ISOIECFDIS17021-XXXX《合格評定管理體系審核認證機構的要求》

1、ISO/IEC 17021合格評定管理體系審核認證機構的要求Conformity assessment Requirements for bodies providing audit and certification of management systems前言IV引言V1 范圍12規(guī)范性引用文件13術語和定義14 原則24.1 總則24.2 公正性34.3 能力34.4 責任34.5 公開性34.6 保密性34.7 對投訴的回應35通用要求35.1 法律與合同事宜35.1.1 法律責任35.1.2 認證協(xié)議45.1.3 認證決定的責任45.2 公正性的管理45.3 責任和財力56 結構要

2、求56.1 組織結構和最高管理層56.2 維護公正性的委員會57資源要求51.1 管理層和人員的能力61.1.1 總體考慮61.1.2 能力準則的確定 61.1.3 評價過程61.2 參與認證活動的人員61.3 外部審核員和外部技術專家的使用 71.4 人員記錄71.5 外包78 信息要求88.1 可公開獲取的信息88.2 認證文件88.3 獲證客戶目錄88.4 認證資格的引用和標志的使用 88.5 保密98.6 認證機構與其客戶間的信息交換 98.6.1 認證過程和要求的信息98.6.2 認證機構的變更通知 98.6.3 客戶的變更通知 109 過程要求109.1 通用要求109.1.1 審

3、核方案 109.1.2 審核計劃109.1.3 選擇和指派審核組 119.1.4 確定審核時間 119.1.5 多場所的抽樣 129.1.6 傳達審核組任務 129.1.7 |說明審核組成員 129.1.8 審核計劃的溝通 129.1.109.1.119.1.129.1.139.1.149.1.159.1.9 實施現(xiàn)場審核 129.1.10 149.1.11 分析 149.1.12 施的有效性 149.1.13 149.1.14 159.1.15 行動 159.2 初次審核與認證159.2.1 申請159.2.2 申請評審159.2.3 . 初次認證審核159.2.4 初次認證的審核結論169

4、.2.5 授予初次認證所需的信息169.3 監(jiān)督活動169.3.1 總則169.3.2 .監(jiān)督審核179.3.3 保持認證179.4 再認證179.4.1 再認證審核的策劃 179.4.2 再認證審核179.4.3 授予再認證所需的信息189.5 特殊審核189.5.1 擴大認證范圍 189.5.2 提前較短時間通知的審核189.6 暫停、撤消或縮小認證范圍 189.7 申訴189.8 投訴199.9 申請組織和客戶的記錄 1910 認證機構的管理體系要求 1910.1 可選方式192010.2 方式一：與ISO 9001 一致的管理體系要求 10.2.1 總則2010.2.2 范圍2010.

5、2.3 以顧客為關注焦點 2010.2.4 管理評審2010.2.5 一設計和開發(fā) 2010.3 方式二：通用的管理體系要求 2010.3.1 總則2010.3.2 管理體系手冊2010.3.3 文件控制 2010.3.4 記錄控制2010.3.5 管理評審2110.3.6 內(nèi)部審核2110.3.7 糾正措施2110.3.8 預防措施22附 錄A （規(guī)范性附錄）為管理體系認證機構確定能力準則的一個示例 23附錄B （資料性附錄）確定管理體系認證機構能力準則的示例 錯誤B.1能力準則確定過程 錯誤B.2 知識水平 錯誤B.3 特定職能的能力要求 錯誤附 錄C （資料性附錄）可能的評價方法 24C

6、.1 概述24C.2 記錄審查 24C.3 意見反饋24C.4面談24C.5觀察24C.6考試25附 錄D （資料性附錄）認證人員能力評價的示例 26D.1概述26D.2 能力評價過程 錯誤附 錄E （資料性附錄）所期望的個人行為 27附 錄F （資料性附錄）第三方審核和認證過程 28附 錄G （資料性附錄）審核方案、范圍和計劃的其他考慮因素 29G.1 概述29G.2 考慮因素29參考文獻30國際標準化組織（ISO）和國際電工委員會（IEC）構成了世界標準化的專業(yè)體系。ISO或IEC的國家 成員機構通過這兩個組織針對特定領域技術活動設立的技術委員會參與國際標準的制定。IS5 DIEC的技術委

7、員會在有共同興趣的領域進行合作。其他與ISOFDIEC有聯(lián)絡關系的政府間或非政府國際組織也參與 相關工作。在合格評定領域，ISO合格評定委員會（CASCO負責制定國際標準和指南。國際標準按照ISO/IEC工作導則第二部分所述的規(guī)則起草。國際標準草案提交各成員機構投票表決。國際標準草案只有獲得75%的投票成員機構通過，才能作 為國際標準發(fā)布。請注意本文件的某些內(nèi)容可能涉及專利權。ISO不負責識別任何專上述利權。ISO/IEC 17021-2 由 ISO/CASC®定。該國際標準提交ISOFDIEC的成員機構表決，并獲得這兩個組織的批準。ISO/IEC 17021的總標題為合格評定一一管

8、理體系審核認證機構的要求及管理體系第三方認證審 核的要求，包括以下部分：第1部分：管理體系審核認證機構的要求第2部分：管理體系第三方認證審核的要求斜體字文本為原來的ISO/IEC 17021:2006 文本。正體字文本為 17021-2文本。在本國際標準中，"應"（shall ） 一詞表示要求，"宜"（should ） 一詞表示建議。管理體系認證（如對組織的質(zhì)量或環(huán)境管理體系的認證）是對組織已實施了與其方針一致、用以管 理其活動相關方面的體系提供保證的一種方法。本國際標準規(guī)定了對認證機構的要求。貫徹這些要求旨在確保認證機構以有能力、一致和公正的方 式實施

