信息系统服务商交付能力评估实施规则

1 适用范围

本规则用于规范北京赛迪认证中心有限公司（以下简称“公司”）开展信息系统服务商交付能力评估活动。

2 认证依据

以 T/SIA 011-2019《信息系统服务商交付能力评估要求》为认证依据。

3 术语与定义

3.1 信息系统交付能力

信息系统服务商在整个信息系统交付活动过程中，通过基本能力、技术能力、人员能力、财务能力、管理能力和项目实施交付能力要素反映出来的交付水平。

3.2 自评估

申请方根据认证依据和申请表对自身的服务过程进行符合性评价，并进行评价证据的收集和分析，以确定组织满足认证依据的程度。

3.3 现场审核  

公司指派审核组到受审核方或获证组织所在办公地点进行的审核活动。

3.4 非现场审核

公司指派的审核组在受审核方或获证组织所在办公地点以外进行的审核活动，通常以远程审核工具、电话、视频、邮件等远程审核方式进行。

3.5 特殊审核

特殊审核分为获证组织重大变更和较短时间内申请级别变更两种。

4 评估实施管理

4.1 评估级别

依据T/SIA 011-2019《信息系统服务商交付能力评估要求》及附录A，信息系统交付能力评估级别分为一级、二级、三级和四级，其中一级最高。对于一、二级评估要求，在满足基本项要求的情况下，申请方及评估机构需按照附录A 评分项打分原则进行打分，确定相应级别和星级：

1） 一级最高分为30 分，0-8 分为一级三星级。9-18 分为一级四星级，19 分以上分为一级五星级，符合分数要求的申请方获得一级相应星级的评估证书；

2） 二级最高分为25 分，0-7 分为二级三星级。8-16 分为二级四星级，17 分以上分为二级五星级，符合分数要求的申请方获得二级相应级别和星级的评估证书。

4.2 评估方式

依据认证依据及评估实施要求，信息系统交付能力评估包括如下方式：

1） 自评估；

2） 现场审核；

3） 非现场审核；

4） 特殊审核。

5 审核组及审核方案管理

5.1 审核组要求

审核组长必须取得服务审查员的注册资格，并得到公司的专业能力评价，以确定其能够胜任所安排的审核任务。

审核组应由能够胜任所安排的审核任务的审查员组成。必要时可以补充技术专家以增强审核组的技术能力。具有相关的技术、管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审查员的监督下进行工作，可就受审核方或获证组织服务过程中技术充分性事宜为审查员提供建议，但技术专家不能作为审查员。

5.2 审核方案管理

公司应对申请评估单位建立审核方案，审核方案应由专门的管理人员负责审核和批准，必要时应进行维护。

审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源，应包括以下内容（审核方案可以合并在审核计划中）：

1) 审核的类型、级别、地点、时间、所需资源；

2) 审核准则；

3) 审核方式；

依据企业提供的信息和认证需求，决定采取具体的审核方式实施审核，可选择的审核方式如下表。

4)审核组的选择；

5)所需的资源，包括交通和食宿；

6)处理保密性、信息安全、健康和安全，以及其它类似事宜。

6 评估流程及要求

6.1初次评估

6.1.1评估申请  

公司应要求申请方至少提供以下必要的信息：

1) 申请书，包括但不限于以下内容：

a.申请方基本信息，包括业务活动、联系人信息、物理位置、服务和申请级别等基本内容；

b.法律地位资格证明(工商营业执照、组织代码证)；

c．业务运行的时间；  

2) 自评估表，包括但不限于：

a．组织根据认证依据所进行的符合性评价；

b．评价结论所需要的证据材料。

6.1.2对评估申请的评审

公司应根据认证依据、程序等要求，对申请方提交的认证申请书、自评估信息及其相关资料进行评审并保存评审记录，做出评审结论，以确定：

1)所需要的基本信息都得到提供（特别指自评估信息的完整性）；

2)公司与申请方之间任何已知的理解差异得到消除；

3)公司有能力并能够实施所申请的认证活动；

4)申请方的运作场所、完成审核需要的时间和任何其他影响认证活动的因素；

对不予受理的申请或认证申请方撤回的申请，应采取保密方式将申请文件和有关资料归档保存。

公司授权人根据评审结论与认证申请方签署《信息系统服务商交付能力评估服务认证合同》一式四份，公司和认证申请方各执两份。认证合同内容填写应完整、清晰、准确无误。

6.1.3建立审核方案

在受理评估申请后，公司应针对申请方建立审核方案（申请方变更为受审核方），并由专职人员负责管理审核方案。

6.1.4确定审核组

公司应根据受审核方的行业、规模和业务复杂程度和审核方案组建审核组，指派审核组长。审核组组建原则见 4.1。

6.1.5非现场审核

依据项目管理人员的安排，审核组对申请方实施非现场审核。非现场审核时，审核组通过对受审核方提交的自评估信息进行评审，获取需要的信息，对于无法从自评估信息中获取的信息，审核组通过远程审核工具进行信息获取，以确保完成非现场审核。

