括根据认证机构之间的承认协议开展的工作。
7.4.6认证机构应将所有不符合告知客户。
7.4.7如果发现了一个或多个不符合,且客户希望继续认证过程,认证机构应提供为验证不符合得到 纠正所需的附加评价任务的有关信息。
7.4.8如果客户同意完成附加的评价任务,则应重复7.4中规定的过程以完成附加的评价任务。
7.4.9复核(见7.5)之前,所有评价活动的结果应形成文件。
注1: 这些文件可以为确定产品要求(包括如认证方案有要求时,对生产产品的质量管理体系的要求)是否得到满足提供意见。
注2: 认证方案可指出评价是由认证机构根据其职责实施,还是在认证申请(见7.2)之前实施的。对于后者,7.4的 要求不适用。
7.5复核
7.5.1认证机构应指派至少一人复核与评价相关的所有信息和结果。复核应由未参与评价过程的人员进行。
7.5.2除非复核和认证决定由相同的人一并作出,否则应将基于复核的认证决定的建议形成文件。
7.6认证决定
7.6.1认证机构应对其认证决定负责并保留认证决定权。
7.6.2认证机构应指派至少一人根据评价、复核以及其他相关的所有信息作出认证决定。认证决定应 由未参与评价过程(见7.4)的一个人或一组人(如委员会,见5.1.4)完成。
注: 复核和认证决定可由同一个人或同一组人一并完成。
7.6.3由认证机构指派做出认证决定的人员(除委员会成员外,见5.1.4)应受雇或受聘于:
认证机构(见6.1);
认证机构(见7.6.4)组织控制下的一个实体。
7.6.4认证机构的组织控制应为下列之一:
认证机构拥有另一实体的全部或大部分所有权;
认证机构在另一个实体的董事会中占多数席位;
在以所有权或董事会控制相关联的一个法律实体网络中(认证机构存在其中),认证机构以文 件形式对另一个实体授权。
注: 对政府的认证机构而言,政府的其他部分可认为与认证机构以所有权形式关联。
7.6.5受雇或受聘于组织控制下实体的人员与受雇或受聘于认证机构的人员一样,应满足本标准的相 同要求。
7.6.6认证机构应将不批准认证的决定通知客户,并应说明该决定的理由。
注: 如果客户表示愿意继续认证过程,认证机构应从7.4重新开始评价过程。
7.7认证文件
7.7.1认证机构应给客户提供正式的认证文件,明确表达或能够辨识以下信息:
a) 认证机构的名称和地址;
b) 获证日期(该日期不应早于完成认证决定的日期);
c) 客户名称和地址;
d) 认证范围(见3.10);
注: 当用于认证的标准或其他规范性文件(见7.1.2)引用了其他标准或规范性文件时,那些被引用的文件不必包括 在正式的认证文件中。
e) 认证有效期或终止日期(如果认证具有有效期时);
f) 认证方案要求的任何其他信息。
7.7.2正式的认证文件应包括认证机构指定的负责人的签名或其他授权签署。
注: 在认证机构备案的负责签署认证文件的人员的姓名和职位,是一种除签名之外的授权签署的例子。
7.7.3正式的认证文件(见7.7)应仅在下列事项完成之后或同时颁发:
a) 批准或扩大认证范围(见7.6.1)的决定已经做出;
b) 认证要求得到满足;
c) 认证协议(见4.1.2已经完成和(或)签署。
7.8获证产品名录
认证机构应保存获证产品的信息,至少包括:
a) 产品识别信息;
b 认证用的标准和其他规范性文件;
c) 客户识别信息。
认证方案应规定那些需要在名录中公开或在有要求时提供(通过出版物、电子媒体或其他方式)的信息。至少认证机构应当在有要求时提供该认证的有效状态。
注: 当认证机构按方案提供信息时,该方案的名录宜满足本要求。
7.9监督
7.9.1如果认证方案要求进行监督,或依据7.9.3或7.9.4的规定进行监督,认证机构应根据认证方案 启动对认证决定覆盖的产品进行监督。
注1: 认证方案中监督活动的示例见ISO/IEC17067.
