ISOIECFDIS17021-XXXX《合格评定管理体系审核认证机构的要求》

国际标准最终草案ISO/IEC17021合格评定一一管理体系审核认证机构的要求Conformityassessment-RequirementsforbodiesprovidingauditandcertificationofmanagementsystemsTOC\o"1-5"\h\z前言IV引言V1范围12规范性引用文件13术语和定义14原则24.1总则24.2公正性34.3能力34.4责任34.5公开性34.6保密性34.7对投诉的回应35通用要求35.1法律与 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 事宜35.1.1法律责任35.1.2认证 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 45.1.3认证决定的责任45.2公正性的管理45.3责任和财力56结构要求56.1组织结构和最高管理层5维护公正性的委员会5资源要求57.1管理层和人员的能力67.1.1总体考虑6能力准则的确定67.1.3评价过程6参与认证活动的人员67.3外部审核员和外部技术专家的使用77.4人员记录77.5外包7信息要求88.1可公开获取的信息88.2认证文件88.3获证客户目录88.4认证资格的引用和标志的使用88.5保密98.6认证机构与其客户间的信息交换98.6.1认证过程和要求的信息9认证机构的变更通知9客户的变更通知10过程要求10通用要求109.1.1审核 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 109.1.2审核计划109.1.3选择和指派审核组119.1.4确定审核时间119.1.5多场所的抽样129.1.6传达审核组任务129.1.7 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 审核组成员129.1.8审核计划的沟通129.1.9实施现场审核129.1.10审核报告149.1.11不符合的原因分析149.1.12纠正和纠正措施的有效性14补充审核14认证决定159.1.15作出决定前的行动159.2初次审核与认证15申请159.2.2申请评审159.2.3.初次认证审核15初次认证的审核结论169.2.5授予初次认证所需的信息169.3监督活动16总则169.3.2.监督审核179.3.3保持认证179.4再认证17再认证审核的策划17再认证审核179.4.3授予再认证所需的信息189.5特殊审核189.5.1扩大认证范围189.5.2提前较短时间通知的审核189.6暂停、撤消或缩小认证范围189.7申诉189.8投诉199.9申请组织和客户的记录1910认证机构的管理体系要求1910.1可选方式1910.2方式一：与ISO9001一致的管理体系要求20总则20范围2010.2.3以顾客为关注焦点2010.2.4管理评审2010.2.5设计和开发2010.3方式二：通用的管理体系要求2010.3.1总则2010.3.2管理体系手册20文件控制2010.3.4记录控制2010.3.5管理评审2110.3.6内部审核2110.3.7纠正措施2110.3.8预防措施22附录A（规范性附录）为管理体系认证机构确定能力准则的一个示例23附录B（资料性附录）确定管理体系认证机构能力准则的示例错误!未定义书签。B.1能力准则确定过程错误!未定义书签。2知识水平错误!未定义书签。3特定职能的能力要求错误!未定义书签。TOC\o"1-5"\h\z附录C（资料性附录）可能的评价方法241概述24C.2记录审查24C.3意见反馈24C.4面谈24C.5观察246考试25附录D（资料性附录）认证人员能力评价的示例261概述26D.2能力评价过程错误!未定义书签。附录E（资料性附录）所期望的个人行为27附录F（资料性附录）第三方审核和认证过程28附录G（资料性附录）审核方案、范围和计划的其他考虑因素29G.1概述29G.2考虑因素29参考文献30国际标准化组织ISO）和国际电工委员会IEC）构成了世界标准化的专业体系ISO或IEC的国家成员机构通过这两个组织针对特定领域技术活动设立的技术委员会参与国际标准的制SO和IEC的技术委员会在有共同兴趣的领域进行合作其他与ISO和IECW联络关系的政府间或非政府国际组织也参相关工作。在合格评定领域，ISO合格评定委员会CASCO）负责制定国际标准和指南。国际标准按照ESO/IEC工作导则第二部分所述的规则起草。国际标准草案提交各成员机构投票表决国际标准草案只有获得5%的投票成员机构通过，才能作为国际标准发布。请注意本文件的某些内容可能涉及专利权ISO不负责识别任何专上述利权。ISO/IEC17021-2由ISO/CASCO制定。该国际标准提交ISO/IEC的成员机构表决，并获得这两个组织的批准。ISO/IEC17021的总标题为《合格评定管理体系审核认证机构的要求及管理体系第三方认证审核的要求》，包括以下部分:——第1部分：管理体系审核认证机构的要求第2部分：管理体系第三方认证审核的要求斜体字文本为原来的ISO/IEC17021:2006文本。正体字文本为17021-2文本。在本国际标准中，“应”（shall）一词表示要求，“宜”（should）一词表示建议。管理体系认证（如对组织的质量或环境管理体系的认证是对组织已实施了与其方针一致用以管理其活动相关方面的体系提供保证的一种方法。本国际标准规定了对认证机构的要求贯彻这些要求旨在确保认证机构以有能力、致和公正的方式实施管理体系认证，以促进国际和国内承认这些机构并接受它们的认证本国际标准为促进对管理体系认证的承认提供了基础，这种承认有利于国际贸易。管理体系认证是独立地证明组织的管理体系：a）符合规定要求；b）能够自始至终实现其声明的方针和目标；c）得到有效实施。因此，诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。本国际标准第4章阐述了可信的认证所依据的原则。