信息技术服务管理体系认证实施规则
iso20000信息技术服务体系认证流程和资料
iso20000信息技术服务体系认证流程和资料ISO20000信息技术服务体系认证流程和资料一、引言信息技术服务在现代社会中扮演着越来越重要的角色,ISO20000信息技术服务体系认证作为国际上公认的信息技术服务质量管理标准,对于提升企业的服务质量、推动企业的信息化进程具有重要意义。
本文将深入探讨ISO20000信息技术服务体系认证的流程和所需资料,并分享本人对该主题的个人观点和理解。
二、ISO20000信息技术服务体系认证流程1. 筹备阶段ISO20000信息技术服务体系认证的筹备阶段是该认证过程中最为重要的阶段。
在筹备阶段,企业需明确认证的目标和范围,建立ISO20000信息技术服务体系认证项目组,制定质量手册和程序文件,培训认证的相关人员,并进行内审和管理评审。
2. 实施阶段在筹备阶段的基础上,企业需进入ISO20000信息技术服务体系认证的实施阶段。
在该阶段,企业需要制定实施计划,并将质量手册、程序文件和其他相关的文件纳入到信息技术服务体系中。
企业需要对实施中的服务过程进行监控和测量,以确保ISO20000的要求得到满足。
3. 审核阶段审核阶段是ISO20000信息技术服务体系认证的关键阶段,企业需要通过内部审核和外部审核来进行审核过程。
在内部审核的过程中,企业需要对信息技术服务体系进行审查,并进行必要的改进。
而在外部审核过程中,企业需要请权威机构对其信息技术服务体系进行审核,以确认其是否符合ISO20000的要求。
4. 证书颁发阶段经过审核通过后,企业将会获得ISO20000信息技术服务体系认证,并颁发相关的认证证书。
该证书将成为企业参与信息技术服务市场竞争的有力凭证,并有助于企业提升其服务质量和市场形象。
三、ISO20000信息技术服务体系认证所需资料1. 企业基本资料ISO20000信息技术服务体系认证所需的企业基本资料包括企业的名称、注册位置区域、经营范围等基本信息。
2. 质量手册和程序文件企业需要准备质量手册和相关的程序文件,以确保企业的信息技术服务体系符合ISO20000的要求。
信息技术服务管理认证体系
信息技术服务管理认证体系信息技术服务管理认证体系是指一套涵盖信息技术服务管理体系标准、认证机构和认证流程的制度体系,旨在对信息技术服务机构的管理体系、服务质量和安全性进行评估和认证。
该体系的建立可以帮助信息技术服务机构提升管理水平,提高服务质量,增强客户信任度,促进信息技术服务市场的健康发展。
本文将从认证体系的概念、目标、标准体系、认证流程和认证价值等方面进行阐述。
一、认证体系的概念信息技术服务管理认证体系是指基于一定的管理体系标准和认证规范,通过第三方认证机构对信息技术服务机构的管理体系、服务质量和安全性进行评估和认证的一种制度体系。
认证体系旨在帮助信息技术服务机构建立科学的管理体系,提高服务水平,保障客户利益,增强市场竞争力。
二、认证体系的目标1. 提高服务质量:通过认证体系的建立,促使信息技术服务机构加强内部管理、规范服务流程,从而提高服务质量和客户满意度。
2. 强化信息安全:认证体系通过对信息技术服务机构的安全管理体系进行评估,加强信息安全意识,防范和管理信息安全风险,保护客户数据安全。
3. 增强市场竞争力:获得认证的信息技术服务机构可以凭借认证标识,向客户展示其管理水平和服务质量,增强市场竞争能力,拓展业务。
三、认证体系的标准体系目前国际上常用的信息技术服务管理认证标准包括ISO/IEC 20000-1、ITIL等。
ISO/IEC 20000-1是信息技术服务管理体系国际标准,旨在为信息技术服务机构建立和持续改进其服务管理体系提供指南。
ITIL(Information Technology Infrastructure Library)是一套关于信息技术服务管理的最佳实践框架,通过对服务策略、设计、过渡、运营和不断改进的全面管理,提高信息技术服务的质量和价值。
四、认证体系的认证流程认证机构通常按照以下步骤进行认证流程:1. 申请阶段:信息技术服务机构向认证机构提交认证申请和相关资料。
2. 文件审查:认证机构对申请单位提交的管理体系文件进行审查,评估其是否符合认证标准的要求。
信息技术服务管理体系认证审核要求与指南
在当今信息时代,信息技术服务管理体系认证已经成为了企业提高服务质量、保障信息安全和持续改进的重要手段。
在进行信息技术服务管理体系认证时,企业需要遵循一定的审核要求和指南,以确保其管理体系的有效性和可持续性。
本文将从深度和广度两个方面对信息技术服务管理体系认证的审核要求和指南进行全面评估,帮助读者更加深入地理解这一主题。
1. 信息技术服务管理体系认证的重要性信息技术服务管理体系认证是企业为了提高服务质量、保障信息安全和持续改进而进行的重要举措。
通过认证,企业可以建立起科学的管理体系,提高服务水平,增强客户满意度,降低风险,提高竞争力。
信息技术服务管理体系认证不仅是企业发展的需要,也是企业向外界证明其能力和信誉的有效手段。
2. 信息技术服务管理体系认证的审核要求在进行信息技术服务管理体系认证时,企业需要符合一定的审核要求。
企业需要明确其组织结构和职责分工,建立起科学的管理体系。
企业需要进行风险评估和控制,确保信息安全和服务可用性。
企业还需要定期进行内部审核和管理评审,不断改进管理体系。
企业还需要进行符合性评价和监督审计,以确保其管理体系的有效性和持续改进。
在进行信息技术服务管理体系认证时,企业可以参考一定的审核指南,以确保其认证工作的顺利进行。
企业需要了解认证机构的审核程序和要求,做好相关准备工作。
企业需要与认证机构进行有效沟通,明确认证的范围和要求,确保审核工作的准确性和全面性。
企业还需要准备充分的相关文件和记录,以便审核人员对其管理体系进行评估。
企业还需要对审核结果进行及时跟踪和处理,以确保其认证工作的顺利通过。
总结回顾通过本文的评估,我们可以看到信息技术服务管理体系认证的审核要求和指南对企业进行认证工作提出了较高的要求,但这也是保障企业管理体系有效性和可持续性的重要手段。
企业在进行信息技术服务管理体系认证时,需要严格遵循审核要求和指南,做好相关准备工作,与认证机构进行有效沟通,确保认证工作的顺利进行。
国家认监委关于进一步规范信息技术服务管理体系和能源管理体系认证活动的通知
