1.目的

为确保华凯提供信息技术服务管理体系（英文缩写 ITSMS，下同）认证过程的有效性，本文件规定了开展信息技术服务管理体系认证的基本过程和特定要求。

2.适用范围

本文件适用于信息技术服务管理体系认证过程管理，仅包括 CNAS-CC175:2017(IDT ISO/IEC 20000-6:2017)及CNAS-SC175:2015 的特殊要求，对于 ISO17021 的通用要求已在 HIC-UD-01~15 程序中说明，此处不再详述。

3.职责

3.1 市场部门负责客户接洽、市场开发与合同接收、签订，负责认证证书发送和回收过程中的联络。

3.2 技委会负责组织合同评审；负责审核资料的跟踪、验收与归档管理和组织审核资 料认证决定的评定；以及向 CNAS/IAS 报送与认证有关的信息；负责对认证实施过程的监控。 负责对审核和认证人员的能力评定。

3.3 审核部负责编制审核方案，进行审核准备，组成审核组实施现场审核，和对审核过 程的监督与控制；负责对审核人员的管理。

3.4 客服部、技委会负责获证客户的注册管理。

3.5 合同评审人员和审核方案管理人员在进行人员评定时统称为项目管理人员。

3.6 管理部负责认证证书的制作。

3.7 总经理负责认证证书的签发和认证注册资格（包括授予、保持、更新、扩大、缩小、 暂停和撤销认证）的批准。

4. 程序和要求

4.1 认证人员能力评价

4.1.1 基本要求:按照以下原则分别对各类人员的能力进行初始评价、初始测试、能力监控与评价，能 力定期测试与评价，并保持评价记录。认证审核员、认证管理人员能力评价结果需经 由领导批准后方可在系统上录入。

4.1.2 认证通用知识和技能见附录 B 所要求的知识和技能。

4.1.3 认证人员能力初始评价

4.1.3.1 认证人员初始能力评价

a. 所有认证人员的知识和能力要求、特定技能要求等，须满足 ISO/IEC 17021：2015《管理体系审核要求》（CNAS-CC01：2015）、《信息技术服务管理体系认证机构要求》（CNAS-CC175-2017）、本程序条款要求。

b. 由管理部根据初始能力评价准则进行初始能力评价前的人事确认并记录，记录包括 被评价人的教育、工作、培训、审核（咨询）的相关信息，填写《认证人员登记表》、《审核经历汇总表》(审核员专用）以获取其知识和技能的证据，使对其能力有基本了解；《认证人员登记表》内容尽可能详细、充分、以便于识别被评价人员所具有的知识和技能；

c. 管理部应在招聘人员入职时进行基本的面试考察，以了解其过去的工作经历知识和技能的情况；将面试情况记录在《管理体系认证人员面试报告》中，必要时对记录中相关信息进行验证、澄清和确认；

d. 技术委员会获得管理部的上述有关材料记录后，组织评价人员根据本程序规定的评 价准则、《信息技术服务管理体系专业技术领域分析》对审核员进行初始能力评价， 将评价结果填写在《认证人员专业能力评价表》中。

e. 技委会对批准评价合格的认证人员分别建档编制最新评价结果和注册状态，之后准备进入认证人员初始能力测试程序（见 4.1.3.2）。

4.1.3.2 认证人员初始能力测试

4.1.3.2.1 审核员/技术专家的初始能力测试

a. 技委会根据 4.1.3.1.d 的《认证人员专业能力评价表》所输出的认证业务范围（对 应的技术领域），依据《信息技术服务管理体系专业技术领域分析》中有关的知识内容编制并提供一份《审核员认证管理人员专业能力测试表》做测试，并交回技委会。经技委会评价，管理者代表审批，审定符合要求报总经理批准即认定该审核员能力合格可安排其参加审核。如测试结果为不合格的，则需要对该工作岗位进行特定知识和技能的专项培训并再考核合格后方可参加审核。

b. 级别审核员首次参加华凯审核，需由具有组长资格的人员进行见证，并填写《机构内部新入职审核员初始能力见证评价报告》。见证不合格者需重新安排见证或经专项培训考核合格后方可正式执行审核任务。CCAA 见证可替代首次见证。特殊情况由审核部负责人批准。

4.1.3.2.2 项目管理员（申请/合同评审人员、计划/方案管理人员）的初始能力测试

a. 纳入《认证人员一览表》备案的项目管理人员，由技委会依据《信息技术服务管理体系专业技术领域分析》中有关的知识内容编制并提供一份《审核员认证管理人员专业能力测试表》做测试，并交回技委会。经技委会评价，管理者代表审批，审定符合要求报总经理批准即认定该项目管理员具备相应专业能力。如评价、测试结果为不合格的，则需要对该工作岗位进行特定知识和技能的专项培训并再考核合格后 方可上岗。

4.1.3.2.3 报告检查/认证决定人员的初始能力测试

a. 纳入《认证人员一览表》备案的报告检查/认证决定人员，技委会根据 4.1.3.1.d的《认证人员专业能力评价表》所输出的认证业务范围（对应的技术领域），依据《信息技术服务管理体系专业技术领域分析》中有关的知识内容编制并提供一份《审核员认证管理人员专业能力测试表》做测试，并交回技委会。经技委会评价，管理者代表审批，审定符合要求报总经理批准即认定该报告检查/认证决定人员具 备相应专业能力。如评价、测试结果为不合格的，则需要对该工作岗位进行特定知识和技能的专项培训并再考核合格后方可上岗。

4.1.3.2.4 能力评价人员的初始能力测试

a. 纳入《认证人员一览表》备案的能力评价人员，由管理者代表依据《信息技术服务 管理体系专业技术领域分析》中有关的知识内容编制并提供一份《审核员认证管理人员专业能力测试表》做测试，并交回技委会。经技委会评价，管理者代表审批，审定符合要求报总经理批准即认定该能力评价人员具备相应专业能力。如评价、测试结果为不合格的，则需要对该工作岗位进行特定知识和技能的专项培训并再考核合格后方可上岗。

