(高清版)GB∕T 38701-2020 供應(yīng)鏈安全管理體系 對(duì)供應(yīng)鏈安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

GB/T38701—2020/ISO280供應(yīng)鏈安全管理體系對(duì)供應(yīng)鏈安全管理體系審核認(rèn)證機(jī)構(gòu)的要求國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布 I Ⅱ 4認(rèn)證機(jī)構(gòu)的原則 2 3 57資源要求 6 附錄A(資料性附錄)對(duì)審核時(shí)間確定過程的導(dǎo)則 附錄B(規(guī)范性附錄)多場(chǎng)所組織的審核準(zhǔn)則 附錄C(規(guī)范性附錄)審核員的教育、工作和審核經(jīng)歷及培訓(xùn)時(shí)間 附錄D(規(guī)范性附錄)審核員能力要求 IⅡ1ISO/IEC17000:2004合格評(píng)定詞匯和通用原則(Conformityassessment—VocabularyandISO19011:2002管理體系審核指南(GuidelinesforISO28000供應(yīng)鏈安全管理體系規(guī)范(Specificationforsecuritymanagementsystemsforthe2管理體系咨詢和/或相關(guān)的風(fēng)險(xiǎn)評(píng)估m(xù)anagementsystemconsultancyand/orassociatedriskas-4認(rèn)證機(jī)構(gòu)的原則4.1總則4.1.1本章所述原則是本標(biāo)準(zhǔn)中后續(xù)的特定績(jī)效要求和說明性要求的基礎(chǔ)。本標(biāo)準(zhǔn)未就所有可能發(fā)生的情況給出特定要求。在出現(xiàn)未預(yù)料到的情況時(shí)，宜應(yīng)用這些原則作為決的公信力的程度。認(rèn)證的利益相關(guān)方包括(但不限于):d)非政府組織；d)公開性；f)對(duì)投訴的處理。4.2.4對(duì)公正性的威脅包括：3GB/T38701—2020/ISO28003:b)自我評(píng)審：此類威脅源于個(gè)人或機(jī)構(gòu)評(píng)審自己所做的工作。認(rèn)證機(jī)構(gòu)對(duì)4.3能力4.5公開性4.5.2為獲得或保持對(duì)認(rèn)證的信任，認(rèn)證機(jī)構(gòu)需向特定利益相關(guān)方提供獲取特定審核(如為回應(yīng)投訴4.6保密性為了享有獲取充分評(píng)價(jià)與認(rèn)證要求的符合性所需信息的特權(quán)，認(rèn)證機(jī)4.7對(duì)投訴的處理5通用要求4GB/T38701—2020/ISO28003:認(rèn)證機(jī)構(gòu)與客戶組織之間應(yīng)有在法律上具有強(qiáng)制實(shí)施力的提供認(rèn)證服務(wù)的證客戶之間有清晰覆蓋客戶每一個(gè)獲認(rèn)證場(chǎng)所的在法律上具有強(qiáng)制實(shí)施力的協(xié)5.2公正性的管理5.2.1認(rèn)證機(jī)構(gòu)最高管理層應(yīng)對(duì)供應(yīng)鏈安全管理體系認(rèn)證活動(dòng)的公正性做出承諾。認(rèn)證機(jī)構(gòu)應(yīng)具有各種關(guān)系引起沖突的可能性。有關(guān)系不一定都會(huì)引起利益沖突。但是，如5.2.3當(dāng)某種關(guān)系對(duì)認(rèn)證機(jī)構(gòu)的公正性產(chǎn)生不可消除的威脅時(shí)(如認(rèn)證機(jī)構(gòu)的全資子公司向其申請(qǐng)認(rèn)5.2.5認(rèn)證機(jī)構(gòu)及同一法律實(shí)體的任何其他部分不應(yīng)提供供應(yīng)鏈安全管理體系咨詢和/或相關(guān)的風(fēng)險(xiǎn)5.2.6認(rèn)證機(jī)構(gòu)及其所屬法律實(shí)體的任何其他部分不應(yīng)向獲證客戶提供內(nèi)部審核。