《CNAS-WI13-02-39D0 文件系统符合性检查单(SCSMS).doc》由会员分享,可在线阅读,更多相关《CNAS-WI13-02-39D0 文件系统符合性检查单(SCSMS).doc(61页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、CNAS-WI13-02-39 D0文件系统符合性检查单(SCSMS)受评审方: 地址: 电话: 传真: EMAIL: 评 审 方: 中国合格评定国家认可委员会(CNAS) 评审员: 日 期: 年 月 日CNAS-WI13-02-39 D0说明:1.本检查单依据CNAS-CC153、CNAS-SC153、CNAS-CC12和CNAS-CC14编制,共包括三个部分。2.认证机构在填写检查单第三列时,不仅需填写与CNAS要求所对应认证机构文件的具体条款,还应简要描述为满足认可要求所采取的具体措施。如涉及到手册和程序文件以外的文件,则应将这些文件一并提交。3.评审员应逐项对认证机构文件的符合性进行评
2、价,将发现的认证机构文件存在的问题记入“问题描述”栏,并进一步记录所发现问题的纠正情况,描述最终的文件符合性,且需在本文件首页签字。文件系统符合性检查单(SCSMS)第一部分:CNAS-CC153认可准则条款号检 查 事 项与该认可准则要求相对应的认证机构文件名称及条款(认证机构填写)问题描述(评审员填写)符合性评价(评审员填写)5 通用要求5.1法律与合同事宜5.1.1法律责任认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。5.1.2认证协议认证机构与客户组织之间应有在法律上具有强制实施力
3、的提供认证服务的协议。此外,如果认证机构有多个办公场所或获证客户有多个场所,则认证机构应确保授予认证并颁发证书的认证机构与获证客户之间有清晰覆盖客户每一个获认证场所的在法律上具有强制实施力的协议。该协议应清楚说明按照哪些标准和/或其他规范性文件进行认证。5.1.3认证决定的责任认证机构应对与认证有关的决定(包括授予、保持、更新、扩大、缩小、暂停和撤消认证)负责,并应保持做出上述决定的权力。5.2公正性的管理5.2.1认证机构最高管理层应对供应链安全管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明,表明其理解公正性在实施供应链安全管理体系认证活动中的重要性,对利益冲突加以管理,并
4、确保其供应链安全管理体系认证活动的客观性。5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件,包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是,如果任何关系对公正性构成风险,认证机构应将其如何消除或最大限度减小此类风险形成文件,并应能向6.2所指的委员会证实。所作的证实应包括所有已识别的潜在利益冲突来源,无论其产生于认证机构内部还是其他个人、机构或组织的活动。5.2.3当某种关系对认证机构的公正性产生不可消除的威胁时(如认证机构的全资子公司向其申请认证),认证机构不应提供认证。5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。5
5、.2.5认证机构及同一法律实体的任何其他部分不应提供供应链安全管理体系咨询和/或相关的风险评估,也不应为供应链安全管理体系咨询和/或风险评估提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。5.2.6认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。本条款同样适用于政府中被识别为认证机构的那一部分。5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁,而客户接受了该咨询机构的供应链安全管理体系咨询和/或相关的风险评估或内部审核,则认证机构不应对该供应链安全管理体系进行认证。注1:在供应链安全管理体系咨询和/或相关风险评估或内部审核结束后经过
