CNAS-SC175-2017 信息技术服务管理体系认证机构认可方案

CNAS-SC175信息技术服务管理体系认证机构认可方案Accreditationschemeforbodiesprovidingauditandcertificationofinformationtechnologyservicemanagementsystems中国合格评定国家认可委员会 2 3 3 3 4 4 5 5 5 5 6 6 7 7 7 8 9 信息技术服务管理体系认证机构认可方案下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文R.4.1CNAS通过对ITSMS认证机构的认证业务范围（见本文件附录A）进行认可来确定该机构的认可范围。CNAS按认证业务范围的大类进行认可。CNAS认可某一大类b)根据该大类的能力需求分析，以适宜、有效的方）；R.4.2CNAS对某一大类的认可，仅表明CNAS基于评审认为，认证机构的能力分析证活动都有效，也不意味着CNAS批准认证机构可以对该大类的任何客户实施认证。认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证），行的能力需求分析，以及在申请评审和审核方案管理中根据特定客户具体）；C.2.3.2除了CNAS-CC01附录A规定的三类认证人员之外，ITSMS认证机构宜参考CNAS-CC01附录A和CNAS-CC175附录A为其他认证人员确定其需要应用的知识和技能注：其他认证人员包括ITSMS认证机构的管理人员、行政支持性人员、相关委）；），C.3.2.1ITSMS认证机构宜确定并持续改进用于判断认证人员是否满足能力准则ITSMS认证机构宜保留上述被评价人信息、比较和判断的记录，这些记录宜足注：CNAS-CC01附录D和ISO19011就期望认证人员表现出的个人行为提供了示C.5.2.2上述交流和研讨的频次C.6.1.1在认证审核前，认证机构应要求客户识别并向认证机构告知认证机构在C.6.1.2认证机构应与其ITSMS认证相关人员签订在法律上具有强制实施力的协C.6.1.4审核组成员不宜在审核过程中以任何方式记录客户的保密或敏感信息。ITSMS认证机构应在申请评审中，基于本文件C.2.2.2a）所述的能力需求分针对特定客户的审核和认证能力需求分析宜关注那些在进行本文件C.2.2.2a）C.7.3.2认证机构仅应根据CNAS-CC12对CNAS认可的其他认证机构颁发的ITSMS认b)所提供的服务，例如单个服务，一组服务或和（或）组织单元的名称]交付[服务]的服务管理体系”nameand/ornameoforganizationalunit]from[所需的全部审核时间，其中包括接触客户、人员、记录、文件、过程和书写计划及服务种类增加所需审核时间Tz为每增示例：客户所申请的认证范围涉及的服务种类（中类）为信息系统咨询规划G.2.3.5.1在认证审核过程中，工作语言超过一种的（需要翻译或影响审核员个对客户的监督审核时间宜与初次认证审核审核时间成比例，每年用于监督审核一般情况下服务点不在认证范围内，当认证方根，监督审核抽样样本量通常不低于同种类样本总量平方根的0.6倍，再认证审核抽样样本量通常不低于同种类样本总量平方根的0.8倍。当有合理大类备注01规划与设计服务01.01信息系统咨询规划信息系统咨询、规划服务01.02信息系统硬件设计、开发服务对信息系统硬件的架构、选型和实施策略进行设计，并实施开发。01.03信息系统软件设计、开发服务软件设计、开发服务。01.04信息技术咨询服务硬件或软件使用的咨询及培训服务。02集成服务02.01设备系统集成服务指以搭建需方的信息化管理支持平台为目的，将设备及其嵌入式软件进行集成设计、安装调试的服务。如网络系统集成服务、智能建筑系统集成服务、安全防护系统集成服务等。02.02软件系统集成服务将各个分离的软件、功能和信息等集成到相互关联的、统一和协调的平台之中的服务。如界面集成、数据集成、应用集成等。03测试与监理服务03.01信息系统测试服务检验信息系统是否与要求相吻合的测试服03.02软件产品测试服务检验软件产品是否与要求相吻合的测试服03.03信息系统工程监理对信息系统工程实施监理的服务。03.04软件工程监理服务对软件开发实施监理的服务。