国家标准 GB/T27308一2011 合格评定信息技术服务管理体系认证机构要求 Comformty assessmment一Requirementsforbodiesprovidingauditand eertificeationorIrserviceemanageentsystems 2011-12-30发布 2012-03-01实施国家质量监督检验检疫总局发布国家标准化管理委员会国家标准
GB/T27308一2011 目次前言引言范围规范性引用文件术语和定义原则通用要求 5.1法律与合同事宜 5.2公正性的管理 5.3责任和财力结构要求 6.1组织结构和最高管理层维护公正性的委员会资源要求管理层和人员的能力 7.2参与认证活动的人员 7.3外部审核员和外部技术专家的使用 7.4人员记录 7.5外包信息要求 8.1可公开获取的信息 8.2认证文件 8.3获证客户目录 8.4获证资格的引用和标志的使用 8.5保密认证机构与其组织间的信息交换过程要求 9.1通用要求 9.2初次审核与认证 9 .3 监督活动 9.4再认证 9.5特殊审核 9. .6 暂停,撤销或缩小认证范围 9.7申诉 9.8投诉 9.9申请组织和组织的记录
GB/T27308一2011 10认证机构的管理体系要求 10.1可选方式 10.2方式一:与GB/T19001一致的管理体系要求 10.3方式二:通用的管理体系要求附录A资料性附录信息技术服务类别 +++" 附录B资料性附录审核时间
GB/T27308一2011 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国认证认可标准化技术委员会(SAC/TC261)提出并归口本标准起草单位:电子技术标准化研究所、国家认证认可监督管理委员会、合格评定国家认可中心、认证认可协会、广东赛宝认证中心,华夏认证中心有限公司、山东标准研究院、上海质量体系审核中心、北京天和正通信息技术有限公司、软件评测中心、上海三零卫士信息安全有限公司本标准主要起草人;韩硕祥、杨晓光,黄俊梅,庞翔、费扬、付瑞云、赵国祥、王梅、娄丹、朱蹦虹、王正作、羞天峰、张少胎、曾被、张建军 m
GB/27308一2011 引言 GB/T27021一2007《合格评定管理体系审核认证机构的要求》提供了对各类管理体系认证机构的通用要求本标准在GB/T27021通用要求的基础上补充了依据GB/T24405.1一2009《信息技术服务管理第1部分;规范》开展信息技术服务管理体系(ITSMS)审核和认证的机构的专用要求和指南,并与GB/T27021一2007共同使用本标准正文遵循GB/T27021一2007的结构,增加了针对ITSMS审核和认证机构的特殊要求和指南本标准的意图是规范实施ITSMS审核和认证的机构自身的管理运作,并为认可机构协调一致的评审认证机构提供依据如果认证机构在贯彻本标准的指南性条款时存有异议,认证机构应对此进行说明,并确保满足本标准及GB/T270212007的相关条款要求
GB/T27308一2011 合格评定信息技术服务管理体系认证机构要求范围本标准对实施信息技术服务管理体系(以下简称“ITsMs”)审核和认证的认证机构提出要求并提供指南,以作为对GB/T27021-2007要求的补充本标准适用于对实施ITSMS审核和认证的认证机构的认可提供支持任何提供ITSMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求本标准的指南性条款为这些要求提供了进 -步的说明注;本标准可以作为认可、同行评审或其他审核过程的准则性文件规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T19011质量和(或)环境管理体系审核指南(ISO19011,IDT) GB/T24405.12009信息技术服务管理第1部分;规范(Iso/IEC20000-1;2005,IDT GB/T27021一2007合格评定管理体系审核认证机构的要求(Iso)/IEc17021.2006,IDr) 术语和定义下列术语和定义适用于本文件 3 认证机构eertifeationbody 按照正式发布的ITsMs标准及其所要求的任何补充性文件,对组织的ITsMsS进行审核和认证的第三方机构 3.2 认证文件certificationdoeument 表明组织的ITSMs符合特定的ITSMS标准及其所要求的任何补充性文件的一类文件组织organization 公司、集团、事务所、工厂,政府机构、科研机构,学校等,或者其部分或组合,无论其是否是法人,还是公有或私有的,均具有其自身的职能和管理,并能够确保实施其信息技术服务原则本条款应用GB/T27021一2007中第4章的原则
