管理體系認證機構(gòu)要求_陜西中天檢驗認證集團有限公司

當前位置：首頁 > 信息動態(tài) > 新聞資訊 > 通知公告返回

管理體系認證機構(gòu)要求

來源：m.rapid-rhythm.com | 發(fā)布時間：2024年01月18日

CNAS-CC01

管理體系認證機構(gòu)要求

Requirements for bodies providing audit and certification of management systems

中國合格評定國家認可委員會

前言

本文件等同采用國際標準ISO/IEC 17021-1：2015《合格評定管理體系審核與認證機構(gòu)的要求第1部分：要求》。本文件是CNAS對管理體系認證機構(gòu)的基本認可準則，并與其他適用的CNAS專用認可準則以及認可方案的相應(yīng)部分共同構(gòu)成對特定管理體系認證機構(gòu)的認可準則。為了便于使用，本文件對ISO/IEC 17021-1:2015采用轉(zhuǎn)化中做了下列編輯性修改：
1)用“獲證客戶”替代 4.1.2 b）中“管理體系獲得認證的組織”（the organizations whose management systems are certified）；
2)用“獲證客戶”替代 5.2.3 注 2 中“管理體系獲得認證的組織”（organizations whose management systems are certified）；
3)用“本文件”替代“ISO/IEC 17021 的本部分”（this part of ISO/IEC 17021）；
4)在本文件相應(yīng)條款注明了 ISO/IEC TS 17021-2、ISO/IEC TS 17021-3、ISO/TS 22003、ISO/IEC 27006 等標準分別對應(yīng)的 CNAS 認可準則編號；
5)對“ISO 19011”等部分國際標準的引用調(diào)整為“GB/T19011”等相應(yīng)國家標準。

本文件代替了CNAS-CC01:2011。

引言

管理體系認證（如對組織的環(huán)境管理體系、質(zhì)量管理體系或信息安全管理體系的認證）是一種保證方法，用以確保組織已實施了與其方針及相關(guān)國際管理體系標準的要求一致的、用以管理其活動、產(chǎn)品和服務(wù)相關(guān)方面的體系。
本文件規(guī)定了對管理體系審核和認證機構(gòu)的要求。它對從事質(zhì)量、環(huán)境及其他管理體系審核與認證的機構(gòu)提出了通用要求。本文件將這類機構(gòu)稱為認證機構(gòu)。貫徹這些要求旨在確保認證機構(gòu)以有能力、一致和公正的方式實施管理體系認證，以促進國際和國內(nèi)承認這些機構(gòu)并接受它們的認證。本文件為促進對管理體系認證的承認提供了基礎(chǔ)，這種承認有利于國際貿(mào)易。

管理體系認證是獨立地證明組織的管理體系：

a）符合規(guī)定要求；

b）能夠自始至終實現(xiàn)其聲明的方針和目標；

c）得到有效實施。
因此，諸如管理體系認證的合格評定活動為組織、組織的顧客及利益相關(guān)方提供了價值。
第4章闡述了可信的認證所依據(jù)的原則。這些原則有助于用戶理解認證的本質(zhì)屬性，并為第5章至第10章做了必要的鋪墊。這些原則構(gòu)成了本文件要求的基礎(chǔ)，但其本身并不是可供評審的要求。第10章為認證機構(gòu)通過建立管理體系來保障和證實其始終滿足本文件要求提供了兩種可供選擇的途徑。
認證活動是構(gòu)成從申請評審到認證終止的整個認證過程的單項活動。附錄E展現(xiàn)了許多認證活動能夠相互作用的方式。認證活動包括對組織的管理體系的審核。認證機構(gòu)通常以認證文件或證書的形式證明組織的管理體系符合特定的管理體系標準或其他規(guī)范性要求。本文件適用于各種類型管理體系的審核與認證。為實現(xiàn)利益相關(guān)方的期望，可能需要對其中一些要求，特別是那些關(guān)于審核員能力的要求補充附加準則。
在本文件中：
—— “應(yīng)”表示要求；
—— “宜”表示建議；
—— “可以”表示允許；
—— “能夠”表示一種可能性或能力。
ISO/IEC工作導則第2部分中對這些動詞做了更詳細的說明。
管理體系認證機構(gòu)要求

1范圍
本文件包含了所有類型管理體系審核與認證機構(gòu)的能力、一致性和公正性的原則與要求。
按照本文件運作的認證機構(gòu)不必提供所有類型的管理體系認證。
管理體系認證，是一種第三方合格評定活動（見 GB/T 27000 的 5.5），因此實施這種活動的機構(gòu)是第三方合格評定機構(gòu)。
注 1：管理體系的示例：質(zhì)量管理體系、環(huán)境管理體系和信息安全管理體系。
注 2：本文件中，管理體系認證稱為“認證”，實施認證的第三方合格評定機構(gòu)稱為 “認證機構(gòu)”。
注 3：認證機構(gòu)可以是非政府的或政府的，具有或不具有法定權(quán)力。注 4：本文件可作為認可、同行評審或其他審核過程的準則文件。
2規(guī)范性引用文件
下列引用文件對本文件的應(yīng)用是必不可少的。凡是注日期的引用，僅所引用的版本適用。凡是不注日期的引用，所引用文件的最新版本（包括任何修改單）適用。
GB/T 19000《質(zhì)量管理體系——基礎(chǔ)和術(shù)語》（ISO 9000 IDT） GB/T 27000《合格評定——詞匯和通用原則》（ISO/IEC 17000 IDT）
3術(shù)語和定義
GB/T 19000 和 GB/T 27000 中給出的術(shù)語和定義以及下列術(shù)語和定義適用于本文件。
3.1獲證客戶 certified client
管理體系已獲認證的組織
3.2公正性 impartiality
客觀性的存在
注1：客觀性意味著利益沖突不存在或已解決，不會對認證機構(gòu)的后續(xù)活動產(chǎn)生不利影響；
注 2：其他可用于表示公正性的要素的術(shù)語有：獨立、無利益沖突、沒有成見、沒有偏見、中立、公平、思想開明、不偏不倚、不受他人影響、平衡。
3.3管理體系咨詢 management system consultancy參與建立、實施或保持管理體系

