CNAS-CC01-2011 管理体系认证机构要求.pdf

资源描述

1、 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 CNAS-CC01 管理体系认证机构要求 Requirements for bodies providing audit and certification of management systems 中国合格评定国家认可委员会 CNAS-CC01 ：2011 第 1 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施目次前言 3 引言 4 1 范围 5 2 规范性引用文件 . 5 3 术语和定义 5 4 原则 6 4.1 总则 6 4.2 公正性 . 7 4.3

2、能力 7 4.4 责任 7 4.5 公开性 . 8 4.6 保密性 . 8 4.7 对投诉的回应 8 5 通用要求 . 8 5.1 法律与合同事宜 8 5.2 公正性的管理 9 5.3 责任和财力 10 6 结构要求 . 10 6.1 组织结构和最高管理层 10 6.2 维护公正性的委员会 11 7 资源要求 11 7.1 管理层和人员的能力 11 7.2 参与认证活动的人员 . 12 7.3 外部审核员和外部技术专家的使用 13 7.4 人员记录 . 13 7.5 外包 14 8 信息要求 . 14 8.1 可公开获取的信息 . 14 8.2 认证文件 . 14 8.3 获证客户

3、目录 15 8.4 认证资格的引用和标志的使用 . 15 8.5 保密 16 8.6 认证机构与其客户间的信息交换 . 16 9 过程要求 . 17 9.1 通用要求 . 17 9.2 初次审核与认证 24 9.3 监督活动 . 26 9.4 再认证 . 27 CNAS-CC01 ：2011 第 2 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 9.5 特殊审核 . 28 9.6 暂停、撤销或缩小认证范围 . 28 9.7 申诉 29 9.8 投诉 29 9.9 申请组织和客户的记录 30 10 认证机构的管理体系要求 30 10.1

4、可选方式 . 30 10.2 方式一：与 GB/T 19001 一致的管理体系要求 . 30 10.3 方式二：通用的管理体系要求 . 31 附录 A ( 规范性附录) 所要求的知识和技能 . 34 附录 B ( 资料性附录) 可能的评价方法 . 35 附录 C ( 资料性附录) 能力确定和保持过程的示例 37 附录 D ( 资料性附录) 期望的个人行为 38 附录 E ( 资料性附录) 第三方审核和认证过程 39 附录 F ( 资料性附录) 审核方案、范围和计划的考虑事项 40 参考文献 . 41 CNAS-CC01 ：2011 第 3 页共 41 页 2011 年 02 月 1

5、5 日发布 2011 年 07 月 01 日实施前言本文件等同采用国际标准ISO/IEC 17021：2011 合格评定管理体系审核认证机构的要求。本文件是CNAS对管理体系认证机构的基本认可准则，并与其他适用的CNAS 专用认可准则以及认可方案的相应部分共同构成对特定管理体系认证机构的认可准则。为了便于使用，本文件对ISO/IEC 17021:2011采用转化中做了下列编辑性修改： 1) 用“获证客户”替代 4.1.2 b ）中“管理体系获得认证的组织” （the organizations whose management systems are certified）；

6、 2) 用“获证客户”替代 6.2.3 中“管理体系获得认证的组织” （organizations whose management systems are certified）； 3) 用 “获证客户” 替代 8.2.3 a）中 “管理体系获得认证的客户” (client whose management system is certified)。 4) 用“本文件”替代“本国际标准” （this International Standard）本文件代替CNAS-CC01：2007管理体系认证机构要求，主要修订内容包括： 1）删除将GB/T 19011-2003（ISO 19011:

7、2002 idt）作为要求内容的引用； 2）第3章增加了“第三方认证机构”等6项术语和定义； 3）将6.2.2条中“并由认证机构最高管理层批准，”，修正为“授权”； 4）第7章“资源要求”中增加了“确定能力准则”、“评价过程”等要求内容； 5）对 “9.1通用要求” 中 “审核方案” 、 “审核计划” 、 “选择和指派审核组” 、 “确定审核时间”、“ 实施现场审核 ”、“审核报告”、“ 纠正和纠正措施的有效性”等增加要求内容； 6）对“9.2申请评审”增加要求内容； 7）删除第10.2.5条； 8）增加了附录A-F六个附录，其中附录A为规范性附录，附录B-F为资料