6、至少两年时间,是将对公正性的威胁降至可接受水平的一种方式。对5.2.2和5.2.4的注:威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。对5.2.6和5.2.7的注:由审核员提出解决方案(针对已识别的不符合或改进机会)的内部审核被视为对公正性有不可接受的威胁。5.2.8认证机构不应将审核外包给对认证机构的公正性构成不可接受的威胁的机构(见7.5)。5.2.9认证机构活动的营销不应与提供供应链安全管理体系咨询和/或相关风险评估的机构的活动有联系。如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、
7、迅速或廉价,则该认证机构应采取措施纠正这种不当表述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。5.2.10为确保没有利益冲突,参与了对客户供应链安全管理体系咨询和/或相关风险评估的人员(包括管理人员),在咨询结束后两年内,不应被雇佣从事针对该客户的审核或认证活动。5.2.11认证机构应采取措施,以应对其他人员、机构或组织的行为对其公正性产生的威胁。5.2.12认证机构所有可以影响认证活动的人员(内部或外部的)或委员会应公正行事,且不应允许商业、财务或其他方面的压力损害公正性。5.2.13认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲
8、突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁,且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。注:如果已知组织雇佣的审核员提供了供应链安全管理体系咨询和/或相关的风险评估,则在咨询结束后的两年内,这个事实将被视为对公正性有高度威胁。5.3责任和财力5.3.1认证机构应能证明已对认证活动引发的风险进行了评估,并对各个活动领域和运作地域的业务引发的责任作了安排(如保险或储备金)。5.3.2认证机构应评估其财务状况和收入来源,并向6.2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。6 结构要求6.1组织结构和最高管理层6.1.1认证机
9、构的组织结构应为其认证提供信任。6.1.2认证机构应确定对下列各项具有全部权力和责任的最高管理层(委员会、小组或个人):a)与认证机构运作有关的政策的制定;b)政策和程序实施的监督;c)认证机构财务的监督;d)审核与认证的实施和对投诉的回应;e)认证决定;f)在需要时,授权委员会或个人代表最高管理层开展规定的活动;g)合同安排;h)为认证活动提供充分的资源。6.1.3认证机构应将其组织结构形成文件,并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内有明确界定的一部分时,该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。6.1.4认证
10、机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。6.2维护公正性的委员会6.2.1认证机构的结构应维护认证机构活动的公正性,并具有一个进行下列活动的委员会:a)协助制定与认证活动公正性有关的政策;b)阻止认证机构的所有者有任何倾向使商业或其他因素妨碍其一致地提供客观的认证活动;c)对影响认证可信度的事宜(包括公开性和公众认识)提出建议;注:该委员会也可被委以其他任务或职责,但这些附加的任务或职责不宜削弱其确保公正性的基本作用。6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件,并由认证机构最高管理层授权,以确保:a)各方利益均衡,以使任一利益方不处于支
