CNAS-CC01-2011 管理体系认证机构要求.pdf

《CNAS-CC01-2011 管理体系认证机构要求.pdf》由会员分享，可在线阅读，更多相关《CNAS-CC01-2011 管理体系认证机构要求.pdf（42页珍藏版）》请在麦多课文档分享上搜索。

1、 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 CNAS-CC01 管理体系认证机构要求 Requirements for bodies providing audit and certification of management systems 中国合格 评定国 家认可委 员会 CNAS-CC01 ：2011 第 1 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 目 次 前言 3 引言 4 1 范围 5 2 规范性引用文件 . 5 3 术语和定义 5 4 原则 6 4.1 总则 6 4.2 公正性 . 7 4.3

2、 能力 7 4.4 责任 7 4.5 公开性 . 8 4.6 保密性 . 8 4.7 对投诉的回应 8 5 通用要求 . 8 5.1 法律与合同事宜 8 5.2 公正性的管理 9 5.3 责任和财力 10 6 结构要求 . 10 6.1 组织结构和最高管 理层 10 6.2 维护公正性的委员 会 11 7 资源要求 11 7.1 管理层和人员的能 力 11 7.2 参与认证活动的人 员 . 12 7.3 外部审核员和外部 技术专家的使用 13 7.4 人员记录 . 13 7.5 外包 14 8 信息要求 . 14 8.1 可公开获取的信息 . 14 8.2 认证文件 . 14 8.3 获证客户

3、目录 15 8.4 认证资格的引用和 标志的使用 . 15 8.5 保密 16 8.6 认证机构与其客户 间的信息交换 . 16 9 过程要求 . 17 9.1 通用要求 . 17 9.2 初次审核与认证 24 9.3 监督活动 . 26 9.4 再认证 . 27 CNAS-CC01 ：2011 第 2 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 9.5 特殊审核 . 28 9.6 暂停、撤销或缩小 认证范围 . 28 9.7 申诉 29 9.8 投诉 29 9.9 申请组织和客户的 记录 30 10 认证机构的管理体 系要求 30 10.1

4、可选方式 . 30 10.2 方式一：与 GB/T 19001 一致的管理体 系要求 . 30 10.3 方式二：通用的 管理体系要求 . 31 附录 A ( 规范性附录) 所要求的知识和技能 . 34 附录 B ( 资料性附录) 可能的评价方法 . 35 附录 C ( 资料性附录) 能 力确定和保持过程的示例 37 附录 D ( 资料性附录) 期 望的个人行为 38 附录 E ( 资料性附录) 第三方审核和认证过程 39 附录 F ( 资料性附录) 审 核方案、范围和计划的考虑事项 40 参考文献 . 41 CNAS-CC01 ：2011 第 3 页 共 41 页 2011 年 02 月 1

5、5 日发布 2011 年 07 月 01 日实施 前 言 本文件等同采用国际标准ISO/IEC 17021：2011 合格评定 管理体系审核认证机 构的要求 。 本文件是CNAS对管理体系认证机构的基本认可准则， 并与其他适用的CNAS 专用认可准则以及认可方案的相应部分共同构成对特定管理体系认证机构的认可准 则。 为了便于使用，本文件对ISO/IEC 17021:2011采用转化中做了下列编辑性修改： 1) 用“获证客户”替代 4.1.2 b ）中“管理体系获得认证的组织” （the organizations whose management systems are certified）；

6、 2) 用“获证客户”替代 6.2.3 中“管理体系获得认证的组织” （organizations whose management systems are certified）； 3) 用 “获证客户” 替代 8.2.3 a） 中 “管理体系获 得认证的客户” (client whose management system is certified)。 4) 用“本文件”替代“本国际标准” （this International Standard） 本文件代替CNAS-CC01：2007管理体系认证机构要求，主要修订内容包括： 1） 删除将GB/T 19011-2003（ISO 19011:

7、2002 idt）作为要求内容的引用； 2） 第3章增加了“第三方认证机构”等6项术语和定义； 3） 将6.2.2条中“并由认证机构最高管理层批准 ，”，修正为“授权”； 4） 第7章“资源要求”中增加了“确定能力准则”、“评价过程”等要求内容； 5） 对 “9.1通用要求” 中 “审核方案” 、 “审核 计划” 、 “选择和指派 审核组” 、 “确定审核时 间”、“ 实施现场审核 ”、“审 核报告”、“ 纠正和纠 正措施 的有效性”等增加要求内容； 6） 对“9.2申请评审”增加要求内容； 7） 删除第10.2.5条； 8） 增加了附录A-F六个附录，其中附录A为规范性附录，附录B-F为资料

8、性附录。 CNAS-CC01 ：2011 第 4 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 引 言 管理体系认证 （如对组织的质量或环境管理体系的认证） 是对组织已实施了与其 方针一致、用以管理其活动相关方面的体系提供保证的一种方法。 本文件规定了对认证机构的要求。 贯彻这些要求旨在确保认证机构以有能力、 一 致和公正的方式实施管理体系认证， 以促进国际和国内承认这些机构并接受它们的认 证。本文件为促进对管理体系认证的承认提供了基础，这种承认有利于国际贸易。 管理体系认证是独立地证明组织的管理体系： a）符合规定要求； b）能够自始至终实现其

9、声明的方针和目标； c）得到有效实施。 因此， 诸如管理体系认证的合格评定活动为组织、 组织的顾客及利益相关方提供 了价值。 本文件第4章阐 述了 可 信的认证 所依据 的原 则 。这些原 则有助 于读 者 理解认证的 本质属性 ，并为 第5章 至第10章 做了必 要的铺 垫。这些 原则构 成了本 文件所有 要求的 基础， 但其本身并不是可供评审的要求。 第10章为认证机构通过建立管理体系来保障 和证实其始终满足本文件要求提供了两种可供选择的途径。 本文件旨在供实施管理体系审核和认证的机构使用。 它对从事质量、 环境及其他 管理体系审核和认证的机构提出了通用要求。 本文件将这类机构称为认证机构

10、。 这一 用语不妨碍那些有着其他名称、但从事本文件范围内活动的机构使用本文件。 认证活动包括对组织的管理体系的审核。 认证机构通常以认证文件或证书的形式 证明组织的管理体系符合特定的管理体系标准或其他规范性要求。 本文件 包含GB/T 27021-2007 （ISO/IEC 17021:2006 IDT ）的文本 ，但 删除 了其 中对GB/T 19011-2003(ISO 19011:2002 IDT)的相关 引用 ，增加 了对第三方 认证 审核 和认证人员能力管理的具体要求。 管理体系认证的重要利益相关方， 例如工业界的相关方， 感到缺少针对审核员能 力及审核员管理与使用方式的要求是一个不

11、足， 因此， 有必要针对管 理体系 （例如质 量管理体系、 环境管理体系或食品安全管理体系） 第三方审核员制定具体和公认的要 求，以满足市场需求。 本文件对管理体系审核提供了一系列通用要求， 旨在由具备能力的审核组， 在具 有充分、 适宜资源的情况下， 遵循一致的过程对适用的认证要求的符合性进行可靠的 确定，并以一致的方式报告结果。 本文件适用于各种类型管理体系的审核与认证。 为实现利益相关方的期望， 可能 需要对其中一些要求，特别是那些关于审核员能力的要求补充附加准则。 在本文件中，“应”表示要求，“宜”表示建议。 CNAS-CC01 ：2011 第 5 页 共 41 页 2011 年 02

12、 月 15 日发布 2011 年 07 月 01 日实施 管理体系认证机构要求 1 范围 本文件包含了所有类型管理体系 （如质量管理体系或环境管理体系） 审核与认证 的能力、 一致性和公正性的原则与要求， 以及提供上述活动的机构所遵循的原则与要 求。按照本文件运作的认证机构不必提供所有类型的管理体系认证。 管理体系认证 （本文件中称为“ 认证”）是 一种第 三方合格评定活动 （见GB/T 27000 的5.5）。因此， 实施这种活动的机构是第三方合格评定机构 （本文件中称为“ 认证机 构” ）。 注1：管理体系认证有时也称为“注册”，认证机构有时称为“注册机构”。 注2：认证机构可以是非政府的

