CNAS-SC175-2017 信息技术服务管理体系认证机构认可方案.pdf

《CNAS-SC175-2017 信息技术服务管理体系认证机构认可方案.pdf》由会员分享，可在线阅读，更多相关《CNAS-SC175-2017 信息技术服务管理体系认证机构认可方案.pdf（20页珍藏版）》请在麦多课文档分享上搜索。

1、 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 CNAS-SC175 信息 技术服务 管理体系认证机构认可方案 Accreditation scheme for bodies providing audit and certification of information technology service management systems 中国合格评定国家认可委员会 CNAS-SC175:2017 第 1 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 目 次 前 言 . 2 1 范围 . 3 2 规范

2、性引用文件 . 3 3 术语和定义 . 3 4 ITSMS认证机构认可规范的构成 . 4 R1 认可申请 . 4 R2 预访问 . 5 R3 初次认可的见证评审 . 5 R4 认证业务范围的认可 . 5 R5 其他 . 5 C.1 通用要求（ CNAS-CC01条款 5.1 至 5.3） . 6 C.2 能力准则的确定（ CNAS-CC01条款 7.1.2） . 6 C.3 能力评价（ CNAS-CC01条款 7.1.3） . 7 C.4 审核员的个人行为（ CNAS-CC01 条款 7.2.4） . 7 C.5 能力的持续改进（ CNAS-CC01条款 7.2.8和 7.2.9） . 7 C

3、.6 信息要求（ CNAS-CC01条款 8.4 至 8.5） . 8 C.7 过程要求（ CNAS-CC01条款 9.1 至 9.9） . 9 G.1 ITSMS认证范围界定指南 . 10 G.2 ITSMS审核 时间确定指南 . 11 G.3 服务点的抽样 . 13 附录 A（规范性附录） ITSMS认证的技术领域 . 14 附录 B（资料性附录） ITSMS初次认证审核基本审核时间的测算 . 16 附录 C（资料性附录） ITSMS复杂度及其对审核时间的影响分析 . 18 CNAS-SC175:2017 第 2 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01

4、 月 01 日 实施 前 言 本文件由中国合格评定国家认可委员会（ CNAS）制定。 本文件是 CNAS 对 信息技术服务 管理体系（ ITSMS） 认证机构提出的特定要求和指南，并与相关认可规则和认可准则共同用于 CNAS 对 ITSMS 认证机构的认可。 本文件中，用术语“应”表示相应条款是强制性的 ，用术语“宜”表示建议 。 本文件附录 A 为规范性附录，附录 B 和 C 为资料性附录。 本文件代替了 CNAS-SC175:2015。 CNAS-SC175:2017 第 3 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 信息 技术服务

5、管理体系认证机构 认可 方案 1 范围 1.1 为 确保 中国合格评定国家认可委员会（ CNAS） 对 实 施 ISO/IEC 20000-1信息技术 服务管理 第 1部分：服务管理体系要求 认证的 信息 技术服务 管理体系 （ ITSMS）认证机构 实施评审和认可的一致性，指导申请 和 获得认可的 ITSMS认证机构理解和实施认可 规范 要求 ， 特 制定本文件。 1.2 本文件 包括对 ITSMS认证机构 认可 规范 的 补充和 指南 ， 适用于 CNAS对 ITSMS认证机构 的 认可 。 本文件 R部分 和 C部分分别 是对相关认可规则 和认可准则 的 补充 。本文件 G 部分是对相关

6、认可 准则 的应用指南。 2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款 。 注明日期的引用文件 ， 仅 该 版本适用 于本文件 ；未注明日期的引用文件 ，其 最新版本（包括任何修订）适用 于本文件 。 CNAS-RC01 认证机构认可规则 CNAS-CC01 管理体系认证机构要求 CNAS-CC175 信息技术服务管理体系认证机构要求 CNAS-CC11 基于抽样的多场所认证 CNAS-CC12 已认可的管理体系认证的转换 3 术语和定义 GB/T 19000 2008、 GB/T 27000 2006和 CNAS-CC01 中的术语和定义以及下列术语和定义适用于本文

