《CNAS-WI13-02-26D0 文件系统符合性检查单 (产品过程和服务).docx》由会员分享,可在线阅读,更多相关《CNAS-WI13-02-26D0 文件系统符合性检查单 (产品过程和服务).docx(18页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、CNAS-WI13-02-26 D0文件系统符合性自查报告(产品、过程和服务)受评审方: 地址: 电话: 传真: EMAIL: 评 审 方: 中国合格评定国家认可委员会(CNAS) 评审员: 日 期: 年 月 日第18页 共18页说明:1.自查事项依据CNAS-CC02:2013编制2.认证机构在填写检查单第三列时,不仅需填写与准则要求所对应文件的具体条款,还应简要描述为满足认可准则要求所采取的具体措施。如涉及到手册和程序文件以外的文件,则提交文审材料时应将这些文件一并提交。3.评审员应逐项对认证机构文件的符合性进行评价,将发现的认证机构文件存在的问题记入“问题描述”栏,并进一步记录所发现问题
2、的纠正情况,描述最终的文件符合性,且需在本文件首页签字。文件系统符合性自查表(产品、过程和服务)认可准则条款号检 查 事 项与该认可准则要求相对应的认证机构文件名称及条款(认证机构填写)问题描述(评审员填写)备注4通用要求4.1法律和合同事项4.1.1法律责任认证机构应是一个法律实体,或一个法律实体内明确界定的一部分,以便该法律实体能够对其所有认证活动承担法律责任。注:政府的认证机构基于其政府地位而被视为法律实体。4.1.2认证协议4.1.2.1认证机构应有为客户提供规定认证活动的具有法律约束力的协议。认证协议应考虑认证机构及其客户的责任。4.1.2.2认证机构应确保其认证协议要求客户至少遵守
3、:a) 始终满足认证要求(见3.7),包括当收到认证机构的通知时做出适当变更(见7.10);b) 如果认证适用于持续生产,则获证产品应持续满足产品要求(见3.8);c) 客户为下列事项做出所有必要的安排 : 1) 实施评价(见3.3)和监督(若需要),包括审查文件和记录,访问相关设备、场所、区域、人员及客户的分包方; 2) 投诉的调查;3) 适用时,观察员的参与。 d) 客户有关认证的声明与认证范围(见3.10)一致;e) 客户不得以损害认证机构声誉的方式使用产品认证的结果,不得做出使认证机构认为可能误导或未经授权的有关产品认证的声明;f) 当认证暂停、撤销或终止时,客户停止使用包含产品认证内
4、容的所有广告,采取认证方案要求的措施(如交回认证文件)以及其他需要的措施。g) 如果客户将认证文件的副本提供给其他人,文件应被完整地复制或者按照认证方案的规定复制;h) 在文件、宣传册或广告等传播媒介中涉及到产品认证内容时,应遵守认证机构的要求或认证方案的规定;i) 客户遵守与符合性标志的使用(可能在认证方案中规定的)和产品相关信息的任何要求;注:见GB/T27030、GB/T27023和GB/T27027。4.1.2.2(续前)j) 客户保存已知的与认证要求符合性有关的所有投诉记录,并在认证机构要求时提供,以及1) 对这些投诉以及在产品中发现的影响认证要求符合性的任何缺陷,采取适当的措施;
5、2) 将所采取的措施形成文件。注:认证机构对j)项的证实可在认证方案中规定。k) 当发生了可能影响满足认证要求的能力的变更,客户及时通知认证机构:注:变更的例子包括:- 法律、商业、组织的状况或所有权的变更;- 组织和管理层的变更(如:主要的管理、决策或技术人员变更);- 对产品或生产工艺的改进;- 联系地址和生产场地;- 质量管理体系的重要变更。4.1.3许可文件、证书和符合性标志的使用4.1.3.1认证机构应按照认证方案的规定对许可文件、证书、符合性标志的所有权、使用和展示,以及表明产品已获得认证的任何其他机制进行控制。注1:认证机构许可的证书和标志的使用指南见GB/T 27023。注2:
6、GB/T27030规定了第三方标志的使用要求。4.1.3.2对在文件或其他宣传中对认证方案的不正确引用或对许可文件、证书、标志或任何其他表明产品已获认证的其他方式的误用应采取适当的措施。注:这类措施见GB/T 27027,包括纠正措施、撤销证书,发布违规通告,以及必要时的法律措施。4.2公正性管理4.2.1认证活动应公正地进行。4.2.2认证机构应对认证活动的公正性负责,不允许有任何来自商业、财务或其他方面的压力损害公正性。4.2.3认证机构应持续地进行公正性风险识别。这些风险源于其自身的活动或各种关系,或者源于其人员的各种关系(见4.2.12),尽管这些关系不一定给认证机构带来公正性风险。注
7、1:给认证机构公正性带来风险的关系可能源于所有权、管理方式、管理层、人员、共享资源、财务、合同、营销(包括品牌)以及给介绍新客户的人佣金或其他好处等。注2:此处风险识别并不是指ISO31000中的风险评估。4.2.4当识别出了公正性风险,认证机构应能够证实如何消除或最大限度减小此类风险。5.2所规定的机制应能获得这方面的信息。4.2.5认证机构最高管理层应对公正性做出承诺。4.2.6认证机构和其在同一法律实体下的任何部分以及在其组织控制(见7.6.4)下的实体不应:a) 是获证产品的设计者、制造商、安装者、分销者或维护者;b) 是获证过程的设计者、实施者、操作者或维护者;c) 是获证服务的设计
8、者、实施者、提供者或维护者;d) 主动或被动地为其客户提供咨询(见3.2);e) 当认证方案要求对客户的管理体系进行评价时,为其客户提供管理体系的咨询或内部审核。注1:这不排除下列情况: 在认证机构与其客户之间可能发生的信息交换(例如:解释检查发现或阐明要求);和 认证机构运作所必需的获证产品的使用、安装和维护。注2:ISO/IEC 17021:2011中3.3定义了“管理体系咨询”。4.2.7认证机构应确保与其直接关联或与其附属机构有关联的其他法律实体的活动不损害其认证活动的公正性。注:见4.2.3,注1。4.2.8当4.2.7中的其他的法律实体提供或生产获证产品(包括拟认证的产品)或提供咨
9、询(见3.2)时,认证机构的管理人员、复核和认证决定人员不应参与该法律实体的活动。该法律实体的人员不应参与认证机构的管理、复核和认证决定。注:第6章规定了对于评价人员的公正性要求。6.2.1和6.2.2.1中引用的其他相关标准规定了附加要求。4.2.9认证机构活动的营销和报价不应与咨询(见3.2)机构的活动相关联。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。4.2.10在认证机构规定的期限内,提供过产品咨询(见3.2)的人员不应从事对该产品的复核和认证决定。注1:可在认证方案中规定期限,如果由认证机构规定,期限应该足够长,以确保不影响复核和认证决定的公正性。通常规定
10、为两年。注2:第6章规定了对于评价人员的公正性要求。6.2.1和6.2.2.1中引用的其他相关标准规定了附加要求。4.2.11认证机构应采取措施,以应对已知的来源于其他人员、机构或组织的行为所产生的公正性的风险。4.2.12认证机构中可能影响认证活动的所有人员(外部或内部)或委员会,均应公正地行使职责。4.3责任和财力4.3.1认证机构应做好充分的安排(例如:保险或储备金)以承担由于运作引发的责任。4.3.2认证机构应保持财务状况稳定,并且应具备运作所需的资源。4.4非歧视性条件4.4.1认证机构运作所遵循的方针和程序以及对它们的管理应是非歧视性的。除非本标准规定,否则程序不应妨碍或阻止申请人