4.1.4 认证人员工作过程中的能力监控与评价

4.1.4.1 工作过程中能力监控评价是通过在认证人员日常实际工作、审核中的能力表现 予以多方式的证实其能力是否得到保持。

4.1.4.2 对审核项目中审核员（含实习审核员）、技术专家的审核工作的专业能力和合规性的过程监控评价。于每一个审核项目中，由审核组长现场按照规定的考察项目实施并记录在《机构内部审核员见证评审报告》中。如现场表现见证评价结果出现一项为“较差”或“差”的，则需要对该审核人员进行补充培训及考核。

4.1.4.3 委托客户对审核组成员的工作表现及能力的过程监控评价。所有的认证审核项 目结束后，在客户获证后由客服人员与认证组织联系，提供一份《认证组织满意度调查表》（评价对象为公司的项目管理人员及本次审核的审核组各成员），请获证组织在对公司信息沟通、审核组成员在审核工作的专业性、工作能力和合规性、服务质量等进行评定。客服部收回调查评价表后进行统计分析，对评价不合格的当事人，应视为客户投诉处理，按照相关程序要求进行处理。

4.1.5 认证人员的能力定期测试及评价

4.1.5.1审核员的年度见证考核

公司根据审核人员使用频率和活动的风险水平，策划审核人员的见证频率，具体见《审核人员管理办法》。

4.1.5.2 对关键岗位人员（项目管理人员、认证决定人员、能力评价人员）的能力进行年度确认每年 1-2 月技委会、审核部组成评价组，按照《认证管理人员专业能力评价表》对关键岗位人员进行考评。对测试不合格的关键岗位人员，技委会将撤销其相应的技术领域中的业务代码范围。

4.1.6 审核员初次担任组长的能力评价

4.1.6.1 级别审核员初次担任组长的，需要对其组长资格的能力进行一次见证评价。申 请人需填写《审核员见证申请表》，经在审核任务批准后由审核部安排见习组长作为审核 组的组长开展审核。现场见证人员为具有注册审核员资格及组长资格的审核人员。现 场见证后见证员填写《机构内部审核组长见证评价报告》。

4.1.6.2 级别审核员的组长资格的能力见证原则为一次见证，对见证结论最终意见为 不合格的，需提出申请再次见证直至见证结论最终意见为合格，审核部才能在后续安 排审核项目时给与其组长角色。

4.1.7 能力评价负面结果的处理

4.1.7.1 公司在认证业务范围认可后，对某一唯一性特定技术领域认证人员能力评价 的结果为不满意的，且通过后续的培训依然不能满足要求的，或是如具备某一特定技术领域的专业能力审核员，被公司解雇的，将对公司的能力产生影响。技术委员会应及时报告管理者代表或总经理，并分析对公司整体能力的限制性因素和对目前认证产 生的影响；

4.1.7.2 通过分析，批准后由管理部快速招聘具备特定技术领域认证人员予以补充，技术委员会并按照本程序有关要求进行对其初始能力评价。

4.1.8 认证人员能力评价准则的确定

4.1.8.1 申请/合同评审人员的能力准则

a) 具有大学专科以上学历，有两年以上工作经历；

b) 熟悉、理解“认证认可条例”、“认可机构认可准则、规则、指南”的要求及公司 的相关认证审核程序、申请和合同评审作业认证制度的规定；

c) 掌握ISO/IEC 20000-1标准中所规定的要求以及ISO/IEC 20000的相关部分，特别是ISO/IEC 20000-2，ISO/IEC 20000-3和ISO/IEC TR 20000-10相关的知识点，了解相关法律法规的要求；

d) 熟悉国民经济专业分类和机构各体系技术领域分类分组和管理要求的内容；

e) 能熟练使用机构计算机管理系统。

f) 熟悉相关行业实践的通用术语和过程的理解（不具备时可由相应专业专家协同）；

g) 熟悉客户产品、过程和组织类型、规模、治理、结构方面内容（不具备时可由相应专业专家协同）。

h) 如申请/合同评审人员同时为审核员时，对其审核员资格的评价可替代认证管理人 员的能力评价。

4.1.8.2 审核方案管理人员（包括确定审核项目、指派审核任务人员）的能力准则

a) 具有大学专科以上学历，有两年以上工作经历；

b) 具有一定的分析、判断能力及良好的口头和文字表达能力；

c) 有良好的服务意识，有责任心、有耐心，能与客户进行良好的沟通。

d) 熟悉理解“认证认可条例”、“认可机构认可准则、规则、指南”的要求及公司认证审核程序及有关认证管理制度的相关规定；

e) 了解ISO/IEC 20000-1标准中所规定的要求以及ISO/IEC 20000的相关部分，特别是ISO/IEC 20000-2，ISO/IEC 20000-3和ISO/IEC TR 20000-10相关的知识点，了解相关法律法规的要求；

f) 能熟练运用机构计算机管理系统。

g) 17021 要求的其他知识和技能。

h) 如审核方案管理人员同时为审核员时，对其审核员资格的评价可替代其认证管理人 员的能力评价。

4.1.8.3 报告检查/认证决定人员评定准则

a) 掌握ISO/IEC 20000-1标准中所规定的要求以及ISO/IEC 20000的相关部分，特别是ISO/IEC 20000-2，ISO/IEC 20000-3和ISO/IEC TR 20000-10相关的知识点，了解相关法律法规的要求；熟悉有相关行业实践的通用术语和过程内容；熟悉信息技术服务管理相关的术语和定义（包括：范围和删减的适用性；信息技术服务管理的相关工具、方法、技术及其在认证过程中的应用的影响）；

