ISO IEC FDIS 17021-XXXX《合格评定 管理体系审核认证机构的要求》

国际标准最终草案ISO/IEC 17021合格评定管理体系审核认证机构的要求Conformity assessment Requirementsfor bodies providing audit andcertification of management systems目 次前 言IV引 言V1 范围12 标准性引用文件13 术语和定义14 原那么24.1 总那么24.2 公正性34.3 能力34.4 责任34.5 公开性34.6 保密性34.7 对投诉的回应35 通用要求45.1 法律与合同事宜45.1.1 法律责任45.1.2 认证协议45.1.3 认证决定的责任45.2 公正性的管理45.3 责任和财力56 结构要求56.1 组织结构和最高管理层56.2 维护公正性的委员会57 资源要求67.1 管理层和人员的能力6 总体考虑67.1.2 能力准那么确实定67.1.3 评价过程67.2 参与认证活动的人员67.3 外部审核员和外部技术专家的使用77.4 人员记录77.5 外包78 信息要求88.1 可公开获取的信息88.2 认证文件88.3 获证客户目录88.4 认证资格的引用和标志的使用88.5 保密98.6 认证机构与其客户间的信息交换98.6.1 认证过程和要求的信息98.6.2 认证机构的变更通知108.6.3 客户的变更通知109 过程要求109.1 通用要求10 审核方案10 审核方案109.1.3 选择和指派审核组11 确定审核时间11 多场所的抽样12 传达审核组任务12 说明审核组成员12 审核方案的沟通12 实施现场审核12 审核报告14 不符合的原因分析15 纠正和纠正措施的有效性15 补充审核15 认证决定15 作出决定前的行动159.2 初次审核与认证159.2.1 申请159.2.2 申请评审159.2.3. 初次认证审核169.2.4 初次认证的审核结论179.2.5 授予初次认证所需的信息179.3 监督活动179.3.1 总那么179.3.2. 监督审核179.3.3 保持认证179.4 再认证189.4.1 再认证审核的筹划189.4.2 再认证审核189.4.3 授予再认证所需的信息189.5 特殊审核189.5.1 扩大认证范围189.5.2 提前较短时间通知的审核189.6 暂停、撤消或缩小认证范围189.7 申诉199.8 投诉199.9 申请组织和客户的记录1910 认证机构的管理体系要求2010.1 可选方式2010.2 方式一：与ISO 9001一致的管理体系要求2010.2.1 总那么2010.2.2 范围2010.2.3 以顾客为关注焦点2010.2.4 管理评审2010.2.5 设计和开发2010.3 方式二：通用的管理体系要求2010.3.1 总那么2010.3.2 管理体系手册2110.3.3 文件控制2110.3.4 记录控制2110.3.5 管理评审2110.3.6 内部审核2210.3.7 纠正措施2210.3.8 预防措施22附 录 A （标准性附录） 为管理体系认证机构确定能力准那么的一个例如23附 录 B （资料性附录） 确定管理体系认证机构能力准那么的例如24B.1 能力准那么确定过程24B.2 知识水平24B.3 特定职能的能力要求24附 录 C （资料性附录） 可能的评价方法26C.1 概述26C.2 记录审查26C.3 意见反应26C.4 面谈26C.5 观察26C.6 考试27附 录 D （资料性附录） 认证人员能力评价的例如28D.1 概述28D.2 能力评价过程29附 录 E （资料性附录） 所期望的个人行为32附 录 F （资料性附录） 第三方审核和认证过程33附 录 G （资料性附录） 审核方案、范围和方案的其他考虑因素34G.1 概述34G.2 考虑因素34参考文献35前 言国际标准化组织ISO和国际电工委员会IEC构成了世界标准化的专业体系。ISO或IEC的国家成员机构通过这两个组织针对特定领域技术活动设立的技术委员会参与国际标准的制定。ISO和IEC的技术委员会在有共同兴趣的领域进行合作。其他与ISO和IEC有联络关系的政府间或非政府国际组织也参与相关工作。在合格评定领域，ISO合格评定委员会CASCO负责制定国际标准和指南。国际标准按照ISO/IEC工作导那么第二局部所述的规那么起草。国际标准草案提交各成员机构投票表决。国际标准草案只有获得75的投票成员机构通过，才能作为国际标准发布。请注意本文件的某些内容可能涉及专利权。ISO不负责识别任何专上述利权。ISO/IEC 17021-2由ISO/CASCO制定。该国际标准提交ISO和IEC的成员机构表决，并获得这两个组织的批准。ISO/IEC 17021的总标题为?合格评定管理体系审核认证机构的要求及管理体系第三方认证审核的要求?，包括以下局部：第1局部：管理体系审核认证机构的要求第2局部：管理体系第三方认证审核的要求斜体字文本为原来的ISO/IEC 17021:2006文本。正体字文本为17021-2文本。在本国际标准中，“应shall一词表示要求，“宜should一词表示建议。引 言管理体系认证如对组织的质量或环境管理体系的认证是对组织已实施了与其方针一致、用以管理其活动相关方面的体系提供保证的一种方法。本国际标准规定了对认证机构的要求。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证，以促进国际和国内成认这些机构并接受它们的认证。