CNAS-CC01管理体系认证机构要求

您现在的位置： 网站首页>法律法规>认证规定、原则

CNAS-CC01管理体系认证机构要求

发布时间：2010/4/27来源：湖南认证网作者：湖南认证网浏览：7427次

CNAS-CC01

管理体系认证机构要求

Requirements for bodies providing audit and

certification of management systems

(ISO/IEC 17021:2006)

中国合格评定国家认可委员会

CNAS-CC01:2007 第1 页共21 页

2007 年04 月15 日发布2008 年09 月15 日实施

引言

1 范围

2 规范性引用文件

3 术语和定义

4 原则

4.1 总则

4.2 公正性

4.3 能力

4.4 责任

4.5 公开性

4.6 保密性

4.7 对投诉的回应

5 通用要求

5.1 法律与合同事宜

5.2 公正性的管理

5.3 责任和财力

6 结构要求

6.1 组织结构和最高管理层

6.2 维护公正性的委员会

7 资源要求 .......... 8

7.1 管理层和人员的能力

7.2 参与认证活动的人员

7.3 外部审核员和外部技术专家的使用

7.4 人员记录

7.5 外包

8 信息要求

8.1 可公开获取的信息

8.2 认证文件 ....... 10

8.3 获证客户目录

8.4 认证资格的引用和标志的使用

8.5 保密

8.6 认证机构与其客户间的信息交换

9 过程要求

9.1 通用要求

9.2 初次审核与认证

9.3 监督活动

9.4 再认证

9.5 特殊审核

9.6 暂停、撤销或缩小认证范围

9.7 申诉

9.8 投诉

9.9 申请组织和客户的记录

CNAS-CC01:2007 第2 页共21 页

2007 年04 月15 日发布2008 年09 月15 日实施

10 认证机构的管理体系要求

10.1 可选方式 ...... 18

10.2 方式一：与GB/T 19001 一致的管理体系要求

10.3 方式二：通用的管理体系要求

参考文献

CNAS-CC01:2007 第3 页共21 页

2007 年04 月15 日发布2008 年09 月15 日实施

引言

管理体系认证（如对组织的质量或环境管理体系的认证）是对组织已实施了与其方针一致、用以管理其活动相关方面的体系提供保证的一种方法。

本文件规定了对认证机构的要求。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证，以促进国际和国内承认这些机构并接受它们的认证。本文件为促进对管理体系认证的承认提供了基础，这种承认有利于国际贸易。

管理体系认证是独立地证明组织的管理体系：

a）符合规定要求，

b）能够自始至终实现其声明的方针和目标，并

c）得到有效实施。

因此，诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。

本文件第4章阐述了可信的认证所依据的原则。这些原则有助于读者理解认证的本质属性，并为第5章至第10章做了必要的铺垫。这些原则构成了本文件所有要求的基础，但其本身并不是可供评审的要求。

第10章为认证机构通过建立管理体系来保障和证实其始终满足本文件要求提供了两种可供选择的途径。

本文件旨在供实施管理体系审核和认证的机构使用。它对从事质量、环境及其他管理体系审核和认证的机构提出了通用要求。本文件将这类机构称为认证机构。这一用语不妨碍那些有着其他名称、但从

事本文件范围内活动的机构使用本文件。

认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。

CNAS-CC01:2007 第4 页共21 页

2007 年04 月15 日发布2008 年09 月15 日实施

管理体系认证机构要求

1 范围

本文件包含了所有类型管理体系（如质量管理体系或环境管理体系）审核与认证的能力、一致性和公正性的原则与要求，以及提供上述活动的机构所遵循的原则与要求。按照本文件运作的认证机构不必提供所有类型的管理体系认证。

管理体系认证（本文件中称为“认证”）是一种第三方合格评定活动（见GB/T 27000的5.5）。因此，实施这种活动的机构是第三方合格评定机构（本文件中称为“认证机构”）。

注1：管理体系认证有时也称为“注册”，认证机构有时称为“注册机构”。

注2：认证机构可以是非政府的或政府的（具有或不具有法定权力）。

注3：本文件可作为认可、同行评审或其他审核过程的准则文件。

2 规范性引用文件

下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件，然而，鼓励根据本文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本文件。

GB/T 19011 质量和（或）环境管理体系审核指南（GB/T 19011—2003 / ISO 19011:2002, IDT）1GB/T 27000－2006 合格评定词汇和通用原则（ISO/IEC 17000:2004, IDT）

ISO 9000:2005 质量管理体系－基础和术语

3 术语和定义

ISO 9000和GB/T 27000中给出的术语和定义以及下列术语和定义适用于本文件。

3.1

获证客户certified client

管理体系已获认证的组织

3.2

公正性impartiality

实际存在的并被认识到的客观性

注1：客观性意谓着利益冲突不存在或已解决，不会对认证机构的后续活动产生不利影响；

注2：其他可用于表示公正性的要素的术语有：客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。

3.3

管理体系咨询management system consultancy

参与设计、实施或保持管理体系。

示例

—— 筹划或编制手册或程序，以及

—— 对管理体系的建立和实施提供具体的建议、指导或解决方案；

注：如果与管理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息时，那么组织培训并作

1 本文件对GB/T 19011 相关指南的引用适用于所有类型的管理体系。

CNAS-CC01:2007 第5 页共21 页

2007 年04 月15 日发布2008 年09 月15 日实施

为培训者参与培训不被视为咨询；即培训者不宜针对特定的公司提出解决方案。

4 原则

4.1 总则

4.1.1 本章所述原则是本文件中后续的特定绩效要求和说明性要求的基础。本文件未就所有可能发生的情况给出特定要求。在出现未预料到的情况时，宜应用这些原则作为决策的指南。这些原则不是要求。

