1 適用范圍

本規(guī)則用于規(guī)范認(rèn)證機構(gòu)在中國境內(nèi)開展信息技術(shù)服務(wù)管理體系認(rèn)證活動。

2 認(rèn)證依據(jù)

信息技術(shù)服務(wù)管理體系認(rèn)證以國家標(biāo)準(zhǔn) GB/T 24405.1《信息技術(shù) 服務(wù)管理 第1部分：規(guī)范》為認(rèn)證依據(jù)，并按照國家認(rèn)監(jiān)委確定的《開展信息技術(shù)服務(wù)管理體系認(rèn)證的業(yè)務(wù)類別表》劃分認(rèn)證類別。

3認(rèn)證程序

3.1 認(rèn)證申請

3.1.1認(rèn)證機構(gòu)應(yīng)向申請認(rèn)證的社會組織(以下稱申請組織)至少公開以下信息：

(1)認(rèn)證范圍；

(2)認(rèn)證工作程序；

(3)認(rèn)證依據(jù)；

(4)證書有效期；

(5)認(rèn)證收費標(biāo)準(zhǔn)。

3.1.2認(rèn)證機構(gòu)應(yīng)要求申請組織的授權(quán)代表至少提供以下必要的信息：

(1)法人資格證明(工商營業(yè)執(zhí)照、事業(yè)單位法人證書或社會團體法人登記證書)；

(2)取得相關(guān)法規(guī)規(guī)定的行政許可文件(適用時)；

(3)從事的業(yè)務(wù)活動符合中華人民共和國相關(guān)法律、法規(guī)、信息技術(shù)服務(wù)標(biāo)準(zhǔn)和有關(guān)規(guī)范的要求；

(4)對信息技術(shù)服務(wù)管理體系認(rèn)證范圍涉及的業(yè)務(wù)活動的描述，包括利用信息技術(shù)為內(nèi)部或外部顧客的業(yè)務(wù)過程提供支持的說明；

(5)已按認(rèn)證依據(jù)和相關(guān)要求建立和實施了文件化的信息技術(shù)服務(wù)管理體系；

(6) 體系有效運行3個月以上，并且已完成內(nèi)部審核和管理評審。

3.1.3上述必要信息應(yīng)使認(rèn)證機構(gòu)能夠確定：

(1)申請組織的行業(yè)類別和服務(wù)要求；

(2)申請認(rèn)證的范圍；

(3)申請組織的一般特征，包括其名稱、物理場所的地址、利用信息技術(shù)為內(nèi)部或外部顧客的業(yè)務(wù)過程提供支持的說明、過程和運作的重要方面以及任何相關(guān)的法律義務(wù)；

(4)申請組織與申請認(rèn)證的領(lǐng)域相關(guān)的一般信息，包括其活動，人力與技術(shù)資源，以及適用時，其在一個較大實體中的職能和關(guān)系；

(5)申請組織采用的所有影響符合性的外包過程的信息；

(6)接受與信息技術(shù)服務(wù)管理體系有關(guān)的咨詢的情況。

3.2申請評審

認(rèn)證機構(gòu)應(yīng)根據(jù)認(rèn)證依據(jù)、程序等要求，及時對申請組織提交的申請文件和資料進行評審并保存評審記錄，以確保：

(1)識別申請組織的行業(yè)類別和與之相應(yīng)的信息技術(shù)服務(wù)提供過程的特性和服務(wù)要求；

(2)掌握國家對相應(yīng)行業(yè)的信息技術(shù)服務(wù)管理體系認(rèn)證的管理要求；

(3)申請組織及其管理體系的信息充分，可以進行審核；

(4)認(rèn)證要求已有明確說明并形成文件，且已提供給申請組織；

(5)解決了認(rèn)證機構(gòu)與申請組織之間任何已知的理解差異；

(6)認(rèn)證機構(gòu)有能力并能夠?qū)嵤┱J(rèn)證活動；

(7)考慮了申請的認(rèn)證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認(rèn)證活動的因素；

