歡迎您光臨湖南(nán)湘質技術!專業從事管理體系認證、産品認證及管理培訓、管理改善等服務。服務精品,鑄造精品。優質、專業、高效、講誠信、重承諾。
CNAS-CC01
管理體系認證機構要求
Requirements for bodies providing audit and
certification of management systems
(ISO/IEC 17021:2006)
中(zhōng)國合格評定國家認可委員會
CNAS-CC01:2007 第1 頁共21 頁
2007 年04 月15 日發布2008 年09 月15 日實施
目錄
引言
1 範圍
2 規範性引用文件
3 術語和定義
4 原則
4.1 總則
4.2 公正性
4.3 能力
4.4 責任
4.5 公開性
4.6 保密性
4.7 對投訴的回應
5 通用要求
5.1 法律與合同事宜
5.2 公正性的管理
5.3 責任和财力
6 結構要求
6.1 組織結構和最高管理層
6.2 維護公正性的委員會
7 資源要求 .......... 8
7.1 管理層和人員的能力
7.2 參與認證活動的人員
7.3 外(wài)部審核員和外(wài)部技術專家的使用
7.4 人員記錄
7.5 外(wài)包
8 信息要求
8.1 可公開獲取的信息
8.2 認證文件 ....... 10
8.3 獲證客戶目錄
8.4 認證資格的引用和标志(zhì)的使用
8.5 保密
8.6 認證機構與其客戶間的信息交換
9 過程要求
9.1 通用要求
9.2 初次審核與認證
9.3 監督活動
9.4 再認證
9.5 特殊審核
9.6 暫停、撤銷或縮小(xiǎo)認證範圍
9.7 申訴
9.8 投訴
9.9 申請組織和客戶的記錄
CNAS-CC01:2007 第2 頁共21 頁
2007 年04 月15 日發布2008 年09 月15 日實施
10 認證機構的管理體系要求
10.1 可選方式 ...... 18
10.2 方式一(yī):與GB/T 19001 一(yī)緻的管理體系要求
10.3 方式二:通用的管理體系要求
參考文獻
CNAS-CC01:2007 第3 頁共21 頁
2007 年04 月15 日發布2008 年09 月15 日實施
引言
管理體系認證(如對組織的質量或環境管理體系的認證)是對組織已實施了與其方針一(yī)緻、用以管理其活動相關方面的體系提供保證的一(yī)種方法。
本文件規定了對認證機構的要求。貫徹這些要求旨在确保認證機構以有能力、一(yī)緻和公正的方式實施管理體系認證,以促進國際和國内承認這些機構并接受它們的認證。本文件爲促進對管理體系認證的承認提供了基礎,這種承認有利于國際貿易。
管理體系認證是獨立地證明組織的管理體系:
a)符合規定要求,
b)能夠自始至終實現其聲明的方針和目标,并
c)得到有效實施。
因此,諸如管理體系認證的合格評定活動爲組織、組織的顧客及利益相關方提供了價值。
本文件第4章闡述了可信的認證所依據的原則。這些原則有助于讀者理解認證的本質屬性,并爲第5章至第10章做了必要的鋪墊。這些原則構成了本文件所有要求的基礎,但其本身并不是可供評審的要求。
第10章爲認證機構通過建立管理體系來保障和證實其始終滿足本文件要求提供了兩種可供選擇的途徑。
本文件旨在供實施管理體系審核和認證的機構使用。它對從事質量、環境及其他管理體系審核和認證的機構提出了通用要求。本文件将這類機構稱爲認證機構。這一(yī)用語不妨礙那些有着其他名稱、但從
事本文件範圍内活動的機構使用本文件。
認證活動包括對組織的管理體系的審核。認證機構通常以認證文件或證書的形式證明組織的管理體系符合特定的管理體系标準或其他規範性要求。
CNAS-CC01:2007 第4 頁共21 頁
2007 年04 月15 日發布2008 年09 月15 日實施
管理體系認證機構要求
1 範圍
本文件包含了所有類型管理體系(如質量管理體系或環境管理體系)審核與認證的能力、一(yī)緻性和公正性的原則與要求,以及提供上述活動的機構所遵循的原則與要求。按照本文件運作的認證機構不必提供所有類型的管理體系認證。
管理體系認證(本文件中(zhōng)稱爲“認證”)是一(yī)種第三方合格評定活動(見GB/T 27000的5.5)。因此,實施這種活動的機構是第三方合格評定機構(本文件中(zhōng)稱爲“認證機構”)。
注1:管理體系認證有時也稱爲“注冊”,認證機構有時稱爲“注冊機構”。
注2:認證機構可以是非政府的或政府的(具有或不具有法定權力)。
注3:本文件可作爲認可、同行評審或其他審核過程的準則文件。
2 規範性引用文件
下(xià)列文件中(zhōng)的條款通過本文件的引用而成爲本文件的條款。凡是注日期的引用文件,其随後所有的修改單(不包括勘誤的内容)或修訂版均不适用于本文件,然而,鼓勵根據本文件達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本文件。
GB/T 19011 質量和(或)環境管理體系審核指南(nán)(GB/T 19011—2003 / ISO 19011:2002, IDT)1GB/T 27000-2006 合格評定詞彙和通用原則(ISO/IEC 17000:2004, IDT)
ISO 9000:2005 質量管理體系-基礎和術語
3 術語和定義
ISO 9000和GB/T 27000中(zhōng)給出的術語和定義以及下(xià)列術語和定義适用于本文件。
3.1
獲證客戶certified client
管理體系已獲認證的組織
3.2
公正性impartiality
實際存在的并被認識到的客觀性
注1:客觀性意謂着利益沖突不存在或已解決,不會對認證機構的後續活動産生(shēng)不利影響;
注2:其他可用于表示公正性的要素的術語有:客觀、獨立、無利益沖突、沒有成見、沒有偏見、中(zhōng)立、公平、思想開明、不偏不倚、不受他人影響、平衡。
3.3
管理體系咨詢management system consultancy
參與設計、實施或保持管理體系。
示例
—— 籌劃或編制手冊或程序,以及
—— 對管理體系的建立和實施提供具體的建議、指導或解決方案;
注: 如果與管理體系和審核有關的培訓課程僅限于提供可在公共場合自由獲取的通用信息時,那麽組織培訓并作
1 本文件對GB/T 19011 相關指南(nán)的引用适用于所有類型的管理體系。
CNAS-CC01:2007 第5 頁共21 頁
2007 年04 月15 日發布2008 年09 月15 日實施
爲培訓者參與培訓不被視爲咨詢;即培訓者不宜針對特定的公司提出解決方案。
4 原則
4.1 總則
4.1.1 本章所述原則是本文件中(zhōng)後續的特定績效要求和說明性要求的基礎。本文件未就所有可能發生(shēng)的情況給出特定要求。在出現未預料到的情況時,宜應用這些原則作爲決策的指南(nán)。這些原則不是要求。
4.1.2 認證的總體目标是使所有相關方相信管理體系滿足規定要求。認證的價值取決于第三方通過公正、有能力的評定所建立的公信力的程度。認證的利益相關方包括(但不限于):