GB/T27308一2011 通用要求法律与合同事宜见GB/T27021一2007中5.1的要求 5.2公正性的管理见GB/T270212007中5.2的要求 5.3责任和财力见GB/T27021一2007中5.3的要求结构要求 6.1组织结构和最高管理层见GB/T27021一2007中6.1的要求 6.2维护公正性的委员会见GB/T27021一2007中6.2的要求资源要求管理层和人员的能力见GB/T270212007中7.1的要求 7.1.1管理层能力为实施ITSMS认证,管理层的基本能力是选择、提供和管理那些具备与受审核的活动和有关的信息技术服务事宜相适应的技能和综合能力的人员 7.1.2能力分析认证机构应确保相关人员理解组织信息技术服务类别参见附录A)有关的技术和法律、法规以及其他相关要求认证机构应具备有效的能力分析系统,以便在其运作所涉及的全部技术领域就需要具备的信息技术服务管理方面的能力进行分析对于每个组织,认证机构应在能力分析的基础上实施申请评审认证机构应证实具备如下能力 a)依据附录A提供的信息技术服务分类准则,确定组织的业务类别; b) 明确组织的业务活动范围; 与a)中确定出的组织的业务类别相对应,识别组织业务活动范围内的信息技术服务管理过程; d)根据组织的业务类别和已识别的相关活动,确定认证机构应具备的能力确认认证机构是否具备所需要的能力 e
GB/T27308一2011 7.2参与认证活动的人员见GB/T27021一2007中7.2的所有要求 7.2.1认证管理人员认证管理人员的能力至少应包括如下内容 a)选择审核员并验证他们的能力 b 给ITSMS审核员提供简要的指导并安排必要的培训; e)作出授予,保持,更新、扩大、缩小,暂停或撤销认证决定; 建立和实施投诉、申诉和争议程序 d 7.2.2审核员和技术专家 7.2.2.1审核员应具备如下条件大学本科含)以上学历; an b 至少4年与信息技术相关的全职工作经历,其中至少2年与信息技术服务相关的工作经历 c 完成累计40小时信息技术服务管理标准和认证审核知识的培训承担审核员职责之前,已获得评审ITSMS的相关经验这种经验宜通过参与最少4次、总天 d 数为20天的审核获得,其中至少1次是完整的ITsMS审核; e)c)和d)所指相关经验应在近三年内获得; f 具备GB/T1901l标准中要求的个人素质; g 不断提升自身信息技术服务管理和审核方面的知识和能力技术专家应符合上述a),b)和f 7.2.2.2认证机构应为培训和选择审核组成员建立准则,以确保审核员 a)理解ITSMS标准和其他相关规范性文件; b 理解信息技术服务管理过程和相关知识 c 理解服务改进计划的执行和管理; d具有与受审核的活动相关的技术知识具有与组织的信息技术服务类别(参见附录A)相适应的法律、法规及其他技术要求的知识理解基于GB/T19011的审核原则、程序和技术 f 除了上述d)可以在审核组成员之间共享外,其余均适用于审核组的所有成员作为审核组组长除了符合以上要求外,还应符合如下要求,并应通过在指导和监督下进行的审核中得到证实具备管理认证审核过程的知识和素质; a 已经至少作为审核员实施过3次完整ITsMS审核 b 7.2.2.3审核员应能够证实其具备上述知识和能力,如通过 a)经承认的信息技术服务管理方面的相关资质; 经注册的审核员资格; b c经批准的信息技术服务管理课程培训持续提升自身知识和能力的记录; d e)经现场见证的审核能力证明定期的个人评价记录 7.2.3决定过程的管理人员的能力管理层应具备对授予,保持、扩大、缩小、暂停或撤销ITsMS认证的决定过程进行管理所需的技术能力
GB/27308一2011 7.3外部审核员和外部技术专家的使用见GB/T27021一2007中7.3的要求 7.4人员记录见GB/T27021一2007中7.4的要求 7.5外包见GB/T270212007中7.5的要求信息要求 8.1可公开获取的信息见GB/T27021一2007中8.1的要求 8.2认证文件见GB/T27021一2007中8.2的要求 8. 3 获证客户目录见GB/T27021一2007中8.3的要求获证资格的引用和标志的使用 8 见GB/T27021一2007中8.4的要求 8.5保密见GB/T270212007中8.5的要求认证机构应识别法律,法规对保密方面的要求,并在与组织签订的认证协议中明确双方及其相关人员的责任和义务在认证审核之前,认证机构应要求组织说明是否存在不能提供给审核组的包含保密性或敏感性信息的ITSMS记录认证机构应确定是否能在缺少这些记录的情况下对ITSMS进行充分的审核如果认证机构认为不对已识别的保密性或敏感性的信息进行审核就不能保证ITSMS审核的充分性,则应告知组织只有在获得适当的访问许可时才能进行认证审核 8.6认证机构与其组织间的信息交换见用GB/T270212007中8.6的要求过程要求 9 通用要求 9.1.1审核方案见GB/T27021一2007中9.1.19.1.3的要求
