CNAS-CC41《信息技术服务管理体系认证机构要求》编制说明

在当今信息时代，信息技术服务管理体系认证已经成为了企业提高服务质量、保障信息安全和持续改进的重要手段。

在进行信息技术服务管理体系认证时，企业需要遵循一定的审核要求和指南，以确保其管理体系的有效性和可持续性。

本文将从深度和广度两个方面对信息技术服务管理体系认证的审核要求和指南进行全面评估，帮助读者更加深入地理解这一主题。

1. 信息技术服务管理体系认证的重要性信息技术服务管理体系认证是企业为了提高服务质量、保障信息安全和持续改进而进行的重要举措。

通过认证，企业可以建立起科学的管理体系，提高服务水平，增强客户满意度，降低风险，提高竞争力。

信息技术服务管理体系认证不仅是企业发展的需要，也是企业向外界证明其能力和信誉的有效手段。

2. 信息技术服务管理体系认证的审核要求在进行信息技术服务管理体系认证时，企业需要符合一定的审核要求。

企业需要明确其组织结构和职责分工，建立起科学的管理体系。

企业需要进行风险评估和控制，确保信息安全和服务可用性。

企业还需要定期进行内部审核和管理评审，不断改进管理体系。

企业还需要进行符合性评价和监督审计，以确保其管理体系的有效性和持续改进。

在进行信息技术服务管理体系认证时，企业可以参考一定的审核指南，以确保其认证工作的顺利进行。

企业需要了解认证机构的审核程序和要求，做好相关准备工作。

企业需要与认证机构进行有效沟通，明确认证的范围和要求，确保审核工作的准确性和全面性。

企业还需要准备充分的相关文件和记录，以便审核人员对其管理体系进行评估。

企业还需要对审核结果进行及时跟踪和处理，以确保其认证工作的顺利通过。

总结回顾通过本文的评估，我们可以看到信息技术服务管理体系认证的审核要求和指南对企业进行认证工作提出了较高的要求，但这也是保障企业管理体系有效性和可持续性的重要手段。

企业在进行信息技术服务管理体系认证时，需要严格遵循审核要求和指南，做好相关准备工作，与认证机构进行有效沟通，确保认证工作的顺利进行。

CNAS-CC01管理体系认证机构要求Requirements for bodies providing audit and certification of management systems中国合格评定国家认可委员会CNAS-CC01:2015 第2 页共46 页目次目次 (2)前言 (4)引言 (5)1 范围 (6)2 规范性引用文件 (6)3 术语和定义 (6)4 原则 (8)4.1 总则 (8)4.2 公正性 (9)4.3 能力 (9)4.4 责任 (10)4.5 公开性 (10)4.6 保密性 (10)4.7 对投诉的回应 (10)4.8 基于风险的方法 (10)5 通用要求 (11)5.1 法律与合同事宜 (11)5.2 公正性的管理 (11)5.3 责任和财力 (13)6 结构要求 (13)6.1 组织结构和最高管理层 (13)6.2 运行控制 (13)7 资源要求 (14)7.1 人员能力 (14)7.2 参与认证活动的人员 (15)7.3 外部审核员和外部技术专家的使用 (16)7.4 人员记录 (16)7.5 外包 (16)8 信息要求 (16)8.1 公开信息 (16)8.2 认证文件 (17)8.3 认证资格的引用和标志的使用 (17)CNAS-CC01:2015 第3 页共46 页8.4 保密 (18)8.5 认证机构与其客户间的信息交换 (19)9 过程要求 (20)9.1 认证前的活动 (20)9.2 策划审核 (22)9.3 初次认证 (24)9.4 实施审核 (26)9.5 认证决定 (29)9.6 保持认证 (30)9.7 申诉 (33)9.8 投诉 (33)9.9 客户的记录 (34)10 认证机构的管理体系要求 (35)10.1 可选方式 (35)10.2 方式A：通用的管理体系要求 (35)10.3 方式B：与GB/T 19001 一致的管理体系要求 (37)附录A (规范性附录)所要求的知识和技能 (38)附录B (资料性附录)可能的评价方法 (41)附录C (资料性附录)能力确定和保持过程的示例 (43)附录D (资料性附录)期望的个人行为 (44)附录E (资料性附录)审核和认证过程 (45)参考文献 (46)前言本文件等同采用国际标准ISO/IEC 17021-1：2015《合格评定管理体系审核与认证机构的要求第1部分：要求》。