7、件。 3.1 认证业务范围 ： 认证机构的 ITSMS 认证 活动涉及 的 技术 领域 。 注： 本文件 附录 A 给出了 ITSMS 认证的技术领域 。 3.2 专业能力 ： 能够 应用特定技术领域的知识实现预期结果的本领 。 3.3 服务点：在 服务级别协议（ SLA） 有效期内 客户 进行特定工作或服务的地点，不在 客户 的物理范围内。例如驻场服务的客户现场等。 CNAS-SC175:2017 第 4 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 4 ITSMS 认证机构认可规范 的构成 4.1 主要 规则和准则 ： CNAS-RC01

8、认证机构认可规则 是 ITSMS认证机构认可活动的基本程序规则 ； CNAS-CC01管理体系认证机构要求 是 ITSMS认证机构的基本认可准则 ； CNAS-CC175信息 技术服务 管理体系认证机构要求是 ITSMS认证机构的专用认可准则。 4.2 其他 适用的认可规则包括： a) CNAS-R01认可标识 使用 和认可状态声明规则； b) CNAS-R02公正性和保密规则； c) CNAS-R03申诉、投诉和争议处理规则； d) CNAS-RC02认证机构认可资格处理规则 ； e) CNAS-RC03认证机构信息通报规则； f) CNAS-RC04认证机构认可收费管理规则； g) CNA

9、S-RC05多场所认证机构认可规则； h) CNAS-RC07具有境外场所的认证机构认可规则。 4.3 其他 适用的认可准则包括： a) CNAS-CC11 基于抽样的多场所认证 b) CNAS-CC12已认可的管理体系认证的转换； c) CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用 d) CNAS-CC106 CNAS-CC01在一体化管理体系审核中的应用 。 R 部分 R.1 认可 申请 在中华人民共和国境内从事 ITSMS 认证活动的认证机构 申请 认可的（以下 称为“ 申请方 ” ） ， 应具备 CNAS-RC01条款 5.1.1规定的基本条件以及 下列条件 ：

10、 a) ITSMS认证活动已 被 国家 认监委 批准 ； b) 已按照 CNAS-CC01和 CNAS-CC175建立了管理体系，且运行时间不少于 6 个月（如已获 CNAS信息安全管理体系认证机构认可，则运行时间不少于 3个月） 。 申请方应提供 CNAS-RC01条款 5.1.2 规定的申请文件 以及 下列 文件 和 信息 ： 1） ITSMS 认证活动国家认监委批准文件复印件； 2） 已审核过的 客户 名单 （对应到 认证业务范围 相应 大类 ）； 3） 自申请时间起 6个月内计划实施的审核 项目清单 （对应到 认证业务范围相应 大类 ） ； 4） 需要时 ， CNAS要求 的其他信息。

11、 CNAS-SC175:2017 第 5 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 R.2 预访问 必要时， CNAS 可在 受理申请过程中安排 预访问，以了解申请方是否已 满足 认可申请 条件 ， 以及是否基本具备 接受 认可评审的条件。 R.3 初次认可的 见证评审 CNAS结合申请方 ITSMS认证活动的范围、规模和风险水平确定 初次认可的 见证评审安排。 R.4 认证业务范围的 认可 R.4.1 CNAS通过 对 ITSMS认证机构的 认证业务范围 （见 本文件 附录 A） 进行认可来确定该 机构的 认可范围 。 CNAS按认证业

12、务范围的 大类 进行认可 。 CNAS认可某一 大类的基本 要求 是认证机构的 能力分析和评价系统 覆盖了该 大类 ，且系统 运行基本有效 。为此，认证 机构应满足以下条件 ： a) 对 该 大类 进行了 适宜、有效的 能力需求分析； b) 根据 该 大类 的 能力需求分析 ，以适宜、有效的方式 确定了能力分析和评价系统的相关 组成部分 （例如技术领域、能力准则等） ； c) 能力分析和评价系统在与 该 大类 有关的认证活动中有效地发挥了作用 。 CNAS按申请认可的每个 大类 评价认证机构是否满足以上条件 ，并 根据认证机构ITSMS认证活动的范围、规模、风险水平和绩效 对其认证业务范围 大