这些原则有助于读者理解认证的本质属性，并为第5章至第10章做了必要的铺垫。这些原则构成了本国际标准所有要求的基础，但其本身并不是可供评审的要求第10章为认证机构通过建立管理体系来保障和证实其始终满足本国际标准要求提供了两种可供选择的途径。本国际标准旨在供实施管理体系审核和认证的机构使月它对从事质量、环境及其他管理体系审核和认证的机构提出了通用要求本国际标准将这类机构称为认证机构这一用语不妨碍那些有着其他名称、但从事本国际标准范围内活动的机构使用本国际标准。认证活动包括对组织的管理体系的审核认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。本国际标准包含ISO/IEC17021:2006的文本，但删除了其中对ISO19011的相关引用，增加了对第三方审核和认证人员能力管理的具体要求。我们已从缺少具体的和公认的管理体系（例如质量管理体系、环境管理体系或食品安全管理体系）第三方审核员要求识别出了特定的市场需求°ISO19011:2002仅对审核员能力提供了非强制性的指南。重要的利益相关方（包括工业界的利益相关方）发现缺少对审核员能力及审核员管理与使用方式的要求是一个缺陷。本国际标准对管理体系审核提供了一套通用要求，目的是使有能力的审核组，具有充足的资源，按照一致的过程，可靠地确定与适用的认证要求的符合性，并以一致的方式报告结果。本国际标准将作为对第三方管理体系审核与认证能力进行承认的基础和认可准则文件。本国际标准也可用于同行评审或其他审核过程。ISO/IEC17021是适用于各种类型管理体系的审核与认证的通用标准。为实现利益相关方的期望，可能需要对其中一些要求，特别是那些关于审核员能力的要求补充附加准则，这一点得到公认。在本国际标准中，“应”表示要求，“宜”表示建议。合格评定一一管理体系审核认证机构的要求1范围本国际标准包含了所有类型管理体系如质量管理体系或环境管理体系审核与认证的能力、一致性和公正性的原则与要求，以及提供上述活动的机构所遵循的原则与要求按照本国际标准运作的认t」机构不必提供所有类型的管理体系认证。管理体系认证（本国际标准中称为“认证”）是一种第三方合格评定活动IWIEC17000:2004的5.5）。因此，实施这种活动的机构是第三方合格评定机构（本国际标准中称为“认证机构”）注1：管理体系认证有时也称为“注册”，认证机构有时称为“注册机构”。注2：认证机构可以是非政府的或政府的（具有或不具有法定权力）。注3：本国际标准可作为认可、同行评审或其他审核过程的准则文件。2规范性引用文件下列引用文件对本文件的应用是必不可少的凡是注日期的引用，仅所引用的版本适用。凡是不注日期的引用，所引用文件的最新版本（包括任何修改单）适用。ISO9000:2005质量管理体系——基础和术语ISO19011:2002质量和（或）环境管理体系审核指南ISO/IEC17000:2004合格评定——词汇和通用原则3术语和定义ISO9000和ISO/IEC1700（中给出的术语和定义以及下列术语和定义适用于本文件。3.1获证客户certifiedclient管理体系已获认证的组织3.2公正'性impartiality实际存在的并被认识到的客观性注1：客观性意味着利益冲突不存在或已解决，不会对认证机构的后续活动产生不利影响；注2：其他可用于表示公正性的要素的术语有：客观、独立、无利益冲突、没有成见、没有偏见、中立、公平想开明、不偏不倚、不受他人影响、平衡。3.3管理体系咨询managementsystemconsultancy参与设计、实施或保持管理体系示例——筹划或编制手册或程序；——对管理体系的建立和实施提供具体的建议、指导或解决方案。注：如果与管理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息，那么组织培训并作为培训者参与培训不被视为咨询，即培训者不宜针对特定的公司提出解决方案。3.4第三方认证审核third-partycertificationaudit由独立于客户和用户的审核组织实施的、以对客户的管理体系进行认证为目的的审核1）本文件对ISO19011相关指南的引用适用于对所有其他类型管理体系的审核。注1:在下面的定义中，第三方认证审核简称为“审核”。注2：第三方认证审核包括初次审核、监督审核和再认证审核，还可以包括特殊审核。注3：第三方认证审核通常由提供依据管理体系标准要求的符合性认证的机构的审核组实施。注4：两个或两个以上审核组织合作审核一个客户，称作联合审核。注5：一个客户同时按照两个或两个以上管理体系标准的要求接受审核，称作结合审核。注6：一个客户巳将两个或两个以上管理体系标准的要求的应用整合进一个管理体系，并按照一个以上标准接受审核，称作一体化审核。3.5客户client为认证目的接受审核的组织3.6审核员auditor实施审核的人3.7能力competence能够应用知识和技能实现预期结果的特质一去掉经证实3.8向导guide客户指派的协助审核组的人3.9观察员observer陪同审核组但不审核的人-来自客户或认可委3.10技术领域technicalarea以特定类型管理体系的相关过程的共性为特征的领域areacharacterizedbycommonalitiesofprocessesrelevanttoaspecifictypeofmanagementsystem4原则4.1总则4.1.1本章所述原则是本国际标准中后续的特定绩效要求和说明性要求的基础。本国际标准未就所有可能发生的情况给出特定要求在出现未预料到的情况时，宜应用这些原则作为决策的指南这些原则不是要求。4.1.2认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括（但不限于）：a）认证机构的客户；b）获证客户的顾客；c）政府部门；d）非政府组织；e）消费者和其他公众。4.1.3建立信任的原则包括:-公正性；-能力；-责任；-公开性；保密性；-对投诉的回应。4.2公正性4.2.1公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。