示例1：籌劃或編制手冊或程序。
示例2：對管理體系的建立和實施提供具體的建議、指導或解決方案。
注 1：如果與管理體系和審核有關(guān)的培訓課程僅限于提供通用信息，那么組織培訓并作為培訓者參與培訓不被視為咨詢，即培訓者不宜針對特定的客戶提出解決方案。
注 2：為過程或體系的改進提供通用信息，而不是針對特定客戶的解決方案，不被視為咨詢。此類通用信息可以包括：
-解釋認證準則的含義和意圖；
-識別改進機會；
-解釋相關(guān)的理論、方法學、技巧或工具；
-分享關(guān)于相關(guān)良好實踐的非保密信息；
-所審核的管理體系未覆蓋的其他管理問題。
3.4認證審核 certification audit
由獨立于客戶和依賴認證的各方的審核組織實施的、對客戶的管理體系進行以認證為目的的審核
注 1：在下面的定義中，第三方認證審核簡稱為“審核”。
注 2：認證審核包括初次審核、監(jiān)督審核和再認證審核，還可以包括特殊審核。
注 3：認證審核通常由依據(jù)管理體系標準要求提供符合性認證的認證機構(gòu)的審核組實施。
注4：兩個或兩個以上審核組織合作審核同一個客戶，稱作聯(lián)合審核。
注5：一個客戶同時按照兩個或兩個以上管理體系標準的要求接受審核，稱作結(jié)合審核。
注 6：一個客戶已將兩個或兩個以上管理體系標準要求的應(yīng)用整合在一個單一的管理體系中，并按照一個以上標準接受審核，稱作一體化審核。
3.5客戶 client
其管理體系為認證目的接受審核的組織
3.6審核員 auditor
實施審核的人
3.7能力 competence
能夠應(yīng)用知識和技能實現(xiàn)預期結(jié)果的本領(lǐng)
3.8向?qū)?guide
客戶指派的協(xié)助審核組的人
3.9觀察員 observer
與審核組同行，但不實施審核的人
3.10技術(shù)領(lǐng)域 technical area
以與特定類型管理體系及其預期結(jié)果有關(guān)的過程的共性為特征的領(lǐng)域
注：見 7.1.2 注。
3.11不符合 nonconformity
未滿足要求
3.12嚴重不符合 major nonconformity
影響管理體系實現(xiàn)預期結(jié)果的能力的不符合（3.11）
注：嚴重不符合可能是下列情況：
-對過程控制是否有效或者產(chǎn)品或服務(wù)能否滿足規(guī)定要求存在嚴重的懷疑；
-多項輕微不符合都與同一要求或問題有關(guān)，可能表明存在系統(tǒng)性失效，從而構(gòu)成一項嚴重不符合
3.13輕微不符合 minor nonconformity
不影響管理體系實現(xiàn)預期結(jié)果的能力的不符合（3.11）
3.14技術(shù)專家 technical expert
向?qū)徍私M提供特定知識或?qū)I(yè)意見的人
注：特定知識或?qū)I(yè)意見與所審核的組織、過程或活動有關(guān)。
3.15認證方案 certification scheme
應(yīng)用相同的規(guī)定要求、特定規(guī)則與程序的，與管理體系有關(guān)的合格評定制度
3.16審核時間 audit time
策劃并完成一次完整有效的客戶組織管理體系審核所需要的時間
3.17管理體系認證審核時間 duration of management system certification audits
審核時間（3.16）的一部分，包括從首次會議到末次會議之間實施審核活動的所有時間
注：審核活動通常包括：
－舉行首次會議；
－審核實施中的文件評審；
－審核中的溝通；
－向?qū)Ш陀^察員的作用和責任；
－信息的收集和驗證；
－形成審核發(fā)現(xiàn)；
－準備審核結(jié)論；
－舉行末次會議。
4原則
4.1總則
4.1.1本章所述原則是本文件中后續(xù)的特定績效要求和說明性要求的基礎(chǔ)。本文件未就所有可能發(fā)生的情況給出特定要求。在出現(xiàn)未預料到的情況時，宜應(yīng)用這些原則作為決策的指南。這些原則不是要求。
4.1.2認證的總體目標是使所有相關(guān)方相信管理體系滿足規(guī)定要求。認證的價值取決于第三方通過公正、有能力的評定所建立的公信力的程度。認證的利益相關(guān)方包括
（但不限于）：
a)認證機構(gòu)的客戶；
b)獲證客戶的顧客；
c)政府部門；
d)非政府組織；
e)消費者和其他公眾。
4.1.3建立信任的原則包括：
?公正性；
?能力；
?責任；
?公開性；
?保密性；
?對投訴的回應(yīng)；
?基于風險的方法。
注：本文件在第 4 章給出了認證的原則，GB/T 19011-2013 第 4 章給出了與審核有關(guān)的原則。
4.2公正性
4.2.1公正，并被認為公正，是認證機構(gòu)提供可建立信任的認證的必要條件。重要的是所有內(nèi)部和外部人員都意識到公正性的必要性。
4.2.2客戶支付的認證費用是認證機構(gòu)的收入來源，也是對公正性的潛在威脅，這
一點得到公認。
4.2.3認證機構(gòu)根據(jù)其所獲得的符合（或不符合）的客觀證據(jù)做出決定，且不受其他利益或其他各方的影響，對于獲得和保持信任是必不可少的。
4.2.4對公正性的威脅可能包括，但不限于：
a)自身利益：此類威脅源于個人或機構(gòu)依其自身利益行事。在認證中，財務(wù)方面的自身利益是一種對公正性的威脅。
b)自我評審：此類威脅源于個人或機構(gòu)評審自己所做的工作。認證機構(gòu)對由其進行管理體系咨詢的客戶實施管理體系審核屬于此類威脅。
c)熟識（或信任）：此類威脅源于個人或機構(gòu)對另外一人過于熟悉或信賴，而不去尋找審核證據(jù)。
d)脅迫：此類威脅源于個人或機構(gòu)察覺受到公然或暗中的強迫，如威脅用他人取而代之或向主管告發(fā)。
4.3能力
4.3.1認證活動涉及的所有職能的認證機構(gòu)人員的能力是認證提供信任的必要條件。
4.3.2能力也需要由認證機構(gòu)的管理體系來支撐。
4.3.3認證機構(gòu)管理的一個關(guān)鍵問題是具有一個得到實施的過程，來為參與審核和其他認證活動的人員建立能力準則，并按照準則實施評價。
4.4責任
4.4.1始終一致地達到實施管理體系標準的預期結(jié)果和符合認證要求的責任，在于獲證客戶而不是認證機構(gòu)。
4.4.2認證機構(gòu)有責任對足夠的客觀證據(jù)進行評價，并在此基礎(chǔ)上做出認證決定。
根據(jù)審核結(jié)論，如果符合性的證據(jù)充分，認證機構(gòu)做出授予認證的決定；如果符合性的證據(jù)不充分，則不授予認證。
注：任何審核都是基于對組織管理體系的抽樣，因此并不保證管理體系 100%符合要求。
4.5公開性
4.5.1為獲得對認證的誠信性與可信性的信任，認證機構(gòu)需要提供獲取有關(guān)審核過程、認證過程和所有組織認證狀態(tài)（即認證的授予、保持，認證范圍的擴大或縮小，認證的更新、暫停、恢復或者撤銷）的適當、及時信息的公開渠道，或公布這些信息。公開性是獲得或公布適當信息的一項原則。
4.5.2為獲得或保持對認證的信任，認證機構(gòu)宜向特定利益相關(guān)方提供獲取特定審核（如為回應(yīng)投訴而做的審核）結(jié)論的非保密信息的適當渠道，或公布這些信息。
4.6保密性
為了享有獲取充分評價管理體系符合性所需信息的特權(quán)，認證機構(gòu)不透露任何保密信息是至關(guān)重要的。
4.7對投訴的回應(yīng)
依賴認證的各方期望投訴得到調(diào)查。認證機構(gòu)應(yīng)當使依賴認證的各方相信，在投訴經(jīng)查明有效時，認證機構(gòu)將對這些投訴進行適當?shù)奶幚?，并為解決這些投訴做出適當?shù)呐?。當投訴表明出現(xiàn)錯誤、疏忽或不合理行為時，對投訴做出有效回應(yīng)是保護認證機構(gòu)及其客戶和其他認證使用方的重要手段。對投訴進行適當處理將維護對認證活動的信任。
注：為了向認證的所有用戶證明認證的誠信性與可信性，需要在公開性和保密性
（包括對投訴的回應(yīng)）等原則之間取得適當?shù)钠胶狻?br /> 4.8基于風險的方法
認證機構(gòu)需要考慮與提供有能力的、一致的和公正的認證相關(guān)的風險。風險可能與下列方面有關(guān)（包括但不限于）：
?審核目的；
?審核過程中的抽樣；
?真正的和被感知到的公正性；
?法律法規(guī)問題和責任問題；
?所審核的客戶組織及其運行環(huán)境；
?審核對客戶及其活動的影響；
?審核組的健康和安全；
?利益相關(guān)方的認知；
?獲證客戶做出的誤導性聲明；
?標志的使用。
5通用要求
5.1法律與合同事宜
5.1.1法律責任
認證機構(gòu)應(yīng)為一個法律實體，或一個法律實體內(nèi)有明確界定的一部分，以便認證機構(gòu)能夠?qū)ζ渌姓J證活動承擔法律責任。政府的認證機構(gòu)因其政府地位而被視為法律實體。
5.1.2認證協(xié)議
認證機構(gòu)與每個客戶之間應(yīng)有在法律上具有強制實施力并符合本文件相關(guān)要求的提供認證服務(wù)的協(xié)議。此外，如果認證機構(gòu)有多個辦公場所或客戶有多個場所，則應(yīng)確保授予認證的認證機構(gòu)與客戶之間具有覆蓋認證范圍內(nèi)所有場所的在法律上具有強制實施力的協(xié)議。
注：一項協(xié)議可以由多個相互引用或以其他方式相互聯(lián)系的協(xié)議來實現(xiàn)。
5.1.3認證決定的責任
認證機構(gòu)應(yīng)對與認證有關(guān)的決定（包括授予、拒絕、保持認證，擴大或縮小認證范圍，更新、暫停、在暫停后恢復、撤銷認證）負責，并應(yīng)保持做出上述決定的權(quán)力。
5.2公正性的管理
5.2.1合格評定活動應(yīng)以公正的方式實施。認證機構(gòu)應(yīng)對其合格評定活動的公正性負責，不應(yīng)允許商業(yè)、財務(wù)或其他壓力損害公正性。
5.2.2認證機構(gòu)最高管理層應(yīng)對管理體系認證活動的公正性做出承諾。認證機構(gòu)應(yīng)具有政策，表明其理解公正性在實施管理體系認證活動中的重要性，對利益沖突加以管理，并確保其管理體系認證活動的客觀性。
5.2.3認證機構(gòu)應(yīng)有過程以持續(xù)地識別、分析、評估、處置、監(jiān)視與認證活動引起
的利益沖突相關(guān)的風險，并將其形成文件，包括認證機構(gòu)的各種關(guān)系引起的沖突。當存在對公正性的威脅時，認證機構(gòu)應(yīng)將其如何消除或最大減小此類威脅形成文件，并予以證實，并將任何殘留風險形成文件。所作的證實應(yīng)包括所有已識別的潛在威脅，無論其產(chǎn)生于認證機構(gòu)內(nèi)部還是其他個人、機構(gòu)或組織的活動。當某種關(guān)系對認證機構(gòu)的公正性構(gòu)成不可接受的威脅時（如認證機構(gòu)的全資子公司向其申請認證），認證機構(gòu)不應(yīng)提供認證。
最高管理層應(yīng)審查任何殘留風險并決定其是否處于可接受的水平。
風險評估過程應(yīng)包括識別適宜的利益相關(guān)方，并就影響公正性（包括公開性和公眾認知）的事宜向其征詢意見。向適宜的利益相關(guān)方征詢意見應(yīng)以均衡的、任一方不處于支配地位的方式進行。
注 1：認證機構(gòu)公正性的威脅可能源自其所有權(quán)、法人治理結(jié)構(gòu)、管理層、人員、共享資源、財務(wù)、合同、培訓、營銷以及給介紹新客戶的人銷售傭金或其他好處等。
注 2：利益相關(guān)方可能包括：認證機構(gòu)的人員和客戶，獲證客戶的顧客，行業(yè)協(xié)會代表，政府監(jiān)管機構(gòu)或其他政府部門的代表，或非政府組織（包括消費者組織）的代表。
注 3：滿足本條征詢意見要求的一種方式是使用一個由這些利益相關(guān)方組成的委
員會。
5.2.4認證機構(gòu)不應(yīng)對另一認證機構(gòu)的質(zhì)量管理體系進行認證。
5.2.5認證機構(gòu)及同一法律實體的任何其他部分以及處于認證機構(gòu)的組織控制（見
9.5.1.2 b））之下的任何實體不應(yīng)提供或推薦管理體系咨詢，也不應(yīng)為管理體系咨詢提供報價。本條款同樣適用于政府中被識別為認證機構(gòu)的那一部分。
注：本條不排除認證機構(gòu)與其客戶之間交流信息的可能性（例如解釋發(fā)現(xiàn)或澄清要求）。
5.2.6認證機構(gòu)及同一法律實體的任何其他部分向認證機構(gòu)的獲證客戶提供內(nèi)部審核是對公正性的嚴重威脅。因此，認證機構(gòu)及同一法律實體的任何其他部分以及處于認證機構(gòu)的組織控制（見 9.5.1.2 b））之下的任何實體不應(yīng)向獲證客戶提供內(nèi)部審核。一種公認的減輕這種威脅的方式是，如果認證機構(gòu)對某個管理體系提供了內(nèi)部審核，則不應(yīng)在內(nèi)部審核結(jié)束后至少兩年內(nèi)對該管理體系進行認證。
注：見 5.2.3 注 1。
5.2.7如果客戶接受了與認證機構(gòu)有關(guān)系的機構(gòu)的管理體系咨詢，這是對公正性的嚴重威脅。一種公認的減輕這種威脅的方式是，認證機構(gòu)在咨詢結(jié)束后至少兩年內(nèi)不應(yīng)對該管理體系進行認證。
注：見 5.2.3 注 1。
5.2.8認證機構(gòu)不應(yīng)將審核外包給管理體系咨詢機構(gòu)，因為這一做法將對認證機構(gòu)的公正性構(gòu)成不可接受的威脅（見 7.5）。本條款不適用于 7.3 所述的作為簽約審核員的個人。
5.2.9認證機構(gòu)活動的營銷或報價不應(yīng)與管理體系咨詢機構(gòu)的活動有聯(lián)系。如果任何咨詢機構(gòu)的鏈接或聲明宣稱或暗示選擇某認證機構(gòu)將使認證更為簡單、容易、迅速或廉價，則該認證機構(gòu)應(yīng)采取措施糾正這種不當表述。認證機構(gòu)不應(yīng)宣稱或暗示選擇某咨詢機構(gòu)將使認證更為簡單、容易、迅速或廉價。
5.2.10為確保沒有利益沖突，參與了對客戶管理體系咨詢的人員（包括管理人員）不應(yīng)被認證機構(gòu)用于針對該客戶的審核或其他認證活動。一種公認的減輕該威脅的方式是在咨詢結(jié)束后至少兩年內(nèi)不應(yīng)使用該人員。
5.2.11認證機構(gòu)應(yīng)采取措施，以應(yīng)對其他人員、機構(gòu)或組織的行為對其公正性產(chǎn)生的威脅。
5.2.12認證機構(gòu)所有可以影響認證活動的人員（內(nèi)部或外部的）或委員會應(yīng)公正行事，且不應(yīng)允許商業(yè)、財務(wù)或其他方面的壓力損害公正性。
5.2.13認證機構(gòu)應(yīng)要求內(nèi)部和外部的人員告知他們所了解的任何可以使其或認證機構(gòu)陷入利益沖突的情況。認證機構(gòu)應(yīng)記錄并利用這些信息識別他們或其所在單位的活動對公正性產(chǎn)生的威脅，且應(yīng)在他們能夠證明沒有利益沖突之后再使用這些內(nèi)部或外部人員。
5.3責任和財力
5.3.1認證機構(gòu)應(yīng)能證明已對認證活動引發(fā)的風險進行了評估，并對各個活動領(lǐng)域和運作地域的業(yè)務(wù)引發(fā)的責任作了充分的安排（如保險或儲備金）。
5.3.2認證機構(gòu)應(yīng)評估其財務(wù)狀況和收入來源，并證明其公正性始終沒有受到商業(yè)、財務(wù)和其他方面壓力的損害。
6結(jié)構(gòu)要求
6.1組織結(jié)構(gòu)和最高管理層
6.1.1認證機構(gòu)應(yīng)將其組織結(jié)構(gòu)、管理層和其他認證人員及各委員會的職責、責任和權(quán)力形成文件。當認證機構(gòu)是一個法律實體內(nèi)有明確界定的一部分時，該文件應(yīng)說明認證機構(gòu)與該法律實體間的權(quán)力關(guān)系以及與同一法律實體內(nèi)其他部分的關(guān)系。
6.1.2認證機構(gòu)的結(jié)構(gòu)和管理方式應(yīng)維護認證活動的公正性。
6.1.3認證機構(gòu)應(yīng)確定對下列各項具有全部權(quán)力和責任的最高管理層（委員會、小組或個人）：
a)與認證機構(gòu)運作有關(guān)的政策的制定以及過程和程序的建立；
b)政策、過程和程序?qū)嵤┑谋O(jiān)督；
c)確保公正性；
d)認證機構(gòu)財務(wù)的監(jiān)督；
e)管理體系認證服務(wù)和認證方案的開發(fā)；
f)審核與認證的實施和對投訴的回應(yīng)；
g)認證決定；
h)在需要時，授權(quán)委員會或個人代表最高管理層開展規(guī)定的活動；
i)合同安排；
j)為認證活動提供充分的資源。
6.1.4認證機構(gòu)應(yīng)有關(guān)于任何參與認證活動的委員會的任命、權(quán)限和運行的正式規(guī)則。
6.2運行控制
6.2.1認證機構(gòu)應(yīng)有過程對其分支辦公室、合伙人、代理、特許經(jīng)營者等交付的認證活動進行有效控制，不論其法律地位、關(guān)系或地理位置如何。認證機構(gòu)應(yīng)考慮這些活動給認證機構(gòu)的能力、一致性和公正性帶來的風險。
6.2.2認證機構(gòu)應(yīng)考慮與所從事活動相適宜的控制水平和方法，包括其過程、運作的技術(shù)領(lǐng)域、人員能力、管理控制和報告關(guān)系以及對操作系統(tǒng)（包括記錄）的遠程訪問。
7資源要求
7.1人員能力
7.1.1總體考慮
認證機構(gòu)應(yīng)有過程來確保其人員對其運作涉及的管理體系類型（例如質(zhì)量管理體系、環(huán)境管理體系、信息安全管理體系）和地域有適宜的相關(guān)知識與技能。
7.1.2能力準則的確定
認證機構(gòu)應(yīng)有過程，以確定參與管理和實施審核及其他認證活動的人員的能力準則。應(yīng)根據(jù)每類管理體系標準的要求，針對每個技術(shù)領(lǐng)域和認證過程中的每項職能確定能力準則。該過程的輸出應(yīng)是形成文件的所要求知識和技能的準則，這些知識和技能是有效地實施審核與認證任務(wù)以實現(xiàn)預期結(jié)果所必需的。附錄A明確了認證機構(gòu)應(yīng)為特定職能確定的知識和技能。如果已經(jīng)為特定的標準或認證方案建立了附加的特定能力準則（例如ISO/IEC TS 17021-2（CNAS-CC121），ISO/IEC TS 17021-3
（CNAS-CC131）或ISO/TS 22003（CNAS-CC18）），這些附加的特定能力準則應(yīng)得到應(yīng)用。
注：取決于不同的管理體系標準，術(shù)語“技術(shù)領(lǐng)域”的應(yīng)用方式可以有所不同。對于任何管理體系，該術(shù)語都與管理體系標準范圍內(nèi)的產(chǎn)品、過程和服務(wù)有關(guān)。技術(shù)領(lǐng)域可由特定認證方案（例如ISO/TS 22003（CNAS-CC18））定義；或者可以由認證機構(gòu)定義。該術(shù)語用于涵蓋不同管理體系領(lǐng)域傳統(tǒng)使用的一些其他術(shù)語，例如“范圍”、“類別”、“行業(yè)”等。
7.1.3評價過程
認證機構(gòu)應(yīng)有形成文件的過程，以應(yīng)用所確定的能力準則，對所有參與管理和實施審核及其他認證活動的人員進行初始能力評價，并持續(xù)監(jiān)視其能力和績效。認證機構(gòu)應(yīng)證實其評價方法是有效的。這些過程的輸出應(yīng)是識別出有能力的人員，即被證實具有審核與認證過程不同職能所需的能力水平的人員。在認證機構(gòu)內(nèi)，人員為其活動績效承擔責任前，能力應(yīng)得到證實。
注1：附錄B介紹了一些可用于能力評價的評價方法。注 2：附錄 C 提供了一個能力確定和保持流程的示例。
7.1.4其他考慮
認證機構(gòu)應(yīng)有獲取必要的專業(yè)知識與技能的途徑，以在其運作涉及的所有技術(shù)領(lǐng)域、管理體系類型和地域等方面獲得與認證活動直接相關(guān)的建議。這些建議可由外部人員或認證機構(gòu)人員提供。
7.2參與認證活動的人員
7.2.1認證機構(gòu)應(yīng)有足夠的、有能力的人員以對其各種類型與范圍的審核方案以及其他認證工作進行管理和支持。
7.2.2認證機構(gòu)應(yīng)聘用或有途徑獲得足夠數(shù)量的審核員（包括審核組長）和技術(shù)專家，以覆蓋其所有活動并滿足審核工作量的需要。
7.2.3認證機構(gòu)應(yīng)使所有相關(guān)人員清楚自己的任務(wù)、責任和權(quán)力。
7.2.4認證機構(gòu)應(yīng)有過程來選擇、培訓、正式任用審核員，選擇并培養(yǎng)認證活動使用的技術(shù)專家。審核員的初始能力評價應(yīng)包括在審核中應(yīng)用所需知識與技能的本領(lǐng)的證實。在審核中應(yīng)用所需知識與技能的本領(lǐng)應(yīng)由有能力的評價者在對審核員審核的見證中確定。
注：在上述的選擇和培訓過程中可以考慮所期望的個人行為。所期望的個人行為是影響一個人實施特定職能的能力的特性。對個人行為的了解能使認證機構(gòu)能夠發(fā)揮人員的強項并盡可能減小其弱點的影響。附錄D介紹了所期望的個人行為，它們對參與認證活動的人員是重要的。
