GB/T 27021-2007
基本信息
标准号: GB/T 27021-2007
中文名称:合格评定 管理体系审核认证机构的要求
标准类别:国家标准(GB)
标准状态:已作废
发布日期:2007-08-02
实施日期:2007-10-01
作废日期:2018-05-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:KB
标准分类号
标准ICS号:社会学、 服务、公司(企业)的组织和管理、行政、运输>>质量>>03.120.20产品认证和机构认证、合格评定
中标分类号:综合>>标准化管理与一般规定>>A00标准化、质量管理
出版信息
出版社:中国标准出版社
书号:155066·1-29922
页数:平装16开 页数:24, 字数:39千字
标准价格:20.0 元
计划单号:20068122-T-469
出版日期:2007-09-01
相关单位信息
首发日期:2007-08-02
起草人:刘晓红、汪修慈、费杨、王梅、周璐、陈华、宋跃炜、方曙华、王孝霞、杨名、张惠才、李国振、陆明、曹纯、穆瑾
起草单位:中国合格评定国家认可中心、国家认证认可监督管理委员会等
归口单位:全国认证认可标准化技术委员会(SAC/TC 261)
提出单位:全国认证认可标准化技术委员会(SAC/TC 261)
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:国家标准化管理委员会
标准简介
本标准包含了所有类型管理体系(如质量管理体系或环境管理体系)审核与认证的能力、一致性和公正性的原则与要求,以及提供上述活动的机构所遵循的原则与要求。按照本标准运作的认证机构不必提供所有类型的管理体系认证。 GB/T 27021-2007 合格评定 管理体系审核认证机构的要求 GB/T27021-2007 标准下载解压密码:www.bzxz.net
本标准包含了所有类型管理体系(如质量管理体系或环境管理体系)审核与认证的能力、一致性和公正性的原则与要求,以及提供上述活动的机构所遵循的原则与要求。按照本标准运作的认证机构不必提供所有类型的管理体系认证。
本标准等同采用ISO/IEC 17021:2006《合格评定——管理体系审核认证机构的要求》
ISO/IEC 17021:2006第一版取消代替ISO/IEC 指南62:1996和ISO/IEC 指南66:1999。这两份指南的内容经技术性修改后已被纳入ISO/IEC 17021。
为了便于使用,本标准对ISO/IEC 17021:2006做了下列编辑性修改:
1)用“获证客户”替代4.1.2b)中“管理体系获得认证的组织”(the organizations whose management systems are certified);
2)用“获证客户”替代6.2.3中“管理体系获得认证的组织”(organizations whose management systems are certified);
3)用“获证客户”替代8.2.3a)中“管理体系获得认证的组织”(client whose management systems is certified);。
本标准的附录A和附录B为资料性附录。
本标准由全国认证认可标准化技术委员会(SAC/TC 261)提出并归口。
本标准起草单位:中国合格评定国家认可中心、国家认证认可监督管理委员会、广东赛宝认证中心服务有限公司、华夏认证中心有限公司、上海持量体系审核中心、方圆标志认证集团有限公司、中国质量认证中心、中国船级社质量认证公司、华信技术检验有限公司
本标准主要起草人:刘晓红、汪修慈、费杨、王梅、周璐、陈华、宋跃炜、方曙华、王孝霞、杨名、张惠才、李国振、陆明、曹纯、穆瑾。
GB/T 19011 质量和(或)环境管理体系审核指南(GB/T 19011-2003,ISO 19011:2002,IDT)
GB/T 27000 合格评定 词汇和通用原则(GB/T 27000-2006,ISO/IEC 17000:2004,IDT)
ISO 9000:2005 质量管理体系——基础和术语
本标准包含了所有类型管理体系(如质量管理体系或环境管理体系)审核与认证的能力、一致性和公正性的原则与要求,以及提供上述活动的机构所遵循的原则与要求。按照本标准运作的认证机构不必提供所有类型的管理体系认证。
本标准等同采用ISO/IEC 17021:2006《合格评定——管理体系审核认证机构的要求》
ISO/IEC 17021:2006第一版取消代替ISO/IEC 指南62:1996和ISO/IEC 指南66:1999。这两份指南的内容经技术性修改后已被纳入ISO/IEC 17021。
为了便于使用,本标准对ISO/IEC 17021:2006做了下列编辑性修改:
1)用“获证客户”替代4.1.2b)中“管理体系获得认证的组织”(the organizations whose management systems are certified);
2)用“获证客户”替代6.2.3中“管理体系获得认证的组织”(organizations whose management systems are certified);
3)用“获证客户”替代8.2.3a)中“管理体系获得认证的组织”(client whose management systems is certified);。
本标准的附录A和附录B为资料性附录。
本标准由全国认证认可标准化技术委员会(SAC/TC 261)提出并归口。
本标准起草单位:中国合格评定国家认可中心、国家认证认可监督管理委员会、广东赛宝认证中心服务有限公司、华夏认证中心有限公司、上海持量体系审核中心、方圆标志认证集团有限公司、中国质量认证中心、中国船级社质量认证公司、华信技术检验有限公司
本标准主要起草人:刘晓红、汪修慈、费杨、王梅、周璐、陈华、宋跃炜、方曙华、王孝霞、杨名、张惠才、李国振、陆明、曹纯、穆瑾。
GB/T 19011 质量和(或)环境管理体系审核指南(GB/T 19011-2003,ISO 19011:2002,IDT)
GB/T 27000 合格评定 词汇和通用原则(GB/T 27000-2006,ISO/IEC 17000:2004,IDT)
ISO 9000:2005 质量管理体系——基础和术语
标准图片预览
标准内容
合格评定
中华人民共和国国家标准
GB/T27021-2007/1S0/IEC17021:2006管理体系审核认证机构的要求bzxZ.net
ConformityassessmentRequirementsforbodiesprovidingauditand certificationof management systems
(ISO/IEC17021:2006,IDT)
2007-08-02发布
2007-10-01实施
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
引言:
2规范性引用文件.