国家认监委关于进一步规范信息技术服务管理体系和能源管理体系认证活动的通知文章属性•【制定机关】国家认证认可监督管理委员会•【公布日期】2023.12.18•【文号】•【施行日期】2023.12.18•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】认证认可正文国家认监委关于进一步规范信息技术服务管理体系和能源管理体系认证活动的通知各相关认证机构:当前,部分信息技术服务管理体系和能源管理体系认证机构在开展认证活动时,不能持续满足认证规则的要求。
为进一步规范信息技术服务管理体系和能源管理体系认证活动,根据《认证认可条例》等法规、规章,现就有关工作要求通知如下:一、已经取得信息技术服务管理体系和(或)能源管理体系认证批准范围的认证机构,要对照国家认监委《关于开展信息技术服务管理体系认证工作的公告》(2012年第8号)及其附件《信息技术服务管理体系认证实施规则》、国家认监委和国家发展改革委联合发布的《能源管理体系认证规则》进行全面自查,形成自查报告并加盖公章,于2024年1月5日前提交国家认监委。
不能持续满足相关要求的,应当立即暂停开展相应领域的认证活动并进行整改。
整改达到条件要求的,经国家认监委确认后方可继续开展相应领域认证活动。
二、认证机构开展信息技术服务管理体系认证活动,应当符合《关于开展信息技术服务管理体系认证工作的公告》及其附件《信息技术服务管理体系认证实施规则》的各项要求,须经国家认监委批准并具有信息安全管理体系或其他信息技术相关领域的认证从业资格,或满足5年以上质量管理体系认证经历且颁发信息技术类质量管理体系认证证书200张以上等条件,且具有10名以上信息技术服务管理体系认证领域专职审核员。
不符合上述条件的认证机构不得开展信息技术服务管理体系认证活动。
三、认证机构开展能源管理体系认证活动,应当符合《能源管理体系认证规则》的各项要求,须经国家认监委批准并具有3年以上管理体系认证从业资格,以及10名以上经注册的能源管理体系专职审核员。
信息技术服务管理体系认证的要求
信息技术服务管理体系认证的要求一、引言信息技术服务管理体系认证是根据相关国际标准要求,对组织的信息技术服务管理体系进行评估和认证的过程。
该认证旨在鼓励组织建立和实施一套完善的信息技术服务管理体系,确保组织在提供信息技术服务过程中的有效性和持续改进。
二、适用范围该认证适用于提供信息技术服务的组织,包括但不限于IT咨询、软件开发、系统集成、硬件维护、网络支持等。
三、认证要求1. 组织结构1.1 组织应建立明确的信息技术服务部门,并指定专职负责人;1.2 组织应设立相应的信息技术服务岗位及职责,并确定岗位描述和相应的资质要求;1.3 组织应制定明确的组织结构图,以便有效地管理和组织信息技术服务工作。
2. 服务管理流程2.1 组织应建立和实施一套完整的服务管理流程,包括服务策划、服务设计、服务交付、服务运营和服务改进等环节;2.2 组织应制定服务管理流程的相关文件和记录,确保服务流程可追溯和可衡量;2.3 组织应持续改进服务管理流程,提高服务质量和客户满意度。
3. 资源管理3.1 组织应制定明确的资源管理政策和标准,包括人力资源、设备设施、信息和知识等;3.2 组织应确保所需资源的有效配置和管理,确保服务交付的连续性和效率;3.3 组织应为员工提供必要的培训和发展机会,提升其专业能力和素质。
4. 风险管理4.1 组织应建立和实施风险管理制度,识别和评估信息技术服务过程中的各类风险;4.2 组织应制定相应的风险防范和应急预案,确保能够有效应对各类风险;4.3 组织应定期进行风险评估和风险处理,保持风险管理的有效性和实效性。
5. 客户满意度5.1 组织应建立有效的客户沟通和反馈机制,及时获取客户需求和反馈;5.2 组织应定期进行客户满意度调查,评估服务质量和客户满意度;5.3 组织应对客户反馈和投诉进行处理,采取有效措施提升客户满意度。
6. 监督与审核6.1 组织应建立监督与审核制度,定期进行内部审核、管理评审和监督检查;6.2 组织应配合第三方认证机构的认证审核,按要求提供相关文件和记录;6.3 组织应及时纠正和预防发现的问题,确保信息技术服务管理体系的有效运行和改进。
信息技术服务管理体系认证审核要求与指南
信息技术服务管理体系认证审核要求与指南信息技术服务管理体系认证是指对一个组织的信息技术服务管理体系(ITSMS)进行审核和认证,以确保其符合相关国家或国际标准。
以下是信息技术服务管理体系认证审核的要求与指南:1. 确定适用的标准:根据组织的需求和要求,确定适用的信息技术服务管理体系标准,例如ISO/IEC 20000-1。
2. 制定审核计划:编制一份详细的审核计划,确定审核的时间、地点、人员和范围。
考虑涵盖组织所有关键流程和程序。
3. 审核人员选择:选择具有相关经验和资格的审核人员来执行审核。
他们应该熟悉信息技术服务管理和相关标准要求。
4. 进行初步评估:在正式审核之前,进行初步评估以了解组织是否已准备好接受正式审核。
初步评估可以帮助组织发现存在的问题并进行纠正。
5. 进行现场审核:在现场审核期间,审核人员将与组织的员工进行面对面的访谈和问询,以了解组织的实际运营情况。
他们将检查文件和记录,并观察流程的实施。
6. 编写审核报告:根据现场审核的结果,审核人员将编写审核报告,详细描述组织的ITSMS 是否符合要求,并提出改进建议和不符合项。
7. 进行纠正措施:一旦审核报告中出现不符合项,组织应该立即采取纠正措施,解决问题并确保类似问题不再发生。
这些纠正措施应该得到适当的跟踪和记录。
8. 完成认证过程:在纠正措施得到实施并得到认可后,组织可以申请认证机构认证。
认证机构将评估审核报告和纠正措施的实施情况,并决定是否授予认证。
9. 进行监视和复审:一旦获得认证,组织应继续进行监视和复审,确保ITSMS的持续改进和符合要求。
总之,信息技术服务管理体系认证的审核要求和指南是一个严谨而系统的过程,需要组织的积极参与和合作。
只有在整个过程中不断改进和持续改进,才能获得和保持认证的有效性。
信息技术服务管理体系认证认证条件
在信息技术领域,服务管理体系认证是指通过一系列认证评估,证明组织的信息技术服务管理体系符合特定标准和要求。
这项认证通常涉及各种严格的条件和要求,以确保组织在提供信息技术服务时能够达到高质量、高效率和高安全性的目标。