9、管理體系認證，以促進國際和國內(nèi)承認這些機構并接受它們的認證。 本國際標準為促進對管理體 系認證的承認提供了基礎，這種承認有利于國際貿(mào)易。管理體系認證是獨立地證明組織的管理體系：a）符合規(guī)定要求；b）能夠自始至終實現(xiàn)其聲明的方針和目標；c）得到有效實施。因此，諸如管理體系認證的合格評定活動為組織、組織的顧客及利益相關方提供了價值。本國際標準第4章闡述了可信的認證所依據(jù)的原則。這些原則有助于讀者理解認證的本質(zhì)屬性，并 為第5章至第10章做了必要的鋪墊。這些原則構成了本國際標準所有要求的基礎，但其本身并不是可供 評審的要求。第10章為認證機構通過建立管理體系來保障和證實其始終滿足本國際標準要求提供了

10、兩種 可供選擇的途徑。本國際標準旨在供實施管理體系審核和認證的機構使用。 它對從事質(zhì)量、環(huán)境及其他管理體系審核 和認證的機構提出了通用要求。本國際標準將這類機構稱為認證機構。這一用語不妨礙那些有著其他名 稱、但從事本國際標準范圍內(nèi)活動的機構使用本國際標準。認證活動包括對組織的管理體系的審核。認證機構通常以認證文件或證書的形式證明組織的管理體 系符合特定的管理體系標準或其他規(guī)范性要求。本國際標準包含ISO/IEC 17021:2006的文本，但刪除了其中對ISO 19011的相關引用，增加了對第 三方審核和認證人員能力管理的具體要求。我們已從缺少具體的和公認的管理體系（例如質(zhì)量管理體系、環(huán)境管理

11、體系或食品安全管理體系）第三方審核員要求識別出了特定的市場需求。ISO 19011:2002僅對審核員能力提供了非強制性的指南。重要的利益相關方（包括工業(yè)界的利益相關方）發(fā)現(xiàn)缺少對審核員能力及審核員管理與使用方式的要求 是一個缺陷。本國際標準對管理體系審核提供了一套通用要求，目的是使有能力的審核組， 具有充足的資源，按照一致的過程，可靠地確定與適用的認證要求的符合性，并以一致的方式報告結果。本國際標準將作為對第三方管理體系審核與認證能力進行承認的基礎和認可準則文件。本國際標準也可用于同行評審或其他審核過程。ISO/IEC 17021是適用于各種類型管理體系的審核與認證的通用標準。為實現(xiàn)利益相關

12、方的期望， 可能需要對其中一些要求，特別是那些關于審核員能力的要求補充附加準則，這一點得到公認。在本國際標準中，“應”表示要求，“宜”表示建議。合格評定一一管理體系審核認證機構的要求1范圍本國際標準包含了所有類型管理體系（如質(zhì)量管理體系或環(huán)境管理體系）審核與認證的能力、一致 性和公正性的原則與要求，以及提供上述活動的機構所遵循的原則與要求。按照本國際標準運作的認證 機構不必提供所有類型的管理體系認證。管理體系認證（本國際標準中稱為“認證”）是一種第三方合格評定活動（見 ISO/IEC 17000:2004 的5.5）。因此，實施這種活動的機構是第三方合格評定機構（本國際標準中稱為“認證機構”）

13、。注1:管理體系認證有時也稱為“注冊”，認證機構有時稱為“注冊機構”。注2：認證機構可以是非政府的或政府的（具有或不具有法定權力）。注3:本國際標準可作為認可、同行評審或其他審核過程的準則文件。2規(guī)范性引用文件下列引用文件對本文件的應用是必不可少的。凡是注日期的引用，僅所引用的版本適用。凡是不注日期的引用，所引用文件的最新版本（包括任何修改單）適用。ISO 9000:2005 ,質(zhì)量管理體系基礎和術語ISO 19011:2002,質(zhì)量和（或）環(huán)境管理體系審核指南二ISO/IEC 17000:2004 ,合格評定詞匯和通用原則3術語和定義ISO 9000和ISO/IEC 17000中給出的術語和

14、定義以及下列術語和定義適用于本文件。3.1獲證客戶 certified client管理體系已獲認證的組織3.2公正性 impartiality實際存在的并被認識到的客觀性注1：客觀性意味著利益沖突不存在或已解決，不會對認證機構的后續(xù)活動產(chǎn)生不利影響；注2:其他可用于表示公正性的要素的術語有：客觀、獨立、無利益沖突、沒有成見、沒有偏見、中立、公平、思想開明、不偏不倚、不受他人影響、平衡。3.3管理體系咨詢 management system consultancy參與設計、實施或保持管理體系示例籌劃或編制手冊或程序；對管理體系的建立和實施提供具體的建議、指導或解決方案。注：如果與管理體系和審核

15、有關的培訓課程僅限于提供可在公共場合自由獲取的通用信息，那么組織培訓并作為培訓者參與培訓不被視為咨詢，即培訓者不宜針對特定的公司提出解決方案。3.4第三方認證審核 third-party certification audit由獨立于客戶和用戶的審核組織實施的、以對客戶的管理體系進行認證為目的的審核1）本文件對ISO 19011相關指南的引用適用于對所有其他類型管理體系的審核u注1:在下面的定義中，第三方認證審核簡稱為“審核”。注2:第三方認證審核包括初次審核、監(jiān)督審核和再認證審核，還可以包括特殊審核。注3:第三方認證審核通常由提供依據(jù)管理體系標準要求的符合性認證的機構的審核組實施。注4:兩個