本国际标准为促进对管理体系认证的成认提供了根底，这种成认有利于国际贸易。管理体系认证是独立地证明组织的管理体系：a符合规定要求；b能够自始至终实现其声明的方针和目标；c得到有效实施。因此，诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。本国际标准第4章阐述了可信的认证所依据的原那么。这些原那么有助于读者理解认证的本质属性，并为第5章至第10章做了必要的铺垫。这些原那么构成了本国际标准所有要求的根底，但其本身并不是可供评审的要求。第10章为认证机构通过建立管理体系来保障和证实其始终满足本国际标准要求提供了两种可供选择的途径。本国际标准旨在供实施管理体系审核和认证的机构使用。它对从事质量、环境及其他管理体系审核和认证的机构提出了通用要求。本国际标准将这类机构称为认证机构。这一用语不阻碍那些有着其他名称、但从事本国际标准范围内活动的机构使用本国际标准。认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他标准性要求。本国际标准包含ISO/IEC 17021:2006的文本，但删除了其中对ISO 19011的相关引用，增加了对第三方审核和认证人员能力管理的具体要求。我们已从缺少具体的和公认的管理体系例如质量管理体系、环境管理体系或食品平安管理体系第三方审核员要求识别出了特定的市场需求。ISO 19011:2002仅对审核员能力提供了非强制性的指南。重要的利益相关方包括工业界的利益相关方发现缺少对审核员能力及审核员管理与使用方式的要求是一个缺陷。本国际标准对管理体系审核提供了一套通用要求，目的是使有能力的审核组，具有充足的资源，按照一致的过程，可靠地确定与适用的认证要求的符合性，并以一致的方式报告结果。本国际标准将作为对第三方管理体系审核与认证能力进行成认的根底和认可准那么文件。本国际标准也可用于同行评审或其他审核过程。ISO/IEC 17021是适用于各种类型管理体系的审核与认证的通用标准。为实现利益相关方的期望，可能需要对其中一些要求，特别是那些关于审核员能力的要求补充附加准那么，这一点得到公认。在本国际标准中，“应表示要求，“宜表示建议。合格评定管理体系审核认证机构的要求1 范围本国际标准包含了所有类型管理体系如质量管理体系或环境管理体系审核与认证的能力、一致性和公正性的原那么与要求，以及提供上述活动的机构所遵循的原那么与要求。按照本国际标准运作的认证机构不必提供所有类型的管理体系认证。管理体系认证本国际标准中称为“认证是一种第三方合格评定活动见ISO/IEC 17000:2004的5.5。因此，实施这种活动的机构是第三方合格评定机构本国际标准中称为“认证机构。注1：管理体系认证有时也称为“注册，认证机构有时称为“注册机构。注2：认证机构可以是非政府的或政府的具有或不具有法定权力。注3：本国际标准可作为认可、同行评审或其他审核过程的准那么文件。2 标准性引用文件以下引用文件对本文件的应用是必不可少的。但凡注日期的引用，仅所引用的版本适用。但凡不注日期的引用，所引用文件的最新版本包括任何修改单适用。ISO 9000:2005，质量管理体系根底和术语ISO 19011:2002，质量和或环境管理体系审核指南） 本文件对ISO 19011相关指南的引用适用于对所有其他类型管理体系的审核。ISO/IEC 17000:2004，合格评定词汇和通用原那么3 术语和定义ISO 9000和ISO/IEC 17000中给出的术语和定义以及以下术语和定义适用于本文件。3.1获证客户 certified client管理体系已获认证的组织3.2公正性 impartiality实际存在的并被认识到的客观性注1：客观性意味着利益冲突不存在或已解决，不会对认证机构的后续活动产生不利影响；注2：其他可用于表示公正性的要素的术语有：客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。3.3管理体系咨询 management system consultancy参与设计、实施或保持管理体系示例筹划或编制手册或程序；对管理体系的建立和实施提供具体的建议、指导或解决方案。注：如果与管理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息，那么组织培训并作为培训者参与培训不被视为咨询，即培训者不宜针对特定的公司提出解决方案。3.4第三方认证审核 third-party certification audit由独立于客户和用户的审核组织实施的、以对客户的管理体系进行认证为目的的审核注1：在下面的定义中，第三方认证审核简称为“审核。注2：第三方认证审核包括初次审核、监督审核和再认证审核，还可以包括特殊审核。注3：第三方认证审核通常由提供依据管理体系标准要求的符合性认证的机构的审核组实施。注4：两个或两个以上审核组织合作审核一个客户，称作联合审核。注5：一个客户同时按照两个或两个以上管理体系标准的要求接受审核，称作结合审核。注6：一个客户已将两个或两个以上管理体系标准的要求的应用整合进一个管理体系，并按照一个以上标准接受审核，称作一体化审核。