11、配地位(认证机构的内部或外部人员视为一个利益方,且不宜居支配地位);b)获取所有必要的信息,使其能够履行自己的职能(见5.2.2和5.3.2);c)如果认证机构最高管理层不尊重委员会的建议,委员会应有权采取独立措施(如报告主管部门、认可机构或利益相关方)。采取独立措施时,委员会应遵守8.5中与客户和认证机构相关的保密要求。注:虽然该委员会不能代表所有利益方,但是认证机构宜识别和邀请关键利益方。这些利益方可能包括:认证机构的客户,供应链安全管理体系获证客户的顾客,行业协会代表,政府监管机构或其他政府部门的代表,或非政府组织(包括消费者组织)的代表。7资源要求7.1管理层和人员的能力7.1.1 认
12、证机构应确保参与供应链安全管理体系审核与认证的所有人员有能力胜任其承担的工作。认证机构应有过程来确保其人员对其运作涉及的供应链安全管理体系类型和地域有适宜的相关知识、技能和经验。认证机构应确定与特定认证方案相关的每个技术领域所需的资格和能力,以及认证活动的每项职能所需的资格和能力。认证机构应确定在履行特定职能前证实能力的方法,应保留确定的记录。7.1.2 认证机构在确定认证实施人员的能力要求时,除了那些直接实施审核与认证活动的人员,还应考虑管理层和行政人员所承担的职能。7.1.3 认证机构应有获取必要的专业知识与技能的途径,以在其运作涉及的技术领域、供应链安全要素类型和地域等方面获得与认证直接
13、相关的建议。这些建议可由外部人员或认证机构人员提供。7.2参与认证活动的人员7.2.1 认证机构自身应有具备足够能力的人员,以对各种类型与范围的审核方案进行管理并实施其他认证工作。7.2.2 就接触保密信息而言,认证机构应确保委派实施供应链安全管理体系认证审核的人员和技术专家,在对验证工作期间所获保密信息保守秘密方面能得到信任,并确保他们没有造成安全问题。见7.4条款。7.2.3 委派实施供应链安全管理体系审核的人员至少应具备ISO19011:2002标准7.2,7.3.1,7.3.2和7.4条款阐述的与供应链安全管理和风险分析相关的个人素质、知识、技能和教育经历。7.2.3.1 供应链安全管
14、理体系审核员应具备风险分析、关键控制点分析、风险管理方法学和信息保密方面的能力。包括但不限于以下方面:a) 理解供应链安全管理标准或规范的要求(如:ISO28000)。b) 理解供应链流程和关键控制点分析、理解供应链相关过程和实务的知识。 安全方法学和技术的知识,尤其是预防措施和技术。c) 威胁识别: 理解威胁,如物理的、生物的、化学的、计算机网络的和放射性的威胁。d) 风险评估和分析: 理解风险评估和分析的原理。e) 风险的最小化、降低与控制: 理解最小化、降低与管理风险的原理; 安全方法学和技术的知识,尤其是预防措施和技术。f) 应急的策划与准备: 政府和第一响应者的作用的知识; 突发事件
15、通报原则的知识; 突发事件缓解、响应和恢复的知识。7.2.3.2 每一位供应链安全管理体系审核员还应成功地完成了培训(见附录C或等效的),并能证明在安全方法学、风险分析和管理原理的理解和应用方面是有能力的,同时宜是注册的管理体系审核员。7.2.3.3 每一位供应链安全管理体系审核员应参加与其特定的资格要求相适应的持续培训。认证机构应每年评审针对其审核员的目标培训计划,培训内容包括:安全方法学、风险分析与管理原理、关键控制点分析、审核技巧、特别是本文件7.2.3.1条款提到的能力要求。培训应:a) 基于对上述学科和能力项进行需求分析的结果而策划;b) 保留培训记录;c) 包括审核案例分析以评价审
16、核员的能力;d) 有信息支持且审核员宜能获取这些信息,如:适用的管理体系标准应用的解释,常见问题解答,研讨会记录、针对案例的标准的纠正;e) 按照培训要求得到评价,且认证机构应根据培训效果采取适当的措施;f) 由有资格的培训教师实施。7.2.3.4 供应链安全管理体系审核员应具备至少五年与风险分析和管理相关的经历,或者两年按照最佳行业实践及标准审核的经历。7.2.3.5 供应链安全管理体系审核员应保证每年至少五次的相关审核,或者每年至少完成10人日的现场审核,以保持其资格。7.2.3.6 认证机构应能证明每一位审核员在被认为有能力的特定专业类别具有恰当的培训和工作经历,并记录能力(ISO190