7.2.5認證機構(gòu)應(yīng)有實現(xiàn)和證實有效審核的過程。該過程應(yīng)確保所使用的審核員和審核組長具備通用的審核知識與技能以及特定技術(shù)領(lǐng)域?qū)徍怂璧闹R與技能。
7.2.6認證機構(gòu)應(yīng)確保審核員（需要時，包括技術(shù)專家）充分了解其審核過程、認證要求和其他相關(guān)要求。認證機構(gòu)應(yīng)使審核員和技術(shù)專家有途徑獲取指導審核和提供認證活動所有相關(guān)信息的現(xiàn)行有效的文件化程序。
7.2.7認證機構(gòu)應(yīng)識別培訓需求，并向?qū)徍藛T、技術(shù)專家和其他參與認證活動的人員提供或使其有機會參加特定的培訓，以確保他們勝任所從事的工作。
7.2.8做出授予、拒絕、保持、更新、暫停、恢復或撤銷認證或者擴大或縮小認證范圍等決定的小組或個人應(yīng)理解適用的標準和認證要求，并經(jīng)證實有能力評價審核過程的結(jié)果，包括審核組的相關(guān)推薦意見。
7.2.9認證機構(gòu)應(yīng)確保所有參與審核和其他認證活動的人員均有令人滿意的表現(xiàn)。認證機構(gòu)應(yīng)有形成文件的過程，以根據(jù)這些人員的使用頻率及其活動的風險水平來監(jiān)視他們的能力和表現(xiàn)。認證機構(gòu)尤其應(yīng)根據(jù)人員的表現(xiàn)來復核并記錄他們的能力，以識別培訓需求。
7.2.10認證機構(gòu)應(yīng)在監(jiān)視每個審核員時考慮該審核員被認為有能力的每個管理體系類型。形成文件的審核員監(jiān)視過程應(yīng)把現(xiàn)場評價、審核報告復核及客戶或市場反饋相結(jié)合。認證機構(gòu)應(yīng)在文件要求中詳細說明該程序。在設(shè)計監(jiān)視方式時，應(yīng)使正常認證過程所受干擾最小（尤其是從客戶角度來看）。
7.2.11認證機構(gòu)應(yīng)定期對每位審核員的表現(xiàn)進行現(xiàn)場評價?，F(xiàn)場評價的頻率應(yīng)取決于根據(jù)所有可獲得的監(jiān)視信息確定的現(xiàn)場見證需求。
7.3外部審核員和外部技術(shù)專家的使用
認證機構(gòu)應(yīng)要求外部審核員和外部技術(shù)專家通過書面協(xié)議承諾其遵守認證機構(gòu)適用的政策并按照認證機構(gòu)的規(guī)定實施相關(guān)過程。該協(xié)議應(yīng)含有關(guān)于保密及公正性的條款，并要求外部審核員和外部技術(shù)專家向認證機構(gòu)說明現(xiàn)在或以前與可能派其審核的組織的關(guān)系。
注：使用個人或另一組織的單個雇員作為外部審核員或技術(shù)專家不構(gòu)成外包。
7.4人員記錄
認證機構(gòu)應(yīng)保持人員（包括認證活動實施人員、管理人員和行政人員）的最新記錄，包括相關(guān)的資格、培訓、經(jīng)歷、隸屬關(guān)系、專業(yè)狀況和能力的記錄。
7.5外包
7.5.1認證機構(gòu)應(yīng)說明可以進行外包（即向另一個組織分包，由其代表認證機構(gòu)提供部分認證服務(wù)）的條件。認證機構(gòu)應(yīng)與每個承擔外包服務(wù)的機構(gòu)就相關(guān)安排（包括保密和利益沖突）簽訂在法律上具有強制實施力的協(xié)議。
7.5.2授予、拒絕、保持認證，擴大或縮小認證范圍，更新、暫停、恢復或者撤銷認證的決定不應(yīng)外包。
7.5.3認證機構(gòu)應(yīng)：
a)對外包給另一機構(gòu)的所有活動負責；
b)確保外包服務(wù)承擔機構(gòu)及其使用的人員符合認證機構(gòu)的要求和本文件的適用要求，包括能力、公正性和保密；
c)確保外包服務(wù)承擔機構(gòu)及其使用的人員與擬審核的組織沒有可能損害公正性的關(guān)系（無論是直接的還是通過任何其他雇主發(fā)生的關(guān)系）。
7.5.4認證機構(gòu)應(yīng)有過程，以對認證活動的所有外包服務(wù)承擔機構(gòu)進行批準和監(jiān)視，且應(yīng)確保其參與認證活動的所有人員的能力記錄得到保持。
注1：對于7.5.1至7.5.4，當認證機構(gòu)聘用個人或其他組織的雇員來補充資源或?qū)I(yè)能力時，如果認證機構(gòu)與個人簽約，以使其在認證機構(gòu)的管理體系下運作（見7.3），不構(gòu)成外包。
注2：對于7.5.1至7.5.4，“外包”與“分包”視為同義詞。
8信息要求
8.1公開信息
8.1.1認證機構(gòu)應(yīng)在其運營的所有地理區(qū)域中保持（通過出版物、電子介質(zhì)或其他方式）并主動公布下列方面的信息：
a)審核過程；
b)授予、拒絕、保持、更新、暫停、恢復或撤銷認證或者擴大或縮小認證范圍的過程；
c)其運作涉及的管理體系類型和認證方案；
d)認證機構(gòu)的名稱和認證標志或徽標的使用；
e)對索要信息的請求、投訴和申訴的處理過程；
f)公正性政策。
8.1.2認證機構(gòu)應(yīng)在有請求時提供下列方面的信息：
a)其運作涉及的地理區(qū)域；
b)特定認證的狀態(tài)；
c)特定獲證客戶的名稱、相關(guān)的規(guī)范性文件、認證范圍和地理位置（國家和城市）。
注1：在特殊情況下，可以根據(jù)客戶的請求（如出于安全原因）對某些信息的公開程度做出限制。
注2：認證機構(gòu)也可以通過任何方式主動公開8.1.2中的信息，例如在其網(wǎng)站上。
8.1.3認證機構(gòu)向客戶或市場提供的信息（包括廣告）應(yīng)準確且不使人產(chǎn)生誤解。
8.2認證文件
8.2.1認證機構(gòu)應(yīng)以其選擇的任何方式向獲證客戶提供認證文件。
8.2.2認證文件應(yīng)標明：
a)每個獲證客戶的名稱和地理位置（或多場所認證范圍內(nèi)總部和所有場所的地理位置）；
b)授予認證、擴大或縮小認證范圍、更新認證的生效日期，生效日期不應(yīng)早于相關(guān)認證決定的日期；
注：當證書失效一段時間時，認證機構(gòu)在滿足下列條件時，可以在證書上保留原始的認證日期：
-清晰標示了當前認證周期的開始時間和截止時間；
-把上一認證周期截止時間連同再認證審核的時間一起標示。
c)認證有效期或與認證周期一致的應(yīng)進行再認證的日期；
d)惟一識別代碼；
e)審核獲證客戶時所用的管理體系標準和（或）其他規(guī)范性文件，包括發(fā)布狀態(tài)的標示（例如修訂時間或編號）；
f)與活動、產(chǎn)品和服務(wù)類型等相關(guān)的認證范圍，適用時，包括每個場所相應(yīng)的認證范圍，且沒有誤導或歧義；
g)認證機構(gòu)的名稱、地址和認證標志；可以使用其他標識（如認可標識、客戶的徽標），但不能產(chǎn)生誤導或含混不清；
h)認證用標準和（或）其他規(guī)范性文件所要求的任何其他信息；
i)在頒發(fā)經(jīng)過修改的認證文件時，區(qū)分新文件與任何已作廢文件的方法。
8.3認證資格的引用和標志的使用
8.3.1認證機構(gòu)對其授權(quán)獲證客戶使用的任何管理體系認證標志應(yīng)有管理規(guī)則。這些規(guī)則應(yīng)確?？梢詮臉酥咀匪莸秸J證機構(gòu)。標志或所附文字不應(yīng)使人對認證對象和授予認證的認證機構(gòu)產(chǎn)生歧義。標志不應(yīng)用于產(chǎn)品或產(chǎn)品包裝之上，或以任何其他可解釋為表示產(chǎn)品符合性的方式使用。
注：GB/T 27030 對使用第三方標志提供了補充信息。
8.3.2認證機構(gòu)不應(yīng)允許其標志被獲證客戶用于實驗室檢測、校準或檢驗的報告或證書。
8.3.3認證機構(gòu)應(yīng)對在產(chǎn)品包裝上或附帶信息中聲明獲證客戶的管理體系通過認證
有管理規(guī)則。產(chǎn)品包裝的判別標準是其可從產(chǎn)品上移除且不會導致產(chǎn)品分解、碎裂或損壞。附帶信息的判別標準是其可分開獲得或易于分離。型號標簽或銘牌被視為產(chǎn)品的一部分。聲明決不應(yīng)暗示產(chǎn)品、過程或服務(wù)以這種方式得到了認證。聲明應(yīng)包含對下列的引用：
-- 獲證客戶的標識（例如品牌或名稱）；
-- 管理體系的類型（例如質(zhì)量、環(huán)境）和適用標準；
-- 頒發(fā)證書的認證機構(gòu)。
8.3.4認證機構(gòu)應(yīng)通過在法律上具有強制實施力的安排，要求獲證客戶：
a)在傳播媒介（如互聯(lián)網(wǎng)、宣傳冊或廣告）或其他文件中引用認證狀態(tài)時，應(yīng)符合認證機構(gòu)的要求；
b)不做出或不允許有關(guān)于其認證資格的誤導性說明；
c)不以或不允許以誤導性方式使用認證文件或其任何部分；
d)在其認證被撤銷時，按照認證機構(gòu)的指令立即停止使用所有引用認證資格的廣告材料（見9.6.5）；
e)在認證范圍被縮小時，修改所有的廣告材料；
f)不允許在引用其管理體系認證資格時，暗示認證機構(gòu)對產(chǎn)品（包括服務(wù)）或過程進行了認證；
g)不得暗示認證適用于認證范圍以外的活動和場所；
h)在使用認證資格時，不得使認證機構(gòu)和（或）認證制度聲譽受損，失去公眾信任。
8.3.5認證機構(gòu)應(yīng)正確地控制其所有權(quán)，并采取措施處理認證狀態(tài)的錯誤引用或認證文件、標志或?qū)徍藞蟾娴恼`導性使用。
注：此類措施可以包括要求糾正或采取糾正措施、暫停認證、撤銷認證、公告違規(guī)行為以及必要的法律措施。
8.4保密
8.4.1認證機構(gòu)應(yīng)通過在法律上具有強制實施力的協(xié)議，對在其各個層次（包括代表其活動的委員會、外部機構(gòu)或個人）從事認證活動時獲得或產(chǎn)生的所有信息的管理負責。
8.4.2認證機構(gòu)應(yīng)將其擬對公眾公開的信息提前告知客戶。所有其他信息均應(yīng)視為保密信息，客戶自己公開的信息除外。
8.4.3除本文件有要求外，關(guān)于特定獲證客戶或個人的信息，未經(jīng)其書面同意，不應(yīng)向第三方披露。
8.4.4當法律要求認證機構(gòu)或者合同安排（例如與認可機構(gòu)簽訂的）授權(quán)認證機構(gòu)提供保密信息時，除法律禁止外，認證機構(gòu)應(yīng)將擬提供的信息提前通知有關(guān)客戶或個人。
8.4.5從其他來源（如投訴人、監(jiān)管機構(gòu)）獲得的關(guān)于客戶的信息應(yīng)根據(jù)認證機構(gòu)的政策按保密信息處理。
8.4.6認證機構(gòu)的人員，包括代表認證機構(gòu)工作的任何委員會成員、合同方、外部機構(gòu)人員或個人，除法律有要求外，應(yīng)對從事認證機構(gòu)的活動時獲得或產(chǎn)生的所有信息予以保密。
8.4.7認證機構(gòu)應(yīng)有確保保密信息得到安全處理的過程以及適用的設(shè)備和設(shè)施。
8.5認證機構(gòu)與其客戶間的信息交換
8.5.1認證過程和要求的信息
認證機構(gòu)應(yīng)向客戶提供并為其更新以下信息：
a)對認證活動整個過程的詳細說明，包括申請、初次審核、監(jiān)督審核和授予、拒絕、保持認證、擴大或縮小認證范圍、更新、暫?；蚧謴突蛘叱蜂N認證的過程；
b)認證依據(jù)的規(guī)范性要求；
c)申請、初次認證和保持認證資格所需費用的信息；
d)認證機構(gòu)對客戶的要求：
1)遵守認證要求；
2)為實施審核做出所有必要的安排，包括在初次認證、監(jiān)督、再認證和解決投訴時，為檢查文件和接觸所有過程與區(qū)域、記錄及人員提供條件；
3)適用時，為接納到場的觀察員（如認可評審員或?qū)嵙晫徍藛T）提供條件。
e)對獲證客戶根據(jù)8.3的要求在各類溝通中引用認證資格時的權(quán)利和責任（包括要求）予以說明的文件；
f)投訴和申訴處理過程的信息。
8.5.2認證機構(gòu)的變更通知
認證機構(gòu)應(yīng)以適當方式將其認證要求的任何變更通知獲證客戶。認證機構(gòu)應(yīng)驗證每個獲證客戶符合新的要求。
8.5.3獲證客戶的變更通知
認證機構(gòu)應(yīng)做出在法律上具有強制實施力的安排，以確保獲證客戶即時將可能影響管理體系持續(xù)滿足認證標準要求的能力的事宜通知認證機構(gòu)，包括（但不限于）與下列方面有關(guān)的變更：
a)法律地位、經(jīng)營狀況、組織狀態(tài)或所有權(quán)；
b)組織和管理層（如關(guān)鍵的管理、決策或技術(shù)人員）；
c)聯(lián)系地址和場所；
d)獲證管理體系覆蓋的運作范圍；
e)管理體系和過程的重大變更。認證機構(gòu)應(yīng)采取適當?shù)男袆印?br /> 9過程要求
9.1認證前的活動
9.1.1申請
認證機構(gòu)應(yīng)要求申請組織的授權(quán)代表提供必要的信息，以便認證機構(gòu)確定：
a)申請認證的范圍；
b)特定認證方案所要求的申請組織的相關(guān)詳細情況，包括其名稱、場所的地址、過程和運作的重要方面、人力資源和技術(shù)資源、職能、關(guān)系以及任何相關(guān)的法律義務(wù)；
c)識別申請組織采用的所有影響符合性的外包過程；
d)申請組織尋求認證的標準或其他要求；
e)是否接受過與擬認證的管理體系有關(guān)的咨詢，如果接受過，由誰提供咨詢。
9.1.2申請評審
9.1.2.1認證機構(gòu)應(yīng)對認證申請及補充信息進行評審，以確保：
a)關(guān)于申請組織及其管理體系的信息足以建立審核方案（見9.1.3）；
b)解決了認證機構(gòu)與申請組織之間任何已知的理解差異；
c)認證機構(gòu)有能力并能夠?qū)嵤┱J證活動；
d)考慮了申請的認證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認證活動的因素（語言、安全條件、對公正性的威脅等）；
9.1.2.2在申請評審后，認證機構(gòu)應(yīng)接受或拒絕認證申請。當認證機構(gòu)基于申請評審的結(jié)果拒絕認證申請時，應(yīng)記錄拒絕申請的原因并使客戶清楚拒絕的原因。
9.1.2.3根據(jù)上述評審，認證機構(gòu)應(yīng)確定審核組及進行認證決定需要具備的能力。
9.1.3審核方案
9.1.3.1應(yīng)對整個認證周期制定審核方案，以清晰地識別所需的審核活動，這些審核活動用以證實客戶的管理體系符合認證所依據(jù)標準或其他規(guī)范性文件的要求。認證周期的審核方案應(yīng)覆蓋全部的管理體系要求。
9.1.3.2初次認證審核方案應(yīng)包括兩階段初次審核、認證決定之后的第一年與第二年
的監(jiān)督審核和第三年在認證到期前進行的再認證審核。第一個三年的認證周期從初次認證決定算起。以后的周期從再認證決定（見9.6.3.2.3）算起。審核方案的確定和任何后續(xù)調(diào)整應(yīng)考慮客戶的規(guī)模，其管理體系、產(chǎn)品和過程的范圍與復雜程度，以及經(jīng)過證實的管理體系有效性水平和以前審核的結(jié)果。
注1：附錄E提供了一個典型的審核與認證過程的流程圖。
注2：下面列舉了建立或修改審核方案時可能需要考慮的其他事項，在確定審核范圍和編制審核計劃時可能也需要考慮這些事項：
-認證機構(gòu)收到的對客戶的投訴；
-結(jié)合、一體化或聯(lián)合審核；
-認證要求的變化；
-法律要求的變化；
-認可要求的變化；
-組織的績效數(shù)據(jù)（例如缺陷水平、關(guān)鍵績效指標（KPI）數(shù)據(jù)等）；
-利益相關(guān)方的關(guān)注。
注3：如果特定的行業(yè)認證方案有規(guī)定，認證周期可以不為3年
9.1.3.3監(jiān)督審核應(yīng)至少每個日歷年（應(yīng)進行再認證的年份除外）進行一次。初次認證后的第一次監(jiān)督審核應(yīng)在認證決定日期起12個月內(nèi)進行。
注：為了考慮諸如季節(jié)或有限時段的管理體系認證（例如臨時施工場所）等因素，可能有必要調(diào)整監(jiān)督審核的頻次。
9.1.3.4如果認證機構(gòu)考慮客戶已獲的認證或由另一認證機構(gòu)實施的審核，則應(yīng)獲取并保留充足的證據(jù)，例如報告和對不符合采取的糾正措施的文件。所獲取的文件應(yīng)為滿足本文件要求提供支持。認證機構(gòu)應(yīng)根據(jù)獲取的信息證明對審核方案的任何調(diào)整的合理性，并予以記錄，并對以前不符合的糾正措施的實施進行跟蹤。
9.1.3.5如果客戶采用輪班作業(yè)，應(yīng)在建立審核方案和編制審核計劃時考慮在輪班工作中發(fā)生的活動。
9.1.4確定審核時間
9.1.4.1認證機構(gòu)應(yīng)有形成文件的確定審核時間的程序。認證機構(gòu)應(yīng)針對每個客戶確定策劃和完成對其管理體系的完整有效審核所需的時間。
9.1.4.2在確定審核時間時，認證機構(gòu)應(yīng)考慮（但不限于）以下方面：
a)相關(guān)管理體系標準的要求；
b)客戶及其管理體系的復雜程度；
c)技術(shù)和法規(guī)環(huán)境；
d)管理體系范圍內(nèi)活動的分包情況；
e)以前審核的結(jié)果；
f)場所的數(shù)量和規(guī)模、地理位置以及對多場所的考慮；
g)與組織的產(chǎn)品、過程或活動相關(guān)聯(lián)的風險；
h)是否是結(jié)合審核、聯(lián)合審核或一體化審核。
注1：往返于審核場所之間所花費的時間不計入管理體系認證審核時間。
注2：認證機構(gòu)在制定文件化過程時，可以使用ISO/IEC TS 17023建立的指南來確定管理體系認證審核時間。
在已為特定的認證方案確定了特定的準則時，例如ISO/TS 22003（CNAS-CC18）或ISO/IEC 27006（CNAS-CC17），這些特定準則應(yīng)得到采用。
9.1.4.3認證機構(gòu)應(yīng)記錄管理體系審核的時間及其合理性。
9.1.4.4未被指派為審核員的審核組成員（即技術(shù)專家、翻譯人員、觀察員和實習審核員）所花費的時間不應(yīng)計入上面所確定的審核時間。
注：使用翻譯人員可能需要額外增加審核時間。
9.1.5多場所的抽樣
當客戶管理體系包含在多個地點進行的相同活動時，如果認證機構(gòu)在審核中使用多場所抽樣，則應(yīng)制定抽樣方案以確保對該管理體系的正確審核。認證機構(gòu)應(yīng)針對每個客戶將抽樣計劃的合理性形成文件。一些特定的認證方案不允許抽樣，如果特定認證方案已經(jīng)建立了具體準則（例如ISO/TS 22003（CNAS-CC18）），應(yīng)采用這些準則。
注：當多場所不是覆蓋相同的活動時，抽樣是不適宜的。
9.1.6多管理體系標準
認證機構(gòu)在提供依據(jù)多個管理體系標準進行認證時，審核策劃應(yīng)確保充分的現(xiàn)場審核，以提供對認證的信任。
9.2策劃審核
9.2.1確定審核目的、范圍和準則
9.2.1.1審核目的應(yīng)由認證機構(gòu)確定。審核范圍和準則，包括任何更改，應(yīng)由認證機構(gòu)在與客戶商討后確定。
9.2.1.2審核目的應(yīng)說明審核要完成什么，并應(yīng)包括下列內(nèi)容：
a)確定客戶管理體系或其部分與審核準則的符合性；
b)確定管理體系確?？蛻魸M足適用的法律、法規(guī)及合同要求的能力；
注：管理體系認證審核不是合規(guī)性審核。
c)確定管理體系在確?？蛻艨梢院侠眍A期實現(xiàn)其規(guī)定目標方面的有效性；
d)適用時，識別管理體系的潛在改進區(qū)域。
9.2.1.3審核范圍應(yīng)說明審核的內(nèi)容和界限，例如擬審核的場所、組織單元、活動及過程。當初次認證或再認證過程包含一次以上審核（例如覆蓋不同場所的審核）時，單次審核的范圍可能并不覆蓋整個認證范圍，但整個審核所覆蓋的范圍應(yīng)與認證文件中的范圍一致。
9.2.1.4審核準則應(yīng)被用作確定符合性的依據(jù)，并應(yīng)包括：
——所確定的管理體系規(guī)范性文件的要求；
——所確定的由客戶制定的管理體系的過程和文件。
9.2.2選擇和指派審核組
9.2.2.1總則
9.2.2.1.1認證機構(gòu)應(yīng)有根據(jù)實現(xiàn)審核目的所需的能力以及公正性要求來選擇和任命
審核組（包括審核組長以及必要的技術(shù)專家）的過程。如果僅有一名審核員，該審核員應(yīng)有能力履行適用于該審核的審核組長職責。審核組應(yīng)整體上具備認證機構(gòu)按照
9.1.2.3 確定的審核能力。
9.2.2.1.2決定審核組的規(guī)模和組成時，應(yīng)考慮下列因素：
a)審核目的、范圍、準則和預計的審核時間；
b)是否是結(jié)合、聯(lián)合或一體化審核；
c)實現(xiàn)審核目的所需的審核組整體能力（見表A.1）；
d)認證要求（包括任何適用的法律、法規(guī)或合同要求）；
e)語言和文化；
注：結(jié)合審核或一體化審核的審核組長宜至少對一個標準有深入的知識，并了解該審核所使用的其他標準。