8、性附录。 CNAS-CC01 ：2011 第 4 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施引言管理体系认证（如对组织的质量或环境管理体系的认证）是对组织已实施了与其方针一致、用以管理其活动相关方面的体系提供保证的一种方法。本文件规定了对认证机构的要求。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证，以促进国际和国内承认这些机构并接受它们的认证。本文件为促进对管理体系认证的承认提供了基础，这种承认有利于国际贸易。管理体系认证是独立地证明组织的管理体系： a）符合规定要求； b）能够自始至终实现其

9、声明的方针和目标； c）得到有效实施。因此，诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。本文件第4章阐述了可信的认证所依据的原则。这些原则有助于读者理解认证的本质属性，并为第5章至第10章做了必要的铺垫。这些原则构成了本文件所有要求的基础，但其本身并不是可供评审的要求。第10章为认证机构通过建立管理体系来保障和证实其始终满足本文件要求提供了两种可供选择的途径。本文件旨在供实施管理体系审核和认证的机构使用。它对从事质量、环境及其他管理体系审核和认证的机构提出了通用要求。本文件将这类机构称为认证机构

10、。这一用语不妨碍那些有着其他名称、但从事本文件范围内活动的机构使用本文件。认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。本文件包含GB/T 27021-2007 （ISO/IEC 17021:2006 IDT ）的文本，但删除了其中对GB/T 19011-2003(ISO 19011:2002 IDT)的相关引用，增加了对第三方认证审核和认证人员能力管理的具体要求。管理体系认证的重要利益相关方，例如工业界的相关方，感到缺少针对审核员能力及审核员管理与使用方式的要求是一个不

11、足，因此，有必要针对管理体系（例如质量管理体系、环境管理体系或食品安全管理体系）第三方审核员制定具体和公认的要求，以满足市场需求。本文件对管理体系审核提供了一系列通用要求，旨在由具备能力的审核组，在具有充分、适宜资源的情况下，遵循一致的过程对适用的认证要求的符合性进行可靠的确定，并以一致的方式报告结果。本文件适用于各种类型管理体系的审核与认证。为实现利益相关方的期望，可能需要对其中一些要求，特别是那些关于审核员能力的要求补充附加准则。在本文件中，“应”表示要求，“宜”表示建议。 CNAS-CC01 ：2011 第 5 页共 41 页 2011 年 02

12、月 15 日发布 2011 年 07 月 01 日实施管理体系认证机构要求 1 范围本文件包含了所有类型管理体系（如质量管理体系或环境管理体系）审核与认证的能力、一致性和公正性的原则与要求，以及提供上述活动的机构所遵循的原则与要求。按照本文件运作的认证机构不必提供所有类型的管理体系认证。管理体系认证（本文件中称为“ 认证”）是一种第三方合格评定活动（见GB/T 27000 的5.5）。因此，实施这种活动的机构是第三方合格评定机构（本文件中称为“ 认证机构” ）。注1：管理体系认证有时也称为“注册”，认证机构有时称为“注册机构”。注2：认证机构可以是非政府的

13、或政府的（具有或不具有法定权力）。注3：本文件可作为认可、同行评审或其他审核过程的准则文件。 2 规范性引用文件下列引用文件对本文件的应用是必不可少的。凡是注日期的引用，仅所引用的版本适用。凡是不注日期的引用，所引用文件的最新版本（包括任何修改单）适用。 GB/T 19000-2008质量管理体系基础和术语（ISO 9000:2005 IDT ） GB/T 27000-2006 合格评定词汇和通用原则（ ISO/IEC 17000:2004 IDT ） 3 术语和定义 GB/T 19000 和GB/T 27000 中给出的术语和定义以及下列术语和定义适用于

