信息技術服務管理體系認證實施規則

1 適用范圍

本規則用于規范認證機構在中國境內開展信息技術服務管理體系認證活動。

2 認證依據

信息技術服務管理體系認證以國家標準 GB/T 24405.1《信息技術 服務管理 第1部分：規范》為認證依據，并按照國家認監委確定的《開展信息技術服務管理體系認證的業務類別表》劃分認證類別。

3認證程序

3.1 認證申請

3.1.1認證機構應向申請認證的社會組織(以下稱申請組織)至少公開以下信息：

(1)認證范圍；

(2)認證工作程序；

(3)認證依據；

(4)證書有效期；

(5)認證收費標準。

3.1.2認證機構應要求申請組織的授權代表至少提供以下必要的信息：

(1)法人資格證明(工商營業執照、事業單位法人證書或社會團體法人登記證書)；

(2)取得相關法規規定的行政許可文件(適用時)；

(3)從事的業務活動符合中華人民共和國相關法律、法規、信息技術服務標準和有關規范的要求；

(4)對信息技術服務管理體系認證范圍涉及的業務活動的描述，包括利用信息技術為內部或外部顧客的業務過程提供支持的說明；

(5)已按認證依據和相關要求建立和實施了文件化的信息技術服務管理體系；

(6) 體系有效運行3個月以上，并且已完成內部審核和管理評審。

3.1.3上述必要信息應使認證機構能夠確定：

(1)申請組織的行業類別和服務要求；

(2)申請認證的范圍；

(3)申請組織的一般特征，包括其名稱、物理場所的地址、利用信息技術為內部或外部顧客的業務過程提供支持的說明、過程和運作的重要方面以及任何相關的法律義務；

(4)申請組織與申請認證的領域相關的一般信息，包括其活動，人力與技術資源，以及適用時，其在一個較大實體中的職能和關系；

(5)申請組織采用的所有影響符合性的外包過程的信息；

(6)接受與信息技術服務管理體系有關的咨詢的情況。

3.2申請評審

認證機構應根據認證依據、程序等要求，及時對申請組織提交的申請文件和資料進行評審并保存評審記錄，以確保：

(1)識別申請組織的行業類別和與之相應的信息技術服務提供過程的特性和服務要求；

(2)掌握國家對相應行業的信息技術服務管理體系認證的管理要求；

(3)申請組織及其管理體系的信息充分，可以進行審核；

(4)認證要求已有明確說明并形成文件，且已提供給申請組織；

(5)解決了認證機構與申請組織之間任何已知的理解差異；

(6)認證機構有能力并能夠實施認證活動；

(7)考慮了申請的認證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認證活動的因素；

(8)保持了決定實施審核的理由的記錄。

3.3 現場審核的準備

3.3.1確定審核組

3.3.1.1認證審核人員必須取得信息技術服務管理體系認證注冊資格。

3.3.1.2 審核組應由取得信息技術服務管理體系認證注冊資格的審核員組成，其中至少有一名專職審核員。必要時可以補充技術專家以增強審核組的技術能力。

3.3.1.3具有信息技術服務、信息技術服務法規等方面的特定知識的技術專家可以成為審核組成員。技術專家應在審核員的監督下進行工作，可就受審核方管理體系中技術充分性事宜為審核員提供建議，但技術專家不能作為審核員。