4.2.2客户支付的认证费用是认证机构的收入来源，也是对公正性的潜在威胁，这一点得到公认各方4.2.3认证机构根据其所获得的符合（或不符合）的客观证据做出决定，且不受其他利益或其他的影响，对于获得和保持信任是必不可少的。4.2.4对公正性的威胁包括：身利b)c)d)益是一种对公正性的威胁。自我评审的威胁：此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行管系咨询的客户实施管理体系审核属于此类威胁。熟识（或信任）的威胁：此类威胁源于个人或机构对另外一人过于熟悉或信赖，而不去寻核证据。胁迫的威胁：此类威胁源于个人或机构察觉受到公然或暗中的强迫，如威胁用他人取而代向主管告发。理体找审之或a）自身利益的威胁：此类威胁源于个人或机构依其自身利益行事。在认证中，财务方面的自4.3能力认证机构的管理体系所支撑的人员能力是认证提供信任的必要条能力是经证实的应用知识和技能的本领。4.4责任4.4.1符合认证要求的责任在于客户组织而不是认证机构。4.4.2认证机构有责任对足够的客观证据进行评价，并在此基础上做出认证决定。根据审核结论，如果符合性的证据充分，认证机构做出授予认证的决定；如果符合性的证据不充分，则不授予认证。注：任何审核都是基于对组织管理体系的抽样，因此并不保证管理体1系0%符合要求。4.5公开性和所4.5.1为获得对认证的诚信性与可信性的信任，认证机构需要提供获取有关审核过程、认证过程有组织认证状态（即认证的授予、保持、更新、扩大、缩小、暂停或撤消）的适当、及时信息的公开渠道，或公布这些信息。公开性是获得或公布适当信息的一项原则。投诉4.5.2为获得或保持对认证的信任，认证机构宜向特定利益相关方提供获取特定审核（如为回应而做的审核）结论的非保密信息的适当渠道，或公布这些信息。4.6保密性为了享有获取充分评价管理体系符合性所需信息的特柢证机构对任何关于客户的专有信息予保密是必需的。4.7对投诉的回应依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信，在投诉经查明有效时认证机构将对投诉进行适当的处理并为解决投诉做出适当的努力当投诉表明出现错误、疏忽或不合理行为时，对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手对投诉进行适当处理将维护对认证活动的信任。注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性（包括对投诉的回应）等原则之间取得适当的平衡。5通用要求5.1法律与合同事宜5.1.1法律责任认证机构应为一个法律实体或一个法律实体内有明确界定的一部分以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。5.1.2认证协议认证机构与客户之间应有在法律上具有强制实施力的提供认证服务的协此外，如果认证机构有多个办公场所或客户有多个场所以应确保授予认证并颁发证书的认证机构与认证范围覆盖的所有场所之间有在法律上具有强制实施力的协议。5.1.3认证决定的责任认证机构应对与认证有关的决定（包括授予、保持、更新、扩大、缩小、暂停和撤消认证）负责，并应保持做出上述决定的权力。5.2公正性的管理5.2.1认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明，表明其理解公正性在实施管理体系认证活动中的重要性对利益冲突加以管理，并确保其管理体系认证活动的客观性。5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件，包括认证机构的各种关系引起冲突的可能性有关系不一定都会引起利益冲突但是，如果任何关系对公正性构成威胁，认证机构应将其如何消除或最大限度减小此类威胁形成文件，并能予以证实2所指的委员会应能获得这方面的信息。所作的证实应包括所有已识别的潜在利益冲突来源无论其产生于认证机构内部还是其他个人、机构或组织的活动。注：威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。5.2.3当某种关系对认证机构的公正性构成不可接受的威胁时（如认证机构的全资子公司向其申请认证），认证机构不应提供认证。注：见5.2.2注。5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。注：见5.2.2注。5.2.5认证机构及同一法律实体的任何其他部分不应提供或推荐管理体系咨询，也不应为管理体系咨询提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。5.2.6认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。如果认证机构对某个管理体系提供了内部审核则不应在内部审核结束后两年内对该管理体系进行认证本条款同样适用于政府中被识别为认证机构的那一部分。注：见5.2.2注。5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁，而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核，则认证机构不应对该管理体系进行认证。注1：在管理体系咨询结束后经过至少两年时间，是将对公正性威胁降至可接受水平的一种方式。注2：见5.2.2注。不可5.2.8认证机构不应将审核外包给管理体系咨询机构，因为这一做法将对认证机构的公正性构成接受的威胁（见7.5）。本条款不适用于7.3所述的作为签约审核员的个人。称或5.2.9认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。如果任何咨询机构宣暗示选择某认证机构将使认证更为简单容易、迅速或廉价，则该认证机构应采取措施纠正这种不当表述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。