17、11:2002 5.5c条款)。7.2.4认证机构应聘用或有途径获得足够数量的审核员(包括审核组长)和技术专家,以覆盖其所有活动并满足审核工作量的需要。7.2.5认证机构应使所有有关人员清楚自己的任务、责任和权力。7.2.6认证机构应有明确的过程来选择、培训、正式任用和监视审核员以及选择认证活动使用的技术专家。审核员的初始能力评价应包括一次对被评价者现场审核的观察。7.2.7认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的恰当的知识与技能。这一过程应基于ISO19011提供的指南转化为适当的文件要求(特别见ISO190
18、11:2002的条款7及附录C)。7.2.8供应链安全管理体系审核员应具备适用于所审核的供应链、工业和商业领域的安全知识和经验。7.2.9供应链安全管理体系审核员应具有或经过培训获得并证实附录D所描述的能力。7.2.10能力应通过笔试进行验证,考试的及格线设定宜仅使那些证实全面理解模块内容且达到课程目标的人员通过。7.2.11认证机构应确保审核员(需要时,包括技术专家)熟悉认证活动、认证要求、审核方法和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。7.2.12认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。注
19、:为特定审核组指派审核员和技术专家的要求见第9章。7.2.13认证机构应识别培训需求,并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训,以使他们获得认证要求和过程的知识。7.2.14做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应具备足够的知识和经验,以评价审核过程和审核组的推荐意见。7.2.15认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。认证机构应有形成文件的程序和准则,以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机构尤其应根据人员的表现来复核他们的能力,以识别培训需求。7.2.16形成文件的审核员监视
20、程序应把现场见证、审核报告复核及客户或市场反馈相结合,并应基于ISO19011提供的指南转化成的适当的文件要求。在设计监视方式时,应使正常认证过程所受干扰最小(尤其是从客户角度来看)。7.2.17认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。求。求。求。7.3外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构明确的适用的政策和程序。该协议应含有关于资格、保密及独立于商业和其他利益的条款,并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。认证机构应确保
21、所有独立的外部审核员和技术专家都经过了安全调查,并且受到认证机构保密协议的约束。注:依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。7.4人员记录认证机构应保持认证活动所涉及每个人的最新记录,包括相关的资格、培训、经历、隶属关系、专业状况和能力。7.4.1 安全调查认证机构应建立对候选供应链安全管理体系审核员进行安全审查的过程并形成文件。认可机构也应确保其评审员满足这些要求。对审核员安全审查的过程应形成文件,并应通过适当方式使申请供应链安全管理体系认证或审核的组织以及其他利益相关组织(适用时)能够获得。审核员应由其所在认证机构进行安全调查。安全调查过程应包括以下内容。7.4.2 背
22、景核查认证机构应对所有人员和承担供应链安全管理体系审核的审核员与技术专家进行犯罪背景的核查。可行时,这些核查应凭借国家安全核查机构或警方。否则,认证机构应在最高管理层监督之下,通过内部审查过程进行记录核查和安全调查的审查评价/面试,来核查人员的适宜性和诚实性。审查过程应包括对候选供应链安全管理体系审核人员所提交证明文件的审查、面试以及对诸如护照、身份卡、工作许可证、驾驶执照和工作介绍信等文件的审查。实施供应链安全管理体系审核员面试的人员应按本文件7.4.3的过程接受任命和审查。7.4.3 面试认证机构应建立一个在最高管理层监督之下的分级面试制度。最高管理层应指定一名经过面试和审查已确认值得信赖
