信息技术服务管理体系认证实施规则
1 适用范围
本规则用于规范认证机构在中国境内开展信息技术服务管理体系认证活动。
2 认证依据
信息技术服务管理体系认证以国家标准 GB/T 24405.1《信息技术 服务管理 第1部分:规范》为认证依据,并按照国家认监委确定的《开展信息技术服务管理体系认证的业务类别表》划分认证类别。
3认证程序
3.1 认证申请
3.1.1认证机构应向申请认证的社会组织(以下称申请组织)至少公开以下信息:
(1)认证范围;
(2)认证工作程序;
(3)认证依据;
(4)证书有效期;
(5)认证收费标准。
3.1.2认证机构应要求申请组织的授权代表至少提供以下必要的信息:
(1)法人资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书);
(2)取得相关法规规定的行政许可文件(适用时);
(3)从事的业务活动符合中华人民共和国相关法律、法规、信息技术服务标准和有关规范的要求;
(4)对信息技术服务管理体系认证范围涉及的业务活动的描述,包括利用信息技术为内部或外部顾客的业务过程提供支持的说明;
(5)已按认证依据和相关要求建立和实施了文件化的信息技术服务管理体系;
(6) 体系有效运行3个月以上,并且已完成内部审核和管理评审。
3.1.3上述必要信息应使认证机构能够确定:
(1)申请组织的行业类别和服务要求;
(2)申请认证的范围;
(3)申请组织的一般特征,包括其名称、物理场所的地址、利用信息技术为内部或外部顾客的业务过程提供支持的说明、过程和运作的重要方面以及任何相关的法律义务;
(4)申请组织与申请认证的领域相关的一般信息,包括其活动,人力与技术资源,以及适用时,其在一个较大实体中的职能和关系;
(5)申请组织采用的所有影响符合性的外包过程的信息;
(6)接受与信息技术服务管理体系有关的咨询的情况。
3.2申请评审
认证机构应根据认证依据、程序等要求,及时对申请组织提交的申请文件和资料进行评审并保存评审记录,以确保:
(1)识别申请组织的行业类别和与之相应的信息技术服务提供过程的特性和服务要求;
(2)掌握国家对相应行业的信息技术服务管理体系认证的管理要求;
(3)申请组织及其管理体系的信息充分,可以进行审核;
(4)认证要求已有明确说明并形成文件,且已提供给申请组织;
(5)解决了认证机构与申请组织之间任何已知的理解差异;
(6)认证机构有能力并能够实施认证活动;
(7)考虑了申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;
(8)保持了决定实施审核的理由的记录。
3.3 现场审核的准备
3.3.1确定审核组
3.3.1.1认证审核人员必须取得信息技术服务管理体系认证注册资格。
3.3.1.2 审核组应由取得信息技术服务管理体系认证注册资格的审核员组成,其中至少有一名专职审核员。必要时可以补充技术专家以增强审核组的技术能力。
3.3.1.3具有信息技术服务、信息技术服务法规等方面的特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。
3.3.2 确定审核人日
认证机构应根据申请组织的规模、特性、业务复杂程度、信息技术服务管理体系涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日,以确保审核的充分性和有效性。
3.4 初次认证审核
3.4.1 初次认证审核分第一阶段和第二阶段进行。第一阶段与第二阶段现场审核间隔应不少于5个工作日且不多于60个工作日。
3.4.2 第一阶段审核应在申请组织的现场进行,审核内容包括:
(1)审核申请组织的信息技术服务管理体系文件;
(2)评价申请组织的运作场所和现场的具体情况,并与申请组织的人员进行讨论,以确定第二阶段审核的准备情况;
(3)审查申请组织理解和实施信息技术服务管理体系标准要求的情况;