9.2.2.1.3審核組長和審核員所需的知識和技能可以通過技術(shù)專家和翻譯人員補充。技術(shù)專家和翻譯人員應(yīng)在審核員的指導下工作。使用翻譯人員時，翻譯人員的選擇要避免他們對審核產(chǎn)生不正當影響。
注：技術(shù)專家的選擇準則根據(jù)每次審核的審核組和審核范圍的需要為基礎(chǔ)確定。
9.2.2.1.4實習審核員可以參與審核，此時要指派一名審核員作為評價人員。評價人員應(yīng)有能力接管實習審核員的任務(wù)，并對實習審核員的活動和審核發(fā)現(xiàn)最終負責。
9.2.2.1.5審核組長在與審核組商議后，應(yīng)向每個審核組成員分配對特定過程、職能、場所、區(qū)域或活動實施審核的職責。所進行的分配應(yīng)考慮到所需的能力、有效并高效地使用審核組以及審核員、實習審核員和技術(shù)專家的不同作用和職責。在審核進程中，為確保實現(xiàn)審核目的，可以改變工作分配。
9.2.2.2觀察員、技術(shù)專家和向?qū)?br /> 9.2.2.2.1觀察員
認證機構(gòu)與客戶應(yīng)在實施審核前就審核活動中觀察員的到場及理由達成一致。審核組應(yīng)確保觀察員不對審核過程或?qū)徍私Y(jié)果造成不當影響或干預。
注：觀察員可以是客戶組織的成員、咨詢?nèi)藛T、實施見證的認可機構(gòu)人員、監(jiān)管人員或其他有合理理由的人員。
9.2.2.2.2技術(shù)專家
認證機構(gòu)應(yīng)在實施審核前與客戶就技術(shù)專家在審核活動中的作用達成一致。技術(shù)專家不應(yīng)擔任審核組中的審核員。技術(shù)專家應(yīng)由審核員陪同。
注：技術(shù)專家可以就審核準備、策劃或?qū)徍讼驅(qū)徍私M提出建議。
9.2.2.2.3向?qū)?br /> 每個審核員應(yīng)由一名向?qū)阃?，除非審核組長與客戶另行達成一致。為審核組配備向?qū)菫榱朔奖銓徍?。審核組應(yīng)確保向?qū)Р挥绊懟虿桓深A審核過程或?qū)徍私Y(jié)果。
注1：向?qū)У穆氊熆梢园ǎ?br /> a)為面談建立聯(lián)系或安排時間；
b)安排對現(xiàn)場或組織的特定部分的訪問；
c)確保審核組成員知道并遵守關(guān)于現(xiàn)場安全和安保程序的規(guī)則；
d)代表客戶觀察審核；
e)應(yīng)審核員請求提供澄清或信息。
注2：適宜時，受審核方也可以擔任向?qū)А?br /> 9.2.3審核計劃
9.2.3.1總則
認證機構(gòu)應(yīng)確保為審核方案中確定的每次審核編制審核計劃，以便為有關(guān)各方就審核活動的日程安排和實施達成一致提供依據(jù)。
注：不期望認證機構(gòu)在建立審核方案時，為每次審核都編制審核計劃。
9.2.3.2編制審核計劃
審核計劃應(yīng)與審核目的和范圍相適應(yīng)。審核計劃至少應(yīng)包括或引用：
a)審核目的；
b)審核準則；
c)審核范圍，包括識別擬審核的組織和職能單元或過程；
d)擬實施現(xiàn)場審核活動（適用時，包括對臨時場所的訪問和遠程審核活動）的日期和場所；
e)預計的現(xiàn)場審核活動持續(xù)時間；
f)審核組成員及與審核組同行的人員（例如觀察員或翻譯）的角色和職責。
注：審核計劃的信息可以包含在一個以上的文件中。
9.2.3.3審核組任務(wù)的溝通
認證機構(gòu)應(yīng)明確說明審核組的任務(wù)。認證機構(gòu)應(yīng)要求審核組：
a)檢查和驗證客戶與管理體系標準相關(guān)的結(jié)構(gòu)、方針、過程、程序、記錄及相關(guān)文件；
b)確定上述方面滿足與擬認證范圍相關(guān)的所有要求；
c)確定客戶組織有效地建立、實施并保持了管理體系過程和程序，以便為建立對客戶管理體系的信任提供基礎(chǔ)；
d)告知客戶其方針、目標及指標的任何不一致，以使其采取措施。
9.2.3.4審核計劃的溝通
認證機構(gòu)應(yīng)提前與客戶就審核計劃進行溝通，并商定審核日期。
9.2.3.5審核組成員信息的通報
認證機構(gòu)應(yīng)向客戶提供審核組每位成員的姓名，并在客戶請求時使其能夠了解每位成員的背景情況。認證機構(gòu)應(yīng)留出足夠的時間，以使客戶能夠?qū)δ骋粚徍私M成員的任命表示反對，并在反對有效時使認證機構(gòu)能夠重組審核組。
9.3初次認證
9.3.1初次認證審核
9.3.1.1總則
管理體系的初次認證審核應(yīng)分兩個階段實施：第一階段和第二階段。
9.3.1.2第一階段
9.3.1.2.1策劃應(yīng)確保第一階段的目的能夠?qū)崿F(xiàn)，應(yīng)告知第一階段需實施的任何現(xiàn)場活動。
注：第一階段不要求正式的審核計劃（見 9.2.3）
9.3.1.2.2第一階段的目的為：
a)審核客戶的文件化的管理體系信息；
b)評價客戶現(xiàn)場的具體情況，并與客戶的人員進行討論，以確定第二階段的準備情況；
c)審查客戶理解和實施標準要求的情況，特別是對管理體系的關(guān)鍵績效或重要的因素、過程、目標和運作的識別情況；
d)收集關(guān)于客戶的管理體系范圍的必要信息，包括：
-客戶的場所
-使用的過程和設(shè)備
-所建立的控制的水平（特別是客戶為多場所時）
-適用的法律法規(guī)要求；
e)審查第二階段所需資源的配置情況，并與客戶商定第二階段的細節(jié)；
f)結(jié)合管理體系標準或其他規(guī)范性文件充分了解客戶的管理體系和現(xiàn)場運作，以便為策劃第二階段提供關(guān)注點；
g)評價客戶是否策劃和實施了內(nèi)部審核與管理評審，以及管理體系的實施程度能否證明客戶已為第二階段做好準備。
注：如果至少部分第一階段活動在客戶場所實施，這能有助于達到上述目的。
9.3.1.2.3認證機構(gòu)應(yīng)將第一階段目的是否達到及第二階段是否準備就緒的書面結(jié)論告知客戶，包括識別任何引起關(guān)注的、在第二階段可能被判定為不符合的問題。
注：第一階段的輸出不必滿足審核報告的所有要求（見 9.4.8）。
9.3.1.2.4認證機構(gòu)在確定第一階段和第二階段的間隔時間時，應(yīng)考慮客戶解決第一階段識別的任何需關(guān)注問題所需的時間。認證機構(gòu)也可能需要調(diào)整第二階段的安排。如果發(fā)生任何將影響管理體系的重要變更，認證機構(gòu)應(yīng)考慮是否有必要重復整個或部分第一階段。認證機構(gòu)應(yīng)告知客戶第一階段的結(jié)果有可能導致推遲或取消第二階段。
9.3.1.3第二階段
第二階段的目的是評價客戶管理體系的實施情況，包括有效性。第二階段應(yīng)在客戶的現(xiàn)場進行，并至少覆蓋以下方面：
a)與適用的管理體系標準或其他規(guī)范性文件的所有要求的符合情況及證據(jù)；
b)依據(jù)關(guān)鍵績效目標和指標（與適用的管理體系標準或其他規(guī)范性文件的期望一致），對績效進行的監(jiān)視、測量、報告和評審；
c)客戶管理體系的能力以及在符合適用法律法規(guī)要求和合同要求方面的績效；
d)客戶過程的運作控制；
e)內(nèi)部審核和管理評審；
f)針對客戶方針的管理職責；
9.3.1.4初次認證的審核結(jié)論
審核組應(yīng)對在第一階段和第二階段中收集的所有信息和證據(jù)進行分析，以評審審核發(fā)現(xiàn)并就審核結(jié)論達成一致。
9.4實施審核
9.4.1總則
認證機構(gòu)應(yīng)有實施現(xiàn)場審核的過程。該過程應(yīng)包括審核開始時的首次會議和審核結(jié)束時的末次會議。
當審核的任何部分以電子手段實施時，或擬審核的場所為虛擬場所時，認證機構(gòu)應(yīng)確保由具備適宜能力的人員實施此類活動。在此類審核活動中獲取的證據(jù)應(yīng)足以讓審核員對相關(guān)要求的符合性做出有根據(jù)的決定。
注：“現(xiàn)場”審核可以包括對包含管理體系審核相關(guān)信息的電子化場所的遠程訪問。也可以考慮使用電子手段實施審核。
9.4.2召開首次會議
應(yīng)與客戶的管理層（適用時，還包括擬審核職能或過程的負責人員）召開正式的首次會議。首次會議通常由審核組長主持，會議目的是簡要解釋將如何進行審核活動。詳略程度可與客戶對審核過程的熟悉程度相一致，并應(yīng)考慮下列方面：
a)介紹參會人員，包括簡要介紹其角色；
b)確認認證范圍；
c)確認審核計劃（包括審核的類型、范圍、目的和準則）及其任何變化，以及與客戶的其他相關(guān)安排，例如末次會議的日期和時間，審核期間審核組與客戶管理層的會議的日期和時間；
d)確認審核組與客戶之間的正式溝通渠道；
e)確認審核組可獲得所需的資源和設(shè)施；
f)確認與保密有關(guān)的事宜；
g)確認適用于審核組的相關(guān)的工作安全、應(yīng)急和安保程序；
h)確認可得到向?qū)Ш陀^察員及其角色和身份；
i)報告的方法，包括審核發(fā)現(xiàn)的任何分級；
j)說明可能提前終止審核的條件；
k)確認審核組長和審核組代表認證機構(gòu)對審核負責，并應(yīng)控制審核計劃（包括審核活動和審核路徑）的執(zhí)行；
l)適用時，確認以往評審或?qū)徍说陌l(fā)現(xiàn)的狀態(tài)；
m)基于抽樣實施審核的方法和程序；
n)確認審核中使用的語言；
o)確認在審核中將告知客戶審核進程及任何關(guān)注點；
p)讓客戶提問的機會。
9.4.3審核中的溝通
9.4.3.1在審核中，審核組應(yīng)定期評估審核的進程，并溝通信息。審核組長應(yīng)在需要時在審核組成員之間重新分配工作，并定期將審核進程及任何關(guān)注告知客戶。
9.4.3.2當可獲得的審核證據(jù)顯示審核目的無法實現(xiàn)，或顯示存在緊急和重大的風險（例如安全風險）時，審核組長應(yīng)向客戶（如果可能還應(yīng)向認證機構(gòu)）報告這一情況，以確定適當?shù)男袆?。該行動可以包括重新確認或修改審核計劃，改變審核目的或?qū)徍朔秶?，或者終止審核。審核組長應(yīng)向認證機構(gòu)報告所采取行動的結(jié)果。
9.4.3.3如果在現(xiàn)場審核活動的進行中發(fā)現(xiàn)需要改變審核范圍，審核組長應(yīng)與客戶審查該需要，并報告認證機構(gòu)。
9.4.4獲取和驗證信息
9.4.4.1在審核中應(yīng)通過適當?shù)某闃觼慝@取與審核目的、范圍和準則相關(guān)的信息（包括與職能、活動和過程之間的接口有關(guān)的信息），并對這些信息進行驗證，使之成為審核證據(jù)。
9.4.4.2信息獲取方法應(yīng)包括（但不限于）：
a)面談；
b)對過程和活動進行觀察；
c)審查文件和記錄。
9.4.5確定和記錄審核發(fā)現(xiàn)
9.4.5.1應(yīng)確定審核發(fā)現(xiàn)（概述符合性并詳細描述不符合），并予以分級和報告，以能夠為認證決定或保持認證提供充分的信息。
9.4.5.2可以識別和記錄改進機會，除非某一管理體系認證方案的要求禁止這樣做。但是屬于不符合的審核發(fā)現(xiàn)不應(yīng)作為改進機會予以記錄。
9.4.5.3關(guān)于不符合的審核發(fā)現(xiàn)應(yīng)對照具體要求予以記錄，包含對不符合的清晰陳述（詳細標識不符合所基于的客觀證據(jù)）。應(yīng)與客戶討論不符合，以確保證據(jù)準確且不符合得到理解。但是，審核員應(yīng)避免提示不符合的原因或解決方法。
9.4.5.4審核組長應(yīng)嘗試解決審核組與客戶之間關(guān)于審核證據(jù)或?qū)徍税l(fā)現(xiàn)的任何分歧意見，未解決的分歧點應(yīng)予以記錄。
9.4.6準備審核結(jié)論
在末次會議前，由審核組長負責，審核組應(yīng)：
a)對照審核目的和審核準則，審查審核發(fā)現(xiàn)和審核中獲得的任何其他適用的信息，并對不符合分級；
b)考慮審核過程中內(nèi)在的不確定性，就審核結(jié)論達成一致；
c)就任何必要的跟蹤活動達成一致；
d)確認審核方案的適宜性，或識別任何為將來的審核所需要的修改（例如認證范圍、審核時間或日期、監(jiān)督頻次、審核組能力）。
9.4.7召開末次會議
9.4.7.1應(yīng)與客戶的管理層（適用時，還包括所審核的職能或過程的負責人員）召開正式的末次會議，并記錄參加人員。末次會議通常由審核組長主持，會議目的是提出審核結(jié)論，包括關(guān)于認證的推薦性意見。不符合應(yīng)以使其被理解的方式提出，并應(yīng)就回應(yīng)的時間表達成一致。
注：“被理解”不一定意味著客戶已經(jīng)接受了不符合。
9.4.7.2末次會議還應(yīng)包括下列內(nèi)容，其詳略程度應(yīng)與客戶對審核過程的熟悉程度一致：
a)向客戶說明所獲取的審核證據(jù)基于對信息的抽樣，因而會有一定的不確定性；
b)進行報告的方法和時間表，包括審核發(fā)現(xiàn)的任何分級；
c)認證機構(gòu)處理不符合（包括與客戶認證狀態(tài)有關(guān)的任何結(jié)果）的過程；
d)客戶為審核中發(fā)現(xiàn)的任何不符合的糾正和糾正措施提出計劃的時間表；
e)認證機構(gòu)在審核后的活動；
f)說明投訴和申訴處理過程。
9.4.7.3客戶應(yīng)有機會提出問題。審核組與客戶之間關(guān)于審核發(fā)現(xiàn)或結(jié)論的任何分歧意見應(yīng)得到討論并盡可能獲得解決。任何未解決的分歧意見應(yīng)予以記錄并提交認證機構(gòu)。
9.4.8審核報告
9.4.8.1認證機構(gòu)應(yīng)為每次審核向客戶提供書面報告。審核組可以識別改進機會，但不應(yīng)提出具體解決辦法的建議。認證機構(gòu)應(yīng)享有對審核報告的所有權(quán)。
9.4.8.2審核組長應(yīng)確保審核報告的編制，并應(yīng)對審核報告的內(nèi)容負責。審核報告應(yīng)
提供對審核的準確、簡明和清晰的記錄，以便為認證決定提供充分的信息，并應(yīng)包括或引用下列內(nèi)容：
a)注明認證機構(gòu)；
b)客戶的名稱和地址及客戶的代表；
c)審核的類型（例如初次、監(jiān)督、再認證或特殊審核）；
d)審核準則；
e)審核目的；
f)審核范圍，特別是標識出所審核的組織或職能單元或過程，以及審核時間；
g)任何偏離審核計劃的情況及其理由；
h)任何影響審核方案的重要事項；
i)注明審核組長、審核組成員及任何與審核組同行的人員；
j)審核活動（現(xiàn)場或非現(xiàn)場，永久或臨時場所）的實施日期和地點；
k)與審核類型的要求一致的審核發(fā)現(xiàn)（見9.4.5）、對審核證據(jù)的引用以及審核結(jié)論；
l)如有時，在上次審核后發(fā)生的影響客戶管理體系的重要變更；
m)已識別出的任何未解決的問題；
n)適用時，是否為結(jié)合、聯(lián)合或一體化審核；
o)說明審核基于對可獲得信息的抽樣過程的免責聲明；
p)審核組的推薦意見；
q)適用時，接受審核的客戶對認證文件和標志的使用進行著有效的控制；
r)適用時，對以前不符合采取的糾正措施有效性的驗證情況。
9.4.8.3審核報告還應(yīng)包含：
a)關(guān)于管理體系符合性與有效性的聲明以及對下列方面相關(guān)證據(jù)的總結(jié)：
-- 管理體系滿足適用要求和實現(xiàn)預期結(jié)果的能力；
-- 內(nèi)部審核和管理評審的過程；
b)對認證范圍適宜性的結(jié)論；
c)確認是否達到審核目的。
9.4.9不符合的原因分析
對于審核中發(fā)現(xiàn)的不符合，認證機構(gòu)應(yīng)要求客戶在規(guī)定期限內(nèi)分析原因，并說明為消除不符合已采取或擬采取的具體糾正和糾正措施。
9.4.10糾正和糾正措施的有效性
認證機構(gòu)應(yīng)審查客戶提交的糾正、所確定的原因和糾正措施，以確定其是否可被接受。認證機構(gòu)應(yīng)驗證所采取的任何糾正和糾正措施的有效性。所取得的為不符合的解決提供支持的證據(jù)應(yīng)予以記錄。應(yīng)將審查和驗證的結(jié)果告知客戶。如果為了驗證糾正和糾正措施的有效性，將需要補充一次全面的或有限的審核，或者需要文件化的證據(jù)（需要在未來的審核中確認），則認證機構(gòu)應(yīng)告知客戶。
注：可以通過審查客戶提供的文件化信息，或在必要時實施現(xiàn)場驗證來驗證糾正和糾正措施的有效性。驗證活動通常由審核組成員完成。
9.5認證決定
9.5.1總則
9.5.1.1認證機構(gòu)應(yīng)確保做出授予或拒絕認證、擴大或縮小認證范圍、暫?；蚧謴驼J證、撤銷認證或更新認證的決定的人員或委員會不是實施審核的人員。被指定進行認證決定的人員應(yīng)具有適宜能力。
9.5.1.2認證機構(gòu)指定的認證決定人員（不包括委員會（見 6.1.4）成員）應(yīng)為認證機構(gòu)的雇員，或者是一個處于認證機構(gòu)組織控制下的實體的雇員；或者與認證機構(gòu)或上述實體具有在法律上有強制實施力的安排。認證機構(gòu)的組織控制應(yīng)為下列情況之一：
a)認證機構(gòu)擁有另一實體的全部或多數(shù)所有權(quán)；
b)認證機構(gòu)在另一實體的董事會中占多數(shù)；
c)在一個通過所有權(quán)或董事會控制聯(lián)結(jié)而成的法律實體網(wǎng)絡(luò)中（認證機構(gòu)處于其中），認證機構(gòu)對另一實體有形成文件的權(quán)力。
注：對于政府認證機構(gòu)，同一政府內(nèi)部的其他部分可視為通過所有權(quán)與該認證機構(gòu)相聯(lián)系。
9.5.1.3處于認證機構(gòu)組織控制下的實體的雇員或與該實體有合同的人員，應(yīng)同認證機構(gòu)雇員或與認證機構(gòu)有合同的人員一樣滿足本文件要求。
9.5.1.4認證機構(gòu)應(yīng)記錄每項認證決定，包括從審核組或其他來源獲得的任何補充信息或澄清。
9.5.2作出決定前的行動
認證機構(gòu)在做出授予或拒絕認證、擴大或縮小認證范圍、更新、暫?；蚧謴突蛘叱蜂N認證的決定前，應(yīng)有過程對下列方面進行有效的審查：
a)審核組提供的信息足以確定認證要求的滿足情況和認證范圍；
b)對于所有嚴重不符合，認證機構(gòu)已審查、接受和驗證了糾正和糾正措施：
c)對于所有輕微不符合，認證機構(gòu)已審查和接受了客戶對糾正和糾正措施的計劃。
9.5.3授予初次認證所需的信息
9.5.3.1為使認證機構(gòu)做出認證決定，審核組至少應(yīng)向認證機構(gòu)提供以下信息：
a)審核報告；
b)對不符合的意見，適用時，還包括對客戶采取的糾正和糾正措施的意見；
c)對提供給認證機構(gòu)用于申請評審（見9.1.2）的信息的確認；
d)對是否達到審核目的的確認；
e)對是否授予認證的推薦性意見及附帶的任何條件或評論。
9.5.3.2如果認證機構(gòu)不能在第二階段結(jié)束后 6 個月內(nèi)驗證對嚴重不符合實施的糾正和糾正措施，則應(yīng)在推薦認證前再實施一次第二階段。
9.5.3.3當認證從一個認證機構(gòu)轉(zhuǎn)換到另一個認證機構(gòu)時，接受認證機構(gòu)應(yīng)有過程獲取充分的信息以做出認證決定。
注：特定認證方案可能有認證轉(zhuǎn)換的具體規(guī)則。
9.5.4授予再認證所需的信息
認證機構(gòu)應(yīng)根據(jù)再認證審核的結(jié)果，以及認證周期內(nèi)的體系評價結(jié)果和認證使用方的投訴，做出是否更新認證的決定。
9.6保持認證
9.6.1總則
認證機構(gòu)應(yīng)在證實獲證客戶持續(xù)滿足管理體系標準要求后保持對其的認證。認證機構(gòu)滿足下列前提條件時，可以根據(jù)審核組長的肯定性結(jié)論保持對客戶的認證，而無需再進行獨立復核和決定：
a)對于任何嚴重不符合或其他可能導致暫?；虺蜂N認證的情況，認證機構(gòu)有制度要求審核組長向認證機構(gòu)報告需由具備適宜能力（見7.2.8）且未實施該審核的人員進行復核，以確定能否保持認證；
b)由具備能力的認證機構(gòu)人員對認證機構(gòu)的監(jiān)督活動進行監(jiān)視，包括對審核員的報告活動進行監(jiān)視，以確認認證活動在有效地運作。
9.6.2監(jiān)督活動
9.6.2.1總則
9.6.2.1.1認證機構(gòu)應(yīng)對其監(jiān)督活動進行設(shè)計，以便定期對管理體系范圍內(nèi)有代表性的區(qū)域和職能進行監(jiān)視，并應(yīng)考慮獲證客戶及其管理體系的變更情況。
9.6.2.1.2監(jiān)督活動應(yīng)包括對獲證客戶管理體系滿足認證標準規(guī)定要求情況的現(xiàn)場
審核。監(jiān)督活動還可以包括：
a)認證機構(gòu)就認證的有關(guān)方面詢問獲證客戶；
b)審查獲證客戶對其運作的說明（如宣傳材料、網(wǎng)頁）；
c)要求獲證客戶提供文件化信息（紙質(zhì)或電子介質(zhì)）；
d)其他監(jiān)視獲證客戶績效的方法。
9.6.2.2監(jiān)督審核
監(jiān)督審核是現(xiàn)場審核，但不一定是對整個體系的審核，并應(yīng)與其他監(jiān)督活動一起策劃，以使認證機構(gòu)能對獲證客戶管理體系在認證周期內(nèi)持續(xù)滿足要求保持信任。相關(guān)管理體系標準的每次監(jiān)督審核應(yīng)包括對以下方面的審查：
