CNAS-CC01管理体系认证机构要求2015.pdf-道客多多

资源描述

1、 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施 CNAS-CC01 管理体系认证机构要求 Requirements for bodies providing audit and certification of management systems 中国合格评定国家认可委员会 CNAS-CC01:2015 第 2 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施目次目次 2 前言 4 引言 5 1 范围 6 2 规范性引用文件 . 6 3 术语和定义 6 4 原则 8 4.1 总则 8 4.2 公正性 9

2、4.3 能力 9 4.4 责任 10 4.5 公开性 10 4.6 保密性 10 4.7 对投诉的回应 . 10 4.8 基于风险的方法 10 5 通用要求 . 11 5.1 法律与合同事宜 11 5.2 公正性的管理 . 11 5.3 责任和财力 . 13 6 结构要求 . 13 6.1 组织结构和最高管理层 . 13 6.2 运行控制 13 7 资源要求 . 14 7.1 人员能力 14 7.2 参与认证活动的人员 . 15 7.3 外部审核员和外部技术专家的使用 . 16 7.4 人员记录 16 7.5 外包 16 8 信息要求 . 16 8.1 公开信息 16 8.2 认证文件 17

3、 8.3 认证资格的引用和标志的使用 17 8.4 保密 18 CNAS-CC01:2015 第 3 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施 8.5 认证机构与其客户间的信息交换 . 19 9 过程要求 . 20 9.1 认证前的活动 . 20 9.2 策划审核 22 9.3 初次认证 24 9.4 实施审核 26 9.5 认证决定 29 9.6 保持认证 30 9.7 申诉 33 9.8 投诉 33 9.9 客户的记录 . 34 10 认证机构的管理体系要求 35 10.1 可选方式 35 10.2 方式 A：通用的管理体系要求 .

4、35 10.3 方式 B：与 GB/T 19001 一致的管理体系要求 37 附录 A (规范性附录 )所要求的知识和技能 . 38 附录 B (资料性附录 )可能的评价方法 . 41 附录 C (资料性附录 )能力确定和保持过程的示例 43 附录 D (资料性附录 )期望的个人行为 44 附录 E (资料性附录 )审核和认证过程 . 45 参考文献 . 46 CNAS-CC01:2015 第 4 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施前言本文件等同采用国际标准 ISO/IEC 17021-1： 2015合格评定管理体系审核

5、与认证机构的要求第 1部分：要求。本文件是 CNAS对管理体系认证机构的基本认可准则，并与其他适用的 CNAS专用认可准则以及认可方案的相应部分共同构成对特定管理体系认证机构的认可准则。为了便于使用，本文件对 ISO/IEC 17021-1:2015采用转化中做了下列编辑性修改： 1) 用 “ 获证客户 ” 替代 4.1.2 b）中 “ 管理体系获得认证的组织 ”（ the organizations whose management systems are certified）； 2) 用 “ 获证客户 ” 替代 5.2.3 注 2 中 “ 管理体系获得认证的组织 ”（ organiz

6、ations whose management systems are certified）； 3) 用 “ 本文件 ” 替代 “ ISO/IEC 17021 的本部分”（ this part of ISO/IEC 17021）； 4) 在本文件相应条款注明了 ISO/IEC TS 17021-2、 ISO/IEC TS 17021-3、ISO/TS 22003、 ISO/IEC 27006 等标准分别对应的 CNAS 认可准则编号； 5) 对“ ISO 19011”等部分国际标准的引用调整为“ GB/T19011”等相应国家标准。本文件代替了 CNAS-CC01:2011。 CNA

7、S-CC01:2015 第 5 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施引言管理体系认证（如对组织的环境管理体系、质量管理体系或信息安全管理体系的认证）是一种保证方法，用以确保组织已实施了与其方针及相关国际管理体系标准的要求一致的、用以管理其活动、产品和服务相关方面的体系。本文件规定了对管理体系审核和认证机构的要求。它对从事质量、环境及其他管理体系审核与认证的机构提出了通用要求。本文件将这类机构称为认证机构。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证，以促进国际和国内承认这些机构并接受它们的认证。本