本條款同樣適用5.2.9認(rèn)證機(jī)構(gòu)活動(dòng)的營(yíng)銷不應(yīng)與提供供應(yīng)鏈安全管理體系咨詢和/或相關(guān)風(fēng)險(xiǎn)評(píng)估的機(jī)構(gòu)的活動(dòng)有5.2.10為確保沒有利益沖突，參與了對(duì)客戶供應(yīng)鏈安全管理體系咨詢和/或相關(guān)風(fēng)險(xiǎn)評(píng)估的人員(包56GB/T38701—2020/ISO28003:c)如果認(rèn)證機(jī)構(gòu)最高管理層不尊重委員會(huì)的建議，委員會(huì)應(yīng)有權(quán)采取獨(dú)立措施(如報(bào)告主管部門、認(rèn)可機(jī)構(gòu)或利益相關(guān)方)。采取獨(dú)立措施時(shí)，委員會(huì)應(yīng)遵守8.57資源要求認(rèn)證機(jī)構(gòu)應(yīng)有過程來確保其人員對(duì)其運(yùn)作涉及的供應(yīng)鏈安全管理體系類型d)風(fēng)險(xiǎn)評(píng)估和分析：77.2.3.2每一位供應(yīng)鏈安全管理體系審核89GB/T38701—2020/ISO28003:每位候選供應(yīng)鏈安全管理體系審核員應(yīng)能提供至少五整年的連續(xù)工作經(jīng)歷過當(dāng)前或以往雇主的證實(shí)。自我聘用的候選供應(yīng)鏈安全管理體系審核員應(yīng)提供其他適當(dāng)?shù)淖C明文件應(yīng)發(fā)給每位供應(yīng)鏈安全管理體系審核員一張存有下列信息的身份卡(ID卡):—姓、名：7.4.6記錄認(rèn)證機(jī)構(gòu)的程序應(yīng)包括對(duì)違約的供應(yīng)鏈安全管理體系審核員實(shí)施處理的過審核員實(shí)施暫停等組織紀(jì)律程序。認(rèn)證機(jī)構(gòu)應(yīng)按其認(rèn)為宜使審核員明白并做出書面聲明，表明其知道違規(guī)行為將可能導(dǎo)致紀(jì)律處罰、民事責(zé)任和刑事7.5外包7.5.3認(rèn)證機(jī)構(gòu)應(yīng)：d)確保外包服務(wù)承擔(dān)機(jī)構(gòu)使用的人員與擬審核的組織沒有可能損害公正性的關(guān)系(無論是直接的還是通過任何其他雇主發(fā)生的關(guān)系);e)由特定機(jī)構(gòu)提供外包服務(wù)應(yīng)征得客戶的同意；7.5.4認(rèn)證機(jī)構(gòu)應(yīng)有形成文件的程序，以對(duì)認(rèn)證活動(dòng)的所有外包服8信息要求8.1公開信息8.2認(rèn)證文件8.2.1認(rèn)證機(jī)構(gòu)應(yīng)以其選擇(見8.1.a)獲得供應(yīng)鏈安全管理體系認(rèn)證的客戶組織的每一場(chǎng)所的名稱和可識(shí)別的物理位置；c)與再認(rèn)證周期相一致的認(rèn)證有效期；h)認(rèn)證用標(biāo)準(zhǔn)所要求的任何其他信息。8.3獲證客戶目錄認(rèn)證機(jī)構(gòu)應(yīng)以其選擇的任何方式保持有效認(rèn)證的目錄，并使其可公開獲取8.4認(rèn)證資格的引用和標(biāo)志的使用8.4.1認(rèn)證機(jī)構(gòu)對(duì)其授權(quán)獲證客戶使用的任何標(biāo)志應(yīng)有管理政策。該政策應(yīng)確?？梢詮臉?biāo)志追溯到認(rèn)證機(jī)構(gòu)。標(biāo)志或所附文字不應(yīng)使人對(duì)認(rèn)證對(duì)象和授予認(rèn)證的認(rèn)證機(jī)構(gòu)產(chǎn)生歧b)不做出或不允許有關(guān)于其認(rèn)證資格的誤導(dǎo)性說明；c)不以或不允許以誤導(dǎo)性方式使用認(rèn)證文件或其任何部分；8.5保密1)遵守認(rèn)證要求；險(xiǎn)的審核方案，該過程應(yīng)確保認(rèn)證機(jī)構(gòu)對(duì)組織b)審查客戶組織理解和實(shí)施標(biāo)準(zhǔn)要求的情況，特等);e)結(jié)合可能的重要因素充分了解客戶的供應(yīng)鏈安全管理體系和現(xiàn)場(chǎng)運(yùn)作，以便為策劃第二階段f)評(píng)價(jià)客戶組織是否策劃和實(shí)施了內(nèi)部審核與管理評(píng)審，以及供應(yīng)鏈安全管理體系的實(shí)施程度9.2.3.2.1第二階段審核應(yīng)編制審核計(jì)劃(見9.1.2)。