23、且具备必要的能力和判断力的负有责任的管理者,对候选供应链安全管理体系审核员和技术专家进行审查。该负有责任的管理者应通过审查候选人所提交的证明文件、面试和持续监视来评价候选供应链安全管理体系审核员和技术专家的可信度与适宜的行为特征。7.4.4 工作经历每位候选供应链安全管理体系审核员应能提供至少五整年的连续工作经历的证据,这些经历应经过当前或以往雇主的证实。自我聘用的候选供应链安全管理体系审核员应提供其他适当的证明文件,以证明雇用记录具有同等信心和可信度。7.4.5 身份卡(ID卡)应发给每位供应链安全管理体系审核员一张存有下列信息的身份卡(ID卡):照片;姓、名;国籍;卡号;认证机构的名称和徽
24、标;防止更改和伪造的标志和特征。需要时,接受审核的组织应当可以获得供应链安全管理体系审核员的保密承诺。7.4.6 记录认证机构的程序应包括对违约的供应链安全管理体系审核员实施处理的过程,宜包含调查期间对审核员实施暂停等组织纪律程序。认证机构应按其认为并证明恰当的期限保存记录。确定记录保存期限时宜考虑到国家、国际或其它法定要求。7.4.7 审核员责任宜使审核员明白并做出书面声明,表明其知道违规行为将可能导致纪律处罚、民事责任和刑事诉讼。7.5外包7.5.1认证机构应说明可以进行外包(即向另一个组织分包,由其代表认证机构提供部分认证服务)的条件。认证机构应与每个承担外包服务的机构就相关安排(包括资
25、格、保密和利益冲突)签订在法律上具有强制实施力的协议。注1:这里可包括外包给其他认证机构的情况。依据合同使用审核员见7.3。注2:本文件中,“外包”与“分包”视为同义词。7.5.2认证决定不应外包。7.5.3认证机构应:a) 对外包给另一机构的所有活动负责;b) 对授予、保持、更新、扩大、缩小、暂停或撤消认证负责;c) 确保外包服务承担机构使用的人员符合认证机构的要求和本文件的适用要求,包括能力、公正性和保密;d) 确保外包服务承担机构使用的人员与拟审核的组织没有可能损害公正性的关系(无论是直接的还是通过任何其他雇主发生的关系);e) 由特定机构提供外包服务应征得客户的同意; f) 负责处理申
26、诉和投诉。7.5.4认证机构应有形成文件的程序,以对认证活动的所有外包服务承担机构进行资格审查和监视,且应保持其审核员资格的记录。8信息要求8.1公开信息8.1.1认证机构应保持并在有请求时提供关于其活动及其运作地域的信息。8.1.2认证机构向客户或市场提供的信息(包括广告)应准确且不使人产生误解。8.1.3认证机构应使授予、暂停或撤消认证的信息可公开获取。8.1.4当任何一方提出请求时,认证机构应提供确认某一认证是否有效的途径。注1:如果信息分散在多个来源(如印刷文件或电子文档,或两者结合),宜通过一个系统(如唯一性编码系统或互联网上的超级链接)来确保可追溯性并避免不同来源之间的歧义。注2:
27、在特殊情况下,可根据客户的请求(如出于安全原因)对某些信息的公开程度做出限制。8.2认证文件8.2.1认证机构应以其选择(见8.1.4条注1)的任何方式向获证客户提供认证文件。8.2.2认证文件的生效日期不应早于认证决定的日期。8.2.3认证文件应标明:a) 获得供应链安全管理体系认证的客户组织的每一场所的名称和可识别的物理位置;b) 授予、扩大或更新认证的日期;c) 与再认证周期相一致的认证有效期;d) 唯一的识别代码;e) 审核获证客户时所用的标准和(或)其他规范性文件,包括版本和(或)修订;f) 与客户供应链安全管理体系内所从事活动相适宜的认证范围,包括服务、过程等,适用时包括每个场所的
28、认证范围;g) 认证机构的名称和(或)认证标志;注:在认证机构获得相应授权的情况下,可以带有其它标志(如认可标识);然而,认证机构作为证书颁发机构宜保证标志不产生误导和含混不清。h) 认证用标准所要求的任何其他信息;8.3获证客户目录认证机构应以其选择的任何方式保持有效认证的目录,并使其可公开获取。该目录应至少说明每个获证客户的名称、相关的规范性文件、活动和组织要素的范围和地理位置(国家和城/镇)。注:该目录是认证机构的专有资产。8.4认证资格的引用和标志的使用8.4.1认证机构对其授权获证客户使用的任何标志应有管理政策。该政策应确保可以从标志追溯到认证机构。标志或所附文字不应使人对认证对象和
