1 適用范圍

本規(guī)則用于規(guī)范認證機構(gòu)在中國境內(nèi)開展信息技術(shù)服務(wù)管理體系認證活動。

2 認證依據(jù)

信息技術(shù)服務(wù)管理體系認證以國家標準 GB/T 24405.1《信息技術(shù) 服務(wù)管理 第1部分：規(guī)范》為認證依據(jù)，并按照國家認監(jiān)委確定的《開展信息技術(shù)服務(wù)管理體系認證的業(yè)務(wù)類別表》劃分認證類別。

3認證程序

3.1 認證申請

3.1.1認證機構(gòu)應(yīng)向申請認證的社會組織(以下稱申請組織)至少公開以下信息：

(1)認證范圍；

(2)認證工作程序；

(3)認證依據(jù)；

(4)證書有效期；

(5)認證收費標準。

3.1.2認證機構(gòu)應(yīng)要求申請組織的授權(quán)代表至少提供以下必要的信息：

(1)法人資格證明(工商營業(yè)執(zhí)照、事業(yè)單位法人證書或社會團體法人登記證書)；

(2)取得相關(guān)法規(guī)規(guī)定的行政許可文件(適用時)；

(3)從事的業(yè)務(wù)活動符合中華人民共和國相關(guān)法律、法規(guī)、信息技術(shù)服務(wù)標準和有關(guān)規(guī)范的要求；

(4)對信息技術(shù)服務(wù)管理體系認證范圍涉及的業(yè)務(wù)活動的描述，包括利用信息技術(shù)為內(nèi)部或外部顧客的業(yè)務(wù)過程提供支持的說明；

(5)已按認證依據(jù)和相關(guān)要求建立和實施了文件化的信息技術(shù)服務(wù)管理體系；

(6) 體系有效運行3個月以上，并且已完成內(nèi)部審核和管理評審。

3.1.3上述必要信息應(yīng)使認證機構(gòu)能夠確定：

(1)申請組織的行業(yè)類別和服務(wù)要求；

(2)申請認證的范圍；

(3)申請組織的一般特征，包括其名稱、物理場所的地址、利用信息技術(shù)為內(nèi)部或外部顧客的業(yè)務(wù)過程提供支持的說明、過程和運作的重要方面以及任何相關(guān)的法律義務(wù)；

(4)申請組織與申請認證的領(lǐng)域相關(guān)的一般信息，包括其活動，人力與技術(shù)資源，以及適用時，其在一個較大實體中的職能和關(guān)系；

(5)申請組織采用的所有影響符合性的外包過程的信息；

(6)接受與信息技術(shù)服務(wù)管理體系有關(guān)的咨詢的情況。

3.2申請評審

認證機構(gòu)應(yīng)根據(jù)認證依據(jù)、程序等要求，及時對申請組織提交的申請文件和資料進行評審并保存評審記錄，以確保：

(1)識別申請組織的行業(yè)類別和與之相應(yīng)的信息技術(shù)服務(wù)提供過程的特性和服務(wù)要求；

(2)掌握國家對相應(yīng)行業(yè)的信息技術(shù)服務(wù)管理體系認證的管理要求；

(3)申請組織及其管理體系的信息充分，可以進行審核；

(4)認證要求已有明確說明并形成文件，且已提供給申請組織；

(5)解決了認證機構(gòu)與申請組織之間任何已知的理解差異；

(6)認證機構(gòu)有能力并能夠?qū)嵤┱J證活動；

(7)考慮了申請的認證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認證活動的因素；

(8)保持了決定實施審核的理由的記錄。

3.3 現(xiàn)場審核的準備

3.3.1確定審核組

3.3.1.1認證審核人員必須取得信息技術(shù)服務(wù)管理體系認證注冊資格。

3.3.1.2 審核組應(yīng)由取得信息技術(shù)服務(wù)管理體系認證注冊資格的審核員組成，其中至少有一名專職審核員。必要時可以補充技術(shù)專家以增強審核組的技術(shù)能力。

3.3.1.3具有信息技術(shù)服務(wù)、信息技術(shù)服務(wù)法規(guī)等方面的特定知識的技術(shù)專家可以成為審核組成員。技術(shù)專家應(yīng)在審核員的監(jiān)督下進行工作，可就受審核方管理體系中技術(shù)充分性事宜為審核員提供建議，但技術(shù)專家不能作為審核員。