11、申请。4.4.2对于其活动在认证机构运作范围内的所有申请人,认证机构的服务都应开放。4.4.3不应以客户的规模、某一协会或团体的成员、已颁发证书的数量作为实施认证的限制条件。不应含有任何不恰当的财务或其他条件。注:当存在一些原则性的或明显的理由时,例如客户参与非法活动,或以往有重复发生不符合认证要求和(或)产品要求及类似情况时,认证机构可以婉拒其认证申请或维持认证合同。4.4.4认证机构应将与要求、评价、复核、决定和监督(如果有)有关的事项限定在认证范围内。4.5 保密性4.5.1认证机构应通过具有法律约束力的承诺,对从事认证活动时获得或产生的所有信息的管理负责。除客户自己公开的或机构与客户之
12、间商定(如为应对投诉)的信息外,所有其他信息均应视为专有信息并应视为保密信息。认证机构拟向公众公开保密信息时,应提前通知客户。4.5.2当认证机构根据法律要求或合同安排提供保密信息时,认证机构应将提供的信息通知有关客户或个人,除非法律限制。4.5.3从客户以外其他来源(如投诉者、监管机构)获得的关于客户的信息应按保密信息处理。4.6 可公开获取的信息4.6认证机构应(通过出版物、电子媒介或其他方式)保存和根据请求提供下列信息:a) 有关(或涉及)认证方案的信息,包括评价程序,批准、保持、范围扩大或缩小、暂停、撤销或拒绝认证的规则和程序;b) 认证机构获得财力支持方式的描述以及向申请人和客户收取
13、费用的一般信息;c) 申请人与客户的权利和义务的描述信息,包括使用认证机构名称和认证标志以及认证结论引用方式的要求、约束或限制;d) 有关处理投诉和申诉程序的信息。5结构要求5.1组织结构和最高管理层5.1.1认证活动应从结构和管理上保证公正性。5.1.2认证机构应将其组织结构形成文件,并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内明确界定的一部分时,这种结构应包括认证机构的权力界线和与同一法律实体内其他部分的关系。5.1.3认证机构的管理层应确定对下列各项具有全部权力和责任的委员会、小组或个人:a)制定有关认证机构运作的方针;b)监督方针和程序的实施; c
14、)监督认证机构的财务;d)开发认证活动;e)制定认证要求;f)评价(见7.4);g)复核(见7.5);h) 认证决定(见7.6);i) 需要时,授权委员会或人员代表管理层开展规定的活动;5.1.3(续前)j) 合同安排;k) 为认证活动提供充分的资源;l) 回应投诉和申诉;m)人员能力要求;n)认证机构的管理体系(见第8章)。5.1.4认证机构应有关于参与认证过程(见第7章)的任何委员会的任命、权限和运作的正式规则。这种委员会应免受来自商业、财务和其他可能影响决定的压力。认证机构应保留任命和撤销委员会成员的权力。5.2维护公正性的机制5.2.1认证机构应有一个维护公正性的机制,该机制应提供以下
15、方面的输入:a)与认证活动的公正性有关的方针和原则;b)认证机构出于商业或其他考虑而妨碍一致公正地提供认证活动的任何倾向;c)影响认证的公正性、保密性等事项,包括信息公开; 注1:该机制可被赋予其他任务或职责(例如参与做决定的过程),其前提是这些增加的任务或职责不得损害其确保公正性的基本作用。注2:该机制可以是由一家或多家认证机构组建的委员会、方案所有者运作的委员会、某个政府部门或类似团体。注3:多个认证方案共用一个机制也符合此要求。注4:如果认证机构也提供管理体系认证,符合ISO/IEC17021:2011的6.2的委员会同时满足5.2的所有要求可视为符合本标准的5.2。 5.2.2应将该机
16、制形成正式的文件以确保:a)重要利益相关方均衡,以使任一利益方不处于支配地位(认证机构的内部或外部人员视为一个利益方,且不应居支配地位);b)获取所有必要的信息以使其能够履行所有职能。5.2.3如果认证机构的最高管理层不采纳该机制提出的意见和建议,则该机制应有权独立采取措施(如报告主管部门、认可机构或利益相关方)。在采取适当措施时,应尊重4.5中与客户和认证机构相关的保密要求。不宜采纳与认证机构运行程序或其他强制性要求相冲突的意见和建议。管理层宜将不采纳的理由形成文件,并保存以备适当的人员审查。5.2.4虽然这一机制不能代表每个利益方,但是认证机构应识别并邀请重要的利益方。注1:这些利益方可能