GB/T27308一2011 g.1.2认证审核准则组织的ITSMS接受审核的准则应是GB/T24405.1一2009所给出的要求和其实施业务相关的认证所需其他文件中的要求如果需要对上述文件在特定认证方案中的应用作出解释,这种解释应由公正的和具备必要技术能力的相关委员会或人员给出,并由认证机构正式发布 9.1.3政策和程序认证机构的管理体系文件应包括实施认证过程的政策和程序,其中包括对用于各类IIsMS认证的那些文件的使用和应用情况的检查,也包括对用于审核和认证组织ITSMS程序的检查 g.1.4审核组的能力当为特定认证审核选择指派审核组时,认证机构应确保审核组实施各项工作的技能是适宜的除了本标准7.2中的要求之外,以下要求适用于认证审核对于监督活动,仅仅与已安排的监督活动有关的要求适用 a)在以下每个方面,至少有一名审核组成员满足认证机构能力准则并在审核组内承担相应责任 1管理审核组适用于ITsMS的管理体系和过程; 2 3 ITSMS过程及其实施的相关知识; ITSMS有效性评审和测量的相关知识: 4 ITSMS标准,行业最佳实践和程序的相关知识 5 事件处理方法的相关知识当前服务管理涉及的相关技术; 风险管理过程和方法的相关知识 8 b)审核组应具备将组织的服务级别协议SLA)的各个方面对应到ITSMS中相应条款进行评审的能力审核组应具有服务管理过程相适应的工作经验和能力这不意味着每一个审核员必须具备服务管理所有领域的经验和能力,但是审核组整体上应具备受审核的1ITsMS范围内所覆盖的经验和能力审核时间 9.1.5 参见GB/T270212007中9.1.4的要求本标准附录B对审核时间提供指南,认证机构应能证明或说明在初次审核、监督审核和再认证审核中所用时间的合理性 9.1.6多场所见GB/T27021一2007中9.1.5的要求 9.1.6.1当组织拥有满足以下条件的多个场所时,认证机构可以考虑使用基于抽样的方法进行多场所认证审核所有的场所进行的相同活动,在同一ITsMs下运行,并接受统一的管理、内部审核和管理评审; b 所有的场所都包含在组织的ITSMs内部审核方案中; 所有的场所都包含在组织的ITSMS管理评审方案中
GB/T27308一2011 9.1.6.2认证机构在使用基于抽样的方法时,应具备程序以确保: 在初次的合同评审中,最大程度地识别场所之间的差异,以便确定适宜的抽样水平 a b)结合以下因素抽取具有代表性的场所总部和其他场所的内部审核的结果; 1) 管理评审的结果; 2 3 场所规模的差异; 1 场所业务目的的差异; 5 TSMs的复杂程度; 6 工作方式的差异; 7 所实施活动的差异; 任何不同的法律、法规要求 8 从组织的ITsMs范围内的所有场所中选择具有代表性的样本,该选择宜基于上述b)中所列因素以及随机因素所作出的判断根据上述要求,设计监督审核方案时考虑组织ITsMs认证范围内有代表性的场所业务范围无论是在总部还是在某单一场所发现不符合,纠正措施的实施适用于包括在认证范围内的总部和所有场所(适用时审核应关注组织为确保其ITSMS以一致的方式,在所有场所得到有效运行 9.1.7审核组任务及成员确认见GB/T27021一2007中9.1.69.1.8的要求 9.1.8现场审核方法见GB/T270212007中9,1.9的要求审核计划宜识别在审核中使用的网络支持的审核技术注，网络支持的审核技术,例如,电话会议,网络会议,基于网络的互动式沟通和远程电子访问ITsMs文件和(或 TsMS过程等方式关注这些技术将有助于提高审核的有效性和效率,并支持审核过程的完整性 9.1.9认证审核报告见GB/T27021一2007中9.1.10的要求 9.1.9.1认证机构可以采用适合其需要的报告程序,但这些程序至少应确保 -次会议,并提供 a)在离开组织场所前,在审核组和组织管理者之间召开一 1 关于组织ITSMs与特定认证要求的符合性方面的书面或口头说明; 2)组织就审核发现及其根据提出疑问的机会审核组向认证机构提供关于审核发现的审核报告,这些审核发现是针对组织的ITSMS与所有认证要求的符合性 9.1.9.2审核报告应足够详细,以帮助和支持认证决定审核报告应包括 a)审核覆盖的区域(例如,认证要求和接受审核的场所),也包括所采用的主要审核路线和所使用的审核方法(见本标准的9.1.8). 审核结果(包括正面的和负面的) b 已识别的任何不符合的详细情况,包括支持它们的客观证据和这些不符合所涉及的审核准则的要求; D 对ITSMS内部审核和管理评审的信任程度的评价