后两5.2.10为确保没有利益冲突，参与了对客户管理体系咨询的人员（包括管理人员），在咨询结束年内，不应被认证机构用于针对该客户的审核或其他认证活动。5.2.11认证机构应采取措施，以应对其他人员、机构或组织的行为对其公正性产生的威胁。5.2.12认证机构所有可以影响认证活动的人员内部或外部的）或委员会应公正行事，且不应允许商业、财务或其他方面的压力损害公正性。5.2.13认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。5.3责任和财力业务5.3.1认证机构应能证明已对认证活动引发的风险进行了评估，并对各个活动领域和运作地域的引发的责任作了充分的安排（如保险或储备金）。5.3.2认证机构应评估其财务状况和收入来源，并向2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。6结构要求任和的6.1组织结构和最高管理层6.1.1认证机构应将其组织结构形成文件，并明确管理层和其他认证人员及各委员会的任务、责权力。当认证机构是一个法律实体内有明确界定的一部分时该文件应说明认证机构与该法律实体间权力关系以及与同一法律实体内其他部分的关系。6.1.2认证机构应确定对下列各项具有全部权力和责任的最高管理层（委员会、小组或个人）：a）与认证机构运作有关的政策的制定；b）政策和程序实施的监督；c）认证机构财务的监督；d）管理体系认证服务和认证方案的开发；e）审核与认证的实施和对投诉的回应；f）认证决定；g）在需要时，授权委员会或个人代表最高管理层开展规定的活动；h）合同安排；i）为认证活动提供充分的资源。6.1.3认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。6.2维护公正性的委员会6.2.1认证机构的结构应维护认证机构活动的公正性，并具有一个进行下列活动的委员会：a）协助制定与认证活动公正性有关的政策；b）阻止认证机构有任何倾向使商业因素或其他因素妨碍其一致地提供客观的认证活动；c）对影响认证可信度的事宜（包括公开性和公众认识）提出建议；d）至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。该委员会也可被委以其他任务或职责，但这些附加的任务或职责不得削弱其确保公正性的基本作用。6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件，并由认证机构最高管理层批准，以确保：a）各方利益均衡，以使任一利益方不处于支配地位认证机构的内部或外部人员视为一个利益方，且不应居支配地位）；b）获取所有必要的信息，使其能够履行自己的职能（见2.2和5.3.2）；c）如果认证机构最高管理层不尊重委员会的建议委员会应有权采取独立措施如报告主管部门、认可机构或利益相关方）。采取独立措施时，委员会应尊重5中与客户和认证机构相关的保密要求。可能或非6.2.3虽然该委员会不能代表所有利益方，但是认证机构宜识别和邀请关键利益方。这些利益方包括：认证机构的客户，获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，政府组织（包括消费者组织）的代表。7资源要求7.1管理层和人员的能力7.1.1总体考虑认证机构应有过程来确保其人员对其运作涉及的管理体系类型和地域有适宜的相关知识。认证机构应确定与特定认证方案相关的每个技术领域所需的能以及认证活动的每项职能所需的能力。认证机构应确定在履行特定职能前证实能力的方法。7.1.2能力准则的确定认证机构应有形成文件的过程，以确定参与管理和实施审核与认证的人员的能力准则。应就每类管理体系标准或规范的要求，为每个技术领域，并为认证过程中的每项职能确定能力准则（知识/技能点描述出来）。该过程的输出应为所要求的知识和技能的形成文件的准则，这些知识和技能是有效地实施为实现预期结果而要完成的审核与认证任务所必需的。附录A规定了认证机构应为特定职能定义的知识和技能。如果已经为特定的认证方案建立了附加的特定能力准则，例如ISO/TS2203（食品安全管理体系），这些附加的特定能力准则应得到应用。注：术语“技术领域”的应用方式可以根据所考虑的管理体系标准而不同。对于任何管理体系，该术语都与管理体系标准范围内的产品和过程有关。技术领域可由特定认证方案（例如ISO/TS22003）定义；或者可以由认证机构定义。下面给出了术语“技术领域”在不同类型管理体系中的应用实例：——对于质量管理体系标准，术语“技术领域”与满足顾客对组织的产品和服务的期望以及适用于组织的产品和服务的法律法规要求所需的过程有关。一产品'服务'法规——对于环境管理体系标准，术语“技术领域”与影响空气、水、土壤、自然资源、植物、动物和人类的环境因素涉及的活动、产品和服务类别有关。——对于供应链安全管理体系标准，术语“技术领域”与供应的安全风险涉及的过程有关，例如运输、仓储和信息。——对于信息安全管理体系标准，除了别的，术语“技术领域”与选择充分且适当的保护信息资产的安全控制措施所涉及的信息安全技术与实践、信息和通信技术和业务活动的类别有关。7.1.3评价过程认证机构应有形成文件的过程，以应用所确定的能力准则，对所有参与管理和实施审核与认证的人员进行初始能力评价，并持续监视其能力和表现。认证机构应证实其评价方法是有效的。这些过程的输出应为识别出那些经证实具有审核和认证过程不同职能所要求的能力水平的人员。注：附录B介绍了一些可用于知识和技能评价的评价方法。7.1.4其他考虑（译注：ISO/IEC17021:2006条款7.1.2）认证机构在确定认证实施人员的能力要求时，除了那些直接实施审核与认证活动的人员，还应考虑管理层和行政人员所承担的职能。（译注：ISO/IEC17021:2006条款7.1.3）认证机构应有获取必要的专业知识与技能的途径，以在其运作涉及的技术领域管理体系类型和地域等方面获得与认证直接相关的建议这些建议可由外部人员或认证机构人员提供。7.2参与认证活动的人员7.2.1认证机构自身应有具备足够能力对其各种类型与范围的审核方案以及其他认证工作进行管理的人员。