管理體系認證機構要求Requirementsforbodiesprovidingauditandcertificationofmanagementsystems中國合格評定國家認可委員會 3 4 5 5 5 6 6 7 7 7 8 8 8 8 8 9 CNAS-CC01：2011 CNAS-CC01：2011專用認可準則以及認可方案的相應部分共同構成對特定管理體系認證機構的認可準1)用“獲證客戶”替代4.1.2b）中“管理體系獲得認證的組織”（theorganizationswhosemanagementsystemswhosemanagementsys“確定審核時間”、“實施現場審核”、“審核報告”、“糾正和糾正措施CNAS-CC01：2011證。本文件為促進對管理體系認證的承認提供了基礎，這種本文件第4章闡述了可信的認證所依據的原則。這些原則有助于讀者理解認證的本質屬性，并為第5章至第10章做了必要的鋪墊。這些原則構成了本文件所有要求的用語不妨礙那些有著其他名稱、但從事本文件范圍內證明組織的管理體系符合特定的管理體系標本文件包含GB/T27021-2007（ISO/IEC17021:2006IDT）的文本，但刪除了其CNAS-CC01：2011管理體系認證機構要求GB/T19000和GB/T27000中給出的術語和定義以及下列術語和定義適用于本注1：客觀性意味著利益沖突不存在或已解決，不會對認證機構的后續活動產生注2：其他可用于表示公正性的要素的術語有：客觀、獨立、CNAS-CC01：2011——對管理體系的建立和實施提供具體的建3.4第三方認證審核third-party注3：第三方認證審核通常由依據管理體系標準要求提供符合性認證的認證機構注6：一個客戶已將兩個或兩個以上管理體系標準要求的應用整合在一個單一的4.1.1本章所述原則是本文件中后續的特定績效要求和說明性要求的基礎。本文件CNAS-CC01：20114.1.2認證的總體目標是使所有相關方相信管理體系滿足規定要求。認證的價值取）：4.2.2客戶支付的認證費用是認證機構的收入來源，也是對公正性的潛在威脅，這4.2.3認證機構根據其所獲得的符合（或不符合）的客觀證據做出決定，且不受其對由其進行管理體系咨詢的客戶實施管理體c)熟識（或信任）的威脅：此類威脅源于個人或機構對另外一人過于熟悉或信d)脅迫的威脅：此類威脅源于個人或機構察覺受到公然或暗中的強迫，如威脅認證機構的管理體系所支撐的人員能力是認CNAS-CC01：20114.4.2認證機構有責任對足夠的客觀證據進行評價，并在此基礎上做出認證決定。4.5.1為獲得對認證的誠信性與可信性的信任，認證機構需要提供獲取有關審核過4.5.2為獲得或保持對認證的信任，認證機構宜向特定利益相關方提供獲取特定審核（如為回應投訴而做的審核）結論的非保密信息其客戶和其他認證使用方的重要手段。對投訴進行適當處理將維護對認證活動的信認證機構與客戶之間應有在法律上具有強制實施力的提供認證服務的協議。此CNAS-CC01：20115.2.1認證機構最高管理層應對管理體系認證活動的公正性做出承諾。認證機構應5.2.2認證機構應識別和分析由認證活動引起的利益沖突的可能性并將其形成文類威脅形成文件，并能予以證實。6.2所指的委員會應能獲得這方面的信息。所作的5.2.3當某種關系對認證機構的公正性構成不可接受的威脅時（如認證機構的全資），5.2.5認證機構及同一法律實體的任何其他部分不應提供或推薦管理體系咨詢，也5.2.6認證機構及其所屬法律實體的任何其他部分不應向獲證客戶提供內部審核。5.2.7如果咨詢機構與認證機構之間的關系對認證機構的公正性構成了不可接受的注1：在管理體系咨詢結束后經過至少兩年時間，是將對公正性威脅降至可接受5.2.8認證機構不應將審核外包給管理體系咨詢機構，因為這一做法將對認證機構CNAS-CC01：20115.2.9認證機構活動的營銷或報價不應與管理體系咨詢機構的活動有聯系。