对于依据管理体系规范和标准（例如ISO 28000）提供供应链安全管理体系审核与认证的机构，本标准给出了原则和要求。本标准规定了对认证机构及其相关审核员的最低要求，识别了审核和认证客户组织时对保密性的独特要求。 对供应链安全管理体系的要求可能来自多个方面，本标准的制定旨在帮助对符合ISO 28000《供应链安全管理体系规范》和其他供应链安全管理体系国际标准要求的供应链安全管理体系实施认证。本标准的内容也可用于支持基于其他特定的供应链安全管理体系要求的供应链安全管理体系认证。

ICS03.100.01
中华人民共和国国家标准
GB/T38701-2020/IS028003:2007供应链安全管理体系
对供应链
安全管理体系审核认证机构的要求Security management systems for the supply chainRequirements for bodiesproviding audit and certification of supply chain security management systems(ISO 28003:2007,IDT)
2020-03-31发布
国家市场监督管理总局
国家标准化管理委员会
2020-09-01实施
1范围
38701-2020/ISO28003:2007
2规范性引用文件
3术语和定义
4认证机构的原则
通用要求
6结构要求
7资源要求.
信息要求
9过程要求
10认证机构的管理体系要求
附录A（资料性附录)对审核时间确定过程的导则附录B（规范性附录)多场所组织的审核准则次
附录C（规范性附录）审核员的教育、工作和审核经历及培训时间附录D（规范性附录）审核员能力要求参考文献
本标准按照GB/T1.1-2009
给出的规则起草。
38701-2020/SO
28003:2007
本标准使用翻译法等同采用ISO28003:2007《供应链安全管理体系对供应链安全管理体系审核认证机构的要求》
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下：27000—2006合格评定词汇和通用原则(ISO/IECGB/T
19011-2003管理体系审核指南(ISO17000:2004,IDT)
19011:2002,ID)
本标准由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口。本标准起草单位：中国标准化研究院、中国合格评定国家认可中心、中国网络安全审查技术与认证中心、中国质量认证中心、江苏辉源供应链管理有限公司、国网山东省电力公司、方圆标志认证集团有限公司、福建你他共创网络科技有限公司、中国认证认可协会、江苏省质量和标准化研究院、北京城市系统工程研究中心。
本标准主要起草人：秦挺鑫、延静清、魏军、潘英、白元龙、孙世军、宋跃炜、叶耀华、王晶晶、翟季青、王延维、崔伟、王皖、韦晓晴、吴康宁、任青钱、张剑、孙兵、李正祥、曾繁仰、陈伟、汪勇。1
GB/T38701-2020/ISO
28003:2007
本标准供实施供应链安全管理体系审核与认证的机构使用。供应链安全管理体系认证是第三方合格评定活动（见ISO/IEC
17000:2004中5.5)，实施这种活动的机构是第三方合格评定结构，在本标准中称这类机构为“认证机构”，这一用语不碍那些具有其他名称但从事本标准范围内活动的机构使用本标准。实际上，本标准适用手任何参与供应链安全管理体系评定的机构供应链安全管理体系认证是对组织已实施了与其方针一致的供应链安全管理体系提供保证的一种方法。
供应链安全管理体系认证将由经承认的机构【例如国际认可论坛（IAF）的成员】认可的认证机构来实施。
本标准规定了对认证机构的要求。遵守这些要求旨在确保认证机构以有能力、一致和可信赖的方式实施供应链安全管理体系认证，以促进国际和国内承认这些机构并接受它们的认证。本标准作为促进供应链安全管理体系认证得到承认的基础，有助于国际贸易。供应链安全管理体系认证独立地验证组织的供应链安全管理体系：符合规定要求：
b）能够自始至终实现其声明的方针和目标；并c）得到有效实施。
因此，供应链安全管理体系认证为组织、组织的顾客及利益相关方提供价值。本标准旨在作为承认认证机构提供供应链安全管理体系认证的能力的依据。本标准可作为承认认证机构提供供应链安全管理体系认证的能力的依据（承认的形式可包括通告、同行评审、监管部门或产业联盟的直接承认）。
认证活动包括对组织的供应链安全管理体系的审核。当一个组织的供应链安全管理体系符合某一特定标准（例如ISO28000)或其他规定要求时，这种符合性通常是以认证文件或认证证书的形式来证明的。