3.3.2 確定審核人日

認證機構應根據申請組織的規模、特性、業務復雜程度、信息技術服務管理體系涵蓋的范圍、認證要求和其承擔的風險等因素核算并確定審核人日，以確保審核的充分性和有效性。

3.4 初次認證審核

3.4.1 初次認證審核分第一階段和第二階段進行。第一階段與第二階段現場審核間隔應不少于5個工作日且不多于60個工作日。

3.4.2 第一階段審核應在申請組織的現場進行，審核內容包括：

(1)審核申請組織的信息技術服務管理體系文件；

(2)評價申請組織的運作場所和現場的具體情況，并與申請組織的人員進行討論，以確定第二階段審核的準備情況；

(3)審查申請組織理解和實施信息技術服務管理體系標準要求的情況；

(4)審查申請組織是否系統而充分地識別與所提供的服務相關的法律法規和其他要求及其遵守情況；

(5)審查第二階段審核所需資源的配置情況，并與申請組織商定第二階段審核的細節；

(6)結合申請組織信息技術服務管理體系方針和目標，了解其審核準備狀態，為策劃第二階段的審核提供重點；

(7)評價申請組織是否策劃和實施了內部審核與管理評審，以及信息技術服務管理體系的實施程度能否證明其已為第二階段審核做好準備。

3.4.3 認證機構應將第一階段審核發現形成文件并告知申請組織，包括識別任何引起關注的、在第二階段審核中可能被判定為不符合的問題。

3.4.4第二階段審核

第二階段審核應在具備實施認證審核的條件下在申請組織的場所進行。如果第一階段審核提出影響實施第二階段審核的問題，這些問題應在第二階段審核前得到解決。第二階段審核的目的是通過在申請組織的現場進行系統、完整地審核，評價申請組織的信息技術服務管理體系是否滿足所有適用的認證依據的要求，并判斷是否推薦認證注冊。應重點關注申請組織是否充分識別了信息技術服務管理過程的重要性，并證實與申請組織的信息技術服務活動是相適應的。

認證機構應要求申請組織證實其對信息技術服務管理過程的分析和組織運作實施了適當的控制措施，應包括：

(1)服務交付過程(服務級別管理，服務報告，服務連續性和可用性管理，信息技術服務的預算和核算，能力管理，信息安全管理)；

(2)關系過程(業務關系管理，供方管理)；

(3)處理過程(事件管理，問題管理)；

(4)控制過程(配置管理，變更管理)；

(5)發布過程(發布管理)。

3.4.5 信息技術服務管理體系文件與其他管理體系文件的整合

只要信息技術服務管理體系以及與其他管理體系的適當接口能夠清楚地被識別，可以允許申請組織將信息技術服務管理體系文件與其他管理體系文件(例如，質量管理體系、環境管理體系，職業健康安全管理體系等)相結合。

3.4.6 管理體系結合審核

3.4.6.1 認證機構可以僅提供信息技術服務管理體系認證服務，或結合信息技術服務管理體系認證提供其他管理體系認證服務。認證機構應有程序確保在結合審核的情形下，對諸如審核范圍的界定、審核時間的確定、審核方案的策劃等進行有效的管理。

3.4.6.2 可以把信息技術服務管理體系的審核和其他管理體系的審核相結合，但是這種結合必須以審核活動滿足信息技術服務管理體系認證所有要求為前提，并且審核的質量不應由于結合審核而受到負面影響。在審核報告中，應清晰體現所有與信息技術服務管理體系有關的重要要素的描述并易于識別。

3.4.7 初次認證的審核結論

審核組應該對第一階段和第二階段審核中收集的所有信息和證據進行匯總分析，評價審核發現并就審核結論達成一致。

3.5 認證決定

3.5.1原則

3.5.1.1參加審核的人員不能再作為認證決定人員實施認證決定。

3.5.1.2 應該以認證過程中收集的信息和其他相關信息為基礎，以充分的證據證實申請組織建立信息技術服務管理體系的管理評審和內部審核的方案已經得到有效實施并且將得到保持，才可決定申請組織通過認證。

3.5.2 決定

3.5.2.1對于通過認證的申請組織，向其頒發信息技術服務管理體系認證證書。

3.5.1.2對于未通過認證的申請組織，應以書面的形式明示其不能通過認證的原因。

3.6 監督審核

3.6.1 監督頻次

認證機構應在滿足認可要求的基礎上，根據獲證組織信息技術服務管理體系覆蓋的業務活動的特點以及所承擔的風險，合理設計和確定監督審核的時間間隔和頻次。當獲證組織信息技術服務管理體系發生重大變更，或發生重大問題、服務質量事故、客戶投訴等情況時，認證機構視情況可增加監督的頻次。

監督審核的最長時間間隔不超過12個月。由于獲證組織業務運作的時間(季節)特點及其內部審核安排等原因，可以合理選取和安排監督周期及時機，在認證證書有效期內的監督審核必須覆蓋信息技術服務管理體系認證范圍內的所有業務活動。

