CNAS-CC14-2019《信息和通信技術(shù)（ICT）在審核中應用》

1、CNAS-CC14信息和通信技術(shù)（ICT）在審核中應用The use of information and communication technology (ICT) for auditing purpose中國合格評定國家認可委員會2019 年 05 月 10 日 發(fā)布2019 年 07 月 04 日 實施CNAS-CC14:2019第 5 頁 共 5 頁目次前言20 引言31 范圍32 規(guī)范性引用文件33 定義44 要求42019 年 05 月 10 日 發(fā)布2019 年 07 月 04 日 實施前言CNAS 作為國際認可論壇（IAF）成員，等同采用 IAF 發(fā)布的強制性文件 IAF M

2、D4:2018強制性文件信息和通信技術(shù)（ICT）在審核/評審中應用制定本文件。本文件旨在確保 CNAS-CC01管理體系認證機構(gòu)要求、CNAS-CC02產(chǎn)品、過程和服務認證機構(gòu)要求、CNAS-CC03人員認證機構(gòu)通用要求等基本認可準則實施的一致性，并和相應基本認可準則共同作為 CNAS 對認證機構(gòu)的認可準則。本文件中，用術(shù)語“應”表示相應的 CNAS-CC14 條款是強制性的，這些條款反映了相應基本認可準則的要求。術(shù)語“宜”表示 CNAS-CC14 相應的條款提供了滿足相應基本認可準則要求的公認方法；如果認證機構(gòu)采用與 CNAS-CC14 等效的方式來滿足相應基本認可準則的要求，需要向 CNA

3、S 證實該方式確實能達到這一目的。相對于 IAF MD4:2018 本文件作出如下編輯修改：1. 作為對認證機構(gòu)的認可準則，將“審核/評審”（即：auditing/assessment）統(tǒng)一調(diào)整為審核，并刪除 IAF MD4:2018“1 范圍”部分“本文件適用于認可機構(gòu)”等內(nèi)容，有關(guān)應用 ICT 對合格評定機構(gòu)評審的要求將在其他工作安排中另行規(guī)定。2. 將部分對 IAF 文件及 ISO 標準的引用調(diào)整為對應 CNAS 文件的引用。本文件代替了 CNAS-CC14:2008。信息和通信技術(shù)（ICT）在審核中應用0 引言0.1 隨著信息和通信技術(shù)（ICT）更加復雜精密，能夠應用ICT來優(yōu)化審核的

4、有效性和效率，并能為審核過程的完整性與可信性提供支持和保障是非常重要的。0.2 ICT是應用技術(shù)來收集、存儲、檢索、處理、分析和發(fā)送信息。它包括軟件和硬件，例如：智能手機、手持設備、筆記本電腦、臺式電腦、無人機、攝像機、可穿戴技術(shù)、人工智能及其他。ICT技術(shù)的應用可能同時適用于對當?shù)噩F(xiàn)場和遠程場所審核。0.3 審核中應用ICT可能包括但不限于如下示例：l 會議；通過遠程電信會議設施，包括音頻、視頻和數(shù)據(jù)共享；l 通過遠程接入方式對文件和記錄的審核，同步的（即實時的）或是異步的（在適用時）；l 通過靜止影像、視頻或音頻錄制的方式記錄信息和證據(jù)；l 提供對遠程場所或潛在危險場所的視頻或音頻訪問通道

5、。0.4 ICT在審核中有效應用的目的是：i) 提供一項在審核中應用ICT的方法用以優(yōu)化傳統(tǒng)審核過程，該方法充分靈活并對其類別未做限定；ii) 確保采取充分的控制以避免濫用，濫用可能危害審核過程的完整性與可信性；iii) 為安全和可持續(xù)性原則提供支持。同時應采取措施，以確保貫穿于審核活動的安全性和保密性得到保持。0.5 其他方案、規(guī)范文件和合格評定標準可能強調(diào)審核中應用ICT的限制，滿足那些文件中要求優(yōu)先于本文件。1 范圍作為在審核中使用信息和通信技術(shù)（ICT）的一套方法，本文件提供了一致的應用。本文件適用于管理體系、人員和產(chǎn)品認證機構(gòu)的審核。使用ICT并不是強制性的， 并且其可能用于其他類型

