1.适用范围

本规则适用于质量促进（北京）技术中心（简称：质量促进）开展信息系统交付能力成熟度评估活动。

       2.认证依据

       T/CIE 135-2022《信息系统交付能力成熟度模型》

       3.评估方法和审查方案

3.1信息系统交付能力成熟评估是依据相关认证标准，采用功能法对受评审方进行审查，确认满足认证标准要求后，通过出具认证证书证明其符合性的过程。

3.2审查方案包括初次认证审查、第一年和第二年的监督审查及第三年认证到期前进行的再认证审查。第一个三年的认证周期从初次认证决定日算起。以后的周期从再认证决定日算起。

       4.评估方式

4.1自评估：申请方根据认证依据对自身的信息系统交付能力进行符合性评价，并收集和分析相关证据，以确定组织满足认证依据的程度。

4.2现场审核：由认证中心指派审核组到受审核方或获证组织所在办公地址进行审核活动。

4.3特殊审核：组织发生重大变、较短时间内申请级别变更。

       5.审核组要求

5.1审核组长必须取得服务审查员的注册资格，并得到公司的专业能力评价，以确定其能够胜任所安排的审核任务。

5.2审核组应由能够胜任所安排的审核任务的审查员组成。必要时可以补充技术专家以增强审核组的技术能力。具有相关的技术、管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审查员的监督下进行工作，可就受审核方或获证组织服务过程中技术充分性事宜为审查员提供建议，但技术专家不能作为审查员。

       6.评估要求及流程

       6.1评估申请组织的基本条件包括：

       6.1.1具有工商行政管理部门颁发的营业执照，从事信息系统交付业务；

       6.1.2社会信誉良好，有良好的资信和公众形象，有良好的知识产权保护意识，近三年无触犯国家法律法规的行为，无经营异常或严重违法失信行为，无不正当竞争行为；

       6.1.3满足《信息系统交付能力成熟度模型》中相应级别要求；

       6.1.4能够提供充分满足信息系统交付过程、组织战略、能力要素、质量管理等能力要求的真实性、适宜性和有效性证据。

       6.2初次评估流程

       6.2.1评估申请

              申请组织需提交以下必要的信息：

        a.认证申请表及附表；

        b.营业执照副本；

        c.体系认证证书扫描件；

        d.企业简介；

        e.组织架构及职责说明；

        f.主要业务列表；

        g.典型项目合同、验收报告扫描件及项目介绍；

        h.近三年财务审计报告扫描件；

        i.研发环境情况介绍；

        j.企业自查表，包括但不限于：申请组织根据认证依据所进行的符合性评价。

       6.2.2对评估申请的评审

              中心应根据认证依据、程序等要求，对申请组织提交的认证申请资料、自评估信息进行评审并保存评审记录，做出评审结论，以确定：

           a.所需要的基本信息都得到提供（特别指自评估信息的完整性）；

           b.中心与申请组织之间任何已知的理解差异得到消除；

           c.中心有能力并能够实施所申请的认证活动；

           d.申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素。

       对不予受理的申请或认证申请组织撤回的申请，应采取保密方式将申请文件和有关资料归档保存。

       中心授权人根据评审结论与认证申请方签署《信息系统交付能力评估合同》一式四份，中心和认证申请组织各执两份。认证合同内容填写应完整、清晰、准确无误。

       6.2.3建立审核方案

       在受理评估申请后，中心应针对申请方组织建立审核方案（申请组织变更为受审核组织），并由专职人员负责管理审核方案。

       6.2.4确定审核组

              中心应根据受审核组织的行业、规模和业务复杂程度和审核方案挑选合适的评审老师组件审核组，指派审核组长。

       6.2.5 现场审核

       依据项目管理的安排，审核组对是申请组织实施现场审核活动。

       6.2.5.1制定现场评估计划

       审核组应结合受审核组织的申请材料、自评估情况、非现场审核发现、审核方案对现场审核的策划对现场审核做出具体安排，包括但不限于具体的时间安排、审核内容、人员沟通和会议安排。审核组长应至少在实施现场审核5个工作日之前，与受审核组织就审核计划进行充分沟通，确保双方在理解上没有歧义。