3术语和定义
4原则
4.1总则.
4.2公正性
4.3能力.
4.4责任。
4.5公开性,
4.6保密性
4.7对投诉的回应.
5通用要求
5.1法律与合同事宜.
5.2公正性的管理,
5.3责任和财力.
6结构要求
6.1组织结构和最高管理层
6.2维护公正性的委员会.
7资源要求
7.1管理层和人员的能力.
7.2参与认证活动的人员
7.3外部审核员和外部技术专家的使用7.4人员记录
7.5外包
8信息要求
8.1可公开获取的信息,
8.2认证文件
8.3获证客户目录
8.4认证资格的引用和标志的使用8.5保密
8.6认证机构与其客户间的信息交换9过程要求
9.1通用要求.
9.2初次审核与认证
9.3监督活动,
9.4再认证
9.5特殊审核
9.6暂停、撤销或缩小认证范围
9.7申诉.
9.8投诉
9.9申请组织和客户的记录
10认证机构的管理体系要求.
10.1可选方式
10.2方式—:与GB/T19001
致的管理体系要求
10.3方式二:通用的管理体系要求参考文献
本标准等同采用IS0/IEC17021:2006《合格评定一管理体系审核认证机构的要求》。IS0/IEC17021第一版取消并代替了IS0/IEC指南62:1996和IS0/IEC指南66:1999。这两份指南的内容经技术性修改后已被纳入IS0/IEC17021。为了便于使用,本标准对IS0/TEC17021:2006做了下列编辑性修改:1)用“获证客户”替代4.1.2b)中“管理体系获得认证的组织”(theorganizationswhosemanagementsystemsarecertified);
2)用“获证客户”替代6.2.3)中“管理体系获得认证的组织”(organizationswhosemanagementsystemsarecertified);
3)用“获证客户”替代8.2.3a)中“管理体系获得认证的客户”(clientwhosemanagementsystemiscertified)。
本标准由全国认证认可标准化技术委员会(SAC/TC261)提出并归口。本标准起草单位:中国合格评定国家认可中心、国家认证认可监督管理委员会、广东赛宝认证中心服务有限公司、华夏认证中心有限公司、上海质量体系审核中心、方圆标志认证集团有限公司、中国质量认证中心、中国船级社质量认证公司、华信技术检验有限公司。本标准主要起草人:刘晓红、汪修慈、费杨、王梅、周璐、陈华、宋跃炜、方曙华、王孝霞、杨铭、张惠才、李国振、陆明、曹纯、穆瑾。引言
管理体系认证(如对组织的质量或环境管理体系的认证)是对组织已实施了与其方针一致、用以管理其活动相关方面的体系提供保证的一种方法。本标准规定了对认证机构的要求。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证,以促进国际和国内承认这些机构并接受它们的认证。本文件为促进对管理体系认证的承认提供了基础,这种承认有利于国际贸易。管理体系认证是独立地证明组织的管理体系:a)符合规定要求;
b)能够自始至终实现其声明的方针和目标:c)得到有效实施。
因此,诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。本文件第4章阐述了可信的认证所依据的原则。这些原则有助于读者理解认证的本质属性,并为第5章至第10章做了必要的铺垫。这些原则构成了本文件所有要求的基础,但其本身并不是可供评审的要求。第10章为认证机构通过建立管理体系来保障和证实其始终满足本文件要求提供了两种可供选择的途径。
本文件旨在供实施管理体系审核和认证的机构使用。它对从事质量、环境及其他管理体系审核和认证的机构提出了通用要求。本文件将这类机构称为认证机构。这一用语不妨碍那些有着其他名称、但从事本标准范围内活动的机构使用本标准。认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。1范围
合格评定
管理体系审核认证机构的要求
本标准包含了所有类型管理体系(如质量管理体系或环境管理体系)审核与认证的能力、一致性和公正性的原则与要求,以及提供上述活动的机构所遵循的原则与要求。按照本标准运作的认证机构不必提供所有类型的管理体系认证管理体系认证(本标准中称为“认证”)是一种第三方合格评定活动(见GB/T27000-2006的5.5)。因此,实施这种活动的机构是第三方合格评定机构(本文件中称为“认证机构”)。注1:管理体系认证有时也称为“注册”,认证机构有时称为“注册机构”。注2:认证机构可以是非政府的或政府的(具有或不具有法定权力)。注3:本文件可作为认可、同行评审或其他审核过程的准则文件。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T19011质量和(或)环境管理体系审核指南(GB/T190112003,ISO19011:2002,IDT)1)GB/T27000合格评定词汇和通用原则(GB/T270002006,ISO/IEC17000:2004,IDT)ISO9000:2005质量管理体系一基础和术语3术语和定义
GB/T27000和ISO9000中确立的以及下列术语和定义适用于本标准。3.1
获证客户certifiedclient
管理体系已获认证的组织
公正性impartiality