17、包括认证机构的客户、客户的顾客、制造商、供方、用户、合格评定专家、行业协会代表、政府监管机构或其他政府部门的代表及非政府组织(包括消费者组织)的代表。该机制中每个利益方只要有一个代表就可以满足要求。注2:这些利益方可根据认证方案的性质来限定。6资源要求6.1认证机构的人员6.1.1总则6.1.1.1认证机构应聘用或有途径获得足够数量的人员,以支撑其与认证方案、适用的标准及其它规范性文件相关的运行。注:人员包括为机构工作的正式人员,也包括通过签订合同或协议使其置于认证机构(见6.1.3)管理控制及体系和(或)程序内的人员。6.1.1.2这些人员应有能力履行职责,包括根据需要做出技术判断、确定方针
18、并加以实施。6.1.1.3除非法律或认证方案有要求,无论委员会成员、外部机构人员或代表认证机构利益的人员,对认证活动过程中获得的或产生的所有信息都应保密。6.1.2参与认证过程的人员能力管理6.1.2.1认证机构应建立、实施并维护对参与认证过程(见第7章)的人员能力进行管理的程序。该程序应要求认证机构:a) 确定认证过程中每项职能所需人员能力的准则,确定时要考虑认证方案的要求;b) 识别培训需求,必要时提供有关对认证过程、要求、方法、活动和其他有关认证方案要求的培训方案;c) 证实这些人员具备承担任务和责任所需的能力;d) 为认证过程中履行职能的人员正式授权;e) 监视人员绩效。6.1.2.2
19、认证机构应保存参与认证过程(见第7章)人员的下列记录:a) 姓名和地址;b) 所在单位及职位;c) 学历及专业状况;d) 经历和培训;e) 能力评价;f) 绩效监视;g) 在认证机构内具有的权限;h) 每项记录的最新更新日期。6.1.3与人员签约6.1.3认证机构应要求参与认证过程的人员与其签署合同或其他文件,以做出下列承诺:a) 遵守由认证机构确定的规则,包括与保密性(见4.5)和独立于商业和其他利益有关的规则;b) 在被安排进行评价或认证时, 声明以前和(或)现在本人或其雇主与如下各方的关系:1) 产品的供方或设计方,或2) 服务的提供方或开发方,或3) 过程的作业方或开发方c) 告知了解
20、的可能导致其本人或认证机构发生利益冲突的任何情况(见4.2)。认证机构应根据这些信息,来识别由这类人员或雇用他们的组织的活动引发的公正性风险(见4.2.3)。6.2评价的资源6.2.1内部资源认证机构进行评价活动时,无论使用内部资源还是其直接控制的其它资源,均应满足相关标准和认证方案中规定的其他文件的适用要求。对于检测,应满足GB/T27025中的适用要求;对于检验,应满足GB/T27020中的适用要求;对于管理体系审核,应满足GB/T27021中的适用要求。相关标准中规定的对评价人员公正性的要求始终都应适用。注:有些要求不适用的理由的示例包括:- 在利用评价活动的结果时,认证机构内部已具备专
21、业技能;- 认证机构对检测(包括目击试验)、检验(如规定检验方法或参数)或管理体系评审(如对管理体系有特定详细要求)的控制程度较强;- 某一特定要求已由本标准中等效的方式涵盖,或者在认证决定时无需特别关注的。6.2.2外部资源(外包)6.2.2.1认证机构应只能将评价活动外包给那些满足相关标准和认证方案中规定的其他文件的适用要求的机构。对于检测,应满足GB/T27025中的适用要求;对于检验,应满足GB/T27020中的适用要求;对于管理体系审核,应满足GB/T27021中的适用要求。相关标准中规定的对评价人员公正性的要求始终都应适用。注1:有些要求不适用的理由的示例包括:- 在利用评价活动的