a) 認證機構的客戶,
b) 獲證客戶的顧客,
c) 政府部門,
d) 非政府組織,
e) 消費者和其他公衆。
4.1.3 建立信任的原則包括
——公正性,
——能力,
——責任,
——公開性,
——保密性,
——對投訴的回應。
4.2 公正性
4.2.1 公正,并被認爲公正,是認證機構提供可建立信任的認證的必要條件。
4.2.2 客戶支付的認證費用是認證機構的收入來源,也是對公正性的潛在威脅,這一(yī)點得到公認。
4.2.3 認證機構根據其所獲得的符合(或不符合)的客觀證據做出決定,且不受其他利益或其他各方的影響,對于獲得和保持信任是必不可少的。
4.2.4 對公正性的威脅包括:
a) 自身利益的威脅:此類威脅源于個人或機構依其自身利益行事。在認證中(zhōng),财務方面的自身利益是一(yī)種對公正性的威脅。
b) 自我(wǒ)評審的威脅:此類威脅源于個人或機構評審自己所做的工(gōng)作。認證機構對由其進行管理體
系咨詢的客戶實施管理體系審核屬于此類威脅。
c) 熟識(或信任)的威脅:此類威脅源于個人或機構對另外(wài)一(yī)人過于熟悉或信賴,而不去(qù)尋找審核證據。
d) 脅迫的威脅——此類威脅源于個人或機構察覺受到公然或暗中(zhōng)的強迫,如威脅用他人取而代之或向主管告發。
4.3 能力
認證機構的管理體系所支撐的人員能力是認證提供信任的必要條件。能力是經證實的應用知(zhī)識和技能的本領。
4.4 責任
4.4.1 符合認證要求的責任在于客戶組織而不是認證機構。
4.4.2 認證機構有責任對足夠的客觀證據進行評價,并在此基礎上做出認證決定。根據審核結論,如果符合性的證據充分(fēn),認證機構做出授予認證的決定;如果符合性的證據不充分(fēn),則不授予認證。
注: 任何審核都是基于對組織管理體系的抽樣,因此并不保證管理體系100%符合要求。
4.5 公開性
CNAS-CC01:2007 第6 頁共21 頁
2007 年04 月15 日發布2008 年09 月15 日實施
4.5.1 爲獲得對認證的誠信性與可信性的信任,認證機構需要提供獲取有關審核過程、認證過程和所有組織認證狀态(即認證的授予、保持、更新、擴大(dà)、縮小(xiǎo)、暫停或撤銷)的适當、及時信息的公開渠道,或公布這些信息。公開性是獲得或公布适當信息的一(yī)項原則。
4.5.2 爲獲得或保持對認證的信任,認證機構宜向特定利益相關方提供獲取特定審核(如爲回應投訴而做的審核)結論的非保密信息的适當渠道,或公布這些信息。
4.6 保密性
爲了享有獲取充分(fēn)評價管理體系符合性所需信息的特權,認證機構必需對任何關于客戶的專有信息
予以保密。
4.7 對投訴的回應
依賴認證的各方期望投訴得到調查。認證機構應當使依賴認證的各方相信,在投訴經查明有效時,認證機構将對投訴進行适當的處理,并爲解決投訴做出适當的努力。當投訴表明出現錯誤、疏忽或不合理行爲時,對投訴做出有效的回應是保護認證機構及其客戶和其他認證使用方的重要手段。對投訴進行适當的處理将維護對認證活動的信任。
注: 爲了向認證的所有用戶證明認證的誠信性與可信性,需要在公開性和保密性(包括對投訴的回應)等原則之間取得适當的平衡。
5 通用要求
5.1 法律與合同事宜
5.1.1 法律責任
認證機構應爲一(yī)個法律實體,或一(yī)個法律實體内有明确界定的一(yī)部分(fēn),以便認證機構能夠對其所有認證活動承擔法律責任。政府的認證機構因其政府地位而被視爲法律實體。
5.1.2 認證協議
認證機構與客戶之間應有在法律上具有強制實施力的提供認證服務的協議。此外(wài),如果認證機構有多個辦公場所或客戶有多個場所,則應确保授予認證并頒發證書的認證機構與認證範圍覆蓋的所有場所
之間有在法律上具有強制實施力的協議。
5.1.3 認證決定的責任
認證機構應對與認證有關的決定(包括授予、保持、更新、擴大(dà)、縮小(xiǎo)、暫停和撤銷認證)負責,并應保持做出上述決定的權力。
5.2 公正性的管理
5.2.1 認證機構最高管理層應對管理體系認證活動的公正性做出承諾。認證機構應具有可公開獲取的聲明,表明其理解公正性在實施管理體系認證活動中(zhōng)的重要性,對利益沖突加以管理,并确保其管理體
系認證活動的客觀性。
5.2.2 認證機構應識别和分(fēn)析由認證活動引起的利益沖突的可能性并将其形成文件,包括認證機構的各種關系引起沖突的可能性。有關系不一(yī)定都會引起利益沖突。但是,如果任何關系對公正性構成威脅,
認證機構應将其如何消除或最大(dà)限度減小(xiǎo)此類威脅形成文件,并能予以證實。6.2 所指的委員會應能獲得這方面的信息。所作的證實應包括所有已識别的潛在利益沖突來源,無論其産生(shēng)于認證機構内部還是
其他個人、機構或組織的活動。
注: 威脅認證機構公正性的關系可能源自其所有權、法人治理結構、管理層、人員、共享資源、财務、合同、營銷以及給介紹新客戶的人銷售傭金或其他好處。
5.2.3 當某種關系對認證機構的公正性構成不可接受的威脅時(如認證機構的全資子公司向其申請認證),認證機構不應提供認證。
注: 見5.2.2注。
5.2.4 認證機構不應對另一(yī)認證機構的管理體系認證活動進行認證。
注: 見5.2.2注。
5.2.5 認證機構及同一(yī)法律實體的任何其他部分(fēn)不應提供或推薦管理體系咨詢,也不應爲管理體系咨詢提供報價。本條款同樣适用于政府中(zhōng)被識别爲認證機構的那一(yī)部分(fēn)。
5.2.6 認證機構及其所屬法律實體的任何其他部分(fēn)不應向獲證客戶提供内部審核。如果認證機構對某個管理體系提供了内部審核,則不應在内部審核結束後兩年内對該管理體系進行認證。本條款同樣适用
于政府中(zhōng)被識别爲認證機構的那一(yī)部分(fēn)。
注: 見5.2.2注。
5.2.7 如果咨詢機構與認證機構之間的關系對認證機構的公正性構成了不可接受的威脅,而客戶的管理體系接受了該咨詢機構的管理體系咨詢或内部審核,則認證機構不應對該管理體系進行認證。
注1:在管理體系咨詢結束後經過至少兩年時間,是将對公正性威脅降至可接受水平的一(yī)種方式。
注2:見5.2.2注。
5.2.8 認證機構不應将審核外(wài)包給管理體系咨詢機構,因爲這一(yī)做法将對認證機構的公正性構成不可接受的威脅(見7.5)。本條款不适用于7.3 所述的作爲簽約審核員的個人。
5.2.9 認證機構活動的營銷或報價不應與管理體系咨詢機構的活動有聯系。如果任何咨詢機構宣稱或暗示選擇某認證機構将使認證更爲簡單、容易、迅速或廉價,則該認證機構應采取措施糾正這種不當表
述。認證機構不應宣稱或暗示選擇某咨詢機構将使認證更爲簡單、容易、迅速或廉價。
5.2.10 爲确保沒有利益沖突,參與了對客戶管理體系咨詢的人員(包括管理人員),在咨詢結束後兩年内,不應被認證機構用于針對該客戶的審核或其他認證活動。