3.5客户 client为认证目的接受审核的组织3.6审核员 auditor实施审核的人3.7能力 competence能够应用知识和技能实现预期结果的特质去掉经证实3.8向导 guide客户指派的协助审核组的人3.9观察员 observer陪同审核组但不审核的人-来自客户或认可委3.10技术领域 technical area以特定类型管理体系的相关过程的共性为特征的领域 area characterized by commonalities of processes relevant to a specific type of management system4 原那么4.1 总那么 本章所述原那么是本国际标准中后续的特定绩效要求和说明性要求的根底。本国际标准未就所有可能发生的情况给出特定要求。在出现未预料到的情况时，宜应用这些原那么作为决策的指南。这些原那么不是要求。 认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括但不限于：a） 认证机构的客户；b） 获证客户的顾客；c） 政府部门；d） 非政府组织；e） 消费者和其他公众。4.1.3 建立信任的原那么包括： - 公正性；- 能力；- 责任；- 公开性；- 保密性；- 对投诉的回应。4.2 公正性4.2.1 公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。4.2.2 客户支付的认证费用是认证机构的收入来源，也是对公正性的潜在威胁，这一点得到公认。4.2.3 认证机构根据其所获得的符合或不符合的客观证据做出决定，且不受其他利益或其他各方的影响，对于获得和保持信任是必不可少的。4.2.4 对公正性的威胁包括：a） 自身利益的威胁：此类威胁源于个人或机构依其自身利益行事。在认证中，财务方面的自身利益是一种对公正性的威胁。b） 自我评审的威胁：此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。c） 熟识或信任的威胁：此类威胁源于个人或机构对另外一人过于熟悉或信赖，而不去寻找审核证据。d） 胁迫的威胁：此类威胁源于个人或机构发觉受到公然或暗中的强迫，如威胁用他人取而代之或向主管揭发。4.3 能力认证机构的管理体系所支撑的人员能力是认证提供信任的必要条件。能力是经证实的应用知识和技能的本领。4.4 责任4.4.1 符合认证要求的责任在于客户组织而不是认证机构。4.4.2 认证机构有责任对足够的客观证据进行评价，并在此根底上做出认证决定。根据审核结论，如果符合性的证据充分，认证机构做出授予认证的决定；如果符合性的证据不充分，那么不授予认证。注：任何审核都是基于对组织管理体系的抽样，因此并不保证管理体系100%符合要求。4.5 公开性4.5.1 为获得对认证的诚信性与可信性的信任，认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态即认证的授予、保持、更新、扩大、缩小、暂停或撤消的适当、及时信息的公开渠道，或公布这些信息。公开性是获得或公布适当信息的一项原那么。4.5.2 为获得或保持对认证的信任，认证机构宜向特定利益相关方提供获取特定审核如为回应投诉而做的审核结论的非保密信息的适当渠道，或公布这些信息。4.6 保密性为了享有获取充分评价管理体系符合性所需信息的特权，认证机构对任何关于客户的专有信息予以保密是必需的。4.7 对投诉的回应依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信，在投诉经查明有效时，认证机构将对投诉进行适当的处理，并为解决投诉做出适当的努力。当投诉说明出现错误、疏忽或不合理行为时，对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性包括对投诉的回应等原那么之间取得适当的平衡。5 通用要求5.1 法律与合同事宜 法律责任认证机构应为一个法律实体，或一个法律实体内有明确界定的一局部，以便认证机构能够对其所有认证活动承当法律责任。政府的认证机构因其政府地位而被视为法律实体。 认证协议认证机构与客户之间应有在法律上具有强制实施力的提供认证效劳的协议。此外，如果认证机构有多个办公场所或客户有多个场所，那么应确保授予认证并颁发证书的认证机构与认证范围覆盖的所有场所之间有在法律上具有强制实施力的协议。5.1.3 认证决定的责任认证机构应对与认证有关的决定包括授予、保持、更新、扩大、缩小、暂停和撤消认证负责，并应保持做出上述决定的权力。5.2 公正性的管理5.2.1 认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明，说明其理解公正性在实施管理体系认证活动中的重要性，对利益冲突加以管理，并确保其管理体系认证活动的客观性。5.2.2 认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件，包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是，如果任何关系对公正性构成威胁，认证机构应将其如何消除或最大限度减小此类威胁形成文件，并能予以证实。6.2所指的委员会应能获得这方面的信息。所作的证实应包括所有已识别的潜在利益冲突来源，无论其产生于认证机构内部还是其他个人、机构或组织的活动。注：威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。5.2.3 当某种关系对认证机构的公正性构成不可接受的威胁时如认证机构的全资子公司向其申请认证，认证机构不应提供认证。注：见注。5.2.4 认证机构不应对另一认证机构的管理体系认证活动进行认证。注：见注。