1、 2013 年 12月 01日 发布 2013年 12月 01日 实施 CNAS-SC175 信息技术服务管理体系认证机构认可方案 Accreditation scheme for bodies providing audit and certification of information technology service management systems 中国合格评定国家认可委员会 CNAS-SC175:2013 第 2 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 目 次 前 言 3 1 范围 4 2 规范性引用文件 . 4 3 术语和定
2、义 4 4 ITSMS认证机构认可规范的构成. 5 R1 认可申请 . 5 R2 预访问 6 R3 初次认可的见证评审 . 6 R4 认证业务范围的认可 . 6 R5 其他 7 C1 已认可的 ITSMS认证的转换(CNAS-CC01 条款 9.1.1) 7 G1 ITSMS认证范围界定指南 8 G2 ITSMS审核时间确定指南 8 G3 多场所组织及其服务点的抽样 10 附录 A(资料性附录)ITSMS初次认证审核基本审核时间的测算 13 附录 B(资料性附录)ITSMS复杂度及其对审核时间的影响分析 15 CNAS-SC175:2013 第 3 页 共 16 页 2013 年 12月 01
3、日 发布 2013年 12月 01日 实施 前 言 本文件由中国合格评定国家认可委员会(CNAS)制定。 本文件是 CNAS 对信息技术服务管理体系(ITSMS)认证机构提出的特定要求 和指南, 并与相关认可规则和认可准则共同用于 CNAS 对 ITSMS认证机构的认可。 本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议。 本文件 2013年首次发布。 CNAS-SC175:2013 第 4 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 信息技术服务管理体系认证机构认可方案 1 范围 1.1 为确保中国合格评定国家认可委员会(CNAS
4、)对实施 GB/T 24405.1信息技 术 服务管理 第 1部分:服务管理体系要求 (ISO/IEC 20000-1, IDT)认证的信息 技术服务管理体系(ITSMS)认证机构实施评审和认可的一致性,指导申请和获得认 可的 ITSMS认证机构理解和实施认可规范要求,特制定本文件。 1.2 本文件包括对 ITSMS认证机构认可规范的补充和指南, 适用于 CNAS对 ITSMS 认证机构的认可。 本文件 R部分和 C部分分别是对相关认可规则和认可准则的补充。本文件 G 部 分是对相关认可准则的应用指南。 2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文
5、件,仅该版本适用于本文件;未注明日期的引用文件,其最新版本(包括任何修订) 适用于本文件。 CNAS-RC01 认证机构认可规则 CNAS-CC01 管理体系认证机构要求 CNAS-CC175 信息技术服务管理体系认证机构要求 CNAS-CC12 已认可的管理体系认证的转换 3 术语和定义 GB/T 190002008和 GB/T 270002006中的术语和定义以及下列术语和定义 适用于本文件。 3.1 认证业务范围:认证机构的 ITSMS认证活动涉及的技术领域。 注:CNAS-CC175 信息技术服务管理体系认证机构要求附录 A 给出了 ITSMS 认证的技术领域。 3.2 能力:应用知识
6、和技能实现预期结果的本领。 3.3 技术领域:以 ITSMS相关过程的共性为特征的领域。 3.4 专业能力:能够应用特定技术领域的知识实现预期结果的本领。 3.5 场所:客户组织实施活动或提供服务的永久性地点。 CNAS-SC175:2013 第 5 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 3.6 多场所组织:客户组织有一个确定的中心职能机构(以下称作中心办公室,但 不一定是客户组织的总部)来策划、控制或管理某些活动,并且有一个由地方办公室 或分支(即场所)组成的网络来实施(或部分实施)这些活动。 注:客户组织的多场所可以是多个法律实体,例如流程
