管理有效性的知识。)业务连续性计划:具备业务连续性计划的知识,包括业务连续性计划的建立、更新、维护、目的、格式、结构以及过程化细节等。)业务连续性实践:应具备计划和执行业务连续性实践的知识,包括业务连续性实践的方式、过程、技巧技术以及评估组织是否达成了其恢复优先级别及恢复目标的能力评估标准。)绩效评估:应具备绩效评估的知识,包括指示物和绩效矩阵,以确定组织的绩效是否达成了其管理任务及目标。审核员应能够证实其具备上述知识和能力,如通过:)经承认的业务连续性管理方面的相关资质;)经注册的审核员资格;)经批准的业务连续性管理课程培训;)持续提升自身知识和能力的记录;)
13、经现场验证的审核能力证明;)定期的个人评价记录。 复核审核报告并做出认证决定的人员复合审核报告并做出认证决定过程的人员应具备对授予、保持、扩大、缩小、暂停和撤销认证的决定过程进行管理所需的技术能力。 外部审核员和外部技术专家的使用应符合 中 的要求,并且以下要求同时适用。认证机构可使用外部审核员或外部技术专家作为审核组的一部分参与审核,外部技术专家应在审核员的监督下进行工作。 人员记录应符合 中 的要求。 外包应符合 中 的要求。信息要求 公开信息应符合 中 的要求。 认证文件应符合 中 的要求,并且以下要求同时适用。犌犅犜 认证文件应由具有负责此项职责的人员签署。 认证资格的引用和标志的使用
14、应符合 中 的要求。 保密应符合 中 的要求,并且以下要求同时适用。认证机构应识别法律、法规对保密方面的要求,并在与组织签订的认证协议中明确双方及相关人员的责任和义务。在认证审核之前,认证机构应要求组织说明是否存在不能提供给审核组的包含保密性或敏感性信息的记录,认证机构应确定是否能在缺少这些记录的情况下对进行充分的审核,如果认证机构认为不对已识别的保密性或敏感性的信息进行审核就不能保证审核的充分性,则应告知组织只有在获得适当的访问许可时才能进行认证审核。 认证机构与其客户间的信息交换应符合 中 的要求。过程要求 认证前的活动 申请应符合 中 的要求。并且以下要求同时适用。认证机构应要求客户具有
15、一个已文件化且已实施的。客户的应符合 和认证所要求的其他文件。 申请评审应符合 中 的要求。并且以下要求同时适用。认证机构应评审客户的申请,以确保清晰地了解了客户的活动边界,以及业务连续性管理和服务的可能风险。 审核方案应符合 中 的要求。并且以下要求同时适用。审核方案应包含对客户演练活动的现场观察,以便为确定客户的有效性建立充分的信心。审核方案中对现场观察客户演练活动的安排,宜与客户的业务影响分析( )结果和认证机构对客户的风险与绩效的评估结果相适宜。注:对客户的演练活动的现场观察,宜不晚于获证后的第一次监督审核活动。 确定审核时间应符合 中 的要求。并且以下要求同时适用。认证机构应给予审核
16、员足够的时间来开展与初次审核、监督审核或再认证审核相关的所有活动。总审核时间的计算,应包括报告审核情况所需的充足时间。认证机构宜使用附录来确定审核时间。犌犅犜 多场所的抽样应符合 中 的要求。并且以下要求同时适用。如果客户具有多个地点且所有的地点满足以下条件时,认证机构可以使用基于抽样的方法来实施多场所认证审核:)在同一个实施集中管理的下运行;)包含在客户的内部审核方案中;)包含在客户的管理评审方案中。 多管理体系标准应符合 中 的要求。并且以下要求同时适用。审核可以和其他管理体系审核相结合。结合审核或一体化审核应确保审核证据在审核范围内满足 的要求。在审核报告中,应容易辨识出与 相关的所有审
17、核发现。 审核的完整性,不应因结合审核而受到负面影响。 策划审核 确定审核目的、范围和准则应符合 中 的要求。并且以下要求适用。的审核目的应包括确定管理体系的有效性,以确保客户已根据业务影响分析和风险评估建立了业务连续性计划并实施了演练从而实现了所设立的业务连续性目标。 选择和指派审核组应符合 中 的要求。并且以下要求适用。认证机构应正式任命审核组并为其提供相应的工作文件。认证机构应明确地规定审核组的任务,并使客户知晓。审核组可以由一个人组成,只要其满足 中所规定的全部准则。 审核计划应符合 中 的要求。并且以下要求和指南适用。审核准则是确定符合性的依据,宜包括:) 中关于业务连续性管理体系的