a)內(nèi)部審核和管理評審；
b)對上次審核中確定的不符合采取的措施；
c)投訴的處理；
d)管理體系在實現(xiàn)獲證客戶目標和各管理體系的預期結(jié)果方面的有效性；
e)為持續(xù)改進而策劃的活動的進展；
f)持續(xù)的運作控制；
g)任何變更；
h)標志的使用和（或）任何其他對認證資格的引用。
9.6.3再認證
9.6.3.1再認證審核的策劃
9.6.3.1.1再認證審核的目的是確認管理體系作為一個整體的持續(xù)符合性與有效性，以及與認證范圍的持續(xù)相關(guān)性和適宜性。認證機構(gòu)應(yīng)策劃并實施再認證審核，以評價獲證客戶是否持續(xù)滿足相關(guān)管理體系標準或其他規(guī)范性文件的所有要求。上述策劃和實施應(yīng)及時進行，以便認證能在到期前及時更新。
9.6.3.1.2再認證活動應(yīng)考慮管理體系在最近一個認證周期內(nèi)的績效，包括調(diào)閱以前的監(jiān)督審核報告。
9.6.3.1.3當管理體系、組織或管理體系的運作環(huán)境（如法律的變更）有重大變更時，再認證審核活動可能需要有第一階段。
注：此類變更可能在認證周期中的任何時間發(fā)生，認證機構(gòu)可能需要實施特殊審核（見 9.6.4），該特殊審核可能需要或不需要兩階段審核。
9.6.3.2再認證審核
9.6.3.2.1再認證審核應(yīng)包括針對下列方面的現(xiàn)場審核：
a)結(jié)合內(nèi)部和外部變更來看的整個管理體系的有效性，以及認證范圍的持續(xù)相關(guān)性和適宜性；
b)經(jīng)證實的對保持管理體系有效性并改進管理體系，以提高整體績效的承諾；
c)管理體系在實現(xiàn)獲證客戶目標和管理體系預期結(jié)果方面的有效性。
9.6.3.2.2對于嚴重不符合，認證機構(gòu)應(yīng)規(guī)定實施糾正與糾正措施的時限。這些措施應(yīng)在認證到期前得到實施和驗證。
9.6.3.2.3如果在當前認證的終止日期前成功完成了再認證活動，新認證的終止日期
可以基于當前認證的終止日期。新證書上的頒證日期應(yīng)不早于再認證決定日期。
9.6.3.2.4如果在認證終止日期前，認證機構(gòu)未能完成再認證審核或不能驗證對嚴重不符合實施的糾正和糾正措施（見 9.5.2.1），則不應(yīng)推薦再認證，也不應(yīng)延長認證的效力。認證機構(gòu)應(yīng)告知客戶并解釋后果。
9.6.3.2.5在認證到期后，如果認證機構(gòu)能夠在 6 個月內(nèi)完成未盡的再認證活動，則可以恢復認證，否則應(yīng)至少進行一次第二階段才能恢復認證。證書的生效日期應(yīng)不早于再認證決定日期，終止日期應(yīng)基于上一個認證周期。
9.6.4特殊審核
9.6.4.1擴大認證范圍
對于已授予的認證，認證機構(gòu)應(yīng)對擴大認證范圍的申請進行評審，并確定任何必要的審核活動，以做出是否可予擴大的決定。這類審核活動可以和監(jiān)督審核同時進行。
9.6.4.2提前較短時間通知的審核
認證機構(gòu)為調(diào)查投訴、對變更做出回應(yīng)或?qū)Ρ粫和５目蛻暨M行追蹤，可能需要在提前較短時間通知獲證客戶后或不通知獲證客戶就對其進行審核。此時：
a)認證機構(gòu)應(yīng)說明并使獲證客戶提前了解（如在8.5.1所述的文件中）將在何種條件下進行此類審核；
b)由于客戶缺乏對審核組成員的任命表示反對的機會，認證機構(gòu)應(yīng)在指派審核組時給予更多的關(guān)注。
9.6.5暫停、撤銷或縮小認證范圍
9.6.5.1認證機構(gòu)應(yīng)有暫停、撤銷或縮小認證范圍的政策和形成文件的程序，并規(guī)定認證機構(gòu)的后續(xù)措施。
9.6.5.2發(fā)生以下情況（但不限于）時，認證機構(gòu)應(yīng)暫停獲證客戶的認證資格：
——客戶的獲證管理體系持續(xù)地或嚴重地不滿足認證要求，包括對管理體系有效性的要求；
——獲證客戶不允許按要求的頻次實施監(jiān)督或再認證審核；
——獲證客戶主動請求暫停。
9.6.5.3在暫停期間，客戶的管理體系認證暫時無效。
9.6.5.4如果造成暫停的問題已解決，認證機構(gòu)應(yīng)恢復被暫停的認證。如果客戶未能在認證機構(gòu)規(guī)定的時限內(nèi)解決造成暫停的問題，認證機構(gòu)應(yīng)撤銷或縮小其認證范圍。
注：多數(shù)情況下，暫停將不超過 6 個月。
9.6.5.5如果客戶在認證范圍的某些部分持續(xù)地或嚴重地不滿足認證要求，認證機構(gòu)應(yīng)縮小其認證范圍，以排除不滿足要求的部分。認證范圍的縮小應(yīng)與認證標準的要求一致。
9.7申訴
9.7.1認證機構(gòu)應(yīng)有受理和評價申訴并對之做出決定的形成文件的過程。
9.7.2認證機構(gòu)應(yīng)對申訴處理過程各個層次的所有決定負責。認證機構(gòu)應(yīng)確保參與申訴處理過程的人員沒有實施申訴涉及的審核，也沒有做出申訴涉及的認證決定。
9.7.3申訴的提出、調(diào)查和決定不應(yīng)造成針對申訴人的任何歧視行為。
9.7.4申訴處理過程應(yīng)至少包括以下要素和方法：
a)受理、確認和調(diào)查申訴的過程，以及參考以前類似申訴的結(jié)果，決定采取何種措施以回應(yīng)申訴的過程；
b)跟蹤和記錄申訴，包括為解決申訴而采取的措施；
c)確保采取任何適當?shù)募m正和糾正措施。
9.7.5收到申訴的認證機構(gòu)應(yīng)負責收集和驗證所有必要的信息，以確定申訴的有效性。
9.7.6認證機構(gòu)應(yīng)確認收到了申訴，并應(yīng)向申訴人提供申訴處理的進展報告和結(jié)果。
9.7.7對申訴的決定應(yīng)由與申訴事項無關(guān)的人員做出，或經(jīng)其審查和批準，并應(yīng)告知申訴人。
9.7.8認證機構(gòu)應(yīng)在申訴處理過程結(jié)束時正式通知申訴人。
9.8投訴
9.8.1認證機構(gòu)應(yīng)對投訴處理過程各層級的決定負責。
9.8.2投訴的提交、調(diào)查和決定不應(yīng)造成針對投訴人的任何歧視行為。
9.8.3認證機構(gòu)在收到投訴時，應(yīng)確認投訴是否與其負責的認證活動有關(guān)，并在經(jīng)確認有關(guān)時予以處理。如果投訴與獲證客戶有關(guān)，認證機構(gòu)在調(diào)查投訴時應(yīng)考慮獲證管理體系的有效性。
9.8.4對于針對獲證客戶的有效投訴，認證機構(gòu)還應(yīng)在適當?shù)臅r間將投訴告知該客戶。
9.8.5認證機構(gòu)應(yīng)有受理和評價投訴并對之做出決定的形成文件的過程。該過程涉及投訴人和投訴事項的方面應(yīng)滿足保密要求。
9.8.6投訴處理過程應(yīng)至少包括以下要素和方法：
a)受理、確認和調(diào)查投訴的過程，以及決定采取何種措施以回應(yīng)投訴的過程；
b)跟蹤和記錄投訴，包括為回應(yīng)投訴而采取的措施；
c)確保采取任何適當?shù)募m正和糾正措施。
注：ISO 10002為投訴的處理提供了指南。
9.8.7收到投訴的認證機構(gòu)應(yīng)負責收集與核實對投訴進行確認所需的一切信息。
9.8.8在可能時，認證機構(gòu)應(yīng)確認收到了投訴，并應(yīng)向投訴人提供投訴處理的進展報告和結(jié)果。
9.8.9對投訴的決定應(yīng)由與投訴事項無關(guān)的人員做出，或經(jīng)其審查和批準，并應(yīng)告知投訴人。
9.8.10在可能時，認證機構(gòu)應(yīng)在投訴處理過程結(jié)束時正式通知投訴人。
9.8.11認證機構(gòu)應(yīng)與獲證客戶及投訴人共同決定是否應(yīng)將投訴事項公開，并在決定公開時，共同確定公開的程度。
9.9客戶的記錄
9.9.1認證機構(gòu)應(yīng)對所有客戶（包括所有提交申請的組織、接受審核的組織和獲得認證或被暫停或撤銷認證的組織）保持審核及其他認證活動的記錄。
9.9.2獲證客戶記錄應(yīng)包括以下內(nèi)容：
a)申請資料及初次認證、監(jiān)督和再認證的審核報告；
b)認證協(xié)議；
c)適用時，多場所抽樣方法的理由；
注：抽樣方法包括為審核特定管理體系和（或）在多場所審核中選取場所而做的抽樣。
d)確定審核時間的理由（見9.1.4）；
e)糾正與糾正措施的驗證；
f)投訴和申訴及任何后續(xù)糾正或糾正措施的記錄；
g)適用時，委員會的審議和決定；
h)認證決定的文件；
i)認證文件，包括與產(chǎn)品（包括服務(wù)）、過程相關(guān)的認證范圍，適用時，包括每個場所相應(yīng)的認證范圍；
j)建立認證的可信度所需的相關(guān)記錄，如審核員和技術(shù)專家能力的證據(jù)；
k)審核方案。
9.9.3認證機構(gòu)應(yīng)保證申請組織和客戶記錄的安全，以確保滿足保密要求。運送、傳輸或傳遞記錄的方式應(yīng)確保保密。
9.9.4認證機構(gòu)應(yīng)有關(guān)于記錄保存的形成文件的政策和程序。獲證客戶及以往獲證客戶的記錄保存期應(yīng)為當前認證周期加上一個完整的認證周期。
注：某些情況下，記錄需按法律規(guī)定保存更長的時間。
10認證機構(gòu)的管理體系要求
10.1可選方式
認證機構(gòu)應(yīng)建立、實施和保持一個文件化的、能夠支撐并證實其始終滿足本文件要求的管理體系。認證機構(gòu)除了滿足第5章至第9章的要求外，還應(yīng)按照下列要求之一建立管理體系：
a)通用的管理體系要求（見10.2）；
b)與GB/T 19001一致的管理體系要求（見10.3）。
10.2方式 A：通用的管理體系要求
10.2.1總則
認證機構(gòu)應(yīng)建立、實施和保持一個能夠支撐并證實其始終滿足本文件要求的管理體系并形成文件。
認證機構(gòu)最高管理層應(yīng)為認證機構(gòu)的活動制定政策和目標，并形成文件。最高管理層應(yīng)提供證據(jù)，以證實其對按本文件要求建立和實施管理體系的承諾。最高管理層應(yīng)確保認證機構(gòu)的政策在組織的各個層次上得到理解、實施和保持。
認證機構(gòu)最高管理層應(yīng)分派下列職責和權(quán)力：
a)確保管理體系所需的過程和程序得到建立、實施和保持；
b)向最高管理層報告管理體系的績效及任何改進需求。
10.2.2管理體系手冊
認證機構(gòu)應(yīng)在管理體系手冊或其關(guān)聯(lián)文件中反映本文件的所有適用要求。認證機構(gòu)應(yīng)確保所有相關(guān)人員可以獲取手冊和相關(guān)的關(guān)聯(lián)文件。
10.2.3文件控制
認證機構(gòu)應(yīng)建立程序以控制與本文件實施有關(guān)的文件（內(nèi)部和外部的）。該程序應(yīng)規(guī)定下列方面所需的控制：
a)文件發(fā)布前，對其充分性與適宜性進行批準；
b)對文件進行復審，必要時予以更新，并再次批準；
c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；
d)確保在使用場所可以獲得適用文件的相關(guān)版本；
e)確保文件保持清晰并易于識別；
f)確保外來文件得到識別，并控制其分發(fā)；
g)防止作廢文件的非預期使用，并在因故保留作廢文件時，對其做出適當?shù)臉俗R。
注：文件可以使用任何形式或類型的介質(zhì)。
10.2.4記錄控制
認證機構(gòu)應(yīng)建立程序，以對識別、貯存、保護、檢索和處置與本文件實施有關(guān)的記錄以及記錄保存期限規(guī)定所需的控制。
認證機構(gòu)應(yīng)建立程序以明確與其合同、法律責任相一致的記錄保存期限。對這些記錄的查閱應(yīng)與保密安排相一致。
注：獲證客戶記錄的要求見 9.9。
10.2.5管理評審
10.2.5.1總則
認證機構(gòu)最高管理層應(yīng)建立按策劃的時間間隔對管理體系進行評審的程序，以確保管理體系（包括與本文件實施有關(guān)的明示的政策和目標）的持續(xù)適宜性、充分性和有效性。管理評審應(yīng)至少每年進行一次。
10.2.5.2評審輸入
管理評審的輸入應(yīng)包括與下列方面有關(guān)的信息：
a)內(nèi)部審核和外部評審的結(jié)果；
b)客戶和利益相關(guān)方的反饋；
c)維護公正性；
d)糾正措施的狀況；
e)風險應(yīng)對措施的狀況；
f)以往管理評審的后續(xù)措施；
g)目標的實現(xiàn)情況；
h)可能影響管理體系的變更；
i)申訴和投訴。
10.2.5.3評審輸出
管理評審的輸出應(yīng)包括與下列方面有關(guān)的決定和措施：
a)管理體系及其過程的有效性的改進；
b)與本文件實施有關(guān)的認證服務(wù)的改進；
c)資源需求；
d)組織的方針、政策和目標的修訂。
10.2.6內(nèi)部審核
10.2.6.1認證機構(gòu)應(yīng)建立內(nèi)部審核程序，以證明認證機構(gòu)滿足本文件要求，并有效地實施和保持了管理體系。
注：GB/T 19011為實施內(nèi)部審核提供了指南。
10.2.6.2認證機構(gòu)應(yīng)對內(nèi)部審核方案進行策劃，并在策劃中考慮擬審核過程和區(qū)域的重要程度以及以往審核的結(jié)果。
10.2.6.3內(nèi)部審核應(yīng)至少每 12 個月進行一次。如果認證機構(gòu)能夠證明管理體系按照本文件持續(xù)地有效運行并保持穩(wěn)定，則可以減少內(nèi)部審核的頻次。
10.2.6.4認證機構(gòu)應(yīng)確保：
a)內(nèi)部審核的實施人員具備能力，熟悉認證、審核和本文件的要求；
b)審核員不審核自己的工作；
c)將審核結(jié)果告知受審核區(qū)域的負責人員；
d)根據(jù)內(nèi)部審核結(jié)果及時采取適當?shù)拇胧?br /> e)識別任何改進的機會。
10.2.7糾正措施
認證機構(gòu)應(yīng)建立識別和管理其運作中的不符合的程序。必要時，認證機構(gòu)還應(yīng)采取措施消除不符合的原因，以防止其再次發(fā)生。糾正措施應(yīng)與所遇到問題的影響程度相適應(yīng)。該程序應(yīng)明確對下列方面的要求：
a)識別不符合（例如通過有效投訴和內(nèi)部審核）；
b)確定不符合的原因；
c)糾正不符合；
d)評價確保不符合不再發(fā)生的措施的需求；
e)及時確定和實施所需的措施；
f)記錄所采取措施的結(jié)果；
g)評審糾正措施的有效性。
10.3方式 B：與 GB/T 19001 一致的管理體系要求
10.3.1總則
認證機構(gòu)應(yīng)按照 GB/T 19001 的要求，建立和保持一個能夠支撐并證實其始終滿足本文件要求的管理體系。該管理體系還應(yīng)滿足 10.3.2 至 10.3.4 的補充要求。
10.3.2范圍
為應(yīng)用 GB/T 19001 的要求，認證機構(gòu)管理體系的范圍應(yīng)包括認證服務(wù)的設(shè)計和開發(fā)要求。
10.3.3以顧客為關(guān)注焦點
為應(yīng)用 GB/T 19001 的要求，認證機構(gòu)在建立管理體系時應(yīng)考慮認證的可信性，而且不僅應(yīng)關(guān)注客戶需求，還應(yīng)關(guān)注依賴其審核與認證服務(wù)的所有各方（如 4.1.2 所述）的需求。
10.3.4管理評審
為應(yīng)用 GB/T 19001 的要求，認證機構(gòu)應(yīng)將認證活動使用方相關(guān)申訴和投訴以及公正性審查的信息作為管理評審的輸入。
附錄 A (規(guī)范性附錄)
所要求的知識和技能
表A.1明確了認證機構(gòu)應(yīng)為特定的認證職能確定的知識和技能?！啊獭敝刚J證機構(gòu)應(yīng)確定相應(yīng)的知識和技能的準則和深度。表A.1中規(guī)定的知識和技能在下文中有更詳細的解釋，表中用擴號注明了相應(yīng)解釋文本的編號。
表 A.1 的知知識和技能表
知識和技能認證職能
實施申請評審以確定所需的審核組能力、選擇審核組成
員并確定審核時間
復核審核報告并做出認證決定
審核及領(lǐng)導審核組
業(yè)務(wù)管理實踐的知識 √（見A.2.1）
審核原則、實踐和技巧的知識 √（見A.3.1） √（見A.2.2）
特定管理體系標準和（或）規(guī)范
性文件的知識 √（見A.4.1） √（見A.3.2） √（見A.2.3）
認證機構(gòu)過程的知識 √（見A.4.2） √（見A.3.3） √（見A.2.4）
客戶的業(yè)務(wù)領(lǐng)域的知識 √（見A.4.3） √（見A.3.4） √（見A.2.5）
客戶的產(chǎn)品、過程和組織的知識 √（見A.4.4） √（見A.2.6）
與客戶組織中的各個層級相適
應(yīng)的語言技能 √（見A.2.7）
作記錄和撰寫報告的技能 √（見A.2.8）
表達技能 √（見A.2.9）
面談技能 √（見A.2.10）
審核管理技能 √（見A.2.11）
注：風險和復雜程度是在決定這些職能中任何一項職能所需的專業(yè)能力的水平時考慮的其他因
素。
A.2管理體系審核員能力要求
A.2.1業(yè)務(wù)管理實踐的知識
通用的組織類型、規(guī)模、治理、結(jié)構(gòu)與工作場所實務(wù)、信息與數(shù)據(jù)系統(tǒng)、文件系統(tǒng)以及信息技術(shù)的知識。
A.2.2審核原則、實踐和技巧的知識
本文件規(guī)定的通用的管理體系審核原則、實務(wù)和技巧的知識，需足以實施認證審核及評價內(nèi)部審核過程。
A.2.3特定管理體系標準和（或）規(guī)范性文件的知識
認證所依據(jù)的管理體系標準或其他規(guī)范性文件的知識，需足以確定體系是否得到有效實施并符合要求。
A.2.4認證機構(gòu)過程的知識
認證機構(gòu)過程的知識，需足以按照認證機構(gòu)的程序和過程開展工作。
A.2.5客戶業(yè)務(wù)領(lǐng)域的知識
客戶業(yè)務(wù)領(lǐng)域的通用術(shù)語、實踐和過程的知識，需足以在管理體系標準或其他規(guī)范性文件的背景下理解該領(lǐng)域的期望。
注：業(yè)務(wù)領(lǐng)域可理解為經(jīng)濟活動（例如航空航天、化工、金融服務(wù)）。
A.2.6客戶產(chǎn)品、過程和組織的知識
與客戶的產(chǎn)品或過程的類型相關(guān)的知識，需足以理解該組織如何運行，如何應(yīng)用管理體系標準或其他相關(guān)規(guī)范性文件的要求。
A.2.7與客戶組織中的各個層級相適應(yīng)的語言技能
能夠用適宜的術(shù)語、措辭和話語與組織任何層次的人員有效地進行溝通。
A.2.8作記錄和撰寫報告的技能
能夠以足夠的速度、準確度和理解力閱讀和書寫，以記錄、做筆記以及有效地溝通審核發(fā)現(xiàn)和結(jié)論。
A.2.9表達技能
能以容易理解的方式表述審核發(fā)現(xiàn)和結(jié)論。審核組長還要能夠在公開場合（例如末次會議）表述與聽眾相適宜的審核發(fā)現(xiàn)、結(jié)論和推薦意見。
A.2.10面談技能
能夠通過提開放式、經(jīng)過良好構(gòu)思的問題并傾聽、理解和評價對方的回答來進行面談，以獲取信息。
A.2.11審核管理技能
能夠?qū)嵤┖凸芾韺徍?，以在約定的時間框架內(nèi)獲取審核證據(jù)。審核組長還要能夠主持會議以有效地交流信息，并能夠分配任務(wù)或在必要時重新分配。
A.3復核審核報告并做出認證決定的人員的能力要求這類人員的職能可由一人或多人完成。
A.3.1審核原則、實踐和技巧的知識
本文件規(guī)定的通用的管理體系審核原則、實務(wù)和技巧的知識，需足以理解認證審核報告。
A.3.2特定管理體系標準和（或）規(guī)范性文件的知識
認證所依據(jù)的管理體系標準或其他規(guī)范性文件的知識，需足以根據(jù)認證審核報告作出決定。
A.3.3認證機構(gòu)過程的知識
認證機構(gòu)過程的知識，需足以根據(jù)提交復核的信息確定是否達到了認證機構(gòu)的期望。
A.3.4客戶業(yè)務(wù)領(lǐng)域的知識
客戶業(yè)務(wù)領(lǐng)域的通用術(shù)語、實踐和過程的知識，需足以在管理體系標準或其他規(guī)范性文件的背景下理解審核報告。
A.4實施申請評審以確定所需的審核組能力、選擇審核組成員并確定審核時間的人員的能力要求
這類人員的職能可由一人或多人完成。
A.4.1特定管理體系標準和（或）規(guī)范性文件的知識
知道認證依據(jù)的是什么管理體系標準或其他規(guī)范性文件。
A.4.2認證機構(gòu)過程的知識
認證機構(gòu)過程的知識，需足以指派有能力的審核組成員以及準確地確定審核時間。
A.4.3客戶業(yè)務(wù)領(lǐng)域的知識
客戶業(yè)務(wù)領(lǐng)域的通用術(shù)語、實踐和過程的知識，需足以指派有能力的審核組成員以及準確地確定審核時間。
A.4.4客戶產(chǎn)品、過程和組織的知識
與客戶的產(chǎn)品或過程的類型相關(guān)的知識，需足以指派有能力的審核組成員以及準確地確定審核時間。

