CNAS CNAS-CC175 信息技术服务管理体系认证机构要求 Requirements for bodies providing audit and certification of information technology service management systems 中国合格评定国家认可委员会 2013年12月01日发布 2013年12月01日实施 第1页共12页 CNAS-CC175:2013 目 次 前 言 范围 2 规范性引用文件. .3 术语和定义 4 原则 .3 5 通用要求 .3 5.1 ITS 5.1.2认证协议 5.2 ITS5.3.1风险评估和责任安排 结构要求 1 资源要求 4 7.1 ITS 7.1.2 能力准则的确定 .4 7.2 ITS 7.1.3能力评价 5 7.3 ，ITS7.2.4审核员的个人行为... 7.4能力的持续改进， .5 8信息要求 8.1 ITS8.5保密 8.2ITS8.6.3客户ITSMS变化的通报. 9过程要求, 9.1ITS 9.1通用要求. .7 9.2ITS 9.2 初次审核与认证 10认证机构的管理体系要求 附录A（规范性附录）ITSMS 认证的技术领域.. 10 附录B（规范性附录）所要求的知识和技能 12 2013年12月01日发布 2013年12月01日实施 第2页共12页 CNAS-CC175:2013 前言 本文件等同采用国家标准GB/T27308《合格评定信息技术服务管理体系审核 认证机构要求》1。本文件是中国合格评定国家认可委员会（CNAS）对信息技术服 务管理体系（ITSMS）认证机构的专用认可准则，与CNAS针对各类管理体系认证 机构的基本认可准则CNAS-CCO1《管理体系认证机构要求》共同用于CNAS对 ITSMS认证机构的认可。 本文件用术语“应”表示要求，用术语“宜”表示指南。如果ITSMS认证机构 未遵循或偏离本文件的指南，则需要向CNAS 证实其做法与本文件指南的等效性。 在本文件的条款名称中以“ITS+条款号”的形式出现的，表明该条款及该条款 的下级内容是对CNAS-CCO1中对应条款在ITSMS 的补充要求和指南，例如：“5.1 ITS 5.1.2认证协议”，即指该条款是对“CNAS-CC015.1.2”在ITSMS的补充。 本文件2013年首次发布。 27308一2011，其内容基于ISO/IEC17021:2006（被CNAS等同采用为CNAS-CC01:2007）。ISO/IEC 17021:2006已废止，被ISO/IEC17021:2011取代。CNAS已将ISO/IEC17021:2011等同采用为 CNAS-CC01:2011，取代CNAS-CC01:2007，并已经停止在管理体系认证机构认可活动中使用 管理体系认证机构认可活动。CNAS已向全国认证认可标准化技术委员会（SAC/TC261）建议修订GB/T27308 2011，并提交了修订草案建议稿。SAC/TC261已根据上述建议向国家标准委申请立项修订GB/T27308- 2011，由CNAS承担。在上述修订最终完成前，为确保CNAS的信息技术服务管理体系认证机构认可活动与CNAS 其他管理体系认证机构认可活动相一致，本文件暂时等同采用CNAS编制的GB/T27308修订草案建议稿。当 GB/T27308修订版正式发布后，本文件将等同采用正式发布的GB/T27308。 2013年12月01日发布 2013年12月01日实施 第3页共12页 CNAS-CC175:2013 信息技术服务管理体系认证机构要求 1范围 本文件提供了对依据GB/T24405.1《信息技术服务管理第1部分：服务管理体 系要求》实施信息技术服务管理体系（以下简称“ITSMS”）审核和认证的机构（以 下简称“ITSMS认证机构”）的要求和指南，是对CNAS-CCO1《管理体系认证机构 要求》的补充，旨在保证ITSMS认证机构的能力与可信性。 注：本文件也可以作为ITSMS认证机构间同行评审或其他针对ITSMS认证机构 的评价活动的准则文件。 2规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注日期的引用文 件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件，然而 鼓励根据本文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期 的引用文件，其最新版本适用于本文件。 GB/T24405.1信息技术服务管理第1部分：服务管理体系要求（ISO/IEC 20000-1, IDT) CNAS-CC01管理体系认证机构要求（GB/T 27021/ISO/IEC 17021，IDT） ISO 19011 管理体系审核指南 3术语和定义 GB/T19000、GB/T24405.1、GB/T27000和CNAS-CC01中确定的术语和定义 适用于本文件。 