計(jì)劃應(yīng)遵循ISO19011中的指南轉(zhuǎn)化成的適當(dāng)?shù)?.2.3.2.3審核組應(yīng)進(jìn)行第二階段審核以收集供應(yīng)鏈安全管理體系符合標(biāo)準(zhǔn)和其他認(rèn)證要求的審核a)與適用的規(guī)范性文件的所有要求的符合情況及證據(jù)；c)組織的供應(yīng)鏈安全管理體系以及在遵守法律法規(guī)方面的績(jī)效；3)審核中提出的針對(duì)具體標(biāo)準(zhǔn)要求的不符4)上述每個(gè)不符合的關(guān)閉情況報(bào)告。2)審核組的推薦意見。GB/T38701—2020/ISO28e)評(píng)審采取的預(yù)防措施的有效性。GB/T38701—2020/ISO(資料性附錄)對(duì)審核時(shí)間確定過程的導(dǎo)則表A.1根據(jù)組織的雇員數(shù)、復(fù)雜程度和/或風(fēng)險(xiǎn)(見注8)確定初次審核(第一階段十第二階段)所需的審核人日數(shù)。表A.1初次審核的審核人日數(shù)(見注2)平均人日(中復(fù)雜程度和/或風(fēng)險(xiǎn))最少人日(低復(fù)雜程度和/或風(fēng)險(xiǎn))典型人日(高復(fù)雜程度和/或風(fēng)險(xiǎn))當(dāng)組織的安全管理體系時(shí)的可減少量1(見注9)11103330648859GB/T38701—2020/ISO28003:2007(規(guī)范性附錄)B.1定義B.1.1多場(chǎng)所組織B.1.1.2一個(gè)多場(chǎng)所組織可以包含一個(gè)以上的法律實(shí)體，所有 B.2組織的資格準(zhǔn)則險(xiǎn)。認(rèn)證機(jī)構(gòu)應(yīng)對(duì)所有的業(yè)務(wù)場(chǎng)所進(jìn)行審核，且對(duì)其B.2.2.1當(dāng)所有場(chǎng)所都提供供應(yīng)鏈服務(wù)，所有活動(dòng)實(shí)質(zhì)上都相同且全部按相同的方法和程序?qū)嵤r(shí)，或許可以減少組織所經(jīng)營(yíng)的部分場(chǎng)所的審核人日數(shù)。然而，所有場(chǎng)所的特B.2.2.1.1為實(shí)施安全評(píng)估和開發(fā)安全計(jì)劃，組織應(yīng)根據(jù)集中控制 組織的內(nèi)部審核方案和審核結(jié)果評(píng)估應(yīng)覆蓋全部相關(guān)場(chǎng)所(包括集中管理職能),且在認(rèn)證機(jī)構(gòu)開B.2.2.1.2組織應(yīng)證明其總部已依據(jù)審核標(biāo)準(zhǔn)并考慮法規(guī)要求建立了供應(yīng)鏈安全管理體系，且整個(gè)組B.2.3組織應(yīng)證明其有能力從包括總部在內(nèi)的全部場(chǎng)所收集和分析數(shù)據(jù)(包括但不限于以下項(xiàng)目),且GB/T38701—2020/ISO28003:2007——管理評(píng)審；——內(nèi)部審核的策劃及審核結(jié)果的評(píng)估。