(8)保持了決定實施審核的理由的記錄。

3.3 現(xiàn)場審核的準(zhǔn)備

3.3.1確定審核組

3.3.1.1認(rèn)證審核人員必須取得信息技術(shù)服務(wù)管理體系認(rèn)證注冊資格。

3.3.1.2 審核組應(yīng)由取得信息技術(shù)服務(wù)管理體系認(rèn)證注冊資格的審核員組成，其中至少有一名專職審核員。必要時可以補充技術(shù)專家以增強審核組的技術(shù)能力。

3.3.1.3具有信息技術(shù)服務(wù)、信息技術(shù)服務(wù)法規(guī)等方面的特定知識的技術(shù)專家可以成為審核組成員。技術(shù)專家應(yīng)在審核員的監(jiān)督下進行工作，可就受審核方管理體系中技術(shù)充分性事宜為審核員提供建議，但技術(shù)專家不能作為審核員。

3.3.2 確定審核人日

認(rèn)證機構(gòu)應(yīng)根據(jù)申請組織的規(guī)模、特性、業(yè)務(wù)復(fù)雜程度、信息技術(shù)服務(wù)管理體系涵蓋的范圍、認(rèn)證要求和其承擔(dān)的風(fēng)險等因素核算并確定審核人日，以確保審核的充分性和有效性。

3.4 初次認(rèn)證審核

3.4.1 初次認(rèn)證審核分第一階段和第二階段進行。第一階段與第二階段現(xiàn)場審核間隔應(yīng)不少于5個工作日且不多于60個工作日。

3.4.2 第一階段審核應(yīng)在申請組織的現(xiàn)場進行，審核內(nèi)容包括：

(1)審核申請組織的信息技術(shù)服務(wù)管理體系文件；

(2)評價申請組織的運作場所和現(xiàn)場的具體情況，并與申請組織的人員進行討論，以確定第二階段審核的準(zhǔn)備情況；

(3)審查申請組織理解和實施信息技術(shù)服務(wù)管理體系標(biāo)準(zhǔn)要求的情況；

(4)審查申請組織是否系統(tǒng)而充分地識別與所提供的服務(wù)相關(guān)的法律法規(guī)和其他要求及其遵守情況；

(5)審查第二階段審核所需資源的配置情況，并與申請組織商定第二階段審核的細(xì)節(jié)；

(6)結(jié)合申請組織信息技術(shù)服務(wù)管理體系方針和目標(biāo)，了解其審核準(zhǔn)備狀態(tài)，為策劃第二階段的審核提供重點；

(7)評價申請組織是否策劃和實施了內(nèi)部審核與管理評審，以及信息技術(shù)服務(wù)管理體系的實施程度能否證明其已為第二階段審核做好準(zhǔn)備。

3.4.3 認(rèn)證機構(gòu)應(yīng)將第一階段審核發(fā)現(xiàn)形成文件并告知申請組織，包括識別任何引起關(guān)注的、在第二階段審核中可能被判定為不符合的問題。

3.4.4第二階段審核

第二階段審核應(yīng)在具備實施認(rèn)證審核的條件下在申請組織的場所進行。如果第一階段審核提出影響實施第二階段審核的問題，這些問題應(yīng)在第二階段審核前得到解決。第二階段審核的目的是通過在申請組織的現(xiàn)場進行系統(tǒng)、完整地審核，評價申請組織的信息技術(shù)服務(wù)管理體系是否滿足所有適用的認(rèn)證依據(jù)的要求，并判斷是否推薦認(rèn)證注冊。應(yīng)重點關(guān)注申請組織是否充分識別了信息技術(shù)服務(wù)管理過程的重要性，并證實與申請組織的信息技術(shù)服務(wù)活動是相適應(yīng)的。

認(rèn)證機構(gòu)應(yīng)要求申請組織證實其對信息技術(shù)服務(wù)管理過程的分析和組織運作實施了適當(dāng)?shù)目刂拼胧瑧?yīng)包括：

(1)服務(wù)交付過程(服務(wù)級別管理，服務(wù)報告，服務(wù)連續(xù)性和可用性管理，信息技術(shù)服務(wù)的預(yù)算和核算，能力管理，信息安全管理)；