22、结果时,认证机构内部已具备专业技能;-认证机构对检测(包括目击试验)、检验(如规定检验方法或参数)或管理体系评审(如对管理体系有特定详细要求)的控制程度较强;- 某一特定要求已由本标准中等效的方式涵盖,或者在认证决定时无需特别关注的。注2:这可包括外包给其他认证机构。按照合同使用外部人员不属于外包。注3:在本标准中,“外包”和“分包”被认为是同义词。6.2.2.2评价活动外包给非独立机构(如,客户实验室)时,认证机构应确保评价活动得到管理,这种管理的方式能提供可信任的结果,且有记录证实这种信任。6.2.2.3认证机构应与提供外包服务的机构签署具有法律约束力的合同,包括保密性条款和6.1.3c中
23、规定的利益冲突条款。6.2.2.4认证机构应:a) 对外包给其他机构的所有活动负责;b)确保提供外包服务的机构及其使用的人员的参与(直接的或通过任何其他雇主)不能影响认证结果的可信性;c) 对提供用于认证活动的外包服务的所有机构的资格、评价和监视都有形成文件的方针、程序和记录;d)保存获得批准的外包服务机构清单;e)对已知的任何违反6.2.2.3协议或6.2.2中的其他要求的行为采取纠正措施;f) 外包活动前通知客户,以给客户一个提出异议的机会。注:如果对外包服务机构的资格认定、评价和监视由其他组织(如认可机构、同行评审机构或政府部门)实施,只要满足以下条件,认证机构就可以考虑采信这些资格认定
24、或监视结果:6.2.2.4 (续前)方案要求中有规定的;范围与承担的工作相符;按照认证机构确定的周期对资格、评价和监视安排的有效性进行核实。7过程要求7.1总则7.1.1认证机构应运作一个或多个覆盖其认证活动的认证方案。注1:认证方案的要素可以与对生产的监督或对客户管理体系的评审和监督结合,或两者都有。注2:GB/T 27067结合GB/T27028和GB/T27053给出了制订认证方案的通用指南。7.1.2评价客户产品的要求应是包含在特定标准和其他规范性文件中的要求。注:制定适用于此目的规范性文件的指南见GB/T27007。7.1.3对某个特定认证方案,如需要对这些文件(见7.1.2)的应用
25、进行解释,这些解释应由相关的、公正的和具备必要技术能力的人员或委员会做出。在有请求时,认证机构应予提供。7.2申请对于认证申请,认证机构应获取依据相关认证方案完成认证过程的所有必要信息。注1 必要信息的例子如下: 拟认证的产品; 客户寻求的认证所依据的标准和(或)其他规范性文件(见7.1.2); 客户的基本特征,包括名称、实际位置、过程和运作的重要方面(如果相关认证方案有要求),以及任何相关的法律义务; 与申请认证范围相关的客户的基本信息,比如客户的活动;人力与技术资源,包括实验室和/或检验设施;以及适用时,其在一个较大集团中的职能和关系; 客户使用的有关影响对要求符合性的所有外包过程的信息;
26、如果客户已确定了由自己以外的法律实体生产认证的产品,为有效监督,必要时认证机构可通过适当的合约对该法律实体予以控制。如果需要这种合约控制,则其可在提交正式的认证文件(见7.7)之前建立; 相关认证要求所需的所有其他信息,诸如初始评价和监督活动的信息,如:认证的产品的生产地点,这些地点的联系人。注2:可用多种媒介和方式在不同时间收集这种信息,包括申请表。收集这些信息可与签署4.1.2规定的具有法律约束力的协议(认证协议)同时进行,也可分开进行。注3:扩大认证范围的申请可以包含同类产品、不同地点等。7.3申请评审7.3.1认证机构应对所获得的信息 (见7.2)进行评审以确保:a) 认证过程所需的客
27、户信息和产品信息是充分的;b) 认证机构和客户之间任何已知的理解上的分歧已经得到解决,包括在相关标准或规范性文件方面达成一致;c) 认证范围(见3.10)得到确定;d) 实施所有评价活动的方法是可行的;e) 认证机构有能力并能够实施认证活动;7.3.2当客户的认证要求涉及以下内容,而认证机构又无先例时,应有一个过程来识别:产品的类型,或规范性文件,或认证方案.注:当对某产品的相关要求、特性和技术的掌握足以理解另一产品的要求、特性和技术时,可视它们为同一类产品。7.3.3在这些情况(见7.3.2)下,认证机构应确保其具有能力实施要求其进行的所有认证活动,同时应保存对决定开展认证的理由的记录。7.
