文件系统符合性检查单SCSMSWord文档下载推荐.docx

文件系统符合性检查单SCSMSWord文档下载推荐.docx

《文件系统符合性检查单SCSMSWord文档下载推荐.docx》由会员分享，可在线阅读，更多相关《文件系统符合性检查单SCSMSWord文档下载推荐.docx（152页珍藏版）》请在冰豆网上搜索。

5.1法律与合同事宜

5.1.1　法律责任

认证机构应为一个法律实体，或一个法律实体内有明确界定的一部分，以便认证机构能够对其所有认证活动承担法律责任。

政府的认证机构因其政府地位而被视为法律实体。

5.1.2　认证协议

认证机构与客户组织之间应有在法律上具有强制实施力的提供认证服务的协议。

此外，如果认证机构有多个办公场所或获证客户有多个场所，则认证机构应确保授予认证并颁发证书的认证机构与获证客户之间有清晰覆盖客户每一个获认证场所的在法律上具有强制实施力的协议。

该协议应清楚说明按照哪些标准和/或其他规范性文件进行认证。

5.1.3　认证决定的责任

认证机构应对与认证有关的决定（包括授予、保持、更新、扩大、缩小、暂停和撤消认证）负责，并应保持做出上述决定的权力。

5.2　公正性的管理

5.2.1　认证机构最高管理层应对供应链安全管理体系认证活动的公正性做出承诺。

认证机构应具有可公开获取的声明，表明其理解公正性在实施供应链安全管理体系认证活动中的重要性，对利益冲突加以管理，并确保其供应链安全管理体系认证活动的客观性。

5.2.2　认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件，包括认证机构的各种关系引起冲突的可能性。

有关系不一定都会引起利益冲突。

但是，如果任何关系对公正性构成风险，认证机构应将其如何消除或最大限度减小此类风险形成文件，并应能向6.2所指的委员会证实。

所作的证实应包括所有已识别的潜在利益冲突来源，无论其产生于认证机构内部还是其他个人、机构或组织的活动。

5.2.3　当某种关系对认证机构的公正性产生不可消除的威胁时（如认证机构的全资子公司向其申请认证），认证机构不应提供认证。

5.2.4　认证机构不应对另一认证机构的管理体系认证活动进行认证。

5.2.5　认证机构及同一法律实体的任何其他部分不应提供供应链安全管理体系咨询和/或相关的风险评估，也不应为供应链安全管理体系咨询和/或风险评估提供报价。

本条款同样适用于政府中被识别为认证机构的那一部分。

5.2.6　认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。

5.2.7　如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁，而客户接受了该咨询机构的供应链安全管理体系咨询和/或相关的风险评估或内部审核，则认证机构不应对该供应链安全管理体系进行认证。

注1：

在供应链安全管理体系咨询和/或相关风险评估或内部审核结束后经过至少两年时间，是将对公正性的威胁降至可接受水平的一种方式。

对5.2.2和5.2.4的注：

威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。

对5.2.6和5.2.7的注：

由审核员提出解决方案（针对已识别的不符合或改进机会）的内部审核被视为对公正性有不可接受的威胁。

5.2.8　认证机构不应将审核外包给对认证机构的公正性构成不可接受的威胁的机构（见7.5）。

5.2.9　认证机构活动的营销不应与提供供应链安全管理体系咨询和/或相关风险评估的机构的活动有联系。

如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价，则该认证机构应采取措施纠正这种不当表述。

认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。

5.2.10　为确保没有利益冲突，参与了对客户供应链安全管理体系咨询和/或相关风险评估的人员（包括管理人员），在咨询结束后两年内，不应被雇佣从事针对该客户的审核或认证活动。

5.2.11　认证机构应采取措施，以应对其他人员、机构或组织的行为对其公正性产生的威胁。

5.2.12　认证机构所有可以影响认证活动的人员（内部或外部的）或委员会应公正行事，且不应允许商业、财务或其他方面的压力损害公正性。

5.2.13　认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。

认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁，且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。

注：

如果已知组织雇佣的审核员提供了供应链安全管理体系咨询和/或相关的风险评估，则在咨询结束后的两年内，这个事实将被视为对公正性有高度威胁。

5.3　责任和财力

5.3.1　认证机构应能证明已对认证活动引发的风险进行了评估，并对各个活动领域和运作地域的业务引发的责任作了安排（如保险或储备金）。

5.3.2　认证机构应评估其财务状况和收入来源，并向6.2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。

