CNAS-CC153-2018 供應(yīng)鏈安全管理體系認證機構(gòu)要求

2018年04月01日發(fā)布2018年10月01日實施 3 4 5 5 5 6 6 7 7 7 7 7 8 8 8 8 9 CNAS-CC153:2018 CNAS-CC153:2018在等同采用ISO28003:2007的過程中，本文件將對ISO9001的引用調(diào)整為對GB/T19001的引用、將對ISO19011的引用調(diào)整為對對GB/T19011的引用、將對CNAS-CC153:2018供應(yīng)鏈安全管理體系認證是對組織已實施了與其方針一致的供應(yīng)鏈安全管理體供應(yīng)鏈安全管理體系認證將由經(jīng)承認的機構(gòu)[例如國際認可論壇（IAF）的成員]CNAS-CC153:2018供應(yīng)鏈安全管理體系認證機構(gòu)要求對于依據(jù)管理體系規(guī)范和標準（例如ISO28000）提供供應(yīng)鏈安全管理體系審核對應(yīng)用ISO28000（或其他特定的供應(yīng)鏈安全管理體系要求明確了適用于依據(jù)供應(yīng)鏈安全管理體系標準要求（或注1：供應(yīng)鏈安全管理體系認證有時也稱為“注冊”，認證機構(gòu)有時稱為“注GB/T27000合格評定詞匯和通用原則（GB/T27000—2006,ISO/IEC注1：客觀性意味著利益沖突不存在或已解決，不會對認證機構(gòu)的后續(xù)活動產(chǎn)CNAS-CC153:2018注2：其他可用于表示公正性的要素的術(shù)語有：客觀、獨立、無利益沖突、沒注：如果與供應(yīng)鏈安全管理體系或?qū)徍擞嘘P(guān)的培訓課程僅限于提供可在公共場合自由獲取的通用信息，那么組織培訓并作為培訓者參與培訓不被視為咨4.1.1本章所述原則是本文件中后續(xù)的特定績效要求和說明性要求的基礎(chǔ)。本文件4.1.2認證的總體目標是使所有相關(guān)方相信供應(yīng)鏈安全管理體系、過程或產(chǎn)品（包CNAS-CC153:20184.2.2客戶支付的認證費用是認證機構(gòu)的收入來源，也是對公正性的潛在威脅，這4.2.3為獲得和保持信任，認證機構(gòu)必須能夠進行供應(yīng)鏈安全管理體系咨詢的客戶實施供應(yīng)鏈安全管理體系審核屬于此類c）熟識（或信任）：此類威脅源于個人或機構(gòu)對另外一人過于熟悉或信賴，而d）脅迫：此類威脅源于個人或機構(gòu)察覺受到公然或暗中的強迫，如威脅用他人4.4.2認證機構(gòu)有責任對足夠的客觀證據(jù)進行評價，并在此基礎(chǔ)上做出認證推薦。注：審核證據(jù)應(yīng)可以驗證。由于審核的時間和資源有限，審核證據(jù)基于對可4.5.1為獲得對認證的誠信性與可信性的信4.5.2為獲得或保持對認證的信任，認證機CNAS-CC153:2018關(guān)于組織供應(yīng)鏈安全管理體系的敏感信息、專有信息、和/或與漏洞相關(guān)的信息予以注：為了向認證的所有用戶證明認證的誠信性與可信性，需要在公開性和保認證并頒發(fā)證書的認證機構(gòu)與獲證客戶之間有清晰覆蓋客戶每一個獲認證場所的在法律上具有強制實施力的協(xié)議。該協(xié)議應(yīng)清楚說明按照哪些標準和/或其他規(guī)范性文5.2.1認證機構(gòu)最高管理層應(yīng)對供應(yīng)鏈安全管理體系認證活動的公正性5.2.2認證機構(gòu)應(yīng)識別和分析由認證活動引起的利益沖突的可能性并將其形成文件，CNAS-CC153:20185.2.4認證機構(gòu)不應(yīng)對另一認證機構(gòu)的管理體系認證活動5.2.5認證機構(gòu)及同一法律實體的任何其他部分不應(yīng)提供供應(yīng)鏈安全管理體系咨詢5.2.6認證機構(gòu)及其所屬法律實體的任何其他部分不應(yīng)向獲證客戶威脅，而客戶接受了該咨詢機構(gòu)的供應(yīng)鏈安全管理體系咨詢和/或相注1：在供應(yīng)鏈安全管理體系咨詢和/或相關(guān)風險評估或內(nèi)部審核結(jié)束后經(jīng)過至少對5.2.2和5.2.4的注：威脅認證機構(gòu)公正性的關(guān)系可能源自其所有權(quán)、法人對5.2.6和5.2.7的注：由審核員提出解決方案（針對已識別的不符合或改進5.2.8認證機構(gòu)不應(yīng)將審核外包給對認證機構(gòu)的公正性構(gòu)成不可接受的威脅的機構(gòu)5.2.9認證機構(gòu)活動的營銷不應(yīng)與提供供應(yīng)鏈安全管理體系咨詢和/或相關(guān)風險評估5.2.11認證機構(gòu)應(yīng)采取措施，以應(yīng)對其他人員、機構(gòu)或組織5.2.12認證機構(gòu)所有可以影響認證活動的人員（內(nèi)部或外部5.2.13認證機構(gòu)應(yīng)要求內(nèi)部和外部的人員告知他們所了解的任何可能使其或認證5.3.1認證機構(gòu)應(yīng)能證明已對認證活動引發(fā)的風險進行了評估，并對各個活動領(lǐng)域5.3.2認證機構(gòu)應(yīng)評估其財務(wù)狀況和收入來源，并向6.2所指的委員會證明其公正6.1.2認證機構(gòu)應(yīng)確定對下列各項具有全部權(quán)力和責任的最高管理層（委員會、小6.1.3認證機構(gòu)應(yīng)將其組織結(jié)構(gòu)形成文件，并明確管理層和其他認證人員及各委員件應(yīng)說明認證機構(gòu)與該法律實體間的權(quán)力關(guān)系以及與同一法6.1.4認證機構(gòu)應(yīng)有關(guān)于任何參與認證活動的委員會的任命、權(quán)限和運行的正式規(guī)6.2.1認證機構(gòu)的結(jié)構(gòu)應(yīng)維護認證機構(gòu)活動的公正性，并具有一個進行下列活動的a）各方利益均衡，以使任一利益方不處于支配地位（認證機構(gòu)的內(nèi)部或外部人）；c）如果認證機構(gòu)最高管理層不尊重委員會的建議，委員會應(yīng)有權(quán)采取獨立措施（如報告主管部門、認可機構(gòu)或利益相關(guān)方）。采取獨立措施時，委員這些利益方可能包括：認證機構(gòu)的客戶，供應(yīng)鏈安全管理體系獲證客戶的顧客，7.1.1認證機構(gòu)應(yīng)確保參與供應(yīng)鏈安全管理體系審核與認證的所有人員有能力勝任認證機構(gòu)應(yīng)有過程來確保其人員對其運作涉及的供應(yīng)鏈安7.1.2認證機構(gòu)在確定認證實施人員的能力要求時，除了那些直接實施審核與認證7.1.3認證機構(gòu)應(yīng)有獲取必要的專業(yè)知識與技能的途徑，以在其運作涉及的技術(shù)領(lǐng)7.2.1認證機構(gòu)自身應(yīng)有具備足夠能力的人員，以對各種類型與范圍的審核方案進7.2.2就接觸保密信息而言，認證機構(gòu)應(yīng)確保委派實施供應(yīng)鏈安全管理體系認證審7.2.3委派實施供應(yīng)鏈安全管理體系審核的人員至少應(yīng)具備ISO19011:2002標準7.2.3.1供應(yīng)鏈安全管理體系審核員應(yīng)具備風險分析、a）理解供應(yīng)鏈安全管理標準或規(guī)范的要求（如：ISb）理解供應(yīng)鏈流程和關(guān)鍵控制點分析、理——突發(fā)事件通報原則的知識；——突發(fā)事件緩解、響應(yīng)和恢復的知識。7.2.3.2每一位供應(yīng)鏈安全管理體系審核員還應(yīng)成功地完成了培訓（見附錄C或等效7.2.3.3每一位供應(yīng)鏈安全管理體系審核員應(yīng)參加與其特定7.2.3.6認證機構(gòu)應(yīng)能證明每一位審核員在被認為有能力的特7.2.4認證機構(gòu)應(yīng)聘用或有途徑獲得足夠數(shù)量的審核員（包括審核組長）和技術(shù)專7.2.5認證機構(gòu)應(yīng)使所有有關(guān)人員清楚自己的任務(wù)、7.2.6認證機構(gòu)應(yīng)有明確的過程來選擇、培訓、正式任用和監(jiān)視審核員以及選擇認7.2.7認證機構(gòu)應(yīng)有實現(xiàn)和證實有效審核的過程。