5.2.5 认证机构及同一法律实体的任何其他局部不应提供或推荐管理体系咨询，也不应为管理体系咨询提供报价。本条款同样适用于政府中被识别为认证机构的那一局部。5.2.6 认证机构及其所属法律实体的任何其他局部不应向获证客户提供内部审核。如果认证机构对某个管理体系提供了内部审核，那么不应在内部审核结束后两年内对该管理体系进行认证。本条款同样适用于政府中被识别为认证机构的那一局部。注：见注。5.2.7 如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁，而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核，那么认证机构不应对该管理体系进行认证。注1：在管理体系咨询结束后经过至少两年时间，是将对公正性威胁降至可接受水平的一种方式。注2：见注。5.2.8 认证机构不应将审核外包给管理体系咨询机构，因为这一做法将对认证机构的公正性构成不可接受的威胁见7.5。本条款不适用于7.3所述的作为签约审核员的个人。5.2.9 认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价，那么该认证机构应采取措施纠正这种不当表述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。5.2.10 为确保没有利益冲突，参与了对客户管理体系咨询的人员包括管理人员，在咨询结束后两年内，不应被认证机构用于针对该客户的审核或其他认证活动。5.2.11 认证机构应采取措施，以应对其他人员、机构或组织的行为对其公正性产生的威胁。5.2.12 认证机构所有可以影响认证活动的人员内部或外部的或委员会应公正行事，且不应允许商业、财务或其他方面的压力损害公正性。5.2.13 认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁，且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。5.3 责任和财力5.3.1 认证机构应能证明已对认证活动引发的风险进行了评估，并对各个活动领域和运作地域的业务引发的责任作了充分的安排如保险或储藏金。5.3.2 认证机构应评估其财务状况和收入来源，并向6.2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。6 结构要求6.1 组织结构和最高管理层6.1.1 认证机构应将其组织结构形成文件，并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内有明确界定的一局部时，该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他局部的关系。6.1.2 认证机构应确定对以下各项具有全部权力和责任的最高管理层委员会、小组或个人：a） 与认证机构运作有关的政策的制定；b） 政策和程序实施的监督；c） 认证机构财务的监督；d） 管理体系认证效劳和认证方案的开发；e） 审核与认证的实施和对投诉的回应；f） 认证决定；g） 在需要时，授权委员会或个人代表最高管理层开展规定的活动；h） 合同安排；i） 为认证活动提供充分的资源。6.1.3 认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规那么。6.2 维护公正性的委员会6.2.1 认证机构的结构应维护认证机构活动的公正性，并具有一个进行以下活动的委员会：a） 协助制定与认证活动公正性有关的政策；b） 阻止认证机构有任何倾向使商业因素或其他因素阻碍其一致地提供客观的认证活动；c） 对影响认证可信度的事宜包括公开性和公众认识提出建议；d） 至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。该委员会也可被委以其他任务或职责，但这些附加的任务或职责不得削弱其确保公正性的根本作用。6.2.2 该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件，并由认证机构最高管理层批准，以确保：a） 各方利益均衡，以使任一利益方不处于支配地位认证机构的内部或外部人员视为一个利益方，且不应居支配地位；b） 获取所有必要的信息，使其能够履行自己的职能见5.2.2和5.3.2；c） 如果认证机构最高管理层不尊重委员会的建议，委员会应有权采取独立措施如报告主管部门、认可机构或利益相关方。采取独立措施时，委员会应尊重8.5中与客户和认证机构相关的保密要求。6.2.3 虽然该委员会不能代表所有利益方，但是认证机构宜识别和邀请关键利益方。这些利益方可能包括：认证机构的客户，获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府组织包括消费者组织的代表。7 资源要求7.1 管理层和人员的能力 总体考虑认证机构应有过程来确保其人员对其运作涉及的管理体系类型和地域有适宜的相关知识。认证机构应确定与特定认证方案相关的每个技术领域所需的能力，以及认证活动的每项职能所需的能力。认证机构应确定在履行特定职能前证实能力的方法。7.1.2 能力准那么确实定认证机构应有形成文件的过程，以确定参与管理和实施审核与认证的人员的能力准那么。应就每类管理体系标准或标准的要求，为每个技术领域，并为认证过程中的每项职能确定能力准那么（知识/技能点描述出来）。