IT 服务 中国电子技术标准化研究所 (CESI CESI) 认证中心 IT 服务 ( 试行 ) 二 OO 八年十月 地址 : 北京市东城区安定门东大街 1 号 信箱 : 北京 1101 信箱 邮编 :100007 电话 :010-64007810 010-84029082 010-84029207 传真 :010-64061162 网址 :http://www.cc.cesi.cn 网址
IT 服务 0 本程序使用说明 0.1 本程序规则适用于以 ISO/IEC20000-1:2005 为依据建立的 IT 服务管理体系 0.2 对于 IT 服务管理体系的详细要求, 本文件以表格形式表示 对申请 IT 服务管理体系认证, 应满足本公开文件相关条款所规定的要求 1 总则 1.1 目的为保证中国电子技术标准化研究所 (CESI) 认证中心 ( 以下简称 CESI 认证中心 ) 有序 有效地实施 IT 服务管理体系认证工作, 科学 公正地为所有申请人提供优良的 IT 服务管理体系认证服务, 使申请人充分了解 CESI 认证中心的认证程序和有关规定, 特制定本程序规则, 并作为公开文件向申请人提供 1.2 引用文件 CNAS CC01:2007 管理体系认证机构通用要求 ISO/IEC 20000-1:2005 信息技术- 服务管理 - 第 1 部分 : 规范 ISO/IEC 20000-2:2005 信息技术- 服务管理 - 第 2 部分 : 实用规则 GB/T 19011:2003 质量和 / 或环境管理体系审核指南 1.3 认证准则 IT 服务管理体系认证的基本准则是 ISO/IEC 20000-1:2005 标准 ; IT 服务管理体系认证也可以按照申请人提出的其它国际公认的 IT 服务管理体系标准 文件等进行认证 但这些认证标准 文件都将是公开的, 并得到国家认可并公布 2 申请人 2.1 CESI 认证中心向所有申请人开放, 申请人可以是 : a. 直接对外提供 IT 服务的组织 ; b. 向组织内部其他部门提供 IT 服务的部门 2.2 受审核方具备的条件受审核方可以是申请人, 也可以是申请人指定的组织 a. 受审核方应具有明确的法律地位 如申请人为一法人实体的一部分, 应有证据表明申请人能独立承担法律责任 ; b. 遵守本程序规则的有关要求 ; c. 已按 ISO20000 标准建立了文件化的 IT 服务管理体系并运行, 并已实施覆盖所有程序的内部审核和管理评审 3 认证要求 3.1 认证申请 a. 申请人向 CESI 认证中心提出 IT 服务管理体系认证申请意向
b.cesi 认证中心与申请人接触并办理 IT 服务管理体系认证申请书 及商谈采用的认证标准或文件 c.cesi 认证中心对认证申请进行评审, 在确认申请认证有关的要求明确, 且认证 CESI 认证中心有能力完成认证工作的前提下与申请人签订认证合同 d. 申请人向 CESI 认证中心提交 IT 服务管理体系文件, 包括相应的程序文件以及有关的管理体系文件清单 CESI 认证中心在受理认证申请时, 还将与申请人就 IT 服务管理体系覆盖产品 认证范围及 IT 服务管理体系认证合同 等有关具体事宜进行协商 3.2 审核准备由 CESI 认证中心选派有资格的审核人员组成现场审核组 ( 一般不少于 1 人组成 ) 必要时可聘请技术专家参加 派出技术专家 观察员和实习审核员时, 均不增收工作人 日的费用 审核组应根据受审核方 IT 服务管理体系和所涉及服务的特点制定审核计划, 并将审核组名单和审核计划通知受审核方, 受审核方如有异议可以提出, 由 CESI 认证中心和受审核方协商调换 3.3 审核考虑受审核方的管理体系建立的特点, 当受审核方申请多种管理体系认证时, 各种管理体系的审核可以依次进行, 也可以同时进行, 即 结合审核 IT 服务管理体系的审核分为第一阶段审核和第二阶段审核 在正式现场审核以前如有必要经双方同意可进行预先现场访问, 当受审核方要求时, 如有必要可进行一次预审核 3.3.1 第一阶段审核第一阶段审核包括文件审查和现场审核, 为了更好地了解申请方 IT 服务管理体系的实际运行情况, 评价其 IT 服务管理体系的适宜性, 审核组在受审核方的现场开展这一阶段的现场审核工作 第一阶段审核包括以下内容 : 3.3.2 文件审查 CESI 认证中心在收到受审核方的管理体系文件及相关资料后及时安排审核组长进行文件审核, 以确认其是否符合 IT 服务管理体系认证标准及相关法律 法规的要求. 