14、本文件。 3.1 获证客户 certified client 管理体系已获认证的组织 3.2 公正性 impartiality 实际存在的并被认识到的客观性注1：客观性意味着利益冲突不存在或已解决，不会对认证机构的后续活动产生不利影响；注2：其他可用于表示公正性的要素的术语有：客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。 3.3 管理体系咨询 management system consultancy 参与设计、实施或保持管理体系示例：筹划或编制手册或程序； CNAS-CC01 ：2011 第 6 页共 41 页 2011 年

15、 02 月 15 日发布 2011 年 07 月 01 日实施对管理体系的建立和实施提供具体的建议、指导或解决方案。注：如果与管理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息，那么组织培训并作为培训者参与培训不被视为咨询，即培训者不宜针对特定的公司提出解决方案。 3.4 第三方认证审核 third-party certification audit 由独立于客户和用户的审核组织实施的、对客户的管理体系进行以认证为目的的审核注1：在下面的定义中，第三方认证审核简称为“审核”。注2：第三方认证审核包括初次审核、监督审核和再认证审核，还可以包括特殊审核。

16、注3：第三方认证审核通常由依据管理体系标准要求提供符合性认证的认证机构的审核组实施。注4：两个或两个以上审核组织合作审核同一个客户，称作联合审核。注5：一个客户同时按照两个或两个以上管理体系标准的要求接受审核，称作结合审核。注6：一个客户已将两个或两个以上管理体系标准要求的应用整合在一个单一的管理体系中，并按照一个以上标准接受审核，称作一体化审核。 3.5 客户 client 其管理体系为认证目的接受审核的组织 3.6 审核员 auditor 实施审核的人 3.7 能力 competence 能够应用知识和技能实现预期结果的本领 3.8 向导 guide 客户指派的协助审核

17、组的人 3.9 观察员 observer 与审核组同行，但不实施审核的人 3.10 技术领域 technical area 以特定类型管理体系的相关过程的共性为特征的领域 4 原则 4.1 总则 4.1.1 本章所述原则是本文件中后续的特定绩效要求和说明性要求的基础。本文件未就所有可能发生的情况给出特定要求。在出现未预料到的情况时，宜应用这些原则作为决策的指南。这些原则不是要求。 CNAS-CC01 ：2011 第 7 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 4.1.2 认证的总体目标是使所有相关方相信管理体系满足

18、规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括（但不限于）： a) 认证机构的客户； b) 获证客户的顾客； c) 政府部门； d) 非政府组织； e) 消费者和其他公众。 4.1.3 建立信任的原则包括：公正性；能力；责任；公开性；保密性；对投诉的回应。 4.2 公正性 4.2.1 公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。 4.2.2 客户支付的认证费用是认证机构的收入来源，也是对公正性的潜在威胁，这一点得到公认。 4.2.3 认证机构根据其所获得的符合（或不符合）的客观

19、证据做出决定，且不受其他利益或其他各方的影响，对于获得和保持信任是必不可少的。 4.2.4 对公正性的威胁包括： a) 自身利益的威胁：此类威胁源于个人或机构依其自身利益行事。在认证中，财务方面的自身利益是一种对公正性的威胁。 b) 自我评审的威胁：此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。 c) 熟识（或信任）的威胁：此类威胁源于个人或机构对另外一人过于熟悉或信赖，而不去寻找审核证据。 d) 胁迫的威胁：此类威胁源于个人或机构察觉受

20、到公然或暗中的强迫，如威胁用他人取而代之或向主管告发。 4.3 能力认证机构的管理体系所支撑的人员能力是认证提供信任的必要条件。 4.4 责任 4.4.1 符合认证要求的责任在于客户组织而不是认证机构。 CNAS-CC01 ：2011 第 8 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 4.4.2 认证机构有责任对足够的客观证据进行评价，并在此基础上做出认证决定。根据审核结论，如果符合性的证据充分，认证机构做出授予认证的决定；如果符合性的证据不充分，则不授予认证。注：任何审核都是基于对组织管理体系的