(4)审查申请组织是否系统而充分地识别与所提供的服务相关的法律法规和其他要求及其遵守情况;
(5)审查第二阶段审核所需资源的配置情况,并与申请组织商定第二阶段审核的细节;
(6)结合申请组织信息技术服务管理体系方针和目标,了解其审核准备状态,为策划第二阶段的审核提供重点;
(7)评价申请组织是否策划和实施了内部审核与管理评审,以及信息技术服务管理体系的实施程度能否证明其已为第二阶段审核做好准备。
3.4.3 认证机构应将第一阶段审核发现形成文件并告知申请组织,包括识别任何引起关注的、在第二阶段审核中可能被判定为不符合的问题。
3.4.4第二阶段审核
第二阶段审核应在具备实施认证审核的条件下在申请组织的场所进行。如果第一阶段审核提出影响实施第二阶段审核的问题,这些问题应在第二阶段审核前得到解决。第二阶段审核的目的是通过在申请组织的现场进行系统、完整地审核,评价申请组织的信息技术服务管理体系是否满足所有适用的认证依据的要求,并判断是否推荐认证注册。应重点关注申请组织是否充分识别了信息技术服务管理过程的重要性,并证实与申请组织的信息技术服务活动是相适应的。
认证机构应要求申请组织证实其对信息技术服务管理过程的分析和组织运作实施了适当的控制措施,应包括:
(1)服务交付过程(服务级别管理,服务报告,服务连续性和可用性管理,信息技术服务的预算和核算,能力管理,信息安全管理);
(2)关系过程(业务关系管理,供方管理);
(3)处理过程(事件管理,问题管理);
(4)控制过程(配置管理,变更管理);
(5)发布过程(发布管理)。
3.4.5 信息技术服务管理体系文件与其他管理体系文件的整合
只要信息技术服务管理体系以及与其他管理体系的适当接口能够清楚地被识别,可以允许申请组织将信息技术服务管理体系文件与其他管理体系文件(例如,质量管理体系、环境管理体系,职业健康安全管理体系等)相结合。
3.4.6 管理体系结合审核
3.4.6.1 认证机构可以仅提供信息技术服务管理体系认证服务,或结合信息技术服务管理体系认证提供其他管理体系认证服务。认证机构应有程序确保在结合审核的情形下,对诸如审核范围的界定、审核时间的确定、审核方案的策划等进行有效的管理。
3.4.6.2 可以把信息技术服务管理体系的审核和其他管理体系的审核相结合,但是这种结合必须以审核活动满足信息技术服务管理体系认证所有要求为前提,并且审核的质量不应由于结合审核而受到负面影响。在审核报告中,应清晰体现所有与信息技术服务管理体系有关的重要要素的描述并易于识别。
3.4.7 初次认证的审核结论
审核组应该对第一阶段和第二阶段审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
3.5 认证决定
3.5.1原则
3.5.1.1参加审核的人员不能再作为认证决定人员实施认证决定。
3.5.1.2 应该以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实申请组织建立信息技术服务管理体系的管理评审和内部审核的方案已经得到有效实施并且将得到保持,才可决定申请组织通过认证。
3.5.2 决定
3.5.2.1对于通过认证的申请组织,向其颁发信息技术服务管理体系认证证书。
3.5.1.2对于未通过认证的申请组织,应以书面的形式明示其不能通过认证的原因。
3.6 监督审核
3.6.1 监督频次
认证机构应在满足认可要求的基础上,根据获证组织信息技术服务管理体系覆盖的业务活动的特点以及所承担的风险,合理设计和确定监督审核的时间间隔和频次。当获证组织信息技术服务管理体系发生重大变更,或发生重大问题、服务质量事故、客户投诉等情况时,认证机构视情况可增加监督的频次。
监督审核的最长时间间隔不超过12个月。由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因,可以合理选取和安排监督周期及时机,在认证证书有效期内的监督审核必须覆盖信息技术服务管理体系认证范围内的所有业务活动。