若提交的文件不符合要求,CESI 认证中心将向受审核方发出 管理体系认证文件纠正通知书 受审核方按规定时间要求完成文件修改工作, 并将相关修改后的文件体系 CESI 认证中心 对于受审核方的其他相关体系文件可在第一阶段现场进一步审核 3.3.3 第一阶段现场审核第一阶段审核的内容是对组织的 IT 服务管理体系策划 建立 实施情况进行评价, 审核 第 2 页共 11 页
的目的在于结合客户组织 ITSMS 方针和目标, 了解其 ITSMS, 特别是客户组织的审核准备状态, 为策划第二阶段的审核提供重点 了 1. 现场审核开始, 审核组应在首次会议上向受审核方说明审核目的 依据 范围和方法, 并确认审核计划 如双方有不同意见, 应立即协商解决 2. 审核组根据审核计划及事先编制的审核核查单, 采用会晤 访问 查阅文件记录 现场观察等方法, 对受审核方的管理体系进行审核, 取得客观证据, 并记录审核结果 3. 在审核期间, 受审核方应予协助 配合, 并保证 : a. 审核组能够查阅组织 IT 服务管理体系有关的文件资料和质量记录, 包括原始记录 ; b. 审核组能够进入与 IT 服务管理体系审核有关的场所 ; c. 审核组能够访问与 IT 服务管理体系有关的人员 ; d. 提供审核组进行 IT 服务管理体系审核时所必需的设施和条件, 并指定陪同人员 4. 现场审核结束时, 审核组应与受审核方负责人 ( 或其代表 ) 进行会晤, 表明审核组第一阶段现场审核的意见 5. 在审核中发现的问题, 由受审核方采取纠正措施, 并在第二阶段审核前完成, 审核组在进行第二阶段审核时验证 3.3.4 第二阶段审核第二阶段审核在组织的现场进行, 审核的内容是对组织的 IT 服务管理体系实施有效性进行评价 现场审核程序参见第一阶段要求 (3.3.3) 1. 二阶段审核组现场的审核结论包括下列三种情况 : a. 推荐注册 ; b. 不推荐注册 ; c. 待纠正措施实施并验证确认符合要求后推荐注册 受审核方对结论意见有不同看法, 与审核组不能达成一致时, 审核组应专门加以记录并报告 CESI 认证中心 2. 对于审核结论, 组长有最后决定权 3. 现场审核结论为 待纠正措施实施并验证确认后推荐注册 时, 受审核方应按要求确定完成纠正措施的日期 4. 所有在审核中发现的不符合项, 必须由受审核方切实采取纠正措施, 审核组进行验证 纠正措施的验证有书面验证, 现场跟踪验证和下次监督审核时验证三种方式 由审核组根据受审核方不符合项的性质和纠正措施的要求确定其中一种有效的验证方式 3.4 认证决定 CESI 认证中心在收到受审核方完成纠正措施的验证报告 ( 由审核组完成验证 ) 后, 将全套审核资料提交管理委员会下设的技术委员会进行审查, 进入审批注册发证程序, 整个程序在 15 个工作日内完成 经 CESI 认证中心确认后, 向受审核方提供审核报告的复印件 第 3 页共 11 页