该过程的输出应为所要求的知识和技能的形成文件的准那么，这些知识和技能是有效地实施为实现预期结果而要完成的审核与认证任务所必需的。附录A规定了认证机构应为特定职能定义的知识和技能。如果已经为特定的认证方案建立了附加的特定能力准那么，例如ISO/TS 2203食品平安管理体系，这些附加的特定能力准那么应得到应用。注：术语“技术领域的应用方式可以根据所考虑的管理体系标准而不同。对于任何管理体系，该术语都与管理体系标准范围内的产品和过程有关。技术领域可由特定认证方案例如ISO/TS 22003定义；或者可以由认证机构定义。下面给出了术语“技术领域在不同类型管理体系中的应用实例：对于质量管理体系标准，术语“技术领域与满足顾客对组织的产品和效劳的期望以及适用于组织的产品和效劳的法律法规要求所需的过程有关。-产品效劳法规对于环境管理体系标准，术语“技术领域与影响空气、水、土壤、自然资源、植物、动物和人类的环境因素涉及的活动、产品和效劳类别有关。对于供给链平安管理体系标准，术语“技术领域与供给的平安风险涉及的过程有关，例如运输、仓储和信息。对于信息平安管理体系标准，除了别的，术语“技术领域与选择充分且适当的保护信息资产的平安控制措施所涉及的信息平安技术与实践、信息和通信技术和业务活动的类别有关。7.1.3 评价过程认证机构应有形成文件的过程，以应用所确定的能力准那么，对所有参与管理和实施审核与认证的人员进行初始能力评价，并持续监视其能力和表现。认证机构应证实其评价方法是有效的。这些过程的输出应为识别出那些经证实具有审核和认证过程不同职能所要求的能力水平的人员。注：附录B介绍了一些可用于知识和技能评价的评价方法。 其他考虑7.1.4.1 （译注：ISO/IEC 17021:2006条款）认证机构在确定认证实施人员的能力要求时，除了那些直接实施审核与认证活动的人员，还应考虑管理层和行政人员所承当的职能。7.1.4.2 （译注：ISO/IEC 17021:2006条款7.1.3）认证机构应有获取必要的专业知识与技能的途径，以在其运作涉及的技术领域、管理体系类型和地域等方面获得与认证直接相关的建议。这些建议可由外部人员或认证机构人员提供。7.2 参与认证活动的人员 认证机构自身应有具备足够能力对其各种类型与范围的审核方案以及其他认证工作进行管理的人员。7.2.2 认证机构应聘用或有途径获得足够数量的审核员包括审核组长和技术专家，以覆盖其所有活动并满足审核工作量的需要。7.2.3 认证机构应使所有有关人员清楚自己的任务、责任和权力。7.2.4 认证机构应有明确的过程来选择、培训、正式任用审核员和选择认证活动使用的技术专家。审核员的初始能力评价应包括对适用的个人素质及在审核中应用所需知识与技能的本领的证实。适用的个人素质及在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中确定。个人素质-技能所期望的个人行为注：在上述的选择和培训过程中可以考虑所期望的个人行为。所期望的个人行为是影响一个人实施特定职能的能力的特性。因此，个人行为方面的知识使认证机构能够利用人员的强项并使其弱点的影响最小化。附录D介绍了对认证活动参与人员重要的所期望的个人行为。7.2.5 认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。认证机构应在根据GB/T 19011相关指南制定的文件要求中明确该过程。7.2.6 认证机构应确保审核员需要时，包括技术专家充分了解其审核过程、认证要求和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。7.2.7 认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。注：为特定审核组指派审核员和技术专家的要求见。7.2.8 认证机构应识别培训需求，并向审核员、技术专家和其他参与认证活动的人员提供或使其有时机参加特定的培训，以确保他们胜任所从事的工作。7.2.9 做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应理解适用的标准和认证要求，并经证实有能力评价审核过程和审核组的推荐意见。7.2.10 认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。认证机构应有形成文件的程序和准那么，以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机构尤其应根据人员的表现来复核他们的能力，以识别培训需求。7.2.11 形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反应相结合。认证机构应在根据GB/T 19011相关指南制定的文件要求中详细说明该程序。在设计监视方式时，应使正常认证过程所受干扰最小尤其是从客户角度来看。7.2.12 认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。7.3 外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构适用的政策和程序。该协议应含有关于保密及独立于商业和其他利益的条款，并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。注：依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。