18、要求;)特定行业对业务连续性管理的要求;)适用的法律法规和其他要求;)客户的业务连续性管理体系文件。 初次认证应符合 中 的要求。 实施审核应符合 中 的要求。 认证决定应符合 中 的要求。犌犅犜 保持认证应符合 中 的要求。 申诉应符合 中 的要求。 投诉应符合 中 的要求。 客户的记录应符合 中 的要求。 认证机构的管理要求应符合 中第 章的要求。犌犅犜 附录犃(资料性附录)业务连续性管理体系审核及认证的知识表 提供了一个审核及认证所需知识的摘要,该表是资料性的,仅标明了特定认证功能所需的知识范围。每个认证职能的能力要求见本标准正文。表 中, “”表示认证机构宜对该知识的准则和程度进行定义
19、。表犃 知识表知识知识和技能实施申请评审,以确定审核组的能力要求、选择审核组成员并决定审核时间复核审核报告并做出认证决定审核和领导审核组业务连续性管理术语组织环境适用法律法规和其他要求业务连续性管理过程中的关系业务影响分析和风险评估连续性和恢复策略事件管理业务连续性计划业务连续性实践绩效评价审核组宜具有专门知识和技能,或在必要时由技术专家补充。当审核由一个审核组实施时,相应程度的必备知识和技能宜由审核组整体具有,而不必由组内每位独立成员分别具有。犌犅犜 附录犅(资料性附录)犅犆犕犛能力需求分析与评价犅 能力需求分析犅 认证机构的能力需求分析宜:)包括认证机构能力管理系统构建和扩展(如增加新的技
20、术领域)时进行的能力需求分析,以及在申请评审和审核方案管理中根据特定客户具体情况进行的能力需求分析;)覆盖与认证与审核活动相关的各类人员,包括认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等;)能够根据业务连续性管理理论与实践、适用标准与法规和认证机构的认证实践(如认证范围、认证经验等)的变化及时更新。犅 认证机构的能力需求分析宜包括通用能力需求分析和特定技术领域的能力需求分析:)通用能力需求分析宜对 附录和本标准附录中描述的通用知识和技能类别所包含的具体内容做进一步分析。分析宜考虑下列方面,并根据下列方面的发展变化及时得到更新:)适用标准和法律法规;)业务连续性管理理论与实
21、践;)本机构认证活动的范围、规模。对于复核审核报告和做出认证决定、审核和领导审核组两类人员,除本标准附录描述的通用知识和技能外,还宜具备下列方面的知识: 业务所使用的信息通信技术( ) ; 业务影响分析( )方法。)特定技术领域能力需求分析宜对各技术领域内的业务活动的典型流程、业务连续面对的特定风险、所使用的 技术、与业务连续性有关的法律法规和标准、业务连续性计划演练技术等进行分析,以识别各技术领域审核所需的特定能力。犅 能力准则对于复核审核报告和做出认证决定的人员和审核和领导审核组的人员,还宜知晓相应业务所使用的信息通信技术( )和业务影响分析( )方法。犅 能力评价认证机构在对认证人员的能
22、力进行评价时宜:)获取与能力准则的内容相关的被评价人信息;)将被评价人信息与能力准则进行比较,判断被评价人员是否满足能力准则。认证机构宜保留上述被评价人信息、比较和判断的记录,这些记录宜足以支持能力评价的结论。犌犅犜 犅 能力的持续改进认证机构在组织审核员持续专业发展时宜考虑:)能力准则的更新;)通过能力评价发现的人员实际能力与能力准则的差距;)本机构审核和认证实践的发展。认证机构宜根据认证人员的持续专业发展情况复核其能力。认证机构宜确保审核员知晓现行的业务影响分析技术、业务连续性管理理论与实践以及适用标准和法律法规。认证机构宜组织和促进认证人员之间的经验交流和技术研讨,以总结和推广审核和认证
23、的经验、方法、技巧。必要时,认证机构宜根据上述交流和研讨的成果制定或修订相关文件,例如:)审核和认证的程序或作业指导文件;)审核检查单;)审核和认证的能力需求分析、能力准则、能力评价过程或评价方法。上述交流和研讨的频次、范围、规模宜与下列方面相适宜:)认证机构审核和认证活动的范围、规模和绩效;)认证机构审核和认证人员的数量、能力范围与水平、工作量和绩效。 犌犅犜 附录犆(资料性附录)犅犆犕犛认证审核时间确定指南犆 引言本附录用于认证机构确定对不同规模、不同复杂程度、从事各类活动的客户实施审核所需时间。本附录没有规定审核时间的最小值和最大值,但提供了认证机构计划安排审核任务时宜采用的根据拟审核客
24、户具体情况确定适宜审核时间的框架。认证机构宜根据本附录确定对每个申请方或获证客户实施第一阶段和第二阶段初次审核、监督审核和再认证审核所需的审核时间。犆 定义犆 审核时间各类审核的审核时间是指按审核人日度量的实施审核活动所需的有效时间。犆 审核人日一个审核人日通常为,是否可以包括旅途时间或午饭时间以当地法定要求为准。但往返于审核场所之间所花费的时间不计入审核时间。注:我国除香港特别行政区、澳门特别行政区、台湾地区外,审核时间通常不包括旅途时间和午饭时间。犆 有效人数有效人数包括认证范围内涉及的所有人员(含每个班次的人员) 。覆盖于认证范围内的非固定人员(如:季节性人员、临时人员、分包商和合同人员