注2: 监督活动的准则和过程由每个认证方案规定。
7.9.2当监督采用评价、复核或认证决定时,应分别符合7.4、7.5或7.6的要求。
7.9.3当某类获证产品(或其包装,或所附资料)需要持续使用授权的认证标志时,应建立监督机制,并 应包括对加施标志的产品进行定期的监督,以确保符合产品要求的证实持续有效(对于过程或服务,见7.9.4).
7.9.4当授权某过程或服务持续使用认证标志时,应建立监督机制,并应包括对使用标志的过程或服 务进行定期的监督,以确保符合过程或服务要求的证实持续有效。
7.10影响认证的变更
7.10.1当认证方案提出对客户产生影响的新的或修订的要求时,认证机构应确保这些变更能通知到 所有客户。认证机构应验证其客户对这些变更的实施并应按认证方案的规定采取措施。
注: 通过与客户的合同安排来确保这些要求的实施是必要的。用于认证的许可协议模板(只要适用,包括与变更通知有关的内容)在ISO/IEC指南 28: 2004附录E中给出。
7.10.2认证机构应考虑其他对认证有影响的变更,包括由客户引发的变更,并决定采取适宜的措施。
注: 影响认证的变更可能包括认证完成后由认证机构得到的与满足认证要求有关的新的信息。
7.10.3有要求时,对实施影响认证的变更所采取的措施,应包括: —评价(见7.4);
复核(见7.5);
决定(见7.6);
颁发修订后的正式认证文件(见7.7)以扩大或缩小认证范围;
颁发修订后监督活动的认证文件(如果监督是认证方案的一部分).
这些措施应按照7.4、7.5、7.6、7.7和7.8适用部分的要求来完成。记录(见7.12)应包括简化上述活 动的理由(例如:当不属于产品要求的认证要求发生变更,且不必进行评价、复核或决定活动时)
7.11认证的终止、缩小、暂停或撤销
7.11.1当监督或其他活动的结果证实存在不满足认证要求的不符合时,认证机构应考虑并确定适宜 的措施。
注: 适宜的措施可能包括:
a) 在认证机构规定的条件(如:增加监督)下保持认证;
b)缩小认证范围以剔除不符合的产品类别;
c) 在客户采取补救措施前暂停认证;
d) 撤销认证。
7.11.2如果适宜的措施包括评价、复核和认证决定,则应分别满足7.4、7.5和7.6要求。
7.11.3如果终止(应客户要求)、暂停或撤销认证,认证机构应按照认证方案的规定采取措施,并对正式认证文件、公布的信息、标志使用的授权等作出所有必要的更改,以确保没有任何信息显示该产品仍持续获得认证。如果缩小认证范围,认证机构应按照认证方案的规定采取措施,并应对正式认证文件、公布的信息、标志的使用授权等作出所有必要的更改,以确保缩小的认证范围被清晰地传达到客户,并在认证文件和公布的信息中清晰地描述。
7.11.4如果暂停认证,认证机构应指定一个或多个人员向客户说明和沟通以下信息:
为结束暂停和恢复认证,根据认证方案所需采取的措施;
认证方案要求的任何其他措施。
这些人员应具备处理暂停所有方面的知识和理解的能力(见6.1).
7.11.5为处理暂停所需要的或认证方案要求的任何评价、复核或决定均应按照7.4、7.5、7.6、7.7.3和 7.9以及7.11.3的适用部分来完成。
7.11.6如果暂停后恢复认证,认证机构应对正式的认证文件、公布的信息、标志使用的授权等进行所 有必要的修改,以确保表明产品仍保持认证的状态。如果恢复认证的条件是做出缩小认证范围的决定,则认证机构应对正式的认证文件、公布的信息、标志使用的授权等进行所有必要的修改,以确保缩小的认证范围被清楚地传达到客户,并在认证文件和公布的信息中清晰地描述。
7.12记录
7.12.1认证机构应保存记录以证明所有认证过程要求(本标准和认证方案中的)均得到满足(见8.4). 7.12.2认证机构应将记录保密。运输、传递和移交记录的方式应确保其保密性(见4.5).