3.3.2 確定審核人日

認證機構(gòu)應(yīng)根據(jù)申請組織的規(guī)模、特性、業(yè)務(wù)復雜程度、信息技術(shù)服務(wù)管理體系涵蓋的范圍、認證要求和其承擔的風險等因素核算并確定審核人日，以確保審核的充分性和有效性。

3.4 初次認證審核

3.4.1 初次認證審核分第一階段和第二階段進行。第一階段與第二階段現(xiàn)場審核間隔應(yīng)不少于5個工作日且不多于60個工作日。

3.4.2 第一階段審核應(yīng)在申請組織的現(xiàn)場進行，審核內(nèi)容包括：

(1)審核申請組織的信息技術(shù)服務(wù)管理體系文件；

(2)評價申請組織的運作場所和現(xiàn)場的具體情況，并與申請組織的人員進行討論，以確定第二階段審核的準備情況；

(3)審查申請組織理解和實施信息技術(shù)服務(wù)管理體系標準要求的情況；

(4)審查申請組織是否系統(tǒng)而充分地識別與所提供的服務(wù)相關(guān)的法律法規(guī)和其他要求及其遵守情況；

(5)審查第二階段審核所需資源的配置情況，并與申請組織商定第二階段審核的細節(jié)；

(6)結(jié)合申請組織信息技術(shù)服務(wù)管理體系方針和目標，了解其審核準備狀態(tài)，為策劃第二階段的審核提供重點；

(7)評價申請組織是否策劃和實施了內(nèi)部審核與管理評審，以及信息技術(shù)服務(wù)管理體系的實施程度能否證明其已為第二階段審核做好準備。

3.4.3 認證機構(gòu)應(yīng)將第一階段審核發(fā)現(xiàn)形成文件并告知申請組織，包括識別任何引起關(guān)注的、在第二階段審核中可能被判定為不符合的問題。

3.4.4第二階段審核

第二階段審核應(yīng)在具備實施認證審核的條件下在申請組織的場所進行。如果第一階段審核提出影響實施第二階段審核的問題，這些問題應(yīng)在第二階段審核前得到解決。第二階段審核的目的是通過在申請組織的現(xiàn)場進行系統(tǒng)、完整地審核，評價申請組織的信息技術(shù)服務(wù)管理體系是否滿足所有適用的認證依據(jù)的要求，并判斷是否推薦認證注冊。應(yīng)重點關(guān)注申請組織是否充分識別了信息技術(shù)服務(wù)管理過程的重要性，并證實與申請組織的信息技術(shù)服務(wù)活動是相適應(yīng)的。

認證機構(gòu)應(yīng)要求申請組織證實其對信息技術(shù)服務(wù)管理過程的分析和組織運作實施了適當?shù)目刂拼胧?，?yīng)包括：

(1)服務(wù)交付過程(服務(wù)級別管理，服務(wù)報告，服務(wù)連續(xù)性和可用性管理，信息技術(shù)服務(wù)的預算和核算，能力管理，信息安全管理)；

(2)關(guān)系過程(業(yè)務(wù)關(guān)系管理，供方管理)；

(3)處理過程(事件管理，問題管理)；

(4)控制過程(配置管理，變更管理)；

(5)發(fā)布過程(發(fā)布管理)。

3.4.5 信息技術(shù)服務(wù)管理體系文件與其他管理體系文件的整合

只要信息技術(shù)服務(wù)管理體系以及與其他管理體系的適當接口能夠清楚地被識別，可以允許申請組織將信息技術(shù)服務(wù)管理體系文件與其他管理體系文件(例如，質(zhì)量管理體系、環(huán)境管理體系，職業(yè)健康安全管理體系等)相結(jié)合。

3.4.6 管理體系結(jié)合審核

3.4.6.1 認證機構(gòu)可以僅提供信息技術(shù)服務(wù)管理體系認證服務(wù)，或結(jié)合信息技術(shù)服務(wù)管理體系認證提供其他管理體系認證服務(wù)。認證機構(gòu)應(yīng)有程序確保在結(jié)合審核的情形下，對諸如審核范圍的界定、審核時間的確定、審核方案的策劃等進行有效的管理。

3.4.6.2 可以把信息技術(shù)服務(wù)管理體系的審核和其他管理體系的審核相結(jié)合，但是這種結(jié)合必須以審核活動滿足信息技術(shù)服務(wù)管理體系認證所有要求為前提，并且審核的質(zhì)量不應(yīng)由于結(jié)合審核而受到負面影響。在審核報告中，應(yīng)清晰體現(xiàn)所有與信息技術(shù)服務(wù)管理體系有關(guān)的重要要素的描述并易于識別。