5.2.11 認證機構應采取措施,以應對其他人員、機構或組織的行爲對其公正性産生(shēng)的威脅。
5.2.12 認證機構所有可以影響認證活動的人員(内部或外(wài)部的)或委員會應公正行事,且不應允許商(shāng)業、财務或其他方面的壓力損害公正性。
5.2.13 認證機構應要求内部和外(wài)部的人員告知(zhī)他們所了解的任何可能使其或認證機構陷入利益沖突的情況。認證機構應利用這些信息識别他們或其所在單位的活動對公正性産生(shēng)的威脅,且應在他們能夠
證明沒有利益沖突之後再使用這些内部或外(wài)部人員。
5.3 責任和财力
5.3.1 認證機構應能證明已對認證活動引發的風險進行了評估,并對各個活動領域和運作地域的業務
引發的責任作了充分(fēn)的安排(如保險或儲備金)。
5.3.2 認證機構應評估其财務狀況和收入來源,并向6.2 所指的委員會證明其公正性始終沒有受到商(shāng)業、财務和其他方面壓力的損害。
6 結構要求
6.1 組織結構和最高管理層
6.1.1 認證機構應将其組織結構形成文件,并明确管理層和其他認證人員及各委員會的任務、責任和權力。當認證機構是一(yī)個法律實體内有明确界定的一(yī)部分(fēn)時,該文件應說明認證機構與該法律實體間的
權力關系以及與同一(yī)法律實體内其他部分(fēn)的關系。
6.1.2 認證機構應确定對下(xià)列各項具有全部權力和責任的最高管理層(委員會、小(xiǎo)組或個人):
a) 與認證機構運作有關的政策的制定;
b) 政策和程序實施的監督;
c) 認證機構财務的監督;
d) 管理體系認證服務和認證方案的開發;
e) 審核與認證的實施和對投訴的回應;
f) 認證決定;
g) 在需要時,授權委員會或個人代表最高管理層開展規定的活動;
h) 合同安排;
i) 爲認證活動提供充分(fēn)的資源。
CNAS-CC01:2007 第8 頁共21 頁
2007 年04 月15 日發布2008 年09 月15 日實施
6.1.3 認證機構應有關于任何參與認證活動的委員會的任命、權限和運行的正式規則。
6.2 維護公正性的委員會
6.2.1 認證機構的結構應維護認證機構活動的公正性,并具有一(yī)個進行下(xià)列活動的委員會:
a) 協助制定與認證活動公正性有關的政策;
b) 阻止認證機構有任何傾向使得商(shāng)業或其他考慮妨礙其持續地提供客觀的認證活動;
c) 對影響認證可信度的事宜(包括公開性和公衆認識)提出建議;
d) 至少每年對認證機構審核、認證和決定過程的公正性進行一(yī)次審查。
該委員會也可被委以其他任務或職責,但這些附加的任務或職責不得削弱其确保公正性的基本作用。
6.2.2 該委員會的組成、權限、任務、權力、成員能力和責任均應正式形成文件,并由認證機構最高管理層批準,以确保:
a) 各方利益均衡,以使任一(yī)利益方不處于支配地位(認證機構的内部或外(wài)部人員視爲一(yī)個利益方,且不應居支配地位);
b) 獲取所有必要的信息,使其能夠履行自己的職能(見5.2.2 和5.3.2);
c) 如果認證機構最高管理層不尊重委員會的建議,委員會應有權采取獨立措施(如報告主管部門、認可機構或利益相關方)。采取獨立措施時,委員會應尊重8.5 中(zhōng)與客戶和認證機構相關的保密要求。
6.2.3 雖然該委員會不能代表所有利益方,但是認證機構宜識别和邀請關鍵利益方。這些利益方可能包括:認證機構的客戶,獲證客戶的顧客,行業協會代表,政府監管機構或其他政府部門的代表,或非
政府組織(包括消費者組織)的代表。
7 資源要求
7.1 管理層和人員的能力
7.1.1 認證機構應有過程确保其人員對其運作涉及的管理體系類型和地域有适宜的相關知(zhī)識。
認證機構應确定與特定認證方案相關的每個技術領域所需的能力,以及認證活動的每項職能所需的能力。
認證機構應确定在履行特定職能前證實能力的方法。
7.1.2 認證機構在确定認證實施人員的能力要求時,除了那些直接實施審核與認證活動的人員,還應考慮管理層和行政人員所承擔的職能。
7.1.3 認證機構應有途徑獲取必要的專業知(zhī)識與技能,以在其運作涉及的技術領域、管理體系類型和地域等方面獲得與認證直接相關的建議。這些建議可由外(wài)部人員或認證機構人員提供。
7.2 參與認證活動的人員
7.2.1 認證機構自身應有具備足夠能力對其各種類型與範圍的審核方案以及其他認證工(gōng)作進行管理的人員。
7.2.2 認證機構應聘用或有途徑獲得足夠數量的審核員(包括審核組長)和技術專家,以覆蓋其所有活動并滿足審核工(gōng)作量的需要。
7.2.3 認證機構應使所有有關人員清楚自己的任務、責任和權力。
7.2.4 認證機構應有明确的過程來選擇、培訓、正式任用審核員和選擇認證活動使用的技術專家。審核員的初始能力評價應包括對适用的個人素質及在審核中(zhōng)應用所需知(zhī)識與技能的本領的證實。适用的個
人素質及在審核中(zhōng)應用所需知(zhī)識與技能的本領應由有能力的評價者在對審核員審核的見證中(zhōng)确定。
7.2.5 認證機構應有實現和證實有效審核的過程。該過程應确保所使用的審核員和審核組長具備通用的審核知(zhī)識與技能以及特定技術領域審核所需的知(zhī)識與技能。認證機構應在根據GB/T 19011 相關指南(nán)
制定的文件要求中(zhōng)明确該過程。
7.2.6 認證機構應确保審核員(需要時,包括技術專家)充分(fēn)了解其審核過程、認證要求和其他相關要求。認證機構應使審核員和技術專家有途徑獲取指導審核和提供認證活動所有相關信息的現行有效的
文件化程序。
7.2.7 認證機構應僅使用審核員和技術專家從事已證實他們具備能力的那些認證活動。
注: 爲特定審核組指派審核員和技術專家的要求見9.1.3。
7.2.8 認證機構應識别培訓需求,并向審核員、技術專家和其他參與認證活動的人員提供或使其有機會參加特定的培訓,以确保他們勝任所從事的工(gōng)作。
7.2.9 做出授予、保持、更新、擴大(dà)、縮小(xiǎo)、暫停或撤銷認證等決定的小(xiǎo)組或個人應理解适用的标準和認證要求,并經證實有能力評價審核過程和審核組的推薦意見。
7.2.10 認證機構應确保所有參與審核和認證活動的人員均有令人滿意的表現。認證機構應有形成文件的程序和準則,以根據這些人員的使用頻率及其活動的風險水平來監視和衡量他們的表現。認證機構尤
其應根據人員的表現來複核他們的能力,以識别培訓需求。
7.2.11 形成文件的審核員監視程序應把現場見證、審核報告複核及客戶或市場反饋相結合。認證機構應在根據GB/T 19011 相關指南(nán)制定的文件要求中(zhōng)詳細說明該程序。在設計監視方式時,應使正常認證
過程所受幹擾最小(xiǎo)(尤其是從客戶角度來看)。
7.2.12 認證機構應定期對每位審核員的表現進行現場見證。現場見證的頻率應取決于根據所有可獲得的監視信息确定的現場見證需求。
