CNAS-SC175-2017 信息技术服务管理体系认证机构认可方案.pdf

资源描述

1、 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 CNAS-SC175 信息技术服务管理体系认证机构认可方案 Accreditation scheme for bodies providing audit and certification of information technology service management systems 中国合格评定国家认可委员会 CNAS-SC175:2017 第 1 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施目次前言 . 2 1 范围 . 3 2 规范

2、性引用文件 . 3 3 术语和定义 . 3 4 ITSMS认证机构认可规范的构成 . 4 R1 认可申请 . 4 R2 预访问 . 5 R3 初次认可的见证评审 . 5 R4 认证业务范围的认可 . 5 R5 其他 . 5 C.1 通用要求（ CNAS-CC01条款 5.1 至 5.3） . 6 C.2 能力准则的确定（ CNAS-CC01条款 7.1.2） . 6 C.3 能力评价（ CNAS-CC01条款 7.1.3） . 7 C.4 审核员的个人行为（ CNAS-CC01 条款 7.2.4） . 7 C.5 能力的持续改进（ CNAS-CC01条款 7.2.8和 7.2.9） . 7 C

3、.6 信息要求（ CNAS-CC01条款 8.4 至 8.5） . 8 C.7 过程要求（ CNAS-CC01条款 9.1 至 9.9） . 9 G.1 ITSMS认证范围界定指南 . 10 G.2 ITSMS审核时间确定指南 . 11 G.3 服务点的抽样 . 13 附录 A（规范性附录） ITSMS认证的技术领域 . 14 附录 B（资料性附录） ITSMS初次认证审核基本审核时间的测算 . 16 附录 C（资料性附录） ITSMS复杂度及其对审核时间的影响分析 . 18 CNAS-SC175:2017 第 2 页共 19 页 2017 年 01 月 01 日发布 2017 年 01

4、月 01 日实施前言本文件由中国合格评定国家认可委员会（ CNAS）制定。本文件是 CNAS 对信息技术服务管理体系（ ITSMS）认证机构提出的特定要求和指南，并与相关认可规则和认可准则共同用于 CNAS 对 ITSMS 认证机构的认可。本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。本文件附录 A 为规范性附录，附录 B 和 C 为资料性附录。本文件代替了 CNAS-SC175:2015。 CNAS-SC175:2017 第 3 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施信息技术服务

5、管理体系认证机构认可方案 1 范围 1.1 为确保中国合格评定国家认可委员会（ CNAS）对实施 ISO/IEC 20000-1信息技术服务管理第 1部分：服务管理体系要求认证的信息技术服务管理体系（ ITSMS）认证机构实施评审和认可的一致性，指导申请和获得认可的 ITSMS认证机构理解和实施认可规范要求，特制定本文件。 1.2 本文件包括对 ITSMS认证机构认可规范的补充和指南，适用于 CNAS对 ITSMS认证机构的认可。本文件 R部分和 C部分分别是对相关认可规则和认可准则的补充。本文件 G 部分是对相关

6、认可准则的应用指南。 2 规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文件，仅该版本适用于本文件；未注明日期的引用文件，其最新版本（包括任何修订）适用于本文件。 CNAS-RC01 认证机构认可规则 CNAS-CC01 管理体系认证机构要求 CNAS-CC175 信息技术服务管理体系认证机构要求 CNAS-CC11 基于抽样的多场所认证 CNAS-CC12 已认可的管理体系认证的转换 3 术语和定义 GB/T 19000 2008、 GB/T 27000 2006和 CNAS-CC01 中的术语和定义以及下列术语和定义适用于本文

7、件。 3.1 认证业务范围：认证机构的 ITSMS 认证活动涉及的技术领域。注：本文件附录 A 给出了 ITSMS 认证的技术领域。 3.2 专业能力：能够应用特定技术领域的知识实现预期结果的本领。 3.3 服务点：在服务级别协议（ SLA）有效期内客户进行特定工作或服务的地点，不在客户的物理范围内。例如驻场服务的客户现场等。 CNAS-SC175:2017 第 4 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 4 ITSMS 认证机构认可规范的构成 4.1 主要规则和准则： CNAS-RC01