7.2.2认证机构应聘用或有途径获得足够数量的审核员（包括审核组长）和技术专家，以覆盖其所有活动并满足审核工作量的需要。7.2.3认证机构应使所有有关人员清楚自己的任务、责任和权力。7.2.4认证机构应有明确的过程来选择、培训、正式任用审核员和选择认证活动使用的技术专家。审核员的初始能力评价应包括对适用的个人素质及在审核中应用所需知识与技能的本领的证实用的个人素质及在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中^个虱素质-技能\所期望的个人行为注：在上述的选择和培训过程中可以考虑所期望的个人行为。所期望的个人行为是影响一个人实施特定职能的能力的特性。因此，个人行为方面的知识使认证机构能够利用人员的强项并使其弱点的影响最小化。附录D介绍了对认证活动参与人员重要的所期望的个人行为。7.2.5认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。认证机构应在根B/T19011相关指南制定的文件要求中明确该过程。7.2.6认证机构应确保审核员（需要时，包括技术专家）充分了解其审核过程、认证要求和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。7.2.7认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。注：为特定审核组指派审核员和技术专家的要求见1.3。有机7.2.8认证机构应识别培训需求，并向审核员、技术专家和其他参与认证活动的人员提供或使其会参加特定的培训，以确保他们胜任所从事的工作。标准7.2.9做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应理解适用的和认证要求，并经证实有能力评价审核过程和审核组的推荐意见。7.2.10认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现证机构应有形成文件的程序和准则，以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现证机构尤其应根据人员的表现来复核他们的能力，以识别培训需求。7.2.11形成文件的审核员监视程序应把现场见证审核报告复核及客户或市场反馈相结合认证机构应在根据GB/T19011相关指南制定的文件要求中详细说明该程序。在设计监视方式时，应使正常认证过程所受干扰最小（尤其是从客户角度来看）。7.2.12认证机构应定期对每位审核员的表现进行现场见证证场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。7.3外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构适用的政策和程序。该协议应含有关于保密及独立于商业和其他利益的条款，要求外部审核员和外部技术专家向认证机说明现在或以前与可能派其审核的组织的关系证注：依据上述协议使用单个审核员和技术专家不构成5所述的外包。7.4人员记录认证机构应保持人员（包括认证活动实施人员、管理人员和行政人员）的最新记录，包括相关的资格、培训、经历、隶属关系、专业状况、能力以及可能提供过的任何相关咨询服务的记录。7.5外包7.5.1认证机构应说明可以进行外包（即向另一个组织分包，由其代表认证机构提供部分认证服务）的条件。认证机构应与每个承担外包服务的机构就相关安排包括保密和利益冲突签订在法律上具有强制实施力的协议。注1：这里可以包括外包给其他认证机构的情况。依据合同使用审核员和技术专家.见。注2：本国际标准中，“外包”与“分包”视为同义词。7.5.2授予、保持、更新、扩大、缩小、暂停或撤消认证的决定不应外包。7.5.3认证机构应：a）对外包给另一机构的所有活动负责；b）确保外包服务承担机构及其使用的人员符合认证机构的要求和本国际标准的适用要求括能力、公正性和保密；c）确保外包服务承担机构及其使用的人员与拟审核的组织没有可能损害公正性的关无论是直接的还是通过任何其他雇主发生的关系）。视，认证7.5.4认证机构应有形成文件的程序，以对认证活动的所有外包服务承担机构进行资格审查和监且应确保其审核员和技术专家的能力记录得到保持。8信息要求8.1可公开获取的信息8.1.1认证机构应保持对其用于授予、保持、扩大、更新、缩小、暂停或撤消认证的审核过程和过程做出说明的信息，及其运作涉及的认证活动、管理体系类型和地域的信息，并使这些信息可公开获取，或在有请求时提供这些信息。8.1.2认证机构向客户或市场提供的信息（包括广告）应准确且不使人产生误解。8.1.3认证机构应使授予、暂停或撤消认证的信息可公开获取。8.1.4当任何一方提出请求时，认证机构应提供确认某一认证是否有效的方法。注1：如果信息分散在多个来源（如印刷文件或电子文档，或两者结合），可以通过一个系统（如唯一性编码系统或互联网上的超级链接）来确保不同来源之间的可追溯性和明确一致性。注2：在特殊情况下，可以根据客户的请求（如出于安全原因）对某些信息的公开程度做出限制。8.2认证文件8.2.1认证机构应以其选择的任何方式向获证客户提供认证文件。8.2.2认证文件的生效日期不应早于认证决定的日期。8.2.3认证文件应标明：a）每个获证客户的名称和地理位置（或多场所认证范围内总部和所有场所的地理位置）；b）授予、扩大或更新认证的日期；c）认证有效期或与认证周期一致的应进行再认证的日期；d）唯一的识别代码；e）审核获证客户时所用的标准和（或）其他规范性文件，包括版次和（或）修订号；f）与产品（包括服务）、过程等相关的认证范围，适用时，包括每个场所相应的认证范围；或含g）认证机构的名称、地址和认证标志；可以使用其他标识（如认可标识），但不能产生误导混不清；h）认证用标准和（或）其他规范性文件所要求的任何其他信息；i）在颁发经过修改的认证文件时，区分新文件与任何已作废文件的方法。8.3获证客户目录认证机构应以其选择的任何方式保持有效认证的目录，使其可公开获取，或在有请求时提供该目录。