28、3.4如果认证机构缺乏能力开展需要其进行的认证活动,认证机构应婉拒开展这一特定的认证。7.3.5如果认证机构根据其已经批准的该客户或其他客户的认证结果省略任何活动,认证机构应把对已有的认证结果的引用保存在记录中。如客户要求,认证机构应提供省略这些活动的理由。7.4评价7.4.1认证机构应制定一个评价活动计划,以做出必要的安排。注:根据认证方案的特性和产品要求,该计划可以是适用于所有活动的通用计划,包括适用时对质量管理体系的评价,或是针对一项特定活动的专门计划,或是两者的结合。7.4.2利用认证机构内部资源(见6.2.1)进行的各项评价任务应由认证机构指派人员去执行。注:外包任务通常由外包方指派
29、的人员去完成。这种人员一般不由认证机构指派。7.4.3认证机构应确保可获得执行评价任务必须的所有信息和(或)文件。注:评价任务可能包括设计评估和文件审查、取样、检测、检查、审核等活动。7.4.4认证机构应按评价计划(见7.4.1)完成利用内部资源(见6.2.1)进行的评价活动和管理外包资源(见6.2.2)。应依据认证范围覆盖的要求和认证方案规定的其他要求评价产品。7.4.5认证机构应只采信本次认证申请之前完成的与认证相关的评价结果,在这种情况下,认证机构应对评价结果负责,并且证明实施评价的机构满足6.2.2及认证方案规定的要求。注:这可以包括根据认证机构之间的互认协议开展的工作。7.4.6认证
30、机构应将所有不符合告知客户。7.4.7如果发现了一个或多个不符合,且客户希望继续认证过程,认证机构应提供为验证不符合得到纠正所需的附加评价任务的有关信息。7.4.8如果客户同意完成附加的评价任务,则应重复7.4中规定的过程以完成附加的评价任务。7.4.9复核(见7.5)之前,所有评价活动的结果应形成文件。注1:这些文件可以为确定产品要求(包括如认证方案有要求时,对生产产品的质量管理体系的要求)是否得到满足提供意见。注2:认证方案可指出评价是由认证机构根据其职责实施,还是在认证申请(见7.2)之前实施的。对于后者,7.4 的要求不适用。7.5复核7.5.1认证机构应指派至少一人复核与评价相关的所
31、有信息和结果。复核应由未参与评价过程的人员进行。7.5.2除非复核和认证决定由相同的人一并做出,否则应将基于复核的认证决定的建议形成文件。7.6认证决定7.6.1认证机构应对其认证决定负责并保留认证决定权。7.6.2认证机构应指派至少一人根据评价、复核以及其他相关的所有信息做出认证决定。认证决定应由未参与评价过程(见7.4)的一个人或一组人(如委员会,见5.1.4)完成。注:复核和认证决定可由同一个人或同一组人一并完成。7.6.3由认证机构指派做出认证决定的人员(除委员会成员外,见5.1.4)应受雇或受聘于:- 认证机构(见6.1);- 认证机构(见7.6.4)组织控制下的一个实体。7.6.4
32、认证机构的组织控制应为下列之一:- 认证机构拥有另一实体的全部或大部分所有权;- 认证机构在另一个实体的董事会中占多数席位;- 在以所有权或董事会控制相关联的一个法律实体网络中(认证机构存在其中),认证机构以文件形式对另一个实体授权。注:对政府的认证机构而言,政府的其他部分可认为与认证机构以所有权形式关联。7.6.5受雇或受聘于组织控制下实体的人员与受雇或受聘于认证机构的人员一样,应满足本标准的相同要求。7.6.6认证机构应将不批准认证的决定通知客户,并应说明该决定的理由。注:如果客户表示愿意继续认证过程,认证机构应从7.4重新开始评价过程。7.7认证文件7.7.1认证机构应给客户提供正式的认
33、证文件,明确表达或能够辨识以下信息:a)认证机构的名称和地址;b)获证日期(该日期不应早于完成认证决定的日期); c)客户名称和地址;d) 认证范围(见3.10);注:当用于认证的标准或其他规范性文件(见7.1.2)引用了其他标准或规范性文件时,那些被引用的文件不必包括在正式的认证文件中。e) 认证有效期或终止日期(如果认证具有有效期时);f) 认证方案要求的任何其他信息。7.7.2正式的认证文件应包括认证机构指定的负责人的签名或其他授权签署。注:在认证机构备案的负责签署认证文件的人员的姓名和职位,是一种除签名之外的“授权签署”的例子。7.7.3正式的认证文件(见7.7)应仅在下列事项完成之后
