1、ICS 0312020A 00 a雪中华人民共和国国家标准GBT 2702 1-2007ISOIEC 1 702 1:2006合格评定 管理体系审核认证机构的要求Conformity assessment-Requirements for bodies providing audit and certificationof management systems200708-02发布(IS0lIEC 17021:2006,IDT)2007-10-01实施车瞀鹘紫瓣訾辫赞星发布中国国家标准化管理委员会仅111目 次GBT 2702 12007ISOIEC 17021:2006前言引言1范围一2规范
2、性引用文件3术语和定义4原则41总则42公正性43能力一44责任45公开性46保密性47对投诉的回应5通用要求t51法律与合同事宜52公正性的管理53责任和财力6结构要求61组织结构和最高管理层62维护公正性的委员会7资源要求71管理层和人员的能力72参与认证活动的人员73外部审核员和外部技术专家的使用74人员记录75外包8信息要求81可公开获取的信息82认证文件83获证客户目录84认证资格的引用和标志的使用85保密86认证机构与其客户间的信息交换9过程要求91通用要求92初次审核与认证“93监督活动94再认证“1-11222-33334-4-7889101212IGBT 27021-2007
3、IS0EC 17021=200695特殊审核96暂停、撤消或缩小认证范围97申口98投诉99申请组织和客户的记录10认证机构的管理体系要求101可选方式102方式一:与GBT 19001一致的管理体系要求103方式二:通用的管理体系要求参考文献nnHM托”前 言GBT 27021-20071I$0IEC 17021:2006本标准等罚采用ISOIEC 17021:20064合格评定管理体系审核认证机构的要求。IsCIIECl7021第1版取消并代替了ISOIEC指南62:1996和IsoIEc指南66:1999。这两份指南的内容经技术性修改后已被纳入ISOIEC 17021。为了便于使用本标准
4、对IsoIEC 17021:2006做了下列编辑性修改:1)用“获证客户”替代41。2 b)中“管理体系获得认证的组织”(the organizations whose manage-ment systems are certified)2)用“获证客户”替代623中“管理体系获得认证的组织”(organizations whose managementsystems are certified)3)用“获证客户”替代823 a)中“管理体系获得认证的客户”(client whosemanagement systemis certified)。本标准由全国认证认可标准化技术委员会(sAcTc
5、261)提出并归口。本标准起草单位:中国合格评定国家认可中心、国家认证认可监督管理委员会、广东赛宝认证中心服务有限公司、华夏认证中心有限公司、上海质量体系审核中心、方圆标志认证集团有限公司、中国质量认证中心、中国船级社质量认证公司、华信技术检验有限公司。本标准主要起草人;刘晓红、汪修慈、费杨、王梅、周璐、陈华、宋跃炜、方曙华、王孝霞、杨铭、张惠才、李国振、陆明、曹纯、穆瑾。GBT 27021-2007I$O1EC 17021;2006引 言管理体系认证(如对组织的质量或环境管理体系的认证)是对组织已实施了与其方针一致、用以管理其活动相关方面的体系提供保证的一种方法。本标准规定了对认证机构的要求
6、。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证。以促进国际和国内承认这些机构并接受它们的认证。本标准为促进对管理体系认证的承认提供了基础,这种承认有利于国际贸易。管理体系认证是独立地证明组织的管理体系:a)符合规定要求;b)能够自始至终实现其声明的方针和目标c)得到有效实施。因此,诸如管理体系认征的合格评定活动为组织、组织的履客及利益相关方提供了价值。本标准第4章阐述了可信的认证所截据的原刚。这些原则有助于读者理解认证的本质属性,并为第5章至第10章做了必要的铺垫。_这些原喇构成了本标准所有要求的基础,但其本身并不是可供评审的要求。第10章为认证机构通过建立管理律系来
7、保障和证实其始终满足本标准要求提供了两种可供选择的途径。本标准旨在供实施管理体系审棱和认证的机构使用它对从事质量,环境及其他管理体系审核和认证的机构提出了通用要求。本标准将这类机构称为认证机构。这一用语不妨碍那些有着其他名称、但从事本标准范围内括动的机构使用本标准。认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。GBT 27021-2007ISOIEC 17021:2006合格评定 管理体系审核认证机构的要求1范围本标准包含了所有类型管理体系(如质量管理体系或环境管理体系)审核与认证的能力、一致性和公正性的原则与要