审核组长应结合受审核方的申请书/自评估信息、审核方案对非现场审核的策划做出具体安排， 包括但不限于具体的时间安排、审核组成员对受审核方按岗位、活动和评价方式的安排。审核组长应至少在实施审核前与受审核方就审核计划进行充分沟通，确保双方在理解上没有歧义。

对于交付能力一二三级的非现场审核，一般针对《自评估表》中相关信息，采取网上查询、电话、视频、邮件等方式，对基本信息进行审核确认。

对于交付能力四级评审，通常通过非现场审核即可完成审核阶段的工作。审核组长依据认证依据和审核要求，对申请方递交的资料进行全部审核。

非现场审核应对以下几个方面进行关注：   

1) 受审核方的人员数量、管理、培训情况；

2)企业质量管理体系情况 ；

3)信誉情况

4） 其他审核组员认为需要关注的方面。  

审核组应该对非现场审核中收集的所有信息和证据进行汇总分析，评价审核发现并就审核结论达成一致。

如果非现场审核发现不符合项和观察项应开具不符合项报告和观察项，且获得受审核方认同。

非现场审核结束，审核组可以根据非现场审核的结果对受审核方的服务是否满足所有适用的认证依据的要求进行评价，并判断是否需要：

a)进行现场审核，

b) 项目现场抽查，

c) 推荐认证注册等。

非现场审核结束后，对于能力评估四级如可以推荐认证注册，由审核组长完成审核报告；对于交付能力一二三级，审核组认为可进入现场审核，则进入现场审核阶段。

6.1.6现场审核

依据项目管理的安排，审核组对申请方实施现场审核。

6.1.6.1现场审核计划

审核组应结合受审核方的申请书/自评估信息、非现场审核发现、审核方案对现场审核的策划对现场审核做出具体安排，包括但不限于具体的时间安排、审核内容、人员沟通和会议安排。审核组长应至少在实施现场审核 5 个工作日之前，与受审核方就审核计划进行充分沟通，确保双方在理解上没有歧义。

6.1.6.2现场审核实施

审核组长依据认证依据和审核要求，到受审核方现场进行审核，并出具现场审核报告。

现场审核应对以下几个方面进行关注：

1) 受审核方的现场环境；

2)受审核方的资源情况；人员管理情况

3)受审核方的文档管理情况；

4)受审核方的研发管理情况；

5)受审核方的服务项目管理过程；

6)受审核方已完成的项目及验收证明；

7）受审核方财务审计报告及财务管理情况；

8) 审核组认为非现场审核发现需要关注的方面；

审核组通过现场审核，应实现以下目的：

1)确定受审核方有能力策划并实施合同约定的服务项目；

2)确定受审核方有能力确保所有的服务项目都按照既定的要求执行；

3)确定受审核方的项目管理和执行过程满足认证依据的通用评价要求和专业评价要求。

6.1.6.3现场审核结论

审核组应该对非现场审核和现场审核中收集的所有信息和证据进行汇总分析，形成《信息系统交付能力评估确认单》，审核发现并就审核结论与受审核方达成一致。

如果现场审核发现不符合项和观察项应开具《现场评估问题报告及跟踪表》，且获得受审核方认同。

现场审核结束，审核组可以根据非现场审核结果和现场审核的结果对受审核方的服务是否满足所有适用的认证依据的要求进行评价，并判断是否需要增加非现场审核、是否推荐认证注册。  

现场审核结束后，3 个月内，审核组长完成审核报告。

6.1.7评估决定

审核完成后，项目管理人员应指派认证决定（或复核）人员，对受审核方的认证申请实施认证决定，以决定是否同意认证注册，颁发认证证书。参加审核的人员不能作为认证决定人员实施认证决定。

6.1.8证书颁发

对于符合认证要求的受审核方，颁发认证证书。

6.2 监督审核

6.2.1频次和方式

公司应对获证组织实施监督审核，每年度进行一次监督审核。获证组织应该在获得证书的第二年开始（从获证日期开始 11 个月内）每年提交监督审核申报材料。

监督审核的方式一般采取非现场审核的方式，如有必要由审核组向项目管理人员申请进行现场审核。

监督审核通过后，为获证组织颁发监督审核通过标识。

6.2.2监督审核实施

审核组对获证组织进行非现场审核，审核的内容为：

1．企业的经营范围、信誉等情况；

2. 监督审核申报材料的完整性、有效性；

审核组根据非现场审核的结果确定是否需要进行现场审核，如果需要，审核组需向项目管理人员进行申请，项目管理人员根据获证组织的相关信息确定是否进行现场审核和并进行相关活动的安排。

6.2.3监督审核结论

审核组应该对收集的所有信息和证据进行汇总分析，评价审核发现并就审核结论达成一致。

如果审核发现不符合项和观察项应开具不符合项报告，且获得获证组织认同。审核结束，审核组应形成是否推荐保持认证注册的结论；

审核结束后 3 个工作日内审核组长完成监督审核报告。

6.2.4评估决定

项目管理人员应指派认证决定（或复核）人员，对获证组织的认证申请实施认证决定，以决定：

1)同意保持认证注册，颁发认证标志；

2)补充认证决定所需的信息，包括但不限于申请材料、审核材料，再进行认证决定；

3)不同意保持认证注册，做出暂停或撤销的决定，通知获证组织不同意保持的理由。

认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础，以充分的证据证实获证组织符合服务交付能力规范的要求。