该目录应至少说明每个获证客户的名称相关的规范性文件、认证范围和地理位置如国家和城市）或多场所认证范围内总部和所有场所的地理位置。注：该目录是认证机构的专有资产。8.4认证资格的引用和标志的使用8.4.1认证机构对其授权获证客户使用的任何标志应有管理政策。该政策应确保可以从标志追溯到认证机构。标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧标志不应用于产品或消费者所见的产品包装之上，或以任何其他可解释为表示产品符合性的方式使用。注：GB/T27030-2006提供了对使用第三方标志的要求。8.4.2认证机构不应允许其标志被用于实验室检测、校准或检查的报告，这里将此类报告视为产品。8.4.3认证机构应要求客户组织：a）在传播媒介（如互联网、宣传册或广告）或其他文件中引用认证状态时，应符合认证机构的要求；b）不做出或不允许有关于其认证资格的误导性说明；c）不以或不允许以误导性方式使用认证文件或其任何部分；d)e)f)g)h)在其认证被暂停或撤消时，按照认证机构的指令立即停止使用所有引用认证资格的广告（见9.6.3和9.6.6）；在认证范围被缩小时，修改所有的广告材料；不允许在引用其管理体系认证资格时，暗示认证机构对产品（包括服务）或过程进行了认证;不得暗示认证适用于认证范围以外的活动；在使用认证资格时，不得使认证机构和（或）认证 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 声誉受损，失去公众信任。材料或审8.4.4认证机构应正确地控制其所有权，并采取措施处理认证状态的错误引用或认证文件、标志核报告的误导性使用。注：此类措施可以包括要求纠正或采取纠正措施、暂停认证、撤消认证、公告违规行为以及必要的法律措施。8.5保密8.5.1认证机构应具有政策和相关安排，以确保其各个层次（包括代表其活动的委员会、外部机个人）对从事认证活动时获得或产生的保密信息予以保密并通过在法律上具有强制实施力的协议落实上述政策和安排。8.5.2认证机构应将其拟对公众公开的信息提前告知客户。所有其他信息均应视为保密信息，客己公开的信息除外。8.5.3除本国际标准有要求外，关于特定客户或个人的信息，未经其书面同意，不应向第三方披当法律要求认证机构向第三方提供保密信息时除法律限制外，认证机构应将拟提供的信息提前通知有关客户或个人。8.5.4从其他来源（如投诉人、监管机构）获得的关于客户的信息应根据认证机构的政策按保密处理。8.5.5认证机构的人员，包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个应对从事认证机构的活动时获得或产生的所有信息予以保密。8.5.6认证机构应能获得确保保密信息（如文件、记录）的安全处理的设备和设施，并使用这些和设施。8.5.7认证机构向其他机构（如认可机构、建立在同行评审基础上的协议集团）公开保密信息时将这一行动通知其客户。8.6认证机构与其客户间的信息交换8.6.1认证过程和要求的信息认证机构应向客户提供并为其更新以下信息：a）对认证活动整个过程的详细说明，包括申请、初次审核、监督审核和授予、保持、缩小、t构或户自露。信息人，设备，应广大、暂停、撤消认证以及再认证的过程；b)c)d)认证依据的规范性要求；申请、初次认证和保持认证资格所需费用的信息；认证机构对拟接受审核的客户的要求：1）遵守认证要求；2）为实施审核做出所有必要的安排，包括在初次认证、监督、再认证和解决投诉时，为检查文件和接触所有过程与区域、记录及人员提供条件；3）适用时，为接纳到场的观察员（如认可评审员或实习审核员）提供条件。e）对获证客户根据8.4的要求在各类沟通中引用认证资格时的权利和责任（包括要求）予以说明的文件；f）投诉和申诉处理程序的信息。8.6.2认证机构的变更通知认证机构应以适当方式将其认证要求的任何变更通知获证客认证机构应验证每个获证客户符合新的要求。注：为确保实施这些要求，认证机构可能需要与获证客户在合同中做出安排。有关认证资格使用许可协议的范本，包括变更通知的相关方面，现SO/IEC指南28:2004附录E的适用内容。8.6.3客户的变更通知认证机构应做出在法律上具有强制实施力的安椒确保获证客户即时将可能影响管理体系持续足认证标准要求的能力的事宜通知认证机构，包括（但不限于）与下列方面有关的变更：a）法律地位、经营状况、组织状态或所有权；b）组织和管理层（如关键的管理、决策或技术人员）；c）联系地址和场所；d）获证管理体系覆盖的运作范围；e）管理体系和过程的重大变更。注：有关认证资格使用许可协议的范本，包括变更通知的相关方面，项D/IEG指南28:2004附录E的适用内容。9过程要求9.1通用要求9.1.1审核方案9.1.1.1应制定整个认证周期的审核方案，以清晰地确定证实客户的管理体系满足依据所选标准或其他规范文件的认证的要求所需的审核活动。（译注:ISO/IEC17021:2006条款9.1.1第1-3句）审核方案应包括两阶段初次审核、第一年与第二年的监督审核和第三年在认证到期前进行的再认证审三年的认证周期从初次认证或再认证决定算起。审核方案的确定和任何后续调整应考虑客户组织的规撤管理体系、产品和过程的范围与复杂程度，以及经过证实的管理体系有效性水平和以前审核的结果。注1：附录E提供了一个典型的第三方审核与认证过程的流程图。注2：附录F列举了建立或修改审核方案时可能需要考虑的附加因素。（译注：ISO/IEC17021:2006条款9.1.1第4句）如果认证机构考虑客户已获的认证或接受的其他审核，则应收集充足的、可验证的信息，以证明对审核方案的任何调整的合理性，并予以记录。9.1.2审核计划总则（译注：ISO/IEC17021:2006条款9.1.2）认证机构应确保为k核方案中确定的每次审核编制审核计划，以便为有关各方就审核活动的日程安排和实施达成一致提供依据。审核计划应基于认证机构根据ISO19011相关指南制定的文件要求。9.1.2.2确定审核目标、范围和准则9.1.2.2.1审核目标应由认证机构确定。审核范围和准则，包括任何更改，应由认证机构在与客户商讨后确定。