4原则 CNAS-CC01第4章适用。 5通用要求 CNAS-CCO1第5章适用，并且以下ITSMS特定要求和指南适用。 5.1ITS 5.1.2 认证协议 认证协议应就控制审核和认证活动引发的客户组织信息安全风险做出规定，包括 明确认证机构和客户组织及其有关人员的责任与义务。 2013年12月01日发布 2013年12月01日实施 CNAS-CC175:2013 第4页共12页 5.2ITS5.3.1风险评估和责任安排 认证机构应对其审核和认证活动可能给客户组织的信息安全带来的风险以及认 证机构可能承担的责任进行评估，并做出充分的安排（例如，购买职业责任保险或设 立储备金）。 6结构要求 CNAS-CC01第6章适用。 7资源要求 CNAS-CCO1的第7章与附录A（规范性附录）适用，并且以下ITSMS特定要求和 指南适用。 7.1ITS 7.1.2 能力准则的确定 7.1.1ITSMS认证的技术领域 ITSMS认证的技术领域见本文件附录A（规范性附录）。 7.1.2能力需求分析 7.1.2.1ITSMS认证机构应分析ITSMS审核和认证所需的通用能力和特定技术领域 能力（即能力需求分析），并形成文件。 7.1.2.2ITSMS认证机构的能力需求分析应： a）包括ITSMS认证机构能力管理系统构建和扩展（增加新的技术领域）时进行 的能力需求分析，以及在申请评审和审核方案管理中根据特定客户具体情况 进行的能力需求分析（见本文件9.2.2）； b）覆盖各类认证人员。 7.1.2.3ITSMS认证机构的能力需求分析宜考虑下列方面，并根据下列方面的发展变 化及时得到更新： a）认证活动的范围和规模; b）信息技术; c）服务管理理论与实践; d）适用标准和法律法规; e）本机构审核和认证的实践（包括针对特定客户组织的审核和认证能力需求分 析，见本文件9.2.2）。 7.1.3能力准则 7.1.3.1ITSMS认证机构应根据能力需求分析结果确定各类认证人员的能力准则，并 根据能力需求分析结果的变化及时更新能力准则。能力准则应包括： a）认证人员在认证活动中需要实现的预期结果； ） 2013年12月01日发布 2013年12月01日实施 第5页共12页 CNAS-CC175:2013 类认证人员需要应用的知识和技能的类别与相对程度。对于每类认证人员需要应用的 每类知识和技能，ITSMS认证机构应根据该类认证人员需要实现的预期结果，确定此 类知识和技能的具体内容。 对于以上四类认证人员以外的其他认证人员，ITSMS认证机构宜参考 知识和技能的类型、具体内容与相对程度。 注：其他认证人员包括ITSMS认证机构的管理人员、行政支持性人员、相关委 员会的成员以及技术专家等。 7.2ITS 7.1.3能力评价 7.2.1能力评价过程 ITSMS认证机构应建立并持续改进形成文件的能力评价过程。该过程应包括： a）初始能力评价（参见CNAS-CC01条款7.1.3）； b）能力和绩效的持续监视（参见CNAS-CC01的条款7.1.3和条款7.2.10）； c）能力的复核（参见CNAS-CC01条款7.2.10）。 当能力准则发生变化时（参见本文件7.1.3.1），ITSMS认证机构应及时对相关人 员的能力进行审查和必要的评价。 7.2.2能力评价方法 7.2.2.1ITSMS认证机构宜确定并持续改进用于判断认证人员是否满足能力准则的 评价方法，包括： a）用于判断认证人员是否具备某一知识或技能的方法，和（或） b）用于判断认证人员能否实现预期结果的方法。 注：CNAS-CC01附录B（资料性附录）和ISO19011提供了评价方法的指南和示例。 7.2.2.2ITSMS认证机构在对认证人员的能力进行评价时，宜： a）获取与能力准则的内容相关的被评价人信息； b）将被评价人信息与能力准则进行比较，判断被评价人是否满足能力准则。 ITSMS认证机构宜保留上述被评价人信息、比较和判断的记录，这些记录宜足以 支持能力评价的结论。 7.3ITS 7.2.4 审核员的个人行为 ITSMS认证机构应确定期望ITSMS审核员表现出的个人行为。 注：CNAS-CC01附录D（资料性附录）和ISO19011就期望认证人员表现出的个 人行为提供了示例和指南。 7.4能力的持续改进 7.4.1持续专业发展（对CNAS-CC01条款7.2.8和7.2.10的补充） 7.4.1.1ITSMS认证机构应为认证人员提供持续专业发展机会，以使其能力得到保持 和改进。持续专业发展的方式可以包括（但不限于）： 2013年12月01日发布 2013年12月01日实施 第6页共