b) 17021 要求的其他知识和技能；

c) 特殊行业/高风险行业认证业务范围的认证决定人员宜具备不低于该业务范围专业审核员的要求；一般行业/中低风险行业认证业务范围的认证决定人员宜具备专业大类中的某一专业小类相关审核员的能力要求；

d) 认证评定亦可由级别审核员与该专业的技术专家一同做出认证决定；

e) 如报告检查/认证决定人员同时为审核员时，对其审核员资格的评价可替代其认证管理人员的能力评价；

4.1.8.4 负责实施专业能力评价的人员评价准则：

a) 具有相应专业技术领域的基本理论知识；

b) 熟悉机构专业能力评价准则、证实方法；

c) 具有一定的分析、判断能力；

d) 熟悉国民经济专业分类和机构各体系技术领域分类分组和管理要求的内容；

e) 如专业能力评价人员同时为审核员时，对其审核员资格的评价可替代其认证管理人 员的能力评价。

4.1.8.5 审核人员、技术专家能力评价准则

a) 教育：与信息技术服务管理相关的专业的本科以上学历并取得相应的学位证书；

b) 经历：至少4年信息技术方面全职实际工作经历，其中至少2年的工作经历来自与信息技术有关的职责或职能；

c) CCAA 注册信息技术服务管理体系级别审核员；

d) 满足 ISO/IEC 17021：2015 《合格评定管理体系审核要求》（CNAS-CC01：2015）中的 7.1 章要求；

e) 具有相应技术领域的基本理论知识和一定的实践经验；

f) 熟悉该技术领域相关的组织信息技术服务的过程；

g) 能识别组织影响信息技术服务的关键活动，并能对其控制的有效性进行评价；

h) 掌握ISO/IEC 20000-1标准中所规定的要求以及ISO/IEC 20000的相关部分，特别是ISO/IEC 20000-2，ISO/IEC 20000-3和ISO/IEC TR 20000-10相关的知识点，了解相关法律法规的要求；

i) 适用时，具有特定的资格证书；

j) 通过持续的专业发展，保持最新的信息技术服务管理和审核的知识与技能。(技术专家的专业能力要求与审核员的专业能力要求一致。提供技术培训的，应有充分证据证明技术培训的有效性)。

4.2 认证人员能力的保持与发展

4.2.1 持续专业发展方式审核员和其他认证人员可以通过华凯提供持续专业发展机会以及自学等方式获得专业持续发展：

a) 获取工作经验；

b) 培训

c) 辅导；

d) 自学；

e) 研讨会、会议或其他类似活动。

4.2.2 持续专业培训包括但不仅限于以下内容：

a) 信息技术、服务管理理论与实践、适用标准和法律法规知识以及技术领域能力准则 的最新要求；

b) 华凯关于 ITSMS 审核和认证的最新要求；

c) 通过能力评价发现，审核员或其他认证人员的实际能力不能完全满足能力准则的要求，应对不满足的部分予以培训。

4.2.3 在组织交流和研讨时，华凯将考虑以下因素，以确保交流和研讨活动的有效性：

4.2.3.1 华凯在必要时将交流和研讨的成果汇总，制定或修订相关文件，如：

- ITSMS 审核核认证的程序或作业指导文件；

- ITSMS 审核检查单；

- ITSMS 审核核认证的能力需求分析、能力准则、能力评价过程或评价方法。

4.2.3.2 上述交流和研讨的频次、范围、规模宜与下列方面相适宜：

a) 华凯审核和认证活动的范围、规模和绩效；

b) 华凯审核和认证人员的数量、能力范围与水平、工作量和绩效。

5. 认证过程管理

5.1 询问和申请

5.1.1 应向申请认证的组织提供公开文件，公开文件的内容应包括以下信息：

a) 认证范围；

b) 认证工作程序；

c) 认证依据；

d) 证书有效期；

e) 认证收费标准等。 同时应告知申请组织：只有当其已按相应标准建立了管理体系并正常运行三个月以上、 至少完成一次内审、管理评审后，华凯方可安排现场审核。

5.1.2 申请组织的授权代表签署《认证申请书》，并至少提供以下必要的申请信息：

a) 申请认证的组织名称、注册地址、经营地址、通讯地址及邮编、联系人、职务、联系方式；

b) 认证类型；

c) 认证依据；

d) 体系覆盖的人数；

e) 根据业务、组织、位置、资产和技术等方面的特性所确定的ITSMS的范围和边界， 包括对任何范围、删减的详细说明和正当性理由；

f) 经营场所、分场所、临时场所以及各场所从事的活动等；

g) 适用性声明、资产列表；

h) 保密协议、信息安全敏感区域的声明；

i) 提供咨询服务机构和人员信息；

j) 申请组织对华凯的资质、诚信守法记录或认证人员身份背影的要求以及适用的、最新的与保守国家秘密或维护国家安全有的法律法规要求，以便华凯判断是否具备为申请组织实施认证活动的资格或条件；

k) 关于认证活动的限制条件(如出于安全和/或保密等原因，存在时)。

5.1.3 申请组织还提供以下资料：

a) 法人资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书)；

b) 取得相关法规规定的行政许可文件(适用时)；

c) 从事的业务活动符合中国人民共和国相关法律、法规、信息技术服务标准和有关规范的要求；

d) 对信息技术服务管理体系认证范围涉及的业务活动的描述，包括利用信息技术为内 部或外部顾客的业务过程提供支持的说明；

e) 已按认证依据和相关要求建立和实施了文件化的信息技术服务管理体系；

f) 体系有效运行3个月以上，并且已完成内部审核和管理评审。

5.1.4 上述必要信息应使华凯能够确定：

a) 申请组织的行业类别和服务要求；

b) 申请认证的范围；

c) 申请组织的一般特征，包括其名称、物理场所的地址、利用信息技术为内部或外部 顾客的业务过程提供支持的说明、过程和运作的重要方面以及任何相关的法律义务；

d) 申请组织与申请认证的领域相关的一般信息，包括其活动，人力与技术资源，以及适用时，其在一个较大实体中的职能和关系；

e) 申请组织采用的所有影响符合性的外包过程的信息；

f) 接受与信息技术服务管理体系有关的咨询的情况。

5.1.5 保密

在认证审核前，华凯应要求客户报告是否有因包含有保密或敏感信息而不允许审核组 接触的任何ITSMS记录，并提供相应的理由。华凯应对在无法访问这些保密信息的情况下能否对ITSMS进行充分的审核做出决定，并予以记录，同时还应详细说明相应的理由。

