发布日期:2023-03-16 17:18 浏览次数:
对于依据管理体系规范和标准(例如ISO 28000)提供供应链安全管理体系审核与认证的机构,本标准给出了原则和要求。
本标准规定了对认证机构及其相关审核员的最低要求,识别了审核和认证客户组织时对保密性的独特要求。
对供应链安全管理体系的要求可能来自多个方面,本标准的制定旨在帮助对符合ISO 28000《供应链安全管理体系规范》和其他供应链安全管理体系国际标准要求的供应链安全管理体系实施认证。
本标准的内容也可用于支持基于其他特定的供应链安全管理体系要求的供应链安全管理体系认证。
本标准:
——对应用ISO28000(或其他特定的供应链安全管理体系要求)的认证机构认可提供了一致的指导;
——明确了适用于依据供应链安全管理体系标准要求(或其他特定的供应链安全管理体系要求)实施供应链安全管理体系审核与认证的规则;
——向客户提供关于其供方获得认证的方式的必要信息和信心。
注1:供应链安全管理体系认证有时也称为“注册”,认证机构有时称为“注册机构”。
注2:认证机构可以是非政府的或政府的(具有或不具有法定权力)。
注3:本标准可作为认可、同行评审或其他审核过程的准则文件。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修订版)适用于本文件。
ISO/IEC 17000:2004 合格评定 词汇和通用原则(Conformity assessment-Vocabulary and general principles)
ISO 19011:2002 管理体系审核指南(Guidelines for quality and/or environmental management systems auditing)
ISO 28000 供应链安全管理体系规范(Specification for security management systems forthe supply chain)
ISO/IEC 17000界定的以及下列术语和定义适用于本文件。
3.1
获证客户 certified client
供应链安全管理体系已获得有资格的第三方认证的组织。
3.2
公正性 impartiality
实际存在的并被认识到的客观性。
注1:客观性意味着利益冲突不存在或已解决,不会对认证机构的后续活动产生不利影响。
注2:其他可用于表示公正性的要素的术语有:客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。
3.3
管理体系咨询和/或相关的风险评估 management system consultancy and/or associated risk as-sessments
参与设计、实施或保持供应链安全管理体系,以及实施风险评估。
示例:
a)筹划或编制手册或程序;
b)对供应链安全管理体系的建立和实施提供具体的建议、指导或解决方案;
c)实施内审;
d)实施风险评估与分析。
注:如果与供应链安全管理体系或审核有关的培训课程仅限于提供可在公共场合自由获取的通用信息,那么组织培训并作为培训者参与培训不被视为咨询,即培训者不针对特定的公司提出解决方案。
4.1 总则
4.1.1 本章所述原则是本标准中后续的特定绩效要求和说明性要求的基础。本标准未就所有可能发生的情况给出特定要求。在出现未预料到的情况时,宜应用这些原则作为决策的指南。这些原则不是要求。
4.1.2 认证的总体目标是使所有相关方相信供应链安全管理体系、过程或产品(包括服务)满足规定要求。认证的价值取决于第三方通过对管理体系、过程或产品(包括服务)进行公正、有能力的评定所建立的公信力的程度。认证的利益相关方包括(但不限于):
a)认证机构的客户;
b)获证客户的顾客;
c)政府部门;
d)非政府组织;
e)消费者和其他公众。
4.1.3 建立信任的原则包括:
a) 公正性;
b)能力;
c)责任;
d)公开性;
e)保密性;
f)对投诉的处理。
4.2 公正性
4.2.1 公正,并被认为公正,是认证机构提供可建立信任的认证的必要条件。
4.2.2 客户支付的认证费用是认证机构的收入来源,也是对公正性的潜在威胁,这一点得到公认。
4.2.3 为获得和保持信任,认证机构必须能够证明其认证决定是基于所获得的符合(或不符合)的客观证据,且不受其他利益或其他各方的影响。
4.2.4 对公正性的威胁包括:
a)自身利益:此类威胁源于个人或机构依其自身利益行事。在认证中,财务方面的自身利益是一种对公正性的威胁。
b)自我评审:此类威胁源于个人或机构评审自己所做的工作。认证机构对由其进行供应链安全管理体系咨询的客户实施供应链安全管理体系审核属于此类威胁,因此不可接受。
c)熟识(或信任):此类威胁源于个人或机构对另外一人过于熟悉或信赖,而不去寻找审核证据。
d)胁迫:此类威胁源于个人或机构察觉受到公然或暗中的强迫,如威胁用他人取而代之或向主管告发。
4.3 能力
认证机构的组织架构所支撑的人员能力是认证提供信任的必要条件。能力是经证实的有效应用适当知识和技能的本领。
4.4 责任
4.4.1 符合认证要求的责任在于客户组织而不是认证机构。
4.4.2 认证机构有责任对足够的客观证据进行评价,并在此基础上做出认证推荐。根据审核推荐,如果符合性的证据充分,认证机构做出授予认证的决定;如果符合性的证据不充分,则不授予认证。
注:审核证据应可以验证。由于审核的时间和资源有限,审核证据基于对可获取信息的抽样,对审核结论的信任程度是与抽样的恰当使用密切相关的。
4.5 公开性
4.5.1 为获得对认证的诚信性与可信性的信任,认证机构需要提供获取有关审核过程、认证过程和所有组织认证状态(即认证的授予、暂停、缩小范围或撤消)的适当、及时信息的公开渠道,或公布这些信息。公开性是指可以获取或公布信息。
4.5.2 为获得或保持对认证的信任,认证机构需向特定利益相关方提供获取特定审核(如为回应投诉而做的审核)结论的非保密信息的适当渠道,或公布这些信息。
4.6 保密性
为了享有获取充分评价与认证要求的符合性所需信息的特权,认证机构需对任何关于组织供应链安全管理体系的敏感信息、专有信息和/或与漏洞相关的信息予以保密。
4.7 对投诉的处理
依赖认证的各方期望投诉得到调查。在投诉经查明有效时,认证机构宜使依赖认证的各方相信,认证机构将对投诉进行适当的处理,并为解决投诉做出适当的努力。
注:为了向认证的所有用户证明认证的诚信性与可信性,需要在公开性和保密性(包括对投诉的处理)等原则之间取得适当的平衡。
5.1 法律与合同事宜
5.1.1 法律责任
认证机构应为一个法律实体,或一个法律实体内有明确界定的一部分,以便认证机构能够对其所有认证活动承担法律责任。政府的认证机构因其政府地位而被视为法律实体。
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