7.4 人员记录认证机构应保持人员包括认证活动实施人员、管理人员和行政人员的最新记录，包括相关的资格、培训、经历、隶属关系、专业状况、能力以及可能提供过的任何相关咨询效劳的记录。7.5 外包7.5.1 认证机构应说明可以进行外包即向另一个组织分包，由其代表认证机构提供局部认证效劳的条件。认证机构应与每个承当外包效劳的机构就相关安排包括保密和利益冲突签订在法律上具有强制实施力的协议。注1：这里可以包括外包给其他认证机构的情况。依据合同使用审核员和技术专家见7.3。注2：本国际标准中，“外包与“分包视为同义词。7.5.2 授予、保持、更新、扩大、缩小、暂停或撤消认证的决定不应外包。7.5.3 认证机构应：a） 对外包给另一机构的所有活动负责；b） 确保外包效劳承当机构及其使用的人员符合认证机构的要求和本国际标准的适用要求，包括能力、公正性和保密；c） 确保外包效劳承当机构及其使用的人员与拟审核的组织没有可能损害公正性的关系无论是直接的还是通过任何其他雇主发生的关系。7.5.4 认证机构应有形成文件的程序，以对认证活动的所有外包效劳承当机构进行资格审查和监视，且应确保其审核员和技术专家的能力记录得到保持。8 信息要求8.1 可公开获取的信息 认证机构应保持对其用于授予、保持、扩大、更新、缩小、暂停或撤消认证的审核过程和认证过程做出说明的信息，及其运作涉及的认证活动、管理体系类型和地域的信息，并使这些信息可公开获取，或在有请求时提供这些信息。 认证机构向客户或市场提供的信息包括广告应准确且不使人产生误解。 认证机构应使授予、暂停或撤消认证的信息可公开获取。 当任何一方提出请求时，认证机构应提供确认某一认证是否有效的方法。注1：如果信息分散在多个来源如印刷文件或电子文档，或两者结合，可以通过一个系统如唯一性编码系统或互联网上的超级链接来确保不同来源之间的可追溯性和明确一致性。注2：在特殊情况下，可以根据客户的请求如出于平安原因对某些信息的公开程度做出限制。8.2 认证文件 认证机构应以其选择的任何方式向获证客户提供认证文件。 认证文件的生效日期不应早于认证决定的日期。 认证文件应标明：a） 每个获证客户的名称和地理位置或多场所认证范围内总部和所有场所的地理位置；b） 授予、扩大或更新认证的日期；c） 认证有效期或与认证周期一致的应进行再认证的日期；d） 唯一的识别代码；e） 审核获证客户时所用的标准和或其他标准性文件，包括版次和或修订号；f） 与产品包括效劳、过程等相关的认证范围，适用时，包括每个场所相应的认证范围；g） 认证机构的名称、地址和认证标志；可以使用其他标识如认可标识，但不能产生误导或含混不清；h） 认证用标准和或其他标准性文件所要求的任何其他信息；i） 在颁发经过修改的认证文件时，区分新文件与任何已作废文件的方法。8.3 获证客户目录认证机构应以其选择的任何方式保持有效认证的目录，并使其可公开获取，或在有请求时提供该目录。该目录应至少说明每个获证客户的名称、相关的标准性文件、认证范围和地理位置如国家和城市或多场所认证范围内总部和所有场所的地理位置。注：该目录是认证机构的专有资产。8.4 认证资格的引用和标志的使用 认证机构对其授权获证客户使用的任何标志应有管理政策。该政策应确保可以从标志追溯到认证机构。标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧义。标志不应用于产品或消费者所见的产品包装之上，或以任何其他可解释为表示产品符合性的方式使用。注：GB/T 270302006提供了对使用第三方标志的要求。 认证机构不应允许其标志被用于实验室检测、校准或检查的报告，这里将此类报告视为产品。 认证机构应要求客户组织：a） 在传播媒介如互联网、宣传册或广告或其他文件中引用认证状态时，应符合认证机构的要求；b） 不做出或不允许有关于其认证资格的误导性说明；c） 不以或不允许以误导性方式使用认证文件或其任何局部；d） 在其认证被暂停或撤消时，按照认证机构的指令立即停止使用所有引用认证资格的广告材料见和9.6.6；e） 在认证范围被缩小时，修改所有的广告材料；f） 不允许在引用其管理体系认证资格时，暗示认证机构对产品包括效劳或过程进行了认证；g） 不得暗示认证适用于认证范围以外的活动；h） 在使用认证资格时，不得使认证机构和或认证制度声誉受损，失去公众信任。 认证机构应正确地控制其所有权，并采取措施处理认证状态的错误引用或认证文件、标志或审核报告的误导性使用。注：此类措施可以包括要求纠正或采取纠正措施、暂停认证、撤消认证、公告违规行为以及必要的法律措施。8.5 保密 认证机构应具有政策和相关安排，以确保其各个层次包括代表其活动的委员会、外部机构或个人对从事认证活动时获得或产生的保密信息予以保密，并通过在法律上具有强制实施力的协议落实上述政策和安排。 认证机构应将其拟对公众公开的信息提前告知客户。所有其他信息均应视为保密信息，客户自己公开的信息除外。 除本国际标准有要求外，关于特定客户或个人的信息，未经其书面同意，不应向第三方披露。当法律要求认证机构向第三方提供保密信息时，除法律限制外，认证机构应将拟提供的信息提前通知有关客户或个人。 从其他来源如投诉人、监管机构获得的关于客户的信息应根据认证机构的政策按保密信息处理。 认证机构的人员，包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个人，应对从事认证机构的活动时获得或产生的所有信息予以保密。 认证机构应能获得确保保密信息如文件、记录的平安处理的设备和设施，并使用这些设备和设施。 