CNAS-CC01:2011《管理体系认证机构要求》过渡转换安排的说明0 背景0.1 ISO/IEC 17021：2011国际标准化组织（ISO）于2011年2月1日发布了ISO/IEC 17021：2011《合格评定——管理体系审核认证机构的要求》（Conformity assessment – Requirements for bodies providing audit and certification of management systems）。

该标准包含了ISO/IEC 17021：2006的文本，但删除了其中对ISO 19011的相关引用，增加了对第三方认证审核和认证人员能力管理的具体要求，该标准代替了ISO/IEC 17021：2006。

0.2 IAF关于ISO/IEC 17021：2011过渡转换的决议和相关指导文件2010年10月举行的IAF第24届成员大会通过了关于ISO/IEC 17021：2011过渡期的IAF 2010-12号决议：大会决定，ISO/IEC17021：2011实施的过渡期为自其发布后的24个月。

2011年2月1日，IAF和ISO发布了关于ISO/IEC 17021：2011过渡的联合公报，公报确定ISO/IEC 17021：2011过渡期为两年，截止日期为2013年2月1日。

IAF为指导其成员机构的转换工作，于2011年2月1日发布了IAF ID2：2011《IAF 关于管理体系认可由ISO/IEC 17021：2006向ISO/IEC 17021：2011过渡的参考性文件》（IAF Informative Document for Transition of Management System Accreditation to ISO/IEC 17021:2011 from ISO/IEC 17021:2006）0.3 CNAS采用ISO/IEC 17021：2011CNAS-CC01：2011《管理体系认证机构要求》等同采用ISO/IEC 17021：2011，于2011年2月15日发布，2011年7月1日实施。

CNASCC管理体系认证机构要求CNAS（中国合格评定国家认可委员会）是中国国家认可机构，负责对实验室、检测机构、认证机构等进行管理和认可。

在CNAS的要求下，认证机构需要满足以下标准和要求。

一、组织结构和管理1.认证机构应建立适当的组织结构，确保有效的管理和运作。

2.应有明确的管理责任和权力分配，确保各项工作的顺利进行。

3.应设立质量管理部门，负责认证工作的规划、组织和实施。

4.应制定并实施质量管理手册，明确认证活动的各项要求和流程。

5.应建立并实施内部审核机制，确保认证工作的合规性和有效性。

二、人员要求1.认证机构应设置合适的工作岗位，并配备具备相应资质和经验的人员。

2.人员应经过专业培训和考核，并持有相关的资质证书。

3.应建立并实施人员培训计划，不断提高员工的业务水平和专业能力。

4.应建立并实施人员绩效考核机制，激励员工的工作积极性和创造性。

三、认证过程1.认证机构应按照规定的流程和要求，对申请单位进行认证评审。

2.应建立并实施认证文件管理制度，确保认证结果的准确性和可靠性。

3.应建立并实施认证监督机制，对已认证单位进行定期监督和评估。

4.应及时处理认证申请和投诉，确保申请单位和消费者的权益。

四、质量管理1.认证机构应建立并实施质量管理体系，确保认证工作的质量和可靠性。

2.应建立并实施内部审核机制，对认证工作进行定期审核和评估。

3.应建立并实施不符合处理机制，对认证工作中的不符合项进行及时处理。

4.应建立并实施持续改进机制，不断提高认证工作的效率和质量。

五、机构资源1.认证机构应具备足够的人力、物力和财力资源，确保认证工作的顺利进行。

2.应建立并实施设备管理制度，对认证工作所需的设备进行有效管理和维护。

3.应建立并实施信息管理制度，确保认证工作的信息安全和可靠性。

4.应建立并实施知识管理机制，对认证工作中的知识和经验进行有效传承和利用。

以上是CNAS对认证机构的要求，认证机构需要按照这些要求进行管理和运作，以确保认证工作的准确性、可靠性和可持续性。

国家标准《信息技术安全技术信息安全管理体系指南》（征求意见稿）编制说明一、工作简况1、任务来源根据全国信息安全标准化技术委员会2020下达的国家标准制修订计划：《信息技术安全技术信息安全管理体系指南》，该标准由中国电子技术标准化研究院负责承办，由全国信息安全标准化技术委员会归口管理。