7、的外包商。 3.7 服务点:在服务级别协议(SLA)有效期内客户组织进行特定工作或服务的地 点,不在客户组织的物理范围内。例如驻场服务的客户现场等。 4 ITSMS认证机构认可规范的构成 4.1 主要规则和准则: CNAS-RC01认证机构认可规则是 ITSMS认证机构认可活动的基本程序规 则; CNAS-CC01管理体系认证机构要求是 ITSMS认证机构的基本认可准则; CNAS-CC175信息技术服务管理体系认证机构要求是 ITSMS认证机构的专 用认可准则。 4.2 其他适用的认可规则包括: a) CNAS-R01认可标识和认可状态声明管理规则 ; b) CNAS-R02公正性和保密规则
8、 ; c) CNAS-R03申诉、投诉和争议处理规则 ; d) CNAS-RC02认证机构认可资格处理规则 ; e) CNAS-RC03认证机构信息通报规则 ; f) CNAS-RC04认证机构认可收费管理规则 ; g) CNAS-RC05多场所认证机构认可规则 ; h) CNAS-RC07具有境外关键场所的认证机构认可规则 。 4.3 其他适用的认可准则包括: a) CNAS-CC12已认可的管理体系认证的转换 ; b) CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用 。 R 部分 R1 认可申请 在中华人民共和国境内从事 ITSMS认证活动的认证机构申请认可的(以下称
9、为 “申请方” ) ,应具备 CNAS-RC01 条款 5.1.1规定的基本条件以及下列条件: a) ITSMS认证活动已被国家认监委批准; b) 已按照 CNAS-CC01 和 CNAS-CC175 建立了管理体系,且运行时间不少于 6个月(如已获 CNAS 信息安全管理体系认证机构认可,则运行时间不少于CNAS-SC175:2013 第 6 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 3个月) 。 申请方应提供 CNAS-RC01 条款 5.1.2规定的申请文件以及下列文件和信息: 1) ITSMS认证活动国家认监委批准文件复印件; 2) 已审核
10、过的客户组织名单(对应到认证业务范围相应大类) ; 3) 自申请时间起 6个月内计划实施的审核项目清单(对应到认证业务范围 相应大类) ; 4) 需要时,CNAS 要求的其他信息。 R2 预访问 必要时, CNAS 可在受理申请过程中安排预访问,以了解申请方是否已满足认可 申请条件,以及是否基本具备接受认可评审的条件。 R3 初次认可的见证评审 CNAS 结合申请方 ITSMS认证活动的范围、规模和风险水平确定初次认可的见 证评审安排,通常情况下进行不少于两次见证评审。 R4 认证业务范围的认可 R4.1 CNAS 通过对 ITSMS认证机构的认证业务范围(见 CNAS-CC175 附录 A)
11、 进行认可来确定该机构的认可范围。CNAS 按认证业务范围的大类进行认可。CNAS 认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类, 且系统运 行基本有效。为此,认证机构应满足以下条件: a) 对该大类进行了适宜、有效的能力需求分析; b) 根据该大类的能力需求分析,以适宜、有效的方式确定了能力分析和评价系 统的相关组成部分(例如技术领域、能力准则等) ; c) 能力分析和评价系统在与该大类有关的认证活动中有效地发挥了作用。 CNAS 按申请认可的每个大类评价认证机构是否满足以上条件, 并根据认证机构 ITSMS认证活动的范围、规模、风险水平和绩效对其认证业务范围大类实施见证
12、评 审。通常情况下,初次认可至少选取 2个、复评至少选取 1个申请或已获认可的认证 业务范围大类实施见证评审; 每次监督评审至少选取 1个申请或已获认可的认证业务 范围大类实施监督评审; 扩大认可范围评审视情况确定需见证评审的认证业务范围的 数量。 R4.2 CNAS 对某一大类的认可,仅表明 CNAS 基于评审认为,认证机构的能力分 析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力,并不表明 CNAS 认为认证机构已经具备了在该大类实施认证活动所需的全部能力, 在该大类的 每次认证活动都有效,也不意味着 CNAS 批准认证机构可以对该大类的任何客户组 织实施认证。因此,认证机构应