如果华凯结论是在不审查所识别的保密或敏感信息时不能实施一次充分的审核，那么华凯应通知客户审核无法进行，除非适当的访问安排得到允许。注：一种替代的方式是由一名具有充分能力且具备查看保密或敏感信息所需许可级别的中间人来调阅这些记录，并证实所要求的信息。中间人应得到华凯和其客户的接受。 但是，这个中间人宜独立于客户。

5.2 申请评审

5.2.1 审核部按照《认证审核管理程序》的规定进行评审以确保：

a) 识别申请组织的行业类别和与之相应的信息技术服务提供过程的特性和服务要求；

b) 掌握国家对相应行业的信息技术服务管理体系认证的管理要求；

c) 申请组织及其管理体系的信息充分，可以进行审核；

d) 申请组织ITSMS范围不允许华凯接触的信息资产已明确告知了华凯；或者已将华凯接触这些信息资产应满足的法律要求、相关方要求及申请组织的要求等明确告知华凯；

e) 认证要求已有明确说明并形成文件，且已提供给申请组织；

f) 解决了华凯与申请组织之间任何已知的理解差异；

g) 考虑了申请的认证范围、申请组织的运作场所、完成审核需要的时间、SMS和服务的可能风险和任何其他影响认证活动的因素；

h) 已根据特定的申请组织的具体情况分析对其实施审核和认证所需的能力，华凯有能 力实施认证活动；

i) 保持了决定实施审核的理由的记录。

5.2.2 认证证书转换

带认可标志的信息技术服务管理体系认证证书可进行转换，转换程序依据《认证证书转换管理办法》中关于认证证书转换的相关规定执行。

5.2.3 对申请不通过的合同，由市场代表与合同递交部门或申请方联系，洽谈澄清有关 事实，取得一致意见后再次评审。如因其他原因构成不能受理的，则向申请方说明情况，发出《不予受理通知书》，按申请方要求退回有关资料。拒绝申请的原因应记录并使客户清楚。

5.2.4 合同的签订和管理程序参照《认证审核管理程序》中的相关规定。

5.3 审核方案的策划

5.3.1 总要求

5.3.1.1 审核方案策划人员应根据申请评审的结果，按照《审核方案策划管理办法》 的过程要求进行审核方案策划，并将审核方案策划结果传递到审核组，由审核组在现场确认，必要时根据审核组在现场确认的结果调整审核方案。

5.3.1.2 根据申请评审时已识别的特定的申请组织的具体情况分析对其实施审核和认 证所需的能力，委派具备相应能力的审核组实施审核。当了解到特定的获证组织的 ITSMS 已发生变化时（特别是在监督审核、再认证审核方案策划时），审核方案管理人 员应对原有的能力分析进行审查，必要时进行更新，并按更新后的能力需求委派具备相应能力的审核组实施审核，确保审核的有效性。

5.3.1.3 审核时间的策划华凯按要求策划每个申请 ITSMS 认证的组织的初次审核（含一、二阶段）、监督审核及再认证审核所需的审核时间。初次认证审核分为第一阶段和第二阶段。确定受审核组织的审核时间时，应考虑组织的 ITSMS 范围所涉及的服务活动种类、组织规模及业务的复杂程度等因素对核定审核活动所需的审核时间的影响。安排审核时间应考虑以下因素:

a） ITSMS 范围的规模（例如，所使用的信息系统的数量和雇员的数量）；

b） ITSMS 的复杂程度（例如，信息系统的关键程度和 ITSMS 的风险状况）；

c）在 ITSMS 范围内开展的业务类型；

d）在 ITSMS 各部分的实施过程中，所应用的技术的水平和多样性[例如，已实施的控 制措施、文件和（或）过程控制，以及纠正和（或）预防措施等]；

e）场所的数量；

f）经证实的以往 ITSMS 绩效；

g）在 ITSMS 范围内，所使用的外包和第三方安排的程度；

h）适用于认证的标准和法规。

ITSMS审核时间参照附录B要求执行

5.3.1.4 应考虑受审核组织是否有不允许华凯接触的包含保密性/敏感性的信息资产或 华凯接触该类信息资产时应满足的特殊要求。同时应对客户不允许或者限制解除的信息资产对审核的影响进行评估并采取相应的措施。

5.3.1.5 客户 ITSMS 的范围和边界

ITSMS 华凯应确保客户组织通过其组织单元、所提供的服务、交付服务的地点、服务提 供所用的技术以及其他适用的方面清晰界定其 ITSMS 的范围和边界。

注 ：ISO/IEC TR 20000-3 第 6 章提供了关于 ITSMS 范围的通用原则。

5.3.1.6 管理体系规范性文件的解释

如果需要对 ISO/IEC 20000-1 的应用做出解释，这种解释应由公正的和具备必要技术 能力的相关委员会或人员给出，并由华凯正式发布。

5.3.1.7 审核方法

ITSMS 认证审核所使用的信息收集方法还宜包括对 ITSMS 过程有效性的测试。

ITSMS 认证审核计划中宜说明拟在审核中使用的远程审核技术。

注：远程审核技术，例如，电话会议、网络会议、基于网络的互动式沟通和远程电子访问 ITSMS 文件和（或）ITSMS 过程等方式。关注这些技术将有助于提高审核的有效性和效率，并支持审核过程的完整性。