7.3 外(wài)部審核員和外(wài)部技術專家的使用
認證機構應要求外(wài)部審核員和外(wài)部技術專家通過書面協議承諾其遵守認證機構适用的政策和程序。
該協議應含有關于保密及獨立于商(shāng)業和其他利益的條款,并要求外(wài)部審核員和外(wài)部技術專家向認證機構說明現在或以前與可能派其審核的組織的關系。
注: 依據上述協議使用單個審核員和技術專家不構成7.5所述的外(wài)包。
7.4 人員記錄
認證機構應保持人員(包括認證活動實施人員、管理人員和行政人員)的最新記錄,包括相關的資格、培訓、經曆、隸屬關系、專業狀況、能力以及可能提供過的任何相關咨詢服務的記錄。
7.5 外(wài)包
7.5.1 認證機構應說明可以進行外(wài)包(即向另一(yī)個組織分(fēn)包,由其代表認證機構提供部分(fēn)認證服務)的條件。認證機構應與每個承擔外(wài)包服務的機構就相關安排(包括保密和利益沖突)簽訂在法律上具有
強制實施力的協議。
注1:這裏可以包括外(wài)包給其他認證機構的情況。依據合同使用審核員和技術專家見7.3。
注2:本文件中(zhōng),“外(wài)包”與“分(fēn)包”視爲同義詞。
7.5.2 授予、保持、更新、擴大(dà)、縮小(xiǎo)、暫停或撤銷認證的決定不應外(wài)包。
7.5.3 認證機構應:
a) 對外(wài)包給另一(yī)機構的所有活動負責;
b) 确保外(wài)包服務承擔機構及其使用的人員符合認證機構的要求和本文件的适用要求,包括能力、公正性和保密;
c) 确保外(wài)包服務承擔機構及其使用的人員與拟審核的組織沒有可能損害公正性的關系(無論是直接的還是通過任何其他雇主發生(shēng)的關系)。
7.5.4 認證機構應有形成文件的程序,以對認證活動的所有外(wài)包服務承擔機構進行資格審查和監視,且應确保其審核員和技術專家的能力記錄得到保持。
8 信息要求
8.1 可公開獲取的信息
8.1.1 認證機構應保持說明其用于授予、保持、擴大(dà)、更新、縮小(xiǎo)、暫停或撤銷認證的審核過程和認證過程的信息,及其運作涉及的認證活動、管理體系類型和地域的信息,并使這些信息可公開獲取,或
在有請求時提供這些信息。
8.1.2 認證機構向客戶或市場提供的信息(包括廣告)應準确且不使人産生(shēng)誤解。
8.1.3 認證機構應使授予、暫停或撤銷認證的信息可公開獲取。
8.1.4 當任何一(yī)方提出請求時,認證機構應提供确認某一(yī)認證是否有效的方法。
注1:如果信息分(fēn)散在多個來源(如印刷文件或電子文檔,或兩者結合),可以通過一(yī)個系統(如唯一(yī)性編碼系統或互聯網上的超級鏈接)來确保不同來源之間的可追溯性和明确一(yī)緻性。
注2:在特殊情況下(xià),可以根據客戶的請求(如出于安全原因)對某些信息的公開程度做出限制。
8.2 認證文件
8.2.1 認證機構應以其選擇的任何方式向獲證客戶提供認證文件。
8.2.2 認證文件的生(shēng)效日期不應早于認證決定的日期。
8.2.3 認證文件應标明:
a) 每個獲證客戶的名稱和地理位置(或多場所認證範圍内總部和所有場所的地理位置);
b) 授予、擴大(dà)或更新認證的日期;
c) 認證有效期或與認證周期一(yī)緻的應進行再認證的日期;
d) 唯一(yī)的識别代碼;
e) 審核獲證客戶時所用的标準和(或)其他規範性文件,包括版次和(或)修訂号;
f) 與産品(包括服務)、過程等相關的認證範圍,适用時,包括每個場所相應的認證範圍;
g) 認證機構的名稱、地址和認證标志(zhì);可以使用其他标識(如認可标識),但不能産生(shēng)誤導或含混不清。
h) 認證用标準和(或)其他規範性文件所要求的任何其他信息;
i) 在頒發經過修改的認證文件時,區分(fēn)新文件與任何已作廢文件的方法。
8.3 獲證客戶目錄
認證機構應以其選擇的任何方式保持有效認證的目錄,并使其可公開獲取,或在有請求時提供該目錄。該目錄應至少說明每個獲證客戶的名稱、相關的規範性文件、認證範圍和地理位置(如國家和城市)
或多場所認證範圍内總部和所有場所的地理位置。
注: 該目錄是認證機構的專有資産。
8.4 認證資格的引用和标志(zhì)的使用
8.4.1 認證機構對其授權獲證客戶使用的任何标志(zhì)應有管理政策。該政策應确保可以從标志(zhì)追溯到認證機構。标志(zhì)或所附文字不應使人對認證對象和授予認證的認證機構産生(shēng)歧義。标志(zhì)不應用于産品或消
費者所見的産品包裝之上,或以任何其他可解釋爲表示産品符合性的方式使用。
注: ISO/IEC 17030提供了對使用第三方标志(zhì)的要求。
8.4.2 認證機構不應允許其标志(zhì)被用于實驗室檢測、校準或檢查的報告,這裏将此類報告視爲産品。
8.4.3 認證機構應要求客戶組織:
a) 在傳播媒介(如互聯網、宣傳冊或廣告)或其他文件中(zhōng)引用認證狀态時,應符合認證機構的要求;
b) 不做出或不允許有關于其認證資格的誤導性說明;
c) 不以或不允許以誤導性方式使用認證文件或其任何部分(fēn);
d) 在其認證被暫停或撤銷時,按照認證機構的指令立即停止使用所有引用認證資格的廣告材料
(見9.6.3 和9.6.6);
e) 在認證範圍被縮小(xiǎo)時,修改所有的廣告材料;
f) 不允許在引用其管理體系認證資格時,暗示認證機構對産品(包括服務)或過程進行了認證;
g) 不得暗示認證适用于認證範圍以外(wài)的活動;
h) 在使用認證資格時,不得使認證機構和(或)認證制度聲譽受損,失去(qù)公衆信任。
8.4.4 認證機構應正确地控制其所有權,并采取措施處理認證狀态的錯誤引用或認證文件、标志(zhì)或審核報告的誤導性使用。
注: 此類措施可以包括要求糾正或采取糾正措施、暫停認證、撤銷認證、公告違規行爲以及必要的法律措施。
8.5 保密
8.5.1 認證機構應具有政策和相關安排,以确保其各個層次(包括代表其活動的委員會、外(wài)部機構或個人)對從事認證活動時獲得或産生(shēng)的保密信息予以保密,并通過在法律上具有強制實施力的協議落實
上述政策和安排。
8.5.2 認證機構應将其拟對公衆公開的信息提前告知(zhī)客戶。所有其他信息均應視爲保密信息,客戶自己公開的信息除外(wài)。
8.5.3 除本文件有要求外(wài),關于特定客戶或個人的信息,未經其書面同意,不應向第三方披露。當法律要求認證機構向第三方提供保密信息時,除法律限制外(wài),認證機構應将拟提供的信息提前通知(zhī)有關客
戶或個人。
8.5.4 從其他來源(如投訴人、監管機構)獲得的關于客戶的信息應根據認證機構的政策按保密信息處理。
8.5.5 認證機構的人員,包括代表認證機構工(gōng)作的任何委員會成員、合同方、外(wài)部機構人員或個人,應對從事認證機構的活動時獲得或産生(shēng)的所有信息予以保密。
8.5.6 認證機構應能獲得确保保密信息(如文件、記錄)的安全處理的設備和設施,并使用這些設備和設施。