2、主要起草单位和工作组成员该标准由中国电子技术标准化研究院主要负责起草，协作起草单位为中国网络安全审查技术与认证中心、中国合格评定国家认可中心、中电数据服务有限公司、中电长城网际系统应用有限公司、上海三零卫士信息安全有限公司、黑龙江质量产品检验检院、北京信息安全测评中心、重庆邮电大学、北京神州绿盟信息安全科技股份有限公司、中科院软件所等。

主要工作组成员包括王惠莅、上官晓丽、许玉娜、付志高、尤其、任泽君、赵丽华、周亚超、范博、闵京华、干露、李媛、方舟、黄永洪等。

3、主要工作过程标准制定的主要工作过程如下：a)成立编制组。

2020年2月，中国电子技术标准化研究院成立编制组，编制标准草案、申请书、建议书等材料，申报标准修订立项。

2020年8月，接到全国信息安全标准化技术委员会关于标准制定任务之后，课题组负责人随即召集标准编制组的相关成员开会，具体讨论和分配了小组的任务、制定的重要事项、及需注意的事项。

b)形成标准草案。

2020年8月-10月，标准编制组研究了ISO/IEC27001:2013与ISO/IEC 27001:2005的主要差异、ISO/IEC 27003:2017和ISO/IEC 27003：2010的主要差异并逐字校对ISO/IEC 27003:2017，编制完成《信息技术安全技术信息安全管理体系指南》标准草案。

2020年10月29日，标准参加了WG7组织的专家审查会，会后根据与会专家意见进行了修改完善。

c)形成征求意见稿。

2020年11月在全国信安标委会议周上，标准编制组在WG7全会上进行了汇报，会上形成了转征求意见稿的意见。

关于CNAS-CC01:2007《管理体系认证机构要求》部分条款的说明认可说明编号：CNAS-EC-026:2008 第 1 页共 7 页发布日期: 2008 年09 月01 日实施日期:2008 年09 月15 日关于CNAS-CC01:2007《管理体系认证机构要求》部分条款的说明1 目的和适用范围为提高CNAS-CC01理解和实施的一致性和有效性，特制订本文件，对CNAS-CC01部分条款做进一步解释和说明。

本文件与CNAS-CC01的要求保持一致，不产生任何附加要求。

本文件适用于申请或已获得CNAS-CC01认可的认证机构，以及CNAS依据CNAS-CC01的认可评审。

2 CNAS-CC01部分条款说明2.1 维护公正性的委员会2.1.1 CNAS-CC01条款6.2要求认证机构建立维护公正性的委员会。

在CNAS-CC01发布前，获得CNAS认可的认证机构普遍按照CNAS以前的管理体系认证机构认可规范（见下面的注）建立了具有维护公正性作用的委员会（具体名称不尽相同，如“管理委员会”、“顾问委员会”、“技术委员会”等）。

与以前的认可规范(见下注)相比，CNAS-CC01强化了公正性委员会的职能。

因此，认证机构需要重新评价原有委员会的组成、权限和运作能否满足CNAS-CC01的要求，并进行必要的调整。

认证机构需要向CNAS证实，公正性委员会确实有权并且有效地履行了CNAS-CC01条款6.2.1赋予的职责，获取了所有必要的信息（CNAS-CC01条款 6.2.2 b)），以及在必要时采取了独立措施（CNAS-CC01条款6.2.2 c)）。

注：这些认可规范包括CNAS-CC11:2006、CNAS-CC12:2006、CNAS-CC31:2006、CNAS-CC32:2007、CNAS-CC41:2006 、CNAS-CC42:2006 、CNAS-CC61:2006 和CNAS-CC62:2006。

2014年度 CCAA国家注册质量体系审核员试卷及答案 [审核知识] 一、单项选择题（从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位臵。