4.1.2 认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括（但不限于）：

a）认证机构的客户，

b）获证客户的顾客，

c）政府部门，

d）非政府组织，

e）消费者和其他公众。

4.1.3 建立信任的原则包括

——公正性，

——能力，

——责任，

——公开性，

——保密性，

——对投诉的回应。

4.2 公正性

4.2.1 公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。

4.2.2 客户支付的认证费用是认证机构的收入来源，也是对公正性的潜在威胁，这一点得到公认。

4.2.3 认证机构根据其所获得的符合（或不符合）的客观证据做出决定，且不受其他利益或其他各方的影响，对于获得和保持信任是必不可少的。

4.2.4 对公正性的威胁包括：

a）自身利益的威胁：此类威胁源于个人或机构依其自身利益行事。在认证中，财务方面的自身利益是一种对公正性的威胁。

b）自我评审的威胁：此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行管理体

系咨询的客户实施管理体系审核属于此类威胁。

c）熟识（或信任）的威胁：此类威胁源于个人或机构对另外一人过于熟悉或信赖，而不去寻找审核证据。

d）胁迫的威胁——此类威胁源于个人或机构察觉受到公然或暗中的强迫，如威胁用他人取而代之或向主管告发。

4.3 能力

认证机构的管理体系所支撑的人员能力是认证提供信任的必要条件。能力是经证实的应用知识和技能的本领。

4.4 责任

4.4.1 符合认证要求的责任在于客户组织而不是认证机构。

4.4.2 认证机构有责任对足够的客观证据进行评价，并在此基础上做出认证决定。根据审核结论，如果符合性的证据充分，认证机构做出授予认证的决定；如果符合性的证据不充分，则不授予认证。

注：任何审核都是基于对组织管理体系的抽样，因此并不保证管理体系100%符合要求。

4.5 公开性

CNAS-CC01:2007 第6 页共21 页

2007 年04 月15 日发布2008 年09 月15 日实施

4.5.1 为获得对认证的诚信性与可信性的信任，认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态（即认证的授予、保持、更新、扩大、缩小、暂停或撤销）的适当、及时信息的公开渠道，或公布这些信息。公开性是获得或公布适当信息的一项原则。

4.5.2 为获得或保持对认证的信任，认证机构宜向特定利益相关方提供获取特定审核（如为回应投诉而做的审核）结论的非保密信息的适当渠道，或公布这些信息。

4.6 保密性

为了享有获取充分评价管理体系符合性所需信息的特权，认证机构必需对任何关于客户的专有信息

予以保密。

4.7 对投诉的回应

依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信，在投诉经查明有效时，认证机构将对投诉进行适当的处理，并为解决投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时，对投诉做出有效的回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当的处理将维护对认证活动的信任。

注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性（包括对投诉的回应）等原则之间取得适当的平衡。

5 通用要求

5.1 法律与合同事宜

5.1.1 法律责任

认证机构应为一个法律实体，或一个法律实体内有明确界定的一部分，以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。

5.1.2 认证协议

认证机构与客户之间应有在法律上具有强制实施力的提供认证服务的协议。此外，如果认证机构有多个办公场所或客户有多个场所，则应确保授予认证并颁发证书的认证机构与认证范围覆盖的所有场所

之间有在法律上具有强制实施力的协议。

5.1.3 认证决定的责任

认证机构应对与认证有关的决定（包括授予、保持、更新、扩大、缩小、暂停和撤销认证）负责，并应保持做出上述决定的权力。

5.2 公正性的管理

5.2.1 认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明，表明其理解公正性在实施管理体系认证活动中的重要性，对利益冲突加以管理，并确保其管理体

系认证活动的客观性。

5.2.2 认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件，包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是，如果任何关系对公正性构成威胁，

认证机构应将其如何消除或最大限度减小此类威胁形成文件，并能予以证实。6.2 所指的委员会应能获得这方面的信息。所作的证实应包括所有已识别的潜在利益冲突来源，无论其产生于认证机构内部还是

其他个人、机构或组织的活动。

注：威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。

5.2.3 当某种关系对认证机构的公正性构成不可接受的威胁时（如认证机构的全资子公司向其申请认证），认证机构不应提供认证。

注：见5.2.2注。

5.2.4 认证机构不应对另一认证机构的管理体系认证活动进行认证。

注：见5.2.2注。

5.2.5 认证机构及同一法律实体的任何其他部分不应提供或推荐管理体系咨询，也不应为管理体系咨询提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。

5.2.6 认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。如果认证机构对某个管理体系提供了内部审核，则不应在内部审核结束后两年内对该管理体系进行认证。本条款同样适用

于政府中被识别为认证机构的那一部分。

注：见5.2.2注。

5.2.7 如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁，而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核，则认证机构不应对该管理体系进行认证。

注1：在管理体系咨询结束后经过至少两年时间，是将对公正性威胁降至可接受水平的一种方式。

注2：见5.2.2注。

5.2.8 认证机构不应将审核外包给管理体系咨询机构，因为这一做法将对认证机构的公正性构成不可接受的威胁（见7.5）。本条款不适用于7.3 所述的作为签约审核员的个人。

5.2.9 认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价，则该认证机构应采取措施纠正这种不当表

述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。

5.2.10 为确保没有利益冲突，参与了对客户管理体系咨询的人员（包括管理人员），在咨询结束后两年内，不应被认证机构用于针对该客户的审核或其他认证活动。

5.2.11 认证机构应采取措施，以应对其他人员、机构或组织的行为对其公正性产生的威胁。

5.2.12 认证机构所有可以影响认证活动的人员（内部或外部的）或委员会应公正行事，且不应允许商业、财务或其他方面的压力损害公正性。

5.2.13 认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁，且应在他们能够

证明没有利益冲突之后再使用这些内部或外部人员。

5.3 责任和财力

5.3.1 认证机构应能证明已对认证活动引发的风险进行了评估，并对各个活动领域和运作地域的业务

引发的责任作了充分的安排（如保险或储备金）。

5.3.2 认证机构应评估其财务状况和收入来源，并向6.2 所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。

6 结构要求

6.1 组织结构和最高管理层

6.1.1 认证机构应将其组织结构形成文件，并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内有明确界定的一部分时，该文件应说明认证机构与该法律实体间的