8、求,以及提供上述活动的机构所遵循的原则与要求。按照本标准运作的认证机构不必提供所有类型的管理体系认证。管理体系认证(本标准中称为“认证”)是一种第三方合格评定活动(见GBT 27000-2006的55)。因此,实施这种活动的机构是第三方合格评定机构(本标准中称为“认证机构”)。注1t管理体系认证有时也称为“注册”,认证机构有时称为“注册机构”。注2,认证机构可以是非政府的或政府的(具有或不具有法定权力)。注3t本标准可作为认可、同行评审或其他审核过程的准则文件。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订
9、版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT 19011质量和(或)环境管理体系审核指南(GBT 190112003,Is0 19011;2002,IDT)”GBT 27000合格评定词汇和通用原则(GBT 27000-2006,ISOIEC 17000:2004,IDT)IsO 9000:2005质量管理体系基础和术语3术语和定义GBT 27000和IsO 9000中确立的以及下列术语和定义适用于本标准。3T获证客户certified client管理体系已获认证的组织32公正性impartia
10、lity实际存在的并被认识到的客观性注1t客观性意味着利益冲突不存在或已解决,不会对认证机构的后续活动产生不利影响I注2t其他可用于亵示公正性的要素的术语有,客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚,不受他人影响,平衡。33管理体系咨询management system consultancy参与设计、实施或保持管理体系示例筹划或编制手册或程序I对管理体系的建立和实施提供具体的建议、指导或解决方案。注t如果与譬理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息,那么组织培训并作为培训者参与培训不被视为咨询即培训者不宜针对特定的公司提出解决方案。
11、1)本标准对GBT 19011相关指南的引用适用于所有类型的管理体系。1GBT 27021-2007ISOIEC 17021:20064原则41 总则411 本章所述原则是本标准中后续的特定绩效要求和说明性要求的基础。本标准未就所有可能发生的情况给出特定要求。在出现未预料到的情况时,宜应用这些原则作为决策的指南。这些原则不是要求。412认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括(但不限于):a)认证机构的客户lb)获证客户的顾客c)政府部门d)非政府组织Ie)消费者和其他公众。413建立信任的原则
12、包括:a)公正性;b)能力c)责任d)公开性Ie)保密性,f)对投诉的回应。42公正性421公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。422客户支付的认证费用是认证机构的收入来源,也是对公正性的潜在威胁,这一点得到公认。423认证机构根据其所获得的符合(或不符合)的客观证据做出决定,且不受其他利益或其他各方的影响,对于获得和保持信任是必不可少的。424对公正性的威胁包括:a) 自身利益的威胁:此类威胁潦于个人或机构依其自身利益行事。在认证中,财务方面的自身利益是一种对公正性的威胁。b) 自我评审的威胁。此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行管理体系咨询
13、的客户实施管理体系审核属于此类威胁。c)熟识(或信任)的威胁:此类威胁源于个人或机构对另外一人过于熟悉或信赖,而不去寻找审核证据。d)胁迫的威胁:此类威胁源于个人或机构察觉受到公然或暗中的强迫,如威胁用他人取而代之或向主管告发。43能力认证机构的管理体系所支撑的人员能力是认证提供信任的必要条件。能力是经证实的应用知识和技能的本领。44责任441 符合认证要求的责任在于客户组织而不是认证机构。442认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证决定。根据审核结论,如果符合性的证据充分,认证机构做出授予认证的决定l如果符合性的证据不充分,则不授予认证注。任何审核都是基于对组织管理体系