6.3再评估  

6.3.1再评估申请

信息系统服务商交付能力评估证书有效期三年，若获证组织申请继续持有评估证书， 则应在评估证书有效期满前三个月向公司提出再评估申请，并提交相关资料。

6.3.2再评估有关要求

   再评估活动的流程与初次评估相同，再评估的认证决定通过后，为获证组织换发新的认证证书。      

6.4特殊审核

6.4.1获证组织重大变更

获证组织重大变更包括：获证组织发生主体变更、质量事故或客户投诉。获证组织发生重大变更时采用特殊审核的方式进行审核。

获证组织主体发生变更时，公司应按初次认证的过程对获证组织进行特殊审核，最终形成是否同意获证组织主体变更的决定。

公司为调查信息系统服务项目质量问题、用户投诉时，应指派审核组在提前较短时间通知获证组织后对其进行特殊审核。

特殊审核以现场审核方式进行，此时：

1)应向获证组织说明并使其提前了解将在何种条件下进行此类审核；

2)给予获证组织对审核组成员的任命表示反对的机会，公司应在指派审核组时给予更多的关注；

3)审核组应制订审核计划，形成审核结论；

4)公司应根据审核结论作出认证决定。

6.4.2 获证组织短时间内级别变更

当获证组织在短时间内申请级别变更时（通常是在未到一个换证周期内），应按初次认证的过程对获证组织进行特殊审核，审核组可根据上一级别获证时间的情况，对审核内容进行适当删减，但应保证上一级别审核内容加上新申请级别的审核内容能覆盖本规则第 2 章的认证依据中相应级别的要求。

7 评估证书管理

7.1证书内容

评估证书内容应以中文书写，至少包括以下方面：

a) 评估证书名称；

b)获证组织名称、统一社会信用代码；

c) 符合本规则第 2 章的认证依据；

e)   发证日期及有效期；

f) 公司的名称及其标志；

g)公司的印章和签发人的签字；

h)认可标识及认可注册号(应为国家认监委确定的认可机构的标识，在认证机构获得认可机构的标识前，认证证书没有此项内容)。

信息系统服务商交付能力评估证书有效期三年，证书的有效性通过公司对获证组织定期的监督获得保持。

7.2证书编号

a)证书编号规则由公司进行明确规定。

b)有效期内同级换发证书，认证证书编号保持不变，标号末尾标明换证次数，应注明换证日期。

c)撤销证书后，原认证证书编号废止，不再它用。

d)认证证书上的公司名称应与相应的公司批准书上的名称一致。

e)换证时等级或星级发生变更，按照新证书编号。

7.3暂停评估证书

获证组织有下列情形之一，认证机构应暂停其评估证书：

a) 获证组织的服务管理持续地或严重地不满足认证要求;

b) 逾期未按规定接受监督审核；

c) 违规使用认证证书，且未造成不良影响；

d) 监督审核有严重不符合项；

f)   获证组织主动请求暂停；

g) 其他需要暂停证书的情况。

在暂停认证期间，获证组织的服务交付能力评估证书暂时无效。公司应做出具有强制实施力的安排，避免暂停评估期间获证组织继续宣传并使用服务交付能力评估证书。公司应使评估证书的暂停信息可公开获取。

证书暂停时间一般不超过六个月。在证书暂停期间，组织可提出恢复证书的申请，并经认证机构审核、批准后方可使用证书。

在任何组织提出请求时，公司应正确说明获证组织的服务交付能力认证被暂停的情况。  

7.4撤销评估证书

获证组织有下列情形之一，应撤销其认证证书：

a) 逾期 6 个月未按规定接受监督审核的；

b) 证书暂停期间，未在规定时间内完成整改并通过验证；

c) 违规使用认证证书，造成不良影响；

d)获证组织出现信誉问题、严重责任事故、被投诉且经核实，影响其继续有效提供服务；

e)获证组织因自身原因不再维持证书，可提出撤销认证证书的申请；

f) 其他需要撤销证书的情况。

认证证书撤销后，获证组织应交回认证证书，公司予以公示。7.5 证书变更

证书变更如只涉及地址、资金或法定代表人的变更，获证组织需递交变更申请，经书面审核批准后，公司可更换其证书并收回原证书。

如获证组织发生除以上的重大调整，应向公司提出变更申请，并提供相关材料。公司组织审核组进行特殊审核，并做出认证决定。

8 信息管理

8.1评估信息公开

公司应向申请认证的社会组织(以下称申请方)至少公开以下信息：

1) 认证服务项目；

2) 认证工作程序；

3) 认证依据；

4) 证书有效期；

5) 认证收费标准。

8.2 信息通报

为确保获证组织的信息系统服务商交付能力持续有效，获证组织应建立信息通报规范，及时向认证机构报告以下信息：

1)组织机构变更信息；

2)客户投诉信息；

3)其他重要信息。