权力关系以及与同一法律实体内其他部分的关系。

6.1.2 认证机构应确定对下列各项具有全部权力和责任的最高管理层（委员会、小组或个人）：

a）与认证机构运作有关的政策的制定；

b）政策和程序实施的监督；

c）认证机构财务的监督；

d）管理体系认证服务和认证方案的开发；

e）审核与认证的实施和对投诉的回应；

f）认证决定；

g）在需要时，授权委员会或个人代表最高管理层开展规定的活动；

h）合同安排；

i）为认证活动提供充分的资源。

CNAS-CC01:2007 第8 页共21 页

2007 年04 月15 日发布2008 年09 月15 日实施

6.1.3 认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。

6.2 维护公正性的委员会

6.2.1 认证机构的结构应维护认证机构活动的公正性，并具有一个进行下列活动的委员会：

a）协助制定与认证活动公正性有关的政策；

b）阻止认证机构有任何倾向使得商业或其他考虑妨碍其持续地提供客观的认证活动；

c）对影响认证可信度的事宜（包括公开性和公众认识）提出建议；

d）至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。

该委员会也可被委以其他任务或职责，但这些附加的任务或职责不得削弱其确保公正性的基本作用。

6.2.2 该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件，并由认证机构最高管理层批准，以确保：

a）各方利益均衡，以使任一利益方不处于支配地位（认证机构的内部或外部人员视为一个利益方，且不应居支配地位）；

b）获取所有必要的信息，使其能够履行自己的职能（见5.2.2 和5.3.2）；

c）如果认证机构最高管理层不尊重委员会的建议，委员会应有权采取独立措施（如报告主管部门、认可机构或利益相关方）。采取独立措施时，委员会应尊重8.5 中与客户和认证机构相关的保密要求。

6.2.3 虽然该委员会不能代表所有利益方，但是认证机构宜识别和邀请关键利益方。这些利益方可能包括：认证机构的客户，获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非

政府组织（包括消费者组织）的代表。

7 资源要求

7.1 管理层和人员的能力

7.1.1 认证机构应有过程确保其人员对其运作涉及的管理体系类型和地域有适宜的相关知识。

认证机构应确定与特定认证方案相关的每个技术领域所需的能力，以及认证活动的每项职能所需的能力。

认证机构应确定在履行特定职能前证实能力的方法。

7.1.2 认证机构在确定认证实施人员的能力要求时，除了那些直接实施审核与认证活动的人员，还应考虑管理层和行政人员所承担的职能。

7.1.3 认证机构应有途径获取必要的专业知识与技能，以在其运作涉及的技术领域、管理体系类型和地域等方面获得与认证直接相关的建议。这些建议可由外部人员或认证机构人员提供。

7.2 参与认证活动的人员

7.2.1 认证机构自身应有具备足够能力对其各种类型与范围的审核方案以及其他认证工作进行管理的人员。

7.2.2 认证机构应聘用或有途径获得足够数量的审核员（包括审核组长）和技术专家，以覆盖其所有活动并满足审核工作量的需要。

7.2.3 认证机构应使所有有关人员清楚自己的任务、责任和权力。

7.2.4 认证机构应有明确的过程来选择、培训、正式任用审核员和选择认证活动使用的技术专家。审核员的初始能力评价应包括对适用的个人素质及在审核中应用所需知识与技能的本领的证实。适用的个

人素质及在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中确定。

7.2.5 认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。认证机构应在根据GB/T 19011 相关指南

制定的文件要求中明确该过程。

7.2.6 认证机构应确保审核员（需要时，包括技术专家）充分了解其审核过程、认证要求和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的

文件化程序。

7.2.7 认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。

注：为特定审核组指派审核员和技术专家的要求见9.1.3。

7.2.8 认证机构应识别培训需求，并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训，以确保他们胜任所从事的工作。

7.2.9 做出授予、保持、更新、扩大、缩小、暂停或撤销认证等决定的小组或个人应理解适用的标准和认证要求，并经证实有能力评价审核过程和审核组的推荐意见。

7.2.10 认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。认证机构应有形成文件的程序和准则，以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机构尤

其应根据人员的表现来复核他们的能力，以识别培训需求。

7.2.11 形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合。认证机构应在根据GB/T 19011 相关指南制定的文件要求中详细说明该程序。在设计监视方式时，应使正常认证

过程所受干扰最小（尤其是从客户角度来看）。

7.2.12 认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。

7.3 外部审核员和外部技术专家的使用

认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构适用的政策和程序。

该协议应含有关于保密及独立于商业和其他利益的条款，并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。

注：依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。

7.4 人员记录

认证机构应保持人员（包括认证活动实施人员、管理人员和行政人员）的最新记录，包括相关的资格、培训、经历、隶属关系、专业状况、能力以及可能提供过的任何相关咨询服务的记录。

7.5 外包

7.5.1 认证机构应说明可以进行外包（即向另一个组织分包，由其代表认证机构提供部分认证服务）的条件。认证机构应与每个承担外包服务的机构就相关安排（包括保密和利益冲突）签订在法律上具有

强制实施力的协议。

注1：这里可以包括外包给其他认证机构的情况。依据合同使用审核员和技术专家见7.3。

注2：本文件中，“外包”与“分包”视为同义词。

7.5.2 授予、保持、更新、扩大、缩小、暂停或撤销认证的决定不应外包。

7.5.3 认证机构应：

a）对外包给另一机构的所有活动负责；

b）确保外包服务承担机构及其使用的人员符合认证机构的要求和本文件的适用要求，包括能力、公正性和保密；

c）确保外包服务承担机构及其使用的人员与拟审核的组织没有可能损害公正性的关系（无论是直接的还是通过任何其他雇主发生的关系）。

7.5.4 认证机构应有形成文件的程序，以对认证活动的所有外包服务承担机构进行资格审查和监视，且应确保其审核员和技术专家的能力记录得到保持。

8 信息要求

8.1 可公开获取的信息

8.1.1 认证机构应保持说明其用于授予、保持、扩大、更新、缩小、暂停或撤销认证的审核过程和认证过程的信息，及其运作涉及的认证活动、管理体系类型和地域的信息，并使这些信息可公开获取，或

在有请求时提供这些信息。

8.1.2 认证机构向客户或市场提供的信息（包括广告）应准确且不使人产生误解。

8.1.3 认证机构应使授予、暂停或撤销认证的信息可公开获取。

8.1.4 当任何一方提出请求时，认证机构应提供确认某一认证是否有效的方法。

注1：如果信息分散在多个来源（如印刷文件或电子文档，或两者结合），可以通过一个系统（如唯一性编码系统或互联网上的超级链接）来确保不同来源之间的可追溯性和明确一致性。