組織應(yīng)已針對(duì)每一個(gè)場(chǎng)所的特定威脅進(jìn)行了安全風(fēng)險(xiǎn)評(píng)估并實(shí)施相應(yīng)B.2.5總部保持的記錄應(yīng)證明供應(yīng)鏈安全管理體系及其在所有場(chǎng)所(包括未被認(rèn)證機(jī)構(gòu)訪問到的)實(shí)B.3認(rèn)證機(jī)構(gòu)的資格準(zhǔn)則B.3.1.1認(rèn)證機(jī)構(gòu)的程序宜確保最初的合同評(píng)審對(duì)擬認(rèn)證的供應(yīng)鏈安全管理體系所覆蓋的活動(dòng)的復(fù)B.3.1.3針對(duì)每個(gè)實(shí)例，認(rèn)證機(jī)構(gòu)宜核查各場(chǎng)所間在何種程度上按照相B.3.1.4如果一個(gè)服務(wù)性組織中實(shí)施認(rèn)證所覆蓋的活動(dòng)所在的全部場(chǎng)所沒有同時(shí)準(zhǔn)備好進(jìn)行認(rèn)證時(shí)，B.3.2.1在多場(chǎng)所程序之下，認(rèn)證機(jī)構(gòu)應(yīng)有形成文件的程序來處理審核B.3.2.2如果不止一個(gè)審核組參與了整個(gè)網(wǎng)絡(luò)的審核/監(jiān)督，認(rèn)證機(jī)構(gòu)宜指定一名審核組長(zhǎng)負(fù)責(zé)匯總B.3.3處理不符合B.3.3.1通過組織的內(nèi)部審核或認(rèn)證機(jī)構(gòu)的審核，在任何一個(gè)場(chǎng)所發(fā)現(xiàn)B.3.3.2認(rèn)證機(jī)構(gòu)應(yīng)要求提供上述措施的證據(jù)，并提高抽樣頻次直至對(duì)B.3.3.3在做認(rèn)證決定過程中，若某一場(chǎng)所的活動(dòng)存在不符合，可能對(duì)其他場(chǎng)所運(yùn)作的符合性造成不B.3.4認(rèn)證證書B.3.4.1應(yīng)向組織頒發(fā)一份帶有組織總部名稱和地址的認(rèn)證證書，認(rèn)證B.3.4.2可向認(rèn)證覆蓋的每一場(chǎng)所頒發(fā)一份子證書，子證書應(yīng)包含認(rèn)證范圍的全部或部分，并清楚地B.3.4.3如果總部或任何場(chǎng)所不滿足保持認(rèn)證必需的準(zhǔn)則(見B.3.2),證書將被全部撤銷。B.3.4.4認(rèn)證機(jī)構(gòu)應(yīng)保持最新的多場(chǎng)所名單，意味著認(rèn)證機(jī)構(gòu)應(yīng)要求組織向它通報(bào)任何場(chǎng)所的關(guān)閉。B.3.4.5經(jīng)監(jiān)督/再認(rèn)證審核活動(dòng)增加的場(chǎng)所可添加在已有的證書上。認(rèn)證機(jī)構(gòu)應(yīng)有增加新場(chǎng)所的GB/T38701—2020/ISO28003(規(guī)范性附錄)審核員有其他管理體系經(jīng)歷的審核員審核組長(zhǎng)教育中等教育(見注1)同審核員要求同審核員要求5年(見注2)同審核員要求同審核員要求安全方面的相關(guān)工作經(jīng)歷(見注8)或者經(jīng)過附錄D所描述的培訓(xùn)同審核員要求同審核員要求審核經(jīng)歷4次完整審核且不少于20天的審的連續(xù)3年內(nèi)完成意(見注5)下完成3次完整審核且不少審核宜在最近的連續(xù)2年內(nèi)完成。(見注7)審核員培訓(xùn)16h審核員培訓(xùn)8h管理體系(MS)專項(xiàng)培訓(xùn)8h管理體系(MS)專項(xiàng)培訓(xùn)(見注6)同審核員要求注1:中等教育是在國(guó)家教育體系中，初等教育階段后，進(jìn)入大學(xué)或類似教育機(jī)構(gòu)前完成的那一部分。注2:如果已完成中等教育以后階段的適當(dāng)?shù)慕逃ぷ鹘?jīng)歷可減少一年。注3:安全方面的特定工作經(jīng)歷可與一般的工作經(jīng)歷同時(shí)發(fā)生。注4:安全方面的培訓(xùn)是為獲得相關(guān)標(biāo)準(zhǔn)、法律、法規(guī)、原則、方法和技術(shù)的知注5:一次完整的審核是指覆蓋了包括文件審查、現(xiàn)場(chǎng)審核活動(dòng)的準(zhǔn)備、現(xiàn)場(chǎng)審核活動(dòng)的實(shí)在內(nèi)的所有步驟?？偟膶徍私?jīng)歷宜覆蓋全部管理體系標(biāo)準(zhǔn)。注6:有資格審核其他管理體系的審核員，不必重復(fù)16