03.05其他测试与监理服务04运行维护服务04.01基础设施运行维护服务机房电力、空调、消防、安防、网络等设施的运维服务。04.02硬件运行维护服务计算机及其外部设备、网络设备、音视频设备、自动化控制设备及其他采用信息技术控制的硬件及设备的状态监控、故障处理、性能优化等相关维护服务。04.03软件运行维护服务基础软件和应用软件的安装、升级、故障处理、病毒防护等维护服务。04.04其他信息技术运行维护服务大类备注05安全服务05.01风险评估评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。05.02安全运维通过专业的服务，解决网络和信息系统日常运行中的安全问题，包括系统安全加固、日常安全监控、定期安全审计、安全通告、补丁更新以及安全技术支持等。05.03应急处理为降低安全事件给客户造成的损失和影响，在处置网络与安全事件时提供一系列的措施和行动。05.04灾难恢复将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程。05.05其他安全服务06业务流程服务06.01电子商务支持服务电子商务活动的支持和管理服务。06.02软件运营服务通过网络提供软件功能的服务。06.03数据处理图片、文字、影像、语音等信息内容运用数字化技术进行加工处理、运用的服务。06.04呼叫中心/服务台服务呼叫中心服务。06.05其他业务流程服务序号审核时间（人日）一阶段审核编制一阶段审核计划非现场0.19客户管理体系文件审核非现场/现场1首次会议现场0.074.评价受客户运作场所和现场的具体情况，收集关于客户的管理体系范围、过程和场所的必要信息现场0.07审查客户理解和实施标准要求的情况，特别是对管理体系的关键绩效或重要的因素、过程、目标和运作的识别情况现场0.13评价客户是否策划和实施了内部审核与管理评审，以及管理体系的实施程度能否证明客户已为第二阶段审核做好准备现场0.13收集与客户相关的法律法规要求和遵守情况现场0.1审查客户第二阶段审核所需资源的配置情况，并与客户商定第二阶段审核细节现场0.1结合可能的重要因素充分了解客户的ITSMS和现场运作，以便为策划第二阶段审核提供关注点现场0.13与客户进行一阶段审核问题沟通现场0.13末次会议现场0.07编制一阶段审核报告非现场/现场0.19二阶段审核编制二阶段审核计划非现场0.26首次会议现场0.07序号审核时间（人日）ITSMS4.1管理职责现场0.07ITSMS4.2其他方运行过程的治理现场0.1ITSMS4.3文件管理现场0.1ITSMS4.4资源管理现场0.1ITSMS4.5建立和改进服务管理体系现场0.3220.ITSMS5设计和转换新的或变更的服务现场0.3221.ITSMS6.1服务级别管理现场0.3922.ITSMS6.2服务报告现场0.2623.ITSMS6.3服务的连续性和可用性管理现场0.3224.ITSMS6.4服务的预算和核算现场0.1925.ITSMS6.5能力管理现场0.3126.ITSMS6.6信息安全现场0.3927.ITSMS7.1业务关系管理现场0.2728.ITSMS7.2供应商管理现场0.2729.ITSMS8.1事件和服务请求管理现场0.39现场0.27ITSMS9.1配置管理现场0.27ITSMS9.2变更管理现场0.31ITSMS9.3发布和部署管理现场0.27与客户进行二阶段审核问题沟通现场0.13末次会议现场0.06编制二阶段审核报告现场/非现场0.25总计8注：表B.1中的“审核时间”总计8人日。1人日按照一个完整的正常工作时间计算，通影响因素影响值a序号名称权重W影响因素的取值范围或等级1人员数量25%51-150501-1000>1000225%51-100>2003供应商数量6-1531-50>504与服务相关的风险注1低中高注1：与服务相关的风险等级分为：低、中低、中、中高、高。各认证机构可以根据具体ITSMS认证审核情况，选择服务相关的风险等级，与服务相关的风险等级的确定宜从服务失效或违反法律法规产生的影响来考虑，具体可能涉及如下几个方面：a)客户的企业性质；b)被认证服务在服务提供过程中适用的法律法规要求的强度和复杂度；c)被认证服务遵照的SLAs要求的强度和复杂度。服务失效的风险等级可以先由客户评估和声明，再进行检查和证实，必要时对其进行修正。