CNAS-WI13-02-39D0 文件系统符合性检查单(SCSMS).doc
《CNAS-WI13-02-39D0 文件系统符合性检查单(SCSMS).doc》由会员分享,可在线阅读,更多相关《CNAS-WI13-02-39D0 文件系统符合性检查单(SCSMS).doc(61页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、CNAS-WI13-02-39 D0文件系统符合性检查单(SCSMS)受评审方: 地址: 电话: 传真: EMAIL: 评 审 方: 中国合格评定国家认可委员会(CNAS) 评审员: 日 期: 年 月 日CNAS-WI13-02-39 D0说明:1.本检查单依据CNAS-CC153、CNAS-SC153、CNAS-CC12和CNAS-CC14编制,共包括三个部分。2.认证机构在填写检查单第三列时,不仅需填写与CNAS要求所对应认证机构文件的具体条款,还应简要描述为满足认可要求所采取的具体措施。如涉及到手册和程序文件以外的文件,则应将这些文件一并提交。3.评审员应逐项对认证机构文件的符合性进行评
2、价,将发现的认证机构文件存在的问题记入“问题描述”栏,并进一步记录所发现问题的纠正情况,描述最终的文件符合性,且需在本文件首页签字。文件系统符合性检查单(SCSMS)第一部分:CNAS-CC153认可准则条款号检 查 事 项与该认可准则要求相对应的认证机构文件名称及条款(认证机构填写)问题描述(评审员填写)符合性评价(评审员填写)5 通用要求5.1法律与合同事宜5.1.1法律责任认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。5.1.2认证协议认证机构与客户组织之间应有在法律上具有强制实施力
3、的提供认证服务的协议。此外,如果认证机构有多个办公场所或获证客户有多个场所,则认证机构应确保授予认证并颁发证书的认证机构与获证客户之间有清晰覆盖客户每一个获认证场所的在法律上具有强制实施力的协议。该协议应清楚说明按照哪些标准和/或其他规范性文件进行认证。5.1.3认证决定的责任认证机构应对与认证有关的决定(包括授予、保持、更新、扩大、缩小、暂停和撤消认证)负责,并应保持做出上述决定的权力。5.2公正性的管理5.2.1认证机构最高管理层应对供应链安全管理体系认证活动的公正性做出承诺。认证机构应具有可公开获取的声明,表明其理解公正性在实施供应链安全管理体系认证活动中的重要性,对利益冲突加以管理,并
4、确保其供应链安全管理体系认证活动的客观性。5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件,包括认证机构的各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是,如果任何关系对公正性构成风险,认证机构应将其如何消除或最大限度减小此类风险形成文件,并应能向6.2所指的委员会证实。所作的证实应包括所有已识别的潜在利益冲突来源,无论其产生于认证机构内部还是其他个人、机构或组织的活动。5.2.3当某种关系对认证机构的公正性产生不可消除的威胁时(如认证机构的全资子公司向其申请认证),认证机构不应提供认证。5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。5
5、.2.5认证机构及同一法律实体的任何其他部分不应提供供应链安全管理体系咨询和/或相关的风险评估,也不应为供应链安全管理体系咨询和/或风险评估提供报价。本条款同样适用于政府中被识别为认证机构的那一部分。5.2.6认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。本条款同样适用于政府中被识别为认证机构的那一部分。5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁,而客户接受了该咨询机构的供应链安全管理体系咨询和/或相关的风险评估或内部审核,则认证机构不应对该供应链安全管理体系进行认证。注1:在供应链安全管理体系咨询和/或相关风险评估或内部审核结束后经过
