CNAS CNAS-SC175 基于IS0/IEC 20000-1的服务管理体系 认证机构认可方案 Accreditation scheme for bodies providing audit and certification of service management systems based on ISO/IEC 20000-1 中国合格评定国家认可委员会 2024年09月30日发布 2024年09月30日实施 第1页共9页 CNAS-SC175:2024 目次 前言 1 范围 2 规范性引用文件 3术语和定义 4SMS 认证机构认可规范的构成， R部分.. R.1认证业务范围的认可 R.2 见证评审 C部分. C.1 保密 （CNAS-CC01:2015 8.4) C.2 申请 （CNAS-CC01:2015 9.1.1) C.3 审核方案（CNAS-CC01:2015 9.1.3) G部分... G.1 服务点的抽样 附录A（规范性附录）SMS认证机构认证业务范围分类 2024年09月30日发布 2024年09月30日实施 CNAS-SC175:2024 第2页共9页 前言 本文件由中国合格评定国家认可委员会（CNAS）制定。 本文件是 CNAS 对依据 ISO/IEC 20000-1 实施服务管理体系认证的机构所提 出的特定要求和指南，并与相关认可规则和认可准则共同用于CNAS对这类认证机 构的认可。 本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。 本文件附录A为规范性附录 本文件代替了 CNAS-SC175:2017。 2024年09月30日发布 2024年09月30日实施 CNAS-SC175:2024 第3页共9页 基于IS0/IEC 20000-1的服务管理体系认证机构认可方案 1范围 1.1为确保中国合格评定国家认可委员会（CNAS）对依据ISO/IEC20000-1《信息 技术服务管理第1部分：服务管理体系要求》开展服务管理体系（SMS）认证的 认证机构（以下简称"SMS认证机构”）实施评审和认可的一致性，指导申请和获得认 可的SMS认证机构理解和实施认可规范要求，特制定本文件。 1.2本文件包括对 SMS 认证机构认可规范的补充和指南，适用于 CNAS 对 SMS 认 证机构的认可。 1.3本文件R部分和C部分分别是对相关认可规则和认可准则的补充。本文件G部 分是对相关认可准则的应用指南。 2规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文 件，仅该版本适用于本文件；未注明日期的引用文件，其最新版本（包括任何修订） 适用于本文件。 CNAS-CCO1管理体系认证机构要求 ISO/IECTR20000-10信息技术服务管理第10部分：概念与术语 CNAS-CC12已认可的管理体系认证的转换 3术语和定义 CNAS-CC01和ISO/IEC TR 20000-10 中的术语和定义以及下列术语和定义适 用于本文件。 3.1服务点：客户在服务级别协议有效期内进行特定工作或服务的地点，该地点不在 客户的物理范围内，且不会成为常设场所。例如，驻场服务的客户现场等。 注：该定义基于“临时场所”的定义（见CNAS-CC11，2.3）并进行了改写。 4SMS认证机构认可规范的构成 一CNAS-RO1《认可标识使用和认可状态声明规则》 一CNAS-RO2《公正性和保密规则》 一CNAS-RO3《申诉、投诉和争议处理规则》 一CNAS-RCO1《认证机构认可规则》 一CNAS-RCO2《认证机构认可资格处理规则》 2024年09月30日发布 2024年09月30日实施 CNAS-SC175:2024 第4页共9页 一CNAS-RCO3《认证机构信息通报规则》 CNAS-RCO4《认证机构认可收费管理规则》 一CNAS-RCO05《多场所认证机构认可规则》 CNAS-RCO7《具有境外场所的认证机构认可规则》 一 一CNAS-CCO1《管理体系认证机构要求》 一 -CNAS-CC11《多场所组织的管理体系审核与认证》 一CNAS-CC12《已认可的管理体系认证的转换》 -CNAS-CC14《信息和通信技术（ICT）在审核中应用》 一 一CNAS-CC106《CNAS-CC01在一体化管理体系审核中的应用》 一CNAS-CC175《基于ISO/IEC 20000-1的服务管理体系认证机构要求》 R部分 R.1 认证业务范围的认可 R.1.1本文件附录A规定了SMS认证机构认证业务范围分类。 