21、抽样，因此并不保证管理体系100%符合要求。 4.5 公开性 4.5.1 为获得对认证的诚信性与可信性的信任，认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态（即认证的授予、保持、更新、扩大、缩小、暂停或撤销）的适当、及时信息的公开渠道，或公布这些信息。公开性是获得或公布适当信息的一项原则。 4.5.2 为获得或保持对认证的信任，认证机构宜向特定利益相关方提供获取特定审核（如为回应投诉而做的审核）结论的非保密信息的适当渠道，或公布这些信息。 4.6 保密性为了享有获取充分评价管理体系符合性所需信息的特权，认证机构对任

22、何关于客户的专有信息予以保密是必需的。 4.7 对投诉的回应依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信，在投诉经查明有效时，认证机构将对投诉进行适当的处理，并为解决投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时，对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性（包括对投诉的回应）等原则之间取得适当的平衡。 5 通用要求 5.1 法律与合同事宜 5.1.1 法律责任认证机构应为一个法律

23、实体，或一个法律实体内有明确界定的一部分，以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。 5.1.2 认证协议认证机构与客户之间应有在法律上具有强制实施力的提供认证服务的协议。此外，如果认证机构有多个办公场所或客户有多个场所，则应确保授予认证并颁发证书的认证机构与认证范围覆盖的所有场所之间有在法律上具有强制实施力的协议。 5.1.3 认证决定的责任 CNAS-CC01 ：2011 第 9 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施认证机构应对与认证有关的决定（包括

24、授予、保持、更新、扩大、缩小、暂停和撤销认证）负责，并应保持做出上述决定的权力。 5.2 公正性的管理 5.2.1 认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明，表明其理解公正性在实施管理体系认证活动中的重要性，对利益冲突加以管理，并确保其管理体系认证活动的客观性。 5.2.2 认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件，包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是，如果任何关系对公正性构成威胁，认证机构应将其如何消除或最大限度减小此类威胁形

25、成文件，并能予以证实。6.2 所指的委员会应能获得这方面的信息。所作的证实应包括所有已识别的潜在利益冲突来源，无论其产生于认证机构内部还是其他个人、机构或组织的活动。注：威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。 5.2.3 当某种关系对认证机构的公正性构成不可接受的威胁时（如认证机构的全资子公司向其申请认证），认证机构不应提供认证。注：见5.2.2注。 5.2.4 认证机构不应对另一认证机构的管理体系认证活动进行认证。注：见5.2.2注。 5.2

26、.5 认证机构及同一法律实体的任何其他部分不应提供或推荐管理体系咨询，也不应为管理体系咨询提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。 5.2.6 认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。如果认证机构对某个管理体系提供了内部审核，则不应在内部审核结束后两年内对该管理体系进行认证。本条款同样适用于政府中被识别为认证机构的那一部分。注：见5.2.2注。 5.2.7 如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁，而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核，则认证机构

27、不应对该管理体系进行认证。注1：在管理体系咨询结束后经过至少两年时间，是将对公正性威胁降至可接受水平的一种方式。注2：见5.2.2注。 5.2.8 认证机构不应将审核外包给管理体系咨询机构，因为这一做法将对认证机构的公正性构成不可接受的威胁（见7.5 ）。本条款不适用于7.3 所述的作为签约审核员的个人。 CNAS-CC01 ：2011 第 10 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 5.2.9 认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。如果任何咨询机构宣称或暗示选择某认证

28、机构将使认证更为简单、容易、迅速或廉价，则该认证机构应采取措施纠正这种不当表述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。 5.2.10 为确保没有利益冲突，参与了对客户管理体系咨询的人员（包括管理人员），在咨询结束后两年内，不应被认证机构用于针对该客户的审核或其他认证活动。 5.2.11 认证机构应采取措施，以应对其他人员、机构或组织的行为对其公正性产生的威胁。 5.2.12 认证机构所有可以影响认证活动的人员（内部或外部的）或委员会应公正行事，且不应允许商业、财务或其他方面的压力损害公正性。 5.2.13 认证机构应要求