实际存在的并被认识到的客观性注1:客观性意味着利益冲突不存在或已解决,不会对认证机构的后续活动产生不利影响;注2:其他可用于表示公正性的要素的术语有:客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。3.3
管理体系咨询managementsystemconsultancy参与设计、实施或保持管理体系示例
筹划或编制手册或程序
一对管理体系的建立和实施提供具体的建议、指导或解决方案。注:如果与管理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息,那么组织培训并作为培训者参与培训不被视为咨询,即培训者不宜针对特定的公司提出解决方案。4原则
4.1总则
4.1.1本章所述原则是本标准中后续的特定绩效要求和说明性要求的基础。本标准未就所有可能发生的情况给出特定要求。在出现未预料到的情况时,宜应用这些原则作为决策的指南。这些原则不是要求。
4.1.2认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括(但不限于):a)认证机构的客户;
获证客户的顾客:
政府部门:
d)非政府组织;
消费者和其他公众
4.1.3建立信任的原则包括:
公正性;
能力;
责任;
—公开性:
保密性:
一对投诉的回应。
4.2公正性
4.2.1公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。4.2.2客户支付的认证费用是认证机构的收入来源,也是对公正性的潜在威胁,这一点得到公认。4.2.3认证机构根据其所获得的符合(或不符合)的客观证据做出决定,且不受其他利益或其他各方的影响,对于获得和保持信任是必不可少的。4.2.4对公正性的威胁包括
a)自身利益的威胁:此类威胁源于个人或机构依其自身利益行事。在认证中,财务方面的自身利益是一种对公正性的威胁。
b)自我评审的威胁:此类威胁源于个人或机构评审自已所做的工作。认证机构对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。c)熟识(或信任)的威胁:此类威胁源于个人或机构对另外一人过于熟悉或信赖,而不去寻找审核证据。
d)胁迫的威胁:此类威胁源于个人或机构察觉受到公然或暗中的强迫,如威胁用他人取而代之或向主管告发。
4.3能力
认证机构的管理体系所支撑的人员能力是认证提供信任的必要条件。能力是经证实的应用知识和技能的本领。
4.4责任
4.4.1符合认证要求的责任在于客户组织而不是认证机构。4.4.2认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证决定。根据审核结论,如果符合性的证据充分,认证机构做出授予认证的决定;如果符合性的证据不充分,则不授予认证。注:任何审核都是基于对组织管理体系的抽样,因此并不保证管理体系100%符合要求4.5公开性
4.5.1为获得对认证的诚信性与可信性的信任,认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态(即认证的授予、保持、更新、扩大、缩小、暂停或撤消)的适当、及时信息的公开渠道,或公布这些信息。公开性是获得或公布适当信息的一项原则。4.5.2为获得或保持对认证的信任,认证机构宜向特定利益相关方提供获取特定审核(如为回应投诉而做的审核)结论的非保密信息的适当渠道,或公布这些信息。4.6保密性
为了享有获取充分评价管理体系符合性所需信息的特权,认证机构对任何关于客户的专有信息予以保密是必需的。
4.7对投诉的回应
依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信,在投诉经查明有效时,认证机构将对投诉进行适当的处理,并为解决投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时,对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。注:为了向认证的所有用户证明认证的诚信性与可信性,需要在公开性和保密性(包括对投诉的回应)等原则之间取得适当的平衡。
5通用要求
5.1法律与合同事宜
5.1.1法律责任
认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。5.1.2认证协议
认证机构与客户之间应有在法律上具有强制实施力的提供认证服务的协议。此外,如果认证机构有多个办公场所或客户有多个场所,则应确保授予认证并颁发证书的认证机构与认证范围覆盖的所有场所之间有在法律上具有强制实施力的协议。5.1.3认证决定的责任
认证机构应对与认证有关的决定(包括授予、保持、更新、扩大、缩小、暂停和撤消认证)负责,并应保持做出上述决定的权力。5.2公正性的管理
5.2.1认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明,表明其理解公正性在实施管理体系认证活动中的重要性,对利益冲突加以管理,并确保其管理体系认证活动的客观性。
5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件,包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是,如果任何关系对公正性构成威胁,认证机构应将其如何消除或最大限度减小此类威胁形成文件,并能予以证实。6.2所指的委员会应能获得这方面的信息。所作的证实应包括所有已识别的潜在利益冲突来源,无论其产生于认证机构内部还是其他个人、机构或组织的活动。注:威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处