25、)和兼职人员也应包括在有效人数内。犆 临时场所临时场所是组织为在有限的时期内进行特定工作或服务而设立的,且不会成为常设场所的场所(例如外包的软件开发场所) 。犆 应用犆 审核时间所有类型审核的审核时间包括在客户场所的现场时间,以及在现场以外实施策划、文件审查、与客户人员之间的相互活动和编写报告等活动的时间。在分配这些组合活动(不论这些活动是在现场或非现场实施)的审核时间时,通常不宜使现场总审核时间少于本附录 中计算出的 。对于任何审核,不宜以需要增加策划和(或)编写报告的时间为理由减少现场审核时间。犆 审核人日人日数的审核时间是以每天为基础计算。为了符合当地关于旅途时间、午饭时间和工作小时 犌
26、犅犜 数的法律规定,可能需要调整审核人日数,以达到审核总小时数。在策划阶段,认证机构不宜通过增加每个工作日的工作小时数来减少审核人日数。犆 有效人数本附录以有效人数为基础来计算审核时间。在计算有效人数时:)兼职人员的数量可以根据其实际工作小时数予以适当减少,或换算成等效的全职人员数量;)如果企业由于技术和自动化水平较低,可能雇佣大量临时的非熟练人员,这种情况下宜适当减少这些人员的数量;)如果相当大一部分员工从事相似的简单职能,例如:运送、流水线工作、装配线、现场值守等,同样宜适当减少人员的数量;)为使计算的审核时间充分覆盖所有的业务范围,可能需要包括正常工作时间之外的审核或者适合倒班的工作模式
27、。犆 审核时间的确定方法第一步:认证机构宜按照拟审核客户的有效人数按照表 确定基准审核时间,作为计算审核时间的起始点。表犆 员工有效人数与审核时间的关系有效人数初次认证审核时间(第阶段第阶段)人日有效人数初次认证审核时间(第阶段第阶段)人日 遵循上述递进规律 注:表中的人数宜视为连续变化的,而不是阶梯式变化的。第二步:给适用于该客户的每个重要因素(参见 )赋予一个对基准审核时间的增加量或减少量,根据这些因素对基准审核时间进行调整。认证机构对表 所列审核时间进行调整时,减少量不宜超过 。在各种情况下,认证机构宜记录确定审核时间(包括审核时间的调整)的依据。 犌犅犜 犆 初次认证审核(第阶段第阶段
28、)通常情况下,第一阶段现场审核所需的审核员时间不宜少于 个审核人日,不多于初次认证审核总的现场审核时间的 。第二阶段的审核时间通常情况下不会少于个人日,否则可能影响审核有效性。犆 监督与再认证在策划监督和再认证审核时,认证机构宜可获得对客户有关的更新信息。通常的做法是:假设基于更新后的客户信息对组织实施初次认证审核,监督审核时间约为该初次审核所需时间的,再认证审核时间约为该初次审核所需时间的。注:对管理体系绩效评价本身并不作为再认证审核时间的一部分。犆 调整审核时间的考虑因素在调整审核时间时,还需要考虑下列因素(但不限于这些因素) :)增加审核时间的考虑因素: 认证机构在进行多场所审核时; 在
29、业务连续方面,受法规管制的程度较高(例如金融、电力、电信、公共服务领域) ; 业务连续性计划的数量; 在认证审核过程中,工作语言超过一种的(需要翻译或影响审核员个人独立工作) ; 复杂的后勤条件,在体系范围内涉及不止一座建筑物或一处工作地点; 体系覆盖了高度复杂的过程或相对数量大或独特的活动; 审核活动中需要访问临时场所。)减少审核时间的考虑因素: 体系成熟。 业务过程低风险。 对客户管理体系已有的了解(例如本中心已依据另一标准认证了该客户) 。 客户为认证所做的准备(例如已经获得另一个第三方合格评定制度的认证或承认) 。 活动的复杂程度低,例如过程仅包含单一的一般性活动(例如仅包含服务) ;以往审核(内部审核和认证机构审核)显示,所有班次都实施相同的活动,且有适当证据表明所有班次的表现相同;相当一部分员工从事相似的简单职能。 有一部分员工在组织的场所外工作,例如销售人员、司机、服务人员等,并且有可能通过记录审查来对其活动是否符合体系要求进行充分地审核。犌犅犜 书 书 书犌犅犜 参考文献 业务连续性管理体系认证机构认可方案 : : : 犜犅犌版权专有侵权必究书号: 定价: 元
浙ICP备2021020529号-1 | 浙B2-20240490 