在本文中,我们将深入探讨信息技术服务管理体系认证的认证条件,以及对组织的重要意义。
一、认证条件的基本要求1. 深入理解ISO/IEC标准信息技术服务管理体系认证的认证条件通常会基于ISO/IEC标准,如ISO/IEC 20000。
这些标准对组织的信息技术服务管理体系提出了一系列严格的要求,包括服务管理流程、服务持续改进、资源管理、服务交付等方面的要求。
在申请认证前,组织需要深入理解这些标准,并确保自身的服务管理体系符合相关要求。
2. 准备全面的文件资料在进行认证评估时,组织需要向认证机构提交一系列详细的文件资料,包括服务管理手册、服务管理程序、运营记录、内部审核报告等。
这些文件资料需要全面覆盖组织的服务管理体系,以证明组织已经建立并有效运作了符合要求的服务管理体系。
3. 完善的内部审核和改进机制认证条件要求组织建立健全的内部审核和改进机制,以及时发现和纠正服务管理体系中的问题和不符合要求的地方。
组织需要确保内部审核人员具有相关的资质和经验,能够对服务管理体系进行全面深入的审核,及时提出改进建议并跟踪改进过程。
二、认证条件的重要意义1. 提升服务质量和客户满意度通过完成信息技术服务管理体系认证,组织能够建立起一套完善的服务管理体系,从而提升服务质量和客户满意度。
认证条件的要求会指导组织建立严格的服务流程和监控机制,确保服务的高品质和可靠性,从而提升客户对服务的满意度和信任度。
2. 提高组织的运营效率和管理水平认证条件的达成需要组织全面梳理和优化服务管理流程,建立起标准化、规范化的服务管理体系。
这将有助于提高组织的运营效率和管理水平,降低运营风险和成本,提升组织的竞争力和可持续发展能力。
3. 增强信息安全保障和风险控制能力信息技术服务管理体系认证的认证条件也包括了信息安全管理方面的要求,通过认证能够帮助组织加强信息安全保障和风险控制能力,有效应对各种信息安全威胁和挑战,确保信息资产的安全和可靠性。
信息技术服务标准认证体系
信息技术服务标准认证体系
信息技术服务标准认证体系是一种评估和认可信息技术服务提供者的能力和符合相关标准要求的体系。
该体系评估和认证服务提供者在信息技术服务提供过程中的管理质量、技术能力以及符合相关行业标准的能力。
信息技术服务标准认证体系通常基于国际标准,如ISO/IEC 20000,该标准为信息技术服务管理提供了一种框架,可以帮助服务提供者实施、运行和改进其管理体系。
服务提供者实施ISO/IEC 20000体系后,可以通过第三方机构进行认证,以证明其服务管理体系符合标准的要求。
信息技术服务标准认证体系的认证过程通常包括对服务提供者进行资料审核、现场审核和审核报告,最终颁发认证证书。
认证过程中,审核员会评估服务提供者的文件记录、流程和实施情况,以确保其符合标准要求。
认证有效期通常为3年,每年需要进行监督审核以保持认证的有效性。
通过获得信息技术服务标准认证,服务提供者可以提高客户对其服务的信任度,帮助其与其他竞争对手区分开来,并改进其服务管理能力和质量水平。
信息技术服务管理体系认证实施规则
信息技术服务管理体系认证实施规则信息技术服务管理体系认证实施规则是指按照国家标准和相关法律法规要求,对信息技术服务管理体系进行认证的程序和要求。
下面将从认证实施的目的、适用范围和具体要求三个方面来介绍信息技术服务管理体系认证实施规则。
首先,信息技术服务管理体系认证实施的目的是为了提高信息技术服务提供商的管理水平和服务质量,促进信息技术服务行业的规范发展。
通过认证实施,可以帮助企业建立科学的管理体系,提高服务效率和客户满意度,提升企业在市场竞争中的竞争力。
其次,信息技术服务管理体系认证实施适用于所有提供信息技术服务的组织,无论其规模大小和行业类型。
认证实施的范围包括但不限于信息技术服务的规划、交付、问题管理、变更管理、持续改进等方面。
具体要求包括以下几个方面:1. 组织必须建立合理的信息技术服务管理体系,并制定相关的政策、程序和文件,明确各项管理职责和流程。
2. 组织必须设立专门的信息技术服务管理部门或岗位,并配备专业人员进行管理与运营。
3. 组织必须对信息技术服务进行规划,包括需求分析、资源调配、时间安排等,以确保服务的高效和及时交付。
4. 组织必须制定信息技术服务质量目标,并进行定期评估和改进,确保服务质量的稳定和持续提升。
5. 组织必须建立问题管理和变更管理机制,及时响应客户的需求和反馈,确保问题得到及时解决和变更得到有效控制。
6. 组织必须建立持续改进机制,通过分析和评估,找出问题的根源并采取适当的纠正措施,确保管理体系的持续改进和优化。
总之,信息技术服务管理体系认证实施规则是一项重要的管理工作,通过认证实施可以提高企业的管理水平和服务质量,增强市场竞争力。
根据实际情况,组织可以参照认证实施规则,制定和完善自身的信息技术服务管理体系,不断提升管理水平和服务质量,以满足客户的需求和期望。
认监委公告2012年第8号——关于开展信息技术服务管理体系认证工作的公告
认监委公告2012年第8号——关于开展信息技术服务管理体系认证工作的公告文章属性•【制定机关】国家认证认可监督管理委员会•【公布日期】2012.02.22•【文号】认监委公告2012年第8号•【施行日期】2012.02.22•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化,服务贸易正文认监委公告(2012年第8号)关于开展信息技术服务管理体系认证工作的公告为促进信息技术服务业发展,满足社会相关业界对信息技术服务管理体系认证的需求,国家认证认可监督管理委员会(以下简称国家认监委)决定开展信息技术服务管理体系认证工作,现将相关事项公告如下:一、开展信息技术服务管理体系认证的范围信息技术服务管理体系认证划分具体的业务类别,根据我国现有条件分批开展。
第一批开展认证的业务类别见附件一。
二、认证依据信息技术服务管理体系认证以国家标准 GB/T 24405.1《信息技术服务管理第1部分:规范》为认证依据。
三、资质条件符合下列条件的认证机构可以申请开展信息技术服务管理体系认证业务:(一)经国家认监委批准具有信息安全管理体系或其他信息技术相关领域的认证从业资格,或者有五年以上质量管理体系认证经历且颁发信息技术类质量管理体系认证证书200张以上。
(二)在信息技术服务管理体系认证领域有10名以上专职审核员。