附錄 B (資料性附錄)
可能的評價方法
B.1概述
本資料性附錄提供評價方法的示例，為認證機構(gòu)提供幫助。
人員的評價方法可以分為五大類：記錄審查、意見反饋、面談、觀察和考試。每一類評價方法可以進一步細分。下面簡要說明了每類評價方法及其對于知識和技能評價的用處和局限性。不太可能只用其中任何一種方法就能確認能力。
條款B.2至B.6所述的方法可以提供知識和技能的有用信息；這些方法如被設(shè)計成與7.1.2和7.1.3所述的能力確定過程輸出的特定能力準則結(jié)合使用，會更有效。
附錄C提供了一個能力確定和保持過程的示例。
B.2記錄審查
有些記錄可以顯示知識，例如顯示工作經(jīng)歷、審核經(jīng)歷、教育和培訓的簡歷或履歷。有些記錄可以顯示技能，例如審核報告或工作經(jīng)歷、審核經(jīng)歷、教育和培訓的記錄。單憑上述記錄不太可能構(gòu)成能力的充分證據(jù)。
其他記錄是證實能力的直接證據(jù)，例如對審核員實施審核的表現(xiàn)評價報告。
B.3意見反饋
來自以前雇主的直接反饋可以顯示知識和技能，但重要的是要注意有時雇主會特意排除負面信息。
個人推薦函可以顯示知識和技能。應(yīng)聘者不大可能提供含有負面信息的個人推薦函。同行的意見反饋可以顯示知識和技能。這種反饋可能受到同行之間關(guān)系的影響。
客戶的意見反饋可以顯示知識和技能。對于審核員來說，這種反饋可能受到審核結(jié)果的影響。
單憑意見反饋并不是令人滿意的能力證據(jù)。
B.4面談
面談可有助于詢問出知識、技能方面的信息。
人員招聘時的面談可有助于從簡歷和過去的工作經(jīng)歷詳細了解知識和技能的信息。在績效考評中進行面談，可以提供知識和技能的具體信息。
在審核后的評審中與審核組面談，可以提供關(guān)于審核員知識和技能的有用信息。它可以使評審者有機會了解審核員為什么做出某項決定、選擇某一審核路徑等等。這一技巧可在見證審核后使用，也可在之后評價書面審核報告時使用。這一技巧可能對確定與特定技術(shù)領(lǐng)域有關(guān)的能力尤其有用。
能力證實的直接證據(jù)可以通過依據(jù)規(guī)定的能力準則進行結(jié)構(gòu)化的、并得到適當記錄的面談而獲得。
可以使用面談來評估語言、溝通和人際技能。
B.5觀察
對人員實施任務(wù)的情況進行觀察能夠為能力（經(jīng)證實的應(yīng)用知識和技能來實現(xiàn)預期結(jié)果）提供直接證據(jù)。這種評價方法對所有職能、行政和管理人員以及審核員和認證決定人員都有用。對審核員實施的一次審核進行見證的局限性在于這次特定審核所具有的難易程度。
定期對一個人進行見證，有助于確認持續(xù)的能力。
B.6考試
筆試可為知識以及技能（后者取決于方法）提供良好的文件化證據(jù)。
口試可為知識提供良好的證據(jù)（取決于考官的能力），可提供關(guān)于技能的有限的結(jié)果。
實際操作考試可以提供關(guān)于知識和技能的平衡的結(jié)果（取決于考試過程和考官的能力）。實際操作考試的方法例如情景演練、案例分析、壓力模擬和崗位實操考核等。