16、或兩個以上審核組織合作審核一個客戶，稱作聯(lián)合審核。注5: 一個客戶同時按照兩個或兩個以上管理體系標準的要求接受審核，稱作結合審核。注6: 一個客戶已將兩個或兩個以上管理體系標準的要求的應用整合進一個管理體系，并按照一個以上標準接受審 核，稱作一體化審核。3.5客戶client為認證目的接受審核的組織3.6審核員 auditor實施審核的人3.7能力 competence能夠應用知識和技能實現(xiàn)預期結果的特質(zhì)一去掉經(jīng)證實3.8向?qū)?guide客戶指派的協(xié)助審核組的人3.9觀察員 observer陪同審核組但不審核的人-來自客戶或認可委3.10技術領域 technical area以特定類型管理體系

17、的相關過程的共性為特征的領域area characterized by commonalities of processes relevant to a specific type of management system4原則4.1 總則4.1.1 本章所述原則是本國際標準中后續(xù)的特定績效要求和說明性要求的基礎。本國際標準未就所有可能發(fā)生的情況給出特定要求。在出現(xiàn)未預料到的情況時，宜應用這些原則作為決策的指南。這些原則 不是要求。4.1.2 認證的總體目標是使所有相關方相信管理體系滿足規(guī)定要求。認證的價值取決于第三方通過公 正、有能力的評定所建立的公信力的程度。認證的利益相關方包括（但不限于

18、）：a）認證機構的客戶；b）獲證客戶的顧客；c）政府部門；d）非政府組織；e）消費者和其他公眾。4.1.3 建立信任的原則包括：公正性; 能力； 責任； 公開性;保密性；對投訴的回應。4.2 公正性4.2.1 公正，并被認為公正，是認證機構提供可建立信任的認證的必要條件。4.2.2 客戶支付的認證費用是認證機構的收入來源，也是對公正性的潛在威脅，這一點得到公認。4.2.3 認證機構根據(jù)其所獲得的符合（或不符合）的客觀證據(jù)做出決定，且不受其他利益或其他各方 的影響，對于獲得和保持信任是必不可少的。4.2.4 對公正性的威脅包括：a）自身利益的威脅：此類威脅源于個人或機構依其自身利益行事。在認證中

19、，財務方面的自身利 益是一種對公正性的威脅。b）自我評審的威脅：此類威脅源于個人或機構評審自己所做的工作。認證機構對由其進行管理體 系咨詢的客戶實施管理體系審核屬于此類威脅。c）熟識（或信任）的威脅：此類威脅源于個人或機構對另外一人過于熟悉或信賴，而不去尋找審 核證據(jù)。d）脅迫的威脅：此類威脅源于個人或機構察覺受到公然或暗中的強迫，如威脅用他人取而代之或 向主管告發(fā)。4.3 能力認證機構的管理體系所支撐的人員能力是認證提供信任的必要條件。能力是經(jīng)訐實的應用知識和技 能的木領。4.4 責任4.4.1 符合認證要求的責任在于客戶組織而不是認證機構。4.4.2 認證機構有責任對足夠的客觀證據(jù)進行評價

20、，并在此基礎上做出認證決定。根據(jù)審核結論，如果符合性的證據(jù)充分，認證機構做出授予認證的決定；如果符合性的證據(jù)不充分，則不授予認證。注：任何審核都是基于對組織管理體系的抽樣，因此并不保證管理體系100喻合要求。4.5 公開性4.5.1 為獲得對認證的誠信性與可信性的信任，認證機構需要提供獲取有關審核過程、認證過程和所 有組織認證狀態(tài)（即認證的授予、保持、更新、擴大、縮小、暫?；虺废┑倪m當、及時信息的公開渠 道，或公布這些信息。公開性是獲得或公布適當信息的一項原則。4.5.2 為獲得或保持對認證的信任，認證機構宜向特定利益相關方提供獲取特定審核（如為回應投訴 而做的審核）結論的非保密信息的適當渠

21、道，或公布這些信息。4.6 保密性為了享有獲取充分評價管理體系符合性所需信息的特權， 認證機構對任何關于客戶的專有信息予以 保密是必需的。4.7 對投訴的回應依賴認證的各方期望投訴得到調(diào)查。認證機構應當使依賴認證的各方相信，在投訴經(jīng)查明有效時，認證機構將對投訴進行適當?shù)奶幚?，并為解決投訴做出適當?shù)呐?。當投訴表明出現(xiàn)錯誤、疏忽或不合 理行為時，對投訴做出有效回應是保護認證機構及其客戶和其他認證使用方的重要手段。 對投訴進行適 當處理將維護對認證活動的信任。注：為了向認證的所有用戶證明認證的誠信性與可信性，需要在公開性和保密性（包括對投訴的回應）等原則之間 取得適當?shù)钠胶狻?通用要求5.1 法律

22、與合同事宜5.1.1 法律責任認證機構應為一個法律實體，或一個法律實體內(nèi)有明確界定的一部分，以便認證機構能夠?qū)ζ渌?認證活動承擔法律責任。政府的認證機構因其政府地位而被視為法律實體。5.1.2 認證協(xié)議認證機構與客戶之間應有在法律上具有強制實施力的提供認證服務的協(xié)議。此外，如果認證機構有多個辦公場所或客戶有多個場所，則應確保授予認證并頒發(fā)證書的認證機構與認證范圍覆蓋的所有場所 之間有在法律上具有強制實施力的協(xié)議。5.1.3 認證決定的責任認證機構應對與認證有關的決定（包括授予、保持、更新、擴大、縮小、暫停和撤消認證）負責， 并應保持做出上述決定的權力。5.2 公正性的管理5.2.1 認證機構

