|
(5)申请组织采用的所有影响符合性的外包过程的信息;
(6)接受与信息技术服务管理体系有关的咨询的情况。
3.2申请评审
认证机构应根据认证依据、程序等要求,及时对申请组织提交的申请文件和资料进行评审并保存评审记录,以确保:
(1)识别申请组织的行业类别和与之相应的信息技术服务提供过程的特性和服务要求;
(2)掌握国家对相应行业的信息技术服务管理体系认证的管理要求;
(3)申请组织及其管理体系的信息充分,可以进行审核;
(4)认证要求已有明确说明并形成文件,且已提供给申请组织;
(5)解决了认证机构与申请组织之间任何已知的理解差异;
(6)认证机构有能力并能够实施认证活动;
(7)考虑了申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;
(8)保持了决定实施审核的理由的记录。
3.3 现场审核的准备
3.3.1确定审核组
3.3.1.1认证审核人员必须取得信息技术服务管理体系认证注册资格。
3.3.1.2 审核组应由取得信息技术服务管理体系认证注册资格的审核员组成,其中至少有一名专职审核员。必要时可以补充技术专家以增强审核组的技术能力。
3.3.1.3具有信息技术服务、信息技术服务法规等方面的特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。
3.3.2 确定审核人日
认证机构应根据申请组织的规模、特性、业务复杂程度、信息技术服务管理体系涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日,以确保审核的充分性和有效性。
3.4 初次认证审核
3.4.1 初次认证审核分第一阶段和第二阶段进行。第一阶段与第二阶段现场审核间隔应不少于5个工作日且不多于60个工作日。
3.4.2 第一阶段审核应在申请组织的现场进行,审核内容包括:
(1)审核申请组织的信息技术服务管理体系文件;
(2)评价申请组织的运作场所和现场的具体情况,并与申请组织的人员进行讨论,以确定第二阶段审核的准备情况;
(3)审查申请组织理解和实施信息技术服务管理体系标准要求的情况;
(4)审查申请组织是否系统而充分地识别与所提供的服务相关的法律法规和其他要求及其遵守情况;
(5)审查第二阶段审核所需资源的配置情况,并与申请组织商定第二阶段审核的细节;
(6)结合申请组织信息技术服务管理体系方针和目标,了解其审核准备状态,为策划第二阶段的审核提供重点;
|