注2：在特殊情况下，可以根据客户的请求（如出于安全原因）对某些信息的公开程度做出限制。

8.2 认证文件

8.2.1 认证机构应以其选择的任何方式向获证客户提供认证文件。

8.2.2 认证文件的生效日期不应早于认证决定的日期。

8.2.3 认证文件应标明：

a）每个获证客户的名称和地理位置（或多场所认证范围内总部和所有场所的地理位置）；

b）授予、扩大或更新认证的日期；

c）认证有效期或与认证周期一致的应进行再认证的日期；

d）唯一的识别代码；

e）审核获证客户时所用的标准和（或）其他规范性文件，包括版次和（或）修订号；

f）与产品（包括服务）、过程等相关的认证范围，适用时，包括每个场所相应的认证范围；

g）认证机构的名称、地址和认证标志；可以使用其他标识（如认可标识），但不能产生误导或含混不清。

h）认证用标准和（或）其他规范性文件所要求的任何其他信息；

i）在颁发经过修改的认证文件时，区分新文件与任何已作废文件的方法。

8.3 获证客户目录

认证机构应以其选择的任何方式保持有效认证的目录，并使其可公开获取，或在有请求时提供该目录。该目录应至少说明每个获证客户的名称、相关的规范性文件、认证范围和地理位置（如国家和城市）

或多场所认证范围内总部和所有场所的地理位置。

注：该目录是认证机构的专有资产。

8.4 认证资格的引用和标志的使用

8.4.1 认证机构对其授权获证客户使用的任何标志应有管理政策。该政策应确保可以从标志追溯到认证机构。标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧义。标志不应用于产品或消

费者所见的产品包装之上，或以任何其他可解释为表示产品符合性的方式使用。

注： ISO/IEC 17030提供了对使用第三方标志的要求。

8.4.2 认证机构不应允许其标志被用于实验室检测、校准或检查的报告，这里将此类报告视为产品。

8.4.3 认证机构应要求客户组织：

a）在传播媒介（如互联网、宣传册或广告）或其他文件中引用认证状态时，应符合认证机构的要求；

b）不做出或不允许有关于其认证资格的误导性说明；

c）不以或不允许以误导性方式使用认证文件或其任何部分；

d）在其认证被暂停或撤销时，按照认证机构的指令立即停止使用所有引用认证资格的广告材料

（见9.6.3 和9.6.6）；

e）在认证范围被缩小时，修改所有的广告材料；

f）不允许在引用其管理体系认证资格时，暗示认证机构对产品（包括服务）或过程进行了认证；

g）不得暗示认证适用于认证范围以外的活动；

h）在使用认证资格时，不得使认证机构和（或）认证制度声誉受损，失去公众信任。

8.4.4 认证机构应正确地控制其所有权，并采取措施处理认证状态的错误引用或认证文件、标志或审核报告的误导性使用。

注：此类措施可以包括要求纠正或采取纠正措施、暂停认证、撤销认证、公告违规行为以及必要的法律措施。

8.5 保密

8.5.1 认证机构应具有政策和相关安排，以确保其各个层次（包括代表其活动的委员会、外部机构或个人）对从事认证活动时获得或产生的保密信息予以保密，并通过在法律上具有强制实施力的协议落实

上述政策和安排。

8.5.2 认证机构应将其拟对公众公开的信息提前告知客户。所有其他信息均应视为保密信息，客户自己公开的信息除外。

8.5.3 除本文件有要求外，关于特定客户或个人的信息，未经其书面同意，不应向第三方披露。当法律要求认证机构向第三方提供保密信息时，除法律限制外，认证机构应将拟提供的信息提前通知有关客

户或个人。

8.5.4 从其他来源（如投诉人、监管机构）获得的关于客户的信息应根据认证机构的政策按保密信息处理。

8.5.5 认证机构的人员，包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个人，应对从事认证机构的活动时获得或产生的所有信息予以保密。

8.5.6 认证机构应能获得确保保密信息（如文件、记录）的安全处理的设备和设施，并使用这些设备和设施。

8.5.7 认证机构向其他机构（如认可机构、建立在同行评审基础上的协议集团）公开保密信息时，应将这一行动通知其客户。

8.6 认证机构与其客户间的信息交换

8.6.1 认证过程和要求的信息

认证机构应向客户提供并为其更新以下信息：

a）对认证活动整个过程的详细说明，包括申请、初次审核、监督审核和授予、保持、缩小、扩大、暂停、撤销认证以及再认证的过程；

b）认证依据的规范性要求；

c）申请、初次认证和保持认证资格所需费用的信息；

d）认证机构对拟接受审核的客户的要求：

1) 遵守认证要求；

2) 为实施审核做出所有必要的安排，包括在初次认证、监督、再认证和解决投诉时，为检查文件和接触所有过程与区域、记录及人员提供条件；

3) 适用时，为接纳到场的观察员（如认可评审员或实习审核员）提供条件。

e）对获证客户根据8.4 的要求在各类沟通中引用认证资格时的权利和责任（包括要求）予以说明的文件；

f）投诉和申诉处理程序的信息。

8.6.2 认证机构的变更通知

认证机构应以适当方式将其认证要求的任何变更通知获证客户。认证机构应验证每个获证客户符合新的要求。

注：为确保实施这些要求，认证机构可能需要与获证客户在合同中做出安排。有关认证资格使用许可协议的范本，包括变更通知的相关方面，见ISO/IEC指南28:2004附录E的适用内容。

8.6.3 客户的变更通知

认证机构应做出在法律上具有强制实施力的安排，以确保获证客户即时将可能影响管理体系持续满足认证标准要求的能力的事宜通知认证机构，包括（但不限于）与下列方面有关的变更：

a）法律地位、经营状况、组织状态或所有权；

b）组织和管理层（如关键的管理、决策或技术人员）；

c）联系地址和场所；

d）获证管理体系覆盖的运作范围；

e）管理体系和过程的重大变更。

注：有关认证资格使用许可协议的范本，包括变更通知的相关方面，见ISO/IEC指南28:2004附录E的适用内容。

9 过程要求

9.1 通用要求

9.1.1 审核方案应包括两阶段初次审核、第一年与第二年的监督审核和第三年在认证到期前进行的再认证审核。三年的认证周期从初次认证或再认证决定算起。审核方案的确定和任何后续调整应考虑客户