23、最高管理層應對管理體系認證活動的公正性做出承諾。認證機構應具有可公開獲取的 聲明，表明其理解公正性在實施管理體系認證活動中的重要性，對利益沖突加以管理，并確保其管理體系認證活動的客觀性。5.2.2 認證機構應識別和分析由認證活動引起的利益沖突的可能性并將其形成文件，包括認證機構的 各種關系引起沖突的可能性。有關系不一定都會引起利益沖突。但是，如果任何關系對公正性構成威脅， 認證機構應將其如何消除或最大限度減小此類威脅形成文件，并能予以證實。6.2所指的委員會應能獲得這方面的信息。所作的證實應包括所有已識別的潛在利益沖突來源，無論其產(chǎn)生于認證機構內(nèi)部還是 其他個人、機構或組織的活動。注：威脅認證

24、機構公正性的關系可能源自其所有權、法人治理結構、管理層、人員、共享資源、財務、合同、營銷 以及給介紹新客戶的人銷售傭金或其他好處。5.2.3 當某種關系對認證機構的公正性構成不可接受的威脅時（如認證機構的全資子公司向其申請認 證），認證機構不應提供認證。注：見5.2.2注。5.2.4 認證機構不應對另一認證機構的管理體系認證活動進行認證。注：見5.2.2注。5.2.5 認證機構及同一法律實體的任何其他部分不應提供或推薦管理體系咨詢，也不應為管理體系咨 詢提供報價。本條款同樣適用于政府中被識別為認證機構的那一部分。5.2.6 認證機構及其所屬法律實體的任何其他部分不應向獲證客戶提供內(nèi)部審核。如果

25、認證機構對某 個管理體系提供了內(nèi)部審核，則不應在內(nèi)部審核結束后兩年內(nèi)對該管理體系進行認證。本條款同樣適用 于政府中被識別為認證機構的那一部分。注：見5.2.2注。5.2.7 如果咨詢機構與認證機構之間的關系對認證機構的公正性構成了不可接受的威脅，而客戶的管 理體系接受了該咨詢機構的管理體系咨詢或內(nèi)部審核，則認證機構不應對該管理體系進行認證。注1:在管理體系咨詢結束后經(jīng)過至少兩年時間，是將對公正性威脅降至可接受水平的一種方式。 注2:見5.2.2注。5.2.8 認證機構不應將審核外包給管理體系咨詢機構，因為這一做法將對認證機構的公正性構成不可 接受的威脅（見7.5）。本條款不適用于7.3所述的作

26、為簽約審核員的個人。5.2.9 認證機構活動的營銷或報價不應與管理體系咨詢機構的活動有聯(lián)系。如果任何咨詢機構宣稱或 暗示選擇某認證機構將使認證更為簡單、容易、迅速或廉價，則該認證機構應采取措施糾正這種不當表 述。認證機構不應宣稱或暗示選擇某咨詢機構將使認證更為簡單、容易、迅速或廉價。5.2.10 為確保沒有利益沖突，參與了對客戶管理體系咨詢的人員（包括管理人員），在咨詢結束后兩 年內(nèi)，不應被認證機構用于針對該客戶的審核或其他認證活動。5.2.11 認證機構應采取措施，以應對其他人員、機構或組織的行為對其公正性產(chǎn)生的威脅。5.2.12 認證機構所有可以影響認證活動的人員（內(nèi)部或外部的）或委員會應

27、公正行事，且不應允許商 業(yè)、財務或其他方面的壓力損害公正性。5.2.13 認證機構應要求內(nèi)部和外部的人員告知他們所了解的任何可能使其或認證機構陷入利益沖突 的情況。認證機構應利用這些信息識別他們或其所在單位的活動對公正性產(chǎn)生的威脅，且應在他們能夠證明沒有利益沖突之后再使用這些內(nèi)部或外部人員。5.3 責任和財力5.3.1 認證機構應能證明已對認證活動引發(fā)的風險進行了評估，并對各個活動領域和運作地域的業(yè)務引發(fā)的責任作了充分的安排（如保險或儲備金）。5.3.2 認證機構應評估其財務狀況和收入來源，并向 6.2所指的委員會證明其公正性始終沒有受到商 業(yè)、財務和其他方面壓力的損害。6結構要求6.1 組織

28、結構和最高管理層6.1.1 認證機構應將其組織結構形成文件，并明確管理層和其他認證人員及各委員會的任務、責任和權力。當認證機構是一個法律實體內(nèi)有明確界定的一部分時，該文件應說明認證機構與該法律實體間的權力關系以及與同一法律實體內(nèi)其他部分的關系。6.1.2 認證機構應確定對下列各項具有全部權力和責任的最高管理層（委員會、小組或個人）：a）與認證機構運作有關的政策的制定；b）政策和程序?qū)嵤┑谋O(jiān)督；c）認證機構財務的監(jiān)督；d）管理體系認證服務和認證方案的開發(fā)；e）審核與認證的實施和對投訴的回應；f）認證決定；g）在需要時，授權委員會或個人代表最高管理層開展規(guī)定的活動；h）合同安排；i）為認證活動提供

29、充分的資源。6.1.3 認證機構應有關于任何參與認證活動的委員會的任命、權限和運行的正式規(guī)則。6.2 維護公正性的委員會6.2.1 認證機構的結構應維護認證機構活動的公正性，并具有一個進行下列活動的委員會：a）協(xié)助制定與認證活動公正性有關的政策；b）阻止認證機構有任何傾向使商業(yè)因素或其他因素妨礙其一致地提供客觀的認證活動；c）對影響認證可信度的事宜（包括公開性和公眾認識）提出建議；d）至少每年對認證機構審核、認證和決定過程的公正性進行一次審查。該委員會也可被委以其他任務或職責，但這些附加的任務或職責不得削弱其確保公正性的基本作用。6.2.2 該委員會的組成、權限、任務、權力、成員能力和責任均應