14、的抽样。因此并不保证管理体系100符合要求。2GBT 27021-2007ISOIEC 17021:200645公开性451 为获得对认证的诚信性与可信性的信任,认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态(即认证的授予、保持、更新、扩大、缩小、暂停或撤消)的适当、及时信息的公开渠道,或公布这些信息。公开性是获得或公布适当信息的一项原则。452为获得或保持对认证的信任认证机构宜向特定利益相关方提供获取特定审核(如为回应投诉而做的审核)结论的非保密信息的适当渠道,或公布这些信息。46保密性为了享有获取充分评价管理体系符合性所需信息的特权,认证机构对任何关于客户的专有信息予以保密是
15、必需的。47对投诉的回应依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信,在投诉经查明有效时,认证机构将对投诉进行适当的处理,并为解决投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时,对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。注:为了向认证的所有用户证明认证的诚信性与可信性。需要在公开性和保密性(包括对投诉的回应)等原则之间取得适当的平衡。5通用要求51法律与合同事宜511法律责任认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构
16、因其政府地位而被视为法律实体。512认证协议认证机构与客户之间应有在法律上具有强制实施力的提供认证服务的协议。此外,如果认证机构有多个办公场所或客户有多个场所,则应确保授予认证并颁发证书的认证机构与认证范围覆盖的所有场所之间有在法律上具有强制实施力的协议。513认证决定的责任认证机构应对与认证有关的决定(包括授予、保持、更新、扩大、缩小、暂停和撤消认证)负责,并应保持做出上述决定的权力。52公正性的管理521认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明,表明其理解公正性在实施管理体系认证活动中的重要性,对利益冲突加以管理,并确保其管理体系认证活动的客观
17、性。522认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件,包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是,如果任何关系对公正性构成威胁,认证机构应将其如何消除或最大限度减小此类威胁形成文件,并能予以证实。62所指的委员会应能获得这方面的信息。所作的证实应包括所有已识别的潜在利益冲突来源,无论其产生于认证机构内部还是其他个人、机构或组织的活动。注。威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。523 当某种关系对认证机构的公正性构成不可接受的威胁时(如认证机构
18、的全资子公司向其申请认证),认证机构不应提供认证。注t见522注。3GBT 27021-2007ISOIEC 17021:2006524认证机构不应对另一认证机构的管理体系认证活动进行认证。注t见522注。525认证机构及同一法律实体的任何其他部分不应提供或推荐管理体系咨询。也不应为管理体系咨询提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。526认证机构及其所属法律实体的任何其他部分不虚向获证客户提供内部审核。如果认证机构对某个管理体系提供了内部审核。则不应在内部审核结束后两年内对该管理体系进行认证。本条款同样适用于政府中被识别为认证机构的那一部分。注t见522注。527如果咨询
19、机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁,而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核,则认证机构不应对该管理体系进行认证。注1。在管理体系咨询结束后经过至少两年时间是将对公正性威胁降至可接受水平的一种方式。注2,见522注。528认证机构不应将审核外包给管理体系咨询机构,因为这一做法将对认证机构的公正性构成不可接受的威胁(见75)。本条款不适用于73所述的作为签约审核员的个人。529认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价,则该认证机构应采取措施纠正这种不当表述。认