专职审核员应符合下列条件:1.是认证机构的正式职员;2.有信息技术相关专业本科以上学历并取得相应的学位证书;或者有5年以上与信息技术相关的全职工作经历;3.有从事信息安全管理体系或其他信息技术相关领域认证经历,或者有2年以上信息技术类质量管理体系认证经历;4.取得信息技术服务管理体系认证领域国家注册审核员资格。
(三)提交申请前一年内没有违法违规行为;(四)管理体系认证能力符合基于GB/T 27021《合格评定管理体系审核认证机构的要求》的相关要求,且在提交申请前一个年度内的认可评审中没有严重不符合项;(五)国家认监委规定的其他条件。
信息技术服务管理体系认证实施规则
附件二信息技术服务管理体系认证实施规则目 录1 适用范围2 认证依据3 认证程序3.1 认证申请3.2 申请评审3.3 现场审核的准备3.4 初次认证审核3.5 认证决定3.6 监督审核3.7 再认证3.8 特殊审核3.9 暂停、撤消认证或缩小认证范围4 认证证书4.1证书内容4.2证书编号4.3 对获证组织正确宣传认证结果的控制5 对获证组织的信息通报要求及响应5.1 信息通报5.2信息分析与响应1 适用范围本规则用于规范认证机构在中国境内开展信息技术服务管理体系认证活动。
2 认证依据信息技术服务管理体系认证以国家标准 GB/T 24405.1《信息技术 服务管理 第1部分:规范》为认证依据,并按照国家认监委确定的《开展信息技术服务管理体系认证的业务类别表》划分认证类别。
3认证程序3.1 认证申请3.1.1认证机构应向申请认证的社会组织(以下称申请组织)至少公开以下信息:(1)认证范围;(2)认证工作程序;(3)认证依据;(4)证书有效期;(5)认证收费标准。
3.1.2认证机构应要求申请组织的授权代表至少提供以下必要的信息:(1)法人资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书);(2)取得相关法规规定的行政许可文件(适用时);(3)从事的业务活动符合中华人民共和国相关法律、法规、信息技术服务标准和有关规范的要求;(4)对信息技术服务管理体系认证范围涉及的业务活动的描述,包括利用信息技术为内部或外部顾客的业务过程提供支持的说明;(5)已按认证依据和相关要求建立和实施了文件化的信息技术服务管理体系;(6) 体系有效运行3个月以上,并且已完成内部审核和管理评审。
3.1.3上述必要信息应使认证机构能够确定:(1)申请组织的行业类别和服务要求;(2)申请认证的范围;(3)申请组织的一般特征,包括其名称、物理场所的地址、利用信息技术为内部或外部顾客的业务过程提供支持的说明、过程和运作的重要方面以及任何相关的法律义务;(4)申请组织与申请认证的领域相关的一般信息,包括其活动,人力与技术资源,以及适用时,其在一个较大实体中的职能和关系;(5)申请组织采用的所有影响符合性的外包过程的信息;(6)接受与信息技术服务管理体系有关的咨询的情况。
信息技术服务管理体系认证标准
信息技术服务管理体系认证标准一、信息安全策略信息安全策略是整个信息技术服务管理体系的基础,它定义了组织在信息安全方面的原则、目标和要求。
组织应根据自身业务需求和风险状况,制定合适的信息安全策略,并确保所有员工都了解和遵守。
二、信息安全事件管理信息安全事件管理包括对安全事件的预防、检测、响应和恢复。
组织应建立一套完整的事件管理流程,并确保相关人员具备适当的技能和培训,以便在发生安全事件时能够迅速响应。
三、信息安全漏洞管信息安全漏洞管理包括对已知和未知的安全漏洞的发现、评估、修复和预防。
组织应建立有效的漏洞管理流程,并确保所有员工都了解如何识别和报告潜在的安全漏洞。
四、访问控制访问控制是确保只有授权用户能够访问敏感信息的关键要素。
组织应实施适当的访问控制策略,包括身份认证、权限管理和审计跟踪。
五、加密与解密加密与解密是保护敏感信息在存储和传输过程中不被泄露的重要手段。
组织应实施适当的加密和解密策略,以确保数据的机密性和完整性。
六、审计与监控审计与监控是验证信息安全策略是否得以执行、发现潜在的安全威胁和问题的重要手段。
组织应建立适当的审计和监控机制,并确保相关记录得到妥善保存。
七、备份与恢复备份与恢复是确保在发生灾难或意外事件时能够恢复数据和系统的关键要素。
组织应建立有效的备份和恢复策略,并定期进行测试和审查。
八、培训与意识教育培训与意识教育是提高员工对信息安全重要性的认识、培养员工形成良好安全习惯的重要手段。
组织应定期开展培训和意识教育活动,并确保所有员工都了解和遵守组织的信息安全要求。
九、合规性管理合规性管理是指组织在实施信息技术服务管理体系时遵守相关法律法规、标准和其他要求的过程。
组织应了解并遵守所有适用的法律法规和其他要求,并将其融入到信息技术服务管理体系中。
十、服务连续性管理服务连续性管理是指组织在面对突发事件或灾难时保持服务连续性的能力。
组织应建立适当的服务连续性计划,并确保相关人员得到适当的培训和演练。
信息安全管理体系认证实施规则
信息安全管理体系认证实施规则
信息安全管理体系认证实施规则是指根据国际标准ISO/IEC 27001,确保组织
能够建立、实施、维护和持续改进信息安全管理体系(ISMS)的规则和指导方针。
该认证体系的目的是确保组织能够保护其信息资产,包括客户信息、商业机密和知识产权等,免受未经授权的访问、使用、披露、破坏、干扰和不正确使用等威胁。
根据信息安全管理体系认证实施规则,组织需要采取以下步骤来实施认证:
1. 制定信息安全政策和目标:组织应制定明确的信息安全政策和目标,并确保
其与业务需求一致。
这些政策和目标应为组织的所有成员提供明确的方向和指导。
2. 进行风险评估和处理:组织应对其信息资产进行风险评估,并确定潜在威胁
和弱点。
基于评估结果,组织需要设计并实施相应的控制措施来处理风险。
3. 定义和实施控制措施:组织应根据评估结果和业务需求,确定适当的信息安
全控制措施,并确保其有效地实施。
这些措施可以包括访问控制、身份验证、密码管理、安全培训等。
4. 建立监测和内审机制:组织应建立定期监测和内审机制,以确保信息安全管
理体系的有效运行和持续改进。
这可以包括内部审核、管理评审和持续监测等活动。
5. 进行管理评审和持续改进:组织应定期进行管理评审,以评估信息安全管理
体系的有效性和适应性,并做出必要的改进。
这有助于确保信息安全管理体系与组织的业务目标保持一致。
总之,信息安全管理体系认证实施规则是组织确保信息安全的重要工具。