7.12.3如果认证方案包括在一个确定的周期内对产品进行完整地再评价,记录保存期限应至少为当前认证周期加上前一个认证周期。否则,记录保存期限应由认证机构确定。
注: 在确定保存时限时,还可考虑法律规定和相互承认的协定。
7.13投诉和申诉
7.13.1认证机构应对投诉和申诉的接收、评价和作出决定的过程形成文件。认证机构应跟踪并记录 投诉和申诉,以及为解决投诉和申诉所采取的措施。
7.13.2一接到投诉或申诉,认证机构就应确认投诉或申诉是否与其负责的认证活动相关。如果相关,则应进行处理。
7.13.3认证机构应告知已收到正式的投诉或申诉
7.13.4认证机构应负责收集和验证所有必要的信息(尽可能)以推进投诉或申诉的解决。
7.13.5解决投诉或申诉的决定的做出、复核和批准应由与被投诉和申诉的认证活动无关的人员来 执行。
7.13.6为确保没有利益冲突,曾为客户提供过咨询或曾被客户聘用过的人员(包括承担管理职责的人员),在结束咨询(见3.2)或聘用关系两年之内,认证机构不应派其对投诉或申诉的解决进行复核或批准。
7.13.7只要可能,认证机构应将投诉处理结果和过程终止正式通知投诉人
7.13.8认证机构应将申诉处理结果和过程终止正式通知申诉人。
7.13.9为解决投诉或申诉,认证机构应采取所需的所有后续措施。
8、管理体系要求
8.1可选方式
8.1.1总则
认证机构应按照方式A或方式B,建立并保持一个能持续满足本标准要求的管理体系。
8.1.2 方式A
认证机构的管理体系应包含以下内容:
通用管理体系文件(如: 手册、方针、职责的确定,见8.2);
文件控制(见8.3);
记录控制(见8.4);
管理评审(见8.5);
内部审核(见8.6);
纠正措施(见8.7);
预防措施(见8.8).
8.1.3 方式B
认证机构按ISO9001标准要求建立和保持管理体系,且能够支持和证明持续满足本标准的要求,即满足管理体系条款的要求(见8.2~8.8).
注:选择方式B以使那些按照ISO 9001标准要求运作管理体系的认证机构能用该体系证明满足8.2~8.8中的管理体系的要求。方式B不要求认证机构的管理体系通过ISO 9001认证。
8.2 通用的管理体系文件(方式 A)
8.2.1认证机构最高管理层应制定、形成文件并保持方针和目标以满足本标准和认证方案,认证机构 最高管理层还应确保方针和目标在认证机构组织的所有层面上得到理解和实施。
8.2.2认证机构最高管理层应对建立和实施管理体系及其持续满足本标准的有效性的承诺提供证据。
8.2.3认证机构最高管理层应任命一名具有以下职责和权力的管理层成员,无论其是否具有其他 职责:
a) 确保管理体系所需的过程和程序得到建立、实施和保持;
b) 向最高管理层报告管理体系的绩效及任何改进需求。
8.2.4管理体系文件应包括、引用或关联与满足本标准要求相关的所有文件、过程、系统、记录等。
8.2.5认证活动涉及的所有人员应能获得与其职责相应的管理体系文件和相关信息。
8.3 文件控制(方式A)
8.3.1认证机构应建立程序以控制与满足本标准相关的文件(内部和外部的).
