05-信息技术服务管理体系认证规则释义.docxVIP

—

—PAGE1—

附件5

新版《信息技术服务管理体系认证规则》释义

适用范围为规范信息技术服务管理体系

适用范围

为规范信息技术服务管理体系（以下简称ITSMS）认证活动，根据《中华人民共和国认证认可条例》和《认证机构管理办法》等法律法规，结合相关技术标准制定本规则。

本规则规定了认证机构实施ITSMS认证的程序与管理的基本要求，是认证机构从事ITSMS认证活动的基本依据。

在中华人民共和国境内从事ITSMS认证活动应遵守《中华人民共和国认证认可条例》《认证机构管理办法》及本规则。

认证机构遵守本规则的规定，并不意味着可免除其所承

担的法律责任。

【要点与释义】

1.本规则是认证机构从事ITSMS认证活动的基本依据和底线要求，认证机构可在此规则的基础上制定更加详细的ITSMS认证管理制度、程序文件等。

2.本规则适用于认证机构在中国境内开展的ITSMS认证活动，认证机构在境外开展的ITSMS认证活动不适用本规则。

3.认证依据包含《Informationtechnology—Servicemanagement

Part1:Servicemanagementsystemrequirements》（ISO/IEC20000-1）

（《信息技术服务管理第1部分：服务管理体系要求》）的ITSMS

认证活动，需要符合本规则的要求。

4.认证机构作为经营主体，应对开展的认证活动及其他行为负责。认证机构即使遵守本规则，但若存在其他违反法律法规的行为，仍需承担相应法律责任。

2 认证依据

2 认证依据

《Informationtechnology—Servicemanagement—Part1:Servicemanagementsystemrequirements》（ISO/IEC20000-1）（《信

息技术服务管理第1部分：服务管理体系要求》）

【要点与释义】

1.认证依据规定了管理体系应满足的要求。认证机构开展信息技术服务管理体系认证活动，需持有有效版本的信息技术服务管理体系认证依据标准。

2.认证依据需要在管理体系认证证书中列明。认证机构发放的管理体系认证证书应列明现行有效的标准名称及标准号。如，信息技术服务管理体系认证所依据的现行标准为《Informationtechnology—Servicemanagement—Part1:Servicemanagement

systemrequirements》（《信息技术服务管理第1部分：服务管理体系要求》），现行有效的标准号为ISO/IEC20000-1:2018。

【规则条款】

对认证机构的基本要求

获得国家认证认可监督管理委员会（以下简称国家认监委）批准、取得ITSMS认证领域资质。

开展ITSMS认证活动，应当围绕国家经济和社会发展目标，重点服务于经济社会高质量发展，不得影响国家安全和社会公共利益，不得违背社会公序良俗。

内部管理和认证活动符合GB/T27021.1/ISO/IEC

17021—1《合格评定管理体系审核认证机构要求第1部分：要求》和ISO/IEC20000—6《信息技术服务管理第6部分：服务管理体系审核与认证机构要求》，确保持续满足开展ITSMS认证的基本要求。

建立风险防范机制，对从事ITSMS认证活动可能引发的风险和责任采取合理有效措施。认证机构应能证明其已对ITSMS认证活动引发的风险进行了评估，对引发的责任作出了充分安排

（如保险或储备金）。

建立认证人员管理制度，明确认证人员的能力准则、选择条件、聘用和评价程序，以及能力提升机制。确保从事ITSMS认证的人员持续具备相应职业素养和能力。

具有并持续保持10名（含）以上经注册的ITSMS专职审核员。在拟开展的ITSMS认证业务范围（认证业务范围分类见附录A表A），具备2名（含）以上ITSMS专业领域审核员。认证机构应结合认证业务范围识别相关专业的学历和专业信息技术服务工作经历。相应认证业务范围的专业领域审核员，应具备如下条件之一：

（1）具有本科（含）以上学历，并且具有至少2年（含）以上该专业的信息技术服务工作经历或具有该专业的中级

（含）以上技术职称；

注：信息技术服务工作包括信息技术服务管理、信息技术研究与开发及服务、信息技术服务认证、信息系统测评、信息技术教学等。

（2）取得ITSMS正式审核员注册资格后，参加该认证业务范围信息技术服务专业技术培训且考核合格，并且在ITSMS专业领域审核员或技术专家的指导下完成一定数量的ITSMS专业审核活动，不少于4次10个现场审