13、确保运用能力分析和评价系统为该大类的每次认证活 动配备所需的全部能力。 CNAS-SC175:2013 第 7 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 R5 其他 R5.1 CNAS 对 ITSMS体系认证机构认可标识的管理遵循 CNAS-R01 认可标识和 认可状态声明管理规则相关要求。获得 CNAS 认可的 ITSMS认证机构不得针对 ITSMS认证使用 IAF-MLA/CNAS联合标识。 ITSMS体系认证机构认可标识的式样: 体系认证 CNAS-CXXX-ITS 其中“C”代表认证机构认可,“XXX”为认可流水号,“ITS”为 ITSMS
14、的认 证领域代码。 R5.2 CNAS-RC03 条款 5.1.2中“获得认证的组织或产品发生重大事故”是指获得 ITSMS认证的客户组织发生具有下列之一影响的服务质量事故: a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证客户组织及其相 关方的合法权益; b) 可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连 带责任。 发生上述情况时,颁证机构应及时采取相应措施并向 CNAS 通报相关情况。 R5.3 如果 CNAS 可能需要在评审中接触认证机构的客户组织的相关信息,认证机 构应向相关客户组织询问是否同意 CNAS 接触这些信息。如果客户组织同意,认证
15、 机构应识别 CNAS 接触这些信息时须满足的所有要求,并告知 CNAS。如果客户组 织不同意或 CNAS 无法满足相关要求,CNAS 将根据评审所受的影响采取相应的措 施。 C 部分 C1 已认可的 ITSMS认证的转换(CNAS-CC01 条款 9.1.1) 认证机构仅应根据 CNAS-CC12对 CNAS认可的其他认证机构颁发的 ITSMS认 证实施转换。除此以外的其他情况应按照初次认证对待。此时,认证机构若要考虑客 户组织以往所获的 ITSMS认证,应满足 CNAS-CC01 条款 9.1.1的要求。 G部分 CNAS-SC175:2013 第 8 页 共 16 页 2013 年 12
16、月 01日 发布 2013年 12月 01日 实施 G1 ITSMS认证范围界定指南 ITSMS认证范围宜基于服务提供者对其 ITSMS范围的描述界定。ISO/IEC TR 20000-3 建议服务提供者通过下列参数描述其 ITSMS的范围: a) 提供服务的组织单元,例如单个部门、一组部门或所有部门; b) 所提供的服务,例如单个服务,一组服务或所有服务;或金融服务、零售服 务、电子邮件服务; c) 服务提供者交付服务的物理场所,例如单一办公场所、一组办公场所、区域 的、全国的或全球的; d) 顾客及其地点,例如一个顾客、多个顾客、外部顾客或内部顾客; e) 服务提供所使用的技术。 ITSM
17、S范围的描述不能包括有助于服务交付的其他方的名称。 ITSMS范围描述示例: 中文: “服务提供者的组织单元的名称 从 地理位置 向 顾客的组织和 (或)组织单元的名称 交付 服务 的服务管理体系” 英文:“The service management system of name of service provider organizational unit that delivers service(s) to customer organizational name and/or name of organizational unit from geographical location
18、” G2 ITSMS审核时间确定指南 G2.1 概述 对于每一个申请 ITSMS认证的客户组织, 认证机构需要确定初次认证审核 (含 一、二阶段) 、监督审核和再认证审核所需要的审核时间。本条旨在建立一套科学 合理的审核时间确定方法,确保各认证机构在确定审核时间上保持一致。在此基础 上,本条提倡认证机构根据客户组织的 ITSMS 范围所涉及的服务活动种类、客户 组织规模以及业务的复杂程度等信息对审核时间进行调整。经验表明,除了根据认 证审核流程确定的基本审核时间外,客户组织 ITSMS 范围涉及的物理场所的分布 情况、客户组织的规模、业务的复杂程度、所提供的服务种类、服务点的数量及其 分布等基
19、本情况对认证机构在核定审核活动所需的审核时间也均有着很大影响。 G2.2 审核时间的确定 在进行初次认证审核时间确定时,认证机构应根据 G2.3.1 中的计算公式对审 核时间进行计算。G2.3.1中公式内的基本审核时间 T j 为进行 ITSMS认证审核的最 少审核人日。认证机构在执行 ITSMS 认证审核时所用的时间不得低于基本审核时 间 T j 中规定的审核人日。G2.3.1 中公式同时包含服务种类增加所需审核时间 T z 及 体系复杂度影响所需审核时间 T f 两个时间变量要素。需要增加时间变量要素时,认CNAS-SC175:2013 第 9 页 共 16 页 2013 年 12月 01