9.1.2.2.2审核目标应说明审核要完成什么，并应包括下列内容：a）确定客户管理体系或其部分与审核准则的符合性；b）评价管理体系确保客户组织满足适用的法律、法规及合同要求的能力；注：管理体系认证审核不是合规性审核。c）评价管理体系确保客户组织持续实现其规定目标的有效性；d）适用时，识别管理体系的潜在改进区域。9.1.2.2.3审核范围应说明审核的区域和边界，例如拟审核的实际场所、组织单元、活动及过程。当初次认证或再认证过程包含一次以上审核（例如覆盖不同场所的审核）时，单次审核的范围可能并不覆盖整个认证范围，但所有审核的整体应与认证文件中的范围一致。注：附录F列举了在确定或修改审核范围时可以考虑的附加因素。9.1.2.2.4审核准则应被用作确定符合性的基准，并应包括：——所确定的管理体系规范性文件的要求；——所确定的由客户制定的管理体系的过程和文件。9.1.2.3编制审核计划9.1.2.3.1审核计划应与审核目标和范围相适应。审核计划至少应包括或引用：a）审核目标；b）审核准则；c）审核范围，包括识别拟审核的组织和职能单元或过程；d）拟实施现场审核活动（适用时，包括对临时场所的访问）的日期和场所；e）现场审核活动预期的时间和持续时间；f）审核组成员及陪同人员的角色和职责。注1：审核计划的信息可以包含在一个以上的文件中。注2：附录F列举了编制或修改审核计划时可以考虑的附加因素。9.1.3选择和指派审核组（译注：ISO/IEC17021:2006条款9.1.3）认证机构应有根据实现审核目标所需的能力来选择和任命审核组（包括审核组长）的过程。该过程应基于认证机构根1O19011相关指南制定的文件要求。如果仅有一名审核员，该审核员应有能力履行适用于该审核的审核组长职责。9.1.3.2决定审核组的规模和组成时，应考虑下列因素：a）审核目标、范围、准则和估计的审核时间；b）是否是结合、一体化或联合审核；c）实现审核目标所需的审核组整体能力；d）认证要求（包括任何适用的法律、法规或合同要求）；e）语言和文化；f）审核组成员以前是否审核过该客户的管理体系。9.1.3.3审核组长和审核员所需的知识和技能可以通过技术专家和翻译人员补充。技术专家和翻译人员应在审核员的指导下工作。使用翻译人员时，翻译人员的选择方式要避免他们对审核产生不正当影响。注：技术专家的选择准则根据审核组和审核范围的需要，在具体情况具体分析的基础上确定。9.1.3.4实习审核员可以参加审核组，但要指派一名审核员作为评价人员。评价人员应有能力接管实习审核员的任务，并对实习审核员的活动和发现负最终责任。9.1.3.5审核组长在征求审核组意见后，应向每个审核组成员分配对特定过程、职能、场所、区域或活动实施审核的职责。该分配应考虑能力需求，有效和高效地使用审核组，以及审核员、实习审核员和技术专家的不同角色和职责。在审核过程中，为确保实现审核目标，可以改变工作分配。9.1.4确定审核时间（译注：ISO/IEC17021:2006条款9.1.4）认证机构应有形成文件的确定审核时间的程序，并针对每个客户确定策划和完成对其管理体系的完整有效审核所需的时间证机构应记录所确定的时间及其合理性。在确定审核时间时，认证机构应考虑（但不限于）以下方面：a）相关管理体系标准的要求；b）规模和复杂程度；c）技术和法规环境；d）管理体系范围内活动的分包情况；e）以前审核的结果；f）场所的数量和对多场所的考虑；g）与组织的产品、过程或活动相关联的风险；h）是否是结合审核、联合审核或一体化审核。在已为特定的认证方案确定了特定的准则时，例如ISO/TS22003或ISO/IEC27006，这些特定准则应得到采用。9.1.4.2未被指派为审核员的审核组成员（即技术专家、翻译人员、观察员和实习审核员）所花费的时间不应计入上面所确定的审核时间。注：使用翻译人员可能需要增加审核时间。9.1.5多场所的抽样当客户管理体系包含在多个地点进行的相同活动时如果认证机构在审核中使用多场所抽样则应制定抽样方案以确保对该管理体系的正确审核。认证机构应针对每个客户将抽样计划的合理性形成文件。9.1.6审核组任务的沟通认证机构应明确说明审核组的任务，并告知客户组织。认证机构应要求审核组：a）检查和验证客户组织与管理体系相关的结构、方针、过程、程序、记录及相关文件；b）确定上述方面满足与拟认证范围相关的所有要求；c）确定客户组织有效地建立、实施并保持了管理体系过程和程序，以便为建立对客户管理体系的信任提供基础；d）告知客户其方针、目标及指标（与相关管理体系标准或其他规范性文件的期望一致）与结果之间的任何不一致，以使其采取措施。9.1.7审核组成员信息的通报认证机构应向客户提供审核组每位成员的姓名，并在客户请求时使其能够了解每位成员的背景情况。认证机构应留出足够的时间以使客户组织能够对某一审核员或技术专家的任命表示反对并在反对有效时使认证机构能够重组审核组。9.1.8审核计划的沟通认证机构应提前与客户组织就审核计划进行沟通，并商定审核日期。9.1.9实施现场审核总则（译注：ISO/IEC17021:2006条款9.1.9）认证机构应有实施现场审核的过程。该过程应在认证机构根据ISO19011相关指南制定的文件要求中予以明确该过程应包括审核开始时的首次会议和审核结束时的末次会议。注+：除了访问有形场所（如工厂）外，“现场”还可以包括远程访问包含管理体系审核相关信息的电子化场所。注2.ISO19011中的术语“受审核方”指被审核的组织。9.1.9.2召开首次会议应与客户的管理层（适用时，还包括拟审核职能或过程的负责人员）召开正式的首次会议，并记录参加人员。首次会议通常应由审核组长主持，会议目的是简要解释将如何进行审核活动，并应包括下列要素。