8、认证机构认可规则是 ITSMS认证机构认可活动的基本程序规则； CNAS-CC01管理体系认证机构要求是 ITSMS认证机构的基本认可准则； CNAS-CC175信息技术服务管理体系认证机构要求是 ITSMS认证机构的专用认可准则。 4.2 其他适用的认可规则包括： a) CNAS-R01认可标识使用和认可状态声明规则； b) CNAS-R02公正性和保密规则； c) CNAS-R03申诉、投诉和争议处理规则； d) CNAS-RC02认证机构认可资格处理规则； e) CNAS-RC03认证机构信息通报规则； f) CNAS-RC04认证机构认可收费管理规则； g) CNA

9、S-RC05多场所认证机构认可规则； h) CNAS-RC07具有境外场所的认证机构认可规则。 4.3 其他适用的认可准则包括： a) CNAS-CC11 基于抽样的多场所认证 b) CNAS-CC12已认可的管理体系认证的转换； c) CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用 d) CNAS-CC106 CNAS-CC01在一体化管理体系审核中的应用。 R 部分 R.1 认可申请在中华人民共和国境内从事 ITSMS 认证活动的认证机构申请认可的（以下称为“ 申请方 ” ），应具备 CNAS-RC01条款 5.1.1规定的基本条件以及下列条件：

10、 a) ITSMS认证活动已被国家认监委批准； b) 已按照 CNAS-CC01和 CNAS-CC175建立了管理体系，且运行时间不少于 6 个月（如已获 CNAS信息安全管理体系认证机构认可，则运行时间不少于 3个月）。申请方应提供 CNAS-RC01条款 5.1.2 规定的申请文件以及下列文件和信息： 1） ITSMS 认证活动国家认监委批准文件复印件； 2）已审核过的客户名单（对应到认证业务范围相应大类）； 3）自申请时间起 6个月内计划实施的审核项目清单（对应到认证业务范围相应大类）； 4）需要时， CNAS要求的其他信息。

11、 CNAS-SC175:2017 第 5 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 R.2 预访问必要时， CNAS 可在受理申请过程中安排预访问，以了解申请方是否已满足认可申请条件，以及是否基本具备接受认可评审的条件。 R.3 初次认可的见证评审 CNAS结合申请方 ITSMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排。 R.4 认证业务范围的认可 R.4.1 CNAS通过对 ITSMS认证机构的认证业务范围（见本文件附录 A）进行认可来确定该机构的认可范围。 CNAS按认证业

12、务范围的大类进行认可。 CNAS认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类，且系统运行基本有效。为此，认证机构应满足以下条件： a) 对该大类进行了适宜、有效的能力需求分析； b) 根据该大类的能力需求分析，以适宜、有效的方式确定了能力分析和评价系统的相关组成部分（例如技术领域、能力准则等）； c) 能力分析和评价系统在与该大类有关的认证活动中有效地发挥了作用。 CNAS按申请认可的每个大类评价认证机构是否满足以上条件，并根据认证机构ITSMS认证活动的范围、规模、风险水平和绩效对其认证业务范围大

13、类实施见证评审。 R.4.2 CNAS对某一大类的认可，仅表明 CNAS基于评审认为，认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力，并不表明 CNAS认为认证机构已经具备了在该大类实施认证活动所需的全部能力，在该大类的每次认证活动都有效，也不意味着 CNAS批准认证机构可以对该大类的任何客户实施认证。因此，认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力。 R.5 其他 R.5.1 CNAS对 ITSMS认证机构认可标识的管理遵循 CNAS-R01认可标

14、识使用和认可状态声明规则的相关要求。 R.5.2 CNAS-RC03 条款 5.2中 “ 获证组织发生重大事故 /事件 ” 是指获得 ITSMS 认证的客户发生具有下列之一影响的服务质量事故： a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证客户及其相关方的合法权益； b) 可能损害颁证机构或 CNAS的公信力、声誉，或使颁证机构或 CNAS承担连带责任。发生上述情况时，颁证机构应及时采取相应措施并向 CNAS通报相关情况。 CNAS-SC175:2017 第 6 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 0

15、1 日实施 R.5.3 如果 CNAS 可能需要在评审中接触认证机构的客户的相关信息，认证机构应向相关客户询问是否同意 CNAS接触这些信息。如果客户同意，认证机构应识别 CNAS接触这些信息时须满足的所有要求，并告知 CNAS。如果客户不同意或 CNAS无法满足相关要求， CNAS 将根据评审所受的影响采取相应的措施。 C 部分 C.1 通用要求（ CNAS-CC01条款 5.1至 5.3） C.1.1 认证协议（ CNAS-CC01 条款 5.1.2）认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定，包括明确认证机构和