該過程應(yīng)確保所使用的審核員和審核組長具備通用的審核知識與技能以及特定技術(shù)領(lǐng)域?qū)徍怂璧?.2.8供應(yīng)鏈安全管理體系審核員應(yīng)具備適用于所審核的供應(yīng)鏈、工業(yè)和商業(yè)領(lǐng)域7.2.9供應(yīng)鏈安全管理體系審核員應(yīng)具有或經(jīng)過培訓獲得并證實附錄D所描述的能7.2.12認證機構(gòu)應(yīng)僅使用審核員和技術(shù)專家從事已證實他們具備能力的那些認證7.2.13認證機構(gòu)應(yīng)識別培訓需求，并向?qū)徍藛T、技7.2.14做出授予、保持、更新、擴大、縮小、暫停7.2.15認證機構(gòu)應(yīng)確保所有參與審核和認證活動的7.2.17認證機構(gòu)應(yīng)定期對每位審核員的表現(xiàn)進行現(xiàn)認證機構(gòu)應(yīng)要求外部審核員和外部技術(shù)專家通過書面協(xié)議承諾其遵守認證機構(gòu)認證機構(gòu)應(yīng)建立對候選供應(yīng)鏈安全管理體系審核員進認證機構(gòu)應(yīng)對所有人員和承擔供應(yīng)鏈安全管理體系審核的價/面試，來核查人員的適宜性和誠實性。審查過程應(yīng)包括對候選最高管理層應(yīng)指定一名經(jīng)過面試和審查已確認值得每位候選供應(yīng)鏈安全管理體系審核員應(yīng)能提供至少五整年核員應(yīng)提供其他適當?shù)淖C明文件，以證明雇用記錄具有同——防止更改和偽造的標志和特征。7.5.1認證機構(gòu)應(yīng)說明可以進行外包（即向另一個組織分包，由其代表認證機構(gòu)提c）確保外包服務(wù)承擔機構(gòu)使用的人員符合認證機構(gòu)的要求和本文件的適用要求，d）確保外包服務(wù)承擔機構(gòu)使用的人員與擬審核的組織沒有可能損害公正性的關(guān)）；7.5.4認證機構(gòu)應(yīng)有形成文件的程序，以對認證活動的所有外包服務(wù)承擔機構(gòu)進行8.1.1認證機構(gòu)應(yīng)保持并在有請求時提供關(guān)于其活動及其運作地域8.1.2認證機構(gòu)向客戶或市場提供的信息（包括廣告）應(yīng)準確且不使人8.1.3認證機構(gòu)應(yīng)使授予、暫?；虺废J證的信息可公開獲注1：如果信息分散在多個來源（如印刷文件或電子文檔，或兩者結(jié)合），宜通過一個系統(tǒng)（如唯一性編碼系統(tǒng)或互聯(lián)網(wǎng)上的超級鏈接）來確?？勺匪菪宰?：在特殊情況下，可根據(jù)客戶的請求（如出于安全原因）對某些信息的公開8.2.2認證文件的生效日期不應(yīng)早于認證決定a）獲得供應(yīng)鏈安全管理體系認證的客戶組織的每一場所的名稱和可識別的物理f）與客戶供應(yīng)鏈安全管理體系內(nèi)所從事活動相適宜的認證范圍，包括服務(wù)、過）；8.4.1認證機構(gòu)對其授權(quán)獲證客戶使用的任何標志應(yīng)有管理政策。該政策應(yīng)確保可8.4.2認證機構(gòu)不應(yīng)允許其標志被用于實驗室檢測、校準或檢查的報告，這里將此a）在傳播媒介(如互聯(lián)網(wǎng)、文件、宣傳冊或廣告)中引用認證狀態(tài)時，符合認證d）在其認證被暫?；虺废麜r，按照認證機構(gòu)的指令立即停止使用所有引用認證f）不允許在引用其供應(yīng)鏈安全管理體系認證資格時，暗示認證機構(gòu)對任何供應(yīng)h）在使用認證資格時，不得使認證機構(gòu)和（或）認證制度聲譽受損，失去8.4.4認證機構(gòu)應(yīng)正確地控制其所有權(quán)，并采取措施識別和處理認證狀態(tài)的錯誤引8.5.1認證機構(gòu)應(yīng)具有政策和相關(guān)安排，以確保其各個層次（包括代表其活動的委8.5.5認證機構(gòu)的人員，包括代表認證機構(gòu)工作的任何委員會成員、合同方、外部8.5.6認證機構(gòu)應(yīng)能獲得并使用確保保密信息（如文件、記錄）安全處理的設(shè)備/設(shè)8.5.7認證機構(gòu)向其他機構(gòu)（如認可機構(gòu)、建立在同行評審基礎(chǔ)上的協(xié)議集團）公2)為實施審核做出所有必要的安排，包括在初次認證、監(jiān)督、再認證和解）；9.1.3認證機構(gòu)應(yīng)有根據(jù)實現(xiàn)審核目標所需的能力來選擇和任命審核組（包括審核9.1.4認證機構(gòu)應(yīng)有正式的規(guī)定和/或合同條款來確保每個審核組成員以公正的方式9.1.5認證機構(gòu)應(yīng)按照形成文件的程序確定審核時間，用以在認證范圍所包含的場認證機構(gòu)確定的每一個場所/地點的審核時間和確定審核時間的合理性應(yīng)基于附9.1.7對于經(jīng)營多個業(yè)務(wù)場所的組織，即使這些場所的活動實質(zhì)上相同，抽樣也是CNAS-CC153:20189.1.9認證機構(gòu)應(yīng)明確說明審核組的任務(wù)，并告知客戶組織。認證機構(gòu)應(yīng)要求審核a）檢查和驗證客戶組織與供應(yīng)鏈安全管理體系相關(guān)的結(jié)構(gòu)、方針、過程、程序）；c）確定客戶組織有效地建立、實施并保持了過程和程序，以便為建立對客戶組9.1.10認證機構(gòu)應(yīng)向客戶提供審核組每位成員的姓名，并9.1.11認證機構(gòu)應(yīng)提前與客戶組織就審核計劃進行溝通，并商定審CNAS-CC153:2018e）考慮了申請的認證范圍、申請組織經(jīng)營場所的位置和數(shù)量、完成審核需要的還有技術(shù)專家）作為一個整體應(yīng)具備認證機構(gòu)要的能力（包括行業(yè)或監(jiān)管方面的資質(zhì)在確保體系滿足規(guī)定要求方面有足夠信心9.2.2.11在某些情況下，特別是當有關(guān)鍵要求和特殊程序時，審核組的背景知識可認證機構(gòu)應(yīng)確保執(zhí)行本條款的人員受到和審核員一樣的保密性和公正性要求的CNAS-CC153:2018a）評價申請組織的場所和現(xiàn)場的具體情況，并與客戶組織的人員進行討論，以b）審查客戶組織理解和實施標準要求的情況，特別是對供應(yīng)鏈安c）收集并審查關(guān)于客戶組織的供應(yīng)鏈安全管理體系范圍、已完成的風險評估、過程和場所的必要信息，以及相關(guān)的法律法規(guī)）；d）審查第二階段審核所需資源的配置情況，并與客戶組織商定第二階段審核的e）結(jié)合可能的重要因素充分了解客戶的供應(yīng)鏈安全管理體系和現(xiàn)場運作，以便f）評價客戶組織是否策劃和實施了內(nèi)部審核與管理評審，以及供應(yīng)鏈安全管理CNAS-CC153:20189.2.3.2.3審核組應(yīng)進行第二階段審核以收集供應(yīng)鏈安全管理體系符合標準和其他9.2.3.2.4審核組應(yīng)審核足夠數(shù)量的關(guān)于客戶組織供應(yīng)鏈安全管理體系以及對供應(yīng)鏈安全管理體系的實施情況包括有效性進行合理9.2.3.2.6審核組應(yīng)對在第一階段和第二階段審核中收集的所有信息和審核證據(jù)進c）組織的供應(yīng)鏈安全管理體系以及在遵守鍵績效或重要因素的分析以及供應(yīng)鏈安全管理體系的實施程度是否表明可以進行第9.2.4.3第二階段審核報告應(yīng)基于CNAS-CC153:2018f）審核范圍，尤其注明所審核的組織和職能單元或過程、所i）現(xiàn)場審核活動的實施日期和場所，以及上次審核的日期；j）審核發(fā)現(xiàn)：2)關(guān)于風險評估方法實施情況和有效性的最有建設(shè)性/有益的信息的概述和CNAS-CC153:2018b）對于屬于下列情形之一的所有不符合，認證機構(gòu)已經(jīng)審查并接受了滿足）：2)根據(jù)已有的客觀證據(jù)，對客戶組織持續(xù)滿足要求的能力和供應(yīng)鏈安全管c）對于任何其他不符合，認證機構(gòu)已接受了組織計劃采取的糾正和包括防止再9.3.1.2監(jiān)督活動應(yīng)包括對獲證客戶供應(yīng)鏈安全管理體系滿足認證所依據(jù)標準及其）；）；CNAS-CC153:20189.3.3.3在監(jiān)督審核中，當出現(xiàn)不符合或缺乏符合性證），a)對于任何可能導致暫?