8.5.7 認證機構向其他機構(如認可機構、建立在同行評審基礎上的協議集團)公開保密信息時,應将這一(yī)行動通知(zhī)其客戶。
8.6 認證機構與其客戶間的信息交換
8.6.1 認證過程和要求的信息
認證機構應向客戶提供并爲其更新以下(xià)信息:
a) 對認證活動整個過程的詳細說明,包括申請、初次審核、監督審核和授予、保持、縮小(xiǎo)、擴大(dà)、暫停、撤銷認證以及再認證的過程;
b) 認證依據的規範性要求;
c) 申請、初次認證和保持認證資格所需費用的信息;
d) 認證機構對拟接受審核的客戶的要求:
1) 遵守認證要求;
2) 爲實施審核做出所有必要的安排,包括在初次認證、監督、再認證和解決投訴時,爲檢查文件和接觸所有過程與區域、記錄及人員提供條件;
3) 适用時,爲接納到場的觀察員(如認可評審員或實習審核員)提供條件。
e) 對獲證客戶根據8.4 的要求在各類溝通中(zhōng)引用認證資格時的權利和責任(包括要求)予以說明的文件;
f) 投訴和申訴處理程序的信息。
8.6.2 認證機構的變更通知(zhī)
認證機構應以适當方式将其認證要求的任何變更通知(zhī)獲證客戶。認證機構應驗證每個獲證客戶符合新的要求。
注: 爲确保實施這些要求,認證機構可能需要與獲證客戶在合同中(zhōng)做出安排。有關認證資格使用許可協議的範本,包括變更通知(zhī)的相關方面,見ISO/IEC指南(nán)28:2004附錄E的适用内容。
8.6.3 客戶的變更通知(zhī)
認證機構應做出在法律上具有強制實施力的安排,以确保獲證客戶即時将可能影響管理體系持續滿足認證标準要求的能力的事宜通知(zhī)認證機構,包括(但不限于)與下(xià)列方面有關的變更:
a) 法律地位、經營狀況、組織狀态或所有權;
b) 組織和管理層(如關鍵的管理、決策或技術人員);
c) 聯系地址和場所;
d) 獲證管理體系覆蓋的運作範圍;
e) 管理體系和過程的重大(dà)變更。
注: 有關認證資格使用許可協議的範本,包括變更通知(zhī)的相關方面,見ISO/IEC指南(nán)28:2004附錄E的适用内容。
9 過程要求
9.1 通用要求
9.1.1 審核方案應包括兩階段初次審核、第一(yī)年與第二年的監督審核和第三年在認證到期前進行的再認證審核。三年的認證周期從初次認證或再認證決定算起。審核方案的确定和任何後續調整應考慮客戶
組織的規模,其管理體系、産品和過程的範圍與複雜程度,以及經過證實的管理體系有效性水平和以前審核的結果。如果認證機構考慮客戶已獲的認證或接受的其他審核,則應收集充足的、可驗證的信息,
以證明對審核方案的任何調整的合理性,并予以記錄。
9.1.2 認證機構應确保爲每次審核編制審核計劃,以便爲有關各方就審核活動的日程安排和實施達成一(yī)緻提供依據。審核計劃應基于認證機構根據GB/T 19011 相關指南(nán)制定的文件要求。
9.1.3 認證機構應有根據實現審核目标所需的能力來選擇和任命審核組(包括審核組長)的過程。該過程應基于認證機構根據GB/T 19011 相關指南(nán)制定的文件要求。
9.1.4 認證機構應有形成文件的确定審核時間的程序,并針對每個客戶确定策劃和完成對其管理體系的完整有效審核所需的時間。認證機構應記錄所确定的時間及其合理性。在确定審核時間時,認證機構
應考慮(但不限于)以下(xià)方面:
a) 相關管理體系标準的要求;
b) 規模和複雜程度;
c) 技術和法規環境;
d) 管理體系範圍内活動的分(fēn)包情況;
e) 以前審核的結果;
f) 場所的數量和對多場所的考慮。
9.1.5 當客戶管理體系包含在多個地點進行的相同活動時,如果認證機構在審核中(zhōng)使用多場所抽樣,則應制定抽樣方案以确保對該管理體系的正确審核。認證機構應針對每個客戶将抽樣計劃的合理性形成
文件。
9.1.6 認證機構應明确說明審核組的任務,并告知(zhī)客戶組織。認證機構應要求審核組:
a) 檢查和驗證客戶組織與管理體系相關的結構、方針、過程、程序、記錄及相關文件;
b) 确定上述方面滿足與拟認證範圍相關的所有要求;
c) 确定客戶組織有效地建立、實施并保持了管理體系過程和程序,以便爲建立對客戶管理體系的信任提供基礎;
d) 告知(zhī)客戶其方針、目标及指标(與相關管理體系标準或其他規範性文件的期望一(yī)緻)與結果之間的任何不一(yī)緻,以使其采取措施。
9.1.7 認證機構應向客戶提供審核組每位成員的姓名,并在客戶請求時使其能夠了解每位成員的背景情況。認證機構應留出足夠的時間,以使客戶組織能夠對某一(yī)審核員或技術專家的任命表示反對,并在
反對有效時使認證機構能夠重組審核組。
9.1.8 認證機構應提前與客戶組織就審核計劃進行溝通,并商(shāng)定審核日期。
9.1.9 認證機構應有實施現場審核的過程。該過程應在認證機構根據GB/T 19011 相關指南(nán)制定的文件化求中(zhōng)予以明确。
注1:除了訪問有形場所(如工(gōng)廠)外(wài),“現場”還可以包括遠程訪問包含管理體系審核相關信息的電子化場所;
注2:GB/T 19011中(zhōng)的術語“受審核方”指被審核的組織。
9.1.10 認證機構應爲每次審核提供書面報告。報告應基于GB/T 19011 的相關指南(nán)。審核組可以識别改進機會,但不應提出具體解決辦法的建議。認證機構應享有對審核報告的所有權。
9.1.11 對于審核中(zhōng)發現的不符合,認證機構應要求客戶在規定期限内分(fēn)析原因,并說明爲消除不符合已采取或拟采取的具體糾正和糾正措施。
9.1.12 認證機構應審查客戶提交的糾正和糾正措施,以确定其是否可被接受。
9.1.13 如果需要進行全面或部分(fēn)的補充審核,或需要形成文件的證據(在将來的監督審核中(zhōng)予以确認),以驗證糾正和糾正措施的有效性,則認證機構應告知(zhī)受審核的組織。
9.1.14 認證機構應确保做出認證決定的人員或委員會不是實施審核的人員。
9.1.15 認證機構在做出決定前應确認:
a) 審核組提供的信息足以确定認證要求的滿足情況和認證範圍;
b) 對于所有反映以下(xià)問題的不符合,認證機構已評審、接受并證實了糾正和糾正措施的有效性:
1) 未能滿足管理體系标準的一(yī)項或多項要求,或
2) 使人對客戶管理體系實現預期結果的能力産生(shēng)重大(dà)懷疑的情況;
c) 對于任何其他不符合,認證機構已評審并接受了客戶計劃采取的糾正和糾正措施。
9.2 初次審核與認證
9.2.1 申請
認證機構應要求申請組織的授權代表提供必要的信息,以便認證機構确定:
a) 申請認證的範圍;
b) 申請組織的一(yī)般特征,包括其名稱、物(wù)理場所的地址、過程和運作的重要方面以及任何相關的法律義務;
c) 申請組織與申請認證的領域相關的一(yī)般信息,包括其活動,人力與技術資源,以及适用時,其在一(yī)個較大(dà)實體中(zhōng)的職能和所處的關系;