20、证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。5210为确保没有利益冲突,参与了对客户管理体系咨询的人员(包括管理人员),在咨询结束后两年内,不应被认证机构用于针对该客户的审核或其他认证活动。5211认证机构应采取措施,以应对其他人员、机构或组织的行为对其公正性产生的威胁。5212认证机构所有可以影响认证活动的人员(内部或外部的)或委员会应公正行事,且不应允许商业、财务或其他方面的压力损害公正性。5213认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁,且应在他们能
21、够证明没有利益冲突之后再使用这些内部或外部人员。53责任和财力531认证机构应能证明已对认证活动引发的风险进行了评估,并对各个活动领域和运作地域的业务引发的责任作了充分的安排(如保险或储备金)。532认证机构应评估其财务状况和收入来源,并向62所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。6结构要求61 组织结构和最高管理层611认证机构应将其组织结构形成文件,并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内有明确界定的一部分时,该文件应说明认证机构与该法律实体问的权力关系以及与同一法律实体内其他部分的关系。612认证机构应确定对下列各项
22、具有全部权力和责任的最高管理层(委员会、小组或个人):a) 与认证机构运作有关的政策的制定b)政策和程序实施的监督c)认证机构财务的监督;d)管理体系认证服务和认证方案的开发;e) 审核与认证的实施和对投诉的回应;f)认证决定4GBT 27021-2007ISOIEC 17021:2006g)在需要时,授权委员会或个人代表最高管理层开展规定的活动h)合同安排li) 为认证活动提供充分的资源。613认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。62维护公正性的委员会621认证机构的结构应维护认证机构活动的公正性,并具有一个进行下列活动的委员会:a) 协助制定与认证活动公正
23、性有关的政策,b)阻止认证机构有任何倾向使商业因素或其他因素妨碍其一致地提供客观的认证活动;c)对影响认证可信度的事宜(包括公开性和公众认识)提出建议;d)至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。该委员会也可被委以其他任务或职责,但这些附加的任务或职责不得削弱其确保公正性的基本作用。622该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件,并由认证机构最高管理层批准,以确保:a)各方利益均衡,以使任一利益方不处于支配地位(认证机构的内部或外部人员视为一个利益方,且不应居支配地位)Ib)获取所有必要的信息,使其能够履行自己的职能(见522和532);c)如果认证
24、机构最高管理层不尊重委员会的建议委员会应有权采取独立措施(如报告主管部门、认可机构或利益相关方)。采取独立措施时。委员会应尊重85中与客户和认证机构相关的保密要求。623虽然该委员会不能代表所有利益方,但是认证机构宜识别和邀请关键利益方。这些利益方可能包括:认证机构的客户,获证客户的顾客,行业协会代表,政府监管机构或其他政府部门的代表,或非政府组织(包括消费者组织)的代表。7资源要求71 管理层和人员的能力711认证机构应有过程来确保其人员对其运作涉及的管理体系类型和地域有适宜的相关知识。认证机构应确定与特定认证方案相关的每个技术领域所需的能力,以及认证活动的每项职能所需的能力。认证机构应确定
25、在履行特定职能前证实能力的方法。712认证机构在确定认证实施人员的能力要求时,除了那些直接实施审核与认证活动的人员,还应考虑管理层和行政人员所承担的职能。713认证机构应有获取必要的专业知识与技能的途径以在其运作涉及的技术领域、管理体系类型和地域等方面获得与认证直接相关的建议。这些建议可由外部人员或认证机构人员提供。72参与认证活动的人员721认证机构自身应有具备足够能力对其各种类型与范围的审核方案以及其他认证工作进行管理的人员。722认证机构应聘用或有途径获得足够数量的审核员(包括审核组长)和技术专家,以覆盖其所有活动并满足审核工作量的需要。723认证机构应使所有有关人员清楚自己的任务、责任
26、和权力。724认证机构应有明确的过程来选择、培训、正式任用审核员和选择认证活动使用的技术专家。审核员的初始能力评价应包括对适用的个人素质及在审核中应用所需知识与技能的本领的证实。适用的个人素质及在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中确定。5GBT 27021-2007ISOIEC 17021:2006725认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。认证机构应在根据GBT 19011相关指南制定的文件要求中明确该过程。726认证机构应确保审核员(需要时,包括技术专家)充