30、正式形成文件，并由認證機構最高 管理層批準，以確保：a）各方利益均衡，以使任一利益方不處于支配地位（認證機構的內(nèi)部或外部人員視為一個利益方， 且不應居支配地位）；b）獲取所有必要的信息，使其能夠履行自己的職能（見 5.2.2和5.3.2 ）;c）如果認證機構最高管理層不尊重委員會的建議，委員會應有權采取獨立措施（如報告主管部門、 認可機構或利益相關方）。采取獨立措施時，委員會應尊重 8.5中與客戶和認證機構相關的保 密要求。6.2.3 雖然該委員會不能代表所有利益方，但是認證機構宜識別和邀請關鍵利益方。這些利益方可能 包括：認證機構的客戶，獲證客戶的顧客，行業(yè)協(xié)會代表，政府監(jiān)管機構或其他政府部

31、門的代表，或非 政府組織（包括消費者組織）的代表。7資源要求7.1 管理層和人員的能力7.1.1 總體考慮認證機構應有過程來確保其人員對其運作涉及的管理體系類型和地域有適宜的相關知識。認證機構應確定與特定認證方案相關的每個技術領域所需的能力，以及認證活動的每項職能所需的 能力。認證機構應確定在履行特定職能前證實能力的方法。7.1.2 能力準則的確定認證機構應有形成文件的過程，以確定參與管理和實施審核與認證的人員的能力準則。應就每類管理體系標準或規(guī)范的要求，為每個技術領域，并為認證過程中的每項職能確定能力準則（知識/技能點描述出來）。該過程的輸出應為所要求的知識和技能的形成文件的準則，這些知識和

32、技能是有效地實施為 實現(xiàn)預期結果而要完成的審核與認證任務所必需的。 附錄A規(guī)定了認證機構應為特定職能定義的知識和 技能。如果已經(jīng)為特定的認證方案建立了附加的特定能力準則，例如ISO/TS 2203（食品安全管理體系），這些附加的特定能力準則應得到應用。注：術語“技術領域”的應用方式可以根據(jù)所考慮的管理體系標準而不同。對于任何管理體系，該術語都與管理體系標準范圍內(nèi)的產(chǎn)品和過程有關。技術領域可由特定認證方案（例如 ISO/TS 22003）定義；或者可以由認證機構定 義。下面給出了術語“技術領域”在不同類型管理體系中的應用實例：對于質(zhì)量管理體系標準，術語“技術領域”與滿足顧客對組織的產(chǎn)品和服務的期

33、望以及適用于組織的產(chǎn)品和 服務的法律法規(guī)要求所需的過程有關。-產(chǎn)品服務法規(guī)對于環(huán)境管理體系標準，術語“技術領域”與影響空氣、水、土壤、自然資源、植物、動物和人類的環(huán)境因素涉及的活動、產(chǎn)品和服務類別 有關。對于供應鏈安全管理體系標準，術語“技術領域”與供應的安全風險涉及的過程有關，例如運輸、倉儲和信 息。對于信息安全管理體系標準，除了別的，術語“技術領域”與選擇充分且適當?shù)谋Ｗo信息資產(chǎn)的安全控制措 施所涉及的信息安全技術與實踐、信息和通信技術和業(yè)務活動的類別有關。7.1.3 評價過程認證機構應有形成文件的過程，以應用所確定的能力準則，對所有參與管理和實施審核與認證的人員進行初始能力評價，并持續(xù)監(jiān)

34、視其能力和表現(xiàn)。認證機構應證實其 評價方法是有效的。這些過程的輸出應為識別出那些經(jīng)證實具有審核和認證過程不同職能所要求的能力水平的人員。注：附錄B介紹了一些可用于知識和技能評價的評價方法。7.1.4 其他考慮7.1.4.1 （譯注：ISO/IEC 17021:2006 條款7.1.2）認證機構在確定認證實施人員的能力要求時，除了那些直接實施審核與認證活動的人員，還應考慮管理層和行政人員所承擔的職能。7.1.4.2 （ 譯注：ISO/IEC 17021:2006 條款7.1.3）認證機構應有獲取必要的專業(yè)知識與技能的途徑， 以在其運作涉及的技術領域、管理體系類型和地域等方面獲得與認證直接相關的建

35、議。這些建議可由外 部人員或認證機構人員提供。7.2 參與認證活動的人員7.2.1 認證機構自身應有具備足夠能力對其各種類型與范圍的審核方案以及其他認證工作進行管理的人員。7.2.2 認證機構應聘用或有途徑獲得足夠數(shù)量的審核員（包括審核組長）和技術專家，以覆蓋其所有 活動并滿足審核工作量的需要。7.2.3 認證機構應使所有有關人員清楚自己的任務、責任和權力。7.2.4 認證機構應有明確的過程來選擇、培訓、正式任用審核員和選擇認證活動使用的技術專家。審 核員的初始能力評價應包括對適用的個人素質(zhì)及在審核中應用所需知識與技能的本領的證實。適用的個人奈舜艮在審核中應用所需知識與技能的本領應由有能力的評

36、價者在對審核員審核的見證中確定。個人素質(zhì)-技能 所期望的個人行為注：在上述的選擇和培訓過程中可以考慮所期望的個人行為。所期望的個人行為是影響一個人實施特定職能的能力 的特性。因此，個人行為方面的知識使認證機構能夠利用人員的強項并使其弱點的影響最小化。附錄階紹了對認證活動參與人員重要的所期望的個人行為。7.2.5 認證機構應有實現(xiàn)和證實有效審核的過程。該過程應確保所使用的審核員和審核組長具備通用 的審核知識與技能以及特定技術領域?qū)徍怂璧闹R與技能。認證機構應在根據(jù)GB/T 19011相關指南制定的文件要求中明確該過程。_7.2.6 認證機構應確保審核員（需要時，包括技術專家）充分了解其審核過程