3.6.2 监督审核应包括,但不限于以下内容:
(1)体系保持和变化情况;
(2)顾客投诉情况;
(3)涉及变更的范围;
(4)内部审核与管理评审;
(5)服务目录的变化情况;
(6)对上次审核时提出的不符合所采取纠正措施的审查;
(7)标志的使用和(或)任何其他对认证资格的引用;
(8)适当时,其它选定的范围。
3.6.3监督审核结果评价
对于监督审核合格的获证组织,认证机构应作出保持其信息技术服务管理体系认证资格的决定;否则,应暂停、撤销或注销相应的认证资格。
3.7 再认证
认证证书有效期满前,认证机构根据获证组织的申请对获证组织实施再认证,以保证信息技术服务管理体系认证证书持续有效。
3.7.1 再认证审核的策划
3.7.1.1 认证机构应策划和实施再认证审核,以评价获证组织是否持续满足信息技术服务管理体系标准和相关的认证规范性文件的所有要求。
3.7.1.2 再认证审核应考虑信息技术服务管理体系在认证周期内的绩效,包括调阅以前的监督审核报告。
3.7.1.3 当获证组织、获证组织的信息技术服务管理体系或其运作环境有重大变更时,认证机构应有程序确保对再认证审核活动可能需要进行的第一阶段审核实施管理。
3.7.1.4 对于多场所认证或依据多个管理体系标准进行的认证,再认证审核的策划应确保现场审核具有足够的覆盖范围,以提供对信息技术服务管理体系认证的信任。
3.7.2 再认证程序应与信息技术服务管理体系认证审核的要求和指南保持一致。
3.7.3 认证机构应根据再认证审核的结果,以及认证周期内的体系评价结果和认证使用方的投诉,作出是否更新认证的决定。
3.8 特殊审核
3.8.1 扩大认证范围
对于已授予的认证,认证机构应对获证组织扩大认证范围的申请进行评审,策划并实施必要的审核活动,并在该审核活动中验证获证组织的信息技术服务管理体系的适宜性和有效性,以作出是否可予扩大的决定。扩大认证范围的审核活动可单独进行,也可和对获证组织的监督审核或再认证一起进行。
3.8.2 认证机构为调查投诉、对变更做出回应或对被暂停认证资格的获证组织进行追踪,可能需要在提前较短时间通知获证组织后对其进行审核。此时:
(1)应向获证组织说明并使其提前了解将在何种条件下进行此类审核;
(2)由于获证组织缺乏对审核组成员的任命表示反对的机会,认证机构应在指派审核组时给予更多的关注。
3.9 暂停、撤消认证或缩小认证范围
3.9.1 认证机构应有暂停、撤消认证或缩小信息技术服务管理体系认证范围的政策和形成文件的程序,并规定认证机构的后续措施。
3.9.2 发生以下情况(但不限于)时,认证机构应暂停获证组织的信息技术服务管理体系认证资格:
(1)获证组织的信息技术服务管理体系持续地或严重地不满足认证要求,包括对信息技术服务管理体系有效性的要求;
(2)获证组织不允许按要求的频次实施监督或再认证审核;
(3)获证组织不接受或不配合认证认可监督管理部门的监督管理;
(4)获证组织主动请求暂停。
3.9.3认证资格暂停期最长不超过6个月。
3.9.4 在暂停认证期间,获证组织的信息技术服务管理体系认证证书暂时无效。认证机构应做出具有强制实施力的安排,以确保暂停认证期间避免获证组织继续宣传信息技术服务管理体系认证资格。认证机构应使认证证书的暂停信息可公开获取,并采取其认为适当的任何其他措施。
3.9.5 如果获证组织未能在认证机构规定的时限内解决造成暂停认证的问题,认证机构应撤消其信息技术服务管理体系认证或缩小其相应的认证范围。
3.9.6 如果获证组织在认证范围的某些部分持续地或严重地不满足认证要求,认证机构应缩小其信息技术服务管理体系认证范围,以排除不满足要求的部分。认证范围的缩小应与认证标准的要求一致。
3.9.7 认证机构应与获证组织就撤消信息技术服务管理体系认证时的要求做出具有强制实施力的安排,以确保获证组织接到撤消认证的通知时,立即停止使用任何引用信息技术服务管理体系认证资格的广告材料。