建立自身的供应链安全管理体系（包括ISO28000供应链安全管理体系、其他特定的供应链安全管理体系要求、质量体系、环境管理体系或职业健康与安全管理体系与供应链安全管理体系的整合）由拟认证的组织完成。除相关法律有相反要求之外，由组织决定如何安排这些体系的构成。管理体系各部分间的整合程度因组织而异。因此，在更广泛的组织中整合供应链安全管理体系时，依据本标准运作的认证机构考虑其客户的文化和习惯是适当的。1范围
GB/T38701—2020/ISO28003:2007供应链安全管理体系对供应链
安全管理体系审核认证机构的要求对于依据管理体系规范和标准（例如ISO28000）提供供应链安全管理体系审核与认证的机构，本标准给出了原则和要求。本标准规定了对认证机构及其相关审核员的最低要求，识别了审核和认证客户组织时对保密性的独特要求。对供应链安全管理体系的要求可能来自多个方面，本标准的制定旨在帮助对符合ISO28000《供应链安全管理体系规范》和其他供应链安全管理体系国际标准要求的供应链安全管理体系实施认证。本标准的内容也可用于支持基于其他特定的供应链安全管理体系要求的供应链安全管理体系认证。本标准：
对应用ISO28000（或其他特定的供应链安全管理体系要求）的认证机构认可提供了一致的指导：
一明确了适用于依据供应链安全管理体系标准要求（或其他特定的供应链安全管理体系要求）实施供应链安全管理体系审核与认证的规则：一向客户提供关于其供方获得认证的方式的必要信息和信心。注1：供应链安全管理体系认证有时也称为“注册”，认证机构有时称为“注册机构”。注2：认证机构可以是非政府的或政府的(具有或不具有法定权力)。注3：本标准可作为认可、同行评审或其他审核过程的准则文件。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修订版）适用于本文件。ISO/IEC17000:2004合格评定词汇和通用原则（Conformitygeneral
principles)
ISO19011:2002
systemsauditing)
assessmentVocabulary
管理体系审核指南(Guidelinesforqualityand/orenvironmentalmanagementISo28ooo供应链安全管理体系规范（Specificationforsecuritymanagementsupplychain)
3术语和定义
ISO/IEC
17000界定的以及下列术语和定义适用于本文件。3.1
获证客户certifiedclient
供应链安全管理体系已获得有资格的第三方认证的组织。3.2
公正性impartiality
实际存在的并被认识到的客观性。sforthe
systems
GB/T38701-2020/ISO28003:2007注1：客观性意味着利益冲突不存在或已解决，不会对认证机构的后续活动产生不利影响。注2：其他可用于表示公正性的要素的术语有：客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。3.3
管理体系咨询和/或相关的风险评估management system consultancy and/or associated risk as-sessments
参与设计、实施或保持供应链安全管理体系，以及实施风险评估。示例：
a）筹划或编制手册或程序：
对供应链安全管理体系的建立和实施提供具体的建议、指导或解决方案c）实施内审：
d)实施风险评估与分析。
注：如果与供应链安全管理体系或审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息，那么组织培训并作为培训者参与培训不被视为咨询，即培训者不针对特定的公司提出解决方案。4认证机构的原则
4.1总则
4.1.1本章所述原则是本标准中后续的特定绩效要求和说明性要求的基础。本标准未就所有可能发生的情况给出特定要求。在出现未预料到的情况时，宜应用这些原则作为决策的指南。这些原则不是要求。
4.1.2认证的总体目标是使所有相关方相信供应链安全管理体系、过程或产品（包括服务）满足规定要求。认证的价值取决于第三方通过对管理体系、过程或产品（包括服务）进行公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括（但不限于）：a)认证机构的客户：
获证客户的顾客；
e)政府部门；
d）非政府组织：
消费者和其他公众。
建立信任的原则包括：
公正性；
能力：
责任；
公开性：
保密性：
对投诉的处理。
4.2公正性