27、分了解其审核过程、认证要求和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。727认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。注。为特定审核组指振审核员和技术专家的要求见9i3。728认证机构应识别培训需求,并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训,以确保他们胜任所从事的工作。729做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应理解适用的标准和认证要求,并经证实有能力评价审核过程和审核组的推荐意见。7210认证机构应确保所有参与审核和认证活动的人员均有
28、令人满意的表现。认证机构应有形成文件的程序和准则,以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机构尤其应根据人员的表现来复核他们的能力,以识别培训需求。721 1 形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合。认证机构应在根据GBT 19011相关指南制定的文件要求中详细说明该程序。在设计监视方式时,应使正常认证过程所受干扰最Ib(尤其是从客户角度来看)。7212认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。73外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术
29、专家通过书面协议承诺其遵守认证机构适用的政策和程序。该协议应含有关于保密及独立于商业和其他利益的条款,并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。注;依据上述协议使用单个审核员和技术专家不构成75所述的外包。74人员记录认证机构应保持人员(包括认证活动实施人员、管理人员和行政人员)的最新记录,包括相关的资格、培训、经历、隶属关系、专业状况、能力以及可能提供过的任何相关咨询服务的记录。75外包75I认证机构应说明可以进行外包(即向另一个组织分包,由其代表认证机构提供部分认证服务)的条件。认证机构应与每个承担外包服务的机构就相关安排(包括保密和利益冲突)签订在
30、法律上具有强制实施力的协议。注1。这里可以包括外包给其他认证机构的情况。依据合同使用审核员和技术专家见73。注2 t本标准中。外包”与。分包”视为同义词。752授予、保持、更新、扩大、缩小、暂停或撤消认证的决定不应外包。753认证机构应:a) 对外包给另一机构的所有活动负责-b)确保外包服务承担机构及其使用的人员符合认证机构的要求和本标准的适用要求,包括能力、公正性和保密,c)确保外包服务承担机构及其使用的人员与拟审核的组织没有可能损害公正性的关系(无论是直接的还是通过任何其他雇主发生的关系)。754认证机构应有形成文件的程序,以对认证活动的所有外包服务承担机构进行资格审查和监视,且应确保其审
31、核员和技术专家的能力记录得到保持。6GBT 27021-2007IS0IEC 17021:20068信息要求81 可公开获取的信息811认证机构应保持对其用于授予、保持、扩大、更新、缩小、暂停或撤消认证的审核过程和认证过程作出说明的信息,及其运作涉及的认证活动、管理体系类型和地域的信息,并使这些信息可公开获取,或在有请求时提供这些信息。812认证机构向客户或市场提供的信息(包括广告)应准确且不使人产生误解。813认证机构应使授予、暂停或撤消认证的信息可公开获取。814当任何一方提出请求时,认证机构应提供确认某一认证是否有效的方法。注1:如果信息分敬在多个来源(如印刷文件或电子文档,或两者结合)
32、,可以通过一个系统(如唯一性编码系统或互联网上的超级链接)来确保不同来源之间的可追溯性和明确一致性。注2。在特殊情况下,可以根据客户的请求(如出于安全原因)对某些信息的公开程度做出限制。82认证文件821认证机构应以其选择的任何方式向获证客户提供认证文件。822认证文件的生效日期不应早于认证决定的日期。823认证文件应标明;a)每个获证客户的名称和地理位置(或多场所认证范围内总部和所有场所的地理位置);b)授予、扩大或更新认证的日期,c)认证有效期或与认证周期一致的应进行再认证的日期d)唯一的识*0代码e)审核获证客户时所用的标准和(或)其他规范性文件,包括版次和(或)修订号;f)与产品(包括