GB/T27308一2011 g.1.10不符合处理及认证决定见GB/T27021一2007中9.1.119.1.15的要求 9.2初次审核与认证 9.2.1申请和申请评审见GB/T27021一2007中9.2.1一9.2.2的要求认证机构应要求组织确定其ITsMs的范围认证机构应确保组织的ITsMSs范围恰当地反映其服务活动(参见附录A),并确保组织没有将其活动中应包含的体系运行要素排除在认证范围之外适宜时,组织应在递交认证申请时指明不完全包含在ITsMs范围内的服务活动例如,与其他组织共同提供信息技术服务的情况 9.2.2初次认证审核信息技术管理体系的初次认证审核应分两个阶段实施;第一阶段和第二阶段 9.2.2.1 第一阶段审核见GB/T27021一2007中9.2.3.1的要求在该审核阶段,认证机构应能够获取ITSMS的相关文件,其中包括GB/T24405.1一2009中3.2 所要求的文件组织可以把ITSMs与其他管理体系(如;质量、信息安全、职业健康安全、环境)的文件合并在一起,但应明确1ITSMS与其他管理体系的接口 9.2.2.2第二阶段审核见GB/T27021一2007中9.2.3.2的要求认证机构宜关注组织是否充分识别了基于组织业务活动的信息技术服务管理过程,并证实与组织的运作是适宜的组织过程的运作控制 9.2.2.2.1 认证机构宜要求组织证实其对信息技术服务管理过程的分析和组织运作实施了适当的控制措施应包括服务交付过程(服务级别管理,服务报告,服务连续性和可用性管理,信息技术服务的预算和核 a 算,能力管理,信息安全管理)5 关系过程(业务关系管理,供方管理): b c 处理过程(事件管理,问题管理); d)控制过程(配置管理,变更管理); 发布过程(发布管理 9.2.2.2.2管理体系结合审核认证机构可以仅提供ITSMSs认证服务,或结合ITSMS认证提供其他管理体系认证服务 ITsMS审核可以和其他管理体系的审核相结合这种结合只有在证实审核满足ITSMS认证所有要求时才有可能审核的质量不应由于结合审核受到负面影响注GB/T19011为实施管理体系的结合审核提供指南
GB/27308一2011 9.2.3初次认证的审核结论见GB/T27021一2007中9.2.4的要求 9.2.4授予初次认证的信息见GB/T27021一2007中9.2.5.1和9.2.5.2的要求负责作出认证决定的人员不应参与审核通常情况下,负责作出认证决定的人员不宜推翻审核组的负面建议如果出现这种情况,认证机构应记录和说明作出推翻建议的决定的依据 9.3监督活动见GB/T270212007中9.3的要求对于ITSMS比较复杂和经常变更的组织,每年一次审核可能不适宜,认证机构应能证明考虑过这些事宜 9.4再认证见GB/T27021一2007中9.4的要求如果再认证审核中发现不符合存在,该不符合在认证机构同意的时间内应实施有效的纠正措施如果纠正措施没有在同意的时间内完成,认证范围应被缩小,或暂停,撤销认证证书允许采取纠正措施的时间宜与不符合的严重程度和风险相适宜,以确保组织的服务满足规定要求 9.5特殊审核见GB/T27021一2007中9.5的要求如果已经通过ITsMS认证的组织对其管理体系做重大修改,或者发生影响其认证基础的其他变更,认证机构应该按照特别规定进行监督活动 9.6暂停、撤销或缩小认证范围见GB/T270212007中9.6的要求 9.7申诉见GB/T27021一2007中9.7的要求 9.8投诉见GB/T27021一2007中9.8的要求 9.9 申请组织和组织的记录见GB/T27021-2007中9.9的要求 10 认证机构的管理体系要求 10.1可选方式见GB/T27021一2007中10.1的要求
GB/T27308一2011 10.2方式一;与GB/T19001一致的管理体系要求见GB/T27021一2007中10.2的要求 10.3方式二，通用的管理体系要求见GB/T27021一2007中l0.3的要求