8.3.2该程序应规定下列方面所需的控制:
a) 文件发布前,对其适宜性进行批准;
b) 对文件的复审和必要的更新,并再次批准;
c) 确保文件的更改和现行修订状态得到识别
d) 确保在使用场所可获得适用文件的有关版本;
e) 确保文件保持清晰和易于识别;
f) 确保外来文件得到识别,其分发得到控制;
g) 防止作废文件的非预期使用,并在需要保留作废文件时对其作出适当的标识。
注: 文件可采用任何媒介形式或类型。
8.4 记录控制(方式 A)
8.4.1认证机构应建立程序,以规定与本标准实施有关的记录的标识、贮存、保护、检索、保存期限和处 置所需的控制。
8.4.2认证机构应建立记录保存程序,使保存期限与合同和法律义务相一致。对这些记录的查阅应与 保密协议相一致。
8.5 管理评审(方式 A)
8.5.1总则
8.5.1.1认证机构最高管理层应建立程序,按策划的时间间隔对管理体系进行评审,以确保管理体系(包括所制定的与符合本标准要求有关的方针和目标)的持续适宜性、充分性和有效性。
8.5.1.2管理评审应至少每年进行一次。也可以把一次完整的管理评审在12个月内分阶段进行。应保存管理评审记录。
8.5.2评审输入管理评审的输入应包括以下有关信息:
a) 内部审核和外部审核的结果;
b)来自客户和利益相关方的有关满足本标准的反馈;
注: 利益相关方可能包括方案所有者。
c) 来自维护公正性机制的反馈;
d) 预防措施和纠正措施的状况;
e) 以往管理评审的后续措施;
f) 目标的实现;
g) 可能影响管理体系的变更;
h 申诉和投诉。
8.5.3评审输出
管理评审的输出应包括以下有关决定和措施:
a) 管理体系及其过程有效性的改进
b) 与满足本标准要求有关的认证机构的改进;
c) 资源需求。
8.6 内部审核(方式 A)
8.6.1认证机构应建立内部审核程序,以证实认证机构满足本标准要求,并有效地实施和保持了管理体系。
注:ISO 19011为实施内部审核提供了指南。
8.6.2认证机构应对内部审核方案进行策划,并在策划中考虑拟审核过程和区域的重要程度以及以往 审核的结果。
8.6.3内部审核通常应每12个月至少进行一次,或在12个月内分段(或滚动)完成。改变(减少或恢复)内部审核频次或完成内部审核的时间框架的决定过程应形成文件并得到遵守。这种改变应基于管理体系的相对稳定和持续有效。改变内部审核频次或完成内审的时间框架的决定以及改变的理由应形成记录,并予以保留。
8.6.4认证机构应确保:
a) 内部审核由具备认证、审核和本标准要求知识的人员实施;
b)审核员不审核自己的工作;
c) 将审核结果告知受审核区域的负责人员;
d) 根据内部审核结果及时地采取适当措施;
e)识别任何改进的机会。
8.7 纠正措施(方式A)
8.7.1认证机构应建立程序,以识别和管理其运作中的不符合。
8.7.2必要时,认证机构还应采取措施消除不符合的原因,以防止其再发生。
8.7.3纠正措施应与所遇到问题的影响程度相适应。
8.7.4纠正措施的程序应明确以下要求:
a) 识别不符合(例如:来自投诉和内部审核);
b) 确定不符合的原因;
c)纠正不符合;
d) 评价确保不符合不再发生的措施的需求;
e) 及时确定和实施所需的措施;
f) 记录所采取措施的结果;
g) 评价纠正措施的有效性。
8.8 预防措施(方式 A)
8.8.1认证机构应建立程序,采取预防措施以消除潜在不符合的原因。
8.8.2采取的预防措施应与潜在问题的可能影响程度相适应。
8.8.3预防措施程序应明确下列要求:
a) 识别潜在的不符合及其原因;
b)评价防止不符合发生的措施的需求;
c)确定和实施所需的措施;
d) 记录所采取措施的结果;
e) 评审采取的预防措施的有效性。
注: 纠正措施程序和预防措施的程序不必分别制定。
附录A
(资料性附录)
产品认证机构及其认证活动的原则
A.1 总则
A.1.1 认证总体目标是向所有利益相关方提供产品符合规定要求的信心。认证的价值在于所建立的 信心和信任的程度,这种信心和信任来源于第三方对产品、过程或服务符合规定要求进行的公正和有能 力的证实。认证的利益相关方包括但不限于以下几类:
a) 认证机构的客户;
b) 获证产品生产组织的顾客;
c)政府部门;
d)非政府组织;
e) 消费者和其他公众。
A.1.2 A.2~A.6详细表述赢得信任的原则。
A.2 公正性
A.2.1 认证机构及其人员保持公正并使人感受到公正是必需的,以便对其认证活动和认证结果提供 信心。
A.2.2 公正性的风险包括可能源于下列情况而产生的各种偏离:
a) 自身利益(如: 过分依赖服务合同或费用、担心失去客户、担心失业,以至于对合格评定活动的 公正性带来不利影响);
b) 自我评价(如:认证机构从事合格评定活动,评价本机构提供的其他服务结果,例如咨询); )倾向(如:认证机构或其人员行为支持或反对某公司,而这个公司同时又是其客户);
d) 过分熟悉,即由于认证机构或其人员对对方过分熟悉或信任以至于不去寻求符合性的证据(产 品认证人员需掌握特定专业能力,而往往有资格的人员有限,因此在产品认证领域,这种风险 更难控制);
e) 胁迫(如: 认证机构或其人员因来自客户或其他利益相关方的风险或恐吓,可能妨碍其行为的 公正性);
f) 竞争(如:客户与签约人员之间的竞争).