认证机构向其他机构如认可机构、建立在同行评审根底上的协议集团公开保密信息时，应将这一行动通知其客户。8.6 认证机构与其客户间的信息交换 认证过程和要求的信息认证机构应向客户提供并为其更新以下信息：a） 对认证活动整个过程的详细说明，包括申请、初次审核、监督审核和授予、保持、缩小、扩大、暂停、撤消认证以及再认证的过程；b） 认证依据的标准性要求；c） 申请、初次认证和保持认证资格所需费用的信息；d） 认证机构对拟接受审核的客户的要求：1) 遵守认证要求；2) 为实施审核做出所有必要的安排，包括在初次认证、监督、再认证和解决投诉时，为检查文件和接触所有过程与区域、记录及人员提供条件；3) 适用时，为接纳到场的观察员如认可评审员或实习审核员提供条件。e） 对获证客户根据8.4的要求在各类沟通中引用认证资格时的权利和责任包括要求予以说明的文件；f） 投诉和申诉处理程序的信息。 认证机构的变更通知认证机构应以适当方式将其认证要求的任何变更通知获证客户。认证机构应验证每个获证客户符合新的要求。注：为确保实施这些要求，认证机构可能需要与获证客户在合同中做出安排。有关认证资格使用许可协议的范本，包括变更通知的相关方面，见ISO/IEC指南28:2004附录E的适用内容。 客户的变更通知认证机构应做出在法律上具有强制实施力的安排，以确保获证客户即时将可能影响管理体系持续满足认证标准要求的能力的事宜通知认证机构，包括但不限于与以下方面有关的变更：a） 法律地位、经营状况、组织状态或所有权；b） 组织和管理层如关键的管理、决策或技术人员；c） 和场所；d） 获证管理体系覆盖的运作范围；e） 管理体系和过程的重大变更。注： 有关认证资格使用许可协议的范本，包括变更通知的相关方面，见ISO/IEC指南28:2004附录E的适用内容。9 过程要求9.1 通用要求 审核方案.1 应制定整个认证周期的审核方案，以清晰地确定证实客户的管理体系满足依据所选标准或其他标准文件的认证的要求所需的审核活动。.2 （译注：ISO/IEC 17021:2006条款第1-3句）审核方案应包括两阶段初次审核、第一年与第二年的监督审核和第三年在认证到期前进行的再认证审核。三年的认证周期从初次认证或再认证决定算起。审核方案确实定和任何后续调整应考虑客户组织的规模，其管理体系、产品和过程的范围与复杂程度，以及经过证实的管理体系有效性水平和以前审核的结果。注1：附录E提供了一个典型的第三方审核与认证过程的流程图。注2：附录F列举了建立或修改审核方案时可能需要考虑的附加因素。.3 （译注：ISO/IEC 17021:2006条款第4句）如果认证机构考虑客户已获的认证或接受的其他审核，那么应收集充足的、可验证的信息，以证明对审核方案的任何调整的合理性，并予以记录。 审核方案.1 总那么（译注：ISO/IEC 17021:2006条款9.1.2）认证机构应确保为审核方案中确定的每次审核编制审核方案，以便为有关各方就审核活动的日程安排和实施达成一致提供依据。审核方案应基于认证机构根据ISO 19011相关指南制定的文件要求。.2 确定审核目标、范围和准那么.2.1 审核目标应由认证机构确定。审核范围和准那么，包括任何更改，应由认证机构在与客户商讨后确定。.2.2 审核目标应说明审核要完成什么，并应包括以下内容：a） 确定客户管理体系或其局部与审核准那么的符合性；b） 评价管理体系确保客户组织满足适用的法律、法规及合同要求的能力；注：管理体系认证审核不是合规性审核。c） 评价管理体系确保客户组织持续实现其规定目标的有效性；d） 适用时，识别管理体系的潜在改良区域。.2.3 审核范围应说明审核的区域和边界，例如拟审核的实际场所、组织单元、活动及过程。当初次认证或再认证过程包含一次以上审核例如覆盖不同场所的审核时，单次审核的范围可能并不覆盖整个认证范围，但所有审核的整体应与认证文件中的范围一致。注：附录F列举了在确定或修改审核范围时可以考虑的附加因素。.2.4 审核准那么应被用作确定符合性的基准，并应包括：所确定的管理体系标准性文件的要求；所确定的由客户制定的管理体系的过程和文件。.3 编制审核方案.3.1 审核方案应与审核目标和范围相适应。审核方案至少应包括或引用：a） 审核目标；b） 审核准那么；c） 审核范围，包括识别拟审核的组织和职能单元或过程；d） 拟实施现场审核活动适用时，包括对临时场所的访问的日期和场所；e） 现场审核活动预期的时间和持续时间；f） 审核组成员及陪同人员的角色和职责。注1：审核方案的信息可以包含在一个以上的文件中。注2：附录F列举了编制或修改审核方案时可以考虑的附加因素。 选择和指派审核组.1 译注：ISO/IEC 17021:2006条款9.1.3认证机构应有根据实现审核目标所需的能力来选择和任命审核组包括审核组长的过程。该过程应基于认证机构根据ISO 19011相关指南制定的文件要求。如果仅有一名审核员，该审核员应有能力履行适用于该审核的审核组长职责。9.1.3.2 决定审核组的规模和组成时，应考虑以下因素：a） 审核目标、范围、准那么和估计的审核时间；b） 是否是结合、一体化或联合审核；c） 实现审核目标所需的审核组整体能力；d） 认证要求包括任何适用的法律、法规或合同要求；e） 语言和文化；f） 审核组成员以前是否审核过该客户的管理体系。9.1.3.3 审核组长和审核员所需的知识和技能可以通过技术专家和翻译人员补充。技术专家和翻译人员应在审核员的指导下工作。使用翻译人员时，翻译人员的选择方式要防止他们对审核产生不正当影响。