3.4.7 初次認證的審核結(jié)論

審核組應(yīng)該對第一階段和第二階段審核中收集的所有信息和證據(jù)進行匯總分析，評價審核發(fā)現(xiàn)并就審核結(jié)論達成一致。

3.5 認證決定

3.5.1原則

3.5.1.1參加審核的人員不能再作為認證決定人員實施認證決定。

3.5.1.2 應(yīng)該以認證過程中收集的信息和其他相關(guān)信息為基礎(chǔ)，以充分的證據(jù)證實申請組織建立信息技術(shù)服務(wù)管理體系的管理評審和內(nèi)部審核的方案已經(jīng)得到有效實施并且將得到保持，才可決定申請組織通過認證。

3.5.2 決定

3.5.2.1對于通過認證的申請組織，向其頒發(fā)信息技術(shù)服務(wù)管理體系認證證書。

3.5.1.2對于未通過認證的申請組織，應(yīng)以書面的形式明示其不能通過認證的原因。

3.6 監(jiān)督審核

3.6.1 監(jiān)督頻次

認證機構(gòu)應(yīng)在滿足認可要求的基礎(chǔ)上，根據(jù)獲證組織信息技術(shù)服務(wù)管理體系覆蓋的業(yè)務(wù)活動的特點以及所承擔的風險，合理設(shè)計和確定監(jiān)督審核的時間間隔和頻次。當獲證組織信息技術(shù)服務(wù)管理體系發(fā)生重大變更，或發(fā)生重大問題、服務(wù)質(zhì)量事故、客戶投訴等情況時，認證機構(gòu)視情況可增加監(jiān)督的頻次。

監(jiān)督審核的最長時間間隔不超過12個月。由于獲證組織業(yè)務(wù)運作的時間(季節(jié))特點及其內(nèi)部審核安排等原因，可以合理選取和安排監(jiān)督周期及時機，在認證證書有效期內(nèi)的監(jiān)督審核必須覆蓋信息技術(shù)服務(wù)管理體系認證范圍內(nèi)的所有業(yè)務(wù)活動。

3.6.2 監(jiān)督審核應(yīng)包括，但不限于以下內(nèi)容：

(1)體系保持和變化情況；

(2)顧客投訴情況；

(3)涉及變更的范圍；

(4)內(nèi)部審核與管理評審；

(5)服務(wù)目錄的變化情況；

(6)對上次審核時提出的不符合所采取糾正措施的審查；

(7)標志的使用和（或）任何其他對認證資格的引用；

(8)適當時，其它選定的范圍。

3.6.3監(jiān)督審核結(jié)果評價

對于監(jiān)督審核合格的獲證組織，認證機構(gòu)應(yīng)作出保持其信息技術(shù)服務(wù)管理體系認證資格的決定；否則，應(yīng)暫停、撤銷或注銷相應(yīng)的認證資格。

3.7 再認證

認證證書有效期滿前，認證機構(gòu)根據(jù)獲證組織的申請對獲證組織實施再認證，以保證信息技術(shù)服務(wù)管理體系認證證書持續(xù)有效。

3.7.1 再認證審核的策劃

3.7.1.1 認證機構(gòu)應(yīng)策劃和實施再認證審核，以評價獲證組織是否持續(xù)滿足信息技術(shù)服務(wù)管理體系標準和相關(guān)的認證規(guī)范性文件的所有要求。

3.7.1.2 再認證審核應(yīng)考慮信息技術(shù)服務(wù)管理體系在認證周期內(nèi)的績效，包括調(diào)閱以前的監(jiān)督審核報告。

3.7.1.3 當獲證組織、獲證組織的信息技術(shù)服務(wù)管理體系或其運作環(huán)境有重大變更時，認證機構(gòu)應(yīng)有程序確保對再認證審核活動可能需要進行的第一階段審核實施管理。

3.7.1.4 對于多場所認證或依據(jù)多個管理體系標準進行的認證，再認證審核的策劃應(yīng)確保現(xiàn)場審核具有足夠的覆蓋范圍，以提供對信息技術(shù)服務(wù)管理體系認證的信任。

3.7.2 再認證程序應(yīng)與信息技術(shù)服務(wù)管理體系認證審核的要求和指南保持一致。

3.7.3 認證機構(gòu)應(yīng)根據(jù)再認證審核的結(jié)果，以及認證周期內(nèi)的體系評價結(jié)果和認證使用方的投訴，作出是否更新認證的決定。