信息收集方法应包括（但不限于）：

a) 面谈；

b) 对过程和活动进行观察；

c) 审查文件和记录。

如果在审核中使用远程审核技术，审核组在审核计划中应具体说明。

5.4 多场所组织及其服务点的抽样

CNAS-CC11《基于抽样的多场所认证》的0至5.2中的要求适用。 当一个多场所组织在不同的场所或一组场所里运作一些不相似的过程或活动，华凯需要证明其决定在管理体系认证中实施抽样的理由的合理性，并予以记录。这应证实挪 亚对所有场所的管理体系符合性获得了同等程度的信心。还须关注对“虚拟地点”的 审核，如非永久场所、在线场所等等。在这类场所中，抽样可能是适宜的，或不适宜的。

5.4.1 多场所抽样的条件当客户组织拥有满足以下条件的多个场所时，适用 CNAS-CC11，基于抽样的方法进行多 场所抽样审核：

a) 所有的场所在同一ITSMS下运行，并接受统一的管理、内部审核和管理评审；

b) 所有的场所都包含在客户组织的ITSMS 内部审核方案中，且在内部审核方案范围 内对所有场所进行内部审核；

c)  所有的场所都包含在客户组织的 ITSMS 管理评审方案中；

d) 所有的场所执行相同的ITSMS流程，且所有的场所相互之间相对独立，不存在相互关联的过程；

e) 客户组织对所有场所具有资源管理权力，可以收集所有场所的数据并要求其执行统 一的ITSMS管理措施。

5.4.2 服务点抽样的条件

一般情况下服务点不在认证范围内，当华凯和客户组织协商一致时，多场所认证的范 围也可以包括服务点。如果认证范围包括服务点，应注明该场所是服务点。当客户组织拥有满足以下条件的多个服务点时，华凯可以考虑使用基于抽样的方法对服务点进行审核：

a)场所内的工作人员应为客户组织的员工或与客户组织具有合同关系的外包人员；

b)所有场所的工作人员均在同一个ITSMS下进行管理，客户组织对人员具有分配和调配的权力，有权要求场所内提供服务的工作人员提供工作量和工作质量的数据；

c)客户组织在所有的场所提供的服务和活动的变动，或场所的成立和撤销不影响客户组织的 ITSMS运行的完整性；

d)所有的场所都包含在客户组织的 ITSMS内部审核方案中。

5.4.3 抽样的考虑

a)通过识别以下方面的差异，在初始合同评审和后续审核活动时应确定适当的抽样水平：

1) 地点，例如：场所规模，或在 SMS 内但不在认证范围内的临时场所的使用；

2) 服务；

3) 顾客；

4) 参与服务提供的其他方（例如：内部团体、供方、作为供方的顾客）；

5) 语言；

6) 所有班次之间工作方式的一致性。如果每个班次的运行方式相同时，审核有大量人员倒班的客户所需的时间可以少些。这要有记录审查，以证实所有班次之间工作方式的一致性。如果各班次之间是一致的，所有班次可被视为是一组活动且一个班次可作为审核样本；

7) ITSMS 的局部变化；

8) 法律法规要求。

b)应从客户SMS范围中选择有代表性的样本。该选择应基于认证机构的决定，并体现了 a）中所述的因素和随机因素。

c)审核计划的策划应考虑 a）和 b）中的要求。计划应在认证审核间的 3 年周期内覆盖 ITSMS 全部范围内有代表性的样本。

5.4.4 抽样方法

a)抽样审核的结果可以满足证明其ITSMS的适宜性、充分性和有效性，并具有在抽样无 法满足上述要求时的应对措施；

b)体现抽样样本的代表性和随机性；

c)在多场所抽样时，初次认证审核抽样样本量通常不低于同种类样本总量的平方根；

监督审核抽样样本量通常不低于同种类样本总量平方根的0.6倍，再认证审核抽样样本量通常不低于同种类样本总量平方根的0.8倍；

d)对服务点抽样时，样本覆盖认证范围内的所有业务类型，且应考虑同种业务类型的服务点的服务复杂程度；

e)对服务点抽样时，初次认证审核抽样样本量通常不低于同种类样本总量的平方根，监督审核抽样样本量通常不低于同种类样本总量平方根的0.6倍，再认证审核抽样样本量通常不低于同种类样本总量平方根的0.8倍。当有合理理由时，可适当降低样本量。

5.5 初次认证审核

初次认证审核分第一阶段和第二阶段进行。第一阶段与第二阶段现场审核间隔应不少于5个工作日且不多于60个工作日。

在基准审核时间的基础上，对申请组织提供的申请材料，考虑增减因素后确定适宜的 初次审核时间。ITSMS第一阶段审核应安排在受审核组织的现场进行，当客户组织由于信息安全的原因在申请评审阶段不能提供足够的信息时，应增加第一阶段现场审核时间。

5.5.1 第一阶段审核

在这个审核阶段，华凯应获得有关 ITSMS 设计的文件。该文件应包括 ISO/IEC 20000-1的 4.3.1 中所要求的文件。

一阶段审核的目的是：结合客户的 ITSMS 方针和目标，尤其是其所声称的审核准备情况，了解客户的 ITSMS，为二阶段审核提供关注点。 一阶段审核包括但不限于文件评审。华凯应与客户就实施文件评审的时间和地点达成一致。在任何情况下，文件评审应在二阶段审核前完成。 一阶段审核的结果应记录在书面报告中。华凯应评审一阶段审核报告，以决定是否实施二阶段审核并选择具备必要能力的二阶段审核组成员。

