信息技术服务标准(ITSS)符合性评估规范(试行)

信息技术服务标准（ITSS）符合性评估规范（试行）

为规范信息技术服务标准（ITSS）符合性评估（以下称评估）活动，中国电子工业标准化技术协会信息技术服务分会（以下称ITSS分会）依据《信息技术服务标准（ITSS）符合性评估管理办法（试行)》等规定制订本规范。

一、适用范围

本规范仅适用于评估申请单位、评估机构和评估人员所实施的评估活动。

二、组织管理

（一）申请单位应履行以下评估职责：

1、全面贯彻落实并有效实施信息技术服务标准（ITSS）；

2、提交申请资料，保证申请资料真实有效；

3、选择独立评估人员；

4、明确与评估机构沟通的联络人和负责人；

5、配合评估机构和评估人员实施评估活动；

6、整改不符合项并提供有关整改记录。

（二）评估机构应履行以下职责：

1、受理评估申请；

2、选派评估人员；

3、组建评估组，任命评估组组长；

4、编制并管理评估计划；

5、监督评估组的评估质量；

6、组织评估资料的内部技术评审，出具评估报告和评估推荐意见函；

7、向ITSS分会上报申请及评估资料。

（三）评估组成员应履行以下职责：

1、独立完成分工范围内的符合性评估任务；

2、形成评估发现文件并向评估组长报告；

3、配合并支持评估组长工作；

4、根据评估计划及分工，负责相关文件的评审。

（四）评估组长应履行以下职责:

评估组组长除应履行评估组成员的职责外，还应承担以下职责：

1、编制评估计划；

2、组织召开首次、末次会议；

3、代表评估组与申请单位的管理层沟通；

4、组织开展评估活动；

5、验证关闭不符合项；

6、编制并提交评估报告。

三、评估前准备程序

（一）申请单位向评估机构提交《信息技术服务标准（ITSS）符合性评估申请表》及附件资料；

（二）评估机构与申请单位进行沟通，收集申请单位的评估信息，如：评估的预期时间、申请单位的人员规模、办公场所（是否存在多现场、临时场所）等，并对《信息技术服务标准（ITSS）符合性评估申请表》及附件资料进行初审；

（三）资料通过初审后，评估机构与申请单位签署评估委托合同;

（四）评估机构填写《信息技术服务（ITSS）符合性评估合同信息表》报ITSS分会备案；

（五）评估机构组建评估组，并提前将评估组成员名单告知申请单位，申请单位可就评估组成员的背景情况提出异议；

（六）评估机构在实施现场评估前10个工作日内向ITSS分会提交《信息技术服务标准（ITSS）符合性评估报备表》；

（七）评估组长组织评估组成员对申请单位提交的文件实施文件评审，收集参与文件评审人员的书面意见，形成《信息技术服务标准（ITSS）文件评审报告》。文件评审结论分为三种：1）符合要求；2）基本符合要求；3）不符合要求。文件评审结论为“不符合要求时，不能进入现场评估阶段；

（八）评估组长负责编制《信息技术服务标准（ITSS）符合性评估计划》（以下称《评估计划》），《评估计划》应得到申请单位确认，评估组长应在现场评估实施前5个工作日发送《评估计划》至申请单位；

（九）评估组编制《信息技术服务标准（ITSS）符合性评估检查表》（以下称《检查表》），《检查表》应包含标准条款、评估证据（检查的文件或记录、访谈对象及内容）、评估情况说明、评估发现及条款适用性说明等，经评估组长书面确认；

（十）在现场评估前，评估组应根据文件评审结果及与申请单位的沟通结果，初步设计评估证据的内容及检查方法。

四、评估实施程序

（一）评估组长主持召开首次会议，向申请单位介绍评估组成员、评估方法、正性声明及保密承诺等；

申请单位负责人介绍本单位配合现场评估工作的有关人员、内设机构负责人、审核期间配合及控制区域区划、审核期间的联络沟通方式等情况；

首次会议应按计划准时开始和结束，做好首次会议记录，并保存《首次会议签到表》。

（二）评估组成员通过适当的抽样实施现场评估，收集并验证评估证据；

（三）评估组成员确认收集的评估证据能够满足评估必须，并对照适用条款进行比较，形成一致的评估发现。评估发现分为四类：满足要求、改进项、通常不符合、严重不符合；

（四）评估组成员根据评估发现，形成《不符合项报告》，并与申请单位进行沟通，以确认评估发现的准确性；

（五）评估组成员根据现场评估结果，在协商一致的基础上，对标准条款的满足程度做出评定，判定申请单位是否通过现场评估；

（六）评估组成员与申请单位负责人在末次会议前进行沟通，对标准条款符合程度的评估结论达成一致意见，假如申请单位反馈有不同意见，应在所提供证据的基础上在评估组内进行复议；

（七）评估组成员对申请单位的申请范围进行评审，以确保准确性和全面性，在评估结论达成一致后形成《信息技术服务标准（ITSS）申请单位评估范围确认表》（以下称《申请单位评估范围确认表》，确认申请单位的评估范围等信息；

（八）在末次会议开始以前，评估组成员应与申请单位进行沟通，申请单位须对《不符合项报告》和《申请单位评估范围确认表》确认签字；

（九）评估组长主持召开末次会议，向申请单位宣读不符合项报告、宣布评估结果、提出纠正措施要求、重申公正性声明及保密承诺等；

末次会议应按照计划准时开始和结束，做好末次会议记录，并保存《末次会议签到表》。

（十）《不符合项报告》原件留给申请单位，由申请单位对不符合项进行原因分析、并提供纠正和预防措施，连同证明纠正措施有效性的证据资料反馈给评估组，由评估组组长验证确认；

评估组成员应在评估活动中或评估的末次会议上对发现的问题进行说明和解释。在任何情况下不得提出具体的解决建议、解决方案和咨询。

（十一）不符合项原则上应在开具不符合项之日起1个月内验证关闭，最长时间不得超过3个月。评估组应对申请单位提交的不符合项整改措施进行确认，验证关闭不符合项后形成《信息技术服务标准（ITSS）符合性评估报告》（以下称评估报告）；

（十二）评估组在所有资料整理完成后，提交评估机构进行内部技术评审。参加内部技术评审的人员应由非评估组人员组成，技术评审结果应反馈至评估组；

（十三）评估资料通过内部技术评审后，评估机构应正式批准《评估报告》，并出具《信息技术服务标准（ITSS）评估机构推荐函》；

（十四）评估机构将相关申请及评估资料上报ITSS分会。

五、评估中的监督管理

（一）申请单位应保证申请资料的真实性和有效性，并主动配合评估工作；

（二） 评估人员应诚信、正直、保守秘密和谨慎；

（三）评估机构和评估人员应公正表达评估发现、评估结论和评估报告，真实和准确地反映评估活动，保证评估发现和评估结论应建立在评估证据的基础上；

（四）评估人员应按照《评估计划》开展评估活动，不得带有偏见，不得存在利益上的冲突或默契。

评估组成员应做出公正性声明，承诺在评估活动中遵守包含保密要求在内的各项规则，并保证公正、客观。

六、相关事项

（一）本规范自发布之日起施行；

（二）本规范由ITSS分会负责解释。