4.2.1公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。4.2.2客户支付的认证费用是认证机构的收入来源，也是对公正性的潜在威胁，这一点得到公认。4.2.3为获得和保持信任，认证机构必须能够证明其认证决定是基于所获得的符合（或不符合）的客观证据，且不受其他利益或其他各方的影响。对公正性的威胁包括：
GB/T38701-2020/ISO
28003:2007
自身利益：此类威胁源于个人或机构依其自身利益行事。在认证中，财务方面的自身利益是一a)
种对公正性的威胁。
自我评审：此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行供应链安全b)
管理体系咨询的客户实施供应链安全管理体系审核属手此类威胁，因此不可接受。熟识（或信任）：此类威胁源于个人或机构对另外一人过于熟悉或信赖，而不去寻找审核证据c
胁迫：此类威胁源于个人或机构察觉受到公然或暗中的强迫，如威胁用他人取而代之或向主管告发。
4.3能力
认证机构的组织架构所支撑的人员能力是认证提供信任的必要条件。能力是经证实的有效应用适当知识和技能的本领。
4.4责任
4.4.1符合认证要求的责任在于客户组织而不是认证机构。4.4.2认证机构有责任对足够的客观证据进行评价，并在此基础上做出认证推荐。根据审核推荐，如果符合性的证据充分，认证机构做出授予认证的决定；如果符合性的证据不充分，则不授子认证。注：审核证据应可以验证。由于审核的时间和资源有限，审核证据基于对可获取信息的抽样。对审核结论的信任程度是与抽样的恰当使用密切相关的。4.5公开性
4.5.1为获得对认证的诚信性与可信性的信任，认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态（即认证的授予、暂停、缩小范围或撤消）的适当、及时信息的公开渠道，或公布这些信息。公开性是指可以获取或公布信息。4.5.2为获得或保持对认证的信任，认证机构需向特定利益相关方提供获取特定审核（如为回应投诉而做的审核)结论的非保密信息的适当渠道，或公布这些信息。4.6保密性
为了享有获取充分评价与认证要求的符合性所需信息的特权，认证机构需对任何关于组织供应错安全管理体系的敏感信息、专有信息和/或与漏洞相关的信息予以保密。4.7对投诉的处理
依赖认证的各方期望投诉得到调查。在投诉经查明有效时，认证机构宜使依赖认证的各方相信，认证机构将对投诉进行适当的处理，并为解决投诉做出适当的努力。注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性（包括对投诉的处理）等原则之间取得适当的平衡。
5通用要求
5.1法律与合同事宜
5.1.1法律责任
认证机构应为一个法律实体，或一个法律实体内有明确界定的一部分，以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体，3
GB/T38701-2020/ISO28003:20075.1.2认证协议
认证机构与客户组织之闻应有在法律上具有强制实施力的提供认证服务的协议。此外，如果认证机构有多个办公场所或获证客户有多个场所，则认证机构应确保授予认证并颁发证书的认证机构与获证客户之间有清晰覆盖客户每一个获认证场所的在法律上具有强制实施力的协议。该协议应清楚说明按照哪些标准和/或其他规范性文件进行认证。5.1.3认证决定的责任
认证机构应对与认证有关的决定（包括授予、保持、更新、扩大、缩小、暂停和撤消认证)负责，并应保持做出上述决定的权力。
5.2公正性的管理
5.2.1认证机构最高管理层应对供应链安全管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明，表明其理解公正性在实施供应链安全管理体系认证活动中的重要性，对利益冲突加以管理，并确保其供应链安全管理体系认证活动的客观性。5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件，包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是，如果任何关系对公正性构成风险，认证机构应将其如何消除或最大限度减小此类风险形成文件，并应能向6.2所指的委员会证实。所做的证实应包括所有已识别的潜在利益冲突来源，无论其产生于认证机构内部还是其他个人、机构或组织的活动。
5.2.3当某种关系对认证机构的公正性产生不可消除的威胁时（如认证机构的全资子公司向其申请认证，认证机构不应提供认证。