8、文件为促进对管理体系认证的承认提供了基础，这种承认有利于国际贸易。管理体系认证是独立地证明组织的管理体系： a）符合规定要求； b）能够自始至终实现其声明的方针和目标； c）得到有效实施。因此，诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。第 4章阐述了可信的认证所依据的原则。这些原则有助于用户理解认证的本质属性，并为第 5章至第 10章做了必要的铺垫。这些原则构成了本文件要求的基础，但其本身并不是可供评审的要求。第 10章为认证机构通过建立管理体系来保障和证实其始终满足本文件要求提供了两种可供选择的途径。认证活动是构成从申请评审到认证终止的整个认证过程的

9、单项活动。附录 E展现了许多认证活动能够相互作用的方式。认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。本文件适用于各种类型管理体系的审核与认证。为实现利益相关方的期望，可能需要对其中一些要求，特别是那些关于审核员能力的要求补充附加准则。在本文件中： “ 应 ” 表示要求； “ 宜 ” 表示建议； “ 可以 ” 表示允许； “ 能够 ” 表示一种可能性或能力。 ISO/IEC工作导则第 2部分中对这些动词做了更详细的说明。 CNAS-CC01:2015 第 6 页共 46 页 2015 年 07

10、月 15 日发布 2015 年 12 月 16 日实施管理体系认证机构要求 1 范围本文件包含了所有类型管理体系审核与认证机构的能力、一致性和公正性的原则与要求。按照本文件运作的认证机构不必提供所有类型的管理体系认证。管理体系认证，是一种第三方合格评定活动（见 GB/T 27000 的 5.5），因此实施这种活动的机构是第三方合格评定机构。注 1：管理体系的示例：质量管理体系、环境管理体系和信息安全管理体系。注 2：本文件中，管理体系认证称为“认证”，实施认证的第三方合格评定机构称为“认证机构”。注 3：认证机构可以是非政府的或政府的，具有或不具有法定权力。

11、注 4：本文件可作为认可、同行评审或其他审核过程的准则文件。 2 规范性引用文件下列引用文件对本文件的应用是必不可少的。凡是注日期的引用，仅所引用的版本适用。凡是不注日期的引用，所引用文件的最新版本（包括任何修改单）适用。 GB/T 19000质量管理体系基础和术语（ ISO 9000 IDT） GB/T 27000合格评定词汇和通用原则（ ISO/IEC 17000 IDT） 3 术语和定义 GB/T 19000 和 GB/T 27000 中给出的术语和定义以及下列术语和定义适用于本文件。 3.1 获证客户 certified client 管理体系已获认证的组织 3.2 公正性 im

12、partiality 客观性的存在注 1：客观性意味着利益冲突不存在或已解决，不会对认证机构的后续活动产生不利影响；注 2：其他可用于表示公正性的要素的术语有：独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。 3.3 管理体系咨询 management system consultancy 参与建立、实施或保持管理体系示例 1：筹划或编制手册或程序。 CNAS-CC01:2015 第 7 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施示例 2：对管理体系的建立和实施提供具体的建议、指导或解决

13、方案。注 1：如果与管理体系和审核有关的培训课程仅限于提供通用信息，那么组织培训并作为培训者参与培训不被视为咨询，即培训者不宜针对特定的客户提出解决方案。注 2：为过程或体系的改进提供通用信息，而不是针对特定客户的解决方案，不被视为咨询。此类通用信息可以包括： - 解释认证准则的含义和意图； - 识别改进机会； - 解释相关的理论、方法学、技巧或工具； - 分享关于相关良好实践的非保密信息； - 所审核的管理体系未覆盖的其他管理问题。 3.4 认证审核 certification audit 由独立于客户和依赖认证的各方的审核组织实施的、对客户的管理体系进行以认证为目的的审核

14、注 1：在下面的定义中，第三方认证审核简称为 “ 审核 ” 。注 2：认证审核包括初次审核、监督审核和再认证审核，还可以包括特殊审核。注 3：认证审核通常由依据管理体系标准要求提供符合性认证的认证机构的审核组实施。注 4：两个或两个以上审核组织合作审核同一个客户，称作联合审核。注 5：一个客户同时按照两个或两个以上管理体系标准的要求接受审核，称作结合审核。注 6：一个客户已将两个或两个以上管理体系标准要求的应用整合在一个单一的管理体系中，并按照一个以上标准接受审核，称作一体化审核。 3.5 客户 client 其管理体系为认证目的接受审核的组织 3.6 审核员 auditor 实施