29、内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁，且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。 5.3 责任和财力 5.3.1 认证机构应能证明已对认证活动引发的风险进行了评估，并对各个活动领域和运作地域的业务引发的责任作了充分的安排（如保险或储备金）。 5.3.2 认证机构应评估其财务状况和收入来源，并向6.2 所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。 6 结构要求 6.1 组织结构和最高管理层 6.1.1 认证机构

30、应将其组织结构形成文件，并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内有明确界定的一部分时，该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。 6.1.2 认证机构应确定对下列各项具有全部权力和责任的最高管理层（委员会、小组或个人）： a) 与认证机构运作有关的政策的制定； b) 政策和程序实施的监督； c) 认证机构财务的监督； d) 管理体系认证服务和认证方案的开发； e) 审核与认证的实施和对投诉的回应； f) 认证决定； g) 在需要时，授权委员会或个人代表最高管理层开展规定的活

31、动； h) 合同安排； CNAS-CC01 ：2011 第 11 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 i) 为认证活动提供充分的资源。 6.1.3 认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。 6.2 维护公正性的委员会 6.2.1 认证机构的结构应维护认证机构活动的公正性，并具有一个进行下列活动的委员会： a) 协助制定与认证活动公正性有关的政策； b) 阻止认证机构有任何倾向使商业因素或其他因素妨碍其一致地提供客观的认证活动； c) 对影响认证可信度的事宜（包括公开性和公众认识

32、）提出建议； d) 至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。该委员会也可被委以其他任务或职责，但这些附加的任务或职责不得削弱其确保公正性的基本作用。 6.2.2 该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件，并由认证机构最高管理层授权，以确保： a) 各方利益均衡，以使任一利益方不处于支配地位（认证机构的内部或外部人员视为一个利益方，且不应居支配地位）； b) 获取所有必要的信息，使其能够履行自己的职能（见5.2.2 和5.3.2）； c) 如果认证机构最高管理层不尊重委员会的建议，委员会应有权采取独立措施（如报告主管部

33、门、认可机构或利益相关方）。采取独立措施时，委员会应尊重8.5 中与客户和认证机构相关的保密要求。 6.2.3 虽然该委员会不能代表所有利益方，但是认证机构宜识别和邀请关键利益方。这些利益方可能包括：认证机构的客户，获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府组织（包括消费者组织）的代表。 7 资源要求 7.1 管理层和人员的能力 7.1.1 总体考虑认证机构应有过程来确保其人员对其运作涉及的管理体系类型和地域有适宜的相关知识。认证机构应确定与特定认证方案相关的每个技术领域所需的能力，以及认证活动的每项职

34、能所需的能力。认证机构应确定在履行特定职能前证实能力的方法。 7.1.2 能力准则的确定认证机构应有形成文件的过程，以确定参与管理和实施审核与认证人员的能力准则。应根据每类管理体系标准的要求，针对每个技术领域和认证过程中的每项职能确CNAS-CC01 ：2011 第 12 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施定能力准则。该过程的输出应是形成文件的所要求知识和技能的准则，这些知识和技能是有效地实施审核与认证任务以实现预期结果所必需的。附录A 明确了认证机构应为特定职能确定的知识和技能。如果已经为特定的认证方案建

35、立了附加的特定能力准则，例如ISO/TS 22003 （食品安全管理体系），这些附加的特定能力准则应得到应用。注：取决于不同的管理体系标准，术语“技术领域”的应用方式可以有所不同。对于任何管理体系，该术语都与管理体系标准范围内的产品和过程有关。技术领域可由特定认证方案（例如ISO/TS 22003）定义；或者可以由认证机构定义。下面给出了术语“技术领域”在不同类型管理体系中的应用实例：对于质量管理体系标准，术语“技术领域”与满足顾客对组织的产品和服务的期望以及适用于组织的产品和服务的法律法规要求所需的过程有关。对于环境管理体系标准，术语“技术领域”与影响空气、水、土壤