；虺废J證的不符合或其他情況，認證機構(gòu)有制度要CNAS-CC153:2018c)認證機構(gòu)有能力相稱的人員對監(jiān)督活動進行監(jiān)視（包括對審核員的報告活動9.4.2.5宜考慮近期監(jiān)督審核和獲證客戶內(nèi)部審核的結(jié)果。審核策劃應(yīng)基于CNAS-CC153:2018），b）對于屬于下列情形之一的所有不符合，認證機構(gòu)已經(jīng)審核并接受了符合）：2)根據(jù)已有的客觀證據(jù)發(fā)現(xiàn)，對客戶組織持續(xù)滿足要求的能力和供應(yīng)鏈安c）對于任何其他不符合，認證機構(gòu)已接受了組織計劃采取的糾正和包括防止再b)由于組織缺乏對審核組成員的任命表示反對的機會，認證機構(gòu)應(yīng)在指派審核9.6.1認證機構(gòu)應(yīng)有暫停、撤消或縮小認證范圍的政策和形成文件的程序，并規(guī)定a）客戶的獲證供應(yīng)鏈安全管理體系持續(xù)地或嚴重地不滿足認證要求，包括對供9.6.3在暫停期間，客戶的供應(yīng)鏈安全管理體系認證暫時無效。認證機構(gòu)應(yīng)與其客構(gòu)應(yīng)使認證資格的暫停信息可公開獲?。ㄒ?.CNAS-CC153:20189.6.6認證機構(gòu)應(yīng)與獲證客戶就撤消認證時的要求[見8.4.3d)]做出具有強制實施力9.6.7在任何一方提出請求時，認證機構(gòu)應(yīng)正確說明客戶的供應(yīng)鏈安全管理體系認9.7.1認證機構(gòu)應(yīng)有受理和評價申訴并對之做出決定的形成文9.7.3認證機構(gòu)應(yīng)對申訴處理過程各個層次的所有決定負責。認證機構(gòu)應(yīng)確保參與申訴處理過程的人員沒有實施申訴涉及的審核，也沒有做出申訴涉及的認證決定。a)受理、確認和調(diào)查申訴的過程，以及參考以前類似申訴的結(jié)果，決定采取何9.7.7對申訴的決定應(yīng)由與申訴事項無關(guān)的人員做出或?qū)彶楹团鷾?，并?yīng)告知申訴9.7.8認證機構(gòu)應(yīng)在申訴處理過程結(jié)束時正式通注：有效解決投訴對認證機構(gòu)、客戶、授權(quán)認證機構(gòu)的機構(gòu)和其他認證使用方來說是防止過錯、遺漏或不合理行為的一種重要方法。投訴得到適當處理時，9.8.2認證機構(gòu)在收到投訴時，應(yīng)確認投訴是否與其負責的認證活動有關(guān)，并在經(jīng)CNAS-CC153:20189.8.3對于針對獲證客戶的投訴，認證機構(gòu)還應(yīng)在適當?shù)臅r間將投訴告知該客戶。9.8.4認證機構(gòu)應(yīng)有受理和評價投訴并對之做出決定的形成文件的過程。該過程涉9.8.7在可能時，認證機構(gòu)應(yīng)確認收到了投訴，并應(yīng)向投訴人提供投訴處理的進展9.8.8對投訴的決定應(yīng)由與投訴事項無關(guān)的人員做出或?qū)彶楹团鷾?，并?yīng)告知投訴9.8.9在可能時，認證機構(gòu)應(yīng)在投訴處理過程結(jié)束時正式通9.8.10認證機構(gòu)應(yīng)與客戶及投訴人共同決定是否應(yīng)將投訴9.9.1認證機構(gòu)應(yīng)對所有客戶（包括所有提交申請的組織、接受審核的組織和獲得9.9.3認證機構(gòu)應(yīng)保證客戶記錄的安全，以確保滿足保密要求。運送、傳輸或傳遞9.9.4認證機構(gòu)應(yīng)有關(guān)于記錄保存的形成文件的政策和程序。記錄保存期應(yīng)為當前CNAS-CC153:2018CNAS-CC153:2018g)防止作廢文件的非預期使用，并在因故保留作廢文件時，對其做出適當?shù)腃NAS-CC153:2018CNAS-CC153:2018表A.1根據(jù)組織的雇員數(shù)、復雜程度和/或風險（見注2.8）確定初次審核（第11103330648859比較。關(guān)于輪班對有效雇員數(shù)影響的計算見CNAS-CC153:2018加策劃和/或撰寫報告的時間，也不能成為減少現(xiàn)場審核時間的理由。審核員的路途），2.6實施再認證的總時間基于對前三年認證周期內(nèi)管CNAS-CC153:2018