37、、認證要求和其他相關 要求。認證機構應使審核員和技術專家有途徑獲取指導審核和提供認證活動所有相關信息的現(xiàn)行有效的 文件化程序。7.2.7 認證機構應僅使用審核員和技術專家從事已證實他們具備能力的那些認證活動。注：為特定審核組指派審核員和技術專家的要求見9.1.3。7.2.8 認證機構應識別培訓需求，并向?qū)徍藛T、技術專家和其他參與認證活動的人員提供或使其有機 會參加特定的培訓，以確保他們勝任所從事的工作。7.2.9 做出授予、保持、更新、擴大、縮小、暫?；虺废J證等決定的小組或個人應理解適用的標準 和認證要求，并經(jīng)證實有能力評價審核過程和審核組的推薦意見。7.2.10 認證機構應確保所有參與審核

38、和認證活動的人員均有令人滿意的表現(xiàn)。 認證機構應有形成文件 的程序和準則，以根據(jù)這些人員的使用頻率及其活動的風險水平來監(jiān)視和衡量他們的表現(xiàn)。 認證機構尤 其應根據(jù)人員的表現(xiàn)來復核他們的能力，以識別培訓需求。7.2.11 形成文件的審核員監(jiān)視程序應把現(xiàn)場見證、審核報告復核及客戶或市場反饋相結合。認證機構應在本據(jù)GB/T 19011相關指南制定的文件要求中詳細說明該程序。在設計監(jiān)視方式時，應使正常認證 過程所受干擾最?。ㄓ绕涫菑目蛻艚嵌葋砜矗?。7.2.12 認證機構應定期對每位審核員的表現(xiàn)進行現(xiàn)場見證?，F(xiàn)場見證的頻率應取決于根據(jù)所有可獲得 的監(jiān)視信息確定的現(xiàn)場見證需求。7.3 外部審核員和外部技術

39、專家的使用認證機構應要求外部審核員和外部技術專家通過書面協(xié)議承諾其遵守認證機構適用的政策和程序。該協(xié)議應含有關于保密及獨立于商業(yè)和其他利益的條款，并要求外部審核員和外部技術專家向認證機構 說明現(xiàn)在或以前與可能派其審核的組織的關系。注：依據(jù)上述協(xié)議使用單個審核員和技術專家不構成7.5所述的外包。7.4 人員記錄認證機構應保持人員（包括認證活動實施人員、管理人員和行政人員）的最新記錄，包括相關的資格、培訓I、經(jīng)歷、隸屬關系、專業(yè)狀況、能力以及可能提供過的任何相關咨詢服務的記錄。7.5 外包7.5.1 認證機構應說明可以進行外包（即向另一個組織分包，由其代表認證機構提供部分認證服務）的條件。認證機構

40、應與每個承擔外包服務的機構就相關安排（包括保密和利益沖突）簽訂在法律上具有 強制實施力的協(xié)議。注1:這里可以包括外包給其他認證機構的情況。依據(jù)合同使用審核員和技術專家見7.3。注2:本國際標準中，“外包”與“分包”視為同義詞。7.5.2 授予、保持、更新、擴大、縮小、暫停或撤消認證的決定不應外包。7.5.3 認證機構應：a）對外包給另一機構的所有活動負責；b）確保外包服務承擔機構及其使用的人員符合認證機構的要求和本國際標準的適用要求，包括能力、公正性和保密；c）確保外包服務承擔機構及其使用的人員與擬審核的組織沒有可能損害公正性的關系（無論是直接的還是通過任何其他雇主發(fā)生的關系）。7.5.4 認

41、證機構應有形成文件的程序，以對認證活動的所有外包服務承擔機構進行資格審查和監(jiān)視， 且應確保其審核員和技術專家的能力記錄得到保持。8信息要求8.1 可公開獲取的信息8.1.1 認證機構應保持對其用于授予、保持、擴大、更新、縮小、暫?；虺废J證的審核過程和認證過程做出說明的信息，及其運作涉及的認證活動、管理體系類型和地域的信息，并使這些信息可公開獲 取，或在有請求時提供這些信息。8.1.2 認證機構向客戶或市場提供的信息（包括廣告）應準確且不使人產(chǎn)生誤解。8.1.3 認證機構應使授予、暫?；虺废J證的信息可公開獲取。8.1.4 當任何一方提出請求時，認證機構應提供確認某一認證是否有效的方法。注1：

42、如果信息分散在多個來源（如印刷文件或電子文檔，或兩者結合），可以通過一個系統(tǒng)（如唯一性編碼系統(tǒng) 或互聯(lián)網(wǎng)上的超級鏈接）來確保不同來源之間的可追溯性和明確一致性。注2:在特殊情況下，可以根據(jù)客戶的請求（如出于安全原因）對某些信息的公開程度做出限制。8.2 認證文件8.2.1 認證機構應以其選擇的任何方式向獲證客戶提供認證文件。8.2.2 認證文件的生效日期不應早于認證決定的日期。8.2.3 認證文件應標明：a）每個獲證客戶的名稱和地理位置（或多場所認證范圍內(nèi)總部和所有場所的地理位置）；b）授予、擴大或更新認證的日期；c）認證有效期或與認證周期一致的應進行再認證的日期；d）唯一的識別代碼；e）審核

43、獲證客戶時所用的標準和（或）其他規(guī)范性文件，包括版次和（或）修訂號；f）與產(chǎn)品（包括服務）、過程等相關的認證范圍，適用時，包括每個場所相應的認證范圍；g）認證機構的名稱、地址和認證標志；可以使用其他標識（如認可標識），但不能產(chǎn)生誤導或含混不清；h）認證用標準和（或）其他規(guī)范性文件所要求的任何其他信息；i ）在頒發(fā)經(jīng)過修改的認證文件時，區(qū)分新文件與任何已作廢文件的方法。8.3 獲證客戶目錄認證機構應以其選擇的任何方式保持有效認證的目錄， 并使其可公開獲取，或在有請求時提供該目 錄。該目錄應至少說明每個獲證客戶的名稱、 相關的規(guī)范性文件、認證范圍和地理位置（如國家和城市） 或多場所認證范圍內(nèi)總部和