13、或政府的（具有或不具有法定权力）。 注3：本文件可作为认可、同行评审或其他审核过程的准则文件。 2 规范性 引用文件 下列引用文件对本文件的应用是必不可少的。 凡是注日期的引用， 仅所引用的版 本适用。凡是不注日期的引用，所引用文件的最新版本（包括任何修改单）适用。 GB/T 19000-2008质 量管理体系基础和术语（ISO 9000:2005 IDT ） GB/T 27000-2006 合 格评定词汇和通用原则（ ISO/IEC 17000:2004 IDT ） 3 术语和 定义 GB/T 19000 和GB/T 27000 中 给出的 术 语和 定义 以及 下列 术语 和定 义适用 于

14、本 文件。 3.1 获证客户 certified client 管理体系已获认证的组织 3.2 公正性 impartiality 实际存在的并被认识到的客观性 注1：客观性意味着利益冲突不存在或已解决，不会对认证机构的后续活动产生 不利影响； 注2：其他可用于表示公正性的要素的术语有：客观、独立、无利益冲突、没有 成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。 3.3 管理体系咨询 management system consultancy 参与设计、实施或保持管理体系 示例： 筹划或编制手册或程序； CNAS-CC01 ：2011 第 6 页 共 41 页 2011 年

15、 02 月 15 日发布 2011 年 07 月 01 日实施 对管理体系的建立和实施提供具体的建议、指导或解决方案。 注： 如果与管理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的 通用信息，那么组织培训并作为培训者参与培训不被视为咨询，即培训者不宜针对特 定的公司提出解决方案。 3.4 第三方认证审核 third-party certification audit 由独立于客户和用户的审核组织实施的、 对客户的管理体系进行以认证为目的的 审核 注1： 在下面的定义中，第三方认证审核简称为“审核”。 注2： 第三方认证审核包括初次审核、监督审核和再认证审核，还可以包括特殊审 核。

16、注3： 第三方认证审核通常由依据管理体系标准要求提供符合性认证的认证机构 的审核组实施。 注4： 两个或两个以上审核组织合作审核同一个客户，称作联合审核。 注5： 一个客户同时按照两个或两个以上管理体系标准的要求接受审核，称作结合 审核。 注6： 一个客户已将两个或两个以上管理体系标准要求的应用整合在一个单一的 管理体系中，并按照一个以上标准接受审核，称作一体化审核。 3.5 客户 client 其管理体系为认证目的接受审核的组织 3.6 审核员 auditor 实施审核的人 3.7 能力 competence 能够应用知识和技能实现预期结果的本领 3.8 向导 guide 客户指派的协助审核

17、组的人 3.9 观察员 observer 与审核组同行，但不实施审核的人 3.10 技术领域 technical area 以特定类型管理体系的相关过程的共性为特征的领域 4 原则 4.1 总则 4.1.1 本章所述原则 是本文件中后续的 特 定 绩效要求和说明性要 求 的基础。本文件 未就所有可能发生的情况给出特定要求。 在出现未预料到的情况时， 宜应用这些原则 作为决策的指南。这些原则不是要求。 CNAS-CC01 ：2011 第 7 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 4.1.2 认证的总体 目 标是使 所有相关方相信管理体系满足

18、规定要 求 。认证的价值取 决于第三方通过公正、 有能力的评定所建立的公信力的程度。 认证的利益相关方包括 （但不限于）： a) 认证机构的客户； b) 获证客户的顾客； c) 政府部门； d) 非政府组织； e) 消费者和其他公众。 4.1.3 建立信任的原则 包括： 公正性； 能力； 责任； 公开性； 保密性； 对投诉的回应。 4.2 公正 性 4.2.1 公正，并被认为 公正，是认证机构提供可建立信任的认证的必要条件。 4.2.2 客户支 付的认 证费用是认证机构的 收 入来源，也是对公正 性 的潜在威胁，这 一点得到公认。 4.2.3 认证机构根据 其所获得的符合（或不符合 ） 的客观

19、证据做 出 决定，且不受其 他利益或其他各方的影响，对于获得和保持信任是必不可少的。 4.2.4 对公正性的威胁 包括： a) 自身利益 的威 胁：此 类 威胁源于 个人 或机构 依其 自身利 益行事 。在 认 证中， 财务方面的自身利益是一种对公正性的威胁。 b) 自我评审 的威 胁：此 类 威胁源于 个人 或机构 评审 自己所 做的 工作。 认 证机构 对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。 c) 熟识（或 信任 ）的威 胁 ：此类威 胁源 于个人或机 构 对另 外一 人过于 熟 悉或信 赖，而不去寻找审核证据。 d) 胁迫的威 胁： 此类威胁源于个人或 机构 察觉 受