审查结果符合申请的 IT 服务管理体系标准要求的, 由 CESI 认证中心主任批准注册并签发 CESI 认证中心 IT 服务管理体系的认证合格证书, 同时在 CESI 认证中心管理体系认证合格组织登记册中进行注册登记 CESI 认证中心在中心网站发布 CESI 认证中心管理体系认证合格组织名录, 用以向社会各界证实认证合格组织符合 IT 服务管理体系标准的要求 同时为用户与获证组织建立合同关系提供选择指南 CESI 认证中心利用各种机会向国内外用户介绍 IT 服务管理体系认证合格组织, 并接受国内外用户对有关情况的查询 审查结果不符合申请的标准或特定文件要求的, 则 CESI 认证中心向受审核方发出 认证不合格通知书 4 认证合格证书和标志 4.1 认证合格证书 CESI 认证中心的 IT 服务管理体系认证合格证书由 CESI 认证中心本部依据 CNCA 的相关要求进行统一制作 发放 未经 CESI 认证中心授权, 其他组织或个人不得自行翻印或仿制 CESI 认证中心颁发的 IT 服务管理体系认证证书为中 英文各一份, 中 英文证书内容一致 4.2 证书内容 a. 获准认证组织名称 地址 邮政编码 总证书号 / 子证书号等 ; b. 依据的管理体系标准和 / 或其他引用文件的编号与版次 ; c. 适当时, 相应产品所依据的法规 产品标准或其他引用文件 ; d. 认证证书的生效期和有效期 ; e. 注册号 ; f. CESI 认证中心的名称与标志 ; g. CESI 认证中心盖章 ( 英文证书由中心主任签字 ); h. 证书名称为 : IT 服务管理体系认证证书 ; i. IT 服务管理体系认证所覆盖的区域 产品 过程或服务的类别 4.3 认证合格标志 4.3.1 CESI 认证中心的管理体系认证合格标志是经国家工商行政管理部门登记的受法律保护的管理体系认证合格标志, 由 CESI 认证中心随管理体系认证合格证书一起颁发给获证组织合法使用, 未经 CESI 认证中心允许, 其他组织或个人不得非法使用该认证合格标志 4.3.2 获证组织不得将认证标志使用在与认证业务范围无关的各类业务上, 进行误导宣传 不得将认证标志用在产品上, 或作为产品合格说明, 只有在注明 生产该产品的管理体系通过了由认可的认证机构依据 ISO/IEC27001 进行的认证 的情况下则可将标志使用在运输产品的大箱子上 ( 不能用在一个有形产品或在单个包装箱 容器等产品上, 及在测试 / 分析活动中所出具的测试 / 分析报告 ) 第 4 页共 11 页
4.3.3 CESI 认证中心的管理体系认证合格标志的使用按照本中心 IT 服务管理体系获证组织须知 中规定执行 5 批准 保持 扩大 缩小 暂停 撤销认证的条件 5.1 获准认证 / 注册的组织, 应符合下列条件 : a. 与 CESI 认证中心签有正式 IT 服务管理体系认证合同, 满足申请人条件 ;( 见本程序规则第 2 章 ) b. 认证审核程序符合规定要求, 上报资料完整 手续齐全 ; c. 文件审查符合要求, 现场审核中提出的不符合项已按要求全部完成了纠正措施并经审核组验证符合要求 5.2 保持条件保持获准认证 / 注册组织管理体系持续有效, 应符合下列条件 : a. 按 CESI 认证中心规定的周期和程序进行监督审核 ; CESI 认证中心将在认证合格证书三年有效期内定期进行监督审核, 以验证获证组织的管理体系是否持续满足管理体系标准的要求 获证组织自获得证书的有效之日起, 第一年内接受 2 次现场监督审核 ( 每半年一次 ), 第二年及第三年各接受 1 次现场监督审核, 即在证书的 3 年有效期内, 共进行 4 次监督审核 若向 CESI 认证中心申请再认证, 则第四次监督审核可与再认证一起进行 再认证后的证书有效期为 3 年, 监督审核为每年一次 两次监督审核的时间间隔一般不超过 12 个月 b. 证书和标志使用符合 CESI 认证中心的规定要求 ; c. 按规定要求及时向 CESI 认证中心报告管理体系的变更情况 ; d. 按规定交纳监督审核费用 5.3 暂停 撤销认证资格程序 CESI 认证中心审查业务部对证书的使用进行监督 处置, 根据不同情况对证书持有者使用证书和标志给予暂停或撤销处理 5.3.1 暂停 5.3.1.1 获得认证的获证组织有下列情况之一的,CESI 认证中心将暂停其认证资格, 暂停时间一般为三个月或六个月, 在暂停期间, 获证组织的 IT 服务管理体系认证暂时无效, 暂停信息可公开获取, 并上报 CNCA 和 CNAS a. 