16、客户及其有关人员的责任与义务。 C.1.2 风险评估和责任安排（ CNAS-CC01 条款 5.3.1）认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证机构可能承担的责任进行评估，并做出充分的安排（例如，购买职业责任保险或设立储备金）。 C.2 能力准则的确定（ CNAS-CC01条款 7.1.2） C.2.1 ITSMS认证的技术领域 ITSMS认证的技术领域见本文件附录 A。 C.2.2 能力需求分析 C.2.2.1 ITSMS认证机构应分析 ITSMS审核和认证所需的通用能力和特定技术领域能力（即能力需求分析），并形成文件。 C.2.2.2 ITSMS

17、认证机构的能力需求分析应： a）包括 ITSMS 认证机构能力管理系统构建和扩展（增加新的技术领域）时进行的能力需求分析，以及在申请评审和审核方案管理中根据特定客户具体情况进行的能力需求分析（见本文件 C.7.2）； b）覆盖各类认证人员。 C.2.2.3 ITSMS认证机构的能力需求分析宜考虑下列方面，并根据下列方面的发展变化及时得到更新： a）认证活动的范围和规模； b）信息技术； c）服务管理理论与实践； d）适用标准和法律法规； e）本机构审核和认证的实践（包括针对特定客户的审核和认证能力需求分析，见本文件 C.7.2）。 C.2.3 能

18、力准则 CNAS-SC175:2017 第 7 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 C.2.3.1 ITSMS认证机构应根据能力需求分析结果确定各类认证人员的能力准则，并根据能力需求分析结果的变化及时更新能力准则。能力准则应包括： a）认证人员在认证活动中需要实现的预期结果； b）认证人员为实现预期结果而需要应用的知识和（或）技能的具体内容。 C.2.3.2 除了 CNAS-CC01附录 A规定的三类认证人员之外， ITSMS认证机构宜参考CNAS-CC01附录 A和 CNAS-CC175附录 A为其他认证人员确定其需要应用

19、的知识和技能的类型、具体内容与相对程度。注：其他认证人员包括 ITSMS认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等。 C.3 能力评价（ CNAS-CC01条款 7.1.3） C.3.1 能力评价过程 ITSMS认证机构应建立并持续改进形成文件的能力评价过程。该过程应包括： a）初始能力评价（参见 CNAS-CC01 条款 7.1.3）； b）能力和绩效的持续监视（参见 CNAS-CC01的条款 7.1.3和条款 7.2.9）； c）能力的复核（参见 CNAS-CC01 条款 7.2.9）。当能力准则发生变化时（参见本文件 C.2.3）， ITSMS认证机构

20、应及时对相关人员的能力进行审查和必要的评价。 C.3.2 能力评价方法 C.3.2.1 ITSMS认证机构宜确定并持续改进用于判断认证人员是否满足能力准则的评价方法，包括： a）用于判断认证人员是否具备某一知识或技能的方法，和（或） b）用于判断认证人员能否实现预期结果的方法。注： CNAS-CC01附录 B和 ISO 19011提供了评价方法的指南和示例。 C.3.2.2 ITSMS认证机构在对认证人员的能力进行评价时，宜： a）获取与能力准则的内容相关的被评价人信息； b）将被评价人信息与能力准则进行比较，判断被评价人是否满足能力准则。 ITSMS认证机构宜保留上述被评价人

21、信息、比较和判断的记录，这些记录宜足以支持能力评价的结论。 C.4 审核员的个人行为（ CNAS-CC01条款 7.2.4） ITSMS认证机构应确定期望 ITSMS审核员表现出的个人行为。注： CNAS-CC01附录 D和 ISO 19011就期望认证人员表现出的个人行为提供了示例和指南。 C.5 能力的持续改进（ CNAS-CC01条款 7.2.8 和 7.2.9） C.5.1 持续专业发展 CNAS-SC175:2017 第 8 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 C.5.1.1 ITSMS认证机构在组织审核员持续专业发展