如果任5.2.13認證機構應要求內部和外部的人員告知他們所了解的任何可能使其或認證5.3.1認證機構應能證明已對認證活動引發的風險進行了評估，并對各個活動領域5.3.2認證機構應評估其財務狀況和收入來源，并向6.2所指的委員會證明其公正性6.1.1認證機構應將其組織結構形成文件，并明確管理層和其他認證人員及各委員件應說明認證機構與該法律實體間的權力關系以及與同一法律實體內其他部分的關6.1.2認證機構應確定對下列各項具有全部權力和責任的最高管理層（委員會、小CNAS-CC01：20116.1.3認證機構應有關于任何參與認證活動的委員會的任命、權限和運行的正式規6.2.1認證機構的結構應維護認證機構活動的公正性，并具有一個進行下列活動的a)協助制定與認證活動公正性有關b)阻止認證機構有任何傾向使商業因素或其他因素妨礙其一致地提供客觀的認c)對影響認證可信度的事宜（包括公開性和公眾認識）提出建議；6.2.2該委員會的組成、權限、任務、權力、成員能力和責任均應正式形成文件，b)獲取所有必要的信息，使其能夠履行自己的職能（見5.c)如果認證機構最高管理層不尊重委員會的建議，委員會應有權采取獨立措施認證機構應有過程來確保其人員對其運作涉及的管理體系類型和地域有適宜的CNAS-CC01：2011則，例如ISO/TS22003（食品安全管理體系這些附加的特定能力準則應得到應——對于質量管理體系標準，術語“技術領域”與滿足顧客對組織的產品和服——對于環境管理體系標準，術語“技術領域”與影響空氣、水、土壤、自然——對于供應鏈安全管理體系標準，術語“技術領域”與供應的安全風險涉及——對于信息安全管理體系標準，術語“技術領域”尤其與選擇充分且適當的保護信息資產的安全控制措施所涉及的信息安全技術與實踐、信息和通信7.2.1認證機構自身應有具備足夠能力對其各種類型與范圍的審核方案以及其他認7.2.2認證機構應聘用或有途徑獲得足夠數量的審核員（包括審核組長）和技術專7.2.3認證機構應使所有有關人員清楚自己的任務、責任和權力。CNAS-CC01：20117.2.4認證機構應有明確的過程來選擇、培訓、正式任用審核員和選擇認證活動使人員的強項并盡可能減小其弱點的影響。附錄D介紹了所期望的個人行為，它們對參7.2.5認證機構應有實現和證實有效審核的過程。該過程應確保所使用的審核員和7.2.6認證機構應確保審核員（需要時，包括技術專家）充分了解其審核過程、認7.2.7認證機構應僅使用審核員和技術專家從事已證實他們具備能力的那些認證活7.2.8認證機構應識別培訓需求，并向審核員、技術專家和其他參與認證活動的人7.2.9做出授予、保持、更新、擴大、縮小、暫?；虺蜂N認證等決定的小組或個人認證機構應要求外部審核員和外部技術專家通過書面協議承諾其遵守認證機構外部審核員和外部技術專家向認證機構說明現在或以前與可能派其審核的組織的關CNAS-CC01：20117.5.1認證機構應說明可以進行外包（即向另一個組織分包，由其代表認證機構提注1：這里可以包括外包給其他認證機構的情況。依據合同使用審核員和技術專7.5.2授予、保持、更新、擴大、縮小、暫停或撤銷認證的決定不應外包。b)確保外包服務承擔機構及其使用的人員符合認證機構的要求和本文件的適用c)確保外包服務承擔機構及其使用的人員與擬審核的組織沒有可能損害公正性7.5.4認證機構應有形成文件的程序，以對認證活動的所有外包服務承擔機構進行8.1.1認證機構應保持對其用于授予、保持、擴大、更新、縮小、暫停或撤銷認證8.1.2認證機構向客戶或市場提供的信息（包括廣告）應準確且不使人產生誤解。注1：如果信息分散在多個來源（如印刷文件或電），注2：在特殊情況下，可以根據客戶的請求（如出于安全原因）對某些信息的公CNAS-CC01：2011a)每個獲證客戶的名稱和地理位置（或多場所認證范圍內總部和所有場所的地）；c)認證有效期或與認證周期一致的應進行再認證的日期；f)與產品（包括服務）、過程等相關的認證范圍，適用時，包括每個場所相應g)認證機構的名稱、地址和認證標志；可以使用其他標識（如認可標識），但i)在頒發經過修改的認證文件時，區分新文件與任何已作廢文8.4.1認證機構對其授權獲證客戶使用的任何標志應有管理政策。