华凯应使得客户知晓在二阶段审核中可能要对更进一步的信息或文件进行详细检查。 第一阶段审核应在申请组织的现场进行，审核内容包括：

a) 审核申请组织的信息技术服务管理体系文件；

b) 评价申请组织的运作场所和现场的具体情况，并与申请组织的人员进行讨论，以确 定第二阶段审核的准备情况；

c) 审查申请组织理解和实施信息技术服务管理体系标准要求的情况；

d) 审查申请组织是否系统而充分地识别与所提供的服务相关的法律法规和其他要求 及其遵守情况；

e) 审查第二阶段审核所需资源的配置情况，并与申请组织商定第二阶段审核的细节；

f) 结合申请组织信息技术服务管理体系方针和目标，了解其审核准备状态，为策划第 二阶段的审核提供重点；

g) 评价申请组织是否策划和实施了内部审核与管理评审，以及信息技术服务管理体系 的实施程度能否证明其已为第二阶段审核做好准备。

5.5.3 第二阶段审核

第二阶段审核应在具备实施认证审核的条件下在申请组织的场所进行。如果第一阶段 审核提出影响实施第二阶段审核的问题，这些问题应在第二阶段审核前得到解决。第二阶段审核的目的是通过在申请组织的现场进行系统、完整地审核，评价申请组织的信息技术服务管理体系是否满足所有适用的认证依据的要求，并判断是否推荐认证注册。应重点关注申请组织是否充分识别了信息技术服务管理过程的重要性，并证实与申请组织的信息技术服务活动是相适应的。要求申请组织证实其对信息技术服务管理过程的分析和组织运作实施了适当的控制措施，应包括：

a) 服务交付过程(服务级别管理，服务报告，服务连续性和可用性管理，信息技术服 务的预算和核算，能力管理，信息安全管理)；

b) 关系过程(业务关系管理，供方管理)；

c) 处理过程(事件管理，问题管理)；

d) 控制过程(配置管理，变更管理)；

e) 发布过程(发布管理)。

ITSMS初次认证第二阶段审核应关注客户组织的下列方面：

a) ISO/IEC 20000-1 的 4.3.1 中的文件要求；

b) 对实施、监视、测量和评审服务管理目标计划和过程的有效控制；

c) ITSMS 内部审核和管理评审；

d) 方针的管理责任；

5.5.4 信息技术服务管理体系文件与其他管理体系文件的整合

只要信息技术服务管理体系以及与其他管理体系的适当接口能够清楚地被识别，可以 允许申请组织将信息技术服务管理体系文件与其他管理体系文件(例如，质量管理体系、环境管理体系，职业健康安全管理体系等)相结合。

5.5.5 管理体系结合审核

5.5.5.1 华凯可以仅提供信息技术服务管理体系认证服务，或结合信息技术服务管理 体系认证提供其他管理体系认证服务。华凯应有程序确保在结合审核的情形下，对诸如审核范围的界定、审核时间的确定、审核方案的策划等进行有效的管理。

5.5.5.2 可以把信息技术服务管理体系的审核和其他管理体系的审核相结合，但是这 种结合必须以审核活动满足信息技术服务管理体系认证所有要求为前提，并且审核的质量不应由于结合审核而受到负面影响。在审核报告中，应清晰体现所有与信息技术服务管理体系有关的重要要素的描述并易于识别。

5.5.5.3 在ISO/IEC 20000-1和ISO/IEC 27001的管理体系结合审核时，应审核ISO/IEC 20000-1中的信息安全管理过程，以确保：

a）信息安全方针是与ITSMS和服务相关的；

b）识别相关的信息安全风险并实施信息安全控制，以支持ITSMS和服务；

审核员可以从信息安全管理体系（ISMS）中找到一些支持性的证据。如果ISMS的范围是在ITSMS的范围之外，则ISO/IEC 20000-1中的信息安全管理过程是没有ISMS支持的，应作为一个独立的过程来审核。

应审核信息安全方针、风险和控制，以确保它们与客户ITSMS范围内的服务相适宜。

5.5.6 初次认证的审核结论

审核组应该对第一阶段和第二阶段审核中收集的所有信息和证据进行汇总分析，评价 审核发现并就审核结论达成一致。

5.6 监督审核及再认证

5.6.1 审核关注点的策划

(1) 内审、管理评审和预防措施、纠正措施的实施情况；

(2) 针对上次评审的不符合所采取的措施的有效性；

(3) 根据ITSMS标准及认证其他文件要求，与外部各方的沟通情况；

(4) 文件化管理体系的变更及涉及变更的区域；

(5) 针对获证组织与信息安全有关的资产威胁、脆弱性和影响的评估、控制措施的选择 及对控制措施有效性的监视测量。

5.6.2 监督审核

监督审核执行《认证审核管理程序》的要求。

5.6.2.1 监督审核应包括（但不限于）以下内容：

(1) 体系保持和变化情况；

(2) 顾客投诉情况；

(3) 涉及变更的范围；

(4) 内部审核与管理评审；

(5) 服务目录的变化情况；

(6) 对上次审核时提出的不符合所采取纠正措施的审查；

(7) 标志的使用和（或）任何其他对认证资格的引用；

(8) 适当时，其它选定的范围。

5.6.2.2 监督审核频次

在满足认可要求的基础上，根据获证组织信息技术服务管理体系覆盖的业务活动的特点以及所承担的风险，合理设计和确定监督审核的时间间隔和频次。当获证组织信息 技术服务管理体系发生重大变更，或发生重大问题、服务质量事故、客户投诉等情况 时，应视情况可增加监督的频次。监督审核的最长时间间隔不超过 12 个月。由于获证 组织业务运作的时间(季节)特点及其内部审核安排等原因，可以合理选取和安排监督周期及时机，监督审核必须覆盖信息技术服务管理体系认证范围内的所有业务活动。