20、日 发布 2013年 12月 01日 实施 证机构需在审核方案中予以记录,并给出审核时间增加的理由。 G2.3 初次认证审核时间的计算 G2.3.1 初次认证审核时间 T c初次认证审核时间包含审核组初次认证审核 (含第一阶段审核、 第二阶段审核) 所需的全部审核时间,其中包括接触客户组织、人员、记录、文件、过程和书写计 划及报告所用的时间。不包含审核员的旅途时间。 初次认证审核时间按式(1)计算: T c= T j+ T z+ T f (1)式中: T c 初次认证审核时间; T j 基本审核时间; T z 服务种类增加所需审核时间; T f 体系复杂度影响所需审核时间。 G2.3.2 基本
21、审核时间 T j基本审核时间 T j 为初次认证审核所需的基本时间,基于以下条件所确定: a) 客户组织物理场所为单一场所; b) 客户组织所申请的ITSMS认证范围仅涵盖ITSMS认证业务范围的一个中类; c) 客户组织 ITSMS体系覆盖人数少于 50 人; d) 客户组织 ITSMS体系覆盖内的 SLA数量少于 10 个; e) 客户组织 ITSMS体系覆盖内的供应商数量少于 5个。 基本审核时间为 8 人日,其测算参见本文件附录 A。当客户组织认证范围超出 以上基本限制条件时, 认证机构应通过对服务种类增加所需审核时间 T z 及体系复杂 度影响所需审核时间 T f 进行增加调整,以保
22、证审核人日满足本条要求。 G2.3.3 服务种类增加所需审核时间 T z服务种类增加所需审核时间 T z 为每增加一个服务种类需要增加的审核时间。 ITSMS认证业务范围中的每个中类即为一个服务种类,见 CNAS-CC175 附录 A。 T z 按式(2)计算,单位为人日: T z= (L z 1) 0.75 (2) 式中: Lz 服务种类(中类)数量。 示例:客户组织所申请的认证范围涉及的服务种类(中类)为信息系统咨询规 划(01.01)及信息系统硬件设计、开发服务(01.02)两个中类,则 T 服务种类增 加所需审核时间所需要增加的审核时间为(2 1) 0.75 人日, 共计增加 0.75
23、 人日。 G2.3.4 体系复杂度影响所需审核时间 T f体系复杂度影响所需审核时间 T f 为基于ITSMS复杂程度需要增加的审核时间。 本文件附录 B 给出了 ITSMS 复杂度及其对审核时间的影响分析指南。认证机构可CNAS-SC175:2013 第 10 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 以根据该指南对 ITSMS 复杂度及其对审核时间的影响进行计算,测算出由 ITSMS 复杂程度影响所需要增加的审核时间,认证机构也可以以其他合理方式对 ITSMS 复杂程度进行计算,并测算出 ITSMS 复杂程度所影响的审核时间。该测算方法应 在审
24、核方案中予以记录。 确定 T f 时,应对认证范围内的多场所数量及临时服务点数量予以考虑。 G3 中给出了认证机构对于多场所及服务点的抽样方式,认证机构在进行多场 所及服务点审核时,可以考虑使用 G3 中的方式进行抽样审核。每一个多场所应安 排至少 1人日的审核时间,每个临时服务点应至少安排 0.25 审核人日时间。 G2.3.5 其他考虑 G2.3.5.1 在认证审核过程中,工作语言超过一种的(需要翻译或影响审核员个人 独立工作)宜增加初次认证审核时间 T c 中审核时间的 20%-30%。 G2.3.5.2 本公式中确定的初次认证审核时间不包括审核员的旅途时间。 G2.3.5.3 认证机构
25、如果使用了远程审核技术(例如,交互式基于 web 的协作、 web 会议、电话会议和/或组织过程的电子验证) ,这些活动宜在审核计划中加以识 别,可以考虑将其作为审核时间的一部分。 如果认证机构审核计划中远程审核活动占据大于 30%的现场审核时间 注 1 , 认证 机构宜确定审核计划的适当性,并在实施前得到认可机构的特殊批准。 注 1 :现场审核时间是指单独场所的现场审核时间。远程场所的电子审核被视为远 程审核,即使电子审核在组织的物理场所进行。 G2.4 监督审核及再认证审核时间 对客户组织的监督审核时间宜与初次认证审核审核时间成比例,每年用于监督 审核的时间总量应不低于初次认证审核审核总时