附錄 C (資料性附錄)
能力確定和保持過程的示例
圖C.1的流程圖顯示了一種通過識別要完成的具體任務(wù)、識別實現(xiàn)預期結(jié)果所需的具體知識和技能來確定人員能力的方式。過程中使用了附錄B描述的評價方法。
圖C.1—能力確定和保持過程示例

附錄 D (資料性附錄)
期望的個人行為
以下給出了對各類管理體系的認證活動參與人員重要的個人行為的示例：
a)有道德，即公正、誠實、真誠、正直和謹慎；
b)思想開明，即愿意考慮不同的意見或觀點；
c)有交際技巧，即得體地與人交往；
d)合作，即與他人有效合作；
e)觀察敏銳，即積極地注意到周圍的實際環(huán)境和活動；
f)有感知力，即本能地意識到并能夠理解遇到的情況；
g)有適應(yīng)能力，即易于根據(jù)不同的情況進行調(diào)整；
h)堅韌，即堅持并專注于實現(xiàn)目的；
i)明斷，即根據(jù)邏輯推理和分析及時得出結(jié)論；
j)獨立自主，即獨立地行事和履行職能；
k)有職業(yè)水準，即在工作場所表現(xiàn)出禮貌、盡責和基本上專業(yè)的行為舉止；
l)有道德勇氣，即愿意負責地、有道德地行事，即便這樣做可能并不總是受到歡迎，或者有時可能遭到反對或引起對抗；
m)有條理，即有效地管理時間、區(qū)分優(yōu)先次序、策劃，以及高效。
行為的確定是有條件的，弱點可能僅在特定情境下才顯現(xiàn)出來。認證機構(gòu)宜對識別出的任何對認證活動有不利影響的弱點采取適宜的行動。
附錄E (資料性附錄)
審核和認證過程
圖E.1代表了一個典型的流程?？梢詫嵤┢渌麑徍嘶顒樱缥募彶楹吞厥鈱徍?。審核周期與認證周期之間的不同參見9.2和9.3。
初次認證決定或再認證決定
3年認證周期
認證到期
認證前的活動