44、所有場所的地理位置。注：該目錄是認證機構的專有資產(chǎn)。8.4 認證資格的引用和標志的使用8.4.1 認證機構對其授權獲證客戶使用的任何標志應有管理政策。該政策應確?？梢詮臉酥咀匪莸秸J證機構。標志或所附文字不應使人對認證對象和授予認證的認證機構產(chǎn)生歧義。標志不應用于產(chǎn)品或消 費者所見的產(chǎn)品包裝之上，或以任何其他可解釋為表示產(chǎn)品符合性的方式使用。注：GB/T 27030-200魄供了對使用第三方標志的要求。8.4.2 認證機構不應允許其標志被用于實驗室檢測、校準或檢查的報告，這里將此類報告視為產(chǎn)品。8.4.3 認證機構應要求客戶組織：a）在傳播媒介（如互聯(lián)網(wǎng)、宣傳冊或廣告）或其他文件中引用認證狀態(tài)時

45、，應符合認證機構的要 求；b）不做出或不允許有關于其認證資格的誤導性說明；c）不以或不允許以誤導性方式使用認證文件或其任何部分；d）在其認證被暫?；虺废麜r，按照認證機構的指令立即停止使用所有引用認證資格的廣告材料 （見 9.6.3 和 9.6.6 ）;e）在認證范圍被縮小時，修改所有的廣告材料；f）不允許在引用其管理體系認證資格時，暗示認證機構對產(chǎn)品（包括服務）或過程進行了認證；g）不得暗示認證適用于認證范圍以外的活動；h）在使用認證資格時，不得使認證機構和（或）認證制度聲譽受損，失去公眾信任。8.4.4 認證機構應正確地控制其所有權，并采取措施處理認證狀態(tài)的錯誤引用或認證文件、標志或?qū)?核報

46、告的誤導性使用。注：此類措施可以包括要求糾正或采取糾正措施、暫停認證、撤消認證、公告違規(guī)行為以及必要的法律措施。8.5 保密8.5.1 認證機構應具有政策和相關安排，以確保其各個層次（包括代表其活動的委員會、外部機構或 個人）對從事認證活動時獲得或產(chǎn)生的保密信息予以保密，并通過在法律上具有強制實施力的協(xié)議落實 上述政策和安排。8.5.2 認證機構應將其擬對公眾公開的信息提前告知客戶。所有其他信息均應視為保密信息，客戶自 己公開的信息除外。8.5.3 除本國際標準有要求外，關于特定客戶或個人的信息，未經(jīng)其書面同意，不應向第三方披露。 當法律要求認證機構向第三方提供保密信息時，除法律限制外，認證機

47、構應將擬提供的信息提前通知有 關客戶或個人。8.5.4 從其他來源（如投訴人、監(jiān)管機構）獲得的關于客戶的信息應根據(jù)認證機構的政策按保密信息 處理。8.5.5 認證機構的人員，包括代表認證機構工作的任何委員會成員、合同方、外部機構人員或個人， 應對從事認證機構的活動時獲得或產(chǎn)生的所有信息予以保密。8.5.6 認證機構應能獲得確保保密信息（如文件、記錄）的安全處理的設備和設施，并使用這些設備 和設施。8.5.7 認證機構向其他機構（如認可機構、建立在同行評審基礎上的協(xié)議集團）公開保密信息時，應 將這一行動通知其客戶。8.6 認證機構與其客戶間的信息交換8.6.1 認證過程和要求的信息認證機構應向客

48、戶提供并為其更新以下信息：a）對認證活動整個過程的詳細說明，包括申請、初次審核、監(jiān)督審核和授予、保持、縮小、擴大、 暫停、撤消認證以及再認證的過程；b）認證依據(jù)的規(guī)范性要求；c）申請、初次認證和保持認證資格所需費用的信息；d）認證機構對擬接受審核的客戶的要求：1）遵守認證要求；2）為實施審核做出所有必要的安排，包括在初次認證、監(jiān)督、再認證和解決投訴時，為檢查 文件和接觸所有過程與區(qū)域、記錄及人員提供條件；3）適用時，為接納到場的觀察員（如認可評審員或?qū)嵙晫徍藛T）提供條件。e）對獲證客戶根據(jù)8.4的要求在各類溝通中引用認證資格時的權利和責任（包括要求）予以說明 的文件；f）投訴和申訴處理程序的信

49、息。8.6.2 認證機構的變更通知認證機構應以適當方式將其認證要求的任何變更通知獲證客戶。認證機構應驗證每個獲證客戶符合新的要求。注：為確保實施這些要求，認證機構可能需要與獲證客戶在合同中做出安排。有關認證資格使用許可協(xié)議的范本，包括變更通知的相關方面，見ISO/IEC指南28:2004附錄印勺適用內(nèi)容。8.6.3 客戶的變更通知認證機構應做出在法律上具有強制實施力的安排，以確保獲證客戶即時將可能影響管理體系持續(xù)滿 足認證標準要求的能力的事宜通知認證機構，包括（但不限于）與下列方面有關的變更：a）法律地位、經(jīng)營狀況、組織狀態(tài)或所有權；b）組織和管理層（如關鍵的管理、決策或技術人員）；c）聯(lián)系地