5.2.3当某种关系对认证机构的公正性构成不可接受的威胁时(如认证机构的全资子公司向其申请认证),认证机构不应提供认证。注:见5.2.2注
5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。注:见5.2.2注。
5.2.5认证机构及同一法律实体的任何其他部分不应提供或推荐管理体系咨询,也不应为管理体系咨询提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。5.2.6认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。如果认证机构对某个管理体系提供了内部审核,则不应在内部审核结束后两年内对该管理体系进行认证。本条款同样适用于政府中被识别为认证机构的那一部分。注:见5.2.2注。
5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁,而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核,则认证机构不应对该管理体系进行认证。注1:在管理体系咨询结束后经过至少两年时间,是将对公正性威胁降至可接受水平的一种方式。注2:见5.2.2注
5.2.8认证机构不应将审核外包给管理体系咨询机构,因为这一做法将对认证机构的公正性构成不可接受的威胁(见7.5)。本条款不适用于7.3所述的作为签约审核员的个人。5.2.9认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价,则该认证机构应采取措施纠正这种不当表述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。5.2.10为确保没有利益冲突,参与了对客户管理体系咨询的人员(包括管理人员),在咨询结束后两年内,不应被认证机构用于针对该客户的审核或其他认证活动。5.2.11认证机构应采取措施,以应对其他人员、机构或组织的行为对其公正性产生的威胁。5.2.12认证机构所有可以影响认证活动的人员(内部或外部的)或委员会应公正行事,且不应允许商业、财务或其他方面的压力损害公正性。5.2.13认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁,且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。5.3责任和财力
5.3.1认证机构应能证明已对认证活动引发的风险进行了评估,并对各个活动领域和运作地域的业务引发的责任作了充分的安排(如保险或储备金)。5.3.2认证机构应评估其财务状况和收入来源,并向6.2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。6结构要求
6.1组织结构和最高管理层
6.1.1认证机构应将其组织结构形成文件,并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内有明确界定的一部分时,该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。6.1.2认证机构应确定对下列各项具有全部权力和责任的最高管理层(委员会、小组或个人):a)与认证机构运作有关的政策的制定;b)i
政策和程序实施的监督;
认证机构财务的监督:
管理体系认证服务和认证方案的开发:e)
审核与认证的实施和对投诉的回应:f)
认证决定;
在需要时,授权委员会或个人代表最高管理层开展规定的活动:h)
合同安排;
1)为认证活动提供充分的资源。6.1.3认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。6.2维护公正性的委员会
6.2.1认证机构的结构应维护认证机构活动的公正性,并具有一个进行下列活动的委员会:a)
协助制定与认证活动公正性有关的政策;b)
阻止认证机构有任何倾向使商业因素或其他因素妨碍其一致地提供客观的认证活动;对影响认证可信度的事宜(包括公开性和公众认识)提出建议:c)
d)至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。该委员会也可被委以其他任务或职责,但这些附加的任务或职责不得削弱其确保公正性的基本作用。
6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件,并由认证机构最高管理层批准,以确保:
a)各方利益均衡,以使任一利益方不处于支配地位(认证机构的内部或外部人员视为一个利益方:且不应居支配地位);
b)获取所有必要的信息,使其能够履行自已的职能(见5.2.2和5.3.2);)如果认证机构最高管理层不尊重委员会的建议,委员会应有权采取独立措施(如报告主管部门认可机构或利益相关方)。采取独立措施时,委员会应尊重8.5中与客户和认证机构相关的保密要求。