13、类 实施见证评审。 R.4.2 CNAS对某一 大类 的认可，仅表明 CNAS基于评审认为，认证机构 的能力分析和评价系统能够 保证 充分 地识别和 配备 该大类认证活动 所需的能力，并不 表明 CNAS认为 认证机构已经具备了 在 该 大类 实施 认证活动所需的全部 能力， 在 该大类 的每次 认证活动 都有效 ， 也不意味着 CNAS批准认证机构 可以 对该大类的任何 客户 实施认证 。因此，认 证机构应 确保运用 能力分析和评价系统 为 该 大类 的 每次 认证活动配备 所需的全部能力 。 R.5 其他 R.5.1 CNAS对 ITSMS认证机构认可标识的管理遵循 CNAS-R01认可标

14、识 使用 和认可状态声明规则 的 相关要求。 R.5.2 CNAS-RC03 条款 5.2中 “ 获证组织发生 重大事故 /事件 ” 是指 获得 ITSMS 认证的 客户 发生 具有下列 之一 影响的 服务质量事故 ： a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证 客户 及其相关方的合法权益； b) 可能损害颁证机构或 CNAS的公信力、声誉，或使颁证机构或 CNAS承担连带责任。 发生上述情况时， 颁证 机构应及时采取相应措施并向 CNAS通报相关情况。 CNAS-SC175:2017 第 6 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 0

15、1 日 实施 R.5.3 如果 CNAS 可能需要 在评审中接触 认证机构的客户 的相关 信息 ，认证机构 应向相关 客户 询问 是否同意 CNAS接触这些 信息 。如果 客户 同意，认证机构应 识别 CNAS接触 这些 信息 时 须 满足的所有要求，并告知 CNAS。 如果 客户 不同意或 CNAS无法满足相关要求， CNAS 将根据 评审 所受 的影响 采取相应 的措施。 C 部分 C.1 通用要求（ CNAS-CC01条款 5.1至 5.3） C.1.1 认证协议 （ CNAS-CC01 条款 5.1.2） 认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定，包括明确认证机构和

16、 客户 及其有关人员的责任与义务。 C.1.2 风险评估和责任安排 （ CNAS-CC01 条款 5.3.1） 认证机构应对其审核和认证活动可能给 客户 的信息安全带来的风险以及认证机构可能承担的责任进行评估，并做出充分的安排（例如 ， 购买职业责任保 险或设立储备金）。 C.2 能力准则的确定（ CNAS-CC01条款 7.1.2） C.2.1 ITSMS认证的技术领域 ITSMS认证的技术领域见本文件附录 A。 C.2.2 能力需求分析 C.2.2.1 ITSMS认证机构应分析 ITSMS审核和认证所需的通用能力和特定技术领域能力（即能力需求分析），并形成文件。 C.2.2.2 ITSMS

17、 认证机构的能力需求分析应： a） 包括 ITSMS 认证机构能力管理系统构建和扩展（增加新的技术领域）时进行的能力需求分析，以及在申请评审和审核方案管理中根据特定客户具体情况 进行的能力需求 分析（见本文件 C.7.2） ； b） 覆盖各类认证人员。 C.2.2.3 ITSMS认证机构的能力需求分析宜 考虑下列方面，并根据下列方面的发展变化及时得到更新 ： a） 认证活动的范围和规模； b） 信息技术 ； c） 服务管理理论与实践 ； d） 适用标准和法律法规 ； e） 本机构审核和认证 的 实践（包括 针对 特定 客户 的审核和认证 能力需求分析，见本文件 C.7.2） 。 C.2.3 能