該政策應確保可8.4.2認證機構不應允許其標志被用于實驗室檢測、校準或檢查的報告，這里將此a)在傳播媒介（如互聯網、宣傳冊或廣告）或其他文件中引用認證狀態時，應d)在其認證被暫?；虺蜂N時，按照認證機構的指令立即停止使用所有引用認證CNAS-CC01：2011f)不允許在引用其管理體系認證資格時，暗示認證機構對產品（包括服務）或h)在使用認證資格時，不得使認證機構和（或）認證制度聲譽受損，失去公眾8.4.4認證機構應正確地控制其所有權，并采取措施處理認證狀態的錯誤引用或認8.5.1認證機構應具有政策和相關安排，以確保其各個層次（包括代表其活動的委8.5.2認證機構應將其擬對公眾公開的信息提前告知客戶。所有其他信息均應視為8.5.3除本文件有要求外，關于特定客戶或個人的信息，未經其書面同意，不應向8.5.4從其他來源（如投訴人、監管機構）獲得的關于客戶的信息應根據認證機構8.5.5認證機構的人員，包括代表認證機構工作的任何委員會成員、合同方、外部8.5.7認證機構向其他機構（如認可機構、建立在同行評審基礎上的協議集團）公d)認證機構對擬接受審核的客戶的CNAS-CC01：20112)為實施審核做出所有必要的安排，包括在初次認證、監督、再認證和解e)對獲證客戶根據8.4的要求在各類溝通中引用認證資格時的權利和責任（包括）；注：有關認證資格使用許可協議的范本，包括變更通知的相關方面，見ISO/IECCNAS-CC01：2011審核活動的日程安排和實施達成一致提供依據。審核計劃應基于認證機構的文件要d)擬實施現場審核活動（適用時，包括對臨時場所的訪問）的日期和f)審核組成員及與審核組同行的人員的角色和職責。CNAS-CC01：2011d)認證要求（包括任何適用的法律、法規或合）；員應有能力接管實習審核員的任務，并對實習審核員的f)場所的數量和對多場所的考慮；在已為特定的認證方案確定了特定的準則時，例如ISO/TS22003或ISO/IECCNAS-CC01：2011CNAS-CC01：2011j)說明可能提前終止審核的條件；o)確認在審核中將告知客戶審核進程及任何關CNAS-CC01：20119.1.9.5.1在審核中應通過適當的抽樣來收集與審核目的、范圍和準則相關的信息9.1.9.6.2可以識別和記錄改進機會，除非某一管理體系認證方案的要求禁止這樣做。但是按照9.1.15.b）和c）屬于不符合的審核發現不應作為改進機會予以記錄。證據準確且不符合得到理解。但是，審核員應避免提示不符注：與9.1.15.b）所述情況一致的不符合可被劃為嚴重不符合，其他不符合9.1.9.6.4審核組長應嘗試解決審核組與客戶之間關于審核證據或審核發現的任何b)考慮審核過程中內在的不確定性CNAS-CC01：2011d)客戶為審核中發現的任何不符合的糾正和糾正措施提出計劃的時9.1.10.1認證機構應為每次審核提供書面報告。審核組可以識別改進機會，但不應）；g)注明審核組長、審核組成員及任何與審核組同行的i)與審核類型的要求一致的審核證據、審核發現和審核結論；CNAS-CC01：2011d)申請組織采用的所有影響符合性的外包過程的f)接受與管理體系有關的咨詢的情況。CNAS-CC01：2011應根據審核員和技術專家具備的能力（如7.2.5所述）來選擇審核組，并可以使用內CNAS-CC01：2011），9.3.1.2監督活動應包括對獲證客戶管理體系滿足認證標準規定要求的情況進行評c)要求獲證客戶提供文件和記錄（紙質或電子介質CNAS-CC01：2011審核組長向認證機構報告需由具備適宜能力（見7.2.9）且未實施該審核的人c)獲證管理體系的運行是否促進了組織方針和目標的實現。