注：技术专家的选择准那么根据审核组和审核范围的需要，在具体情况具体分析的根底上确定。9.1.3.4 实习审核员可以参加审核组，但要指派一名审核员作为评价人员。评价人员应有能力接管实习审核员的任务，并对实习审核员的活动和发现负最终责任。.5 审核组长在征求审核组意见后，应向每个审核组成员分配对特定过程、职能、场所、区域或活动实施审核的职责。该分配应考虑能力需求，有效和高效地使用审核组，以及审核员、实习审核员和技术专家的不同角色和职责。在审核过程中，为确保实现审核目标，可以改变工作分配。9.1.4 确定审核时间9.1.4.1 译注：ISO/IEC 17021:2006条款9.1.4认证机构应有形成文件确实定审核时间的程序，并针对每个客户确定筹划和完成对其管理体系的完整有效审核所需的时间。认证机构应记录所确定的时间及其合理性。在确定审核时间时，认证机构应考虑但不限于以下方面：a） 相关管理体系标准的要求；b） 规模和复杂程度；c） 技术和法规环境；d） 管理体系范围内活动的分包情况；e） 以前审核的结果；f） 场所的数量和对多场所的考虑；g） 与组织的产品、过程或活动相关联的风险；h） 是否是结合审核、联合审核或一体化审核。在已为特定的认证方案确定了特定的准那么时，例如ISO/TS 22003或ISO/IEC 27006，这些特定准那么应得到采用。9.1.4.2 未被指派为审核员的审核组成员即技术专家、翻译人员、观察员和实习审核员所花费的时间不应计入上面所确定的审核时间。注：使用翻译人员可能需要增加审核时间。 多场所的抽样当客户管理体系包含在多个地点进行的相同活动时，如果认证机构在审核中使用多场所抽样，那么应制定抽样方案以确保对该管理体系的正确审核。认证机构应针对每个客户将抽样方案的合理性形成文件。 审核组任务的沟通认证机构应明确说明审核组的任务，并告知客户组织。认证机构应要求审核组：a） 检查和验证客户组织与管理体系相关的结构、方针、过程、程序、记录及相关文件；b） 确定上述方面满足与拟认证范围相关的所有要求；c） 确定客户组织有效地建立、实施并保持了管理体系过程和程序，以便为建立对客户管理体系的信任提供根底；d） 告知客户其方针、目标及指标与相关管理体系标准或其他标准性文件的期望一致与结果之间的任何不一致，以使其采取措施。 审核组成员信息的通报认证机构应向客户提供审核组每位成员的姓名，并在客户请求时使其能够了解每位成员的背景情况。认证机构应留出足够的时间，以使客户组织能够对某一审核员或技术专家的任命表示反对，并在反对有效时使认证机构能够重组审核组。 审核方案的沟通认证机构应提前与客户组织就审核方案进行沟通，并商定审核日期。 实施现场审核.1 总那么译注：ISO/IEC 17021:2006条款9.1.9认证机构应有实施现场审核的过程。该过程应在认证机构根据ISO 19011相关指南制定的文件要求中予以明确。该过程应包括审核开始时的首次会议和审核结束时的末次会议。注 1：除了访问有形场所如工厂外，“现场还可以包括远程访问包含管理体系审核相关信息的电子化场所。注 2：ISO 19011中的术语“受审核方指被审核的组织。.2 召开首次会议应与客户的管理层适用时，还包括拟审核职能或过程的负责人员召开正式的首次会议，并记录参加人员。首次会议通常应由审核组长主持，会议目的是简要解释将如何进行审核活动，并应包括以下要素。详略程度应与对审核过程的熟悉程度相一致：a） 介绍参会人员，包括简要介绍其角色；b） 确认认证范围；c） 确认审核方案包括审核的类型、范围、目标和准那么及其任何变化，以及与客户的其他相关安排，例如末次会议的日期和时间，审核期间审核组与客户管理层的会议的日期和时间；d） 确认审核组与客户之间的正式沟通渠道；e） 确认审核组所需的资源和设施可用；f） 确认与保密有关的事宜；g） 确认适用于审核组的相关的平安生产、应急和安保程序；h） 确认向导和观察员的可用性、角色和身份；i） 报告的方法，包括审核发现的任何分级；j） 说明可能提前终止审核的条件；k） 确认审核组长和审核组代表认证机构，对审核负责，并应控制审核方案包括审核活动和审核路径的执行；l） 适用时，确认上一次审查或审核的发现的状态；m） 拟用于实施基于抽样的审核的方法和程序；n） 确认审核中拟使用的语言；o） 确认在审核中将使客户保持对审核进展及任何关注的了解；p） 让客户提问的时机。.3 审核中的沟通.3.1 在审核中，审核组应定期评估审核的进展，并沟通信息。审核组长应在需要时在审核组成员之间重新分配工作，并定期将审核进展及任何关注告知客户。.3.2 当可获得的审核证据显示审核目标无法实现，或显示存在紧急和重大的风险例如平安风险时，审核组长应向客户如果可能还应向认证机构报告这一情况，以确定适当的行动。该行动可以包括重新确认或修改审核方案，改变审核目标或审核范围，或者终止审核。审核组长应向认证机构报告所采取行动的结果。.3.3 如果在现场审核活动的进行中发现需要改变审核范围，审核组长应与客户审查该需要，并报告认证机构。.4 观察员和向导.4.1 观察员认证机构与客户应在实施审核前就审核活动中观察员的到场及理由达成一致。认证机构应确保观察员不影响或不干扰审核过程或审核结果。注：观察员可以是客户组织的成员、咨询人员、实施见证的认可机构人员、监管人员或其他有合理理由的人员。.4.2 向导. 每个审核员应由一名向导陪同，除非审核组长与客户另行达成一致。为审核组配备向导是为了方便审核。审核组应确保向导不影响或干扰审核过程或审核结果。注：向导的职责可以包括：a) 为面谈建立联系或安排时间；b)