22、时宜考虑： a）能力准则的更新； b）通过能力评价发现的人员实际能力与能力准则的差距； c）本机构 ITSMS审核和认证实践的发展。 C.5.1.2 ITSMS 认证机构应根据认证人员的持续专业发展情况复核其能力。 C.5.1.3 ITSMS认证机构应确保审核员在信息技术、服务管理理论与实践以及适用标准和法律法规等方面的知识随着这些方面的发展变化及时得到更新。 C.5.2 交流和研讨 C.5.2.1 ITSMS认证机构宜组织和促进认证人员之间的经验交流和技术研讨，以总结和推广 ITSMS审核和认证的经验、方法、技巧。必要时， ITSMS认证机构宜根据上述交流和

23、研讨的成果制定或修订相关文件，例如： ITSMS审核和认证的程序或作业指导文件； ITSMS审核检查单； ITSMS审核和认证的能力需求分析、能力准则、能力评价过程或评价方法。 C.5.2.2 上述交流和研讨的频次、范围、规模宜与下列方面相适宜： a） ITSMS认证机构审核和认证活动的范围、规模和绩效； b） ITSMS认证机构审核和认证人员的数量、能力范围与水平、工作量和绩效。 C.6 信息要求（ CNAS-CC01条款 8.1至 8.5） C.6.1 保密（ CNAS-CC01 条款 8.4） C.6.1.1 在认证审核前，认证机构应要求客户识别并向认证机构告知认证机构在接

24、触相关信息时应满足哪些要求，包括法律要求、相关方的要求和客户自身的要求。认证机构应满足所有这些要求，否则不应在认证活动中接触客户的相关信息。如果认证机构因为无法满足适用的要求而不能接触相关信息，那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施（例如终止审核、缩小审核和认证的范围等）。如果客户事先没有禁止认证机构接触某一信息，或未告知认证机构应满足的要求，但认证机构在认证过程中发现自己并不具备接触该信息的资格和条件，应立即向客户提出。 C.6.1.2 认证机构应与其 ITSMS认证相关人员签订在法律上具有强制实施力的协议，以确保认证相关人员对审核和认证过程中

25、接触到的客户的保密或敏感信息予以保密。认证机构还宜要求直接接触客户信息的认证人员（例如审核组成员）按照客户的保密要求与客户签署保密协议，或向客户做出保密承诺。 C.6.1.3 认证机构宜对其 ITSMS认证人员进行保密意识教育，并进行保密方面的法律法规、标准、规章制度、知识技能的培训。 CNAS-SC175:2017 第 9 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 C.6.1.4 审核组成员不宜在审核过程中以任何方式记录客户的保密或敏感信息。审核组在离开客户前，宜请客户检查和确认审核组携带的文件、资料和

26、设备中未夹带客户的任何保密或敏感信息。 C.6.1.5 认证机构应为包含客户保密或敏感信息的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁建立保密程序。 C.6.2 客户 ITSMS 变化的通报（ CNAS-CC01 条款 8.5.3）认证机构应要求客户即时向认证机构通报： a） ITSMS范围和边界的变化； b）与其 ITSMS 相关的法律法规的变化。 C.7 过程要求（ CNAS-CC01条款 9.1至 9.9） C.7.1 申请（ CNAS-CC01 条款 9.1.1） ITSMS认证机构宜要求客户向其说明适用的关于 ITSMS 认证机构

27、的资质、诚信守法记录或认证人员身份背景的要求，以及适用的与保守国家秘密或维护国家安全有关的法律法规要求，并即时更新该说明，以便 ITSMS认证机构判断其是否具备对该客户实施认证活动的资格或条件。 ITSMS认证机构应要求客户确定其 ITSMS的范围。认证机构应确保客户的 ITSMS范围恰当地反映其服务活动，并确保客户没有将其活动中应包含的 ITSMS运行要素排除在认证范围之外。适用时，客户应在递交认证申请时指明不完全包含在 ITSMS范围内的服务活动。例如，与其他组织共同提供服务的情况。 C.7.2 针对特定客户的审核和认证能力需求分析（ CNAS-CC01