获证组织因自身原因, 无法按时接受 CESI 认证中心监督审核超过规定期限的 ; b. 在前后两次认证审核中, 同样类型的严重不符合项 ( 不多于 1 个 ) 重复出现的 ; c. 对于认证审核中提出的不符合项, 未按 CESI 认证中心规定时限进行纠正的 ; d. 错误使用认证证书 认证标志和国际互认标识 ( 尚未造成严重后果 ), 未采取纠正措施的 ; e. 获证组织被投诉存在严重问题, 并经调查属实的 ( 此类投诉主要指发生 IT 服务事故, 第 5 页共 11 页
但尚未造成严重后果的情况 ); f. 其他违背认证合同 ( 如拖期未缴纳认证费用, 并经催缴无效的等 ) 的 ; g. 监督检查发现获证组织相关管理体系达不到规定要求, 但又不构成撤销认证资格的 ; h. 获证组织未经 CESI 认证中心批准, 对获准认证的相关管理体系进行更改, 且该项更改影响体系认证资格的 5.3.1.2 被暂停认证资格期间, 获证组织不得以被认证的身份继续宣传其认证状态和使用认证标志 5.3.1.3 当被暂停认证资格的获证组织在 CESI 认证中心规定的期限内采取整改措施, 并经验证满足规定的条件后,CESI 认证中心将取消暂停, 恢复其认证资格 ; 超过规定时间后将撤销其认证资格, 收回证书 5.3.2 撤销 5.3.2.1 获得认证的获证组织有下列情况之一的,CESI 认证中心将撤销其认证资格, 上报 CNAS, 并在公开媒体上向社会公告 a. 被暂停认证资格后, 未在暂停期限内就存在问题采取相应有效的整改措施的 ; b. 监督审核 检查发现获证组织 IT 服务管理体系存在严重违反法律法规要求, 构成严重后果的 c. 认证注册后的监督审核中发现 2 个或 2 个以上的严重不符合项时 ; d. 获证组织因解散 破产 倒闭 经营不善或其它原因而不能继续保持其注册认证资格的 ; e. 其它严重违反与 CESI 认证中心正式协议中的有关规定, 已造成了严重影响和后果且经查属实的 f. 在认证有效期内, 由于体系认证规则发生变更, 获证组织不愿或不能确保符合新要求的 ; g. 在证书有效期满后, 获证组织未向 CESI 认证中心提出重新认证的 ; 5.3.2.2 CESI 认证中心作出撤销获证组织的认证资格后, 审查业务部应立即通知被撤销认证资格的获证组织停止其所有利用认证资格的活动, 同时交回所有认证文件, 否则承担由此引发的相关责任 5.3.2.3 对于被撤销认证资格的获证组织, 其被撤销的认证资格不作恢复处理, 可以在一年后重新申请认证 5.4 证书 标志使用监督对各管理体系认证标志使用的要求见 CESI 认证中心 IT 服务管理体系获证组织须知, CESI 认证中心通过多种方式对证书 标志使用情况进行监督 第 6 页共 11 页
5.5 认证范围的扩大和缩小 5.5.1 扩大认证范围的条件和程序扩大认证范围包括认证依据标准的扩大, 也可包括过程 ( 活动 ) 的增加 产品范围 生产规模 ( 场地 区域 ) 的扩大 5.5.1.1 扩大认证范围的条件 a. 获证组织申请扩大认证范围应在其法律地位文件和资质规定的范围内 ; b. 获证组织的管理体系应覆盖申请扩大的认证范围, 并符合认证标准要求 ; c. 至少近一年来, 获证组织在申请扩大认证范围内未发生重大事故和国家检查不合格 ; 5.5.1.2 扩大认证范围的程序 a. 获证组织需向 CESI 认证中心正式提交扩大认证范围的书面申请书和相关附件 ; b. 获证组织应与 CESI 认证中心补充签署或修订认证合同, 并按照规定补充缴纳认证费用 ; c. 按初审程序进行文件审查, 对扩大的认证范围进行现场审核, 按本程序规则 5.1 要求的条件进行扩大认证范围的批准换证 获证组织申请扩大认证范围所涉及的管理体系文件经审查已符合认证标准 ; d. 