18、力准则 CNAS-SC175:2017 第 7 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 C.2.3.1 ITSMS认证机构应根据能力需求分析结果确定各类认证人员的能力准则，并根据能力需求分析结果的变化及时更新能力准则。能力准则应包括： a） 认证人员在认证活动中需要实现的预期结果； b） 认证人员为实现预期结果而需要应用的知识和（或）技能的具体内容。 C.2.3.2 除了 CNAS-CC01附录 A规定的三类认证人员之外 ， ITSMS认证机构宜参考CNAS-CC01附录 A和 CNAS-CC175附录 A为其他认证人员 确定其需要应用

19、的知识和技能的类型、具体内容与相对程度。 注： 其他认证人员包括 ITSMS认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等。 C.3 能力评价（ CNAS-CC01条款 7.1.3） C.3.1 能力评价过程 ITSMS认证机构应建立并持续改进形成文件的能力评价过程。该过程应包括： a） 初始能力评价（参见 CNAS-CC01 条款 7.1.3）； b） 能力和绩效的持续监视（参见 CNAS-CC01的条款 7.1.3和条款 7.2.9）； c） 能力的复核（参见 CNAS-CC01 条款 7.2.9）。 当能力准则发生变化时（参见本文件 C.2.3）， ITSMS认证机构

20、应及时对相关人员的能力进行审查和必要的评价。 C.3.2 能力评价方法 C.3.2.1 ITSMS认证机构宜确定并持续改进用于判断认证人员是否满足能力准则的评价方法，包括： a） 用于判断 认证人员是否具备某一知识或技能的方法，和（或） b） 用于判断认证人员能否实现预期结果的方法。 注 ： CNAS-CC01附录 B和 ISO 19011提供了评价方法的指南和示例。 C.3.2.2 ITSMS认证机构在对认证人员的能力进行评价时，宜： a） 获取与能力准则的内容相关的被评价人信息 ； b） 将被评价人信息与能力准则进行比较，判断被评价人是否满足能力准则。 ITSMS认证机构宜保留上述被评价人

21、信息、比较和判断的记录，这些记录宜足以支持能力评价的结论。 C.4 审核员的个人行为（ CNAS-CC01条款 7.2.4） ITSMS认证机构应确定期望 ITSMS审核员表现出的个人行为。 注 ： CNAS-CC01附录 D和 ISO 19011就期望认证人员表现出的个人行为提供了示例和指南。 C.5 能力的持续改进（ CNAS-CC01条款 7.2.8 和 7.2.9） C.5.1 持续专业发展 CNAS-SC175:2017 第 8 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 C.5.1.1 ITSMS认证机构在组织审核员持续专业发展

22、时宜考虑： a） 能力准则的更新； b） 通过能力评价发现的人员实际能力与能力准则的差距； c） 本机构 ITSMS审核和认证实践的发展。 C.5.1.2 ITSMS 认证机构应 根据 认证人 员的持续专业发展情况复核 其能力。 C.5.1.3 ITSMS认证机构 应 确保审核员在信息技术、服务管理理论与实践以及适用标准和法律法规等方面的知识 随着这些方面的发展变化 及时得到更新 。 C.5.2 交流和研讨 C.5.2.1 ITSMS认证机构宜组织和促进认证人员之间的经验交流和技术研讨，以总结和推广 ITSMS审核和认证的经验、方法、技巧 。 必要时， ITSMS认证机构宜 根据 上述 交流和

23、研讨的成果制定或修订相关文件，例如： ITSMS审核和认证的程序或作业指导文件； ITSMS审核检查单； ITSMS审核和认证 的能力 需求分析、能力准则、能力评价过程或评价方法 。 C.5.2.2 上述交流和研讨的频次、范围、规模宜 与下列方面相适宜 ： a） ITSMS认证机构审核和认证活动的范围、规模和绩效； b） ITSMS认证机构审核和认证人员的数量、能力范围与水平、工作量和绩效。 C.6 信息要求（ CNAS-CC01条款 8.1至 8.5） C.6.1 保密（ CNAS-CC01 条款 8.4） C.6.1.1 在认证审核前，认证机构应要求 客户 识别并向认证机构告知认证机构在接