3.8 特殊審核

3.8.1 擴大認證范圍

對于已授予的認證，認證機構(gòu)應(yīng)對獲證組織擴大認證范圍的申請進行評審，策劃并實施必要的審核活動，并在該審核活動中驗證獲證組織的信息技術(shù)服務(wù)管理體系的適宜性和有效性，以作出是否可予擴大的決定。擴大認證范圍的審核活動可單獨進行，也可和對獲證組織的監(jiān)督審核或再認證一起進行。

3.8.2 認證機構(gòu)為調(diào)查投訴、對變更做出回應(yīng)或?qū)Ρ粫和ＵJ證資格的獲證組織進行追蹤，可能需要在提前較短時間通知獲證組織后對其進行審核。此時：

(1)應(yīng)向獲證組織說明并使其提前了解將在何種條件下進行此類審核；

(2)由于獲證組織缺乏對審核組成員的任命表示反對的機會，認證機構(gòu)應(yīng)在指派審核組時給予更多的關(guān)注。

3.9 暫停、撤消認證或縮小認證范圍

3.9.1 認證機構(gòu)應(yīng)有暫停、撤消認證或縮小信息技術(shù)服務(wù)管理體系認證范圍的政策和形成文件的程序，并規(guī)定認證機構(gòu)的后續(xù)措施。

3.9.2 發(fā)生以下情況(但不限于)時，認證機構(gòu)應(yīng)暫停獲證組織的信息技術(shù)服務(wù)管理體系認證資格：

(1)獲證組織的信息技術(shù)服務(wù)管理體系持續(xù)地或嚴重地不滿足認證要求，包括對信息技術(shù)服務(wù)管理體系有效性的要求；

(2)獲證組織不允許按要求的頻次實施監(jiān)督或再認證審核；

(3)獲證組織不接受或不配合認證認可監(jiān)督管理部門的監(jiān)督管理；

(4)獲證組織主動請求暫停。

3.9.3認證資格暫停期最長不超過6個月。

3.9.4 在暫停認證期間，獲證組織的信息技術(shù)服務(wù)管理體系認證證書暫時無效。認證機構(gòu)應(yīng)做出具有強制實施力的安排，以確保暫停認證期間避免獲證組織繼續(xù)宣傳信息技術(shù)服務(wù)管理體系認證資格。認證機構(gòu)應(yīng)使認證證書的暫停信息可公開獲取，并采取其認為適當?shù)娜魏纹渌胧?/p>

3.9.5 如果獲證組織未能在認證機構(gòu)規(guī)定的時限內(nèi)解決造成暫停認證的問題，認證機構(gòu)應(yīng)撤消其信息技術(shù)服務(wù)管理體系認證或縮小其相應(yīng)的認證范圍。

3.9.6 如果獲證組織在認證范圍的某些部分持續(xù)地或嚴重地不滿足認證要求，認證機構(gòu)應(yīng)縮小其信息技術(shù)服務(wù)管理體系認證范圍，以排除不滿足要求的部分。認證范圍的縮小應(yīng)與認證標準的要求一致。

3.9.7 認證機構(gòu)應(yīng)與獲證組織就撤消信息技術(shù)服務(wù)管理體系認證時的要求做出具有強制實施力的安排，以確保獲證組織接到撤消認證的通知時，立即停止使用任何引用信息技術(shù)服務(wù)管理體系認證資格的廣告材料。