15、审核的人 3.7 能力 competence 能够应用知识和技能实现预期结果的本领 3.8 向导 guide 客户指派的协助审核组的人 3.9 观察员 observer 与审核组同行，但不实施审核的人 3.10 技术领域 technical area 以与特定类型管理体系及其预期结果有关的过程的共性为特征的领域注：见 7.1.2 注。 3.11 不符合 nonconformity CNAS-CC01:2015 第 8 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施未满足要求 3.12 严重不符合 major nonconformity 影响

16、管理体系实现预期结果的能力的不符合（ 3.11）注：严重不符合可能是下列情况： - 对过程控制是否有效或者产品或服务能否满足规定要求存在严重的怀疑； - 多项轻微不符合都与同一要求或问题有关，可能表明存在系统性失效，从而构成一项严重不符合 3.13 轻微不符合 minor nonconformity 不影响管理体系实现预期结果的能力的不符合（ 3.11） 3.14 技术专家 technical expert 向审核组提供特定知识或专业意见的人注：特定知识或专业意见与所审核的组织、过程或活动有关。 3.15 认证方案 certification scheme 应用相同的规定要求、特定

17、规则与程序的，与管理体系有关的合格评定制度 3.16 审核时间 audit time 策划并完成一次完整有效的客户组织管理体系审核所需要的时间 3.17 管理体系认证审核时间 duration of management system certification audits 审核时间（ 3.16）的一部分，包括从首次会议到末次会议之间实施审核活动的所有时间注：审核活动通常包括：举行首次会议；审核实施中的文件评审；审核中的沟通；向导和观察员的作用和责任；信息的收集和验证；形成审核发现；准备审核结论；举行末次会议。 4 原则 4.1 总则 4.1.1 本章所述原则是

18、本文件中后续的特定绩效要求和说明性要求的基础。本文件未就所有可能发生的情况给出特定要求。在出现未预料到的情况时，宜应用这些原则作为决策的指南。这些原则不是要求。 CNAS-CC01:2015 第 9 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施 4.1.2 认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括（但不限于）： a) 认证机构的客户； b) 获证客户的顾客； c) 政府部门； d) 非政府组织； e) 消费者和其他公众。 4.1.3 建立信任的

19、原则包括：公正性；能力；责任；公开性；保密性；对投诉的回应；基于风险的方法。注：本文件在第 4 章给出了认证的原则， GB/T 19011-2013 第 4 章给出了与审核有关的原则。 4.2 公正性 4.2.1 公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。重要的是所有内部和外部人员都意识到公正性的必要性。 4.2.2 客户支付的认证费用是认证机构的收入来源，也是对公正性的潜在威胁，这一点得到公认。 4.2.3 认证机构根据其所获得的符合（或不符合）的客观证据做出决定，且不受其他利益或其他各方的影响，对于获得和保持信任是必不可少的。 4.2.4 对公

20、正性的威胁可能包括，但不限于： a) 自身利益：此类威胁源于个人或机构依其自身利益行事。在认证中，财务方面的自身利益是一种对公正性的威胁。 b) 自我评审：此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。 c) 熟识（或信任）：此类威胁源于个人或机构对另外一人过于熟悉或信赖，而不去寻找审核证据。 d) 胁迫：此类威胁源于个人或机构察觉受到公然或暗中的强迫，如威胁用他人取而代之或向主管告发。 4.3 能力 4.3.1 认证活动涉及的所有职能的认证机构人员的能力是认证提供信任的必要条件。 CNAS-CC01:2015 第 10 页共

21、46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施 4.3.2 能力也需要由认证机构的管理体系来支撑。 4.3.3 认证机构管理的一个关键问题是具有一个得到实施的过程，来为参与审核和其他认证活动的人员建立能力准则，并按照准则实施评价。 4.4 责任 4.4.1 始终一致地达到实施管理体系标准的预期结果和符合认证要求的责任，在于获证客户而不是认证机构。 4.4.2 认证机构有责任对足够的客观证据进行评价，并在此基础上做出认证决定。根据审核结论，如果符合性的证据充分，认证机构做出授予认证的决定；如果符合性的证据不充分，则不授予认证。注：任何审核都