通过
按照这些规则进行认证实施,组织能够建立起健全的信息安全管理体系,有效保护其信息资产,提高信息安全水平,并满足业务需求和法规要求。
ISO20000信息技术服务管理体系认证说明书
ISO20000信息技术服务管理体系认证说明书ISO20000,即“信息技术服务管理体系标准”,是面向机构的IT服务管理标准。
ISO20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。
建立IT服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。
ISO 20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。
ISO20000标准着重于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务水准协议进行计划、推行和监控,并强调与客户的沟通。
该标准同时关注体系的能力,体系变更时所要求的管理水平、财务预算、软件控制和分配。
认证需要的基础条件1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2、申请方的IT服务管理体系已按ISO/IEC 20000-1:2005标准的要求建立,并实施运行3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
认证流程1.准备1) 明确认证的意义;2) 确定IT服务管理认证范围;3) 确立愿景,决定服务管理改进的方面与改进的顺序;4) 明确认证活动的参与方面,确定各方所期望的收益;5) 全面地理解认证的内容,明确认证活动对个人和对组织的影响;6) 获取信息:与相似规模、职能的组织交流经验,向咨询顾问、培训提供机构、相关论坛和用户组织咨询;7) 获得高层管理者的支持;8) 获得ITIL、iso20000的知识和文档;9) 选定一家认证机构,确认审核的范围。
2.初步评估与计划制定1) 进行初步的评估、掌握现状并进行差距分析;评估明确需改进的方面;管理在认证过程中的风险。
信息技术服务管理体系认证报告
信息技术服务管理体系认证报告一、引言信息技术在现代社会发挥着至关重要的作用,各个组织和企业对信息技术服务的需求也日益增加。
为了确保提供优质的信息技术服务,我们XXX公司经过一段时间的努力和不懈探索,于xxxx年通过了信息技术服务管理体系认证。
本报告旨在详细介绍我们公司的认证情况,以及我们为客户提供高质量服务的能力。
二、认证背景1. 认证标准我们公司本次认证遵循了《信息技术服务管理体系》的要求进行,该标准是基于国际ISO/IEC 20000标准的。
2. 认证目的通过认证,我们的目的是确保信息技术服务管理体系的有效实施,提高客户满意度,同时促进持续改进和创新。
三、组织概况1. 公司简介XXX公司创建于xxxx年,总部位于xxxx地区,是一家专注于信息技术服务的企业。
我们致力于为客户提供高品质、高效率的信息技术解决方案,帮助客户实现业务目标。
2. 组织结构我们公司拥有一支强大的团队,包括技术专家、项目经理和客户服务人员。
团队成员经过专业培训,拥有丰富的经验和技术能力,能够满足客户的不同需求。
四、信息技术服务管理体系的实施1. 目标与策略我们公司的信息技术服务管理体系的目标是提供满足客户需求的高质量服务,我们制定了相应的策略和计划,不断改进和创新。
2. 管理或执行过程我们按照信息技术服务管理体系的要求,建立了相关流程和程序,确保服务交付的一致性和可靠性。
我们关注各个环节的管理,包括需求分析、计划制定、服务设计、服务交付和持续改进等。
3. 资源与能力我们公司投入了大量资源,包括人力、物力和财力,来支持信息技术服务的提供。
我们不断培训和提升团队成员的能力,以适应不断变化的技术和客户需求。
五、认证过程1. 认证准备在开始认证之前,我们组织了内部培训,加强对信息技术服务管理体系的理解,并进行了一系列的准备工作,包括建立相关流程和文件。
2. 认证审核经过准备工作后,我们邀请了认证机构进行审核。
审核过程主要包括文件审核和现场审查,审核团队对我们的管理体系进行了全面的评估和验证。
信息技术服务管理体系认证规则
信息技术服务管理体系认证规则一、引言信息技术在当今社会发挥着越来越重要的作用,各类组织对于信息技术的管理和服务需求也日益增加。
为了提高信息技术服务的质量和效率,组织需要建立和实施一套科学而有效的管理体系。
而信息技术服务管理体系认证规则便是用来指导和规范组织在信息技术服务管理领域的认证活动,下面将逐条对信息技术服务管理体系认证规则进行详细解读。
二、认证范围1. 信息技术服务管理体系认证规则适用于所有提供信息技术服务的组织,包括但不限于企业、政府机构、教育机构、科研单位等。
2. 认证范围涵盖了信息技术服务管理体系的规划、实施、监控和持续改进等方面。
3. 组织在申请认证时需明确认证范围,包括服务类型、服务对象、服务范围等具体信息。
三、认证原则1. 客观性原则:认证机构需以客观、公正的态度对待每一家申请认证的组织。
不偏袒、不歧视,依据事实和数据进行评估。
2. 透明性原则:认证机构应当在认证过程中保持透明,及时向申请认证的组织提供相关信息,包括认证流程、规则和标准等。
3. 保密性原则:认证机构应当妥善保管申请认证组织的机密信息,不得泄露给任何第三方。
4. 公信力原则:认证机构需具有一定的公信力和权威性,认证结果应当得到社会各界的认可和信赖。
四、认证流程1. 申请认证:组织向认证机构提交认证申请书,并提供相关资料和信息。
2. 文件审核:认证机构对组织提交的文件和资料进行初步审核,确定是否符合认证要求。
3. 现场审核:认证机构派出审核员进行现场审核,对组织的信息技术服务管理体系进行全面评估。
4. 认证决定:认证机构根据文件审核和现场审核的结果,决定是否给予认证。
5. 发证和维持:认证机构向符合要求的组织颁发认证证书,并定期进行监督审核,确保组织持续符合认证要求。
五、认证标准1. 信息技术服务管理体系认证标准应当符合国家相关法律法规和政策,以及国际通行的管理体系标准。
2. 认证标准应当明确指导组织建立和实施信息技术服务管理体系,包括领导承诺、策略规划、资源管理、过程控制、绩效评估等要求。