5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。5.2.5认证机构及同一法律实体的任何其他部分不应提供供应链安全管理体系咨询和/或相关的风险评估，也不应为供应链安全管理体系咨询和/或风险评估提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。
5.2.6认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。本条款同样适用于政府中被识别为认证机构的那一部分。5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁，而客户接受了该咨询机构的供应链安全管理体系咨询和/或相关的风险评估或内部审核，则认证机构不应对该供应链安全管理体系进行认证。
注1：在供应链安全管理体系咨询和/或相关风险评估或内部审核结束后经过至少两年时间，是将对公正性的威肋降至可接受水平的一种方式。
注2：对5.2.2和5,2,4的注：威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。注3：对5.2.6和5.2.7的注：由审核员提出解决方案（针对已识别的不符合或改进机会)的内部审核被视为对公正性有不可接受的威胁。
5.2.8认证机构不应将审核外包给对认证机构的公正性构成不可接受的威胁的机构（见7.5)。5.2.9认证机构活动的营销不应与提供供应链安全管理体系咨询和/或相关风险评估的机构的活动有联系。如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价，则该认证机构应采取措施纠正这种不当表述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。
5.2.10为确保没有利益冲突，参与了对客户供应链安全管理体系咨询和/或相关风险评估的人员（包4
28003:2007
GB/T38701-2020/ISO
括管理人员），在咨询结束后两年内，不应被雇佣从事针对该客户的审核或认证活动。5.2.11认证机构应采取措施，以应对其他人员、机构或组织的行为对其公正性产生的威胁。5.2.12认证机构所有可以影响认证活动的人员（内部或外部的）或委员会应公正行事，且不应充许商业、财务或其他方面的压力损害公正性。5.2.13认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁，且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员，注：如果已知组织雇佣的审核员提供了供应链安全管理体系咨询和或相关的风险评估，则在咨询结束后的两年内，这个事实将被视为对公正性有高度威胁。5.3责任和财力
5.3.1认证机构应能证明已对认证活动引发的风险进行了评估，并对各个活动领域和运作地域的业务引发的责任作了安排（如保险或储备金）。5.3.2认证机构应评估其财务状况和收入来源，并向6.2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。6结构要求
6.1组织结构和最高管理层
认证机构的组织结构应为其认证提供信任。6.1.1
6.1.2认证机构应确定对下列各项具有全部权力和责任的最高管理层（委员会、小组或个人）：a)
与认证机构运作有关的政策的制定：政策和程序实施的监督；
认证机构财务的监督：
审核与认证的实施和对投诉的回应：认证决定；
在需要时，授权委员会或个人代表最高管理层开展规定的活动；合同安排；
为认证活动提供充分的资源。
6.1.3认证机构应将其组织结构形成文件，并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内有明确界定的一部分时，该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。6.1.4认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。6.2维护公正性的委员会
6.2.1认证机构的结构应维护认证机构活动的公正性，并具有一个进行下列活动的委员会：a)协助制定与认证活动公正性有关的政策；阻止认证机构的所有者有任何倾向使商业或其他因素妨碍其一致地提供客观的认证活动；b
对影响认证可信度的事宜(包括公开性和公众认识)提出建议。c
注：该委员会也可被委以其他任务或职责，但这些附加的任务或职责不宜前弱其确保公正性的基本作用6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件，并由认证机构最高管理层授权，以确保：
a）各方利益均衡，以使任一利益方不处于支配地位（认证机构的内部或外部人员视为一个利益5