       6.2.5.2现场审核实施

       审核组长依据认证依据和审核要求，到受审核方现场进行审核，并出具现场审核报告。

       现场审核应对以下几个方面进行关注：

  a.信息系统交付过程是否涵盖策划、实施、检查和改进；

  b.信息系统交付展战略是否与受审核组织业务相一致；

  c.受审核组织组织能力方面的情况；

  d.受审核组织人员能力方面管理情况；

  e.受审核组织基本能力方面管理情况；

  f.受审核组织支撑能力方面的管理情况；

  g.受审核组织交付质量管理方面的情况；

  h.审核组认为需要关注的方面。

       审核组通过现场审核，应实现以下目的：

  a.确定受审核组织有能力策划并实施信息系统项目的交付；

  b.确定受审核方有能力确保所有的信息系统项目都按照既定的要求执行；

  c.确定受审核方的交付管理管理满足认证依据的要求。

       6.2.5.3现场审核结论

       审核组应该对非现场审核和现场审核中收集的所有信息和证据进行汇总分析，填写申请等级的《信息系统交付检查记录表》，通过审核发现并就审核结论与受审核方达成一致。

       现场审核结束，审核组可以根据现场审核的结果对受审核方的服务是否满足所有适用的认证依据的要求进行评价，并判断是否需要增加非现场审核、是否推荐认证注册。

       现场审核结束后，2个月内，审核组长完成审核报告。 

       6.2.6评估决定

       审核完成后，项目管理人员应指派认证决定（或复核）人员，对受审核组织的认证申请实施认证决定，以决定是否同意认证注册，颁发认证证书。参加审核的人员不能作为认证决定人员实施认证决定。

       6.2.7 证书颁发

       对于符合认证要求的受审核组织，颁发认证证书。

       6.3 监督审核

       6.3.1 频次和方式

              中心应对获证组织实施监督审核，每年度进行一次监督审核。获证组织应该在获得证 书的第二年开始（从获证日期开始 12个月内）每年提交监督审核申报材料。

              监督审核的方式一般采取现场审核的方式，监督审核通过后，为企业更新认监委公示信息。

       6.3.2 监督审核实施

              审核组对获证组织进行现场审核，审核的内容为：

                  a.申请组织的经营范围、信誉等情况；

                  b.监督审核申报材料的完整性、有效性；

                  c.申请组织近一年信息系统交付管理情况。

       6.3.3 监督审核结论

       审核组应该对收集的所有信息和证据进行汇总分析，评价审核发现并就审核结论达成 一致；

       审核结束，审核组应形成是否推荐保持认证注册的结论；

       审核结束后5个工作日内审核组长完成监督审核报告。

       6.3.4 评估决定

        项目管理人员应指派认证决定（或复核）人员，对获证组织的认证申请实施认证决定，以决定：

              a.同意保持认证注册，颁发认证标志；

              b.补充认证决定所需的信息，包括但不限于申请材料、审核材料，再进行认证决定；

              c.不同意保持认证注册，做出暂停或撤销的决定，通知获证组织不同意保持的理由。认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础，以充分的证据证实获证组织符合服务交付能力规范的要求。