GB/27308一2011 附录A 资料性附录信息技术服务类别认证机构宜参照表A.1,开展如下活动 a)确定认证机构开展认证的范围 b)针对特定的行业类别和种类,识别审核员所必需的技术资格选择有适宜资格的审核组 c 表A.1信息技术服务类别内容注大类中类根据客户的实际业务需求,为其提供信息系统的 01.01 信息系统咨询规划资讯和规划服务信息系统硬件设计、开发对信息系统硬件的架构,选型和实施策略进行设 01.02 01 服务计,并实施开发规划与设计信息系统软件设计,开发服务) 01.03 信息系统软件的需求分析,设计、开发等服务服务协助需方提升和优化信息化管理活动的咨询服 01.04 信息技术咨询服务务,如IT治理,IT服务管理等咨询服务指以搭建需方的信息化管理支持平台为目的,将设备及其嵌人式软件进行集成设计,安装调试的服 02.01 设备系统集成服务务如网络系统集成服务、智能建筑系统集成服 02 务,安全防护系统集成服务等集成服务将各个分离的软件,功能和信息等集成到相互关软件系统集成服务联的、统一和协调的平台之中的服务如界面集 02.02 成、数据集成、应用集成等提供检验信息系统是否与设计目标相吻合,相关 03.01 信息系统测试服务功能是否达到基本要求的服务提供检验软件产品是否与设计目标相吻合,相关 03.02 软件产品测试服务 03 功能是否达到基本要求的服务测试与监理为需方提供监理服务,对监理对象进行监督和理 03.03 信息系统工程监理服务) 顺,以保证工程项目的建设达到需方预期的目标软件工程监理服务 03.04 对软件开发生命全周期中活动实施监理服务其他测试与监理服务 03.05 指对保证信息系统正常运行所必需的电力,空 04.01 基础设施运行维护服务调、消防、安防、网络等基础环境的运维如机房电力 ,消防、安防、网络等系统的运维 04 硬件设施的状态监控、故障处理、性能优化等运行维护服务) 如网络设备,服务器设备,安全设备、存储备份设硬件运行维护服务 04.02 备、音视频设备、终端设备、办公设备及其他相关设备的运维
GB/T27308一2011 表A.1续内容备注大类中类应用软件(含操作系统、中间件、网管、防病毒等和定制化软件(数据交换,开发平台、安全类、内容 04.03 软件运行维护服务管理、工作流、报表等)的改正性,适应性维护和局部功能调整或优化,以及常规的技术支持运行维护服务其他信息技术运行维护 04.04 服务评估资产面临的威胁以及威胁利用脆性导致风险评估 05.01 安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响通过专业的服务,解决网络和信息系统日常运行中的安全问题,包括系统安全加固,日常安全监控、 05.02 安全运维定期安全审计将安全通告、补丁更新以及安全技术支持等 05 为降低安全事件给客户造成的损失和影响,在处安全服务 05.03 应急处理置网络与安全事件时提供一系列的措施和行动将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难 05.04 灾难恢复造成的不正常状态恢复到可接受状态的活动和流程其他安全服务 05.05 为电子商务活动提供各种支撑和管理服务如 CA安全认证服务,支付结算服务、公共电子商务服 06.01 电子商务支持服务务等需方根据需求通过互联网订购和使用供方提供 06.02 的应用软件系统的部分或全部功能的服务如在软件运营服务 06 线存储、在线杀毒等业务流程服务将图片,文字、影像,语音等信息内容运用数字化数据处理 06.03 技术进行加工处理并整合运用的服务为客户提供客户投诉、客户服务咨询、产晶推荐呼叫中心/服务台服务 06.04 热线与市场调查,电话销售等服务 06.05 其他业务流程服务 11
GB/27308一2011 附录 B 资料性附录审核时间本附录为认证机构制定有关确定审核时间的程序提供了指南认证机构需要针对每一申请认证的ITSMs,识别初次审核、监督审核和再认证审核所花费的审核时间在制定审核计划阶段使用本附录,可以确保在确定适当审核时间方法的一致性同时,本附录给出的指南允许按照审核过程(尤其是第一阶段审核)中的发现和考虑的ITsMS范围进行调整经验表明,ITsMs的范围、所涉及雇员的数量、规模、特性、复杂性对任何一个特定审核所需的时间有决定性影响在认证机构的申请评审过程中,需要检查这些因素对审核时间的确定所产生的潜在影响需要注意的是,在确定审核时间时,宜考虑所有因素而不能孤立地使用本审核时间表下列情况说明了可能影响审核时间的因素与IIsMs范围的规模有关的因素(例如,信息系统的数量、处理的信息量、用户的数量、特权用户的数量、IT平台的数量、网络的数量及它们的规模) 与ITsMs的复杂程度有关的因素例如,SL.A的要求,组织对信息系统的依赖程度、,所操作和处理的敏感和关键信息的多少及类型、所有开发项目的数量和规模,ITSMS文件化的程度) 在ITsMs范围内开展的服务类型,以及关于这些服务类型的安全,法律、法规、合同和业务要求; 在ITSMS各部分的实施过程中,所应用的技术的水平和多样性[例如,已使用工具、文件和或)过程控制纠正和(或)预防措施、信息系统、网络等,而无论它们是固定的、移动的,无线的、外部的或内部的]; 在ITSMS范围内场所的数量,这些场所的异同程度如何,是否所有的场所都被审核还是抽样经证实的以往ITSMS绩效在ITSMS范围内,所使用的外包和第三方安排的程度,以及对这些服务的依赖程度适用于认证的标准、法律和法规,以及任何可能适用的行业特定要求表B.1给出了初次审核时间的平均数量(这个数量包括第一阶段和第二阶段审核的时间),同时还应根据受审核组织特定的因素调整审核时间表B.1审核时间表员工数量 ITSMS初次审核时间审核人日 125 26一45 4665 6685 86~125 126175 176275 10 276~425 426一625 12 12