GB/T38701-2020/ISO
28003:2007
方，且不宜居支配地位）：
获取所有必要的信息，使其能够履行自已的职能（见5.2.2和5.3.2）：b)
如果认证机构最高管理层不尊重委员会的建议，委员会应有权采取独立措施（如报告主管部门、认可机构或利益相关方）。采取独立措施时，委员会应遵守8.5中与客户和认证机构相关的保密要求。
注：虽然该委员会不能代表所有利益方，但是认证机构宜识别和邀请关键利益方。这些利益方可能包括：认证机构的客户，供应链安全管理体系获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府组织(包括消费者组织)的代表。7资源要求
7.1管理层和人员的能力
7.1.1认证机构应确保参与供应链安全管理体系审核与认证的所有人员有能力胜任其承担的工作认证机构应有过程来确保其人员对其运作涉及的供应链安全管理体系类型和地域有适宜的相关知识、技能和经验。
认证机构应确定与特定认证方案相关的每个技术领域所需的资格和能力，以及认证活动的每项职能所需的资格和能力。
认证机构应确定在履行特定职能前证实能力的方法，应保留确定的记录。7.1.2认证机构在确定认证实施人员的能力要求时，除了那些直接实施审核与认证活动的人员，还应考虑管理层和行政人员所承担的职能。7.1.3认证机构应有获取必要的专业知识与技能的途径，以在其运作涉及的技术领域、供应链安全要素类型和地域等方面获得与认证直接相关的建议。这些建议可由外部人员或认证机构人员提供7.2参与认证活动的人员
7.2.1认证机构自身应有具备足够能力的人员，以对各种类型与范围的审核方案进行管理并实施其他认证工作
7.2.2就接触保密信息而言，认证机构应确保委派实施供应链安全管理体系认证审核的人员和技术专家，在对验证工作期间所获保密信息保守秘密方面能得到信任，并确保他们没有造成安全间题。见7.4。7.2.3委派实施供应链安全管理体系审核的人员至少应具备ISO19011:2002中7.2、7.3.1、7.3.2和7.4阐述的与供应链安全管理和风险分析相关的个人素质、知识、技能和教育经历。7.2.3.1供应链安全管理体系审核员应具备风险分析、关键控制点分析、风险管理方法学和信息保密方面的能力。包括但不限于以下方面：a）理解供应链安全管理标准或规范的要求（如：ISO28000)。理解供应链流程和关键控制点分析，理解供应链相关过程和实务的知识。b)
威胁识别：
理解威胁，如物理的、生物的、化学的、计算机网络的和放射性的威胁。d)
风险评估和分析：
理解风险评估和分析的原理。
风险的最小化、降低与控制：
一理解最小化、降低与管理风险的原理：一安全方法学和技术的知识，尤其是预防措施和技术。f)应急的策划与准备：
一一政府和第一响应者的作用的知识；6www.bzxz.net
一突发事件通报原则的知识：
一突发事件缓解、响应和恢复的知识。GB/T38701-2020/ISO
28003:2007
7.2.3.2每一位供应链安全管理体系审核员还应成功地完成了培训（见附录C或等效的），并能证明在安全方法学、风险分析和管理原理的理解和应用方面是有能力的，同时宜是注册的管理体系审核员。
7.2.3.3每一位供应链安全管理体系审核员应参加与其特定的资格要求相适应的持续培训。认证机构应每年评审针对其审核员的目标培训计划，培训内容包括：安全方法学、风险分析与管理原理、关键控制点分析、审核技巧、特别是7.2.3.1提到的能力要求。培训应：基于对上述学科和能力项进行需求分析的结果而策划：a)
保留培训记录：
包括审核案例分析以评价审核员的能力：有信息支持且审核员宜能获取这些信息，如：适用的管理体系标准应用的解释，常见问题解答，d)
研讨会记录、针对案例的标准的纠正；按照培训要求得到评价，且认证机构应根据培训效果采取适当的措施e
由有资格的培训教师实施。
7.2.3.4供应链安全管理体系审核员应具备至少五年与风险分析和管理相关的经历，或者两年按照最佳行业实践及标准审核的经历。7.2.3.5供应链安全管理体系审核员应保证每年至少五次的相关审核，或者每年至少完成10人日的现场审核：以保持其资格。
7.2.3.6认证机构应能证明每一位审核员在被认为有能力的特定专业类别具有恰当的培训和工作经历，并记录能力（IS019011：2002中5.5c）。7.2.4认证机构应聘用或有途径获得足够数量的审核员（包括审核组长）和技术专家，以覆盖其所有活动并满足审核工作量的需要。