24、触相关信息时应满足哪些要求，包括法律要求、相关方的要求和 客户 自身的要求。认 证机构应满足所有这些要求，否则不应在认证活动中接触 客户 的相关信息。 如果认证机构因为 无法满足适用的要求而不能接触相关信息，那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施（例如终止审核、缩小审核和认证的范围等）。 如果 客户 事先没有禁止认证机构接触某一信息，或未告知认证机构应满足的要求，但认证机构在认证过程中发现自己并不具备接触该信息的资格和条件，应立即向 客户 提出。 C.6.1.2 认证机构应与其 ITSMS认证相关人员签订在法律上具有强制实施力的协议，以确保认证相关人员对审核和认证过程中

25、接触到 的 客户 的保密或敏感信息予以保密。认证机构还宜要求直接接触 客户 信息的认证人员（例如审核组成员）按照 客户 的保密要求与 客户 签署保密协议，或向 客户 做出保密承诺。 C.6.1.3 认证机构宜对其 ITSMS认证人员进行保密意识教育，并进行保密方面的法律法规、标准、规章制度、知识技能的培训。 CNAS-SC175:2017 第 9 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 C.6.1.4 审核组成员不宜在审核过程中以任何方式记录 客户 的保密或敏感信息。审核组在离开 客户 前，宜请 客户 检查和确认审核组携带的文件、资料和

26、设备中未夹带 客户 的任何保密或敏感信息。 C.6.1.5 认证机构应为包含 客户 保密或敏感 信息的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁建立保密程序。 C.6.2 客户 ITSMS 变化的通报 （ CNAS-CC01 条款 8.5.3） 认证机构应要求 客户 即时向认证机构通报： a） ITSMS范围和边界的变化； b） 与其 ITSMS 相关的法律法规的变化。 C.7 过程要求 （ CNAS-CC01条款 9.1至 9.9） C.7.1 申请 （ CNAS-CC01 条款 9.1.1） ITSMS认证机构宜要求 客户 向其说明适用的关于 ITSMS 认证机构

27、的资质、诚信守法记录或认证人员身份背景的要求，以及适用的与 保守国家秘密或维护国家安全有关的法律法规要求，并即时更新该说明，以便 ITSMS认证机构判断其是否具备对该 客户 实施认证活动的资格或条件。 ITSMS认证机构应要求 客户 确定其 ITSMS的范围。认证机构应确保 客户 的 ITSMS范围恰当地反映其服务活动，并确保 客户 没有将其活动中应包含的 ITSMS运行要素排除在认证范围之外。 适用时， 客户 应在递交认证申请时指明不完全包含在 ITSMS范围内的服务活动。例如，与其他组织共同提供服务的情况。 C.7.2 针对 特定 客户 的 审核和认证 能力需求分析 （ CNAS-CC01

28、 条款 9.1.2） ITSMS认证机构应在申请评审中，基于本文件 C.2.2.2 a）所述的能力需求分析的结果，根据特定 客户 的具体情况分析对其实施审核和认证所需的能力，并确保相关认证人员具备或能够获取所需的能力。 针对 特定 客户 的 审核和认证 能力需求分析宜关注那些在进行本文件 C.2.2.2 a）所述的能力需求分析时未考虑到的情况。 ITSMS认证机构宜根据已获证 客户 ITSMS的变化对已有的能力需求分析结果进行审查和必要的更新。 C.7.3 审核方案 （ CNAS-CC01 条款 9.1.3） C.7.3.1 ITSMS认证机构宜遵循 ISO 19011相关指南针对每个 客户

29、建立审核方案，并对该审核方案进行管理。 C.7.3.2 认证机构仅应根据 CNAS-CC12对 CNAS认可的其他认证机构颁发的 ITSMS认证实施转换。除此以外的其他情况应按照初次认证对待。此时，认证机构若要考虑客户 以往所获的 ITSMS认证，应满足 CNAS-CC01条款 9.1.3.4的要求。 C.7.4 管理体系规范性文件的解释 （ CNAS-CC01 条款 9.2.1.4） CNAS-SC175:2017 第 10 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 如果需要对 ISO/IEC 20000-1的应用做出解释，这种解释应由