对获证组织申请扩大认证范围所涉及的管理体系,CESI 认证中心结合监督审核或按协议要求实施认证程序 ( 如有规定, 对简单的扩大认证范围可以不需要现场审核 ), 对认证合格者按初审程序更换证书 5.5.2 缩小认证范围的条件和程序 5.5.2.1 缩小认证范围的条件获证组织有下列情况者, 应缩小认证范围 a. 获证组织的认证范围内部分产品范围 现场 区域 生产线 主要过程等不再继续符合认证标准和其他附加要求 ; 或 b. 获证组织的认证范围内部分产品范围 现场 区域 生产线 主要过程等不愿再继续保持认证资格的 5.5.2.2 缩小认证范围的程序 a.. 获证组织向 CESI 认证中心正式提交缩小认证范围的书面申请书, 并提供理由和证据 ; b. 需要时, 获证组织与 CESI 认证中心修订认证合同 ; c. 经 CESI 认证中心技术委会审定, 认为获证组织在申请缩小认证范围不会对仍需保持的认证范围产生影响, 报 CESI 认证中心主任批准, 由主任签署换发认证证书, 但认证证书的注册号和有效期保持不变 ; 5.6 关于暂停 撤销获证组织使用证书和标志资格的决定, 以及取消暂停的决定,CESI 认证中心将书面通知获证组织, 每半年 CESI 认证中心公布一次暂停和撤销管理体系认证资格 第 7 页共 11 页
组织的名单 5.7 认证合格证书有效期满前三个月, 获证组织可提出换证申请 CESI 认证中心将对获证组织管理体系进行全面再认证, 全面再认证的程序与初次审核时的程序相同 经全面再认证确认获证组织管理体系持续满足管理体系标准要求,CESI 认证中心批准同意其延长, 并更换证书 6 提前较短时间通知的审核获证组织在认证证书有效期内出现下列情况时, 应及时将情况通知 CESI 认证中心 : a. 获证组织对其管理体系作了重大更改 ( 如所有权 主要负责人 关键设备 主要活动 生产地址 企业名称 ); b. 获证组织发生了影响到其认证基础的更改 ( 如管理体系标准变更或体系认证范围扩大或缩小等 ); c. 发生了重大 IT 服务事故或相关方严重投诉 CESI 认证中心将根据获证组织管理体系的上述变更情况适时对其管理体系进行复审, 复审不受监督审核周期的限制 CESI 认证中心将根据复审结果, 做出换发证书或认证撤销的决定 7 申诉 投诉和上诉 7.1 管理体系认证的申请人 受审核方以及其他组织和个人均可对 CESI 认证中心与认证有关的工作提出申诉或投诉 7.2 对认证 CESI 认证中心指派的审核组的工作质量 审核员的道德行为等问题可直接向 CESI 认证中心提出申诉 投诉 7.3 对 CESI 认证中心做出的认证注册决定和注销 暂停 撤销管理体系认证资格的决定以及对本程序规则 7.2 条有关的 CESI 认证中心对申诉 / 投诉处理的决定有异议均可直接向 CESI 认证中心管理委员会提出申诉 7.4 CESI 认证中心或 CESI 认证中心管理委员会接到申诉或投诉后指派专人对申诉 / 投诉情况进行调查, 做出处理决定, 并在三十日内以书面形式答复提出人, 答复内容包括处理的理由及处理的决定 7.5 有关组织和个人对 CESI 认证中心和 CESI 认证中心管理委员会做出的相关处理决定持有异议, 可直接向 CNCA 上诉 7.6 获证组织应保存来自用户与其他组织和个人对其管理体系以及证书覆盖范围的抱怨和投诉以及采取相应纠正措施的记录 需要时, 认证 CESI 认证中心可得到这些记录 7.7 有关申 投诉更详细规定见 CESI 认证中心公开文件 申投诉程序规则 8 申请人和获证组织的权利与义务 8.1 权利 a. 申请人有权要求 CESI 认证中心按认证合同规定的内容进行认证审核, 覆行合同义务 ; 第 8 页共 11 页