       6.4 再评估

       6.4.1 再评估申请

       信息系统交付能力认证证书有效期三年，若获证组织申请继续持有认证证书， 则应在证书有效期满前三个月向中心提出再评估申请，并提交相关资料。

       6.4.2 再评估有关要求

              再评估活动的流程与初次评估相同，再评估的认证决定通过后，为获证组织换发新的认证证书。

       6.5 特殊审核

       6.5.1 获证组织重大变更

              获证组织重大变更包括：获证组织发生主体变更、质量事故或客户投诉。获证组织发生重大变更时采用特殊审核的方式进行审核。

              获证组织主体发生变更时，公司应按初次认证的过程对获证组织进行特殊审核，最终形成是否同意获证组织主体变更的决定。

              公司为调查信息系统服务项目质量问题、用户投诉时，应指派审核组在提前较短时间通知获证组织后对其进行特殊审核。

              特殊审核以现场审核方式进行，此时：

              a.应向获证组织说明并使其提前了解将在何种条件下进行此类审核；

         b.给予获证组织对审核组成员的任命表示反对的机会，公司应在指派审核组时给予更多的关注；

              c.审核组应制订审核计划，形成审核结论；

              d.公司应根据审核结论作出认证决定。

       6.5.2 获证组织短时间内级别变更

              当获证组织在短时间内申请级别变更时（通常是在未到一个换证周期内），应按初次认证的过程对获证组织进行特殊审核，审核组可根据上一级别获证时间的情况，对审核内容进行适当删减，但应保证上一级别审核内容加上新申请级别的审核内容能覆盖本规则第 2 章的认证依据中相应级别的要求。

       7.评估证书管理

       7.1 证书内容

       评估证书内容应以中文书写，至少包括以下方面：

              a.评估证书名称；

              b.获证组织名称、统一社会信用代码；

              c.获证组织注册地址和经营地址；

              d.获证等级；

              e.认证范围；

              f.认证依据；

              g.发证日期和有效期；

              h.查询网址

              i.公司的名称、地址及其标志。

       7.2 证书编号

          a.证书编号规则由中心进行明确规定；

          b.有效期内同级换发证书，认证证书编号保持不变，标号末尾标明换证次数，应注明换证日期；

          c.撤销证书后，原认证证书编号废止，不再它用；

          d.认证证书上的公司名称应与相应的公司批准书上的名称一致；

          e.换证时等级或星级发生变更，按照新证书编号。

    7.3 暂停评估证书

       获证组织有下列情形之一，认证机构应暂停其评估证书：

              a.获证组织的服务管理持续地或严重地不满足认证要求;

              b.逾期未按规定接受监督审核；

              c.违规使用认证证书，且未造成不良影响；

              d.监督审核有严重不符合项；

              e.获证组织主动请求暂停；

              f.其他需要暂停证书的情况。在暂停认证期间，获证组织的交付能力认证证书暂时无效。公司应做出具有强制实施力的安排，避免暂停评估期间获证组织继续宣传并使用交付能力认证。中心应使认证证书的暂停信息可公开获取。

              证书暂停时间一般不超过六个月。在证书暂停期间，组织可提出恢复证书的申请，并经认证机构审核、批准后方可使用证书。

              在任何组织提出请求时，公司应正确说明获证组织的信息系统交付能力认证认证被暂停的情况。 

       7.4 撤销评估证书

       获证组织有下列情形之一，应撤销其认证证书：

          a.逾期 6 个月未按规定接受监督审核的；

          b.证书暂停期间，未在规定时间内完成整改并通过验证；

          c.违规使用认证证书，造成不良影响；

          d.获证组织出现信誉问题、严重责任事故、被投诉且经核实，影响其继续有效提供服务；

          e.获证组织因自身原因不再维持证书，可提出撤销认证证书的申请；

          f.其他需要撤销证书的情况。 认证证书撤销后，获证组织应交回认证证书，公司予以公示。

       7.5 证书变更

       证书变更如只涉及地址或法定代表人的变更，获证组织需递交变更申请，经书面审核批准后，公司可更换其证书并收回原证书。

       如获证组织发生除以上的重大调整，应向公司提出变更申请，并提供相关材料。公司组织审核组进行特殊审核，并做出认证决定。

       8.信息管理

       8.1 评估信息公开

       中心应向申请认证的社会组织(以下称申请方)至少公开以下信息：

          a.认证服务项目；

          b.认证工作程序；

          c.认证依据；

          d.证书有效期；

          e.认证收费标准。

       8.2 信息通报

      为确保获证组织的信息系统交付能力认证证书持续有效，获证组织应建立信息通报规范，及时向认证机构报告以下信息：

          a.组织机构变更信息；

          b.客户投诉信息；

          c.其他重要信息。