5.6.2.3 监督审核结果评价

对于监督审核合格的获证组织，华凯应作出保持其信息技术服务管理体系认证资格的 决定；否则，应暂停、撤销或注销相应的认证资格。

5.6.3.再认证审核

再认证审核执行《通用认证审核管理程序》。

认证证书有效期满前，华凯根据获证组织的申请对获证组织实施再认证，以保证信息 技术服务管理体系认证证书持续有效。

5.6.3.1 再认证审核的策划

5.6.3.1.1 华凯应策划和实施再认证审核，以评价获证组织是否持续满足信息技术服务管理体系标准和相关的认证规范性文件的所有要求。

5.6.3.1.2 再认证审核应考虑信息技术服务管理体系在认证周期内的绩效，包括调阅 以前的监督审核报告。

5.6.3.1.3 当获证组织、获证组织的信息技术服务管理体系或其运作环境有重大变更 时，华凯应有程序确保对再认证审核活动可能需要进行的第一阶段审核实施管理。    

5.6.3.1.4 对于多场所认证或依据多个管理体系标准进行的认证，再认证审核的策划 应确保现场审核具有足够的覆盖范围，以提供对信息技术服务管理体系认证的信任。

5.6.3.2 再认证程序应与信息技术服务管理体系认证审核的要求和指南保持一致。

5.6.3.3 华凯应根据再认证审核的结果，以及认证周期内的体系评价结果和认证使用方的投诉，作出是否更新认证的决定。如果在监督或再认证审核中，发现不符合存在，该不符合在华凯同意的时间内应得到有效的纠正。如果纠正没有在同意的时间内完成，认证范围应被缩小，或者暂停或撤销认证证书。允许采取纠正措施的时间应与不符合的严重程度和风险相适宜，以确保客户组织的产品或服务满足规定要求。

5.7 选择和指派审核组

审核方案管理人员应根据实现审核目标所需的能力来选择和任命审核组（包括审核组长），应确保他们是经过华凯的审核能力和专业能力评定、有能力完成本次审核任务的人员。如果仅有一名审核员，该审核员应有能力履行适用于该审核的审核组长职责。决定审核组的规模和组成时，应考虑下列因素：

审核组必须拥有审核范围内的所有技术领域（附录 A ITSMS 认证技术领域）对应的能力。应有能审核受审核组织认证范围的专业审核员，否则应在技术专家支持下实施审核。审核组长和审核员所需的知识和技能可以通过技术专家和翻译人员补充，技术专家和翻译人员应在审核员的指导下工作。使用翻译人员时，要避免其对审核产生不正当影响。每次审核（包括一阶段和二阶段审核）的审核组均应具备专业能力。

5.8 审核的实施要求

5.8.1 保密管理要求在现场审核中的落实

5.8.1.1 审核组在审核现场发现存在任一情况时应立即向公司汇报，并按公司所确定的相应措施完成后续工作：

a) 如果发现受审核组织不允许接触信息资产或无法满足受审核组织关于接触信息资产的相关要求时，华凯对审核和认证所受到的影响进行评估并采取相应措施（例如终止审核、缩小审核和认证的范围等）；

b) 如果受审核组织事先没有禁止华凯接触某一信息资产或未和告知华凯关于接触信息资产的相关要求，而华凯在认证过程中发现自己不具备接触该信息资产的资格和条件时，应立即向受审核组织提出。

5.8.1.2 审核组成员不宜在审核过程中以任何方式记录受审核组织的保密或敏感信息； 在离开受审核组织前，应请受审核组织检查和确认审核组携带的文件、资料和设备中未夹带受审核组织的任何保密或敏感信息。

5.9 特殊审核

特殊审核，包括扩大认证范围的审核、提前较短时间通知的审核（含投诉调查、认证 范围变更、暂停恢复等）执行《授予、保持、更新、扩大、缩小、暂停和撤销认证的管理程序》的规定。

5.10 审核报告

审核报告编制的基本要求参照《认证审核管理程序》。认证审核报告应提供客户 IT 组织在识别、评估和管理服务风险方面的信息。

5.10.1 报告程序应确保：

(1)在离开客户组织场所前，在审核组和客户组织管理者之间召开一次会议，并提供：

a）ITSMS与特定认证要求的符合性方面的书面或口头说明；

b）客户组织就审核发现及其根据提出问题的机会。

(2)审核组向华凯提供关于审核发现的审核报告，这些审核发现是针对客户组织的ITSMS与所有认证要求的符合性。

5.10.2 审核报告应提供以下信息或对这些信息的引用：

a) 审核的说明，其中包括了文件评审摘要；

b) 对客户组织信息安全风险分析进行的认证审核的说明；

c) 所使用的全部审核时间和分别用于文件评审、风险分析的评审、现场审核和审核报告的时间的详细说明；

d) 所进行的审核询问，及其选择的理由和所使用的方法。

5.10.3 审核报告应足够详细，以帮助和支持认证决定。审核报告应包括：

a) 认证范围的界定，以及提及范围的任何变更。

b) 审核覆盖的区域（例如，认证要求和接受审核的场所），也包括所采用的主要审核 路线和所使用的审核方法；

c) 观察结果，包括正面的（例如，值得注意的特点）和负面的（例如，潜在的不符合）；

d) 已识别的任何不符合的详细情况，包括支持它们的客观证据和这些不符合所涉及的或认证所需的其他文件的要求；

e) 有关客户组织的 ITSMS与认证要求的符合性方面的意见和对不符合的清楚说明，所 引用的适用性声明的版本，以及适用时，与客户组织先前的认证审核结果的任何有用的对照。

f) 完成的问卷、检查清单、观察结果、日志或审核员笔记可能构成完整的审核报告的一部分。如果使用这些方法，这些文件应提供给华凯，以此作为支持认证决定的证据。在审核过程中，有关被评价样本的信息应包含在审核报告或其他认证资料中。