參考文獻
[1]GB/T 19001 質(zhì)量管理體系要求（ISO 9001）
[2]ISO 10002 質(zhì)量管理顧客滿意組織內(nèi)投訴處理的指南
[3]GB/T 24001 環(huán)境管理體系要求及使用指南（ISO 14001）
[4]ISO/IEC TS 17021-2 合格評定管理體系審核與認證機構(gòu)要求第2部分：環(huán)境管理體系審核與認證機構(gòu)能力要求
[5]ISO/IEC TS 17021-3 合格評定管理體系審核與認證機構(gòu)要求第3部分：質(zhì)量管理體系審核與認證機構(gòu)能力要求
[6]ISO/IEC TS 17021-4 合格評定管理體系審核與認證機構(gòu)要求第4部分：大型活動可持續(xù)性管理體系審核與認證機構(gòu)能力要求
[7]ISO/IEC TS 17021-5 合格評定管理體系審核與認證機構(gòu)要求第5部分：資產(chǎn)管理體系審核與認證機構(gòu)能力要求
[8]ISO/IEC TS 17021-6 合格評定管理體系審核與認證機構(gòu)要求第6部分：業(yè)務(wù)連續(xù)性管理體系審核與認證機構(gòu)能力要求
[9]ISO/IEC TS 17021-7 合格評定管理體系審核與認證機構(gòu)要求第7部分：道路交通安全管理體系審核與認證機構(gòu)能力要求
[10]ISO/IEC TS 17023 合格評定確定管理體系認證審核時間指南
[11]GB/T 27030 合格評定第三方符合性標志通用要求（ISO/IEC 17030） [12] GB/T 19011-2013 管理體系審核指南（ISO 19011:2011）
[13]GB/T 31598 大型活動可持續(xù)性管理體系要求及使用指南（ISO 22301）
[14]GB/T 22003 食品安全管理體系食品安全管理體系審核與認證機構(gòu)要求
（ISO/TS 22003）
[15]GB/T 30146 公共安全業(yè)務(wù)連續(xù)性管理體系要求（ISO 22301）
[16]GB/T 25067信息技術(shù) 安全技術(shù) 信息安全管理體系審核認證機構(gòu)的要求
（ISO/IEC 27006）
[17]ISO 31000 風險管理原則與指南
[18]ISO 31010 風險管理風險評估技術(shù)
[19]ISO 39001 道路交通安全管理體系要求與應(yīng)用指南
[20]ISO 50003 能源管理體系能源管理體系審核與認證機構(gòu)要求
[21]ISO 55001 資產(chǎn)管理管理體系要求
——

上一條: 為什么要做體系認證？ 下一條: 服務(wù)認證

熱線電話 029-88866391

微信號

微信公眾號

微信號：13335413526