ISO20000信息技术服务管理体系落地实施
iso20000信息技术服务管理体系落地实施iso20000 信息技术服务管理体系落地实施是否科学有效,取决于能否做好六个环环相扣的连续过程,即:理念导入与宣贯。
现状评估,流程设计,工具实施,上线推广,持续改进。
在实施iso20000 过程中出现的问题,概括而言,就是重点做好“四全三落地,五化一加强” ,并通过先有后优、持续改进,不断推动iso20000信息服务管理体系波浪式前进,螺旋式上升。
一、“四全”1)瞻前顾后,全面规划。
iso20000信息技术服务管理体系不但是被用户广泛认可的、完整有效的体系框架和做事方式,也是信息化价值交付过程。
必须从实际出发,厘清现状,将与IT 服务相关的全部活动进行统一决策与规划,合理配置IT 服务管理资源,向前延伸至业务系统建设之初,向后充分考虑未来若干年业务发展。
2)精心组织,全员参与。
iso20000 信息技术服务管理体系的落地实践和不断优化注定是一个相对漫长的过程,组织内部所有成员均应纳入体系,不能因为参与程度和认识上的差距.成为体系落地实践的“孤岛” 。
中心按照目标管理的要求.成立了iso20000 信息技术服务管理体系领导小组.并抽调精干人员组成工作组,自上而下,层层落实,精心组织,全员参与,协力同心,自觉贯彻3)关注细节,全程控制。
过程质量决定结果质量。
在IT服务管理体系落地实践过程中,中心通过建立各个参与要素(人、流程、技术)的管理制度和相应工作流程,关注实施细节,从服务开始到结束每一环节要求记录过程文档。
虽在一定程度上增加了工作量,但增强了过程管理的清晰度,细化了过程控制的颗粒度,有利于完善员工考核,规范运维费用,降低服务成本,提高服务质量。
4)填平补齐,全面提升。
包含三个层面的内容:一是IT 服务管理体系的5大关键过程和13 个管理流程.在落地实践中很难齐头并进.要针对不足尽量填平补齐,避免短板:二是IT 服务人员个人的技术水平与IT 服务团队的整体能力之间要避免短板;三是要实现对用户端到端的服务,在服务理念、服务级别、服务评价等也有一个与用户共同成长的过程。
信息技术服务管理体系iso20000认证
信息技术服务管理体系iso20000认证信息技术服务管理体系ISO 20000认证引言:信息技术的发展已经深入到了社会的方方面面,无论是个人的生活,还是企业的发展,都离不开信息技术的支持。
因此,信息技术服务的质量和管理也变得尤为重要。
ISO 20000认证是对信息技术服务管理体系进行评估和认证的国际标准,对于提高信息技术服务的质量和效率具有重要意义。
本文将从ISO 20000认证的背景、意义、运作方式和改进方法等方面进行阐述,以帮助读者更全面地了解和掌握ISO 20000认证。
一、背景:随着信息技术的快速发展,越来越多的企业和机构意识到了信息技术服务管理的重要性。
而ITIL(Information Technology Infrastructure Library)是一套被广泛采用的信息技术服务管理框架,它提供了一套详细的规范和最佳实践,帮助企业实施高效的信息技术服务管理。
ISO(International Organization for Standardization)和IEC(International Electrotechnical Commission)在2005年将ITIL纳入到了ISO 20000中,并成为了国际标准。
二、意义:1. 提高信息技术服务的质量:ISO 20000认证通过对信息技术服务管理体系的评估和认证,可以确保企业的服务流程符合国际标准和最佳实践,从而提供更加高效、可靠和一致的信息技术服务。
2. 提升用户满意度:ISO 20000认证要求企业建立服务目标、监控和改善服务质量,通过良好的信息技术服务管理体系,能够提供更加符合用户需求的服务,提升用户满意度。
3. 增加企业竞争力:ISO 20000认证是一个全球公认的信息技术服务管理体系认证标准,取得认证可以提升企业的知名度和信誉度,从而提高企业在市场中的竞争力。
三、运作方式:1. 控制和监管:ISO 20000认证要求企业建立一套符合标准要求的信息技术服务管理体系,并进行全面的控制和监管。
信息技术管理体系认证
信息技术管理体系认证信息技术管理体系认证,也称为ITMS认证,是指企业或组织通过认证机构的审核,证明其信息技术管理体系符合国际标准要求的证书。
该认证体系是基于ISO/IEC 20000-1:2018标准的,旨在帮助企业或组织实现信息技术服务的持续改进,提高服务质量和客户满意度。
ITMS认证的意义随着信息技术的快速发展和广泛应用,企业或组织对信息技术服务的要求也越来越高。
ITMS认证可以帮助企业或组织建立一个规范的信息技术管理体系,促进企业或组织的信息技术服务质量的提升。
同时,ITMS认证还可以提高企业或组织的竞争力,增强企业或组织的品牌形象和信誉度。
ITMS认证的标准和要求ITMS认证基于ISO/IEC 20000-1:2018标准,该标准是国际上公认的信息技术服务管理标准,其主要内容包括:1.服务管理系统的要求:包括服务管理的政策、目标、计划、实施、监控、评估等方面的要求。
2.服务管理的设计和实现:包括服务管理过程的设计和实现、服务管理文档的编制等方面的要求。
3.服务管理的监控和改进:包括服务管理绩效的监控和评估、持续改进的要求等。
ITMS认证的过程ITMS认证的过程一般包括以下几个步骤:1.准备阶段:企业或组织需要了解ITMS认证的标准和要求,并建立符合标准要求的信息技术管理体系。
2.申请阶段:企业或组织需要向认证机构提交申请,并提供相关资料和信息。
3.审核阶段:认证机构将对企业或组织的信息技术管理体系进行审核,包括文件审核和现场审核。
4.认证决定:认证机构根据审核结果做出认证决定。
5.认证颁发:认证机构将认证证书颁发给企业或组织。
ITMS认证的维护和改进企业或组织获得ITMS认证证书后,需要进行认真的维护和改进工作,以保持认证的有效性和持续性。
具体措施包括:1.建立和维护信息技术管理体系的文档和记录。
2.持续改进信息技术服务管理过程,提高服务质量和客户满意度。
3.定期进行内部审核和管理评审,发现和纠正问题,保持管理体系的有效性和持续性。
信息技术服务管理体系认证条件
信息技术服务管理体系认证条件信息技术服务管理体系认证是指对一个组织的信息技术服务管理体系进行评估和认证,判断其是否符合相关的国际标准和要求。