6、至少两年时间,是将对公正性的威胁降至可接受水平的一种方式。对5.2.2和5.2.4的注:威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。对5.2.6和5.2.7的注:由审核员提出解决方案(针对已识别的不符合或改进机会)的内部审核被视为对公正性有不可接受的威胁。5.2.8认证机构不应将审核外包给对认证机构的公正性构成不可接受的威胁的机构(见7.5)。5.2.9认证机构活动的营销不应与提供供应链安全管理体系咨询和/或相关风险评估的机构的活动有联系。如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、
7、迅速或廉价,则该认证机构应采取措施纠正这种不当表述。认证机构不应宣称或暗示选择某咨询机构将使认证更为简单、容易、迅速或廉价。5.2.10为确保没有利益冲突,参与了对客户供应链安全管理体系咨询和/或相关风险评估的人员(包括管理人员),在咨询结束后两年内,不应被雇佣从事针对该客户的审核或认证活动。5.2.11认证机构应采取措施,以应对其他人员、机构或组织的行为对其公正性产生的威胁。5.2.12认证机构所有可以影响认证活动的人员(内部或外部的)或委员会应公正行事,且不应允许商业、财务或其他方面的压力损害公正性。5.2.13认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲
8、突的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁,且应在他们能够证明没有利益冲突之后再使用这些内部或外部人员。注:如果已知组织雇佣的审核员提供了供应链安全管理体系咨询和/或相关的风险评估,则在咨询结束后的两年内,这个事实将被视为对公正性有高度威胁。5.3责任和财力5.3.1认证机构应能证明已对认证活动引发的风险进行了评估,并对各个活动领域和运作地域的业务引发的责任作了安排(如保险或储备金)。5.3.2认证机构应评估其财务状况和收入来源,并向6.2所指的委员会证明其公正性始终没有受到商业、财务和其他方面压力的损害。6 结构要求6.1组织结构和最高管理层6.1.1认证机
9、构的组织结构应为其认证提供信任。6.1.2认证机构应确定对下列各项具有全部权力和责任的最高管理层(委员会、小组或个人):a)与认证机构运作有关的政策的制定;b)政策和程序实施的监督;c)认证机构财务的监督;d)审核与认证的实施和对投诉的回应;e)认证决定;f)在需要时,授权委员会或个人代表最高管理层开展规定的活动;g)合同安排;h)为认证活动提供充分的资源。6.1.3认证机构应将其组织结构形成文件,并明确管理层和其他认证人员及各委员会的任务、责任和权力。当认证机构是一个法律实体内有明确界定的一部分时,该文件应说明认证机构与该法律实体间的权力关系以及与同一法律实体内其他部分的关系。6.1.4认证
10、机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则。6.2维护公正性的委员会6.2.1认证机构的结构应维护认证机构活动的公正性,并具有一个进行下列活动的委员会:a)协助制定与认证活动公正性有关的政策;b)阻止认证机构的所有者有任何倾向使商业或其他因素妨碍其一致地提供客观的认证活动;c)对影响认证可信度的事宜(包括公开性和公众认识)提出建议;注:该委员会也可被委以其他任务或职责,但这些附加的任务或职责不宜削弱其确保公正性的基本作用。6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件,并由认证机构最高管理层授权,以确保:a)各方利益均衡,以使任一利益方不处于支
11、配地位(认证机构的内部或外部人员视为一个利益方,且不宜居支配地位);b)获取所有必要的信息,使其能够履行自己的职能(见5.2.2和5.3.2);c)如果认证机构最高管理层不尊重委员会的建议,委员会应有权采取独立措施(如报告主管部门、认可机构或利益相关方)。采取独立措施时,委员会应遵守8.5中与客户和认证机构相关的保密要求。注:虽然该委员会不能代表所有利益方,但是认证机构宜识别和邀请关键利益方。这些利益方可能包括:认证机构的客户,供应链安全管理体系获证客户的顾客,行业协会代表,政府监管机构或其他政府部门的代表,或非政府组织(包括消费者组织)的代表。7资源要求7.1管理层和人员的能力7.1.1 认