6.2.3虽然该委员会不能代表所有利益方,但是认证机构宜识别和邀请关键利益方。这些利益方可能包括:认证机构的客户,获证客户的顾客,行业协会代表,政府监管机构或其他政府部门的代表,或非政府组织(包括消费者组织)的代表。7资源要求
7.1管理层和人员的能力
7.1.1认证机构应有过程来确保其人员对其运作涉及的管理体系类型和地域有适宜的相关知识。认证机构应确定与特定认证方案相关的每个技术领域所需的能力,以及认证活动的每项职能所需的能力。
认证机构应确定在履行特定职能前证实能力的方法。7.1.2认证机构在确定认证实施人员的能力要求时,除了那些直接实施审核与认证活动的人员,还应考虑管理层和行政人员所承担的职能7.1.3认证机构应有获取必要的专业知识与技能的途径,以在其运作涉及的技术领域、管理体系类型和地域等方面获得与认证直接相关的建议。这些建议可由外部人员或认证机构人员提供。7.2参与认证活动的人员
7.2.1认证机构自身应有具备足够能力对其各种类型与范围的审核方案以及其他认证工作进行管理的人员。
7.2.2认证机构应聘用或有途径获得足够数量的审核员(包括审核组长)和技术专家,以覆盖其所有活动并满足审核工作量的需要。7.2.3认证机构应使所有有关人员清楚自已的任务、责任和权力7.2.4认证机构应有明确的过程来选择、培训、正式任用审核员和选择认证活动使用的技术专家。审核员的初始能力评价应包括对适用的个人素质及在审核中应用所需知识与技能的本领的证实。适用的个人素质及在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中确定。
7.2.5认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。认证机构应在根据GB/T19011相关指南制定的文件要求中明确该过程。7.2.6认证机构应确保审核员(需要时,包括技术专家)充分了解其审核过程、认证要求和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。
7.2.7认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。注:为特定审核组指派审核员和技术专家的要求见9.1.3。7.2.8认证机构应识别培训需求,并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训,以确保他们胜任所从事的工作。7.2.9做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应理解适用的标准和认证要求,并经证实有能力评价审核过程和审核组的推荐意见。7.2.10认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。认证机构应有形成文件的程序和准则,以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机构尤其应根据人员的表现来复核他们的能力,以识别培训需求。7.2.11形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合。认证机构应在根据GB/T19011相关指南制定的文件要求中详细说明该程序。在设计监视方式时,应使正常认证过程所受干扰最小(尤其是从客户角度来看)。7.2.12认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求7.3外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构适用的政策和程序。该协议应含有关于保密及独立于商业和其他利益的条款,并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。注:依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T27021-2007/1S0/IEC17021:2006管理体系审核认证机构的要求bzxZ.net
ConformityassessmentRequirementsforbodiesprovidingauditand certificationof management systems
(ISO/IEC17021:2006,IDT)
2007-08-02发布
2007-10-01实施
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
引言:
2规范性引用文件.
3术语和定义
4原则
4.1总则.
4.2公正性
4.3能力.
4.4责任。
4.5公开性,
4.6保密性
4.7对投诉的回应.
5通用要求
5.1法律与合同事宜.
5.2公正性的管理,
5.3责任和财力.
6结构要求
6.1组织结构和最高管理层
6.2维护公正性的委员会.
7资源要求
7.1管理层和人员的能力.
7.2参与认证活动的人员
7.3外部审核员和外部技术专家的使用7.4人员记录
7.5外包
8信息要求
8.1可公开获取的信息,
8.2认证文件
8.3获证客户目录
8.4认证资格的引用和标志的使用8.5保密
8.6认证机构与其客户间的信息交换9过程要求
9.1通用要求.
9.2初次审核与认证
9.3监督活动,
9.4再认证
9.5特殊审核
9.6暂停、撤销或缩小认证范围
9.7申诉.
9.8投诉
9.9申请组织和客户的记录
10认证机构的管理体系要求.