29、授予认证的认证机构产生歧义。标志不应用于产品或消费者所见的产品包装之上,或以任何其他可解释为表示产品符合性的方式使用。注:GB/T27030提供了对使用第三方标志的指南。8.4.2认证机构不应允许其标志被用于实验室检测、校准或检查的报告,这里将此类报告视为产品。8.4.3认证机构应要求客户组织:a) 在传播媒介(如互联网、文件、宣传册或广告)中引用认证状态时,符合认证机构的要求;b) 不做出或不允许有关于其认证资格的误导性说明;c) 不以或不允许以误导性方式使用认证文件或其任何部分;d) 在其认证被暂停或撤消时,按照认证机构的指令立即停止使用所有引用认证资格的广告材料(见9.6.3和9.6.6
30、);e) 在认证范围被缩小时,修改所有的广告材料;f) 不允许在引用其供应链安全管理体系认证资格时,暗示认证机构对任何供应链或供应链中任何要素进行了认证;g) 不得暗示认证适用于认证范围以外的活动;h) 在使用认证资格时,不得使认证机构和(或)认证制度声誉受损,失去公众信任。8.4.4认证机构应正确地控制其所有权,并采取措施识别和处理认证状态的错误引用或认证标志或审核报告的误导性使用。注:此类措施可以包括要求纠正或采取纠正措施、暂停认证、撤消认证、公告违规行为以及必要的法律措施。8.5保密8.5.1认证机构应具有政策和相关安排,以确保其各个层次(包括代表其活动的委员会、外部机构或个人)对从事认
31、证活动时获得、产生的保密信息予以保密,并通过在法律上具有强制实施力的协议落实上述政策和安排。8.5.2认证机构应将其拟对公众公开的信息(如4.5.1与8.3条中定义的)提前告知客户。所有其他信息均应视为保密信息,客户自己公开的信息除外。8.5.3除本文件有要求外,关于特定客户或个人的信息,未经其书面同意,不应向第三方披露。当法律或法定机构要求认证机构向第三方提供保密信息时,除法律限制或法定机构的要求外,认证机构应将拟提供的信息提前通知有关客户或个人。8.5.4从其他来源(如投诉人、监管机构)获得的关于客户的信息应根据认证机构的政策按保密信息处理。8.5.5认证机构的人员,包括代表认证机构工作的
32、任何委员会成员、合同方、外部机构人员或个人,应对从事认证机构的活动时获得或产生的所有信息予以保密。8.5.6认证机构应能获得并使用确保保密信息(如文件、记录)安全处理的设备/设施。8.5.7认证机构向其他机构(如认可机构、建立在同行评审基础上的协议集团)公开保密信息时,应将这一行动通知相关的监管机构及其客户。8.6认证机构与其客户间的信息交换8.6.1认证过程和要求的信息认证机构应向客户提供并为其更新以下信息:a) 对认证活动整个过程的详细说明,包括申请、初次审核、监督审核和授予、保持、缩小、扩大、暂停、撤消认证以及再认证的过程;b) 认证依据的规范性要求;c) 申请、初次认证和保持认证资格所
33、需费用的信息;d) 认证机构对拟接受审核的客户的要求:1)遵守认证要求;2)为实施审核做出所有必要的安排,包括在初次认证、监督、再认证和解决投诉时,为检查文件和接触所有过程与区域、记录及人员提供条件;3)适用时,为接纳到场的观察员(如认可评审员)提供条件。e) 对获证客户根据8.4的要求在各类沟通中引用认证资格时的权利和责任(包括要求)予以说明的文件;f) 投诉和申诉处理程序的信息。8.6.2认证机构的变更通知认证机构应以适当方式将其认证要求的任何变更通知获证客户。认证机构应验证每个获证客户符合新的要求。注:为确保实施本条款,认证机构可能需要与获证客户在合同中做出安排。8.6.3客户的变更通知
34、认证机构应做出在法律上具有强制实施力的安排,以确保获证客户即时将可能影响供应链安全管理体系持续满足认证标准要求的能力的事宜通知认证机构,例如与下列方面有关的变更:a)法律地位、经营状况、组织状态或所有权;b)组织和管理层(如关键的管理、决策或技术人员);c)联系地址和场所;d)获证供应链安全管理体系覆盖的运作范围;e)供应链安全管理体系和过程的重大变更。8.6.4供应链安全管理体系的信息认证机构应制定程序,确保客户供应链安全管理体系运行的信息能够在认证机构、客户和允许获得信息的其他相关方之间可靠传递。认证机构应确保将该程序及时通知客户和其它相关方。9过程要求9.1适用于所有审核的通用要求9.1