20、 到公然或 暗中 的强 迫，如 威胁 用他人取而代之或向主管告发。 4.3 能力 认证机构的管理体系所支撑的人员能力是认证提供信任的必要条件。 4.4 责任 4.4.1 符合认证要求的 责任在于客户组织而不是认证机构。 CNAS-CC01 ：2011 第 8 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 4.4.2 认证机构有责 任对足够 的客观证据 进 行评价 ， 并在此基础 上 做出认证决定。 根据审核结论， 如果符合性的证据充分， 认证机构做出授予认证的决定；如 果 符合性 的证据不充分，则不授予认证。 注：任何审核都是基于对组织管理体系的

21、抽样，因此并不保证管理体系100%符合 要求。 4.5 公开 性 4.5.1 为获得对 认证 的 诚信性与可信性的信任 ，认证机构需要提供获取 有关审核过 程、 认证过程和所有组织认证状态 （即认证的授予、 保持、 更新、 扩大 、 缩小、暂 停 或撤销） 的适当、 及时 信息的公开渠道，或 公布这些信息。 公开性是获得或公布适当 信息的一项原则。 4.5.2 为获得或保持 对认证的信任，认证 机 构宜 向特定利益相关 方 提供获取特定审 核（如为回应投诉而做的审核）结论的非保密信息的适当渠道，或公布这些信息。 4.6 保密 性 为了享有获取充分评价管理体系符合性所需信息的特权， 认证机构对任

22、何关于客 户的专有信息予以保密是必需的。 4.7 对投诉 的回 应 依赖认证的各方期望投诉得到调查。 认证机构应当使依赖认证的各方相信，在 投 诉经查明有效时， 认证机构将对投诉进行适当的处理， 并为解决投诉做出适当的努力。 当投诉表明出现错误、 疏忽或不合理行为时， 对投诉做出有效回应是保护认证机构及 其 客户和其他认证使 用方 的重要手段。对投诉进行适当处理将维护对认证活动的信 任。 注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性 （包括对投诉的回应）等原则之间取得适当的平衡。 5 通用要 求 5.1 法律 与合同 事宜 5.1.1 法 律责任 认证机构应为一个法律

23、实体， 或一个法律实体内有明确界定的一部分， 以便认证 机构能够对其所有认证活动承担法律责任。 政府的认证机构因其政府地位而被视为法 律实体。 5.1.2 认 证协议 认证机构与客户之间应有在法律上具 有强制实施 力 的 提供认证服务的协议。此 外， 如果认证机构有多个办公场所或客户有多个场所， 则应确保授予认证并颁发证书 的认证机构与认证范围覆盖的所有场所之间有在法律上具有强制实施力的协议。 5.1.3 认 证决定 的责任 CNAS-CC01 ：2011 第 9 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 认证机构应对与认证有关的决定 （包括

24、授予、 保持、 更新、 扩大、 缩 小、 暂停和 撤销认证）负责，并应保持做出上述决定的权力。 5.2 公正 性的管理 5.2.1 认证机构最高 管理层应 对管理体系 认 证活动的 公正性做出 承 诺。认证机构应 具有可公开获取的声明，表 明 其理解公正性在实施管理体系认证活动中的重要性， 对 利益冲突加以管理，并确保其管理体系认证活动的客观性。 5.2.2 认证机构应识别和 分析由认证活动引起的利益冲突的可能性并将其形成文 件，包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。 但是，如 果 任何关系对公正性构成威胁， 认证机构应将其如何消除或最大限度减小此 类 威胁形

25、成文件 ，并能予以证实 。6.2 所指 的 委员会应能 获得 这方面 的信息。所 作 的 证实应包括所有已识别的潜在利益冲突来源， 无论其产生于认证机构内部还是其他个 人、机构或组织的活动。 注：威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人 员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。 5.2.3 当 某 种 关系对 认证机构的公正性构成不 可 接受的威胁时（ 如 认证机构的 全资 子公司向其申请认证），认证机构不应提供认证。 注：见5.2.2注。 5.2.4 认证机构不应对 另一认证机构的管理体系认证活动进行认证。 注：见5.2.2注。 5.2