7.2.5认证机构应使所有有关人员清楚自已的任务、责任和权力。7.2.6认证机构应有明确的过程来选择、培训、正式任用和监视审核员以及选择认证活动使用的技术专家。审核员的初始能力评价应包括一次对被评价者现场审核的观察。7.2.7认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的恰当的知识与技能。这一过程应基于ISO19011提供的指南转化为适当的文件要求（特别见ISO19011:2002中的第7章及附录C)。7.2.8供应链安全管理体系审核员应具备适用于所审核的供应链、工业和商业领域的安全知识和经验。
供应链安全管理体系审核员应具有或经过培训获得并证实附录D所描述的能力。7.2.9
7.2.10能力应通过笔试进行验证，考试的及格线设定宜仅使那些证实全面理解模块内容且达到课程自标的人员通过。
7.2.11认证机构应确保审核员（需要时，包括技术专家）熟悉认证活动、认证要求、审核方法和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。
7.2.12认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。注：为特定审核组指派审核员和技术专家的要求见第9章。7.2.13认证机构应识别培训需求，并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训，以使他们获得认证要求和过程的知识。7.2.14做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应具备足够的知识和经验，以评价审核过程和审核组的推荐意见。7
GB/T38701-2020/ISO
28003:2007
7.2.15认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。认证机构应有形成文件的程序和准则，以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机构尤其应根据人员的表现来复核他们的能力，以识别培训需求。7.2.16形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合，井应基于ISO19011提供的指南转化成适当的文件要求。在设计监视方式时，应使正常认证过程所受干扰最小(尤其是从客户角度来看）。
7.2.17认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。7.3外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构明确的适用的政策和程序。该协议应含有关于资格、保密及独立于商业和其他利益的条款，并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。认证机构应确保所有独立的外部审核员和技术专家都经过了安全调查，并且受到认证机构保密协议的约束
注：依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。7.4人员记录
认证机构应保持认证活动涉及每个人的最新记录，包括相关的资格、培训、经历、隶属关系、专业状况和能力。
7.4.1安全调查
认证机构应建立对候选供应链安全管理体系审核员进行安全审查的过程并形成文件。认可机构也应确保其评审员满足这些要求。对审核员安全审查的过程应形成文件，并应通过适当方式使申请供应链安全管理体系认证或审核的组织以及其他利益相关组织（适用时）能够获得。审核员应由其所在认证机构进行安全调查。安全调查过程应包括以下内容。7.4.2背景核查
认证机构应对所有人员和承担供应链安全管理体系审核的审核员与技术专家进行犯罪背景的核查。可行时，这些核查应凭借国家安全核查机构或警方。否则，认证机构应在最高管理层监督之下，通过内部审查过程进行记录核查和安全调查的审查评价/面试，来核查人员的适宜性和诚实性。审查过程应包括对候选供应链安全管理体系审核人员所提交证明文件的审查、面试以及对诸如护照、身份卡、工作许可证、驾驶执照和工作介绍信等文件的审查。实施供应链安全管理体系审核员面试的人员应按本标准7，：4.3的过程接受任命和审查。7.4.3面试
认证机构应建立一个在最高管理层监督之下的分级面试制度最高管理层应指定一名经过面试和审查已确认值得信赖且具备必要的能力和判断力的负有责任的管理者，对候选供应链安全管理体系审核员和技术专家进行审查。该负有责任的管理者应通过审套候选人所提交的证明文件、面试和持续监视来评价候选供应链安全管理体系审核员和技术专家的可信度与适宜的行为特征。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。