33、服务)、过程等相关的认证范围,适用时,包括每个场所相应的认证范围;g)认证机构的名称、地址和认证标志,可以使用其他标识(如认可标识),但不能产生误导或含混不清;h)认证用标准和(或)其他规范性文件所要求的任何其他信息i)在颁发经过修改的认证文件时,区分新文件与任何已作废文件的方法。83获证客户目录认证机构应以其选择的任何方式保持有效认证的目录,并使其可公开获取,或在有请求时提供该目录。该目录应至少说明每个获证客户的名称、相关的规范性文件、认证范围和地理位置(如国家和城市)或多场所认证范围内总部和所有场所的地理位置。注:该目录是认证机构的专有资产。84认证资格的引用和标志的使用841认证机构对其
34、授权获证客户使用的任何标志应有管理政策。该政策应确保可以从标志追溯到认证机构。标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧义。标志不应用于产品或消费者所见的产品包装之上,或以任何其他可解释为表示产品符合性的方式使用。注。GBT 27030-2006提供了对使用第三方标志的要求。842认证机构不应允许其标志被用于实验室检测、校准或检查的报告,这里将此类报告视为产品。843认证机构应要求客户组织:a)在传播媒介(如互联网、宣传册或广告)或其他文件中引用认证状态时,应符合认证机构的要求Ib)不做出或不允许有关于其认证资格的误导性说明#c)不以或不允许以误导性方式使用认证文件或其任何部分
35、,d)在其认证被暂停或撤消时,按照认证机构的指令立即停止使用所有引用认证资格的广告材料7GBT 27021-2007ISOIEC 17021:2006(见9。63和956)e)在认证范围被缩小时,修改所有的广告材料f)不允许在引用其管理体系认证资格时,暗示认证机构对产品(包括服务)或过程进行了认证g)不得暗示认证适用于认证范围以外的活动h)在使用认证资格时,不得使认证机构和(或)认证制度声誉受损,失去公众信任。844认证机构应正确地控制其所有权,并采取措施处理认证状态的错误引用或认证文件、标志或审核报告的误导性使用。注,此类措施可以包括要求纠正或采取纠正措施、暂停认证、撤消认证、公告违规行为以
36、及必要的法律措施。85保密851认证机构应具有致策和相关安排,以确保其各个层次(包括代表其活动的委员会、外部机构或个人)对从事认证活动时获得或产生的保密信息予以保密,并通过在法律上具有强制实施力的协议落实上述政策和安排。852认证机构应将其拟对公众公开的信息提前告知客户。所有其他信息均应视为保密信息,客户自己公开的信息除外。853除本标准有要求外,关于特定客户或个人的信息,未经其书面同意,不应向第三方披露。当法律要求认证机构向第三方提供保密信息时,除法律限制外,认证机构应将拟提供的信息提前通知有关客户或个人。854从其他来源(如投诉人、监管机构)获得的关于客户的信息应根据认证机构的政策按保密信
37、息处理。855认证机构的人员,包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个人,应对从事认证机构的活动时获得或产生的所有信息予以保密。856认证机构应能获得确保保密信息(如文件、记录)的安全处理的设备和设施,并使用这些设备和设施。857认证机构向其他机构(如认可机构、建立在同行评审基础上的协议集团)公开保密信息时,应将这一行动通知其客户。86认证机构与其客户间的信息交换861 认证过程和要求的信息认证机构应向客户提供并为其更新以下信息:a)对认证活动整个过程的详细说明,包括申请、初次审核、监督审核和授予、保持、缩小、扩大、暂停、撤消认证以及再认证的过程;b)认证依据的规范性要求
38、c) 申请、初次认证和保持认证资格所需费用的信息;d) 认证机构对拟接受审核的客户的要求:1)遵守认证要求;2)为实施审核做出所有必要的安排。包括在初次认证、监督、再认证和解决投诉时,为检查文件和接触所有过程与区域、记录及人员提供条件|3)适用时,为接纳到场的观察员(如认可评审员或实习审核员)提供条件。e) 对获证客户根据84的要求在各类沟通中引用认证资格时的权利和责任(包括要求)予以说明的文件,f)投诉和申诉处理程序的信息。862认证机构的变更通知认证机构应以适当方式将其认证要求的任何变更通知获证客户。认证机构应验证每个获证客户符合新的要求。8GBT 27021-2007ISOIEC 170
39、21:2006注t为确保实施这些要求,认证机构可能需要与获证客户在合同中做出安排。有关认证资格使用许可协议的范本。包括变更通知的相关方面,见ISOIEC指南28:2004附录E的适用内容。863客户的变更通知认证机构应做出在法律上具有强制实施力的安排,以确保获证客户即时将可能影响管理体系持续满足认证标准要求的能力的事宜通知认证机构,包括(但不限于)与下列方面有关的变更:a)法律地位、经营状况、组织状态或所有权b)组织和管理层(如关键的管理、决策或技术人员)Ic)联系地址和场所,d) 获证管理体系覆盖的运作范围Ie)管理体系和过程的重大变更。注;有关认证资格使用许可协议的范本,包括变更通知的相关