26、间的 40%, 再认证审核的时间总量 应不低于初次认证审核审核总时间的 70%。 认证机构宜适时地核查其所策划的监督 审核时间,以考虑客户组织的变更及 ITSMS 的成熟度等,至少宜在再认证审核时 进行核查。 G3 多场所组织及其服务点的抽样 G3.1 多场所抽样的条件 当客户组织拥有满足以下条件的多个场所时,认证机构可以考虑使用基于抽样 的方法进行多场所抽样审核: a) 所有场所都应在同一 ITSMS控制下运行,接受统一的管理; b) 所有的场所执行相同的 ITSMS流程,且所有的场所相互之间相对独立,不存 在相互关联的过程; c) 所有的场所都应包含在组织的 ITSMS内部审核方案中, 且
27、在内部审核方案范 围内对所有场所进行内部审核; d) 所有的场所都应包含在客户组织的 ITSMS管理评审方案中; CNAS-SC175:2013 第 11 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 e) 客户组织对所有场所具有资源管理权力,可以收集所有场所的数据并要求其 执行统一的 ITSMS管理措施。 G3.2 服务点抽样的条件 一般情况下服务点不在认证范围内,当认证机构和客户组织协商一致时,多场 所认证的范围也可以包括服务点。如果认证范围包括服务点,应注明该场所是服务 点。 当客户组织拥有满足以下条件的多个服务点时,认证机构可以考虑使用基于抽
28、样的方法对服务点进行审核: a) 场所内的工作人员应为客户组织的员工或与客户组织具有合同关系的外包人 员; b) 所有场所的工作人员均在同一个 ITSMS下进行管理, 客户组织对人员具有分 配和调配的权力,有权要求场所内提供服务的工作人员提供工作量和工作质 量的数据; c) 客户组织在所有的场所提供的服务和活动的变动,或场所的成立和撤销不影 响客户组织的 ITSMS运行的完整性; d) 所有的场所都包含在客户组织的 ITSMS内部审核方案中。 G3.3 抽样的考虑 认证机构在使用基于抽样的方法时,宜具备程序以确保: a) 在初次的合同评审中,最大程度地识别场所之间的差异,以便确定适宜的抽 样水
29、平; b) 结合以下因素抽取具有代表性的场所: 1) 内部审核的结果, 2) 管理评审的结果, 3) 场所规模的差异, 4) 场所业务目的的差异, 5) 实施管理体系方面的差异, 6) 工作方式的差异, 7) 所实施活动的差异, 8) 任何不同的法律、法规要求; c) 除上述因素外在服务点的抽样过程中应考虑业务类型和服务方式的差异; d) 从客户组织的 ITSMS范围内的所有场所中选择具有代表性的样本, 该选择宜 基于上述 b)中所列因素以及随机因素所作出的判断; e) 多场所抽样应保证覆盖 GB/T 24405.1中的 13 个管理流程; f) 同一流程的不同部分在多个场所实施时,这些场所不
30、参与抽样; g) 所有的场所都应在认证范围内,需要补充的在审核范围内的其他场所不在此 抽样范围内; CNAS-SC175:2013 第 12 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 h) 根据上述要求, 设计监督审核方案时考虑客户组织 ITSMS认证范围内有代表 性的场所业务范围; i) 无论是在任何一个场所内发现不符合,纠正措施的实施适用于包括在认证范 围内的总部和所有场所(适用时) ; j) 确定所有场所的活动都在同一管理体系之下,该管理体系确实覆盖了所有场 所,以及 G3.1和 G3.2 中规定的所有条件都得到了满足。 G3.4 抽样方法
31、认证机构应建立多场所和服务点的抽样方法,以确保: a) 抽样审核的结果可以满足证明其 ITSMS的适宜性、充分性和有效性,并具有 在抽样无法满足上述要求时的应对措施; b) 体现抽样样本的代表性和随机性; c) 在多场所抽样时,初次认证审核抽样样本量通常不低于同种类样本总量的平 方根;监督审核抽样样本量通常不低于同种类样本总量平方根的 0.6倍,再 认证审核抽样样本量通常不低于同种类样本总量平方根的 0.8倍; d) 对服务点抽样时,样本覆盖认证范围内的所有业务类型,且应考虑同种业务 类型的服务点的服务复杂程度; e) 对服务点抽样时,初次认证审核抽样样本量通常不低于同种类样本总量的平 方根,
