CNAS-SC175：2024 基于ISO IEC 2000-1的服務(wù)管理體系認證機構(gòu)認可方案

2024年09月30日發(fā)布2024年09月30日實施中國合格評定國家認可委員會 2 3 3 3 3 4 4 4 4 4 5 5 5 5 7CNAS-SC175:2024CNAS-SC175:2024基于ISO/IEC20000-1的服務(wù)管理體系認證機構(gòu)認可方案CNAS-SC175:2024—CNAS-CC106《CNAS-CC01在一體化管理體系審核中的應(yīng)用》R.1.1本文件附錄A規(guī)定了SMS認注：認證機構(gòu)應(yīng)在提交認可申請時明確擬申請的業(yè)務(wù)范圍，包括相應(yīng)的大類或中類。CNAS根據(jù)認證機構(gòu)獲認可的SMS認證活動的范圍、績效對其認證業(yè)務(wù)范圍實C.1.1認證機構(gòu)直接接觸客戶信息的認證人員（例如,審核組成員CNAS-SC175:2024C.1.3審核組成員不宜在審核過程中以任何方式記錄客戶的保密或敏感信息。審核組在離開客戶前，宜請客戶檢查和確認審核組攜帶的文件、資料和設(shè)備中未夾或認證人員身份背景的要求，以及適用的與保守國家秘法律法規(guī)要求，并即時更新該說明，以便認證機構(gòu)判斷對于獲得CNAS認可的其他認證機構(gòu)所頒發(fā)的SMS認證，認證機構(gòu)可以按照通過在服務(wù)點觀察客戶的服務(wù)狀況、與相關(guān)人員（如駐場的服務(wù)工程師、客戶當(dāng)客戶擁有滿足以下條件的多個服務(wù)點時，認證機構(gòu)可以考慮使用基于抽樣的a)所有場所的工作人員均在同一個SMS下進行調(diào)配的權(quán)力，有權(quán)要求場所內(nèi)提供服務(wù)的工作b)客戶在所有的場所提供的服務(wù)和活動的變動，或場所的成立和撤銷1)在確定服務(wù)點的抽樣量時，針對審核時客戶考慮確保樣本覆蓋認證范圍內(nèi)的業(yè)務(wù)類別，然后再根a)初次認證審核、監(jiān)督審核和再認證審核時，樣本覆蓋認證范圍內(nèi)CNAS-SC175:202412342)抽樣時，優(yōu)先選取同種業(yè)務(wù)類型中業(yè)務(wù)復(fù)雜程度高且服務(wù)交付風(fēng)險大的服務(wù)3)對出現(xiàn)審核組無法訪問服務(wù)點的情形規(guī)定了應(yīng)對措施。1)認證機構(gòu)分配給每個服務(wù)點的審核時間宜與審核組在該服務(wù)點所需完成的CNAS-SC175:2024務(wù)A對信息系統(tǒng)硬件的架構(gòu)、選型和C硬件或軟件使用的咨詢及培訓(xùn)服D務(wù)務(wù)檢驗信息系統(tǒng)是否與要求相吻合GHIJCNAS-SC175:2024務(wù)L他采用信息技術(shù)控制的硬件及設(shè)M基礎(chǔ)軟件和應(yīng)用軟件的安裝、升N務(wù)評估資產(chǎn)面臨的威脅以及威脅利并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組CNAS-SC175:2024將信息系統(tǒng)從災(zāi)難造成的故障或并將其支持的業(yè)