GB/T27308一2011 表B.1(续员工数量 1TSMS初次审核时间审核人日 626一875 13 876~1175 14 1176~1550 15 5512025 6 1n 20262675 26763450 18 3451一4350 19 4351一5450 20 21 5451一6800 22 68018500 85o1~10700 25 >10700 沿用以上规律表B.1中涉及的“员工”是指工作活动与ITSMS范围有关的所有人员所有轮班员工的数量是确定审核时间的起点 “审核时间”包括审核组在第一阶段审核、第二阶段审核和策划(适当时,包括非现场文件评审)阶段所使用的时间,其中包括接触组织、人员、记录,文件和过程所用的时间,以及编制审核报告所用的时间现场审核的时间不宜低于总审核时间的80%,包括策划和报告的“审核时间”不宜将现场“审核时间”缩小到少于审核时间表80%的时间实施策划或撰写报告需要增加时间时,不应因此碱少现场审核时间审核时间不包括审核员的旅途时间. 注180%是一个基于IsMs审核经验的因素如果使用了远程审核技术[例如交互式基于web的协作,web会议、电话会议和(或)组织过程的电子验证],这些活动宜在审核计划中加以识别(见本标准9.1.8),可以考虑将其作为现场审核时间的部分如果认证机构审核计划中远程审核活动占据大于30%的现场审核时间,认证机构宜确定审核计划的适当性,并在实施前得到认可机构的特殊批准注2现场审核时间是指单独场所的现场审核时间远程场所的电子审核被视为远程审核,即使电子审核在组织的物理场所进行表B.I中的“审核时间”是按照“审核人日"来说明的，一个市核人日是完整的正常工作时间(8h). 对于初次认证审核周期,对一个组织的监督时间宜与初次审核时间成比例,每年的监督审核时间大约是初次审核时间的三分之一认证机构宜适时地核查其所策划的监督审核时间以考虑组织的变更及管理体系的成熟度等,至少宜在再认证审核时进行该核查再认证审核的审核全部时间取决于GB/T27021一2007的9.4.1.2中所确定活动的结果,同时宜与同一组织的初次认证审核所用的时间成比例,大约是初次认证审核时间的三分之二再认证审核时间遵照上述并超出例行的监督审核时间,但当再认证审核与计划的例行监督审核一起实施时,再认证审 13
GB/T27308一2011 核也应满足监督审核的要求对于明确了雇员数量的典型ITsMs范围,一旦确定了所需审核时间的常规基点后,除了本标准 9.1.5中所列事项外,还需考虑进行一些调整,以便解决一些差异,这些差异可能影响到为实施一个有效的ITSMS审核所需的实际审核时间需要增加审核时间的因素,例如(但不限于) 多于一个工作场所; 员工使用不同的语言需要翻译或影响审核员独立工作); 法律法规对其有较高的要求; 服务覆盖的过程非常复杂或有较多的特殊活动管理体系不成熟允许减少审核时间的因素,例如(但不限于): 相对员工人数而言,办公现场很小; 管理体系成熟; 从事同种,简单的工作的员工的比例高临时场所是认证文件所注明的场所和(或)位置以外的位置,其活动在认证范围内,并在规定的时间周期内实施此类场所范围可从大项目管理场所到较小的服务或安装场所是否需要访问这些场所及对其抽样范围的决定宜基于由于系统不符合所引起的未能满足需要或期望的服务的风险评价所选择的场所样本宜考虑到活动的规模和类型,体现出组织的能力需求和服务变化的范围,以及项目进展的不同阶段宜考虑ITSMS范围、过程和服务的所有属性,并公平地对有效审核所需增加或减少审核时间的合理因东进行调整增加时间的因素可被该少时间的因素冲抵在任何饼况下,对审核时间表中所提供时间的调整,应保持足够的证据和记录来证实其变化的合理性 14
GB/T27308一2011 图B.1展示了在表B.1中的审核时间的增加因素和减少因素的潜在交互作用大、复杂大、简单多场所多场所少过程多过程小范围大范围重复性过程独特的过程高风险产品/过剧以表B.1确定的时间为基点少过程多过程小范围大范围重复性过程独特的过程高风险产品/过程小、简单小、复杂组织/体系的复杂性十图B.1审核时间调整示意图 15