40、方面见ISOIEC指南28t2004附录E的适用内容。9过程要求91通用要求911 审核方案应包括两阶段初次审核、第一年与第二年的监督审核和第三年在认证到期前进行的再认证审核。三年的认证周期从初次认证或再认证决定算起。审核方案的确定和任何后续调整应考虑客户组织的规模,其管理体系、产品和过程的范围与复杂程度,以及经过证实的管理体系有效性水平和以前审核的结果。如果认证机构考虑客户已获的认证或接受的其他审核,则应收集充足的、可验证的信息,以证明对审核方案的任何调整的合理性,并予以记录。912认证机构应确保为每次审核编制审核计划,以便为有关各方就审核活动的日程安排和实施达成一致提供依据。审核计划应基于
41、认证机构根据GBT 19011相关指南制定的文件要求。913认证机构应有根据实现审核目标所需的能力来选择和任命审核组(包括审核组长)的过程。该过程应基于认证机构根据GBT 19011相关指南制定的文件要求。91i 4认证机构应有形成文件的确定审核时间的程序,并针对每个客户确定策划和完成对其管理体系的完整有效审核所需的时间。认证机构应记录所确定的时间及其合理性。在确定审核时间时,认证机构应考虑(但不限于)以下方面:a)相关管理体系标准的要求;b)规模和复杂程度;c)技术和法规环境;d) 管理体系范围内活动的分包情况;e) 以前审核的结果;f)场所的数量和对多场所的考虑。915 当客户管理体系包含
42、在多个地点进行的相同活动时,如果认证机构在审核中使用多场所抽样,则应制定抽样方案以确保对该管理体系的正确审核。认证机构应针对每个客户将抽样计划的合理性形成文件。916认证机构应明确说明审核组的任务,并告知客户组织。认证机构应要求审核组:a)检查和验证客户组织与管理体系相关的结构、方针、过程、程序、记录及相关文件;b) 确定上述方面满足与拟认证范围相关的所有要求;c)确定客户组织有效地建立、实施并保持了管理体系过程和程序,以便为建立对客户管理体系的信任提供基础d) 告知客户其方针、目标及指标(与相关管理体系标准或其他规范性文件的期望一致)与结果之间的任何不一致,以使其采取措施。917认证机构应向
43、客户提供审核组每位成员的姓名,并在客户请求时使其能够了解每位成员的背景GBT 27021-20071SOIEC 17021:2006情况。认证机构应留出足够的时间,以使客户组织能够对某一审核员或技术专家的任命表示反对,并在反对有效时使认证机构能够重组审核组。918认证机构应提前与客户组织就审核计划进行沟通,并商定审核日期。919认证机构应有实施现场审核的过程。该过程应在认证机构根据GBT 19011相关指南制定的文件要求中予以明确。注1。除了访问有形场所(如工厂)外,“现场”还可以包括远程访问包含管理体系审核相关信息的电子化场所。注2t GBT 19011中的术语。受审棱方”指被审核的组织。9
44、110认证机构应为每次审核提供书面报告。报告应基于GBT 19011的相关指南。审核组可以识别改进机会,但不应提出具体解决办法的建议。认证机构应享有对审核报告的所有权。9111对于审核中发现的不符合,认证机构应要求客户在规定期限内分析原因,并说明为消除不符合巳采取或拟采取的具体纠正和纠正措施。9112认证机构应审查客户提交的纠正和纠正措施,以确定其是否可被接受。9113如果需要进行全面或部分的补充审核,或需要形成文件的证据(在将来的监督审核中予以确认),以验证纠正和纠正措施的有效性,则认证机构应告知受审核的组织。9114认证机构应确保做出认证决定的人员或委员会不是实旌审核的人员。9115认证机
45、构在做出决定前应确认:a) 审核组提供的信息足以确定认证要求的满足情况和认证范围b)对于所有反映以下问题的不符合,认证机构已评审、接受并证实了纠正和纠正措施的有效性:1) 未能满足管理体系标准的一项或多项要求;或2)使人对客户管理体系实现预期结果的能力产生重大怀疑的情况c)对于任何其他不符合,认证机构已评审并接受了客户计划采取的纠正和纠正措施。92初次审核与认证921 申请认证机构应要求申请组织的授权代表提供必要的信息,以便认证机构确定:a)申请认证的范围b) 申请组织的一般特征,包括其名称、物理场所的地址、过程和运作的重要方面以及任何相关的法律义务-c) 申请组织与申请认证的领域相关的一般信息,包括其活动,人力与技术资源,以及适用时,其在一个较大实体中的职能和关系d) 申请组织采用的所有影响符合性的外包过程的信息,e) 申请组织寻求认证的标准或其他要求If)