32、监督审核抽样样本量通常不低于同种类样本总量平方根的 0.6倍,再 认证审核抽样样本量通常不低于同种类样本总量平方根的 0.8倍。当有合理 理由时,可适当降低样本量。 CNAS-SC175:2013 第 13 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 附录 A(资料性附录) ITSMS初次认证审核基本审核时间的测算 表 A.1给出了 ITSMS初次认证审核基本审核时间的测算方法, 并不作为审核计 划编制及审核指南要求。经验表明,在进行 ITSMS 认证审核时,认证机构可以采 用过程审核方法对 ITSMS进行体系认证审核。 表 A.1中的审核过程为认证
33、机构在进行 ITSMS认证审核时, 所需进行的全部审 核内容(审核条款) ,根据经验表明,表 A.1 中为每个审核过程进行了相应的审核 时间分配,认证机构在制定审核计划时可以参考此表中所列审核过程。 表 A.1 ITSMS初次认证审核基本审核时间的测算 序号 审核过程 审核场所 审核时间(人日) 一阶段审核 1. 编制一阶段审核计划 非现场 0.19 2. 客户组织管理体系文件审核 非现场/现场 1 3. 首次会议 现场 0.07 4. 评价受客户组织运作场所和现场的具体情况, 收集关于客 户组织的管理体系范围、过程和场所的必要信息 现场 0.07 5. 审查客户组织理解和实施标准要求的情况,
34、 特别是对管理 体系的关键绩效或重要的因素、过程、目标和运作的识别 情况 现场 0.13 6. 评价客户组织是否策划和实施了内部审核与管理评审, 以 及管理体系的实施程度能否证明客户组织已为第二阶段 审核做好准备 现场 0.13 7. 收集与客户组织相关的法律法规要求和遵守情况 现场 0.1 8. 审查客户组织第二阶段审核所需资源的配置情况, 并与客 户组织商定第二阶段审核细节 现场 0.1 9. 结合可能的重要因素充分了解客户组织的 ITSMS 和现场 运作,以便为策划第二阶段审核提供关注点 现场 0.13 10. 与客户组织进行一阶段审核问题沟通 现场 0.13 11. 末次会议 现场 0
35、.07 12. 编制一阶段审核报告 非现场/现场 0.19 二阶段审核 13. 编制二阶段审核计划 非现场 0.26 CNAS-SC175:2013 第 14 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 序号 审核过程 审核场所 审核时间(人日) 14. 首次会议 现场 0.07 15. ITSMS 4.1 管理职责 现场 0.07 16. ITSMS 4.2 其他方运行过程的治理 现场 0.1 17. ITSMS 4.3 文件管理 现场 0.1 18. ITSMS 4.4 资源管理 现场 0.1 19. ITSMS 4.5 建立和改进服务管理体系
36、现场 0.32 20. ITSMS 5 设计和转换新的或变更的服务 现场 0.32 21. ITSMS 6.1 服务级别管理 现场 0.39 22. ITSMS 6.2 服务报告 现场 0.26 23. ITSMS 6.3 服务的连续性和可用性管理 现场 0.32 24. ITSMS 6.4 服务的预算和核算 现场 0.19 25. ITSMS 6.5 能力管理 现场 0.31 26. ITSMS 6.6 信息安全 现场 0.39 27. ITSMS 7.1 业务关系管理 现场 0.27 28. ITSMS 7.2 供应商管理 现场 0.27 29. ITSMS 8.1 事件和服务请求管理 现
37、场 0.39 30. ITSMS 8.2 问题管理 现场 0.27 31. ITSMS 9.1 配置管理 现场 0.27 32. ITSMS 9.2 变更管理 现场 0.31 33. ITSMS 9.3 发布和部署管理 现场 0.27 34. 与客户组织进行二阶段审核问题沟通 现场 0.13 35. 末次会议 现场 0.06 36. 编制二阶段审核报告 现场/非现场 0.25 总计 8 注:表 A.1 中的“审核时间”总计 8 人日。1 人日按照一个完整的正常工作时间计 算,通常为 8 小时。 CNAS-SC175:2013 第 15 页 共 16 页 2013 年 12月 01日 发布 20
38、13年 12月 01日 实施 附录 B(资料性附录) ITSMS复杂度及其对审核时间的影响分析 在审核时间确定过程中,认证机构需要考虑 ITSMS 的复杂度对审核时间的影 响。 给出 ITSMS复杂度的分析方法有助于确定: a) 认证机构在进行 ITSMS审核过程中承担的风险和责任; b) ITSMS审核时间; c) ITSMS审核员的能力要求。 影响 ITSMS复杂度的因素很多,每种因素对 ITSMS复杂度的影响程度也不一 样。为此,本附录提供了计算 ITSMS 复杂度值 A 和确定体系复杂度影响所需审核 时间 T f 的方法。 B.1 ITSMS复杂度的影响因素 表 B.1 给出了一般情况