12、证机构应确保参与供应链安全管理体系审核与认证的所有人员有能力胜任其承担的工作。认证机构应有过程来确保其人员对其运作涉及的供应链安全管理体系类型和地域有适宜的相关知识、技能和经验。认证机构应确定与特定认证方案相关的每个技术领域所需的资格和能力,以及认证活动的每项职能所需的资格和能力。认证机构应确定在履行特定职能前证实能力的方法,应保留确定的记录。7.1.2 认证机构在确定认证实施人员的能力要求时,除了那些直接实施审核与认证活动的人员,还应考虑管理层和行政人员所承担的职能。7.1.3 认证机构应有获取必要的专业知识与技能的途径,以在其运作涉及的技术领域、供应链安全要素类型和地域等方面获得与认证直接
13、相关的建议。这些建议可由外部人员或认证机构人员提供。7.2参与认证活动的人员7.2.1 认证机构自身应有具备足够能力的人员,以对各种类型与范围的审核方案进行管理并实施其他认证工作。7.2.2 就接触保密信息而言,认证机构应确保委派实施供应链安全管理体系认证审核的人员和技术专家,在对验证工作期间所获保密信息保守秘密方面能得到信任,并确保他们没有造成安全问题。见7.4条款。7.2.3 委派实施供应链安全管理体系审核的人员至少应具备ISO19011:2002标准7.2,7.3.1,7.3.2和7.4条款阐述的与供应链安全管理和风险分析相关的个人素质、知识、技能和教育经历。7.2.3.1 供应链安全管
14、理体系审核员应具备风险分析、关键控制点分析、风险管理方法学和信息保密方面的能力。包括但不限于以下方面:a) 理解供应链安全管理标准或规范的要求(如:ISO28000)。b) 理解供应链流程和关键控制点分析、理解供应链相关过程和实务的知识。 安全方法学和技术的知识,尤其是预防措施和技术。c) 威胁识别: 理解威胁,如物理的、生物的、化学的、计算机网络的和放射性的威胁。d) 风险评估和分析: 理解风险评估和分析的原理。e) 风险的最小化、降低与控制: 理解最小化、降低与管理风险的原理; 安全方法学和技术的知识,尤其是预防措施和技术。f) 应急的策划与准备: 政府和第一响应者的作用的知识; 突发事件
15、通报原则的知识; 突发事件缓解、响应和恢复的知识。7.2.3.2 每一位供应链安全管理体系审核员还应成功地完成了培训(见附录C或等效的),并能证明在安全方法学、风险分析和管理原理的理解和应用方面是有能力的,同时宜是注册的管理体系审核员。7.2.3.3 每一位供应链安全管理体系审核员应参加与其特定的资格要求相适应的持续培训。认证机构应每年评审针对其审核员的目标培训计划,培训内容包括:安全方法学、风险分析与管理原理、关键控制点分析、审核技巧、特别是本文件7.2.3.1条款提到的能力要求。培训应:a) 基于对上述学科和能力项进行需求分析的结果而策划;b) 保留培训记录;c) 包括审核案例分析以评价审
16、核员的能力;d) 有信息支持且审核员宜能获取这些信息,如:适用的管理体系标准应用的解释,常见问题解答,研讨会记录、针对案例的标准的纠正;e) 按照培训要求得到评价,且认证机构应根据培训效果采取适当的措施;f) 由有资格的培训教师实施。7.2.3.4 供应链安全管理体系审核员应具备至少五年与风险分析和管理相关的经历,或者两年按照最佳行业实践及标准审核的经历。7.2.3.5 供应链安全管理体系审核员应保证每年至少五次的相关审核,或者每年至少完成10人日的现场审核,以保持其资格。7.2.3.6 认证机构应能证明每一位审核员在被认为有能力的特定专业类别具有恰当的培训和工作经历,并记录能力(ISO190
17、11:2002 5.5c条款)。7.2.4认证机构应聘用或有途径获得足够数量的审核员(包括审核组长)和技术专家,以覆盖其所有活动并满足审核工作量的需要。7.2.5认证机构应使所有有关人员清楚自己的任务、责任和权力。7.2.6认证机构应有明确的过程来选择、培训、正式任用和监视审核员以及选择认证活动使用的技术专家。审核员的初始能力评价应包括一次对被评价者现场审核的观察。7.2.7认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通用的审核知识与技能以及特定技术领域审核所需的恰当的知识与技能。这一过程应基于ISO19011提供的指南转化为适当的文件要求(特别见ISO190