26、.5 认证机构及同一 法律实体的任何其他部分不应提供或推荐 管 理体系咨询，也 不应为管理体系咨询提供报价。 本条款同样适用于政府中被识别为认证机构的那一部 分。 5.2.6 认证机构及其 所属法律实体的任何 其他 部分不应向获证客 户 提供内部 审 核 。 如果认证机构对某个管理体系提供了内部审核， 则不应在内部审核结束后两年内对该 管理体系进行认证。本条款同样适用于政府中被识别为认证机构的那一部分。 注：见5.2.2注。 5.2.7 如果咨询机构 与认证机构之间的关 系 对认证机构的公正性 构 成了不可接受的 威胁， 而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核， 则认证机构

27、不应对该管理体系进行认证。 注1：在管理体系咨询结束后经过至少两年时间，是将对公正性威胁降至可接受 水平的一种方式。 注2：见5.2.2注。 5.2.8 认证机构不应 将审核外包给管理体 系 咨询机构，因为这一 做 法将对认证机构 的公正性构成不可接受的威胁 （见7.5 ） 。本 条款 不适用于7.3 所述的 作为签约审核员 的个人。 CNAS-CC01 ：2011 第 10 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 5.2.9 认证机构活动 的 营销或 报价不应与 管理 体系咨询机构的活 动 有 联系。如果任 何咨询机构宣称或暗示选择某认证

28、机构将使认证更为简单、 容易、 迅速 或廉价，则 该 认证机构应采取措施纠正这种不当表述。 认证机构不应宣称或暗示选择某咨询机构将 使认证更为简单、容易、迅速或廉价。 5.2.10 为确保没有利 益冲突， 参与了对客户管理体系咨询的人员 （包括管理人员） ， 在咨询结束后两年内，不应被认证机构用于针对该客户的审核或其他认证活动。 5.2.11 认证机构应采 取措施，以 应对其他人员、 机构或组织的行为对其公正性产生 的威胁。 5.2.12 认证机构所有 可以影响认证活动的人员 （内部或外部的） 或委员会应公正行 事，且不应允许商业、财务或其他方面的压力损害公正性。 5.2.13 认证机构应要求

29、内部和外部的人员告知他们 所 了解的任何可能使其或认证 机构陷入利益冲突的情况。 认证机构应利用这些信息识别他们或其所在单位的活动对 公正性产生的威胁， 且应在他们能够证明没有利益冲突之后再使用这些内部或外部人 员。 5.3 责任 和财力 5.3.1 认证机构应能 证明已对认证活动引 发 的风险进行了评估， 并 对 各个活动领域 和运作地域的业务引发的责任作了充分的安排（如保险或储备金）。 5.3.2 认证机构应评估其财务状况和收入来源，并向6.2 所指的委员 会证明其公正性 始终没有受到商业、财务和其他方面压力的损害。 6 结构要 求 6.1 组织 结构和 最高管 理层 6.1.1 认证机构

30、应 将 其 组织结构形成文件，并 明确管理层和其他 认 证人员及各委员 会的任务、责 任 和权力。 当认证机构是一个法律实体内有明确界定的一部分时， 该文 件 应 说明认证机构与该 法律实体间的权力关系以及与 同一法律实体内其他部分的关 系。 6.1.2 认证机构应确 定对下列各项具有全部权力和责任的最高管 理 层（委员会、小 组或个人）： a) 与认证机构运作有关的政策的制定； b) 政策和程序实施的监督； c) 认证机构财务的监督； d) 管理体系认证服务和认证方案的开发； e) 审核与认证的实施和对投诉的回应； f) 认证决定； g) 在需要时，授权委员会或个人代表最高管理层开展规定的活

31、动； h) 合同安排； CNAS-CC01 ：2011 第 11 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 i) 为认证活动提供充分的资源。 6.1.3 认证机构应 有 关于任何参与认证活动的委员会的任命、权限和运行的正式规 则。 6.2 维护 公正性 的委员 会 6.2.1 认证机构的结构 应 维护认证机构活 动 的公正性，并具有一个进行下列活动的 委员会： a) 协助制定与认证活动公正性有关的政策； b) 阻止认证机构有任何倾向使 商业因素或其他因素 妨碍其 一致地提供客观的认 证活动； c) 对影响认证可信度的事宜（包括公开性和公众认识