信息技术服务管理体系认证可以帮助组织提高服务质量、降低风险、满足客户需求,并提升组织的市场竞争力。
信息技术服务管理体系认证的条件主要包括以下几个方面:1.设立和运行管理体系:组织需要建立相应的管理体系,包括定义和实施信息技术服务管理的政策、目标和计划,确立组织各级管理者的职责和权限,以及制定相关的程序和控制措施。
2.人员和资源:组织需要配备合适的人员和资源来支持信息技术服务管理体系的运行,包括进行培训和培养员工的技能和知识,提供必要的设备和工具,以及制定合理的资源分配计划,确保能够满足客户需求。
3.风险管理:组织需要进行风险管理,包括识别、评估和控制与信息技术服务相关的风险,制定相应的应对措施并加以实施,确保信息技术服务的可持续性和安全性。
4.客户满意度:组织需要关注客户满意度,建立和维护良好的客户关系,及时了解客户需求和反馈,并采取相应的措施来提高客户满意度,例如提供优质的服务、加强沟通和协调,解决客户问题和投诉等。
5.持续改进:组织需要不断改进信息技术服务管理体系,包括收集和分析相关的数据和信息,制定改进计划并推动其实施,以提高服务质量、提高效率和降低成本。
6.符合相关标准和要求:组织需要满足相关的国际标准和要求,如ISO/IEC 20000等。
这些标准包括一系列的要求和指南,涵盖了信息技术服务管理体系的各个方面,包括组织管理、人员培训、服务交付、问题处理等。
总之,信息技术服务管理体系认证的条件涵盖了组织运行管理、人员和资源配备、风险管理、客户满意度、持续改进等多个方面。
组织需要建立和实施相应的管理体系,并满足相关的国际标准和要求,以获得认证并提升组织的服务质量和竞争力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件二信息技术服务管理体系认证实施规则目 录1 适用范围2 认证依据3 认证程序3.1 认证申请3.2 申请评审3.3 现场审核的准备3.4 初次认证审核3.5 认证决定3.6 监督审核3.7 再认证3.8 特殊审核3.9 暂停、撤消认证或缩小认证范围4 认证证书4.1证书内容4.2证书编号4.3 对获证组织正确宣传认证结果的控制5 对获证组织的信息通报要求及响应5.1 信息通报5.2信息分析与响应1 适用范围本规则用于规范认证机构在中国境内开展信息技术服务管理体系认证活动。
2 认证依据信息技术服务管理体系认证以国家标准 GB/T 24405.1《信息技术 服务管理 第1部分:规范》为认证依据,并按照国家认监委确定的《开展信息技术服务管理体系认证的业务类别表》划分认证类别。
3认证程序3.1 认证申请3.1.1认证机构应向申请认证的社会组织(以下称申请组织)至少公开以下信息:(1)认证范围;(2)认证工作程序;(3)认证依据;(4)证书有效期;(5)认证收费标准。
3.1.2认证机构应要求申请组织的授权代表至少提供以下必要的信息:(1)法人资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书);(2)取得相关法规规定的行政许可文件(适用时);(3)从事的业务活动符合中华人民共和国相关法律、法规、信息技术服务标准和有关规范的要求;(4)对信息技术服务管理体系认证范围涉及的业务活动的描述,包括利用信息技术为内部或外部顾客的业务过程提供支持的说明;(5)已按认证依据和相关要求建立和实施了文件化的信息技术服务管理体系;(6) 体系有效运行3个月以上,并且已完成内部审核和管理评审。
3.1.3上述必要信息应使认证机构能够确定:(1)申请组织的行业类别和服务要求;(2)申请认证的范围;(3)申请组织的一般特征,包括其名称、物理场所的地址、利用信息技术为内部或外部顾客的业务过程提供支持的说明、过程和运作的重要方面以及任何相关的法律义务;(4)申请组织与申请认证的领域相关的一般信息,包括其活动,人力与技术资源,以及适用时,其在一个较大实体中的职能和关系;(5)申请组织采用的所有影响符合性的外包过程的信息;(6)接受与信息技术服务管理体系有关的咨询的情况。
3.2申请评审认证机构应根据认证依据、程序等要求,及时对申请组织提交的申请文件和资料进行评审并保存评审记录,以确保:(1)识别申请组织的行业类别和与之相应的信息技术服务提供过程的特性和服务要求;(2)掌握国家对相应行业的信息技术服务管理体系认证的管理要求;(3)申请组织及其管理体系的信息充分,可以进行审核;(4)认证要求已有明确说明并形成文件,且已提供给申请组织;(5)解决了认证机构与申请组织之间任何已知的理解差异;(6)认证机构有能力并能够实施认证活动;(7)考虑了申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;(8)保持了决定实施审核的理由的记录。
3.3 现场审核的准备3.3.1确定审核组3.3.1.1认证审核人员必须取得信息技术服务管理体系认证注册资格。
3.3.1.2 审核组应由取得信息技术服务管理体系认证注册资格的审核员组成,其中至少有一名专职审核员。
必要时可以补充技术专家以增强审核组的技术能力。
3.3.1.3具有信息技术服务、信息技术服务法规等方面的特定知识的技术专家可以成为审核组成员。
技术专家应在审核员的监督下进行工作,可就受审核方管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。
3.3.2 确定审核人日认证机构应根据申请组织的规模、特性、业务复杂程度、信息技术服务管理体系涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日,以确保审核的充分性和有效性。
3.4 初次认证审核3.4.1 初次认证审核分第一阶段和第二阶段进行。
第一阶段与第二阶段现场审核间隔应不少于5个工作日且不多于60个工作日。
3.4.2 第一阶段审核应在申请组织的现场进行,审核内容包括:(1)审核申请组织的信息技术服务管理体系文件;(2)评价申请组织的运作场所和现场的具体情况,并与申请组织的人员进行讨论,以确定第二阶段审核的准备情况;(3)审查申请组织理解和实施信息技术服务管理体系标准要求的情况;(4)审查申请组织是否系统而充分地识别与所提供的服务相关的法律法规和其他要求及其遵守情况;(5)审查第二阶段审核所需资源的配置情况,并与申请组织商定第二阶段审核的细节;(6)结合申请组织信息技术服务管理体系方针和目标,了解其审核准备状态,为策划第二阶段的审核提供重点;(7)评价申请组织是否策划和实施了内部审核与管理评审,以及信息技术服务管理体系的实施程度能否证明其已为第二阶段审核做好准备。
