CNAS-CC41.docVIP

CNAS-CC41 信息技术服务管理体系认证机构要求 Requirements for bodies providing audit and certification of information technology service management systems (2013-3-8-征求意见稿) 中国合格评定国家认可委员会 前 言 2 1 范围 32 规范性引用文件 3 3 术语和定义 3 4 原则 3 5 通用要求 3 5.1 ITS 5.1.2认证协议 3 5.2 ITS 5.3.1风险评估和责任安排 4 6 结构要求 4 7 资源要求 4 7.1 ITS 7.1.2能力准则的确定 4 7.2 ITS 7.1.3能力评价 5 7.3 ITS 7.2.4审核员的个人行为 5 7.4 能力的持续改进 5 8 信息要求 6 8.1 ITS 8.5保密 6 8.2 ITS 8.6.3客户ITSMS变化的通报 7 9 过程要求 7 9.1 ITS 9.1通用要求 7 9.2 ITS 9.2初次审核与认证 8 10 认证机构的管理体系要求 9 附录A （规范性附录）ITSMS认证的技术领域 10 附录B （规范性附录）所要求的知识和技能 12 前 言 本文件等同采用国家标准GB/T 27308《合格评定 信息技术服务管理体系审核认证机构要求》。本文件是CNAS对信息技术服务管理体系（）认证机构的专用认可准则，与CNAS针对各类管理体系认证机构的基本认可准则CNAS-CC01《管理体系认证机构要求》共同构成CNAS对认证机构的认可要求。 GB/T 27308的现行有效版本为GB/T 27308-2011，其内容基于ISO/IEC 17021:2006《合格评定——管理体系审核认证机构的要求》。ISO/IEC 17021:2006已废止，被ISO/IEC 17021:2011取代，全国认证认可标准化技术委员会正在依据ISO/IEC 17021:2011对GB/T 27308进行修订（由CNAS具体组织实施）；CNAS也已将ISO/IEC 17021:2011等同采用为CNAS-CC01:2011，作为各类管理体系认证机构的基本认可准则。因此，为确保CNAS的信息技术服务管理体系认证机构认可活动与CNAS的其他各类管理体系认证机构认可活动相一致，本文件暂时等同采用GB/T 27308的修订草案，作为试行版；待GB/T 27308修订版正式发布后，本文件将等同采用正式发布的GB/T 27308。 本文件用术语“应”表示要求，用术语“宜”表示指南。如果认证机构本文件需要向CNAS证实。 信息技术服务管理体系认证机构要求 范围 本文件提供了对依据GB/T 24405.1《信息技术 服务管理 第1部分：服务管理体系要求》实施信息技术服务管理体系（以下简称ITSMS”）审核和认证的机构（以下简称ITSMS认证机构）的要求和指南，是对CNAS-CC01的补充，旨在保证ITSMS认证机构的能力与可信性。 ：本文件也可以作为ITSMS认证机构间同行评审或其他针对认证机构的评价活动的准则文件。 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件，然而，鼓励根据本文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本文件。 CNAS-CC01 管理体系认证机构要求（GB/T 27021/ISO/IEC 17021, IDT） GB/T 24405.1 信息技术 服务管理 第1部分：服务管理体系要求（ISO/IEC 20000-1, IDT） ISO 19011 管理体系审核指南 GB/T 19000、GB/T 24405.1、GB/T 27000和GB/T 27021中确定的术语和定义适用于本文件。 CNAS-CC01第4章适用。 CNAS-CC01第5章适用，并且以下ITSMS特定要求和指南适用。 ITS 5.1.2认证协议 认证协议应就控制审核和认证活动引发的客户组织信息安全风险做出规定，包括明确认证机构和客户组织及其有关人员的责任与义务。 ITS 5.3.1风险评估和责任安排 认证机构应对其审核和认证活动可能给客户组织的信息安全带来的风险以及认证机构可能承担的责任进行评估，并做出充分的安排（例如购买职业责任保险或设立储备金）。 CNAS-CC01第6章适用于本文件。 CNAS-CC01的第7章与附录A（规范性附录）适用，并且以下ITSMS特定要求和指南适用。 ITSMS认证的技术领域 ITSMS认证的技术领域见本文件附录A（规范性附录）。 能力需求分析