R.1.2 CNAS 按附录A的业务范围分类进行认可。 注：认证机构应在提交认可申请时明确拟申请的业务范围，包括相应的大类或中类 R.2见证评审 R.2.1初次认可时，CNAS将至少见证1次认证机构对同一客户实施的第一阶段审核 和第二阶审核。 R.2.2认证业务范围认可的见证评审要求 CNAS根据认证机构获认可的SMS认证活动的范围、绩效对其认证业务范围实 施见证评审。 R.2.3对于已获得认可资格的认证机构，CNAS每年进行至少一次见证评审。 C部分 C.1 保密（CNAS-CC01:20158.4) C.1.1认证机构直接接触客户信息的认证人员（例如，审核组成员）宜按照客户的保 密要求与客户签署保密协议，或向客户做出保密承诺。 C.1.2如果客户事先没有禁止认证机构接触某一信息和相关资产，或未告知认证机构 应满足的要求，但认证机构在认证过程中发现自已并不具备接触该信息资产的资格和 条件，应立即向客户提出。 2024年09月30日发布 2024年09月30日实施 第5页共9页 CNAS-SC175:2024 C.1.3审核组成员不宜在审核过程中以任何方式记录客户的保密或敏感信息。审 核组在离开客户前，宜请客户检查和确认审核组携带的文件、资料和设备中未夹 带客户的任何保密或敏感信息。 C.2 申请 (CNAS-CC01:2015 9.1.1) C.2.1认证机构宜要求客户向其说明适用的关于认证机构的资质、诚信守法记录 或认证人员身份背景的要求，以及适用的与保守国家秘密或维护国家安全有关的 法律法规要求，并即时更新该说明，以便认证机构判断其是否具备对该客户实施 认证活动的资格或条件。 C.2.2适用时，认证机构可要求客户指明其在申请认证的SMS 范围内与其他方共 同提供服务的情况。 C.3 审核方案（CNAS-CC01:2015 9.1.3） 对于获得CNAS认可的其他认证机构所颁发的SMS认证，认证机构可以按照 CNAS-CC12实施转换。 G部分 G.1 服务点的抽样 通过在服务点观察客户的服务状况、与相关人员（如驻场的服务工程师、客户 的顾客等）面谈以及调阅现场服务记录，认证机构可以收集客户SMS运行和有效 性的证据。 G.1.1抽样条件 当客户拥有满足以下条件的多个服务点时，认证机构可以考虑使用基于抽样的 方法对服务点进行审核： a）所有场所的工作人员均在同一个SMS下进行管理，客户对人员具有分配和 调配的权力，有权要求场所内提供服务的工作人员提供工作量和工作质量的 数据； b）客户在所有的场所提供的服务和活动的变动，或场所的成立和撤销不影响客 户的SMS运行的完整性; G.1.2抽样方法 1）在确定服务点的抽样量时，针对审核时客户所具有的服务点，认证机构可先 考虑确保样本覆盖认证范围内的业务类别，然后再根据服务点数量适当增加 抽样量。 a）初次认证审核、监督审核和再认证审核时，样本覆盖认证范围内所涉及 2024年09月30日发布 2024年09月30日实施 CNAS-SC175:2024 第6页共9页 到的表A.1 中的中类; b) 初次认证审核和再认证审核时，在满足a)的基础上按照下表增加抽样量： 服务点数量（个） 增加的服务点抽样量（个） 5 ~ 10 1 11 ~ 20 2 21 ~ 40 3 41 ~ 60 4 注：当服务点的数量超过60时，可沿用上表的规律确定应增加的抽样量。 2）抽样时，优先选取同种业务类型中业务复杂程度高且服务交付风险大的服务 点; 3）对出现审核组无法访问服务点的情形规定了应对措施。 G.1.3 审核时间 1）认证机构分配给每个服务点的审核时间宜与审核组在该服务点所需完成的 审核活动相匹配。 2）通常，每个服务点的审核宜不少于0.25个人天。 3）每个服务点的审核时间不含审核员的旅途时间。 2024年09月30日发布 2024年09月30日实施