28、条款 9.1.2） ITSMS认证机构应在申请评审中，基于本文件 C.2.2.2 a）所述的能力需求分析的结果，根据特定客户的具体情况分析对其实施审核和认证所需的能力，并确保相关认证人员具备或能够获取所需的能力。针对特定客户的审核和认证能力需求分析宜关注那些在进行本文件 C.2.2.2 a）所述的能力需求分析时未考虑到的情况。 ITSMS认证机构宜根据已获证客户 ITSMS的变化对已有的能力需求分析结果进行审查和必要的更新。 C.7.3 审核方案（ CNAS-CC01 条款 9.1.3） C.7.3.1 ITSMS认证机构宜遵循 ISO 19011相关指南针对每个客户

29、建立审核方案，并对该审核方案进行管理。 C.7.3.2 认证机构仅应根据 CNAS-CC12对 CNAS认可的其他认证机构颁发的 ITSMS认证实施转换。除此以外的其他情况应按照初次认证对待。此时，认证机构若要考虑客户以往所获的 ITSMS认证，应满足 CNAS-CC01条款 9.1.3.4的要求。 C.7.4 管理体系规范性文件的解释（ CNAS-CC01 条款 9.2.1.4） CNAS-SC175:2017 第 10 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施如果需要对 ISO/IEC 20000-1的应用做出解释，这种解释应由

30、公正的和具备必要技术能力的相关委员会或人员给出，并由 ITSMS认证机构正式发布。 C.7.5 审核方法（ CNAS-CC01 条款 9.4.4.2） ITSMS认证审核所使用的信息收集方法还宜包括对 ITSMS 过程有效性的测试。 ITSMS认证审核计划中宜说明拟在审核中使用的远程审核技术。注：远程审核技术，例如，电话会议、网络会议、基于网络的互动式沟通和远程电子访问 ITSMS文件和（或） ITSMS过程等方式。关注这些技术将有助于提高审核的有效性和效率，并支持审核过程的完整性。 C.7.6 第一阶段（ CNAS-CC01 条款 9.3.1.2）当客户由于信息安全的原因在申请

31、评审阶段不能提供给认证机构足够的信息时，认证机构应通过第一阶段审核在客户的现场补充对上述信息的确认，并完成申请评审任务。这种情况下，认证机构应增加第一阶段现场审核时间。 C.7.7 第二阶段（ CNAS-CC01 条款 9.3.1.3） ITSMS初次认证第二阶段审核应关注客户的服务管理过程之间的相互作用。 G 部分 G.1 ITSMS认证范围界定指南 ITSMS认证范围宜基于服务提供者对其 ITSMS范围的描述界定。 ISO/IEC 20000-3建议服务提供者通过下列参数描述其 ITSMS的范围： a) 提供服务的组织单元，例如单个部门、一组部门或所有部门

32、； b) 所提供的服务，例如单个服务，一组服务或所有服务；或金融服务、零售服务、电子邮件服务； c) 服务提供者交付服务的物理场所，例如单一办公场所、一组办公场所、区域的、全国的或全球的； d) 顾客及其地点，例如一个顾客、多个顾客、外部顾客或内部顾客； e) 服务提供所使用的技术。 ITSMS范围的描述不能包括有助于服务交付的其他方的名称。 ITSMS范围描述示例：中文： “ 服务提供者的组织单元的名称从地理位置向顾客的组织和（或）组织单元的名称交付服务的服务管理体系 ” 英文： “ The service management

33、system of name of service provider organizational unit that delivers service(s) to customer organizational name and/or name of organizational unit from geographical location” CNAS-SC175:2017 第 11 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 G.2 ITSMS审核时间确定指南 G.2.1 概述对于每一个申请 ITSMS认证的客户，认证机构需要确

34、定初次认证审核（含一、二阶段）、监督审核和再认证审核所需要的审核时间。本条旨在建立一套科学合理的审核时间确定方法，确保各认证机构在确定审核时间上保持一致。在此基础上，本条提倡认证机构根据客户的 ITSMS 范围所涉及的服务活动种类、客户规模以及业务的复杂程度等信息对审核时间进行调整。经验表明，除了根据认证审核流程确定的基本审核时间外，客户 ITSMS范围涉及的物理场所的分布情况、客户的规模、业务的复杂程度、所提供的服务种类、服务点的数量及其分布等基本情况对认证机构在核定审核活动所需的审核时间也均有着很大影响。 G.2.2 审核时间的确定在进行初次认证审