3.9.8 在任何組織提出請求時，認證機構(gòu)應(yīng)正確說明獲證組織的信息技術(shù)服務(wù)管理體系認證被暫停、撤消或縮小的情況。

4 認證證書

4.1證書內(nèi)容

認證證書內(nèi)容應(yīng)以中文書寫，至少包括以下方面：

(1)認證證書名稱，即信息技術(shù)服務(wù)管理體系認證證書；

(2)符合本規(guī)則4.2項規(guī)定的證書編號；

(3)獲證組織名稱、注冊地址、受審核地址和郵政編碼；

(4)符合本規(guī)則2項的認證依據(jù)；

(5)通過認證的服務(wù)類別；

(6)頒證日期、換證日期以及證書有效期的起止年月日。如頒證日期：2002 年5月1日，有效期：2002年5月1日至2005年4月30日；

(7)認證機構(gòu)的名稱及其標志；

(8)認證機構(gòu)的印章和法定代表人代表或其授權(quán)人的簽字；

(9)認可標識及認可注冊號(應(yīng)為國家認監(jiān)委確定的認可機構(gòu)的標識，以申請認可為目的發(fā)出的證書可沒有此內(nèi)容)；

4.1.1 如果認證所覆蓋產(chǎn)品(或服務(wù))的類別及其所涉及的過程和覆蓋的場所較多，需在證書附件上加以注明。

4.2證書編號

4.2.1 對同一個組織實施的同一個信息技術(shù)服務(wù)管理體系認證，賦予一個認證證書編號。

4.2.2證書編號由認證機構(gòu)批準號、獲證年份號、信息技術(shù)服務(wù)管理體系的英文縮寫、順序號、認證屬性、服務(wù)類別和子證書號構(gòu)成，格式如下：

XXX XXXX ITSM XXX R0(1、2、?) XXXXXX -X

(機構(gòu)批準號) (發(fā)證 年號) (項目縮寫) (順序號) (認證屬性) (服務(wù)類別) (子證書號)

多場所組織的子證書注冊號應(yīng)與總部的注冊號相同在注冊號后加子證書的分號：-1，-2，…

通過認證的服務(wù)類別代碼，如：A-信息系統(tǒng)咨詢規(guī)劃服務(wù)。（代碼劃分規(guī)則見國家認監(jiān)委確定的《開展信息技術(shù)服務(wù)管理體系認證的業(yè)務(wù)類別表》）

后綴表示初次認證或再認證換證號：初次認證為R0,第一

次再認證換證為R1，第二次再認證換證為R2，……

一個認證機構(gòu)當年發(fā)出ITMS證書的順序累計號：001，002，……

證書所屬項目代號：ITSM為信息技術(shù)服務(wù)管理體系

證書發(fā)出年份：2012，2013，……

認證機構(gòu)獲得認監(jiān)委批準的機構(gòu)編號的后三位數(shù)字（如只有兩位，末位以字母W補位）

4.2.3 同一個組織的認證范圍覆蓋多個場所并需要頒發(fā)子證書時，在子認證證書編號后加上“-”和序號，如-1(-2，-3，?)。

4.2.4 有效期內(nèi)換發(fā)證書，認證證書編號中的機構(gòu)注冊號、年份號、順序號和認證的有效期保持不變，應(yīng)注明換證日期。

4.2.5 再認證完成后換發(fā)證書，按4.2.2規(guī)定重新賦予認證證書編號，第一次再認證為“R1”，第二次再認證為“R2”，依此類推。

4.2.6 撤銷證書后，原認證證書編號廢止，不再它用。

4.2.7認證證書上的認證機構(gòu)名稱應(yīng)與相應(yīng)的認證機構(gòu)批準書上的名稱一致。

4.3 對獲證組織正確宣傳認證結(jié)果的控制

認證機構(gòu)應(yīng)采取授權(quán)使用標識的方式來要求獲證組織在認證結(jié)果的宣傳和使用中采用本規(guī)則確定的認證依據(jù)，同時注明通過認證的服務(wù)類別和認證證書編號。在認證證書被暫停期間或撤銷后，應(yīng)收回相應(yīng)的授權(quán)。

不應(yīng)授權(quán)獲證組織在產(chǎn)品上使用上述標識，或以表示產(chǎn)品合格的方式使用上述標識。

5 對獲證組織的信息通報要求及響應(yīng)

5.1 為確保獲證組織的信息技術(shù)服務(wù)管理體系持續(xù)有效，認證機構(gòu)應(yīng)要求獲證組織建立信息通報制度，及時向認證機構(gòu)通報以下信息：

(1)業(yè)務(wù)、地點、組織機構(gòu)變化等情況的信息(及時通報)；

(2)顧客投訴的相關(guān)信息(每三個月通報一次)；

(3)組織的體系文件、服務(wù)目錄信息的變化；

(4)有嚴重信息技術(shù)服務(wù)事故的信息(及時通報)

(5)其他重要信息。(視情況)

5.2認證機構(gòu)應(yīng)對上述信息以及收集到的相關(guān)公共信息進行分析，視情況采取相應(yīng)措施，包括增加監(jiān)督審核頻次在內(nèi)的措施和暫?；虺蜂N認證資格的措施。在發(fā)生重大客戶投訴等嚴重情況時，認證機構(gòu)需立即采取措施。