18、11:2002的条款7及附录C)。7.2.8供应链安全管理体系审核员应具备适用于所审核的供应链、工业和商业领域的安全知识和经验。7.2.9供应链安全管理体系审核员应具有或经过培训获得并证实附录D所描述的能力。7.2.10能力应通过笔试进行验证,考试的及格线设定宜仅使那些证实全面理解模块内容且达到课程目标的人员通过。7.2.11认证机构应确保审核员(需要时,包括技术专家)熟悉认证活动、认证要求、审核方法和其他相关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有效的文件化程序。7.2.12认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。注
19、:为特定审核组指派审核员和技术专家的要求见第9章。7.2.13认证机构应识别培训需求,并向审核员、技术专家和其他参与认证活动的人员提供或使其有机会参加特定的培训,以使他们获得认证要求和过程的知识。7.2.14做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应具备足够的知识和经验,以评价审核过程和审核组的推荐意见。7.2.15认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。认证机构应有形成文件的程序和准则,以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机构尤其应根据人员的表现来复核他们的能力,以识别培训需求。7.2.16形成文件的审核员监视
20、程序应把现场见证、审核报告复核及客户或市场反馈相结合,并应基于ISO19011提供的指南转化成的适当的文件要求。在设计监视方式时,应使正常认证过程所受干扰最小(尤其是从客户角度来看)。7.2.17认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获得的监视信息确定的现场见证需求。求。求。求。7.3外部审核员和外部技术专家的使用认证机构应要求外部审核员和外部技术专家通过书面协议承诺其遵守认证机构明确的适用的政策和程序。该协议应含有关于资格、保密及独立于商业和其他利益的条款,并要求外部审核员和外部技术专家向认证机构说明现在或以前与可能派其审核的组织的关系。认证机构应确保
21、所有独立的外部审核员和技术专家都经过了安全调查,并且受到认证机构保密协议的约束。注:依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。7.4人员记录认证机构应保持认证活动所涉及每个人的最新记录,包括相关的资格、培训、经历、隶属关系、专业状况和能力。7.4.1 安全调查认证机构应建立对候选供应链安全管理体系审核员进行安全审查的过程并形成文件。认可机构也应确保其评审员满足这些要求。对审核员安全审查的过程应形成文件,并应通过适当方式使申请供应链安全管理体系认证或审核的组织以及其他利益相关组织(适用时)能够获得。审核员应由其所在认证机构进行安全调查。安全调查过程应包括以下内容。7.4.2 背
22、景核查认证机构应对所有人员和承担供应链安全管理体系审核的审核员与技术专家进行犯罪背景的核查。可行时,这些核查应凭借国家安全核查机构或警方。否则,认证机构应在最高管理层监督之下,通过内部审查过程进行记录核查和安全调查的审查评价/面试,来核查人员的适宜性和诚实性。审查过程应包括对候选供应链安全管理体系审核人员所提交证明文件的审查、面试以及对诸如护照、身份卡、工作许可证、驾驶执照和工作介绍信等文件的审查。实施供应链安全管理体系审核员面试的人员应按本文件7.4.3的过程接受任命和审查。7.4.3 面试认证机构应建立一个在最高管理层监督之下的分级面试制度。最高管理层应指定一名经过面试和审查已确认值得信赖
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CNAS-WI13-02-39D0 文件系统符合性检查单SCSMS CNAS WI13 02 39 D0 文件系统 符合 检查 SCSMS
限制150内