组织的规模，其管理体系、产品和过程的范围与复杂程度，以及经过证实的管理体系有效性水平和以前审核的结果。如果认证机构考虑客户已获的认证或接受的其他审核，则应收集充足的、可验证的信息，

以证明对审核方案的任何调整的合理性，并予以记录。

9.1.2 认证机构应确保为每次审核编制审核计划，以便为有关各方就审核活动的日程安排和实施达成一致提供依据。审核计划应基于认证机构根据GB/T 19011 相关指南制定的文件要求。

9.1.3 认证机构应有根据实现审核目标所需的能力来选择和任命审核组（包括审核组长）的过程。该过程应基于认证机构根据GB/T 19011 相关指南制定的文件要求。

9.1.4 认证机构应有形成文件的确定审核时间的程序，并针对每个客户确定策划和完成对其管理体系的完整有效审核所需的时间。认证机构应记录所确定的时间及其合理性。在确定审核时间时，认证机构

应考虑（但不限于）以下方面：

a）相关管理体系标准的要求；

b）规模和复杂程度；

c）技术和法规环境；

d）管理体系范围内活动的分包情况；

e）以前审核的结果；

f）场所的数量和对多场所的考虑。

9.1.5 当客户管理体系包含在多个地点进行的相同活动时，如果认证机构在审核中使用多场所抽样，则应制定抽样方案以确保对该管理体系的正确审核。认证机构应针对每个客户将抽样计划的合理性形成

文件。

9.1.6 认证机构应明确说明审核组的任务，并告知客户组织。认证机构应要求审核组：

a）检查和验证客户组织与管理体系相关的结构、方针、过程、程序、记录及相关文件；

b）确定上述方面满足与拟认证范围相关的所有要求；

c）确定客户组织有效地建立、实施并保持了管理体系过程和程序，以便为建立对客户管理体系的信任提供基础；

d）告知客户其方针、目标及指标（与相关管理体系标准或其他规范性文件的期望一致）与结果之间的任何不一致，以使其采取措施。

9.1.7 认证机构应向客户提供审核组每位成员的姓名，并在客户请求时使其能够了解每位成员的背景情况。认证机构应留出足够的时间，以使客户组织能够对某一审核员或技术专家的任命表示反对，并在

反对有效时使认证机构能够重组审核组。

9.1.8 认证机构应提前与客户组织就审核计划进行沟通，并商定审核日期。

9.1.9 认证机构应有实施现场审核的过程。该过程应在认证机构根据GB/T 19011 相关指南制定的文件化求中予以明确。

注1：除了访问有形场所（如工厂）外，“现场”还可以包括远程访问包含管理体系审核相关信息的电子化场所；

注2：GB/T 19011中的术语“受审核方”指被审核的组织。

9.1.10 认证机构应为每次审核提供书面报告。报告应基于GB/T 19011 的相关指南。审核组可以识别改进机会，但不应提出具体解决办法的建议。认证机构应享有对审核报告的所有权。

9.1.11 对于审核中发现的不符合，认证机构应要求客户在规定期限内分析原因，并说明为消除不符合已采取或拟采取的具体纠正和纠正措施。

9.1.12 认证机构应审查客户提交的纠正和纠正措施，以确定其是否可被接受。

9.1.13 如果需要进行全面或部分的补充审核，或需要形成文件的证据（在将来的监督审核中予以确认），以验证纠正和纠正措施的有效性，则认证机构应告知受审核的组织。

9.1.14 认证机构应确保做出认证决定的人员或委员会不是实施审核的人员。

9.1.15 认证机构在做出决定前应确认：

a）审核组提供的信息足以确定认证要求的满足情况和认证范围；

b）对于所有反映以下问题的不符合，认证机构已评审、接受并证实了纠正和纠正措施的有效性：

1) 未能满足管理体系标准的一项或多项要求，或

2) 使人对客户管理体系实现预期结果的能力产生重大怀疑的情况；

c）对于任何其他不符合，认证机构已评审并接受了客户计划采取的纠正和纠正措施。

9.2 初次审核与认证

9.2.1 申请

认证机构应要求申请组织的授权代表提供必要的信息，以便认证机构确定：

a）申请认证的范围；

b）申请组织的一般特征，包括其名称、物理场所的地址、过程和运作的重要方面以及任何相关的法律义务；

c）申请组织与申请认证的领域相关的一般信息，包括其活动，人力与技术资源，以及适用时，其在一个较大实体中的职能和所处的关系；

d）申请组织采用的所有影响符合性的外包过程的信息；

e）申请组织寻求认证的标准或其他要求；

f）接受与管理体系有关的咨询的情况。

9.2.2 申请评审

9.2.2.1 在实施审核前，认证机构应对认证申请及补充信息进行评审，以确保：

a）关于申请组织及其管理体系的信息充分，可以进行审核；

b）认证要求已有明确说明并形成文件，且已提供给申请组织；

c）解决了认证机构与申请组织之间任何已知的理解差异；

d）认证机构有能力并能够实施认证活动；

e）考虑了申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动

的因素（语言、安全条件、对公正性的威胁等）；

f）保持了决定实施审核的理由的记录。

9.2.2.2 根据上述评审，认证机构应确定审核组及进行认证决定需要具备的能力。

9.2.2.3 认证机构应任命审核组。组成审核组的所有审核员（必要时，还有技术专家）作为一个整体应具备认证机构按9.2.2.2 确定的对申请组织实施认证的能力。认证机构应根据审核员和技术专家具备