3.9.8 在任何组织提出请求时,认证机构应正确说明获证组织的信息技术服务管理体系认证被暂停、撤消或缩小的情况。
4 认证证书
4.1证书内容
认证证书内容应以中文书写,至少包括以下方面:
(1)认证证书名称,即信息技术服务管理体系认证证书;
(2)符合本规则4.2项规定的证书编号;
(3)获证组织名称、注册地址、受审核地址和邮政编码;
(4)符合本规则2项的认证依据;
(5)通过认证的服务类别;
(6)颁证日期、换证日期以及证书有效期的起止年月日。如颁证日期:2002 年5月1日,有效期:2002年5月1日至2005年4月30日;
(7)认证机构的名称及其标志;
(8)认证机构的印章和法定代表人代表或其授权人的签字;
(9)认可标识及认可注册号(应为国家认监委确定的认可机构的标识,以申请认可为目的发出的证书可没有此内容);
4.1.1 如果认证所覆盖产品(或服务)的类别及其所涉及的过程和覆盖的场所较多,需在证书附件上加以注明。
4.2证书编号
4.2.1 对同一个组织实施的同一个信息技术服务管理体系认证,赋予一个认证证书编号。
4.2.2证书编号由认证机构批准号、获证年份号、信息技术服务管理体系的英文缩写、顺序号、认证属性、服务类别和子证书号构成,格式如下:
XXX XXXX ITSM XXX R0(1、2、⋯) XXXXXX -X
(机构批准号) (发证 年号) (项目缩写) (顺序号) (认证属性) (服务类别) (子证书号)
多场所组织的子证书注册号应与总部的注册号相同在注册号后加子证书的分号:-1,-2,…
通过认证的服务类别代码,如:A-信息系统咨询规划服务。(代码划分规则见国家认监委确定的《开展信息技术服务管理体系认证的业务类别表》)
后缀表示初次认证或再认证换证号:初次认证为R0,第一
次再认证换证为R1,第二次再认证换证为R2,……
一个认证机构当年发出ITMS证书的顺序累计号:001,002,……
证书所属项目代号:ITSM为信息技术服务管理体系
证书发出年份:2012,2013,……
认证机构获得认监委批准的机构编号的后三位数字(如只有两位,末位以字母W补位)
4.2.3 同一个组织的认证范围覆盖多个场所并需要颁发子证书时,在子认证证书编号后加上“-”和序号,如-1(-2,-3,⋯)。
4.2.4 有效期内换发证书,认证证书编号中的机构注册号、年份号、顺序号和认证的有效期保持不变,应注明换证日期。
4.2.5 再认证完成后换发证书,按4.2.2规定重新赋予认证证书编号,第一次再认证为“R1”,第二次再认证为“R2”,依此类推。
4.2.6 撤销证书后,原认证证书编号废止,不再它用。
4.2.7认证证书上的认证机构名称应与相应的认证机构批准书上的名称一致。
4.3 对获证组织正确宣传认证结果的控制
认证机构应采取授权使用标识的方式来要求获证组织在认证结果的宣传和使用中采用本规则确定的认证依据,同时注明通过认证的服务类别和认证证书编号。在认证证书被暂停期间或撤销后,应收回相应的授权。
不应授权获证组织在产品上使用上述标识,或以表示产品合格的方式使用上述标识。
5 对获证组织的信息通报要求及响应
5.1 为确保获证组织的信息技术服务管理体系持续有效,认证机构应要求获证组织建立信息通报制度,及时向认证机构通报以下信息:
(1)业务、地点、组织机构变化等情况的信息(及时通报);
(2)顾客投诉的相关信息(每三个月通报一次);
(3)组织的体系文件、服务目录信息的变化;
(4)有严重信息技术服务事故的信息(及时通报)
(5)其他重要信息。(视情况)
5.2认证机构应对上述信息以及收集到的相关公共信息进行分析,视情况采取相应措施,包括增加监督审核频次在内的措施和暂停或撤销认证资格的措施。在发生重大客户投诉等严重情况时,认证机构需立即采取措施。
电话:400-016-9000
邮箱:post@bcc.com.cn
联系地址:北京市东城区广渠门内大街45号D座5层