6结构要求

6.1　组织结构和最高管理层

6.1.1　认证机构的组织结构应为其认证提供信任。

6.1.2　认证机构应确定对下列各项具有全部权力和责任的最高管理层（委员会、小组或个人）：

a）与认证机构运作有关的政策的制定；

b）政策和程序实施的监督；

c）认证机构财务的监督；

d）审核与认证的实施和对投诉的回应；

e）认证决定；

f）在需要时，授权委员会或个人代表最高管理层开展规定的活动；

g）合同安排；

h）为认证活动提供充分的资源。

6.1.3　认证机构应将其组织结构形成文件，并明确管理层和其他认证人员及各委员会的任务、责任和权力。

当认证机构是一个法律实体内有明确界定的一部分时，该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。

6.1.4　认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。

6.2　维护公正性的委员会

6.2.1　认证机构的结构应维护认证机构活动的公正性，并具有一个进行下列活动的委员会：

a）协助制定与认证活动公正性有关的政策；

b）阻止认证机构的所有者有任何倾向使商业或其他因素妨碍其一致地提供客观的认证活动；

c）对影响认证可信度的事宜（包括公开性和公众认识）提出建议；

该委员会也可被委以其他任务或职责，但这些附加的任务或职责不宜削弱其确保公正性的基本作用。

6.2.2　该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件，并由认证机构最高管理层授权，以确保：

a）各方利益均衡，以使任一利益方不处于支配地位（认证机构的内部或外部人员视为一个利益方，且不宜居支配地位）；

b）获取所有必要的信息，使其能够履行自己的职能（见5.2.2和5.3.2）；

c）如果认证机构最高管理层不尊重委员会的建议，委员会应有权采取独立措施（如报告主管部门、认可机构或利益相关方）。

采取独立措施时，委员会应遵守8.5中与客户和认证机构相关的保密要求。

虽然该委员会不能代表所有利益方，但是认证机构宜识别和邀请关键利益方。

这些利益方可能包括：

认证机构的客户，供应链安全管理体系获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府组织（包括消费者组织）的代表。

7资源要求

7.1　管理层和人员的能力

7.1.1认证机构应确保参与供应链安全管理体系审核与认证的所有人员有能力胜任其承担的工作。

认证机构应有过程来确保其人员对其运作涉及的供应链安全管理体系类型和地域有适宜的相关知识、技能和经验。

认证机构应确定与特定认证方案相关的每个技术领域所需的资格和能力，以及认证活动的每项职能所需的资格和能力。

认证机构应确定在履行特定职能前证实能力的方法，应保留确定的记录。

7.1.2认证机构在确定认证实施人员的能力要求时，除了那些直接实施审核与认证活动的人员，还应考虑管理层和行政人员所承担的职能。

7.1.3认证机构应有获取必要的专业知识与技能的途径，以在其运作涉及的技术领域、供应链安全要素类型和地域等方面获得与认证直接相关的建议。

这些建议可由外部人员或认证机构人员提供。

7.2参与认证活动的人员

7.2.1认证机构自身应有具备足够能力的人员，以对各种类型与范围的审核方案进行管理并实施其他认证工作。

7.2.2就接触保密信息而言，认证机构应确保委派实施供应链安全管理体系认证审核的人员和技术专家，在对验证工作期间所获保密信息保守秘密方面能得到信任，并确保他们没有造成安全问题。

见7.4条款。

7.2.3委派实施供应链安全管理体系审核的人员至少应具备ISO19011:

2002标准7.2,7.3.1,7.3.2和7.4条款阐述的与供应链安全管理和风险分析相关的个人素质、知识、技能和教育经历。

7.2.3.1供应链安全管理体系审核员应具备风险分析、关键控制点分析、风险管理方法学和信息保密方面的能力。

包括但不限于以下方面：

a）理解供应链安全管理标准或规范的要求（如：

ISO28000）。

b）理解供应链流程和关键控制点分析、理解供应链相关过程和实务的知识。

——安全方法学和技术的知识，尤其是预防措施和技术。

c）威胁识别：

——理解威胁，如物理的、生物的、化学的、计算机网络的和放射性的威胁。

d）风险评估和分析：

——理解风险评估和分析的原理。

e）风险的最小化、降低与控制：

——理解最小化、降低与管理风险的原理；

f）应急的策划与准备：

——政府和第一响应者的作用的知识；

——突发事件通报原则的知识；

——突发事件缓解、响应和恢复的知识。

7.2.3.2每一位供应链安全管理体系审核员还应成功地完成了培训（见附录C或等效的），并能证明在安全方法学、风险分析和管理原理的理解和应用方面是有能力的，同时宜是注册的管理体系审核员。

7.2.3.3每一位供应链安全管理体系审核员应参加与其特定的资格要求相适应的持续培训。

认证机构应每年评审针对其审核员的目标培训计划，培训内容包括：

安全方法学、风险分析与管理原理、关键控制点分析、审核技巧、特别是本文件7.2.3.1条款提到的能力要求。

培训应：

a）基于对上述学科和能力项进行需求分析的结果而策划；

b）保留培训记录；

c）包括审核案例分析以评价审核员的能力；

d）有信息支持且审核员宜能获取这些信息，如：

适用的管理体系标准应用的解释，常见问题解答，研讨会记录、针对案例的标准的纠正；

e）按照培训要求得到评价，且认证机构应根据培训效果采取适当的措施；

f）由有资格的培训教师实施。

7.2.3.4供应链安全管理体系审核员应具备至少五年与风险分析和管理相关的经历，或者两年按照最佳行业实践及标准审核的经历。

7.2.3.5供应链安全管理体系审核员应保证每年至少五次的相关审核，或者每年至少完成10人日的现场审核，以保持其资格。

7.2.3.6认证机构应能证明每一位审核员在被认为有能力的特定专业类别具有恰当的培训和工作经历，并记录能力（ISO19011:

20025.5c条款）。

7.2.4　认证机构应聘用或有途径获得足够数量的审核员（包括审核组长）和技术专家，以覆盖其所有活动并满足审核工作量的需要。

7.2.5　认证机构应使所有有关人员清楚自己的任务、责任和权力。

7.2.6　认证机构应有明确的过程来选择、培训、正式任用和监视审核员以及选择认证活动使用的技术专家。

审核员的初始能力评价应包括一次对被评价者现场审核的观察。

7.2.7　认证机构应有实现和证实有效审核的过程。

该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的恰当的知识与技能。

这一过程应基于ISO19011提供的指南转化为适当的文件要求（特别见ISO19011：

2002的条款7及附录C）。

7.2.8　供应链安全管理体系审核员应具备适用于所审核的供应链、工业和商业领域的安全知识和经验。

7.2.9　供应链安全管理体系审核员应具有或经过培训获得并证实附录D所描述的能力。

7.2.10　能力应通过笔试进行验证，考试的及格线设定宜仅使那些证实全面理解模块内容且达到课程目标的人员通过。

7.2.11　认证机构应确保审核员（需要时，包括技术专家）熟悉认证活动、认证要求、审核方法和其他相关要求。

认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。

7.2.12　认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。

为特定审核组指派审核员和技术专家的要求见第9章。

7.2.13　认证机构应识别培训需求，并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训，以使他们获得认证要求和过程的知识。

7.2.14　做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应具备足够的知识和经验，以评价审核过程和审核组的推荐意见。

7.2.15　认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。

认证机构应有形成文件的程序和准则，以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。

认证机构尤其应根据人员的表现来复核他们的能力，以识别培训需求。

7.2.16　形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合，并应基于ISO19011提供的指南转化成的适当的文件要求。

在设计监视方式时，应使正常认证过程所受干扰最小（尤其是从客户角度来看）。

7.2.17　认证机构应定期对每位审核员的表现进行现场见证。

现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。

求。

7.3　外部审核员和外部技术专家的使用

认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构明确的适用的政策和程序。

该协议应含有关于资格、保密及独立于商业和其他利益的条款，并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。