(2)關(guān)系過程(業(yè)務(wù)關(guān)系管理，供方管理)；

(3)處理過程(事件管理，問題管理)；

(4)控制過程(配置管理，變更管理)；

(5)發(fā)布過程(發(fā)布管理)。

3.4.5 信息技術(shù)服務(wù)管理體系文件與其他管理體系文件的整合

只要信息技術(shù)服務(wù)管理體系以及與其他管理體系的適當(dāng)接口能夠清楚地被識別，可以允許申請組織將信息技術(shù)服務(wù)管理體系文件與其他管理體系文件(例如，質(zhì)量管理體系、環(huán)境管理體系，職業(yè)健康安全管理體系等)相結(jié)合。

3.4.6 管理體系結(jié)合審核

3.4.6.1 認(rèn)證機構(gòu)可以僅提供信息技術(shù)服務(wù)管理體系認(rèn)證服務(wù)，或結(jié)合信息技術(shù)服務(wù)管理體系認(rèn)證提供其他管理體系認(rèn)證服務(wù)。認(rèn)證機構(gòu)應(yīng)有程序確保在結(jié)合審核的情形下，對諸如審核范圍的界定、審核時間的確定、審核方案的策劃等進行有效的管理。

3.4.6.2 可以把信息技術(shù)服務(wù)管理體系的審核和其他管理體系的審核相結(jié)合，但是這種結(jié)合必須以審核活動滿足信息技術(shù)服務(wù)管理體系認(rèn)證所有要求為前提，并且審核的質(zhì)量不應(yīng)由于結(jié)合審核而受到負(fù)面影響。在審核報告中，應(yīng)清晰體現(xiàn)所有與信息技術(shù)服務(wù)管理體系有關(guān)的重要要素的描述并易于識別。

3.4.7 初次認(rèn)證的審核結(jié)論

審核組應(yīng)該對第一階段和第二階段審核中收集的所有信息和證據(jù)進行匯總分析，評價審核發(fā)現(xiàn)并就審核結(jié)論達成一致。

3.5 認(rèn)證決定

3.5.1原則

3.5.1.1參加審核的人員不能再作為認(rèn)證決定人員實施認(rèn)證決定。

3.5.1.2 應(yīng)該以認(rèn)證過程中收集的信息和其他相關(guān)信息為基礎(chǔ)，以充分的證據(jù)證實申請組織建立信息技術(shù)服務(wù)管理體系的管理評審和內(nèi)部審核的方案已經(jīng)得到有效實施并且將得到保持，才可決定申請組織通過認(rèn)證。

3.5.2 決定

3.5.2.1對于通過認(rèn)證的申請組織，向其頒發(fā)信息技術(shù)服務(wù)管理體系認(rèn)證證書。

3.5.1.2對于未通過認(rèn)證的申請組織，應(yīng)以書面的形式明示其不能通過認(rèn)證的原因。

3.6 監(jiān)督審核

3.6.1 監(jiān)督頻次

認(rèn)證機構(gòu)應(yīng)在滿足認(rèn)可要求的基礎(chǔ)上，根據(jù)獲證組織信息技術(shù)服務(wù)管理體系覆蓋的業(yè)務(wù)活動的特點以及所承擔(dān)的風(fēng)險，合理設(shè)計和確定監(jiān)督審核的時間間隔和頻次。當(dāng)獲證組織信息技術(shù)服務(wù)管理體系發(fā)生重大變更，或發(fā)生重大問題、服務(wù)質(zhì)量事故、客戶投訴等情況時，認(rèn)證機構(gòu)視情況可增加監(jiān)督的頻次。

監(jiān)督審核的最長時間間隔不超過12個月。由于獲證組織業(yè)務(wù)運作的時間(季節(jié))特點及其內(nèi)部審核安排等原因，可以合理選取和安排監(jiān)督周期及時機，在認(rèn)證證書有效期內(nèi)的監(jiān)督審核必須覆蓋信息技術(shù)服務(wù)管理體系認(rèn)證范圍內(nèi)的所有業(yè)務(wù)活動。