报告应考虑客户组织所采用的内部组织和规程的充分性，以便对其 ITSMS建立信心。 除了在 CNAS-CC01:2015的 9.4.8中对审核报告的要求，报告还应包括：

a）对 ITSMS内部审核和管理评审的信任程度；

b）有关 ITSMS的实施和有效性的最重要的正面与负面观察的摘要；

c）审核组关于是否授予客户组织 ITSMS认证的建议，以及支持该建议的信息。

5.11 认证决定

认证决定工作执行《认证决定管理程序》的要求，并同时满足以下要求：

5.11.1 当了解到特定的获证组织的 ITSMS 已发生变化时（特别是在监督审核、再认证审核方案策划时），并已对原有的能力分析评价后进行更新，应按更新后的能力需求委派具备相应能力的认证决定人员完成认证评定，确保认证决定的有效性。

5.11.2 关注信息安全有关的资产、威胁、脆弱性的识别情况、信息安全风险评估、风险处置及其相应的控制措施的有效性。

5.12 认证证书格式

执行《认证证书及认证标志使用规则》，并满足以下要求：

5.12.1 证书内容

认证证书内容应以中文书写，至少包括以下方面：

(1)认证证书名称，即信息技术服务管理体系认证证书；

(2)符合 5.12.2 项规定的证书编号；

(3)获证组织名称、注册地址、受审核地址和邮政编码；

(4)符合相应的认证依据；

(5)通过认证的服务类别；

(6)颁证日期、换证日期以及证书有效期的起止年月日。如颁证日期：2002 年5月1日，有效期：2002年5月1日至2005年4月30日；

(7)认证机构的名称及其标志；

(8)认证机构的印章和法定代表人代表或其授权人的签字；

(9)认可标识及认可注册号(应为国家认监委确定的认可机构的标识，以申请认可为目的发出的证书可没有此内容)；

如果认证所覆盖产品(或服务)的类别及其所涉及的过程和覆盖的场所较多，需在证书附件上加以注明。

15.2.2 证书编号

15.2.2.1 对同一个组织实施的同一个信息技术服务管理体系认证，赋予一个认证证书编号。

4.2.2 证书编号由认证机构批准号、获证年份号、信息技术服务管理体系的英文缩写、顺序号、认证属性、服务类别和子证书号构成，格式如下：

 

5.12.2.3 同一个组织的认证范围覆盖多个场所并需要颁发子证书时，在子认证证书编号后加上“-”和序号，如-1(-2，-3，…)。

5.12.2.4 有效期内换发证书，认证证书编号中的机构注册号、年份号、顺序号和认证的有效期保持不变，应注明换证日期。

5.12.2.5 再认证完成后换发证书，按5.12.2.2规定重新赋予认证证书编号，第一次再认证为“R1”，第二次再认证为“R2”，依此类推。

5.12.2.6 撤销证书后，原认证证书编号废止，不再它用。

5.12.2.7 认证证书上的认证机构名称应与相应的认证机构批准书上的名称一致。

5.12.3 对获证组织正确宣传认证结果的控制

认证机构应采取授权使用标识的方式来要求获证组织在认证结果的宣传和使用中采用本规则确定的认证依据，同时注明通过认证的服务类别和认证证书编号。在认证证书被暂停期间或撤销后，应收回相应的授权。

不应授权获证组织在产品上使用上述标识，或以表示产品合格的方式使用上述标识。

5.13 注册资格保持

对获证组织注册资格保持、暂停、撤销或缩小认证范围的管理执行《授予、保持、更 新、扩大、缩小、暂停和撤销认证的管理程序》的要求。另外，如果发现受审核组织不允许接触信息资产或无法满足受审核组织关于接触信息资产的相关要求时，华凯在 评估其对审核和认证的影响后可缩小认证范围或暂停或撤销注册资格。

 

6 引用文件 

（1）CNAS-CC01:2015《管理体系认证机构要求》（idt ISO/IEC 17021-1:2015）

（2） CNAS-CC175:2017《信息技术服务管理体系要求》（idt ISO/IEC 20000-6:2017）

（3） CNAS-SC175:2017《信息技术服务管理体系认可方案》

（4）HIC-QC/UD-08 《能力分析评价系统管理程序》

（5） HIC-QC/UD-09 《通用认证审核管理程序》

（6）HIC-QC/WI-01《审核方案策划管理办法》

（7） HIC-QC/UD-17《认证证书转换管理程序》

（8）HIC-QC/UD-11《授予、保持、更新、扩大、缩小、暂停和撤销认证的管理程序》

（9）HIC-QC/UD-14《认证决定管理程序》

（10）HIC-QC/OD-06《认证证书、认证标志、审核报告使用及证书状态声明规则》

（11）开展信息技术服务管理体系认证的业务类别（第一批）

（12）信息技术服务管理体系认证实施规则

 

7 记录表单 Records

（1）HIC-114《认证人员登记表》

（2）HIC-133《审核经历汇总表》

（3）HIC-122《管理体系认证人员面试报告》

（4）HIC-127《认证人员专业能力评价表》

（5）HIC-115《审核员认证管理人员专业能力测试表》

（6）HIC-136《CCAA注册管理体系审核员见证评审报告》

（7）HIC-135《机构内部审核员见证评审报告》

（8）HIC-134《审核员见证申请》

（9）HIC-127《认证人员专业能力评价表》

（10）HIC-129《认证管理人员专业能力评价表》

（11）HIC-114 《认证人员登记表》

（12）HIC-101《认证申请书》

附录A  

ITSMS 认证技术领域