的能力（如7.2.5 所述）来选择审核组，并可以使用内部和外部的人力资源。

9.2.2.4 认证机构应指定将进行认证决定的人员，以确保具有实施认证决定的适宜能力（见7.2.9 和9.2.2.2）。

9.2.3 初次认证审核

管理体系的初次认证审核应分两个阶段实施：第一阶段和第二阶段。

9.2.3.1 第一阶段审核

9.2.3.1.1 第一阶段审核应：

a）审核客户的管理体系文件；

b）评价客户的运作场所和现场的具体情况，并与客户的人员进行讨论，以确定第二阶段审核的准备情况；

c）审查客户理解和实施标准要求的情况，特别是对管理体系的关键绩效或重要的因素、过程、目标和运作的识别情况；

d）收集关于客户的管理体系范围、过程和场所的必要信息，以及相关的法律法规要求和遵守情况（如客户运作中的质量、环境、法律因素，相关的风险等）；

e）审查第二阶段审核所需资源的配置情况，并与客户商定第二阶段审核的细节；

f）结合可能的重要因素充分了解客户的管理体系和现场运作，以便为策划第二阶段审核提供关注点；

g）评价客户是否策划和实施了内部审核与管理评审，以及管理体系的实施程度能否证明客户已为第二阶段审核做好准备。

为实现上述目标，对于大多数管理体系而言，建议至少部分第一阶段审核活动在客户的场所进行。

9.2.3.1.2 认证机构应将第一阶段审核发现形成文件并告知客户，包括识别任何引起关注的、在第二阶段审核中可能被判定为不符合的问题。

9.2.3.1.3 认证机构在确定第一阶段审核和第二阶段审核的间隔时间时，应考虑客户解决第一阶段审核中识别的任何需关注问题所需的时间。认证机构也可能需要调整第二阶段审核的安排。

9.2.3.2 第二阶段审核

第二阶段审核的目的是评价客户管理体系的实施情况，包括有效性。第二阶段审核应在客户的现场进行，并至少覆盖以下方面：

a）与适用的管理体系标准或其他规范性文件的所有要求的符合情况及证据；

b）依据关键绩效目标和指标（与适用的管理体系标准或其他规范性文件的期望一致），对绩效进行的监视、测量、报告和评审；

c）客户的管理体系和绩效中与遵守法律有关的方面；

d）客户过程的运作控制；

e）内部审核和管理评审；

f）针对客户方针的管理职责；

g）规范性要求、方针、绩效目标和指标（与适用的管理体系标准或其他规范性文件的期望一致）、适用的法律要求、职责、人员能力、运作、程序、绩效数据和内部审核发现及结论之间的联系；

9.2.4 初次认证的审核结论

审核组应对在第一阶段和第二阶段审核中收集的所有信息和证据进行分析，以评审审核发现并就审核结论达成一致。

9.2.5 授予初次认证所需的信息

9.2.5.1 为使认证机构做出认证决定，审核组至少应向认证机构提供以下信息：

a）审核报告；

b）对不符合的意见，适用时，还包括对客户采取的纠正和纠正措施的意见；

c）对提供给认证机构用于申请评审（见9.2.2）的信息的确认；

d）对是否授予认证的推荐性意见及附带的任何条件或评论。

9.2.5.2 认证机构应在评价审核发现和结论及任何其他相关信息（如公共信息、客户对审核报告的意见）的基础上做出认证决定。

9.3 监督活动

9.3.1 总则

9.3.1.1 认证机构应对其监督活动进行设计，以便定期对管理体系范围内有代表性的区域和职能进行监视，并应考虑获证客户及其管理体系的变更情况。

9.3.1.2 监督活动应包括对获证客户管理体系满足认证标准规定要求的情况进行评价的现场审核。监督活动还可以包括：

a）认证机构就认证的有关方面询问获证客户；

b）审查获证客户对其运作的说明（如宣传材料、网页）；

c）要求获证客户提供文件和记录（纸质或电子介质）；

d）其他监视获证客户绩效的方法。

9.3.2 监督审核

9.3.2.1 监督审核是现场审核，但不一定是对整个体系的审核，并应与其他监督活动一起策划，以使认证机构能对获证管理体系在认证周期内持续满足要求保持信任。监督审核方案至少应包括对以下方面

的审查：

a）内部审核和管理评审；

b）对上次审核中确定的不符合采取的措施；

c）投诉的处理；

d）管理体系在实现获证客户目标方面的有效性；

e）为持续改进而策划的活动的进展；

f）持续的运作控制；

g）任何变更；

h）标志的使用和（或）任何其他对认证资格的引用。

9.3.2.2 监督审核应至少每年进行一次。初次认证后的第一次监督审核应在第二阶段审核最后一天起12 个月内进行。

9.3.3 保持认证

认证机构应在证实获证客户持续满足管理体系标准要求后保持对其的认证。认证机构满足下列前提条件时，可以根据审核组长的肯定性结论保持对客户的认证，而无需对这一结论进行独立复核：

a) 对于任何可能导致暂停或撤销认证的不符合或其他情况，认证机构有制度要求审核组长向认证机构报告需由具备适宜能力（见7.2.9）且未实施该审核的人员进行复核，以确定能否保持认证；

b) 具备能力的认证机构人员对认证机构的监督活动进行监视，包括对审核员的报告活动进行监视，以确认认证活动在有效地运作。

9.4 再认证

9.4.1 再认证审核的策划

9.4.1.1 认证机构应策划和实施再认证审核，以评价获证客户是否持续满足相关管理体系标准或其他规范性文件的所有要求。再认证审核的目的是确认管理体系作为一个整体的持续符合性与有效性，以及