30、公正的和具备必要技术能力的相关委员会或人员给出，并由 ITSMS认证机构正式发布。 C.7.5 审核方法 （ CNAS-CC01 条款 9.4.4.2） ITSMS认证审核所使用的信息收集方法还宜包括对 ITSMS 过程有效性的测试。 ITSMS认证审核计划中宜说明拟在审核中使用的远程审核技术。 注 ：远程审核技术，例如，电话会议、网络会议、基于网络的互动式沟通和远程电子访问 ITSMS文件和（或） ITSMS过程等方式。关注这些技术将有助于提高审核的有效性和效率，并支持审核过程的完整性。 C.7.6 第一阶段 （ CNAS-CC01 条款 9.3.1.2） 当 客户 由于信息安全的原因在申请

31、评审阶段不能提供给认证机构足够的信息时，认证机构应通过第一阶段审核在 客户 的现场补充对上述信息的确认，并完成申请评审任务。这种情况下，认证机构应增加第一阶段现场审核时间。 C.7.7 第二阶段 （ CNAS-CC01 条款 9.3.1.3） ITSMS初次认证第二阶段审核应关注客户 的 服务管理过程之间的相互作用 。 G 部分 G.1 ITSMS认证 范围 界定 指南 ITSMS认证范围 宜基于 服务提供者 对其 ITSMS范围的描述界定。 ISO/IEC 20000-3建议 服务提供者 通过下列参数描述其 ITSMS的范围 ： a) 提供服务的组织单元 ，例如单个部门、一组 部门或所有部门

32、； b) 所 提供的服务，例如单个服务，一组服务或所有服务；或金融服务、零售服务、电子邮件服务； c) 服务提供者 交付 服务的物理场所，例如单一办公场所、 一组 办公场所、区域的 、 全国的或全球的 ； d) 顾客及其地点 ，例如一个 顾客 、 多个 顾客 、 外部 顾客 或内部 顾客 ； e) 服务提供所使用的技术。 ITSMS范围的描述不能包括有助于服务交付的其他方的名称 。 ITSMS范围描述 示例 ： 中文： “ 服务提供者的组织单元 的名称 从 地理位置 向 顾客的组织和（或）组织单元的名称 交付 服务 的服务管理体系 ” 英文： “ The service management

33、system of name of service provider organizational unit that delivers service(s) to customer organizational name and/or name of organizational unit from geographical location” CNAS-SC175:2017 第 11 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 G.2 ITSMS审核时间确定指南 G.2.1 概述 对于每一个申请 ITSMS认证的 客户 ，认证机构需要确

34、定 初次认证审核 （含一、二阶段）、监督审核和再认证审核所需要的审核时间。 本条 旨在建立一套科学合理的审核时间确定方法，确保各认证机构在确定审核时间上保持一致。在此基础上，本条 提倡认证机构根据 客户 的 ITSMS 范围所涉及的服务活动种类、 客户 规模以及业务的复杂程度等信息对审核时间进行调整。经验表明，除了 根据 认证审核流程确定的 基本 审核时间外， 客户 ITSMS范围涉及的物理场所的 分 布 情况、 客户 的规模 、业务的复杂程度、所提供的服务种类、服务点的数量及其分布等基本情况对认证机构在核定审核活动所需的审核时间也均有着很大影响。 G.2.2 审核时间的确定 在进行初次认证审

35、核时间确定时，认证机构应根据 G.2.3.1中的计算公式对审核时间进行计算。 G.2.3.1 中公式内的基本审核时间 Tj为进行 ITSMS 认证审核的最少审核人日 。 认证机构在执行 ITSMS 认证审核时所用的时间不得低于基本审核时间Tj中规定的审核人日。 G.2.3.1 中公式同时包含服务种类增加所需审核时间 Tz及体系复杂度影响所需审核时间 Tf两个时间变量要 素 。需要 增加时间 变量 要素 时 ，认证机构需在审核方案中予以记录，并给出审核时间增加的理由。 G.2.3 初次认证审核 时间的计算 G.2.3.1 初次认证审核 时间 Tc 初次认证审核 时间包含审核组 初次认证审核 （含