认证机构应确保所有独立的外部审核员和技术专家都经过了安全调查，并且受到认证机构保密协议的约束。

依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。

7.4　人员记录

认证机构应保持认证活动所涉及每个人的最新记录，包括相关的资格、培训、经历、隶属关系、专业状况和能力。

7.4.1安全调查

认证机构应建立对候选供应链安全管理体系审核员进行安全审查的过程并形成文件。

认可机构也应确保其评审员满足这些要求。

对审核员安全审查的过程应形成文件，并应通过适当方式使申请供应链安全管理体系认证或审核的组织以及其他利益相关组织（适用时）能够获得。

审核员应由其所在认证机构进行安全调查。

安全调查过程应包括以下内容。

7.4.2背景核查

认证机构应对所有人员和承担供应链安全管理体系审核的审核员与技术专家进行犯罪背景的核查。

可行时，这些核查应凭借国家安全核查机构或警方。

否则，认证机构应在最高管理层监督之下，通过内部审查过程进行记录核查和安全调查的审查评价/面试，来核查人员的适宜性和诚实性。

审查过程应包括对候选供应链安全管理体系审核人员所提交证明文件的审查、面试以及对诸如护照、身份卡、工作许可证、驾驶执照和工作介绍信等文件的审查。

实施供应链安全管理体系审核员面试的人员应按本文件7.4.3的过程接受任命和审查。

7.4.3面试

认证机构应建立一个在最高管理层监督之下的分级面试制度。

最高管理层应指定一名经过面试和审查已确认值得信赖且具备必要的能力和判断力的负有责任的管理者，对候选供应链安全管理体系审核员和技术专家进行审查。

该负有责任的管理者应通过审查候选人所提交的证明文件、面试和持续监视来评价候选供应链安全管理体系审核员和技术专家的可信度与适宜的行为特征。

7.4.4工作经历

每位候选供应链安全管理体系审核员应能提供至少五整年的连续工作经历的证据，这些经历应经过当前或以往雇主的证实。

自我聘用的候选供应链安全管理体系审核员应提供其他适当的证明文件，以证明雇用记录具有同等信心和可信度。

7.4.5身份卡（ID卡）

应发给每位供应链安全管理体系审核员一张存有下列信息的身份卡（ID卡）：

——照片；

——姓、名；

——国籍；

——卡号；

——认证机构的名称和徽标；

——防止更改和伪造的标志和特征。

需要时，接受审核的组织应当可以获得供应链安全管理体系审核员的保密承诺。

7.4.6记录

认证机构的程序应包括对违约的供应链安全管理体系审核员实施处理的过程，宜包含调查期间对审核员实施暂停等组织纪律程序。

认证机构应按其认为并证明恰当的期限保存记录。

确定记录保存期限时宜考虑到国家、国际或其它法定要求。

7.4.7审核员责任

宜使审核员明白并做出书面声明，表明其知道违规行为将可能导致纪律处罚、民事责任和刑事诉讼。

7.5　外包

7.5.1　认证机构应说明可以进行外包（即向另一个组织分包，由其代表认证机构提供部分认证服务）的条件。

认证机构应与每个承担外包服务的机构就相关安排（包括资格、保密和利益冲突）签订在法律上具有强制实施力的协议。

这里可包括外包给其他认证机构的情况。

依据合同使用审核员见7.3。

注2：

本文件中，“外包”与“分包”视为同义词。

7.5.2　认证决定不应外包。

7.5.3　认证机构应：

a）对外包给另一机构的所有活动负责；

b）对授予、保持、更新、扩大、缩小、暂停或撤消认证负责；

c）确保外包服务承担机构使用的人员符合认证机构的要求和本文件的适用要求，包括能力、公正性和保密；

d）确保外包服务承担机构使用的人员与拟审核的组织没有可能损害公正性的关系（无论是直接的还是通过任何其他雇主发生的关系）；

e）由特定机构提供外包服务应征得客户的同意；

f）负责处理申诉和投诉。

7.5.4　认证机构应有形成文件的程序，以对认证活动的所有外包服务承担机构进行资格审查和监视，且应保持其审核员资格的记录。

8信息要求

8.1　公开信息

8.1.1　认证机构应保持并在有请求时提供关于其活动及其运作地域的信息。

8.1.2　认证机构向客户或市场提供的信息（包括广告）应准确且不使人产生误解。