35、.1审核方案应包括至少由两阶段构成的初次审核、监督审核和再认证审核。审核方案的确定和任何后续调整应考虑客户组织的规模,其供应链安全管理体系和过程的范围与复杂程度,以及经过证实的供应链安全管理体系有效性水平和以前审核的结果。9.1.2认证机构应确保其审核计划基于ISO19011中为编制审核计划提供的指南所转化成的适当的文件要求。应为每次审核编制审核计划,以便为有关各方就审核活动的日程安排和实施达成一致提供依据。9.1.3认证机构应有根据实现审核目标所需的能力来选择和任命审核组(包括审核组长)的过程。该过程应基于ISO19011提供的指南转化成的适当的文件要求。9.1.4认证机构应有正式的规定和/
36、或合同条款来确保每个审核组成员以公正的方式开展工作。每位审核组成员应在接受审核委托前,将任何已知的现在、以前或可预见到的与受审核组织的关系情况告知认证机构(见5.2.9,5.2.12 和 7.4)。9.1.5认证机构应按照形成文件的程序确定审核时间,用以在认证范围所包含的场所中完成对客户供应链安全管理体系的完整而有效的审核。9.1.6安全威胁对于每一个业务场所都是独特的,因此一个组织认证范围内的所有业务场所均应接受审核。组织应对每一个场所进行了威胁及风险评估并应实施相应的运行控制。同样,对于非业务场所(如提供行政支持服务的场所)的安全威胁也是独特的,但其活动的特性可能对供应链安全只构成较低的风
37、险。认证机构应对所有的业务场所进行审核,且对其他非业务场所进行风险评估并实施与其风险相称的审核。认证机构确定的每一个场所/地点的审核时间和确定审核时间的合理性应基于附录A和B的要求,并应予以记录。在确定审核时间时,认证机构宜考虑(但不限于)以下方面: a)相关供应链安全管理体系标准的要求;b)复杂程度;c)规模;d)风险;e)技术和法规环境;f)场所的数量和对多场所的考虑。附录B给出了对运行多场所组织的要求。审核人日数应基于附录A中的人日表。虽然附录A是资料性附录,但是对于一个供应链上运营的公司,审核人日数不太可能少于附录A给出的人日数。9.1.7对于经营多个业务场所的组织,即使这些场所的活动
38、实质上相同,抽样也是不适宜的。认证范围中的每一个场所都应被审核到,然而,当一些场所的供应链安全管理体系及活动相同时,或许可减少这些场所的审核时间;或者,当一些非业务场所主要从事行政活动且对供应链安全没有重大影响时,可以对这些非业务场所抽样。在这些情况下,认证机构应对每一个场所进行风险评估并制定一个基于风险的审核方案,该过程应确保认证机构对组织的供应链安全管理体系进行恰当的审核。此要求在附录B中有进一步的描述。9.1.8当审核计划的编制工作被分配给审核组长以外的其他人员时,审核组长应对计划进行评审并批准。9.1.9认证机构应明确说明审核组的任务,并告知客户组织。认证机构应要求审核组:9.1.10
39、认证机构应向客户提供审核组每位成员的姓名,并在客户请求时使其能够了解每位成员的背景情况。认证机构应留出足够的时间,以使客户组织能够对某一审核员或技术专家的任命表示反对,并在反对有效时使认证机构能够重组审核组。9.1.11认证机构应提前与客户组织就审核计划进行沟通,并商定审核日期。9.1.12认证机构应有实施现场审核的过程。该过程应基于由ISO19011中提供的指南转化成的适当的文件化程序。注1:除了访问有形场所(如工厂)外,“现场”还可以包括远程访问包含供应链安全管理体系评价相关信息的电子化场所。注2:GB/T 19011中的术语“受审核方”指被审核的组织。9.2初次审核与认证9.2.1申请认
40、证机构应要求申请组织的授权代表提供必要的信息,以便认证机构确定:a)申请认证的范围;b)申请组织的一般特征,包括其名称、物理场所的地址、过程和运作的重要方面以及任何相关的法律义务;c)申请组织与申请认证的领域相关的一般信息,包括其活动,人力与技术资源,以及适用时,其在一个较大实体中的职能和关系;d)申请组织寻求认证的标准或其他要求;e)接受与供应链安全管理体系有关的咨询的情况。9.2.2申请评审9.2.2.1 在实施审核前,认证机构应对认证申请及补充信息进行评审,以确保:a)关于申请组织及其供应链安全管理体系的信息充分,可以进行审核;b)认证要求已有明确说明并形成文件,且已提供给申请组织;c)