3.4.3 认证机构应将第一阶段审核发现形成文件并告知申请组织,包括识别任何引起关注的、在第二阶段审核中可能被判定为不符合的问题。
3.4.4第二阶段审核第二阶段审核应在具备实施认证审核的条件下在申请组织的场所进行。
如果第一阶段审核提出影响实施第二阶段审核的问题,这些问题应在第二阶段审核前得到解决。
第二阶段审核的目的是通过在申请组织的现场进行系统、完整地审核,评价申请组织的信息技术服务管理体系是否满足所有适用的认证依据的要求,并判断是否推荐认证注册。
应重点关注申请组织是否充分识别了信息技术服务管理过程的重要性,并证实与申请组织的信息技术服务活动是相适应的。
认证机构应要求申请组织证实其对信息技术服务管理过程的分析和组织运作实施了适当的控制措施,应包括:(1)服务交付过程(服务级别管理,服务报告,服务连续性和可用性管理,信息技术服务的预算和核算,能力管理,信息安全管理);(2)关系过程(业务关系管理,供方管理);(3)处理过程(事件管理,问题管理);(4)控制过程(配置管理,变更管理);(5)发布过程(发布管理)。
3.4.5 信息技术服务管理体系文件与其他管理体系文件的整合只要信息技术服务管理体系以及与其他管理体系的适当接口能够清楚地被识别,可以允许申请组织将信息技术服务管理体系文件与其他管理体系文件(例如,质量管理体系、环境管理体系,职业健康安全管理体系等)相结合。
3.4.6 管理体系结合审核3.4.6.1 认证机构可以仅提供信息技术服务管理体系认证服务,或结合信息技术服务管理体系认证提供其他管理体系认证服务。
认证机构应有程序确保在结合审核的情形下,对诸如审核范围的界定、审核时间的确定、审核方案的策划等进行有效的管理。
3.4.6.2 可以把信息技术服务管理体系的审核和其他管理体系的审核相结合,但是这种结合必须以审核活动满足信息技术服务管理体系认证所有要求为前提,并且审核的质量不应由于结合审核而受到负面影响。
在审核报告中,应清晰体现所有与信息技术服务管理体系有关的重要要素的描述并易于识别。
3.4.7 初次认证的审核结论审核组应该对第一阶段和第二阶段审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
3.5 认证决定3.5.1原则3.5.1.1参加审核的人员不能再作为认证决定人员实施认证决定。
3.5.1.2 应该以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实申请组织建立信息技术服务管理体系的管理评审和内部审核的方案已经得到有效实施并且将得到保持,才可决定申请组织通过认证。
3.5.2 决定3.5.2.1对于通过认证的申请组织,向其颁发信息技术服务管理体系认证证书。
3.5.1.2对于未通过认证的申请组织,应以书面的形式明示其不能通过认证的原因。
3.6 监督审核3.6.1 监督频次认证机构应在满足认可要求的基础上,根据获证组织信息技术服务管理体系覆盖的业务活动的特点以及所承担的风险,合理设计和确定监督审核的时间间隔和频次。
当获证组织信息技术服务管理体系发生重大变更,或发生重大问题、服务质量事故、客户投诉等情况时,认证机构视情况可增加监督的频次。
监督审核的最长时间间隔不超过12个月。
由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因,可以合理选取和安排监督周期及时机,在认证证书有效期内的监督审核必须覆盖信息技术服务管理体系认证范围内的所有业务活动。
3.6.2 监督审核应包括,但不限于以下内容:(1)体系保持和变化情况;(2)顾客投诉情况;(3)涉及变更的范围;(4)内部审核与管理评审;(5)服务目录的变化情况;(6)对上次审核时提出的不符合所采取纠正措施的审查;(7)标志的使用和(或)任何其他对认证资格的引用;(8)适当时,其它选定的范围。
3.6.3监督审核结果评价对于监督审核合格的获证组织,认证机构应作出保持其信息技术服务管理体系认证资格的决定;否则,应暂停、撤销或注销相应的认证资格。
3.7 再认证认证证书有效期满前,认证机构根据获证组织的申请对获证组织实施再认证,以保证信息技术服务管理体系认证证书持续有效。
3.7.1 再认证审核的策划3.7.1.1 认证机构应策划和实施再认证审核,以评价获证组织是否持续满足信息技术服务管理体系标准和相关的认证规范性文件的所有要求。
3.7.1.2 再认证审核应考虑信息技术服务管理体系在认证周期内的绩效,包括调阅以前的监督审核报告。
3.7.1.3 当获证组织、获证组织的信息技术服务管理体系或其运作环境有重大变更时,认证机构应有程序确保对再认证审核活动可能需要进行的第一阶段审核实施管理。
3.7.1.4 对于多场所认证或依据多个管理体系标准进行的认证,再认证审核的策划应确保现场审核具有足够的覆盖范围,以提供对信息技术服务管理体系认证的信任。
3.7.2 再认证程序应与信息技术服务管理体系认证审核的要求和指南保持一致。
3.7.3 认证机构应根据再认证审核的结果,以及认证周期内的体系评价结果和认证使用方的投诉,作出是否更新认证的决定。
3.8 特殊审核3.8.1 扩大认证范围对于已授予的认证,认证机构应对获证组织扩大认证范围的申请进行评审,策划并实施必要的审核活动,并在该审核活动中验证获证组织的信息技术服务管理体系的适宜性和有效性,以作出是否可予扩大的决定。
扩大认证范围的审核活动可单独进行,也可和对获证组织的监督审核或再认证一起进行。
3.8.2 认证机构为调查投诉、对变更做出回应或对被暂停认证资格的获证组织进行追踪,可能需要在提前较短时间通知获证组织后对其进行审核。
此时:(1)应向获证组织说明并使其提前了解将在何种条件下进行此类审核;(2)由于获证组织缺乏对审核组成员的任命表示反对的机会,认证机构应在指派审核组时给予更多的关注。
3.9 暂停、撤消认证或缩小认证范围3.9.1 认证机构应有暂停、撤消认证或缩小信息技术服务管理体系认证范围的政策和形成文件的程序,并规定认证机构的后续措施。