10.1可选方式
10.2方式—:与GB/T19001
致的管理体系要求
10.3方式二:通用的管理体系要求参考文献
本标准等同采用IS0/IEC17021:2006《合格评定一管理体系审核认证机构的要求》。IS0/IEC17021第一版取消并代替了IS0/IEC指南62:1996和IS0/IEC指南66:1999。这两份指南的内容经技术性修改后已被纳入IS0/IEC17021。为了便于使用,本标准对IS0/TEC17021:2006做了下列编辑性修改:1)用“获证客户”替代4.1.2b)中“管理体系获得认证的组织”(theorganizationswhosemanagementsystemsarecertified);
2)用“获证客户”替代6.2.3)中“管理体系获得认证的组织”(organizationswhosemanagementsystemsarecertified);
3)用“获证客户”替代8.2.3a)中“管理体系获得认证的客户”(clientwhosemanagementsystemiscertified)。
本标准由全国认证认可标准化技术委员会(SAC/TC261)提出并归口。本标准起草单位:中国合格评定国家认可中心、国家认证认可监督管理委员会、广东赛宝认证中心服务有限公司、华夏认证中心有限公司、上海质量体系审核中心、方圆标志认证集团有限公司、中国质量认证中心、中国船级社质量认证公司、华信技术检验有限公司。本标准主要起草人:刘晓红、汪修慈、费杨、王梅、周璐、陈华、宋跃炜、方曙华、王孝霞、杨铭、张惠才、李国振、陆明、曹纯、穆瑾。引言
管理体系认证(如对组织的质量或环境管理体系的认证)是对组织已实施了与其方针一致、用以管理其活动相关方面的体系提供保证的一种方法。本标准规定了对认证机构的要求。贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证,以促进国际和国内承认这些机构并接受它们的认证。本文件为促进对管理体系认证的承认提供了基础,这种承认有利于国际贸易。管理体系认证是独立地证明组织的管理体系:a)符合规定要求;
b)能够自始至终实现其声明的方针和目标:c)得到有效实施。
因此,诸如管理体系认证的合格评定活动为组织、组织的顾客及利益相关方提供了价值。本文件第4章阐述了可信的认证所依据的原则。这些原则有助于读者理解认证的本质属性,并为第5章至第10章做了必要的铺垫。这些原则构成了本文件所有要求的基础,但其本身并不是可供评审的要求。第10章为认证机构通过建立管理体系来保障和证实其始终满足本文件要求提供了两种可供选择的途径。
本文件旨在供实施管理体系审核和认证的机构使用。它对从事质量、环境及其他管理体系审核和认证的机构提出了通用要求。本文件将这类机构称为认证机构。这一用语不妨碍那些有着其他名称、但从事本标准范围内活动的机构使用本标准。认证活动包括对组织的管理体系的审核。认证机构通常以认证文件或证书的形式证明组织的管理体系符合特定的管理体系标准或其他规范性要求。1范围
合格评定
管理体系审核认证机构的要求
本标准包含了所有类型管理体系(如质量管理体系或环境管理体系)审核与认证的能力、一致性和公正性的原则与要求,以及提供上述活动的机构所遵循的原则与要求。按照本标准运作的认证机构不必提供所有类型的管理体系认证管理体系认证(本标准中称为“认证”)是一种第三方合格评定活动(见GB/T27000-2006的5.5)。因此,实施这种活动的机构是第三方合格评定机构(本文件中称为“认证机构”)。注1:管理体系认证有时也称为“注册”,认证机构有时称为“注册机构”。注2:认证机构可以是非政府的或政府的(具有或不具有法定权力)。注3:本文件可作为认可、同行评审或其他审核过程的准则文件。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T19011质量和(或)环境管理体系审核指南(GB/T190112003,ISO19011:2002,IDT)1)GB/T27000合格评定词汇和通用原则(GB/T270002006,ISO/IEC17000:2004,IDT)ISO9000:2005质量管理体系一基础和术语3术语和定义
GB/T27000和ISO9000中确立的以及下列术语和定义适用于本标准。3.1
获证客户certifiedclient
管理体系已获认证的组织
公正性impartiality
实际存在的并被认识到的客观性注1:客观性意味着利益冲突不存在或已解决,不会对认证机构的后续活动产生不利影响;注2:其他可用于表示公正性的要素的术语有:客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。3.3
管理体系咨询managementsystemconsultancy参与设计、实施或保持管理体系示例
筹划或编制手册或程序
一对管理体系的建立和实施提供具体的建议、指导或解决方案。注:如果与管理体系和审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息,那么组织培训并作为培训者参与培训不被视为咨询,即培训者不宜针对特定的公司提出解决方案。4原则
4.1总则
4.1.1本章所述原则是本标准中后续的特定绩效要求和说明性要求的基础。本标准未就所有可能发生的情况给出特定要求。在出现未预料到的情况时,宜应用这些原则作为决策的指南。这些原则不是要求。
4.1.2认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括(但不限于):a)认证机构的客户;
获证客户的顾客:
政府部门:
d)非政府组织;
消费者和其他公众
4.1.3建立信任的原则包括:
公正性;
能力;
责任;
—公开性:
保密性:
一对投诉的回应。
4.2公正性
4.2.1公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。4.2.2客户支付的认证费用是认证机构的收入来源,也是对公正性的潜在威胁,这一点得到公认。4.2.3认证机构根据其所获得的符合(或不符合)的客观证据做出决定,且不受其他利益或其他各方的影响,对于获得和保持信任是必不可少的。4.2.4对公正性的威胁包括
a)自身利益的威胁:此类威胁源于个人或机构依其自身利益行事。在认证中,财务方面的自身利益是一种对公正性的威胁。