3.6.2 監(jiān)督審核應(yīng)包括，但不限于以下內(nèi)容：

(1)體系保持和變化情況；

(2)顧客投訴情況；

(3)涉及變更的范圍；

(4)內(nèi)部審核與管理評審；

(5)服務(wù)目錄的變化情況；

(6)對上次審核時提出的不符合所采取糾正措施的審查；

(7)標(biāo)志的使用和（或）任何其他對認(rèn)證資格的引用；

(8)適當(dāng)時，其它選定的范圍。

3.6.3監(jiān)督審核結(jié)果評價

對于監(jiān)督審核合格的獲證組織，認(rèn)證機構(gòu)應(yīng)作出保持其信息技術(shù)服務(wù)管理體系認(rèn)證資格的決定；否則，應(yīng)暫停、撤銷或注銷相應(yīng)的認(rèn)證資格。

3.7 再認(rèn)證

認(rèn)證證書有效期滿前，認(rèn)證機構(gòu)根據(jù)獲證組織的申請對獲證組織實施再認(rèn)證，以保證信息技術(shù)服務(wù)管理體系認(rèn)證證書持續(xù)有效。

3.7.1 再認(rèn)證審核的策劃

3.7.1.1 認(rèn)證機構(gòu)應(yīng)策劃和實施再認(rèn)證審核，以評價獲證組織是否持續(xù)滿足信息技術(shù)服務(wù)管理體系標(biāo)準(zhǔn)和相關(guān)的認(rèn)證規(guī)范性文件的所有要求。

3.7.1.2 再認(rèn)證審核應(yīng)考慮信息技術(shù)服務(wù)管理體系在認(rèn)證周期內(nèi)的績效，包括調(diào)閱以前的監(jiān)督審核報告。

3.7.1.3 當(dāng)獲證組織、獲證組織的信息技術(shù)服務(wù)管理體系或其運作環(huán)境有重大變更時，認(rèn)證機構(gòu)應(yīng)有程序確保對再認(rèn)證審核活動可能需要進行的第一階段審核實施管理。

3.7.1.4 對于多場所認(rèn)證或依據(jù)多個管理體系標(biāo)準(zhǔn)進行的認(rèn)證，再認(rèn)證審核的策劃應(yīng)確保現(xiàn)場審核具有足夠的覆蓋范圍，以提供對信息技術(shù)服務(wù)管理體系認(rèn)證的信任。

3.7.2 再認(rèn)證程序應(yīng)與信息技術(shù)服務(wù)管理體系認(rèn)證審核的要求和指南保持一致。

3.7.3 認(rèn)證機構(gòu)應(yīng)根據(jù)再認(rèn)證審核的結(jié)果，以及認(rèn)證周期內(nèi)的體系評價結(jié)果和認(rèn)證使用方的投訴，作出是否更新認(rèn)證的決定。

3.8 特殊審核

3.8.1 擴大認(rèn)證范圍

對于已授予的認(rèn)證，認(rèn)證機構(gòu)應(yīng)對獲證組織擴大認(rèn)證范圍的申請進行評審，策劃并實施必要的審核活動，并在該審核活動中驗證獲證組織的信息技術(shù)服務(wù)管理體系的適宜性和有效性，以作出是否可予擴大的決定。擴大認(rèn)證范圍的審核活動可單獨進行，也可和對獲證組織的監(jiān)督審核或再認(rèn)證一起進行。

3.8.2 認(rèn)證機構(gòu)為調(diào)查投訴、對變更做出回應(yīng)或?qū)Ρ粫和ＵJ(rèn)證資格的獲證組織進行追蹤，可能需要在提前較短時間通知獲證組織后對其進行審核。此時：

(1)應(yīng)向獲證組織說明并使其提前了解將在何種條件下進行此類審核；

(2)由于獲證組織缺乏對審核組成員的任命表示反對的機會，認(rèn)證機構(gòu)應(yīng)在指派審核組時給予更多的關(guān)注。

3.9 暫停、撤消認(rèn)證或縮小認(rèn)證范圍

3.9.1 認(rèn)證機構(gòu)應(yīng)有暫停、撤消認(rèn)證或縮小信息技術(shù)服務(wù)管理體系認(rèn)證范圍的政策和形成文件的程序，并規(guī)定認(rèn)證機構(gòu)的后續(xù)措施。

3.9.2 發(fā)生以下情況(但不限于)時，認(rèn)證機構(gòu)應(yīng)暫停獲證組織的信息技術(shù)服務(wù)管理體系認(rèn)證資格：