3.6.2 監督審核應包括，但不限于以下內容：

(1)體系保持和變化情況；

(2)顧客投訴情況；

(3)涉及變更的范圍；

(4)內部審核與管理評審；

(5)服務目錄的變化情況；

(6)對上次審核時提出的不符合所采取糾正措施的審查；

(7)標志的使用和（或）任何其他對認證資格的引用；

(8)適當時，其它選定的范圍。

3.6.3監督審核結果評價

對于監督審核合格的獲證組織，認證機構應作出保持其信息技術服務管理體系認證資格的決定；否則，應暫停、撤銷或注銷相應的認證資格。

3.7 再認證

認證證書有效期滿前，認證機構根據獲證組織的申請對獲證組織實施再認證，以保證信息技術服務管理體系認證證書持續有效。

3.7.1 再認證審核的策劃

3.7.1.1 認證機構應策劃和實施再認證審核，以評價獲證組織是否持續滿足信息技術服務管理體系標準和相關的認證規范性文件的所有要求。

3.7.1.2 再認證審核應考慮信息技術服務管理體系在認證周期內的績效，包括調閱以前的監督審核報告。

3.7.1.3 當獲證組織、獲證組織的信息技術服務管理體系或其運作環境有重大變更時，認證機構應有程序確保對再認證審核活動可能需要進行的第一階段審核實施管理。

3.7.1.4 對于多場所認證或依據多個管理體系標準進行的認證，再認證審核的策劃應確?，F場審核具有足夠的覆蓋范圍，以提供對信息技術服務管理體系認證的信任。

3.7.2 再認證程序應與信息技術服務管理體系認證審核的要求和指南保持一致。

3.7.3 認證機構應根據再認證審核的結果，以及認證周期內的體系評價結果和認證使用方的投訴，作出是否更新認證的決定。

3.8 特殊審核

3.8.1 擴大認證范圍

對于已授予的認證，認證機構應對獲證組織擴大認證范圍的申請進行評審，策劃并實施必要的審核活動，并在該審核活動中驗證獲證組織的信息技術服務管理體系的適宜性和有效性，以作出是否可予擴大的決定。擴大認證范圍的審核活動可單獨進行，也可和對獲證組織的監督審核或再認證一起進行。

3.8.2 認證機構為調查投訴、對變更做出回應或對被暫停認證資格的獲證組織進行追蹤，可能需要在提前較短時間通知獲證組織后對其進行審核。此時：

(1)應向獲證組織說明并使其提前了解將在何種條件下進行此類審核；

(2)由于獲證組織缺乏對審核組成員的任命表示反對的機會，認證機構應在指派審核組時給予更多的關注。

3.9 暫停、撤消認證或縮小認證范圍

3.9.1 認證機構應有暫停、撤消認證或縮小信息技術服務管理體系認證范圍的政策和形成文件的程序，并規定認證機構的后續措施。

3.9.2 發生以下情況(但不限于)時，認證機構應暫停獲證組織的信息技術服務管理體系認證資格：

(1)獲證組織的信息技術服務管理體系持續地或嚴重地不滿足認證要求，包括對信息技術服務管理體系有效性的要求；

(2)獲證組織不允許按要求的頻次實施監督或再認證審核；

(3)獲證組織不接受或不配合認證認可監督管理部門的監督管理；

(4)獲證組織主動請求暫停。

3.9.3認證資格暫停期最長不超過6個月。

3.9.4 在暫停認證期間，獲證組織的信息技術服務管理體系認證證書暫時無效。認證機構應做出具有強制實施力的安排，以確保暫停認證期間避免獲證組織繼續宣傳信息技術服務管理體系認證資格。認證機構應使認證證書的暫停信息可公開獲取，并采取其認為適當的任何其他措施。

3.9.5 如果獲證組織未能在認證機構規定的時限內解決造成暫停認證的問題，認證機構應撤消其信息技術服務管理體系認證或縮小其相應的認證范圍。

3.9.6 如果獲證組織在認證范圍的某些部分持續地或嚴重地不滿足認證要求，認證機構應縮小其信息技術服務管理體系認證范圍，以排除不滿足要求的部分。認證范圍的縮小應與認證標準的要求一致。

3.9.7 認證機構應與獲證組織就撤消信息技術服務管理體系認證時的要求做出具有強制實施力的安排，以確保獲證組織接到撤消認證的通知時，立即停止使用任何引用信息技術服務管理體系認證資格的廣告材料。