36、、自然资源、植物、动物和人类的环境因素涉及的活动、产品和服务类别有关。对于供应链安全管理体系标准，术语“技术领域”与供应的安全风险涉及的过程有关，例如运输、仓储和信息。对于信息安全管理体系标准，术语“技术领域”尤其与选择充分且适当的保护信息资产的安全控制措施所涉及的信息安全技术与实践、信息和通信技术和业务活动的类别有关。 7.1.3 评价过程认证机构应有形成文件的过程，以应用所确定的能力准则，对所有参与管理和实施审核与认证的人员进行初始能力评价，并持续监视其能力和绩效。这些过程的输出应是识别出有能力的人员，即被证实具有审核与认证过程不同职能所需的能力水平的人员。

37、注：附录B介绍了一些可用于知识和技能评价的评价方法。 7.1.4 其他考虑 7.1.4.1 认证机构在确定认证实施人员的能力要求时，除了那些直接实施审核与认证活动的人员，还应考虑管理层和行政人员所承担的职能。 7.1.4.2 认证机构应有获取必要的专业知识与技能的途径，以在其运作涉及的技术领域、管理体系类型和地域等方面获得与认证直接相关的建议。这些建议可由外部人员或认证机构人员提供。 7.2 参与认证活动的人员 7.2.1 认证机构自身应有具备足够能力对其各种类型与范围的审核方案以及其他认证工作进行管理的人员。 7.2.2 认证机构应聘用或有途径

38、获得足够数量的审核员（包括审核组长）和技术专家，以覆盖其所有活动并满足审核工作量的需要。 7.2.3 认证机构应使所有有关人员清楚自己的任务、责任和权力。 CNAS-CC01 ：2011 第 13 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 7.2.4 认证机构应有明确的过程来选择、培训、正式任用审核员和选择认证活动使用的技术专家。审核员的初始能力评价应包括在审核中应用所需知识与技能的本领的证实。在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中确定。注：在上述的选择和培训过程中可以考虑所

39、期望的个人行为。所期望的个人行为是影响一个人实施特定职能的能力的特性。对个人行为的了解能使认证机构能够发挥人员的强项并尽可能减小其弱点的影响。附录D介绍了所期望的个人行为，它们对参与认证活动的人员是重要的。 7.2.5 认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。 7.2.6 认证机构应确保审核员（需要时，包括技术专家）充分了解其审核过程、认证要求和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。 7.2

40、.7 认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。注：为特定审核组指派审核员和技术专家的要求见9.1.3。 7.2.8 认证机构应识别培训需求，并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训，以确保他们胜任所从事的工作。 7.2.9 做出授予、保持、更新、扩大、缩小、暂停或撤销认证等决定的小组或个人应理解适用的标准和认证要求，并经证实有能力评价审核过程和审核组的推荐意见。 7.2.10 认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。认证机构应有形成文件的程序和准则，以根

41、据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机构尤其应根据人员的表现来复核他们的能力，以识别培训需求。 7.2.11 形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合。认证机构应在文件要求中详细说明该程序。在设计监视方式时，应使正常认证过程所受干扰最小（尤其是从客户角度来看）。 7.2.12 认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。 7.3 外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机

42、构适用的政策和程序。该协议应含有关于保密及独立于商业和其他利益的条款，并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。注：依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。 7.4 人员记录 CNAS-CC01 ：2011 第 14 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施认证机构应保持人员（包括认证活动实施人员、管理人员和行政人员）的最新记录，包括相关的资格、培训、经历、隶属关系、专业状况、能力以及可能提供过的任何相关咨询服务的记录。 7.5 外包 7.5