8.1.3　认证机构应使授予、暂停或撤消认证的信息可公开获取。

8.1.4　当任何一方提出请求时，认证机构应提供确认某一认证是否有效的途径。

如果信息分散在多个来源（如印刷文件或电子文档，或两者结合），宜通过一个系统（如唯一性编码系统或互联网上的超级链接）来确保可追溯性并避免不同来源之间的歧义。

在特殊情况下，可根据客户的请求（如出于安全原因）对某些信息的公开程度做出限制。

8.2　认证文件

8.2.1　认证机构应以其选择（见8.1.4条注1）的任何方式向获证客户提供认证文件。

8.2.2　认证文件的生效日期不应早于认证决定的日期。

8.2.3　认证文件应标明：

a）获得供应链安全管理体系认证的客户组织的每一场所的名称和可识别的物理位置；

b）授予、扩大或更新认证的日期；

c）与再认证周期相一致的认证有效期；

d）唯一的识别代码；

e）审核获证客户时所用的标准和（或）其他规范性文件，包括版本和（或）修订；

f）与客户供应链安全管理体系内所从事活动相适宜的认证范围，包括服务、过程等，适用时包括每个场所的认证范围；

g）认证机构的名称和（或）认证标志；

在认证机构获得相应授权的情况下，可以带有其它标志（如认可标识）；

然而，认证机构作为证书颁发机构宜保证标志不产生误导和含混不清。

h）认证用标准所要求的任何其他信息；

8.3　获证客户目录

认证机构应以其选择的任何方式保持有效认证的目录，并使其可公开获取。

该目录应至少说明每个获证客户的名称、相关的规范性文件、活动和组织要素的范围和地理位置（国家和城/镇）。

该目录是认证机构的专有资产。

8.4　认证资格的引用和标志的使用

8.4.1　认证机构对其授权获证客户使用的任何标志应有管理政策。

该政策应确保可以从标志追溯到认证机构。

标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧义。

标志不应用于产品或消费者所见的产品包装之上，或以任何其他可解释为表示产品符合性的方式使用。

GB/T27030提供了对使用第三方标志的指南。

8.4.2　认证机构不应允许其标志被用于实验室检测、校准或检查的报告，这里将此类报告视为产品。

8.4.3　认证机构应要求客户组织：

a）在传播媒介（如互联网、文件、宣传册或广告）中引用认证状态时，符合认证机构的要求；

b）不做出或不允许有关于其认证资格的误导性说明；

c）不以或不允许以误导性方式使用认证文件或其任何部分；

d）在其认证被暂停或撤消时，按照认证机构的指令立即停止使用所有引用认证资格的广告材料（见9.6.3和9.6.6）；

e）在认证范围被缩小时，修改所有的广告材料；

f）不允许在引用其供应链安全管理体系认证资格时，暗示认证机构对任何供应链或供应链中任何要素进行了认证；

g）不得暗示认证适用于认证范围以外的活动；

h）在使用认证资格时，不得使认证机构和（或）认证制度声誉受损，失去公众信任。

8.4.4　认证机构应正确地控制其所有权，并采取措施识别和处理认证状态的错误引用或认证标志或审核报告的误导性使用。

此类措施可以包括要求纠正或采取纠正措施、暂停认证、撤消认证、公告违规行为以及必要的法律措施。

8.5　保密

8.5.1　认证机构应具有政策和相关安排，以确保其各个层次（包括代表其活动的委员会、外部机构或个人）对从事认证活动时获得、产生的保密信息予以保密，并通过在法律上具有强制实施力的协议落实上述政策和安排。

8.5.2　认证机构应将其拟对公众公开的信息（如4.5.1与8.3条中定义的）提前告知客户。

所有其他信息均应视为保密信息，客户自己公开的信息除外。

8.5.3　除本文件有要求外，关于特定客户或个人的信息，未经其书面同意，不应向第三方披露。

当法律或法定机构要求认证机构向第三方提供保密信息时，除法律限制或法定机构的要求外，认证机构应将拟提供的信息提前通知有关客户或个人。

8.5.4　从其他来源（如投诉人、监管机构）获得的关于客户的信息应根据认证机构的政策按保密信息处理。

8.5.5　认证机构的人员，包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个人，应对从事认证机构的活动时获得或产生的所有信息予以