3.9.8 在任何組織提出請求時，認證機構應正確說明獲證組織的信息技術服務管理體系認證被暫停、撤消或縮小的情況。

4 認證證書

4.1證書內容

認證證書內容應以中文書寫，至少包括以下方面：

(1)認證證書名稱，即信息技術服務管理體系認證證書；

(2)符合本規則4.2項規定的證書編號；

(3)獲證組織名稱、注冊地址、受審核地址和郵政編碼；

(4)符合本規則2項的認證依據；

(5)通過認證的服務類別；

(6)頒證日期、換證日期以及證書有效期的起止年月日。如頒證日期：2002 年5月1日，有效期：2002年5月1日至2005年4月30日；

(7)認證機構的名稱及其標志；

(8)認證機構的印章和法定代表人代表或其授權人的簽字；

(9)認可標識及認可注冊號(應為國家認監委確定的認可機構的標識，以申請認可為目的發出的證書可沒有此內容)；

4.1.1 如果認證所覆蓋產品(或服務)的類別及其所涉及的過程和覆蓋的場所較多，需在證書附件上加以注明。

4.2證書編號

4.2.1 對同一個組織實施的同一個信息技術服務管理體系認證，賦予一個認證證書編號。

4.2.2證書編號由認證機構批準號、獲證年份號、信息技術服務管理體系的英文縮寫、順序號、認證屬性、服務類別和子證書號構成，格式如下：

XXX XXXX ITSM XXX R0(1、2、?) XXXXXX -X

(機構批準號) (發證 年號) (項目縮寫) (順序號) (認證屬性) (服務類別) (子證書號)

多場所組織的子證書注冊號應與總部的注冊號相同在注冊號后加子證書的分號：-1，-2，…

通過認證的服務類別代碼，如：A-信息系統咨詢規劃服務。（代碼劃分規則見國家認監委確定的《開展信息技術服務管理體系認證的業務類別表》）

后綴表示初次認證或再認證換證號：初次認證為R0,第一

次再認證換證為R1，第二次再認證換證為R2，……

一個認證機構當年發出ITMS證書的順序累計號：001，002，……

證書所屬項目代號：ITSM為信息技術服務管理體系

證書發出年份：2012，2013，……

認證機構獲得認監委批準的機構編號的后三位數字（如只有兩位，末位以字母W補位）

4.2.3 同一個組織的認證范圍覆蓋多個場所并需要頒發子證書時，在子認證證書編號后加上“-”和序號，如-1(-2，-3，?)。

4.2.4 有效期內換發證書，認證證書編號中的機構注冊號、年份號、順序號和認證的有效期保持不變，應注明換證日期。

4.2.5 再認證完成后換發證書，按4.2.2規定重新賦予認證證書編號，第一次再認證為“R1”，第二次再認證為“R2”，依此類推。

4.2.6 撤銷證書后，原認證證書編號廢止，不再它用。

4.2.7認證證書上的認證機構名稱應與相應的認證機構批準書上的名稱一致。

4.3 對獲證組織正確宣傳認證結果的控制

認證機構應采取授權使用標識的方式來要求獲證組織在認證結果的宣傳和使用中采用本規則確定的認證依據，同時注明通過認證的服務類別和認證證書編號。在認證證書被暫停期間或撤銷后，應收回相應的授權。

不應授權獲證組織在產品上使用上述標識，或以表示產品合格的方式使用上述標識。

5 對獲證組織的信息通報要求及響應

5.1 為確保獲證組織的信息技術服務管理體系持續有效，認證機構應要求獲證組織建立信息通報制度，及時向認證機構通報以下信息：

(1)業務、地點、組織機構變化等情況的信息(及時通報)；

(2)顧客投訴的相關信息(每三個月通報一次)；

(3)組織的體系文件、服務目錄信息的變化；

(4)有嚴重信息技術服務事故的信息(及時通報)

(5)其他重要信息。(視情況)

5.2認證機構應對上述信息以及收集到的相關公共信息進行分析，視情況采取相應措施，包括增加監督審核頻次在內的措施和暫?；虺蜂N認證資格的措施。在發生重大客戶投訴等嚴重情況時，認證機構需立即采取措施。