合格评定　信息技术服务管理体系认证机构要求GB/T27308-2011解读

合格评定　信息技术服务管理体系认证机构要求GB/T27308-2011是一项重要的国家标准，对于规范信息技术服务管理体系认证具有重要意义。该标准主要涉及以下方面：

一、标准概述

GB/T27308-2011是基于ISO/IEC17011:2004《产品认证体系及其认可》标准制定而成的。该标准规定了信息技术服务管理体系认证机构要求，包括组织结构、人员、设施、方法等方面的内容。

二、标准要求

该标准要求信息技术服务管理体系认证机构必须具备一定的资质和能力，确保其认证活动的客观公正性和有效性。具体要求如下：

认证机构应当具备合法资质，通过国家认可的机构进行认定
认证机构应当建立健全的组织结构、管理体系和工作流程
认证机构应当拥有专业的人员队伍，具备一定的技术能力和经验
认证机构应当配备必要的设施和仪器设备，确保认证活动的准确性和可靠性
认证机构应当根据标准要求开展认证活动，并进行记录和报告

三、标准应用

该标准适用于信息技术服务管理体系认证机构的评定和认证活动，包括对组织、产品和个人的认证。认证机构应当根据本标准的要求开展认证活动，并为客户提供高质量的认证服务。

四、标准意义

合格评定　信息技术服务管理体系认证机构要求GB/T27308-2011的发布和实施，有助于规范信息技术服务管理体系认证机构的评定和认证活动，提高认证服务的质量和效率，促进信息技术服务行业的健康发展。

总结

合格评定　信息技术服务管理体系认证机构要求GB/T27308-2011是一项重要的国家标准，为信息技术服务管理体系认证提供了重要的指导和规范。认证机构应当认真遵守该标准的要求，建立健全的认证管理制度，推进信息技术服务行业的健康发展。