b)自我评审的威胁:此类威胁源于个人或机构评审自已所做的工作。认证机构对由其进行管理体系咨询的客户实施管理体系审核属于此类威胁。c)熟识(或信任)的威胁:此类威胁源于个人或机构对另外一人过于熟悉或信赖,而不去寻找审核证据。
d)胁迫的威胁:此类威胁源于个人或机构察觉受到公然或暗中的强迫,如威胁用他人取而代之或向主管告发。
4.3能力
认证机构的管理体系所支撑的人员能力是认证提供信任的必要条件。能力是经证实的应用知识和技能的本领。
4.4责任
4.4.1符合认证要求的责任在于客户组织而不是认证机构。4.4.2认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证决定。根据审核结论,如果符合性的证据充分,认证机构做出授予认证的决定;如果符合性的证据不充分,则不授予认证。注:任何审核都是基于对组织管理体系的抽样,因此并不保证管理体系100%符合要求4.5公开性
4.5.1为获得对认证的诚信性与可信性的信任,认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态(即认证的授予、保持、更新、扩大、缩小、暂停或撤消)的适当、及时信息的公开渠道,或公布这些信息。公开性是获得或公布适当信息的一项原则。4.5.2为获得或保持对认证的信任,认证机构宜向特定利益相关方提供获取特定审核(如为回应投诉而做的审核)结论的非保密信息的适当渠道,或公布这些信息。4.6保密性
为了享有获取充分评价管理体系符合性所需信息的特权,认证机构对任何关于客户的专有信息予以保密是必需的。
4.7对投诉的回应
依赖认证的各方期望投诉得到调查。认证机构应当使依赖认证的各方相信,在投诉经查明有效时,认证机构将对投诉进行适当的处理,并为解决投诉做出适当的努力。当投诉表明出现错误、疏忽或不合理行为时,对投诉做出有效回应是保护认证机构及其客户和其他认证使用方的重要手段。对投诉进行适当处理将维护对认证活动的信任。注:为了向认证的所有用户证明认证的诚信性与可信性,需要在公开性和保密性(包括对投诉的回应)等原则之间取得适当的平衡。
5通用要求
5.1法律与合同事宜
5.1.1法律责任
认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。5.1.2认证协议
认证机构与客户之间应有在法律上具有强制实施力的提供认证服务的协议。此外,如果认证机构有多个办公场所或客户有多个场所,则应确保授予认证并颁发证书的认证机构与认证范围覆盖的所有场所之间有在法律上具有强制实施力的协议。5.1.3认证决定的责任
认证机构应对与认证有关的决定(包括授予、保持、更新、扩大、缩小、暂停和撤消认证)负责,并应保持做出上述决定的权力。5.2公正性的管理
5.2.1认证机构最高管理层应对管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明,表明其理解公正性在实施管理体系认证活动中的重要性,对利益冲突加以管理,并确保其管理体系认证活动的客观性。
5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件,包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是,如果任何关系对公正性构成威胁,认证机构应将其如何消除或最大限度减小此类威胁形成文件,并能予以证实。6.2所指的委员会应能获得这方面的信息。所作的证实应包括所有已识别的潜在利益冲突来源,无论其产生于认证机构内部还是其他个人、机构或组织的活动。注:威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处
5.2.3当某种关系对认证机构的公正性构成不可接受的威胁时(如认证机构的全资子公司向其申请认证),认证机构不应提供认证。注:见5.2.2注
5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。注:见5.2.2注。
5.2.5认证机构及同一法律实体的任何其他部分不应提供或推荐管理体系咨询,也不应为管理体系咨询提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。5.2.6认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。如果认证机构对某个管理体系提供了内部审核,则不应在内部审核结束后两年内对该管理体系进行认证。本条款同样适用于政府中被识别为认证机构的那一部分。注:见5.2.2注。
5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁,而客户的管理体系接受了该咨询机构的管理体系咨询或内部审核,则认证机构不应对该管理体系进行认证。注1:在管理体系咨询结束后经过至少两年时间,是将对公正性威胁降至可接受水平的一种方式。注2:见5.2.2注
5.2.8认证机构不应将审核外包给管理体系咨询机构,因为这一做法将对认证机构的公正性构成不可接受的威胁(见7.5)。本条款不适用于7.3所述的作为签约审核员的个人。5.2.9认证机构活动的营销或报价不应与管理体系咨询机构的活动有联系。如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价,则该认证机构应采取措施纠正这种不当表述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。5.2.10为确保没有利益冲突,参与了对客户管理体系咨询的人员(包括管理人员),在咨询结束后两年内,不应被认证机构用于针对该客户的审核或其他认证活动。5.2.11认证机构应采取措施,以应对其他人员、机构或组织的行为对其公正性产生的威胁。5.2.12认证机构所有可以影响认证活动的人员(内部或外部的)或委员会应公正行事,且不应允许商业、财务或其他方面的压力损害公正性。5.2.13认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁,且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。5.3责任和财力