b. 申请人和获证组织有权要求 CESI 认证中心派出的审核组为受审核方保守审核中所接触的秘密 ; c. 申请人有权要求本机构向其提供公开文件及有关资料 ; d. 获准认证组织有权根据 CESI 认证中心的规定使用管理体系认证证书和标志 ; e. 有申诉和投诉的权利 8.2 义务 a. 覆行合同义务, 如期交纳认证费用 ; b. 遵守 CESI 认证中心的 IT 服务 ; c. 为进行审核 监督 再认证和解决投诉做出必要的安排, 包括审查文件 进入所有区域的确定 调阅所有记录 ( 包括内部审核报告 ) 和访问人员 ; d. 就获准认证的范围做出声明 ; e. 在宣传认证结果时不得损害 CESI 认证中心的声誉, 不得做使认证机构认为误导或未授权的声明 ; f. 当认证被暂停或撤销 / 注销时, 应立即停止涉及认证内容的广告, 必要时按 CESI 认证中心的要求交回认证证书 ; g. 只能用认证来证明其管理体系符合了特定标准或其他引用文件, 不能用认证来暗示其产品或服务得到了认证机构的批准 h. 确保不采用误导的方式使用认证证书和标志, 审核报告或报告中的任何一部分 ; i. 在各种媒体中 ( 例如文件 小册子或广告中 ) 对认证的宣传, 应符合 CESI 认证中心的要求 ; j. 当管理体系发生变更时, 应及时将变更情况报告 CESI 认证中心, 当 CESI 认证中心有要求时, 应能提供包括顾客投诉 相关机构的检查结果在内的有关记录 9 收费 9.1 CESI 认证中心是经中国国家认证认可监督管理委员会 (CNCA) 批准的, 不以营利为目的的, 自负盈亏 独立核算的第三方管理体系认证机构, 其认证业务活动费用来自认证收费 9.2 收费项目包括 : a. 认证管理费, 含 :1) 申请费 2) 注册费 3) 证书费 4) 年金 ( 如标志使用费 管理费 ) b. 认证审核费, 含 : 1) 文件审查费 2) 现场审核费 c. 交通 食 宿费 ( 据实收取 ) d. 监督审核费 : 证书三年有效期内作四次监督审核, 第四次监督审核将同证书三年有效 第 9 页共 11 页
期满的再认证一起进行, 每次监督审核费依据 CNAS 及国家相关文件的规定核定工作量并收费 9.3 收费标准认证管理费根据 CCAA CNAS 及国家有关规定执行 认证审核 ( 包括监督审核 ) 费根据受审核方的规模大小, 审核现场场地分布, 产品复杂程度以及申请的认证用标准, 按 CNAS 的有关要求核定整个管理体系审核工作人 日数, 按核定的审核工作人 日数进行收费 CESI 认证中心收费标准详见 IT 服务管理体系认证 / 注册收费标准 10 公正性承诺 CESI 认证中心是经 CNCA 批准成立, 国家认可委认可的 不以盈利为目的 独立的第三方管理体系认证机构, 在 CESI 认证中心的业务范围内, 科学 公正地为申请人提供优秀的管理体系认证服务 CESI 认证中心郑重承诺 : 1. CESI 认证中心的机构运作所遵循的原则和程序符合公正性要求, 管理委员会按各方利益均衡的原则构成, 在作认证决定时实行当事人回避制度 2. 在 CESI 认证中心业务范围内, 认证业务向所有申请人开放 对国营 合资 独资 民营 国内和国外企业及其他组织一视同仁, 实行相同的收费标准 3. CESI 认证中心不向申请人提供为获得或保持管理体系认证的咨询服务, 不提供设计 实施或保持管理体系的服务 4. CESI 认证中心制定有审核员行为准则, 并制定有处理来自受审核方或其他方面有关认证或其他事项的投诉 申诉和争议的原则和程序, 以保证 CESI 认证中心认证活动的公正性 5. CESI 认证中心严格为所有受审核方的技术和商业信息保密, 制定有严格的保密制度和程序, 保证各级人员对在认证过程中所获信息未经受审方允许, 不得泄漏给第三方 6. CESI 认证中心的专职审核员不作咨询, 不作企业的符合性审查工作 7. 中心不接受可能影响认证公正性的任何其他社会或个人的馈赠 11 其他本程序规则由 CESI 认证中心主任批准后实施 第 10 页共 11 页