与认证范围的持续相关性和适宜性。

9.4.1.2 再认证审核应考虑管理体系在认证周期内的绩效，包括调阅以前的监督审核报告。

9.4.1.3 当管理体系、获证组织或管理体系的运作环境（如法律的变更）有重大变更时，再认证审核活动可能需要有第一阶段审核。

9.4.1.4 对于多场所认证或依据多个管理体系标准进行的认证，再认证审核的策划应确保现场审核具有足够的覆盖范围，以提供对认证的信任。

9.4.2 再认证审核

9.4.2.1 再认证审核应包括关注下列方面的现场审核：

a) 结合内部和外部变更来看的整个管理体系的有效性，以及认证范围的持续相关性和适宜性；

b) 经证实的对保持管理体系有效性并改进管理体系，以提高整体绩效的承诺；

c) 获证管理体系的运行是否促进了组织方针和目标的实现。

9.4.2.2 在再认证审核中发现不符合或缺少符合性的证据时，认证机构应规定在认证终止前实施纠正与纠正措施的时限。

9.4.3 授予再认证所需的信息

认证机构应根据再认证审核的结果，以及认证周期内的体系评价结果和认证使用方的投诉，做出是否更新认证的决定。

9.5 特殊审核

9.5.1 扩大认证范围

对于已授予的认证，认证机构应对扩大认证范围的申请进行评审，并确定任何必要的审核活动，以做出是否可予扩大的决定。这类审核活动可以和监督审核同时进行。

9.5.2 提前较短时间通知的审核

认证机构为调查投诉（见9.8）、对变更（见8.6.3）做出回应或对被暂停的客户（见9.6）进行追踪，

可能需要在提前较短时间通知获证客户后对其进行审核。此时，

a) 认证机构应说明并使获证客户提前了解（如在8.6.1 所述的文件中）将在何种条件下进行此类审核；

b) 由于客户缺乏对审核组成员的任命表示反对的机会，认证机构应在指派审核组时给予更多的关注。

9.6 暂停、撤销或缩小认证范围

9.6.1 认证机构应有暂停、撤销或缩小认证范围的政策和形成文件的程序，并规定认证机构的后续措施。

9.6.2 发生以下情况（但不限于）时，认证机构应暂停获证客户的认证资格：

- 客户的获证管理体系持续地或严重地不满足认证要求，包括对管理体系有效性的要求；

- 获证客户不允许按要求的频次实施监督或再认证审核；

- 获证客户主动请求暂停。

9.6.3 在暂停期间，客户的管理体系认证暂时无效。认证机构应与其客户做出具有强制实施力的安排，以确保暂停期间避免客户继续宣传认证资格。认证机构应使认证资格的暂停信息可公开获取（见8.1.3），

并采取其认为适当的任何其他措施。

9.6.4 如果客户未能在认证机构规定的时限内解决造成暂停的问题，认证机构应撤销或缩小其认证范围。

注：多数情况下，暂停将不超过6个月。

9.6.5 如果客户在认证范围的某些部分持续地或严重地不满足认证要求，认证机构应缩小其认证范围，以排除不满足要求的部分。认证范围的缩小应与认证标准的要求一致。

9.6.6 认证机构应与获证客户就撤销认证时的要求（见8.4.3 d)）做出具有强制实施力的安排，以确保获证客户接到撤销认证的通知时，立即停止使用任何引用认证资格的广告材料。

9.6.7 在任何一方提出请求时，认证机构应正确说明客户的管理体系认证被暂停、撤销或缩小的情况。

9.7 申诉

9.7.1 认证机构应有受理和评价申诉并对之做出决定的形成文件的过程。

9.7.2 申诉处理过程的说明应可公开获取。

9.7.3 认证机构应对申诉处理过程各个层次的所有决定负责。认证机构应确保参与申诉处理过程的人员没有实施申诉涉及的审核，也没有做出申诉涉及的认证决定。

9.7.4 申诉的提出、调查和决定不应造成针对申诉人的任何歧视行为。

9.7.5 申诉处理过程应至少包括以下要素和方法：

a) 受理、确认和调查申诉的过程，以及参考以前类似申诉的结果，决定采取何种措施以回应申诉

的过程；

b) 跟踪和记录申诉，包括为解决申诉而采取的措施；

c) 确保采取任何适当的纠正和纠正措施。

9.7.6 认证机构应确认收到了申诉，并应向申诉人提供申诉处理的进展报告和结果。

9.7.7 对申诉的决定应由与申诉事项无关的人员做出，或经其审查和批准，并应告知申诉人。

9.7.8 认证机构应在申诉处理过程结束时正式通知申诉人。

9.8 投诉

9.8.1 认证机构应使对投诉处理过程的说明可公开获取。

9.8.2 认证机构在收到投诉时，应确认投诉是否与其负责的认证活动有关，并在经确认有关时予以处理。如果投诉与获证客户有关，认证机构在调查投诉时应考虑获证管理体系的有效性。

9.8.3 对于针对获证客户的投诉，认证机构还应在适当的时间将投诉告知该客户。

9.8.4 认证机构应有受理和评价投诉并对之做出决定的形成文件的过程。该过程涉及投诉人和投诉事

项的方面应满足保密要求。

9.8.5 投诉处理过程应至少包括以下要素和方法：

a) 受理、确认和调查投诉的过程，以及决定采取何种措施以回应投诉的过程；

b) 跟踪和记录投诉，包括为回应投诉而采取的措施；

c) 确保采取任何适当的纠正和纠正措施。

注： ISO 10002为投诉的处理提供了指南。

9.8.6 收到投诉的认证机构应负责收集与核实对投诉进行确认所需的一切信息。

9.8.7 在可能时，认证机构应确认收到了投诉，并应向投诉人提供投诉处理的进展报告和结果。

9.8.8 对投诉的决定应由与投诉事项无关的人员做出，或经其审查和批准，并应告知投诉人。

9.8.9 在可能时，认证机构应在投诉处理过程结束时正式通知投诉人。

9.8.10 认证机构应与客户及投诉人共同决定是否应将投诉事项公开，并在决定公开时，共同确定公开

的程度。

9.9 申请组织和客户的记录

9.9.1 认证机构应对所有客户（包括所有提交申请的组织、接受审核的组织和获得认证或被暂停或撤销认证的组织）保持审核及其他认证活动的记录。

9.9.2 获证客户记录应包括以下内容：

a) 申请资料及初次认证、监督和再认证的审核报告；

b) 认证协议；

c) 抽样方法的理由；

d) 确定审核时间的理由（见9.1.4）；

e) 纠正与纠正措施的验证；

f) 投诉和申诉及任何后续纠正或纠正措施的记录；

g) 适用时，委员会的审议和决定；

h) 认证决定的文件；

i) 认证文件，包括与产品（包括服务）、过程相关的认证范围，适用时，包括每个场所相应的认证范围；

j) 建立认证的可信度所需的相关记录，如审核员和技术专家能力的证据。

注：抽样方法包括评审特定管理体系和（或）选取多场所评审中对场所的选择。

9.9.3 认证机构应保证申请组织和客户记录的安全，以确保满足保密要求。运送、传输或传递记录的方式应确保保密。

9.9.4 认证机构应有关于记录保存的形成文件的政策和程序。记录保存期应为当前认证周期加上一个完整的认证周期。

注：某些情况下，记录需按法律规定保存更长的时间。

10 认证机构的管理体系要求

10.1 可选方式

认证机构应建立和保持一个能够支撑并证实其始终满足本文件要求的管理体系。认证机构除了满足第5 章至第9 章的要求外，还应按照下列要求之一建立管理体系：

a) 与GB/T 19001 一致的管理体系要求（见10.2）；

b) 通用的管理体系要求（见10.3）。

10.2 方式一：与GB/T 19001 一致的管理体系要求

10.2.1 总则

认证机构应按照GB/T 19001 的要求，建立和保持一个能够保障并证实其始终满足本文件要求的管理体系。该管理体系还应满足10.2.2 至10.2.5 的补充要求。