5.3.1认证机构应能证明已对认证活动引发的风险进行了评估,并对各个活动领域和运作地域的业务引发的责任作了充分的安排(如保险或储备金)。5.3.2认证机构应评估其财务状况和收入来源,并向6.2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。6结构要求
6.1组织结构和最高管理层
6.1.1认证机构应将其组织结构形成文件,并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内有明确界定的一部分时,该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。6.1.2认证机构应确定对下列各项具有全部权力和责任的最高管理层(委员会、小组或个人):a)与认证机构运作有关的政策的制定;b)i
政策和程序实施的监督;
认证机构财务的监督:
管理体系认证服务和认证方案的开发:e)
审核与认证的实施和对投诉的回应:f)
认证决定;
在需要时,授权委员会或个人代表最高管理层开展规定的活动:h)
合同安排;
1)为认证活动提供充分的资源。6.1.3认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。6.2维护公正性的委员会
6.2.1认证机构的结构应维护认证机构活动的公正性,并具有一个进行下列活动的委员会:a)
协助制定与认证活动公正性有关的政策;b)
阻止认证机构有任何倾向使商业因素或其他因素妨碍其一致地提供客观的认证活动;对影响认证可信度的事宜(包括公开性和公众认识)提出建议:c)
d)至少每年对认证机构审核、认证和决定过程的公正性进行一次审查。该委员会也可被委以其他任务或职责,但这些附加的任务或职责不得削弱其确保公正性的基本作用。
6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件,并由认证机构最高管理层批准,以确保:
a)各方利益均衡,以使任一利益方不处于支配地位(认证机构的内部或外部人员视为一个利益方:且不应居支配地位);
b)获取所有必要的信息,使其能够履行自已的职能(见5.2.2和5.3.2);)如果认证机构最高管理层不尊重委员会的建议,委员会应有权采取独立措施(如报告主管部门认可机构或利益相关方)。采取独立措施时,委员会应尊重8.5中与客户和认证机构相关的保密要求。
6.2.3虽然该委员会不能代表所有利益方,但是认证机构宜识别和邀请关键利益方。这些利益方可能包括:认证机构的客户,获证客户的顾客,行业协会代表,政府监管机构或其他政府部门的代表,或非政府组织(包括消费者组织)的代表。7资源要求
7.1管理层和人员的能力
7.1.1认证机构应有过程来确保其人员对其运作涉及的管理体系类型和地域有适宜的相关知识。认证机构应确定与特定认证方案相关的每个技术领域所需的能力,以及认证活动的每项职能所需的能力。
认证机构应确定在履行特定职能前证实能力的方法。7.1.2认证机构在确定认证实施人员的能力要求时,除了那些直接实施审核与认证活动的人员,还应考虑管理层和行政人员所承担的职能7.1.3认证机构应有获取必要的专业知识与技能的途径,以在其运作涉及的技术领域、管理体系类型和地域等方面获得与认证直接相关的建议。这些建议可由外部人员或认证机构人员提供。7.2参与认证活动的人员
7.2.1认证机构自身应有具备足够能力对其各种类型与范围的审核方案以及其他认证工作进行管理的人员。
7.2.2认证机构应聘用或有途径获得足够数量的审核员(包括审核组长)和技术专家,以覆盖其所有活动并满足审核工作量的需要。7.2.3认证机构应使所有有关人员清楚自已的任务、责任和权力7.2.4认证机构应有明确的过程来选择、培训、正式任用审核员和选择认证活动使用的技术专家。审核员的初始能力评价应包括对适用的个人素质及在审核中应用所需知识与技能的本领的证实。适用的个人素质及在审核中应用所需知识与技能的本领应由有能力的评价者在对审核员审核的见证中确定。
7.2.5认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的知识与技能。认证机构应在根据GB/T19011相关指南制定的文件要求中明确该过程。7.2.6认证机构应确保审核员(需要时,包括技术专家)充分了解其审核过程、认证要求和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。
7.2.7认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。注:为特定审核组指派审核员和技术专家的要求见9.1.3。7.2.8认证机构应识别培训需求,并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训,以确保他们胜任所从事的工作。7.2.9做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应理解适用的标准和认证要求,并经证实有能力评价审核过程和审核组的推荐意见。7.2.10认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。认证机构应有形成文件的程序和准则,以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机构尤其应根据人员的表现来复核他们的能力,以识别培训需求。7.2.11形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合。认证机构应在根据GB/T19011相关指南制定的文件要求中详细说明该程序。在设计监视方式时,应使正常认证过程所受干扰最小(尤其是从客户角度来看)。7.2.12认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求7.3外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构适用的政策和程序。该协议应含有关于保密及独立于商业和其他利益的条款,并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。注:依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。