d) 申請組織采用的所有影響符合性的外(wài)包過程的信息;
e) 申請組織尋求認證的标準或其他要求;
f) 接受與管理體系有關的咨詢的情況。
9.2.2 申請評審
9.2.2.1 在實施審核前,認證機構應對認證申請及補充信息進行評審,以确保:
a) 關于申請組織及其管理體系的信息充分(fēn),可以進行審核;
b) 認證要求已有明确說明并形成文件,且已提供給申請組織;
c) 解決了認證機構與申請組織之間任何已知(zhī)的理解差異;
d) 認證機構有能力并能夠實施認證活動;
e) 考慮了申請的認證範圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認證活動
的因素(語言、安全條件、對公正性的威脅等);
f) 保持了決定實施審核的理由的記錄。
9.2.2.2 根據上述評審,認證機構應确定審核組及進行認證決定需要具備的能力。
9.2.2.3 認證機構應任命審核組。組成審核組的所有審核員(必要時,還有技術專家)作爲一(yī)個整體應具備認證機構按9.2.2.2 确定的對申請組織實施認證的能力。認證機構應根據審核員和技術專家具備
的能力(如7.2.5 所述)來選擇審核組,并可以使用内部和外(wài)部的人力資源。
9.2.2.4 認證機構應指定将進行認證決定的人員,以确保具有實施認證決定的适宜能力(見7.2.9 和9.2.2.2)。
9.2.3 初次認證審核
管理體系的初次認證審核應分(fēn)兩個階段實施:第一(yī)階段和第二階段。
9.2.3.1 第一(yī)階段審核
9.2.3.1.1 第一(yī)階段審核應:
a) 審核客戶的管理體系文件;
b) 評價客戶的運作場所和現場的具體情況,并與客戶的人員進行讨論,以确定第二階段審核的準備情況;
c) 審查客戶理解和實施标準要求的情況,特别是對管理體系的關鍵績效或重要的因素、過程、目标和運作的識别情況;
d) 收集關于客戶的管理體系範圍、過程和場所的必要信息,以及相關的法律法規要求和遵守情況(如客戶運作中(zhōng)的質量、環境、法律因素,相關的風險等);
e) 審查第二階段審核所需資源的配置情況,并與客戶商(shāng)定第二階段審核的細節;
f) 結合可能的重要因素充分(fēn)了解客戶的管理體系和現場運作,以便爲策劃第二階段審核提供關注點;
g) 評價客戶是否策劃和實施了内部審核與管理評審,以及管理體系的實施程度能否證明客戶已爲第二階段審核做好準備。
爲實現上述目标,對于大(dà)多數管理體系而言,建議至少部分(fēn)第一(yī)階段審核活動在客戶的場所進行。
9.2.3.1.2 認證機構應将第一(yī)階段審核發現形成文件并告知(zhī)客戶,包括識别任何引起關注的、在第二階段審核中(zhōng)可能被判定爲不符合的問題。
9.2.3.1.3 認證機構在确定第一(yī)階段審核和第二階段審核的間隔時間時,應考慮客戶解決第一(yī)階段審核中(zhōng)識别的任何需關注問題所需的時間。認證機構也可能需要調整第二階段審核的安排。
9.2.3.2 第二階段審核
第二階段審核的目的是評價客戶管理體系的實施情況,包括有效性。第二階段審核應在客戶的現場進行,并至少覆蓋以下(xià)方面:
a) 與适用的管理體系标準或其他規範性文件的所有要求的符合情況及證據;
b) 依據關鍵績效目标和指标(與适用的管理體系标準或其他規範性文件的期望一(yī)緻),對績效進行的監視、測量、報告和評審;
c) 客戶的管理體系和績效中(zhōng)與遵守法律有關的方面;
d) 客戶過程的運作控制;
e) 内部審核和管理評審;
f) 針對客戶方針的管理職責;
g) 規範性要求、方針、績效目标和指标(與适用的管理體系标準或其他規範性文件的期望一(yī)緻)、适用的法律要求、職責、人員能力、運作、程序、績效數據和内部審核發現及結論之間的聯系;
9.2.4 初次認證的審核結論
審核組應對在第一(yī)階段和第二階段審核中(zhōng)收集的所有信息和證據進行分(fēn)析,以評審審核發現并就審核結論達成一(yī)緻。
9.2.5 授予初次認證所需的信息
9.2.5.1 爲使認證機構做出認證決定,審核組至少應向認證機構提供以下(xià)信息:
a) 審核報告;
b) 對不符合的意見,适用時,還包括對客戶采取的糾正和糾正措施的意見;
c) 對提供給認證機構用于申請評審(見9.2.2)的信息的确認;
d) 對是否授予認證的推薦性意見及附帶的任何條件或評論。
9.2.5.2 認證機構應在評價審核發現和結論及任何其他相關信息(如公共信息、客戶對審核報告的意見)的基礎上做出認證決定。
9.3 監督活動
9.3.1 總則
9.3.1.1 認證機構應對其監督活動進行設計,以便定期對管理體系範圍内有代表性的區域和職能進行監視,并應考慮獲證客戶及其管理體系的變更情況。
9.3.1.2 監督活動應包括對獲證客戶管理體系滿足認證标準規定要求的情況進行評價的現場審核。監督活動還可以包括:
a) 認證機構就認證的有關方面詢問獲證客戶;
b) 審查獲證客戶對其運作的說明(如宣傳材料、網頁);
c) 要求獲證客戶提供文件和記錄(紙質或電子介質);
d) 其他監視獲證客戶績效的方法。
9.3.2 監督審核
9.3.2.1 監督審核是現場審核,但不一(yī)定是對整個體系的審核,并應與其他監督活動一(yī)起策劃,以使認證機構能對獲證管理體系在認證周期内持續滿足要求保持信任。監督審核方案至少應包括對以下(xià)方面
的審查:
a) 内部審核和管理評審;
b) 對上次審核中(zhōng)确定的不符合采取的措施;
c) 投訴的處理;
d) 管理體系在實現獲證客戶目标方面的有效性;
e) 爲持續改進而策劃的活動的進展;
f) 持續的運作控制;
g) 任何變更;
h) 标志(zhì)的使用和(或)任何其他對認證資格的引用。
9.3.2.2 監督審核應至少每年進行一(yī)次。初次認證後的第一(yī)次監督審核應在第二階段審核最後一(yī)天起12 個月内進行。
9.3.3 保持認證
認證機構應在證實獲證客戶持續滿足管理體系标準要求後保持對其的認證。認證機構滿足下(xià)列前提條件時,可以根據審核組長的肯定性結論保持對客戶的認證,而無需對這一(yī)結論進行獨立複核:
a) 對于任何可能導緻暫停或撤銷認證的不符合或其他情況,認證機構有制度要求審核組長向認證機構報告需由具備适宜能力(見7.2.9)且未實施該審核的人員進行複核,以确定能否保持認證;
b) 具備能力的認證機構人員對認證機構的監督活動進行監視,包括對審核員的報告活動進行監視,以确認認證活動在有效地運作。
9.4 再認證
9.4.1 再認證審核的策劃
9.4.1.1 認證機構應策劃和實施再認證審核,以評價獲證客戶是否持續滿足相關管理體系标準或其他規範性文件的所有要求。再認證審核的目的是确認管理體系作爲一(yī)個整體的持續符合性與有效性,以及
與認證範圍的持續相關性和适宜性。
9.4.1.2 再認證審核應考慮管理體系在認證周期内的績效,包括調閱以前的監督審核報告。