CNAS-CC01：2011認證機構為調查投訴（見9.8）、對變更（見8.6.3）做出回a)認證機構應說明并使獲證客戶提前了解（如在8.6.1所述的文件中）將在何種9.6.1認證機構應有暫停、撤銷或縮小認證范圍的政策和形成文件的程序，并規定——客戶的獲證管理體系持續地或嚴重地不滿足認證要求，包括對管理體系有9.6.3在暫停期間，客戶的管理體系認證暫時無效。認證機構應與其客戶做出具有資格的暫停信息可公開獲?。ㄒ?.1.3并采取9.6.4如果客戶未能在認證機構規定的時限內解決造成暫停的問題，認證機構應撤9.6.5如果客戶在認證范圍的某些部分持續地或嚴重地不滿足認證要求，認證機構9.6.6認證機構應與獲證客戶就撤銷認證時的要求[見8.4.3d)]做出具有強制實施力CNAS-CC01：20119.6.7在任何一方提出請求時，認證機構應正確說明客戶的管理體系認證被暫停、9.7.1認證機構應有受理和評價申訴并對之做出決定的形成文件的過程。9.7.3認證機構應對申訴處理過程各個層次的所有決定負責。認證機構應確保參與9.7.7對申訴的決定應由與申訴事項無關的人員做出，或經其審查和批準，并應告9.7.8認證機構應在申訴處理過程結束時正式通知申訴人。9.8.1認證機構應使對投訴處理過程的說明可公開獲取。9.8.2認證機構在收到投訴時，應確認投訴是否與其負責的認證活動有關，并在經9.8.3對于針對獲證客戶的投訴，認證機構還應在適當的時間將投訴告知該客戶。9.8.4認證機構應有受理和評價投訴并對之做出決定的形成文件的過程。該過程涉9.8.7在可能時，認證機構應確認收到了投訴，并應向投訴人提供投訴處理的進展9.8.8對投訴的決定應由與投訴事項無關的人員做出，或經其審查和批準，并應告CNAS-CC01：20119.9.1認證機構應對所有客戶（包括所有提交申請的組織、接受審核的組織和獲得d)確定審核時間的理由（見9.1.4）；j)建立認證的可信度所需的相關記錄，如審核員和技術專家能力的證據。注：抽樣方法包括為評審特定管理體系和（或）在多場所評審中選取場所而9.9.3認證機構應保證申請組織和客戶記錄的9.9.4認證機構應有關于記錄保存的形成文件的政策和程序。記錄保存期應為當前CNAS-CC01：2011而且不僅應關注客戶需求，還應關注依賴其審核與認證服務的所有各方（如4.1.2所a)文件發布前，對其充分性與適宜性進d)確保在使用場所可以獲得適用文件的相關CNAS-CC01：201110.3.6.1認證機構應建立內部審核程序，以證明認證機構滿足本文件要求，并有效10.3.6.2認證機構應對內部審核方案進行策劃，并在策劃中考慮擬審核過程和區域CNAS-CC01：2011c)將審核結果告知受審核區域的負責人員；d)根據內部審核結果及時采取適當的）；d)評價確保不符合不再發生的措施的f)記錄所采取措施的結果；CNAS-CC01：2011√√√√√√√√√√√√√√與客戶組織中的各個層級相適√√√√√√√√CNAS-CC01：2011CNAS-CC01：2011CNAS-CC01：2011識別認證機構內部職能識別現有人員的能力確定能力準則評價方法確定每項職能的能力準則知識和技能差距評價識別認證機構內部職能識別現有人員的能力確定能力準則評價方法確定每項職能的能力準則知識和技能差距評價引入（如果必要）審查?知識?技能?經歷建立培訓/指導建立培訓/指導方案否PDCA<><>是 否是 否知識和技能證實知識和技能證實<>是是是是v否聘用專業審核員或技術專家特定行業？聘用專業審核員或技術專家特定行業？是建立基于風險的準則否否否技能提升具備能力<><>是定期審查能力是否否否技能提升具備能力<><>是定期審查能力是否建立審核員發展方案技能提升滿意嗎？PDCA否是 發現差距？建立培訓方案<>PDCA是建立培訓方案<>PDCA是是否否CNAS-CC01：2011m)有條理，即有效地管理時間、區分優先CNAS-CC01：2011圖E.1代表了一個典型的流程?？梢詫嵤┢渌麑徍嘶顒樱缥暮?。審核周期與認證周期之間的不同參見9. 認證到期初次認證決定認證到