(1)獲證組織的信息技術(shù)服務(wù)管理體系持續(xù)地或嚴(yán)重地不滿足認(rèn)證要求，包括對信息技術(shù)服務(wù)管理體系有效性的要求；

(2)獲證組織不允許按要求的頻次實施監(jiān)督或再認(rèn)證審核；

(3)獲證組織不接受或不配合認(rèn)證認(rèn)可監(jiān)督管理部門的監(jiān)督管理；

(4)獲證組織主動請求暫停。

3.9.3認(rèn)證資格暫停期最長不超過6個月。

3.9.4 在暫停認(rèn)證期間，獲證組織的信息技術(shù)服務(wù)管理體系認(rèn)證證書暫時無效。認(rèn)證機構(gòu)應(yīng)做出具有強制實施力的安排，以確保暫停認(rèn)證期間避免獲證組織繼續(xù)宣傳信息技術(shù)服務(wù)管理體系認(rèn)證資格。認(rèn)證機構(gòu)應(yīng)使認(rèn)證證書的暫停信息可公開獲取，并采取其認(rèn)為適當(dāng)?shù)娜魏纹渌胧?/p>

3.9.5 如果獲證組織未能在認(rèn)證機構(gòu)規(guī)定的時限內(nèi)解決造成暫停認(rèn)證的問題，認(rèn)證機構(gòu)應(yīng)撤消其信息技術(shù)服務(wù)管理體系認(rèn)證或縮小其相應(yīng)的認(rèn)證范圍。

3.9.6 如果獲證組織在認(rèn)證范圍的某些部分持續(xù)地或嚴(yán)重地不滿足認(rèn)證要求，認(rèn)證機構(gòu)應(yīng)縮小其信息技術(shù)服務(wù)管理體系認(rèn)證范圍，以排除不滿足要求的部分。認(rèn)證范圍的縮小應(yīng)與認(rèn)證標(biāo)準(zhǔn)的要求一致。

3.9.7 認(rèn)證機構(gòu)應(yīng)與獲證組織就撤消信息技術(shù)服務(wù)管理體系認(rèn)證時的要求做出具有強制實施力的安排，以確保獲證組織接到撤消認(rèn)證的通知時，立即停止使用任何引用信息技術(shù)服務(wù)管理體系認(rèn)證資格的廣告材料。

3.9.8 在任何組織提出請求時，認(rèn)證機構(gòu)應(yīng)正確說明獲證組織的信息技術(shù)服務(wù)管理體系認(rèn)證被暫停、撤消或縮小的情況。

4 認(rèn)證證書

4.1證書內(nèi)容

認(rèn)證證書內(nèi)容應(yīng)以中文書寫，至少包括以下方面：

(1)認(rèn)證證書名稱，即信息技術(shù)服務(wù)管理體系認(rèn)證證書；

(2)符合本規(guī)則4.2項規(guī)定的證書編號；

(3)獲證組織名稱、注冊地址、受審核地址和郵政編碼；

(4)符合本規(guī)則2項的認(rèn)證依據(jù)；

(5)通過認(rèn)證的服務(wù)類別；

(6)頒證日期、換證日期以及證書有效期的起止年月日。如頒證日期：2002 年5月1日，有效期：2002年5月1日至2005年4月30日；

(7)認(rèn)證機構(gòu)的名稱及其標(biāo)志；

(8)認(rèn)證機構(gòu)的印章和法定代表人代表或其授權(quán)人的簽字；

(9)認(rèn)可標(biāo)識及認(rèn)可注冊號(應(yīng)為國家認(rèn)監(jiān)委確定的認(rèn)可機構(gòu)的標(biāo)識，以申請認(rèn)可為目的發(fā)出的證書可沒有此內(nèi)容)；

4.1.1 如果認(rèn)證所覆蓋產(chǎn)品(或服務(wù))的類別及其所涉及的過程和覆蓋的場所較多，需在證書附件上加以注明。

4.2證書編號

4.2.1 對同一個組織實施的同一個信息技術(shù)服務(wù)管理體系認(rèn)證，賦予一個認(rèn)證證書編號。

4.2.2證書編號由認(rèn)證機構(gòu)批準(zhǔn)號、獲證年份號、信息技術(shù)服務(wù)管理體系的英文縮寫、順序號、認(rèn)證屬性、服務(wù)類別和子證書號構(gòu)成，格式如下：