9.4.1.3 當管理體系、獲證組織或管理體系的運作環境(如法律的變更)有重大(dà)變更時,再認證審核活動可能需要有第一(yī)階段審核。
9.4.1.4 對于多場所認證或依據多個管理體系标準進行的認證,再認證審核的策劃應确保現場審核具有足夠的覆蓋範圍,以提供對認證的信任。
9.4.2 再認證審核
9.4.2.1 再認證審核應包括關注下(xià)列方面的現場審核:
a) 結合内部和外(wài)部變更來看的整個管理體系的有效性,以及認證範圍的持續相關性和适宜性;
b) 經證實的對保持管理體系有效性并改進管理體系,以提高整體績效的承諾;
c) 獲證管理體系的運行是否促進了組織方針和目标的實現。
9.4.2.2 在再認證審核中(zhōng)發現不符合或缺少符合性的證據時,認證機構應規定在認證終止前實施糾正與糾正措施的時限。
9.4.3 授予再認證所需的信息
認證機構應根據再認證審核的結果,以及認證周期内的體系評價結果和認證使用方的投訴,做出是否更新認證的決定。
9.5 特殊審核
9.5.1 擴大(dà)認證範圍
對于已授予的認證,認證機構應對擴大(dà)認證範圍的申請進行評審,并确定任何必要的審核活動,以做出是否可予擴大(dà)的決定。這類審核活動可以和監督審核同時進行。
9.5.2 提前較短時間通知(zhī)的審核
認證機構爲調查投訴(見9.8)、對變更(見8.6.3)做出回應或對被暫停的客戶(見9.6)進行追蹤,
可能需要在提前較短時間通知(zhī)獲證客戶後對其進行審核。此時,
a) 認證機構應說明并使獲證客戶提前了解(如在8.6.1 所述的文件中(zhōng))将在何種條件下(xià)進行此類審核;
b) 由于客戶缺乏對審核組成員的任命表示反對的機會,認證機構應在指派審核組時給予更多的關注。
9.6 暫停、撤銷或縮小(xiǎo)認證範圍
9.6.1 認證機構應有暫停、撤銷或縮小(xiǎo)認證範圍的政策和形成文件的程序,并規定認證機構的後續措施。
9.6.2 發生(shēng)以下(xià)情況(但不限于)時,認證機構應暫停獲證客戶的認證資格:
- 客戶的獲證管理體系持續地或嚴重地不滿足認證要求,包括對管理體系有效性的要求;
- 獲證客戶不允許按要求的頻次實施監督或再認證審核;
- 獲證客戶主動請求暫停。
9.6.3 在暫停期間,客戶的管理體系認證暫時無效。認證機構應與其客戶做出具有強制實施力的安排,以确保暫停期間避免客戶繼續宣傳認證資格。認證機構應使認證資格的暫停信息可公開獲取(見8.1.3),
并采取其認爲适當的任何其他措施。
9.6.4 如果客戶未能在認證機構規定的時限内解決造成暫停的問題,認證機構應撤銷或縮小(xiǎo)其認證範圍。
注: 多數情況下(xià),暫停将不超過6個月。
9.6.5 如果客戶在認證範圍的某些部分(fēn)持續地或嚴重地不滿足認證要求,認證機構應縮小(xiǎo)其認證範圍,以排除不滿足要求的部分(fēn)。認證範圍的縮小(xiǎo)應與認證标準的要求一(yī)緻。
9.6.6 認證機構應與獲證客戶就撤銷認證時的要求(見8.4.3 d))做出具有強制實施力的安排,以确保獲證客戶接到撤銷認證的通知(zhī)時,立即停止使用任何引用認證資格的廣告材料。
9.6.7 在任何一(yī)方提出請求時,認證機構應正确說明客戶的管理體系認證被暫停、撤銷或縮小(xiǎo)的情況。
9.7 申訴
9.7.1 認證機構應有受理和評價申訴并對之做出決定的形成文件的過程。
9.7.2 申訴處理過程的說明應可公開獲取。
9.7.3 認證機構應對申訴處理過程各個層次的所有決定負責。認證機構應确保參與申訴處理過程的人員沒有實施申訴涉及的審核,也沒有做出申訴涉及的認證決定。
9.7.4 申訴的提出、調查和決定不應造成針對申訴人的任何歧視行爲。
9.7.5 申訴處理過程應至少包括以下(xià)要素和方法:
a) 受理、确認和調查申訴的過程,以及參考以前類似申訴的結果,決定采取何種措施以回應申訴
的過程;
b) 跟蹤和記錄申訴,包括爲解決申訴而采取的措施;
c) 确保采取任何适當的糾正和糾正措施。
9.7.6 認證機構應确認收到了申訴,并應向申訴人提供申訴處理的進展報告和結果。
9.7.7 對申訴的決定應由與申訴事項無關的人員做出,或經其審查和批準,并應告知(zhī)申訴人。
9.7.8 認證機構應在申訴處理過程結束時正式通知(zhī)申訴人。
9.8 投訴
9.8.1 認證機構應使對投訴處理過程的說明可公開獲取。
9.8.2 認證機構在收到投訴時,應确認投訴是否與其負責的認證活動有關,并在經确認有關時予以處理。如果投訴與獲證客戶有關,認證機構在調查投訴時應考慮獲證管理體系的有效性。
9.8.3 對于針對獲證客戶的投訴,認證機構還應在适當的時間将投訴告知(zhī)該客戶。
9.8.4 認證機構應有受理和評價投訴并對之做出決定的形成文件的過程。該過程涉及投訴人和投訴事
項的方面應滿足保密要求。
9.8.5 投訴處理過程應至少包括以下(xià)要素和方法:
a) 受理、确認和調查投訴的過程,以及決定采取何種措施以回應投訴的過程;
b) 跟蹤和記錄投訴,包括爲回應投訴而采取的措施;
c) 确保采取任何适當的糾正和糾正措施。
注: ISO 10002爲投訴的處理提供了指南(nán)。
9.8.6 收到投訴的認證機構應負責收集與核實對投訴進行确認所需的一(yī)切信息。
9.8.7 在可能時,認證機構應确認收到了投訴,并應向投訴人提供投訴處理的進展報告和結果。
9.8.8 對投訴的決定應由與投訴事項無關的人員做出,或經其審查和批準,并應告知(zhī)投訴人。
9.8.9 在可能時,認證機構應在投訴處理過程結束時正式通知(zhī)投訴人。
9.8.10 認證機構應與客戶及投訴人共同決定是否應将投訴事項公開,并在決定公開時,共同确定公開
的程度。
9.9 申請組織和客戶的記錄
9.9.1 認證機構應對所有客戶(包括所有提交申請的組織、接受審核的組織和獲得認證或被暫停或撤銷認證的組織)保持審核及其他認證活動的記錄。
9.9.2 獲證客戶記錄應包括以下(xià)内容:
a) 申請資料及初次認證、監督和再認證的審核報告;
b) 認證協議;
c) 抽樣方法的理由;
d) 确定審核時間的理由(見9.1.4);
e) 糾正與糾正措施的驗證;
f) 投訴和申訴及任何後續糾正或糾正措施的記錄;
g) 适用時,委員會的審議和決定;
h) 認證決定的文件;
i) 認證文件,包括與産品(包括服務)、過程相關的認證範圍,适用時,包括每個場所相應的認證範圍;
j) 建立認證的可信度所需的相關記錄,如審核員和技術專家能力的證據。
注: 抽樣方法包括評審特定管理體系和(或)選取多場所評審中(zhōng)對場所的選擇。
9.9.3 認證機構應保證申請組織和客戶記錄的安全,以确保滿足保密要求。運送、傳輸或傳遞記錄的方式應确保保密。
9.9.4 認證機構應有關于記錄保存的形成文件的政策和程序。記錄保存期應爲當前認證周期加上一(yī)個完整的認證周期。