39、下 ITSMS 复杂度的影响因素,按每种影响因素的取值 范围或等级赋予该因素一个影响值 a, 并根据每种影响因素对 ITSMS复杂度的影响 程度给出该影响因素的权重 W。 对于特定的 ITSMS,认证机构可以根据实际情况对表 B.1进行必要的调整,例 如增加适用的影响因素。认证机构在对特定的 ITSMS 增加其他因素时,宜考虑获 取该因素真实数据的难易程度。 表B.1 ITSMS复杂度影响因素 影响因素 影响值 a 序 号 名称 权重 W 1.0 2.0 3.0 4.0 5.0 影响因素的取值范围或等级 1 人员数量 25% 50 51-150 151-500 501-1000 1000 2
40、SLA 的数量 25% 10 11-50 51-100 101-200 200 3 供应商数量 15% 5 6-15 16-30 31-50 50 4 与服务相关的风险 注135% 低 中低 中 中高 高 注 1:与服务相关的风险等级分为:低、中低、中、中高、高。各认证机构可以根据具体 ITSMS 认证审核情况,选择服务相关的风险等级,与服务相关的风险等级的确定宜从服务失效 或违反法律法规产生的影响来考虑,具体可能涉及如下几个方面: a) 客户组织的企业性质; b) 被认证服务在服务提供过程中适用的法律法规要求的强度和复杂度; c) 被认证服务遵照的 SLAs要求的强度和复杂度。 服务失效的风
41、险等级可以先由客户组织评估和声明,再进行检查和证实,必要时对其进行 修正。 CNAS-SC175:2013 第 16 页 共 16 页 2013 年 12月 01日 发布 2013年 12月 01日 实施 B.2 ITSMS复杂度值 A的计算 ITSMS复杂度值 A按式(B.1)计算: n ii i=1 A= a W (B.1) 式中: A ITSMS复杂度值; a i 第 i个 ITSMS 复杂度影响因素的分值; W i 第 i个 ITSMS复杂度影响因素的权重; i ITSMS复杂度影响因素的序号; n ITSMS复杂度影响因素的数量,按表 B.1计算时为 4。 B.3 体系复杂度影响所需
42、审核时间 T f 的确定 在计算出 ITSMS复杂度值 A后,表 B.2给出了 A值的不同区间所对应的体系 复杂度影响所需审核时间 T f 。如果认证机构针对特定的 ITSMS 对表 B.1 进行了调 整,可能也需要对表 B.2进行相应的调整。 表B.2 ITSMS复杂度值 A对应的体系复杂度影响所需审核时间 T fITSMS复杂度值 A 取值范围 体系复杂度影 响所需审核时 间 T f (人日) 参考资料: 根据表 B.1计算时 A的所有可能的取值 A = 1.0 0 1.0 1.0A 1.1 0.25 1.05 / 1.10 1.1A 1.2 0.5 1.15 / 1.20 1.2A 1.
43、4 1.0 1.25 / 1.30 / 1.35 / 1.40 1.4A1.7 1.5 1.45 / 1.50 / 1.55 / 1.60 / 1.65 1.7 A 1.9 2.0 1.70 / 1.75 / 1.80 / 1.85 / 1.90 1.9A 2.2 2.5 1.95 / 2.00 / 2.05 / 2.10 / 2.15 / 2.20 2.2A2.6 3.0 2.25 / 2.30 / 2.35 / 2.40 / 2.45 / 2.50 / 2.55 / 2.6 A3.0 3.5 2.60 / 2.65 / 2.70 / 2.75 / 2.80 / 2.85 / 2.90 /
44、2.95 / 3.0 A 3.4 4.0 3.00 / 3.05 / 3.10 / 3.15 / 3.20 / 3.25 / 3.30 / 3.35 / 3.40 3.4A 3.9 4.5 3.45 / 3.50 / 3.55 / 3.60 / 3.65 / 3.70 / 3.75 / 3.80 / 3.85 / 3.90 3.9A4.6 5.0 3.95 / 4.00 / 4.05 / 4.10/ 4.15 / 4.20 / 4.25 / 4.30 / 4.35 / 4.40 / 4.45 / 4.50 / 4.55 4.6 A 5.0 5.5 4.60 / 4.65 / 4.70 / 4.75 / 4.80 / 4.85 / 4.90 / 4.95 / 5.00