32、）提出建议； d) 至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。 该委员会也可被委以其他任务或职责，但 这些附加的任务或职责不得削弱其确保 公正性的基本作用。 6.2.2 该 委员会的组 成、权限、 任务、权力、 成员能力和责任 均 应 正式形成文件， 并由认证机构最高管理层授权，以确保： a) 各方利益均衡，以 使 任一利益方不处于支配地位 （认证机构的内部或外部人员 视为一个利益方，且不应居支配地位）； b) 获取所有必要的信息，使其能够履行自己的职能（见5.2.2 和5.3.2）； c) 如果认证机构最高管理层不尊重委员会的建议，委员会应 有权采取独立措施 （如报告主管部

33、门、 认可机构或利益相关方） 。 采取独立措施时， 委 员会应尊 重8.5 中与客户和认证 机构相关的保密要求。 6.2.3 虽然该委员会不 能代表所有利益方， 但是认证机构宜识别和邀请关键利益方。 这些利益方可能包括： 认证机构的客户， 获证客户的顾客， 行业协会代表， 政府监管 机构或其他政府部门的代表，或非政府组织（包括消费者组织）的代表。 7 资源要 求 7.1 管理 层和人 员的能 力 7.1.1 总体 考虑 认证机构应有过程来 确保 其 人员对 其运作涉及的管理体系类型和地域 有 适宜的 相关知识。 认证机构应确定与特定认证方案相关的每个技术领域所需的能力， 以及认证活动 的每项职

34、能所需的能力。 认证机构应确定在履行特定职能前证实能力的方法。 7.1.2 能 力准则 的确定 认证机构应有形成文件的过程， 以确定参与管理和实施审核与认证人员的能力准 则。 应根据每类管理体系标准的要求， 针对每个技术领域和认证过程中的每项职能确CNAS-CC01 ：2011 第 12 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 定能力准则。 该过程的输出应是形成文件的所要求知识和技能的准则， 这些知识和技 能是有效地实施审核与认证任务以实现预期结果所必需的。 附录A 明确了认证机构应 为特定职能确定的知识和技能。 如果已经为特定的认证方案建

35、立了附加的特定能力准 则，例如ISO/TS 22003 （食品安全管理体 系 ），这些附加的 特定能 力准则应得到应 用。 注：取决于不同的管理体系标准，术语“技术领域”的应用方式可以有所不同。 对于任何管理体系，该术语都与管理体系标准范围内的产品和过程有关。技术领域可 由特定认证方案（例如ISO/TS 22003）定义；或者可以由认证机构定义。下面给出了 术语“技术领域”在不同类型管理体系中的应用实例： 对于质量管理体系标准，术语“技术领域”与满足顾客对组织的产品和服 务的期望以及适用于组织的产品和服务的法律法规要求所需的过程有关。 对于环境管理体系标准，术语“技术领域”与影响空气、水、土壤

36、、自然 资源、植物、动物和人类的环境因素涉及的活动、产品和服务类别有关。 对于供应链安全管理体系标准，术语“技术领域”与供应的安全风险涉及 的过程有关，例如运输、仓储和信息。 对于信息安全管理体系标准，术语“技术领域”尤其与选择充分且适当的 保护信息资产的安全控制措施所涉及的信息安全技术与实践、信息和通信 技术和业务活动的类别有关。 7.1.3 评 价过程 认证机构应有形成文件的过程， 以应用所确定的能力准则， 对所有参与管理和实 施审核与认证的人员进行初始能力评价， 并持续监视其能力和绩效。 这些过程的输出 应是识别出有能力的人员， 即被证实具有审核与认证过程不同职能所需的能力水平的 人员。