XXX XXXX ITSM XXX R0(1、2、?) XXXXXX -X

(機構(gòu)批準(zhǔn)號) (發(fā)證 年號) (項目縮寫) (順序號) (認(rèn)證屬性) (服務(wù)類別) (子證書號)

多場所組織的子證書注冊號應(yīng)與總部的注冊號相同在注冊號后加子證書的分號：-1，-2，…

通過認(rèn)證的服務(wù)類別代碼，如：A-信息系統(tǒng)咨詢規(guī)劃服務(wù)。（代碼劃分規(guī)則見國家認(rèn)監(jiān)委確定的《開展信息技術(shù)服務(wù)管理體系認(rèn)證的業(yè)務(wù)類別表》）

后綴表示初次認(rèn)證或再認(rèn)證換證號：初次認(rèn)證為R0,第一

次再認(rèn)證換證為R1，第二次再認(rèn)證換證為R2，……

一個認(rèn)證機構(gòu)當(dāng)年發(fā)出ITMS證書的順序累計號：001，002，……

證書所屬項目代號：ITSM為信息技術(shù)服務(wù)管理體系

證書發(fā)出年份：2012，2013，……

認(rèn)證機構(gòu)獲得認(rèn)監(jiān)委批準(zhǔn)的機構(gòu)編號的后三位數(shù)字（如只有兩位，末位以字母W補位）

4.2.3 同一個組織的認(rèn)證范圍覆蓋多個場所并需要頒發(fā)子證書時，在子認(rèn)證證書編號后加上“-”和序號，如-1(-2，-3，?)。

4.2.4 有效期內(nèi)換發(fā)證書，認(rèn)證證書編號中的機構(gòu)注冊號、年份號、順序號和認(rèn)證的有效期保持不變，應(yīng)注明換證日期。

4.2.5 再認(rèn)證完成后換發(fā)證書，按4.2.2規(guī)定重新賦予認(rèn)證證書編號，第一次再認(rèn)證為“R1”，第二次再認(rèn)證為“R2”，依此類推。

4.2.6 撤銷證書后，原認(rèn)證證書編號廢止，不再它用。

4.2.7認(rèn)證證書上的認(rèn)證機構(gòu)名稱應(yīng)與相應(yīng)的認(rèn)證機構(gòu)批準(zhǔn)書上的名稱一致。

4.3 對獲證組織正確宣傳認(rèn)證結(jié)果的控制

認(rèn)證機構(gòu)應(yīng)采取授權(quán)使用標(biāo)識的方式來要求獲證組織在認(rèn)證結(jié)果的宣傳和使用中采用本規(guī)則確定的認(rèn)證依據(jù)，同時注明通過認(rèn)證的服務(wù)類別和認(rèn)證證書編號。在認(rèn)證證書被暫停期間或撤銷后，應(yīng)收回相應(yīng)的授權(quán)。

不應(yīng)授權(quán)獲證組織在產(chǎn)品上使用上述標(biāo)識，或以表示產(chǎn)品合格的方式使用上述標(biāo)識。

5 對獲證組織的信息通報要求及響應(yīng)

5.1 為確保獲證組織的信息技術(shù)服務(wù)管理體系持續(xù)有效，認(rèn)證機構(gòu)應(yīng)要求獲證組織建立信息通報制度，及時向認(rèn)證機構(gòu)通報以下信息：

(1)業(yè)務(wù)、地點、組織機構(gòu)變化等情況的信息(及時通報)；

(2)顧客投訴的相關(guān)信息(每三個月通報一次)；

(3)組織的體系文件、服務(wù)目錄信息的變化；

(4)有嚴(yán)重信息技術(shù)服務(wù)事故的信息(及時通報)

(5)其他重要信息。(視情況)

5.2認(rèn)證機構(gòu)應(yīng)對上述信息以及收集到的相關(guān)公共信息進行分析，視情況采取相應(yīng)措施，包括增加監(jiān)督審核頻次在內(nèi)的措施和暫停或撤銷認(rèn)證資格的措施。在發(fā)生重大客戶投訴等嚴(yán)重情況時，認(rèn)證機構(gòu)需立即采取措施。