6、的合格評定活動，但是（將ICT）用作審核方法的一部分時， 符合本文件是強制要求。2 規(guī)范性引用文件取決于合格評定活動，下列引用文件對本文件的應用是必不可少的。凡是注日期的引用，僅所引用的版本適用。凡是不注日期的引用，所引用文件的最新版本（包括任何修改單）適用。限于：l CNAS-CC105確定管理體系審核時間(QMS、EMS、OHSMS)（IAF MD5）l ISO/IEC 17011合格評定認可機構(gòu)要求l CNAS-CC01管理體系認證機構(gòu)要求（ISO/IEC 17021-1）l CNAS-CC02產(chǎn)品、過程和服務認證機構(gòu)要求（ISO/IEC 17065）l CNAS-CC03人員認證機構(gòu)通

7、用要求（ISO/IEC 17024） 本文件也可以考慮與其他合格評定標準一起使用，例如：l CNAS-CC04溫室氣體審定/核查機構(gòu)要求（ISO 14065）l CNAS-CI01檢驗機構(gòu)能力認可準則（ISO/IEC 17020）l CNAS-CL01檢測和和校準機構(gòu)能力認可準則（ISO/IEC 17025） 除此之外，還可以從以下文件述獲得審核中應用ICT的指南：l CNAS-CI01檢驗機構(gòu)能力認可準則（ISO/IEC 17020）l CNAS-CL01檢測和和校準機構(gòu)能力認可準則（ISO/IEC 17025）l ISO/IAF 審核實踐組“電子文件信息系統(tǒng)”（參見）

8、/tc176/ISO9001AuditingPracticesGroupl IAF ID12 遠程評審原則l ISO 19011 管理體系審核指南3 定義3.1虛擬場所 Virtual site虛擬地點指客戶組織完成工作或提供服務所用到的，允許處于不同物理地點的人員執(zhí)行過程的在線環(huán)境注 1：當某過程必須在某一有形環(huán)境實現(xiàn)時不能將其考慮為虛擬場所，如：倉儲、制造、物理檢測實驗、安裝或維修有形產(chǎn)品等。注 2：一個虛擬場所（如：一個組織的內(nèi)部網(wǎng)絡）被當作一個獨立場所來計算審核時間。4 要求4.1 安全性與保密性4.1.1 在審核中應用 ICT 時，對電子信息或電子化傳輸信息的安全性和保密性是特別重要

9、的。4.1.2 針對審核中應用 ICT 遵守信息安全與數(shù)據(jù)保護的措施和規(guī)則，在 ICT 應用于審核之前，接受審核方及實施審核方之間應相互達成一致意見。4.1.3 在不履行這些措施或沒有就信息安全和數(shù)據(jù)保護措施達成一致意見的情況下，實施審核方應采用其他方法實施審核。4.1.4 當對于在審核中應用 ICT 沒有達成一致時，應采用其他方法以滿足審核目的。4.2 過程要求4.2.1 機構(gòu)應識別并記錄在相同條件下應用每項 ICT 可能影響審核有效性的風險和機遇，包括對技術(shù)的選擇以及如何對其進行管理。4.2.2 當提議將 ICT 用于審核活動時，申請評審應包括一項檢查，即檢查客戶及審核實施機構(gòu)具有必要的基

10、礎設施以支持被提議使用的 ICT。4.2.3 考慮由 4.2.1 識別的風險和機遇，為了優(yōu)化審核的有效性和效率并保持審核過程的完整性與可信性，審核計劃應識別在審核中如何利用 ICT 以及審核中哪些 ICT 在什么范圍被應用。4.2.4 應用 ICT 時，審核員及其他涉及到的人員（例如：無人機操作員、技術(shù)專家） 應具備能力和智慧以便理解和利用所采用的信息和通信技術(shù)取得期望獲得的審核結(jié)果。審核員同樣應意識到應用信息與通信技術(shù)的風險和機遇，以及應用這些技術(shù)對信息收集有效性和客觀性的影響。4.2.5 如果審核中應用 ICT，將對總審核時間做出貢獻，當影響到審核持續(xù)時段時可能有必要做額外的策劃。注：在確定審核時間和審核持續(xù)時段時，請參考規(guī)范性引