34、或同时颁发:a)批准或扩大认证范围(见7.6.1)的决定已经做出;b)认证要求得到满足;c)认证协议(见4.1.2)已经完成和(或)签署。7.8获证产品名录认证机构应保存获证产品的信息,至少包括:a)产品识别信息;b)认证用的标准和其他规范性文件;c)客户识别信息。认证方案应规定那些需要在名录中公开或在有要求时提供(通过出版物、电子媒体或其他方式)的信息。至少认证机构应当在有要求时提供该认证的有效状态。注:当认证机构按方案提供信息时,该方案的名录即满足本要求。7.9监督7.9.1如果认证方案要求进行监督,或依据7.9.3或7.9.4的规定进行监督,认证机构应根据认证方案启动对认证决定覆盖的产品
35、进行监督。注1:认证方案中监督活动的示例见GB/T27067。注2:监督活动的准则和过程由每个认证方案规定。7.9.2当监督采用评价、复核或认证决定时,应分别符合7.4、7.5或7.6的要求。7.9.3当某类获证产品(或其包装,或所附资料)需要持续使用授权的认证标志时,应建立监督机制,并应包括对加施标志的产品进行定期的监督,以确保符合产品要求的证实持续有效(对于过程或服务,见7.9.4)。7.9.4当授权某过程或服务持续使用认证标志时,应建立监督机制,并应包括对使用标志的过程或服务进行定期的监督,以确保符合过程或服务要求的证实持续有效。7.10影响认证的变更7.10.1当认证方案提出对客户产生
36、影响的新的或修订的要求时,认证机构应确保这些变更能通知到所有客户。认证机构应验证其客户对这些变更的实施并应按认证方案的规定采取措施。注:通过与客户的合同安排来确保这些要求的实施是必要的。用于认证的许可协议模板(只要适用,包括与变更通知有关的内容)在GB/T27028-2008附录 E中给出。7.10.2认证机构应考虑其他对认证有影响的变更,包括由客户引发的变更,并决定采取适宜的措施。注:影响认证的变更可能包括认证完成后由认证机构得到的与满足认证要求有关的新的信息。7.10.3有要求时,对实施影响认证的变更所采取的措施,应包括:评价(见7.4);复核(见7.5); 决定(见7.6); 颁发修订后
37、的正式认证文件(见7.7)以扩大或缩小认证范围; 颁发修订后监督活动的认证文件(如果监督是认证方案的一部分)。这些措施应按照7.4、7.5、7.6、7.7 和7.8适用部分的要求来完成。记录(见7.12)应包括简化上述活动的理由(例如:当不属于产品要求的认证要求发生变更,且不必进行评价、复核或决定活动时)。7.11认证的终止、缩小、暂停或撤销7.11.1当监督或其他活动的结果证实存在不满足认证要求的不符合时,认证机构应考虑并确定适宜的措施注:适宜的措施可能包括:a)在认证机构规定的条件(如:增加监督)下保持认证 ;b) 缩小认证范围以剔除不符合的产品类别;c) 在客户采取补救措施前暂停认证;
38、d) 撤销认证 。7.11.2如果适宜的措施包括评价、复核和认证决定,则应分别满足7.4, 7.5和7.6要求。7.11.3如果终止(应客户要求)、暂停或撤销认证,认证机构应按照认证方案的规定采取措施,并对正式认证文件、公布的信息、标志使用的授权等做出所有必要的更改,以确保没有任何信息显示该产品仍持续获得认证。如果缩小认证范围,认证机构应按照认证方案的规定采取措施,并应对正式认证文件、公布的信息、标志的使用授权等做出所有必要的更改,以确保缩小的认证范围被清晰地传达到客户,并在认证文件和公布的信息中清晰地描述。7.11.4如果暂停认证,认证机构应指定一个或多个人员向客户说明和沟通以下信息:为结束