22、是基于对组织管理体系的抽样，因此并不保证管理体系 100%符合要求。 4.5 公开性 4.5.1 为获得对认证的诚信性与可信性的信任，认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态（即认证的授予、保持，认证范围的扩大或缩小，认证的更新、暂停、恢复或者撤销）的适当、及时信息的公开渠道，或公布这些信息。公开性是获得或公布适当信息的一项原则。 4.5.2 为获得或保持对认证的信任，认证机构宜向特定利益相关方提供获取特定审核（如为回应投诉而做的审核）结论的非保密信息的适当渠道，或公布这些信息。 4.6 保密性为了享有获取充分评价管理体系符合性所需信息的特权，认证机构不透露任何保

23、密信息是至关重要的。 4.7 对投诉的回应依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信，在投诉经查明有效时，认证机构将对这些投诉进行适当的处理，并为解决这些投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时，对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性（包括对投诉的回应）等原则之间取得适当的平衡。 4.8 基于风险的方法认证机构需要考虑与提供有能力的、一致的和公正的认证相关的风险。风险可能与下列方面有关（包括但不限于

24、）：审核目的；审核过程中的抽样；真正的和被感知到的公正性；法律法规问题和责任问题； CNAS-CC01:2015 第 11 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施所审核的客户组织及其运行环境；审核对客户及其活动的影响；审核组的健康和安全；利益相关方的认知；获证客户做出的误导性声明；标志的使用。 5 通用要求 5.1 法律与合同事宜 5.1.1 法律责任认证机构应为一个法律实体，或一个法律实体内有明确界定的一部分，以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为

25、法律实体。 5.1.2 认证协议认证机构与每个客户之间应有在法律上具有强制实施力并符合本文件相关要求的提供认证服务的协议。此外，如果认证机构有多个办公场所或客户有多个场所，则应确保授予认证的认证机构与客户之间具有覆盖认证范围内所有场所的在法律上具有强制实施力的协议。注：一项协议可以由多个相互引用或以其他方式相互联系的协议来实现。 5.1.3 认证决定的责任认证机构应对与认证有关的决定（包括授予、拒绝、保持认证，扩大或缩小认证范围，更新、暂停、在暂停后恢复、撤销认证）负责，并应保持做出上述决定的权力。 5.2 公正性的管理 5.2.1 合格评定活动应

26、以公正的方式实施。认证机构应对其合格评定活动的公正性负责，不应允许商业、财务或其他压力损害公正性。 5.2.2 认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有政策，表明其理解公正性在实施管理体系认证活动中的重要性，对利益冲突加以管理，并确保其管理体系认证活动的客观性。 5.2.3 认证机构应有过程以持续地识别、分析、评估、处置、监视与认证活动引起的利益冲突相关的风险，并将其形成文件，包括认证机构的各种关系引起的冲突。当存在对公正性的威胁时，认证机构应将其如何消除或最大限度减小此类威胁形成文件，并予以证实，并将任何残留风险形成文件。所作的证实应包括所有已识别的潜在威

27、胁，无论其产生于认证机构内部还是其他个人、机构或组织的活动。当某种关系对认证机构的公正性构成不可接受的威胁时（如认证机构的全资子公司向其申请认证），认证机构不应提供认证。最高管理层应审查任何残留风险并决定其是否处于可接受的水平。 CNAS-CC01:2015 第 12 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施风险评估过程应包括识别适宜的利益相关方，并就影响公正性（包括公开性和公众认知）的事宜向其征询意见。向适宜的利益相关方征询意见应以均衡的、任一方不处于支配地位的方式进行。注 1：认证机构公正性的威胁可能源自其所有权、法人治理结

28、构、管理层、人员、共享资源、财务、合同、培训、营销以及给介绍新客户的人销售佣金或其他好处等。注 2：利益相关方可能包括：认证机构的人员和客户，获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府组织（包括消费者组织）的代表。注 3：满足本条征询意见要求的一种方式是使用一个由这些利益相关方组成的委员会。 5.2.4 认证机构不应对另一认证机构的质量管理体系进行认证。 5.2.5 认证机构及同一法律实体的任何其他部分以及处于认证机构的组织控制（见9.5.1.2 b））之下的任何实体不应提供或推荐管理体系咨询，也不应为管理体系咨询提供报价。本条款同样适