详略程度应与对审核过程的熟悉程度相一致：a）介绍参会人员，包括简要介绍其角色；b）确认认证范围；c）确认审核计划（包括审核的类型、范围、目标和准则）及其任何变化，以及与客户的其他相关安排，例如末次会议的日期和时间，审核期间审核组与客户管理层的会议的日期和时间；d）确认审核组与客户之间的正式沟通渠道；e）确认审核组所需的资源和设施可用；f）确认与保密有关的事宜；g）确认适用于审核组的相关的安全生产、应急和安保程序；h）确认向导和观察员的可用性、角色和身份；i）报告的方法，包括审核发现的任何分级；j）说明可能提前终止审核的条件；k）确认审核组长和审核组代表认证机构，对审核负责，并应控制审核计划（包括审核活动和审核路径）的执行；l）适用时，确认上一次审查或审核的发现的状态；m）拟用于实施基于抽样的审核的方法和程序；n）确认审核中拟使用的语言；o）确认在审核中将使客户保持对审核进展及任何关注的了解；p）让客户提问的机会。9.1.9.3审核中的沟通9.1.9.3.1在审核中，审核组应定期评估审核的进展，并沟通信息。审核组长应在需要时在审核组成员之间重新分配工作，并定期将审核进展及任何关注告知客户。9.1.9.3.2当可获得的审核证据显示审核目标无法实现，或显示存在紧急和重大的风险（例如安全风险）时，审核组长应向客户（如果可能还应向认证机构）报告这一情况，以确定适当的行动。该行动可以包括重新确认或修改审核计划，改变审核目标或审核范围，或者终止审核。审核组长应向认证机构报告所采取行动的结果。9.1.9.3.3如果在现场审核活动的进行中发现需要改变审核范围，审核组长应与客户审查该需要，并报告认证机构。9.1.9.4观察员和向导观察员认证机构与客户应在实施审核前就审核活动中观察员的到场及理由达成一致。认证机构应确保观察员不影响或不干扰审核过程或审核结果。注：观察员可以是客户组织的成员、咨询人员、实施见证的认可机构人员、监管人员或其他有合理理由的人员。向导9.1.9.4.2.1每个审核员应由一名向导陪同，除非审核组长与客户另行达成一致。为审核组配备向导是为了方便审核。审核组应确保向导不影响或干扰审核过程或审核结果。注：向导的职责可以包括：a）为面谈建立联系或安排时间；b）安排对现场或组织的特定部分的访问；c）确保审核组成员知道并遵守关于现场安全和安保程序的规则；d）代表客户观察审核；e）应审核员请求提供澄清或信息。9.1.9.5收集和验证信息9.1.9.5.1在审核中应通过适当的抽样来收集与审核目标、范围和准则相关的信息（包括与职能、活动和过程之间的接口有关的信息），并对这些信息进行验证，使之成为审核证据。9.1.9.5.2信息收集方法应包括（但不限于）：a）面谈；b）对过程和活动进行观察；c）审查文件和记录。9.1.9.6确定和记录审核发现9.1.9.6.1应记录和报告对符合性进行概述并对不符合做出详细描述的审核发现以及为其提供支持的审核证据，以便能够作出知情的认证决定或保持认证。一有根据的决定9.1.9.6.2可以识别和记录改进机会，除非某一管理体系认证方案的要求禁止这样做。但是按照9.1.15.b）和。）属于不符合的审核发现不应作为改进机会予以报告。9.1.9.6.3关于不符合的审核发现应对照审核准则的具体要求予以记录，包含对不符合的清晰陈述，并详细标识不符合所基于的客观证据。应与客户讨论不符合，以确保证据准确且不符合得到理解。但是，审核员应避免提示不符合的原因或解决方法。注：与9.1.15.b）所述情况一致的不符合可被划为严重不符合，其他不符合（9.1.15.C））可被划为轻微不符合。9.1.9.6.4审核组长应尝试解决审核组与客户之间关于审核证据或发现的任何分歧意见，未解决的分歧点应予以记录。9.1.9.7准备审核结论在末次会议前，审核组应:a）对照审核目标审查审核发现和审核中收集的任何其他适用的信息；b）在考虑审核过程中内在的不确定性的基础上，就审核结论达成一致；c）确定任何必要的跟踪活动；d）确认审核方案的适宜性，或识别任何所需要的修改（例如范围、审核时间或日期、监督频次、能力）。9.1.9.8召开末次会议9.1.9.8.1应与客户的管理层（适用时，还包括所审核的职能或过程的负责人员）召开正式的末次会议，并记录参加人员。末次会议通常应由审核组长主持，会议目的是提出审核结论，包括关于认证资格的推荐性意见。不符合应以使其被理解的方式提出，并应就回应的时间框架达成一致。注：“被理解”不一定意谓着客户巳经接受了不符合。9.1.9.8.2末次会议还应包括下列要素。详略程度应与客户对审核过程的熟悉程度一致：a）向客户说明所收集的审核证据基于对信息的抽样，因而会有一定的不确定性；b）进行报告的方法和时间框架，包括审核发现的任何分级；c）认证机构处理不符合（包括与客户认证资格有关的任何结果）的过程；d）客户为审核中发现的任何不符合的纠正和纠正措施提出计划的时间框架；e）认证机构在审核后的活动；f）说明投诉处理过程和申诉过程。9.1.9.8.3客户应有机会提出问题。审核组与客户之间关于审核发现或结论的任何分歧意见应得到讨论并尽可能获得解决。任何未解决的分歧意见应予以记录并提交认证机构。9.1.10审核报告9.1.10.1（译注：ISO/IEC17021:2006条款9.1.10）认证机构应为每次审核提供书面报告。报告应基于ISO19011的相关指南。审核组可以识别改进机会，但不应提出具体解决办法的建议。认证机构应享有对审核报告的所有权。9.1.10.2审核组长应确保审核报告得到编制，并应对审核报告的内容负责。审核报告应提供对审核的准确、简明和清晰的记录，以便能够做出知情的认证决定，并应包括或引用下列内容：a）标识出认证机构；b）客户及其管理者代表的名称/姓名和地址；一职业管代c）审核的类型（例如初次、监督或再认证审核）；d）审核准则；e）审核目标；f）审核范围，特别是标识出所审核的组织或职能单元或过程，以及审核时间；g）标识出审核组长、审核组成员及任何陪同人员；h）（现场或非现场）审核活动的实施日期和地点；i）与审核要求一致的审核证据、发现和结论；j）如已识别出时，任何未解决的问题。9.1.11不符合的原因分析对于审核中发现的不符合认证机构应要求客户在规定期限内分析原因并说明为消除不符合已采取或拟采取的具体纠正和纠正措施。9.1.12纠正和纠正措施的有效性认证机构应审查客户提交的纠正和纠正措施以确定其是否可被接受认证机构应验证所采取的任何纠正和纠正措施的有效性。所取得的为不符合的解决提供支持的证据应予以记录。对不符合的解决进行审查和验证的证据应予以记录。应将审查和验证的结果告知客户。注：可以基于审查客户提供的文件，或在必要时通过现场