10.2.2 范围

为应用GB/T 19001 的要求，认证机构管理体系的范围应包括认证服务的设计和开发要求。

10.2.3 以顾客为关注焦点

为应用GB/T 19001 的要求，认证机构在建立管理体系时应考虑认证的可信性，而且不仅应关注客户需求，还应关注依赖其审核与认证服务的所有各方（如4.1.2 所述）的需求。

10.2.4 管理评审

为应用GB/T 19001 的要求，认证机构应将认证活动使用方相关申诉和投诉的信息作为管理评审的输入。

10.2.5 设计和开发

为应用GB/T 19001 的要求，认证机构在开发新的管理体系认证方案或将现有方案适用于特殊情况时，应确保将GB/T 19011 中适用于第三方审核的指南作为设计输入。

10.3 方式二：通用的管理体系要求

10.3.1 总则

认证机构应建立、实施和保持一个能够保障并证实其始终满足本文件要求的管理体系并形成文件。

认证机构最高管理层应为认证机构的活动制定政策和目标，并形成文件。最高管理层应提供证据，以证实其对按本文件要求建立和实施管理体系的承诺。最高管理层应确保认证机构的政策在组织的各个

层次上得到理解、实施和保持。

认证机构最高管理层应任命一名有下列职责和权力的管理层成员，无论其是否有其他职责：

a) 确保管理体系所需的过程和程序得到建立、实施和保持；

b) 向最高管理层报告管理体系的绩效及任何改进需求。

10.3.2 管理体系手册

认证机构应在管理体系手册或其关联文件中反映本文件的所有适用要求。认证机构应确保所有相关人员可以获取手册和相关的关联文件。

10.3.3 文件控制

认证机构应建立程序以控制与本文件实施有关的文件（内部和外部的）。该程序应规定下列方面所需的控制：

a) 文件发布前，对其充分性与适宜性进行批准；

b) 对文件进行复审和必要的更新，并再次批准；

c) 确保文件的更改和现行修订状态得到识别；

d) 确保在使用场所可以获得适用文件的相关版本；

e) 确保文件保持清晰并易于识别；

f) 确保外来文件得到识别，并控制其分发；

g) 防止作废文件的非预期使用，并在因故保留作废文件时，对其做出适当的标识。

注：文件可以使用任何形式或类型的介质。

10.3.4 记录控制

认证机构应建立程序，以对识别、贮存、保护、检索和处置与本文件实施有关的记录以及记录保存期限规定所需的控制。

认证机构应建立程序以明确与其合同、法律责任相一致的记录保存期限。对这些记录的查阅应与保密安排相一致。

注：获证客户记录的要求见9.9。

10.3.5 管理评审

10.3.5.1 总则

认证机构最高管理层应建立按策划的时间间隔对管理体系进行评审的程序，以确保管理体系（包括与本文件实施有关的明示的政策和目标）的持续适宜性、充分性和有效性。管理评审应至少每年进行一

次。

10.3.5.2 评审输入

管理评审的输入应包括与下列方面有关的信息：

a) 内部审核和外部评审的结果；

b) 客户和本文件实施涉及的利益相关方的反馈；

c) 维护公正性的委员会的反馈；

d) 预防措施和纠正措施的状况；

e) 以往管理评审的后续措施；

f) 目标的实现情况；

g) 可能影响管理体系的变更；

h) 申诉和投诉。

10.3.5.3 评审输出

管理评审的输出应包括与下列方面有关的决定和措施：

a) 管理体系及其过程的有效性的改进；

b) 与本文件实施有关的认证服务的改进；

c) 资源需求。

10.3.6 内部审核

10.3.6.1 认证机构应建立内部审核程序，以证明认证机构满足本文件要求，并有效地实施和保持了管理体系。

注： GB/T 19011为实施内部审核提供了指南。

10.3.6.2 认证机构应对内部审核方案进行策划，并在策划中考虑拟审核过程和区域的重要程度以及以往审核的结果。

10.3.6.3 内部审核应至少每12个月进行一次。如果认证机构能够证明管理体系按照本文件持续地有效运行并保持稳定，则可以减少内部审核的频次。

10.3.6.4 认证机构应确保：

a) 内部审核的实施人员具备资格，熟悉认证、审核和本文件的要求；

b) 审核员不审核自己的工作；

c) 将审核结果告知受审核区域的负责人员；

d) 根据内部审核结果及时采取适当的措施；

e) 识别任何改进的机会。

10.3.7 纠正措施

认证机构应建立识别和管理其运作中的不符合的程序。必要时，认证机构还应采取措施消除不符合的原因，以防止其再次发生。纠正措施应与所遇到问题的影响程度相适应。该程序应明确对下列方面的

要求：

a) 识别不符合（例如通过投诉和内部审核）；

b) 确定不符合的原因；

c) 纠正不符合；

d) 评价确保不符合不再发生的措施的需求；

e) 及时确定和实施所需的措施；

f) 记录所采取措施的结果；

g) 评审纠正措施的有效性。

10.3.8 预防措施

认证机构应建立采取预防措施以消除潜在不符合的原因的程序。预防措施应与潜在问题的可能影响程度相适应。预防措施程序应明确对下列方面的要求：

a) 识别潜在的不符合及其原因；

b) 评价防止不符合发生的措施的需求；

c) 确定和实施所需的措施；

d) 记录所采取措施的结果；

e) 评审采取的预防措施的有效性。

注：纠正措施和预防措施的程序不一定要分别制定。

参__________考文献

[1] GB/T 19001—2000 质量管理体系要求（ISO 9001:2000, IDT）

[2] GB/T 24001 环境管理体系要求及使用指南（idt ISO 14001）

[3] GB/T 27030—2006 合格评定第三方符合性标志通用要求（ISO/IEC 17030:2003, IDT）

[4] ISO 10002 质量管理—顾客满意—组织投诉处理指南

[5] ISO/IEC指南28:2004 合格评定—第三方产品认证制度指南__