29、用于政府中被识别为认证机构的那一部分。注：本条不排除认证机构与其客户之间交流信息的可能性（例如解释发现或澄清要求）。 5.2.6 认证机构及同一法律实体的任何其他部分向认证机构的获证客户提供内部审核是对公正性的严重威胁。因此，认证机构及同一法律实体的任何其他部分以及处于认证机构的组织控制（见 9.5.1.2 b））之下的任何实体不应向获证客户提供内部审核。一种公认的减轻这种威胁的方式是，如果认证机构对某个管理体系提供了内部审核，则不应在内部审核结束后至少两年内对该管理体系进行认证。注：见 5.2.3 注 1。 5.2.7 如果客户接受了与认证机构有关系的机构的管理体系

30、咨询，这是对公正性的严重威胁。一种公认的减轻这种威胁的方式是，认证机构在咨询结束后至少两年内不应对该管理体系进行认证。注：见 5.2.3 注 1。 5.2.8 认证机构不应将审核外包给管理体系咨询机构，因为这一做法将对认证机构的公正性构成不可接受的威胁（见 7.5）。本条款不适用于 7.3 所述的作为签约审核员的个人。 5.2.9 认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。如果任何咨询机构的链接或声明宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价，则该认证机构应采取措施纠正这种不当表述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。

31、 5.2.10 为确保没有利益冲突，参与了对客户管理体系咨询的人员（包括管理人员）不应被认证机构用于针对该客户的审核或其他认证活动。一种公认的减轻该威胁的方式是在咨询结束后至少两年内不应使用该人员。 CNAS-CC01:2015 第 13 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施 5.2.11 认证机构应采取措施，以应对其他人员、机构或组织的行为对其公正性产生的威胁。 5.2.12 认证机构所有可以影响认证活动的人员（内部或外部的）或委员会应公正行事，且不应允许商业、财务或其他方面的压力损害公正性。 5.2.13 认证机构应要求内部和外

32、部的人员告知他们所了解的任何可以使其或认证机构陷入利益冲突的情况。认证机构应记录并利用这些信息识别他们或其所在单位的活动对公正性产生的威胁，且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。 5.3 责任和财力 5.3.1 认证机构应能证明已对认证活动引发的风险进行了评估，并对各个活动领域和运作地域的业务引发的责任作了充分的安排（如保险或储备金）。 5.3.2 认证机构应评估其财务状况和收入来源，并证明其公正性始终没有受到商业、财务和其他方面压力的损害。 6 结构要求 6.1 组织结构和最高管理层 6.1.1 认证机构应将其组织结构、管理层和其他认证人员及各委员会的职责、责任和权力

33、形成文件。当认证机构是一个法律实体内有明确界定的一部分时，该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。 6.1.2 认证机构的结构和管理方式应维护认证活动的公正性。 6.1.3 认证机构应确定对下列各项具有全部权力和责任的最高管理层（委员会、小组或个人）： a) 与认证机构运作有关的政策的制定以及过程和程序的建立； b) 政策、过程和程序实施的监督； c) 确保公正性； d) 认证机构财务的监督； e) 管理体系认证服务和认证方案的开发； f) 审核与认证的实施和对投诉的回应； g) 认证决定； h) 在需要时，授权委员会或个人代表最高管理层开展规定的活

34、动； i) 合同安排； j) 为认证活动提供充分的资源。 6.1.4 认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。 6.2 运行控制 CNAS-CC01:2015 第 14 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施 6.2.1 认证机构应有过程对其分支办公室、合伙人、代理、特许经营者等交付的认证活动进行有效控制，不论其法律地位、关系或地理位置如何。认证机构应考虑这些活动给认证机构的能力、一致性和公正性带来的风险。 6.2.2 认证机构应考虑与所从事活动相适宜的控制水平和方法，包括其过程、运作的技术领域、人