36、第一阶段审核、第二阶段审核）所需的 全部 审核时间，其中包括接触 客户 、人员、记录、文件、过程和书写计划及报告所用的时间。不包含审核员的旅途时间。 初次认证审核 时间 按 式（ 1）计算： Tc = Tj + Tz + Tf (1) 式中： Tc 初次认证审核 时间； Tj 基本审核时间； Tz 服务种类增加所需审核时间； Tf 体系复杂度影响所需审核时间 。 G.2.3.2 基本审核时间 Tj 基本审核时间 Tj为初次认证审核 所需的基本时间 ，基于以下条件所确定： a) 客户 物理场所为单一场所 ； b) 客户 所申请的 ITSMS认证范围仅涵盖 ITSMS认证业务范围 的一个 中类 ；

37、 c) 客户 ITSMS 体系覆盖人数少于 50人 ； d) 客户 ITSMS 体系覆盖内的 SLA 数量少于 10个 ； CNAS-SC175:2017 第 12 页 共 19 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 e) 客户 ITSMS 体系覆盖内的供应商数量少于 5个 。 基本审核时间为 8人日 ，其测算参见本文件附录 B。 当 客户 认证范围超出以上基本限制条件时 ，认证机构应通 过对服务种类增加所需审核时间 Tz及体系复杂度影响所需审核时间 Tf进行增加调整，以保证审核人日满足 本条 要求。 G.2.3.3 服务种类增加所需审核时间 Tz

38、 服务种类增加所需审核时间 Tz 为 每增加一个服务种类需要增加的审核时间 。ITSMS认证业务范围 中 的每个 中 类 即为一个服务种类 ，见 本文件 附录 A。 Tz按式（ 2）计算，单位为人日： Tz = (Lz 1) 0.75 (2) 式中： Lz 服务种类 （中类）数量。 示例： 客户 所申请的认证范围涉及的服务种类（中类）为信息系统咨询规划（ 01.01）及信息系 统硬件设计、开发服务（ 01.02）两个中类，则 T 服务种类增加所需审核时间所需要增加的审核时间为 (2 1) 0.75 人日，共计增加 0.75 人日。 G.2.3.4 体系复杂度影响所需审核时间 Tf 体系复杂度影

39、响所需审核时间 Tf为 基于 ITSMS复杂程度需要增加的审核时间。本文件 附录 C给出了 ITSMS复杂度及其对审核时间的影响分析 指南 。认证机构可以根据该 指南 对 ITSMS 复杂度及其对审核时间的影响进行计算，测算出由 ITSMS复杂程度影响所需要增加的审核时间，认证机构也可以以其他 合理 方式对 ITSMS复杂程度进行计算，并测算出 ITSMS复杂程度所影响的审核时间。该测算方法应在审核方案中予以记录。 确定 Tf时 ， 应对认证范围内的多场所数量及临时服务点数量予以考虑。 G.3 中给出了认证机构对于多场所及 服务点 的抽样方式，认证机构在进行多场所及 服务点 审核时，可以考虑使

40、用 G.3中的方式进行抽样审核。每一个多场所应安排至少 1人日的审核时间，每个临时服务点应至少安排 0.25 审核人日时间。 G.2.3.5 其他考虑 G.2.3.5.1 在认证审核过程中，工作语言超过一种的（需要翻译或影响审核员个人独立工作）宜增加 初次认证审 核 时间 Tc中审核时间的 20%-30%。 G.2.3.5.2 本公式中确定的 初次认证审核 时间不包括审核员的旅途时间。 G.2.3.5.3 认证机构如果使用了远程审核技术（例如 ， 交互式基于 web 的协作、web 会议、电话会议和 /或组织过程的电子验证），这些活动宜在审核计划中加以识别，可以考虑将其作为审核时间的一部分。 如果认证