35、核时间确定时，认证机构应根据 G.2.3.1中的计算公式对审核时间进行计算。 G.2.3.1 中公式内的基本审核时间 Tj为进行 ITSMS 认证审核的最少审核人日。认证机构在执行 ITSMS 认证审核时所用的时间不得低于基本审核时间Tj中规定的审核人日。 G.2.3.1 中公式同时包含服务种类增加所需审核时间 Tz及体系复杂度影响所需审核时间 Tf两个时间变量要素。需要增加时间变量要素时，认证机构需在审核方案中予以记录，并给出审核时间增加的理由。 G.2.3 初次认证审核时间的计算 G.2.3.1 初次认证审核时间 Tc 初次认证审核时间包含审核组初次认证审核（含

36、第一阶段审核、第二阶段审核）所需的全部审核时间，其中包括接触客户、人员、记录、文件、过程和书写计划及报告所用的时间。不包含审核员的旅途时间。初次认证审核时间按式（ 1）计算： Tc = Tj + Tz + Tf (1) 式中： Tc 初次认证审核时间； Tj 基本审核时间； Tz 服务种类增加所需审核时间； Tf 体系复杂度影响所需审核时间。 G.2.3.2 基本审核时间 Tj 基本审核时间 Tj为初次认证审核所需的基本时间，基于以下条件所确定： a) 客户物理场所为单一场所； b) 客户所申请的 ITSMS认证范围仅涵盖 ITSMS认证业务范围的一个中类；

37、 c) 客户 ITSMS 体系覆盖人数少于 50人； d) 客户 ITSMS 体系覆盖内的 SLA 数量少于 10个； CNAS-SC175:2017 第 12 页共 19 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 e) 客户 ITSMS 体系覆盖内的供应商数量少于 5个。基本审核时间为 8人日，其测算参见本文件附录 B。当客户认证范围超出以上基本限制条件时，认证机构应通过对服务种类增加所需审核时间 Tz及体系复杂度影响所需审核时间 Tf进行增加调整，以保证审核人日满足本条要求。 G.2.3.3 服务种类增加所需审核时间 Tz

38、服务种类增加所需审核时间 Tz 为每增加一个服务种类需要增加的审核时间。ITSMS认证业务范围中的每个中类即为一个服务种类，见本文件附录 A。 Tz按式（ 2）计算，单位为人日： Tz = (Lz 1) 0.75 (2) 式中： Lz 服务种类（中类）数量。示例：客户所申请的认证范围涉及的服务种类（中类）为信息系统咨询规划（ 01.01）及信息系统硬件设计、开发服务（ 01.02）两个中类，则 T 服务种类增加所需审核时间所需要增加的审核时间为 (2 1) 0.75 人日，共计增加 0.75 人日。 G.2.3.4 体系复杂度影响所需审核时间 Tf 体系复杂度影

39、响所需审核时间 Tf为基于 ITSMS复杂程度需要增加的审核时间。本文件附录 C给出了 ITSMS复杂度及其对审核时间的影响分析指南。认证机构可以根据该指南对 ITSMS 复杂度及其对审核时间的影响进行计算，测算出由 ITSMS复杂程度影响所需要增加的审核时间，认证机构也可以以其他合理方式对 ITSMS复杂程度进行计算，并测算出 ITSMS复杂程度所影响的审核时间。该测算方法应在审核方案中予以记录。确定 Tf时，应对认证范围内的多场所数量及临时服务点数量予以考虑。 G.3 中给出了认证机构对于多场所及服务点的抽样方式，认证机构在进行多场所及服务点审核时，可以考虑使

40、用 G.3中的方式进行抽样审核。每一个多场所应安排至少 1人日的审核时间，每个临时服务点应至少安排 0.25 审核人日时间。 G.2.3.5 其他考虑 G.2.3.5.1 在认证审核过程中，工作语言超过一种的（需要翻译或影响审核员个人独立工作）宜增加初次认证审核时间 Tc中审核时间的 20%-30%。 G.2.3.5.2 本公式中确定的初次认证审核时间不包括审核员的旅途时间。 G.2.3.5.3 认证机构如果使用了远程审核技术（例如，交互式基于 web 的协作、web 会议、电话会议和 /或组织过程的电子验证），这些活动宜在审核计划中加以识别，可以考虑将其作为审核时间的一部分。如果认证

展开阅读全文