39、暂停和恢复认证,根据认证方案所需采取的措施;认证方案要求的任何其他措施。这些人员应具备处理暂停所有方面的知识和理解的能力(见6.1)。7.11.5为处理暂停所需要的或认证方案要求的任何评价、复核或决定均应按照7.4, 7.5, 7.6, 7.7.3 和 7.9以及 7.11.3 的适用部分来完成。7.11.6如果暂停后恢复认证,认证机构应对正式的认证文件、公布的信息、标志使用的授权等进行所有必要的修改,以确保表明产品仍保持认证的状态。如果恢复认证的条件是做出缩小认证范围的决定,则认证机构应对正式的认证文件、公布的信息、标志使用的授权等进行所有必要的修改,以确保缩小的认证范围被清楚地传达到客户,
40、并在认证文件和公布的信息中清晰地描述。7.12记录7.12.1认证机构应保存记录以证明所有认证过程要求(本标准和认证方案中的)均得到满足(见8.4)。7.12.2认证机构应将记录保密。运输、传递和移交记录的方式应确保其保密性(见4.5)。7.12.3如果认证方案包括在一个确定的周期内对产品进行完整的再评价,记录保存期限应至少为当前认证周期加上前一个认证周期。否则,记录保存期限应由认证机构确定。注:在确定保存时限时,还可考虑法律规定和相互承认的协定。7.13投诉和申诉7.13.1认证机构应对投诉和申诉的接收、评价和做出决定的过程形成文件。认证机构应跟踪并记录投诉和申诉,以及为解决投诉和申诉所采取
41、的措施。7.13.2一接到投诉或申诉 ,认证机构就应确认投诉或申诉是否与其负责的认证活动相关。如果相关,则应进行处理;7.13.3认证机构应告知已收到正式的投诉或申诉。7.13.4认证机构应负责收集和验证所有必要的信息(尽可能)以推进投诉或申诉的解决。7.13.5解决投诉或申诉的决定的做出、复核和批准应由与被投诉和申诉的认证活动无关的人员来执行。7.13.6为确保没有利益冲突,曾为客户提供过咨询或曾被客户聘用过的人员(包括承担管理职责的人员),在结束咨询(见3.2)或聘用关系两年之内,认证机构不应派其对投诉或申诉的解决进行复核或批准。7.13.7只要可能,认证机构应将投诉处理结果和过程终止正式
42、通知投诉人。7.13.8认证机构应将申诉处理结果和过程终止正式通知申诉人。7.13.9为解决投诉或申诉,认证机构应采取所需的所有后续措施。8管理体系要求8.1可选方式8.1.1总则认证机构应按照方式A或方式B,建立并保持一个能持续满足本标准要求的管理体系。8.1.2认证机构的管理体系应包含以下内容:通用管理体系文件(如:手册、方针、职责的确定,见8.2);文件控制(见8.3);记录控制(见8.4);管理评审(见8.5);内部审核(见8.6);纠正措施(见8.7);预防措施(见8.8);8.1.3 方式B认证机构按GB/T19001标准要求建立和保持管理体系,且能够支持和证明持续满足本标准的要求
43、,即满足管理体系条款的要求(见8.2 至 8.8)。注:选择方式B以使那些按照GB/T19001标准要求运作管理体系的认证机构能用该体系 证明满足本标准8.2 至 8.8中的管理体系的要求。方式B不要求认证机构的管理体系通过GB/T19001认证。8.2通用的管理体系文件(方式A)8.2.1认证机构最高管理层应制定、形成文件并保持方针和目标以满足本标准和认证方案,认证机构最高管理层还应确保方针和目标在认证机构组织的所有层面上得到理解和实施。8.2.2认证机构最高管理层应对建立和实施管理体系及其持续满足本标准的有效性的承诺提供证据。8.2.3认证机构最高管理层应任命一名具有以下职责和权力的管理层成员,无论其是否具有其他职责:a)确保管理体系所需的过程和程序得到建立、实施和保持;b)向最高管理层报告管理体系的绩效及任何改进需求。8.2.4管理体系文件应包括、引用或关联与满足本标准要求相关的所有文件、过程、系统、记录等。8.2.5认证活动涉及的所有人员应能获得与其职责相应的管理体系文件和相关信息。8
黑公网安备:91230400333293403D