35、员能力、管理控制和报告关系以及对操作系统（包括记录）的远程访问。 7 资源要求 7.1 人员能力 7.1.1 总体考虑认证机构应有过程来确保其人员对其运作涉及的管理体系类型（例如质量管理体系、环境管理体系、信息安全管理体系）和地域有适宜的相关知识与技能。 7.1.2 能力准则的确定认证机构应有过程，以确定参与管理和实施审核及其他认证活动的人员的能力准则。应根据每类管理体系标准的要求，针对每个技术领域和认证过程中的每项职能确定能力准则。该过程的输出应是形成文件的所要求知识和技能的准则，这些知识和技能是有效地实施审核与认证任务以实现预期结果所必需的。附录 A明确了认证机构应

36、为特定职能确定的知识和技能。如果已经为特定的标准或认证方案建立了附加的特定能力准则（例如 ISO/IEC TS 17021-2（ CNAS-CC121）， ISO/IEC TS 17021-3（ CNAS-CC131）或 ISO/TS 22003（ CNAS-CC18）），这些附加的特定能力准则应得到应用。注：取决于不同的管理体系标准，术语 “技术领域 ”的应用方式可以有所不同。对于任何管理体系，该术语都与管理体系标准范围内的产品、过程和服务有关。技术领域可由特定认证方案（例如 ISO/TS 22003（ CNAS-CC18））定义；或者可以由认证机构定义。该术语用于涵盖

37、不同管理体系领域传统使用的一些其他术语，例如 “范围 ”、“类别 ”、 “行业 ”等。 7.1.3 评价过程认证机构应有形成文件的过程，以应用所确定的能力准则，对所有参与管理和实施审核及其他认证活动的人员进行初始能力评价，并持续监视其能力和绩效。认证机构应证实其评价方法是有效的。这些过程的输出应是识别出有能力的人员，即被证实具有审核与认证过程不同职能所需的能力水平的人员。在认证机构内，人员为其活动绩效承担责任前，能力应得到证实。注 1：附录 B介绍了一些可用于能力评价的评价方法。注 2：附录 C 提供了一个能力确定和保持流程的示例。 7.1.4 其他考虑认证机构

38、应有获取必要的专业知识与技能的途径，以在其运作涉及的所有技术领CNAS-CC01:2015 第 15 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施域、管理体系类型和地域等方面获得与认证活动直接相关的建议。这些建议可由外部人员或认证机构人员提供。 7.2 参与认证活动的人员 7.2.1 认证机构应有足够的、有能力的人员以对其各种类型与范围的审核方案以及其他认证工作进行管理和支持。 7.2.2 认证机构应聘用或有途径获得足够数量的审核员（包括审核组长）和技术专家，以覆盖其所有活动并满足审核工作量的需要。 7.2.3 认证机构应使所有相

39、关人员清楚自己的任务、责任和权力。 7.2.4 认证机构应有过程来选择、培训、正式任用审核员，选择并培养认证活动使用的技术专家。审核员的初始能力评价应包括在审核中应用所需知识与技能的本领的证实。在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中确定。注：在上述的选择和培训过程中可以考虑所期望的个人行为。所期望的个人行为是影响一个人实施特定职能的能力的特性。对个人行为的了解能使认证机构能够发挥人员的强项并尽可能减小其弱点的影响。附录 D介绍了所期望的个人行为，它们对参与认证活动的人员是重要的。 7.2.5 认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审

40、核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。 7.2.6 认证机构应确保审核员（需要时，包括技术专家）充分了解其审核过程、认证要求和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。 7.2.7 认证机构应识别培训需求，并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训，以确保他们胜任所从事的工作。 7.2.8 做出授予、拒绝、保持、更新、暂停、恢复或撤销认证或者扩大或缩小认证范围等决定的小组或个人应理解适用的标准和认证要求，并经证实有能力评价审核过程的结果，包括审核组的相关推