注: 某些情況下(xià),記錄需按法律規定保存更長的時間。
10 認證機構的管理體系要求
10.1 可選方式
認證機構應建立和保持一(yī)個能夠支撐并證實其始終滿足本文件要求的管理體系。認證機構除了滿足第5 章至第9 章的要求外(wài),還應按照下(xià)列要求之一(yī)建立管理體系:
a) 與GB/T 19001 一(yī)緻的管理體系要求(見10.2);
b) 通用的管理體系要求(見10.3)。
10.2 方式一(yī):與GB/T 19001 一(yī)緻的管理體系要求
10.2.1 總則
認證機構應按照GB/T 19001 的要求,建立和保持一(yī)個能夠保障并證實其始終滿足本文件要求的管理體系。該管理體系還應滿足10.2.2 至10.2.5 的補充要求。
10.2.2 範圍
爲應用GB/T 19001 的要求,認證機構管理體系的範圍應包括認證服務的設計和開發要求。
10.2.3 以顧客爲關注焦點
爲應用GB/T 19001 的要求,認證機構在建立管理體系時應考慮認證的可信性,而且不僅應關注客戶需求,還應關注依賴其審核與認證服務的所有各方(如4.1.2 所述)的需求。
10.2.4 管理評審
爲應用GB/T 19001 的要求,認證機構應将認證活動使用方相關申訴和投訴的信息作爲管理評審的輸入。
10.2.5 設計和開發
爲應用GB/T 19001 的要求,認證機構在開發新的管理體系認證方案或将現有方案适用于特殊情況時,應确保将GB/T 19011 中(zhōng)适用于第三方審核的指南(nán)作爲設計輸入。
10.3 方式二:通用的管理體系要求
10.3.1 總則
認證機構應建立、實施和保持一(yī)個能夠保障并證實其始終滿足本文件要求的管理體系并形成文件。
認證機構最高管理層應爲認證機構的活動制定政策和目标,并形成文件。最高管理層應提供證據,以證實其對按本文件要求建立和實施管理體系的承諾。最高管理層應确保認證機構的政策在組織的各個
層次上得到理解、實施和保持。
認證機構最高管理層應任命一(yī)名有下(xià)列職責和權力的管理層成員,無論其是否有其他職責:
a) 确保管理體系所需的過程和程序得到建立、實施和保持;
b) 向最高管理層報告管理體系的績效及任何改進需求。
10.3.2 管理體系手冊
認證機構應在管理體系手冊或其關聯文件中(zhōng)反映本文件的所有适用要求。認證機構應确保所有相關人員可以獲取手冊和相關的關聯文件。
10.3.3 文件控制
認證機構應建立程序以控制與本文件實施有關的文件(内部和外(wài)部的)。該程序應規定下(xià)列方面所需的控制:
a) 文件發布前,對其充分(fēn)性與适宜性進行批準;
b) 對文件進行複審和必要的更新,并再次批準;
c) 确保文件的更改和現行修訂狀态得到識别;
d) 确保在使用場所可以獲得适用文件的相關版本;
e) 确保文件保持清晰并易于識别;
f) 确保外(wài)來文件得到識别,并控制其分(fēn)發;
g) 防止作廢文件的非預期使用,并在因故保留作廢文件時,對其做出适當的标識。
注: 文件可以使用任何形式或類型的介質。
10.3.4 記錄控制
認證機構應建立程序,以對識别、貯存、保護、檢索和處置與本文件實施有關的記錄以及記錄保存期限規定所需的控制。
認證機構應建立程序以明确與其合同、法律責任相一(yī)緻的記錄保存期限。對這些記錄的查閱應與保密安排相一(yī)緻。
注: 獲證客戶記錄的要求見9.9。
10.3.5 管理評審
10.3.5.1 總則
認證機構最高管理層應建立按策劃的時間間隔對管理體系進行評審的程序,以确保管理體系(包括與本文件實施有關的明示的政策和目标)的持續适宜性、充分(fēn)性和有效性。管理評審應至少每年進行一(yī)
次。
10.3.5.2 評審輸入
管理評審的輸入應包括與下(xià)列方面有關的信息:
a) 内部審核和外(wài)部評審的結果;
b) 客戶和本文件實施涉及的利益相關方的反饋;
c) 維護公正性的委員會的反饋;
d) 預防措施和糾正措施的狀況;
e) 以往管理評審的後續措施;
f) 目标的實現情況;
g) 可能影響管理體系的變更;
h) 申訴和投訴。
10.3.5.3 評審輸出
管理評審的輸出應包括與下(xià)列方面有關的決定和措施:
a) 管理體系及其過程的有效性的改進;
b) 與本文件實施有關的認證服務的改進;
c) 資源需求。
10.3.6 内部審核
10.3.6.1 認證機構應建立内部審核程序,以證明認證機構滿足本文件要求,并有效地實施和保持了管理體系。
注: GB/T 19011爲實施内部審核提供了指南(nán)。
10.3.6.2 認證機構應對内部審核方案進行策劃,并在策劃中(zhōng)考慮拟審核過程和區域的重要程度以及以往審核的結果。
10.3.6.3 内部審核應至少每12個月進行一(yī)次。如果認證機構能夠證明管理體系按照本文件持續地有效運行并保持穩定,則可以減少内部審核的頻次。
10.3.6.4 認證機構應确保:
a) 内部審核的實施人員具備資格,熟悉認證、審核和本文件的要求;
b) 審核員不審核自己的工(gōng)作;
c) 将審核結果告知(zhī)受審核區域的負責人員;
d) 根據内部審核結果及時采取适當的措施;
e) 識别任何改進的機會。
10.3.7 糾正措施
認證機構應建立識别和管理其運作中(zhōng)的不符合的程序。必要時,認證機構還應采取措施消除不符合的原因,以防止其再次發生(shēng)。糾正措施應與所遇到問題的影響程度相适應。該程序應明确對下(xià)列方面的
要求:
a) 識别不符合(例如通過投訴和内部審核);
b) 确定不符合的原因;
c) 糾正不符合;
d) 評價确保不符合不再發生(shēng)的措施的需求;
e) 及時确定和實施所需的措施;
f) 記錄所采取措施的結果;
g) 評審糾正措施的有效性。
10.3.8 預防措施
認證機構應建立采取預防措施以消除潛在不符合的原因的程序。預防措施應與潛在問題的可能影響程度相适應。預防措施程序應明确對下(xià)列方面的要求:
a) 識别潛在的不符合及其原因;
b) 評價防止不符合發生(shēng)的措施的需求;
c) 确定和實施所需的措施;
d) 記錄所采取措施的結果;
e) 評審采取的預防措施的有效性。
注: 糾正措施和預防措施的程序不一(yī)定要分(fēn)别制定。
參__________考文獻
[1] GB/T 19001—2000 質量管理體系要求(ISO 9001:2000, IDT)
[2] GB/T 24001 環境管理體系要求及使用指南(nán)(idt ISO 14001)
[3] GB/T 27030—2006 合格評定第三方符合性标志(zhì)通用要求(ISO/IEC 17030:2003, IDT)
[4] ISO 10002 質量管理—顧客滿意—組織投訴處理指南(nán)
[5] ISO/IEC指南(nán)28:2004 合格評定—第三方産品認證制度指南(nán)__
返回
15388964866
13548588293
服務項目
電話咨詢
在線咨詢
