ICS03.120.20 A00 中华人民共和国国家标准 GB/T27308—2011 合 格评定 信息技术服务管理体系 认证机构要求 Conformityassessment—Requirementsforbodiesprovidingauditand certificationofITservicemanagementsystems 2011-12-30发布 2012-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 原则 1 ……………………………………………………………………………………………………… 5 通用要求 2 ………………………………………………………………………………………………… 5.1 法律与合同事宜 2 …………………………………………………………………………………… 5.2 公正性的管理 2 ……………………………………………………………………………………… 5.3 责任和财力 2 ………………………………………………………………………………………… 6 结构要求 2 ………………………………………………………………………………………………… 6.1 组织结构和最高管理层 2 …………………………………………………………………………… 6.2 维护公正性的委员会 2 ……………………………………………………………………………… 7 资源要求 2 ………………………………………………………………………………………………… 7.1 管理层和人员的能力 2 ……………………………………………………………………………… 7.2 参与认证活动的人员 3 ……………………………………………………………………………… 7.3 外部审核员和外部技术专家的使用 4 ……………………………………………………………… 7.4 人员记录 4 …………………………………………………………………………………………… 7.5 外包 4 ………………………………………………………………………………………………… 8 信息要求 4 ………………………………………………………………………………………………… 8.1 可公开获取的信息 4 ………………………………………………………………………………… 8.2 认证文件 4 …………………………………………………………………………………………… 8.3 获证客户目录 4 ……………………………………………………………………………………… 8.4 获证资格的引用和标志的使用 4 …………………………………………………………………… 8.5 保密 4 ………………………………………………………………………………………………… 8.6 认证机构与其组织间的信息交换 4 ………………………………………………………………… 9 过程要求 4 ………………………………………………………………………………………………… 9.1 通用要求 4 …………………………………………………………………………………………… 9.2 初次审核与认证 7 …………………………………………………………………………………… 9.3 监督活动 8 …………………………………………………………………………………………… 9.4 再认证 8 ……………………………………………………………………………………………… 9.5 特殊审核 8 …………………………………………………………………………………………… 9.6 暂停、撤销或缩小认证范围 8 ………………………………………………………………………… 9.7 申诉 8 ………………………………………………………………………………………………… 9.8 投诉 8 ………………………………………………………………………………………………… 9.9 申请组织和组织的记录 8 …………………………………………………………………………… ⅠGB/T27308—2011 10 认证机构的管理体系要求 8 ……………………………………………………………………………… 10.1 可选方式 8 …………………………………………………………………………………………… 10.2 方式一:与GB/T19001一致的管理体系要求 9 ………………………………………………… 10.3 方式二:通用的管理体系要求 9 …………………………………………………………………… 附录A(资料性附录) 信息技术服务类别 10 ……………………………………………………………… 附录B(资料性附录) 审核时间 12 ………………………………………………………………………… ⅡGB/T27308—2011 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国认证认可标准化技术委员会(SAC/TC261)提出并归口。 本标准起草单位:中国电子技术标准化研究所、中国国家认证认可监督管理委员会、中国合格评定 国家认可中心、中国认证认可协会、广东赛宝认证中心、华夏认证中心有限公司、山东标准研究院、上海 质量体系审核中心、北京天和正通信息技术有限公司、中国软件评测中心、上海三零卫士信息安全有限 公司。 本标准主要起草人:韩硕祥、杨晓光、黄俊梅、庞翔、费扬、付瑞云、赵国祥、王梅、娄丹、朱瑞虹、 王正华、娄天峰、张少彤、曾波、张建军。 ⅢGB/T27308—2011 引 言 GB/T27021—2007《合格评定 管理体系审核认证机构的要求》提供了对各类管理体系认证机构 的通用要求。本标准在GB/T27021通用要求的基础上补充了依据GB/T24405.1—2009《信息技 术 服务管理 第1部分:规范》开展信息技术服务管理体系(ITSMS)审核和认证的机构的专用要求 和指南,并与GB/T27021—2007共同使用。 本标准正文遵循GB/T27021—2007的结构,增加了针对ITSMS审核和认证机构的特殊要求和 指南。 本标准的意图是规范实施ITSMS审核和认证的机构自身的管理运作,并为认可机构协调一致的 评审认证机构提供依据。如果认证机构在贯彻本标准的指南性条款时存有异议,认证机构应对此进行 说明,并确保满足本标准及GB/T27021—2007的相关条款要求。 ⅣGB/T27308—2011 合格评定 信息技术服务管理体系 认证机构要求 1 范围 本标准对实施信息技术服务管理体系(以下简称“ITSMS”)审核和认证的认证机构提出要求并提 供指南,以作为对GB/T27021—2007要求的补充。 本标准适用于对实施ITSMS审核和认证的认证机构的认可提供支持。 任何提供ITSMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南 性条款为这些要求提供了进一步的说明。 注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T19011 质量和(或)环境管理体系审核指南(ISO19011,IDT) GB/T24405.1—2009 信息技术 服务管理 第1部分:规范(ISO/IEC20000-1:2005,IDT) GB/T27021—2007 合格评定 管理体系审核认证机构的要求(ISO/IEC17021:2006,IDT) 3 术语和定义 下列术语和定义适用于本文件。 3.1 认证机构 certificationbody 按照正式发布的ITSMS标准及其所要求的任何补充性文件,对组织的ITSMS进行审核和认证的 第三方机构。 3.2 认证文件 certificationdocument 表明组织的ITSMS符合特定的ITSMS标准及其所要求的任何补充性文件的一类文件。 3.3 组织 organization 公司、集团、事务所、工厂、政府机构、科研机构、学校等,或者其部分或组合,无论其是否是法人,还 是公有或私有的,均具有其自身的职能和管理,并能够确保实施其信息技术服务。 4 原则 本条款应用GB/T27021—2007中第4章的原则。 1GB/T27308—2011 5 通用要求 5.1 法律与合同事宜 见GB/T27021—2007中5.1的要求。 5.2 公正性的管理 见GB/T27021—2007中5.2的要求。 5.3 责任和财力 见GB/T27021—2007中5.3的要求。 6 结构要求 6.1 组织结构和最高管理层 见GB/T27021—2007中6.1的要求。 6.2 维护公正性的委员会 见GB/T27021—2007中6.2的要求。 7 资源要求 7.1 管理层和人员的能力 见GB/T27021—2007中7.1的要求。 7.1.1 管