43、.1 认证机构应说明可以进行外包（即向另一个组织分包，由其代表认证机构提供部分认证服务）的条件。认证机构应与每个承担外包服务的机构就相关安排（包括保密和利益冲突）签订在法律上具有强制实施力的协议。注1：这里可以包括外包给其他认证机构的情况。依据合同使用审核员和技术专家见7.3。注2：本文件中，“外包”与“分包”视为同义词。 7.5.2 授予、保持、更新、扩大、缩小、暂停或撤销认证的决定不应外包。 7.5.3 认证机构应： a) 对外包给另一机构的所有活动负责； b) 确保外包服务承担机构及其使用的人员符合认证机构的要求和本文件的适用要求，包

44、括能力、公正性和保密； c) 确保外包服务承担机构及其使用的人员与拟审核的组织没有可能损害公正性的关系（无论是直接的还是通过任何其他雇主发生的关系）。 7.5.4 认证机构应有形成文件的程序，以对认证活动的所有外包服务承担机构进行资格审查和监视，且应确保其审核员和技术专家的能力记录得到保持。 8 信息要求 8.1 可公开获取的信息 8.1.1 认证机构应保持对其用于授予、保持、扩大、更新、缩小、暂停或撤销认证的审核过程和认证过程做出说明的信息，及其运作涉及的认证活动、管理体系类型和地域的信息，并使这些信息可公开获取，或在有请求时提

45、供这些信息。 8.1.2 认证机构向客户或市场提供的信息（包括广告）应准确且不使人产生误解。 8.1.3 认证机构应使授予、暂停或撤销认证的信息可公开获取。 8.1.4 当任何一方提出请求时，认证机构应提供确认某一认证是否有效的方法。注1：如果信息分散在多个来源（如印刷文件或电子文档，或两者结合），可以通过一个系统（如唯一性编码系统或互联网上的超级链接）来确保不同来源之间的可追溯性和明确一致性。注2：在特殊情况下，可以根据客户的请求（如出于安全原因）对某些信息的公开程度做出限制。 8.2 认证文件 8.2.1 认证机构应以其选择的任何方式向获证客户提供认证文件。 8.2.2

46、认证文件的生效日期不应早于认证决定的日期。 CNAS-CC01 ：2011 第 15 页共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 8.2.3 认证文件应标明： a) 每个获证客户的名称和地理位置（或多场所认证范围内总部和所有场所的地理位置）； b) 授予、扩大或更新认证的日期； c) 认证有效期或与认证周期一致的应进行再认证的日期； d) 唯一的识别代码； e) 审核获证客户时所用的标准和（或）其他规范性文件，包括版次和（或）修订号； f) 与产品（包括服务）、过程等相关的认

47、证范围，适用时，包括每个场所相应的认证范围； g) 认证机构的名称、地址和认证标志；可以使用其他标识（如认可标识），但不能产生误导或含混不清； h) 认证用标准和（或）其他规范性文件所要求的任何其他信息； i) 在颁发经过修改的认证文件时，区分新文件与任何已作废文件的方法。 8.3 获证客户目录认证机构应以其选择的任何方式保持有效认证的目录，并使其可公开获取，或在有请求时提供该目录。该目录应至少说明每个获证客户的名称、相关的规范性文件、认证范围和地理位置（如国家和城市）或多场所认证范围内总部和所有场所的地理位置。注：该目录是认证机构

48、的专有资产。 8.4 认证资格的引用和标志的使用 8.4.1 认证机构对其授权获证客户使用的任何标志应有管理政策。该政策应确保可以从标志追溯到认证机构。标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧义。标志不应用于产品或消费者所见的产品包装之上，或以任何其他可解释为表示产品符合性的方式使用。注：GB/T 270302006提供了对使用第三方标志的要求。 8.4.2 认证机构不应允许其标志被用于实验室检测、校准或检查的报告，这里将此类报告视为产品。 8.4.3 认证机构应要求客户组织： a) 在传播媒介（如互联网、宣传册或广告）或其他文件中引用认证状态时，应符合认证机构的要求； b) 不做出或不允许有关于其认证资格的误导性说明； c) 不以或不允许以误导性方式使用认证文件或其任何部分； d) 在其认证被暂停或撤销时，按照认证机构的指令立

展开阅读全文