每题1 分，共40 分，不在指定位臵答题不得分） 1、请受审核方确认不符合项是为了（）。

（A）找出不符合的原因（B）确认审核证据的准确性（C）对审核发现的正确性达成共识（D）以上全部都对 2、当获得的审核证据表明不能达到审核目的时，审核组长可以（）。

（A）向审核委托方和受审核方报告理由以确定适当的措施（B）宣布增加审核人日数（C）宣布取消末次会议（D）宣布停止受审核方的生产/服务活动 3、审核供应部门和检测部门之间接口活动的主要内容是（）。

（A）原料检验方法是否符合规定要求（B）对供方评价是否满足评价准则要求（C）检测部门对原料的检测结果的反馈（D）供应部门对原料库存结果的反馈 4、一次审核开始的标志是：（）。

（A）指定审核组长（B）召开首次会议（C）文件评审（D）发出审核计划 5、以下明显属于第二方审核的是（）。

（A）某集团公司内其中一个分公司对另一个分公司的审核（B）认证机构代表某集团公司对其供方的审核（C）某集团公司组成审核组对下属的一个分公司的审核（D）认证机构代表政府主管部门对其行业内组织的评优审查 6、认证机构是指（）。

（A）对产品进行强制认证的机构（B）对产品、服务、管理体系按照技术法规和标准进行合格评定活动的经营机构（C）对产品、服务、管理体系进行认证的政府机构（D）对管理体系按照技术法规和标准进行合格评定活动的认可机构 7、现场审核时，审核员发现陶瓷卫生洁具的包装工序没有作业指导书，针对这种情况，可以认为 1）。

（（A）出具不符合报告（B）不存在不符合（C）出具观察项报告（D）不能确定，继续跟踪审核★8、下列说法不正确的是（）（A）审核组可以由一名或多名审核员组成（B）审核组应至少配备一名具有专业能力的审核员（C）实习审核员不能在技术专家指导下独立承担审核任务（D）审核组长并非必须由高级审核员担任 9、某企业在部门设臵中有企管办，其职责一般包括了（）。

CNAS-CC01管理体系认证机构要求Requirements for bodies providing audit and certification of management systems中国合格评定国家认可委员会目次目次 (2)前言 (4)引言 (5)1 范围 (6)2 规范性引用文件 (6)3 术语和定义 (6)4 原则 (8)4.1 总则 (8)4.2 公正性 (9)4.3 能力 (9)4.4 责任 (10)4.5 公开性 (10)4.6 保密性 (10)4.7 对投诉的回应 (10)4.8 基于风险的方法 (10)5 通用要求 (11)5.1 法律与合同事宜 (11)5.2 公正性的管理 (11)5.3 责任和财力 (13)6 结构要求 (13)6.1 组织结构和最高管理层 (13)6.2 运行控制 (13)7 资源要求 (14)7.1 人员能力 (14)7.2 参与认证活动的人员 (15)7.3 外部审核员和外部技术专家的使用 (16)7.4 人员记录 (16)7.5 外包 (16)8 信息要求 (16)8.1 公开信息 (16)8.2 认证文件 (17)8.3 认证资格的引用和标志的使用 (17)8.4 保密 (18)8.5 认证机构与其客户间的信息交换 (19)9 过程要求 (20)9.1 认证前的活动 (20)9.2 策划审核 (22)9.3 初次认证 (24)9.4 实施审核 (26)9.5 认证决定 (29)9.6 保持认证 (30)9.7 申诉 (33)9.8 投诉 (33)9.9 客户的记录 (34)10 认证机构的管理体系要求 (35)10.1 可选方式 (35)10.2 方式A：通用的管理体系要求 (35)10.3 方式B：与GB/T 19001一致的管理体系要求 (37)附录A (规范性附录)所要求的知识和技能 (38)附录B (资料性附录)可能的评价方法 (41)附录C (资料性附录)能力确定和保持过程的示例 (43)附录D (资料性附录)期望的个人行为 (44)附录E (资料性附录)审核和认证过程 (45)参考文献 (46)前言本文件等同采用国际标准ISO/IEC 17021-1：2015《合格评定管理体系审核与认证机构的要求第1部分：要求》。