CNASCC41《信息技术服务管理体系认证机构要求》编制说明.docVIP

CNAS-CC41《信息技术服务管理体系认证机构要求》编制说明 本文件是 CNAS 对信息技术服务管理体系（简称为 ITSMS ）认证机构的专用 认可准则，与CNAS针对各类管理体系认证机构的基本认可准则 CNAS-CC01《管 理体系认证机构要求》共同构成 CNAS对ITSMS 认证机构的认可要求。 本文件等同采用国家标准 GB/T 27308《合格评定 信息技术服务管理体系审 核认证机构要求》。 GB/T 27308 的现行有效版本为 GB/T 27308-2011 ，其内容基 于 ISO/IEC 17021:2006《合格评定 —— 管理体系审核认证机构的要求》（即 CNAS-CC01:2007）。由于 CNAS-CC01:2007/ISO/IEC 17021:2006已废止，已被 CNAS-CC01:2011/ISO/IEC 17021:2011 取 代 ， CNAS 也 已 经 停 止 受 理 基 于 CNAS-CC01:2007的认可申请，因此 GB/T 27308-2011已不再适用于 CNAS 拟开展 的信息技术服务管理体系认证机构认可活动。 CNAS 已于 2012年向 GB/T 27038的 归口单位——全国认证认可标准化技术委员会（ SAC/TC261）提出了修订 GB/T 27308的建议，并已获得 SAC/TC261 采纳，由 CNAS 负责组织修订，目前已完成 修订草案。为确保 CNAS的信息技术服务管理体系认证机构认可活动与 CNAS的 其他各类管理体系认证机构认可活动相一致，本文件暂时等同采用 GB/T 27308 的修订草案，待 GB/T 27308修订版正式发布后，本文件将等同采用正式发布的 GB/T 27308。 本文件正文部分引用了 CNAS-CC01:2011/ISO/IEC 17021:2011的全部要求， 并根据 ITSMS 审核和认证的特点，对 CNAS-CC01 相关条款进行了补充，另外还 针对 ITSMS认证领域增加了“能力的持续改进”这条新要求。具体如下： 5.1 认证协议（对 CNAS-CC01条款 5.1.2 的补充） 错误！未定义书签。 5.2 风险评估和责任安排（对 CNAS-CC01条款 5.3.1 的补充） 7.1 能力准则的确定（对 CNAS-CC01条款 7.1.2 的补充） 7.2 能力评价（对 CNAS-CC01条款 7.1.3 的补充） 7.3 审核员的个人行为（对 CNAS-CC01条款 7.2.4 的补充） 7.4 能力的持续改进 8.1 保密（对 CNAS-CC01条款 8.5 的补充） 8.2 客户 SMS变化的通报（对 CNAS-CC01条款 8.6.3 的补充） 9.1 通用要求（对 CNAS-CC01条款 9.1 的补充） 9.2 初次审核与认证（对 CNAS-CC01条款 9.2 的补充） 本文件附录 A为规范性，给出了 ITSMS 认证的技术领域分类，该分类等同采 用国家认监委《关于开展信息技术服务管理体系认证的公告》中给出的分类。 本文件附录 B为规范性，是对 CNAS-CC01:2011规范性附录 A在 ITSMS 领域的应用说明，应与 CNAS-CC01:2011规范性附录 A 一起使用。 二〇一三年三月八日 CNAS-SC41《信息技术服务管理体系认证机构认可方案》 编制说明 本文件包括信息技术服务管理体系（ ITSMS）认证机构认可领域专用的认可 规则、认可准则和认可指南， 是对通用的管理认证机构认可规范的补充， 有助于 确保 ITSMS认证机构的规范性、一致性和有效性。本文件适用于申请 CNAS认可 的 ITSMS认证机构 本文件主要技术内容如下：（1） 术语和定义； （2） 专用规则——包括针对认可申请、预访问、初次认可的见证评审、认 证业务范围的认可等方面的补充要求； （3） 专用准则——本文件中的专用认可准则仅包括对ITSMS 认证转换的补充要求。由于 ITSMS认证机构的专用认可准则 CNAS-CCxx《信息技术服务管理体系认证机构要求》 等同采用国家标准 GB/T 27308，其中并未涉及认证转换方面的内容， 因此将关于 ITSMS认证转换的要求放在本文件中； （4） 专用指南——包括对 ITSMS认证范围的界定、 SMS审核时间的确定以及多场所组织和组织的服务点的抽样等方面的指南。 二〇一三年三月八日