37、 注：附录B介绍了一些可用于知识和技能评价的评价方法。 7.1.4 其他 考虑 7.1.4.1 认证机构在确 定认证实施人员的能力要求时， 除了那些直接实施审核与认证 活动的人员，还应考虑管理层和行政人员所承担的职能。 7.1.4.2 认证机构应有 获取必要的专业知识与技能的途径， 以在其运作涉及的技术领 域、 管理体系类型和地域等方面获得与认证直接相关的建议。 这些建议可由外部人员 或认证机构人员提供。 7.2 参与 认证活 动的人 员 7.2.1 认证机构自身 应 有 具备足够能力对 其 各种类型与 范围的审 核 方案以及其他认 证工作进行管理的人员。 7.2.2 认证机构应聘 用或有途径

38、获得足够 数 量的审核员（包括审 核 组长）和技术专 家，以覆盖其所有活动并满足审核工作量的需要。 7.2.3 认证机构应使所有 有关人员清楚自己的任务、责任和权力。 CNAS-CC01 ：2011 第 13 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 7.2.4 认证机构应有 明确的过程来选择、 培 训、正式任用审核员 和 选择认证活动使 用的技术专家。 审核员的初始能力评价应包括在审核中应用所需知识与技能的本领的 证实。 在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见 证中确定。 注：在上述的选择和培训过程中可以考虑所

39、期望的个人行为。所期望的个人行为 是影响一个人实施特定职能的能力的特性。 对个人行为的了解能使认证机构能够发挥 人员的强项并尽可能减小其弱点的影响。附录D介绍了所期望的个人行为，它们对参 与认证活动的人员是重要的。 7.2.5 认证机构应有 实现和 证实有效审核 的 过程。该过程应确保 所 使 用的审核员和 审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。 7.2.6 认证机构应确 保审核员（需要时，包括 技术专家）充分了 解 其审核过程、认 证要求和其他相关要求。 认证机构应使审核员和技术专家有途径获取指导审核和提供 认证活动所有相关信息的现行有效的文件化程序。 7.2

40、.7 认证机构应仅 使 用 审核员和技术专 家 从 事 已 证实他们具备 能 力的那些认证活 动。 注：为特定审核组指派审核员和技术专家的要求见9.1.3。 7.2.8 认证机构应识 别培训需求，并 向审 核 员、技术专家和其他参与 认证活动的人 员提供或使其有机会参加特定的培训，以确保他们胜任所从事的工作。 7.2.9 做出授予、保 持、更新、扩大、缩 小 、暂停或撤销认证等 决 定的小组或个人 应理解适用的标准和认证要求，并经证实有能力评价审核过程和审核组的推荐意见。 7.2.10 认证机构应确 保所有参与审核和认证活动的人员均有令人满意的表现。认 证 机构应有形成文件的程序和准则， 以根

41、据这些人员的使用频率及其活动的风险水平来 监视和衡量他们的表现。 认证机构尤其应根据人员的表现来复核他们的能力， 以识别 培训需求。 7.2.11 形成文件的审 核员监视程序应把现场见证、 审核报告复核及客户或市场反馈 相结合。 认证机构应在文件要求中详细说明该程序。 在设计监视方式时， 应使正常认 证过程所受干扰最小（尤其是从客户角度来看）。 7.2.12 认证机构应定 期对每位审核员的表现进行现场见证。现 场 见证的频率应取决 于根据所有可获得的监视信息确定的现场见证需求。 7.3 外部 审核员 和外部 技术 专家的 使用 认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机

42、构 适用的政策和程序。 该协议应含有关于保密及独立于商业和其他利益的条款， 并要求 外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关 系。 注：依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。 7.4 人员 记录 CNAS-CC01 ：2011 第 14 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 认证机构应保持人员 （包括认证活动实施人员、 管理人员和行政人员） 的最新记 录， 包括相关的资格、 培训、 经历、 隶属关系 、 专业状况、 能力以及 可能提供过的任 何相关咨询服务的记录。 7.5 外包 7.5

43、.1 认证机构应说明 可以进行外包（即 向 另一个组织分包，由 其 代表认证机构提 供部分认证服务） 的条件。 认证机构应与每个承担外包服务的机构就相关安排 （包括 保密和利益冲突）签订在法律上具有强制实施力的协议。 注1：这里可以包括外包给其他认证机构的情况。依据合同使用审核员和技术专 家见7.3。 注2：本文件中，“外包”与“分包”视为同义词。 7.5.2 授予、保持、更 新、扩大、缩小、暂停或撤销认证的决定不应外包。 7.5.3 认证机构应： a) 对外包给另一机构的所有活动负责； b) 确保外包 服务 承担机 构 及其使用 的人 员符合 认 证机构的 要求 和本文 件 的适用 要求，包