A.3 能力
认证机构的管理体系所支撑的人员能力,是认证提供信任的必要条件。
A.4 保密性和信息公开
A.4.1 总则
有关保密性(见A.4.2)和信息公开(见A.4.3)要求之间管理的平衡,将影响利益相关方的信任和他们对进行的合格评定活动价值的看法。
A.4.2 保密性
为了获取实施有效的合格评定所需信息的途径,认证机构需为保密信息不会遭到泄露提供信心。所有组织和人员有权确保其提供的任何专有信息(见4.5)得到保护,除非法律有规定或适用的认证方案有要求。
A.4.3 信息公开
为了使公众对认证的诚信度和信用建立信心,认证机构需要及时提供或公布适当的信息,包括有关 评价和认证的过程,以及认证状态(如批准、保持、扩大或缩小范围、暂停、撤销或拒绝认证等)的信息。信息公开是获取或公布适当信息的原则。
A.4.4 信息获取
与认证机构签约的个人或组织为了承担认证活动,有要求时,他们应能获得认证机构持有的有关评 价和(或)认证产品的任何信息。
A.5 对投诉和申诉的回应
有效处理投诉和申诉,是保护认证机构、客户以及其他合格评定使用者,避免产生错误、遗漏和不合 理行为的重要手段。如果投诉和申诉得到了恰当的处理,对合格评定活动的信任就得到了保障。
A.6 责任
A.6.1 符合认证要求的责任在于客户而不是认证机构。
A.6.2 认证机构具有获取足够的客观证据,并在此基础上作出认证决定的责任。基于对这些证据的评审,如果有充分的符合性的证据,认证机构将作出批准认证的决定;如果没有充分的符合性证据,则不批准认证,或作出不保持认证的决定。
附录B'
(资料性附录)
过程和服务应用本标准的信息
如何将本标准应用于过程认证的说明:
产品替换为过程;
生产替换为作业;
生产出的替换为作业产生的;
生产中的替换为作业中的。
如何将本标准应用于服务认证的说明:
产品替换为服务;
生产替换为提供;
生产出的替换为提供的;
生产中的替换为提供中的。
参考文献
【1】 GB/T19000-2008 质量管理体系 基础和术语
【2】 GB/T19001-2008 质量管理体系 要求
【3】 GB/T19011-2002 质量和(或)环境管理体系审核指南
【4】 GB/T 19011-2013 管理体系审核指南
【5】 GB/T 27001-2011 合格评定 公正性 原则和要求
【6】 GB/T 27002-2011 合格评定 保密性 原则和要求
【7】 GB/T 27003-2011 合格评定 投诉和申诉 原则和要求
【8】 GB/T 27004-2011 合格评定 信息公开 原则和要求
【9】 GB/T 27005-2011 合格评定 管理体系的使用 原则和要求
【10】 GB/T 27007-2011 合格评定 合格评定用 规范性文件的编写指南 【11】 GB/T 27023-2008 第三方认证制度中标准符合性的表示方法
【12】 GB/T 27027-2008 认证机构对误用其符合性标志采取纠正措施的实施指南 【13】 GB/T 27028-2008 合格评定 第三方产品认证制度应用指南
【14】 GB/T 27030-2003 合格评定 第三方符合性标志的通用要求
【15】 GB/T 27053-2008 合格评定 产品认证中利用组织质量管理体系的指南
【 16 】 ISO 10002;2004 Quality management customer satisfaction-Guidelines for complaints handling in organizations
【17】 ISO/IECl7067: 2013 Fundamentals of product certification and guidelines for product cer- tification schemes
【18】 ISO31000:2009 Risk management-Principles and guidelines
【19】 IAF GD5: 2006 IAF Guidance on the Application of ISO/IEC Guide 65: 1996
全文完
根据网络整理
END