50、址和場所；d）獲證管理體系覆蓋的運作范圍；e）管理體系和過程的重大變更。注：有關認證資格使用許可協(xié)議的范本，包括變更通知的相關方面，見ISO/IEC指南28:2004附錄E勺適用內(nèi)容。9過程要求9.1 通用要求9.1.1 審核方案9.1.1.1 應制定整個認證周期的審核方案，以清晰地確定證實客戶的管理體系滿足依據(jù)所選標準或其他規(guī)范文件的認證的要求所需的審核活動。9.1.1.2 （ 譯注：ISO/IEC 17021:2006條款9.1.1第1-3句）審核方案應包括兩階段初次審核、第一年 與第二年的監(jiān)督審核和第三年在認證到期前進行的再認證審核。三年的認證周期從初次認證或再認證決 定算起。審核方案的

51、確定和任何后續(xù)調(diào)整應考慮客戶組織的規(guī)模，其管理體系、產(chǎn)品和過程的范圍與復 雜程度，以及經(jīng)過證實的管理體系有效性水平和以前審核的結果。注1：附錄玳供了一個典型的第三方審核與認證過程的流程圖。注2:附錄F列舉了建立或修改審核方案時可能需要考慮的附加因素。9.1.1.3 （ 譯注：ISO/IEC 17021:2006條款9.1.1第4句）如果認證機構考慮客戶已獲的認證或接受的 其他審核，則應收集充足的、可驗證的信息，以證明對審核方案的任何調(diào)整的合理性，并予以記錄。9.1.2 審核計劃9.1.2.1 總則（譯注：ISO/IEC 17021:2006條款9.1.2）認證機構應確保為審核方案中確定的 每次

52、審核編制審核計 劃，以便為有關各方就審核活動的日程安排和實施達成一致提供依據(jù)。審核計劃應基于認證機構根據(jù) ISO 19011相關指南制定的文件要求。9.1.2.2 確定審核目標、范圍和準則9.1.2.2.1 審核目標應由認證機構確定。審核范圍和準則，包括任何更改，應由認證機構在與客戶商討后確定。9.1.2.2.2 審核目標 應說明審核要完成什么，并應包括下列內(nèi)容：a）確定客戶管理體系或其部分與審核準則的符合性；b）評價管理體系確?？蛻艚M織滿足適用的法律、法規(guī)及合同要求的能力；注：管理體系認證審核不是合規(guī)性審核。c）評價管理體系確?？蛻艚M織持續(xù)實現(xiàn)其規(guī)定目標的有效性；d）適用時，識別管理體系的潛

53、在改進區(qū)域。9.1.2.2.3 審核范圍 應說明審核的區(qū)域和邊界，例如擬審核的實際場所、組織單元、活動及過程。當初次認證或再認證過程包含一次以上審核（例如覆蓋不同場所的審核）時，單次審核的范圍可能并不覆蓋整個認證范圍，但所有審核的整體應與認證文件中的范圍一致。注：附錄F列舉了在確定或修改審核范圍時可以考慮的附加因素。9.1.2.2.4 審核準則 應被用作確定符合性的基準，并應包括：所確定的管理體系規(guī)范性文件的要求；所確定的由客戶制定的管理體系的過程和文件。9.1.2.3 編制審核計劃9.1.3 .3.1審核計劃應與審核目標和范圍相適應。審核計劃至少應包括或引用：a）審核目標；b）審核準則；c）

54、審核范圍，包括識別擬審核的組織和職能單元或過程；d）擬實施現(xiàn)場審核活動（適用時，包括對臨時場所的訪問）的日期和場所；e）現(xiàn)場審核活動預期的時間和持續(xù)時間；f）審核組成員及陪同人員的角色和職責。注1：審核計劃的信息可以包含在一個以上的文件中。注2:附錄F列舉了編制或修改審核計劃時可以考慮的附加因素。9.1.3 選擇和指派審核組9.1.3.1 （譯注：ISO/IEC 17021:2006條款9.1.3）認證機構應有根據(jù)實現(xiàn)審核目標所需的能力來選擇和任命審核組（包括審核組長）的過程。該過程應基于認證機構根據(jù)一ISO 19011相關指南制定的文件 要求一如果僅有一名審核員，該審核員應有能力履行適用于該

55、審核的審核組長職責。9.1.3.2 決定審核組的規(guī)模和組成時，應考慮下列因素：a）審核目標、范圍、準則和估計的審核時間；b）是否是結合、一體化或聯(lián)合審核；c）實現(xiàn)審核目標所需的審核組整體能力；d）認證要求（包括任何適用的法律、法規(guī)或合同要求）；e）語言和文化；f）審核組成員以前是否審核過該客戶的管理體系。9.1.3.3 審核組長和審核員所需的知識和技能可以通過技術專家和翻譯人員補充。技術專家和翻譯人員應在審核員的指導下工作。使用翻譯人員時，翻譯人員的選擇方式要避免他們對審核產(chǎn)生不正當影響。注：技術專家的選擇準則根據(jù)審核組和審核范圍的需要，在具體情況具體分析的基礎上確定。9.1.3.4 實習審核員可以參加審核組，但要指派一名審核員作為評價人員。評價人員應有能力接管實習審核員的任務，并對實習審核員的活動和發(fā)現(xiàn)負最終責任。9.1.3.5 審核組長在征求審核組意見后，應向每個審核組成員分配對特定過程、職能、場所、區(qū)域或活動實施審核的職責。該分配應考慮能力需求，有效和高效地使用審核組，以及審核員、實習審核員和技術專家的不同角色和職責。在審核過程中，為確保實現(xiàn)審核目標，可以改變工作分配。9.1.4 確定審核時間9.1.4.1 （譯注：ISO/IEC 17021:2006條款9.1.4）認證機構應有形成文件的確定審核時間的程序，并針對每個客戶確定策