44、括能力、公正性和保密； c) 确保外包 服务 承担机 构 及其使用 的人 员与拟 审 核的组织 没有 可能损 害 公正性 的关系（无论是直接的还是通过任何其他雇主发生的关系）。 7.5.4 认证机构应有 形成文件的程序，以 对 认证活动的所有外包 服 务承担机构进行 资格审查和监视，且应确保其审核员和技术专家的能力记录得到保持。 8 信息要 求 8.1 可公 开获取 的信息 8.1.1 认证机构应保 持对 其用于授予、保 持 、扩大、更新、缩小 、 暂停或撤销认证 的审核过程和认证过程做出说明的信息， 及其运作涉及的认证活动、 管理体系类型和 地域的信息，并使这些信息可公开获取，或在有请求时提

45、供这些信息。 8.1.2 认证机构向客户 或市场提供的信息（包括广告）应准确且不使人产生误解。 8.1.3 认证机构应使授 予、暂停或撤销认证的信息可公开获取。 8.1.4 当任何一方提出 请求时，认证机构应提供确认某一认证是否有效的方法。 注1：如果信息分散在多个来源（如印刷文件或电子文档，或两者结合），可以 通过一个系统（如唯一性编码系统或互联网上的超级链接）来确保不同来源之间的可 追溯性和明确一致性。 注2：在特殊情况下，可以根据客户的请求（如出于安全原因）对某些信息的公 开程度做出限制。 8.2 认证 文件 8.2.1 认证机构应以其 选择的任何方式向获证客户提供认证文件。 8.2.2

46、 认证文件的生效 日期不应早于认证决定的日期。 CNAS-CC01 ：2011 第 15 页 共 41 页 2011 年 02 月 15 日发布 2011 年 07 月 01 日实施 8.2.3 认证文件应标明 ： a) 每个获证 客户 的名称 和 地理位置 （或 多场所 认 证范围内 总部 和所有 场所 的地 理位置）； b) 授予、扩大或更新认证的日期； c) 认证有效期或与认证周期一致的应进行再认证的日期； d) 唯一的识别代码； e) 审核获证 客户 时所用 的 标准和（ 或） 其他规 范 性文件， 包括 版次和 （ 或）修 订号； f) 与产品（ 包括 服务） 、 过程等相 关的 认

47、证范 围 ，适用时 ，包 括每 个场所 相应 的认证范围； g) 认证机构 的名 称、地 址 和认证标 志； 可以使 用 其他标识 （如 认可标 识 ），但 不能产生误导或含混不清； h) 认证用标准和（或）其他规范性文件所要求的任何其他信息； i) 在颁发经过修改的认证文件时，区分新文件与任何已作废文件的方法。 8.3 获证 客户目 录 认证机构应以其选择的任何方式保持有效认证的目录， 并使其可公开获取， 或在 有请求时提供该目录。该目录应至少说明每个获证客户的名称、相关的规范性文件、 认证范围和地理位置 （如国家和城市） 或多场所认证范围内总部和所有场所的地理位 置。 注：该目录是认证机构

48、的专有资产。 8.4 认证 资格的 引用和 标志 的使用 8.4.1 认证机构对其 授权获证客户使用的任何 标志应有管理政策 。 该 政策应确保可 以从标志追溯到认证机构。 标志或所附文字不应使人对认证对象和授予认证的认证机 构产生歧义。 标志不应用于产品或消费者所见的产品包装之上 ，或 以任何其他可解释 为表示产品符合性的方式使用。 注：GB/T 270302006提供了对使用第三方标志的要求。 8.4.2 认证机构不应 允许其 标志被 用于实 验 室检测、校准或 检查 的 报告，这里将此 类报告视为产品。 8.4.3 认证机构应要求 客户组织： a) 在传播媒 介（ 如互联 网 、宣传册 或广 告）或 其他 文件中 引用 认证状态时，应 符合认证机构的要求； b) 不做出或不允许有关于其认证资格的误导性说明； c) 不以或不允许以误导性方式使用认证文件或其任何部分； d) 在其认证 被暂 停或撤销时，按照 认证 机构的 指 令立