41、解决了认证机构与申请组织之间任何已知的理解差异;d)认证机构有能力并能够实施认证活动;e)考虑了申请的认证范围、申请组织经营场所的位置和数量、完成审核需要的时间和任何其他影响认证活动的因素(语言、安全条件、对公正性的威胁等);f)应保持决定实施审核的理由的记录。9.2.2.2 根据上述评审,认证机构应确定审核组及进行认证决定需要具备的能力(见7.2.7)。9.2.2.3 如果认证机构考虑申请组织已获得认证或接受的其他审核,则应收集充足的、可验证的信息,以证明对审核方案的任何调整的合理性,并予以记录。9.2.2.4 完成申请评审后,认证机构应向申请者通报是否接受了申请。不接受申请的原因应传达给申
42、请者。9.2.2.5 在开始审核之前,认证机构应和申请组织签订一份协议(见5.1.2),该协议:a)明确开展工作的范围,包括拟认证的范围和场所的具体情况;b)要求申请组织提供认证所需的所有信息;c)要求申请组织遵守认证要求。9.2.2.6 对于扩大认证范围的申请,认证机构应进行可行性评审和必要的审核活动,来确定是否可以准予该范围的扩大。9.2.2.7 认证机构应任命(见9.1.3条)审核组。组成审核组的所有审核员(必要时,还有技术专家)作为一个整体应具备认证机构按9.2.2.2确定的对申请组织实施认证的能力。认证机构应根据审核员和技术专家具备的能力(如7.2.5所述)来选择审核组,并可以使用内
43、部和外部的人力资源。9.2.2.8 认证机构应指定将进行认证决定的人员,以确保具有实施认证决定的适宜能力(见7.2.9)。9.2.2.9 审核组需要具备一定的背景,以确保成员理解与所审核体系有关的要求。每个审核组都应对其审核的体系所属的技术与行业部门具备总体上的理解和背景。审核组应有能力确定一个特定的供应链安全管理体系是否充分满足标准的要求。9.2.2.10 上文要求:认证机构委派实施供应链安全管理体系审核的每个审核组需要知道,对通常的过程和程序,哪些要素对所审核的供应链是必需的。审核组应具备必要的能力(包括行业或监管方面的资质),在确保体系满足规定要求方面有足够信心确定体系是否覆盖了这些必需
44、的要素。9.2.2.11 在某些情况下,特别是当有关键要求和特殊程序时,审核组的背景知识可以通过情况介绍会、专项培训或专家参与的方式加以补充。认证机构可以给审核组加派非审核员的专家。如果认证机构使用技术专家,那么认证机构的管理控制体系应对这种情况做出规定,并且为保持其能力最新做出安排。文件中应包括如何选择技术专家以及如何保证其能力的具体细节。认证机构可以依靠外部帮助,如工业或专业机构。认证机构应确保执行本条款的人员受到和审核员一样的保密性和公正性要求的约束。9.2.3初次认证审核供应链安全管理体系的初次认证审核应分两个阶段实施:第一阶段和第二阶段。9.2.3.1 第一阶段审核9.2.3.1.1
45、 第一阶段审核应编制审核计划,审核计划应包括9.1.2和9.2.3.1.2规定的要点。9.2.3.1.2 通常,审核组对客户组织的供应链安全管理体系的第一阶段审核应在现场进行。在特殊情况下,第一阶段可以不进行现场访问。不进行现场访问的决定应有正当理由并予记录,且应告知客户这样做可能会给第二阶段的审核带来风险。该理由宜基于组织的规模、位置、风险的考虑和已了解到的情况等。9.2.3.1.3 第一阶段审核应:a)评价申请组织的场所和现场的具体情况,并与客户组织的人员进行讨论,以确定第二阶段审核的准备情况;b)审查客户组织理解和实施标准要求的情况,特别是对供应链安全管理体系的关键绩效或重要因素、过程、目标和运作的识别情况;c)收集并审查关于客户组织的供应链安全管理体系范围、已完成的风险评估、过程和场所的必要信息,以及相关的法律法规要求和遵守情况(如:申请组织运作相关的法律因素和识别的风险等);d)审查第二阶段审核所需资源的配置情况,并与客户组织商定第二阶段审核的细节;e)结合可能的重要因素充分了解客户的供应链安全管理体系和现场运作,以便为策划第二阶段审核提供关注点;f
黑公网安备:91230400333293403D