41、荐意见。 7.2.9 认证机构应确保所有参与审核和其他认证活动的人员均有令人满意的表现。认证机构应有形成文件的过程，以根据这些人员的使用频率及其活动的风险水平来监视他们的能力和表现。认证机构尤其应根据人员的表现来复核并记录他们的能力，以识别培训需求。 7.2.10 认证机构应在监视每个审核员时考虑该审核员被认为有能力的每个管理体系类型。形成文件的审核员监视过程应把现场评价、审核报告复核及客户或市场反馈相结合。认证机构应在文件要求中详细说明该程序。在设计监视方式时，应使正常认证过程所受干扰最小（尤其是从客户角度来看）。 7.2.11 认证机构应定期对每位审核员的表现进行现场评价。现场评价的

42、频率应取决于根据所有可获得的监视信息确定的现场见证需求。 CNAS-CC01:2015 第 16 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施 7.3 外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构适用的政策并按照认证机构的规定实施相关过程。该协议应含有关于保密及公正性的条款，并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。注：使用个人或另一组织的单个雇员作为外部审核员或技术专家不构成外包。 7.4 人员记录认证机构应保持人员（包括认证活动实施

43、人员、管理人员和行政人员）的最新记录，包括相关的资格、培训、经历、隶属关系、专业状况和能力的记录。 7.5 外包 7.5.1 认证机构应说明可以进行外包（即向另一个组织分包，由其代表认证机构提供部分认证服务）的条件。认证机构应与每个承担外包服务的机构就相关安排（包括保密和利益冲突）签订在法律上具有强制实施力的协议。 7.5.2 授予、拒绝、保持认证，扩大或缩小认证范围，更新、暂停、恢复或者撤销认证的决定不应外包。 7.5.3 认证机构应： a) 对外包给另一机构的所有活动负责； b) 确保外包服务承担机构及其使用的人员符合认证机构的要求和本文件的适用要求，包括能力、公正性和保密

44、； c) 确保外包服务承担机构及其使用的人员与拟审核的组织没有可能损害公正性的关系（无论是直接的还是通过任何其他雇主发生的关系）。 7.5.4 认证机构应有过程，以对认证活动的所有外包服务承担机构进行批准和监视，且应确保其参与认证活动的所有人员的能力记录得到保持。注 1：对于 7.5.1至 7.5.4，当认证机构聘用个人或其他组织的雇员来补充资源或专业能力时，如果认证机构与个人签约，以使其在认证机构的管理体系下运作（见 7.3），不构成外包。注 2：对于 7.5.1至 7.5.4，“外包”与“分包”视为同义词。 8 信息要求 8.1 公开信息 8.1.1 认证机构应在其运营的所有地

45、理区域中保持（通过出版物、电子介质或其他方式）并主动公布下列方面的信息： a) 审核过程； b) 授予、拒绝、保持、更新、暂停、恢复或撤销认证或者扩大或缩小认证范围的过程； c) 其运作涉及的管理体系类型和认证方案； CNAS-CC01:2015 第 17 页共 46 页 2015 年 07 月 15 日发布 2015 年 12 月 16 日实施 d) 认证机构的名称和认证标志或徽标的使用； e) 对索要信息的请求、投诉和申诉的处理过程； f) 公正性政策。 8.1.2 认证机构应在有请求时提供下列方面的信息： a) 其运作涉及的地理区域； b) 特定认证的状态；

46、c) 特定获证客户的名称、相关的规范性文件、认证范围和地理位置（国家和城市）。注 1：在特殊情况下，可以根据客户的请求（如出于安全原因）对某些信息的公开程度做出限制。注 2：认证机构也可以通过任何方式主动公开 8.1.2中的信息，例如在其网站上。 8.1.3 认证机构向客户或市场提供的信息（包括广告）应准确且不使人产生误解。 8.2 认证文件 8.2.1 认证机构应以其选择的任何方式向获证客户提供认证文件。 8.2.2 认证文件应标明： a) 每个获证客户的名称和地理位置（或多场所认证范围内总部和所有场所的地理位置）； b) 授予认证、扩大或缩小认证范围、更新认证的生效日期，生效日期不应早于相关认证决定的日期；注：当证书失效一段时间时，认证机构在满足下列条件时，可以在证书上保留原始的认证日期： - 清晰标示了当前认证周期的开始时间和截止时间； - 把上一认证周期截止时间连同再认证审核的时间一起标示。 c) 认证有效期或与认证周期一致的应进行再认证的日期； d) 唯一的识别代码； e) 审核获证客户时

展开阅读全文