《供應鏈安全管理體系 對供應鏈安全管理體系審核認證機構的要求GBT 38701-2020》詳細解讀

《供應鏈安全管理體系對供應鏈安全管理體系審核認證機構的要求GB/T38701-2020》詳細解讀contents目錄1范圍2規(guī)范性引用文件3術語和定義4認證機構的原則5通用要求6結構要求contents目錄7資源要求8信息要求9過程要求10認證機構的管理體系要求附錄A(資料性附錄)對審核時間確定過程的導則附錄B(規(guī)范性附錄)多場所組織的審核準則contents目錄附錄C(規(guī)范性附錄)審核員的教育、工作和審核經(jīng)歷及培訓時間附錄D(規(guī)范性附錄)審核員能力要求參考文獻011范圍標準適用對象本標準適用于所有參與供應鏈安全管理體系審核與認證的機構，無論其名稱如何，只要其活動范圍涵蓋本標準所規(guī)定的內(nèi)容。認證目的供應鏈安全管理體系認證旨在獨立驗證組織已實施的供應鏈安全管理體系是否符合規(guī)定要求，并能自始至終實現(xiàn)其聲明的方針和目標，從而確保供應鏈的安全性。國際兼容性本標準采用ISO28003:2007作為等效基礎，旨在促進國際間對供應鏈安全管理體系認證的相互承認，有助于國際貿(mào)易的順利進行。管理體系規(guī)范本標準針對依據(jù)管理體系規(guī)范和標準（如ISO28000）提供供應鏈安全管理體系審核與認證的機構，給出了明確的原則和要求。1范圍022規(guī)范性引用文件2規(guī)范性引用文件ISO/IEC17000系列標準作為合格評定領域的國際標準，ISO/IEC17000系列標準對認證機構的通用要求、能力評價、認可程序等方面進行了詳細規(guī)定。GB/T38701-2020在規(guī)范認證機構行為時，也借鑒了這些標準的相關內(nèi)容。其他相關國家標準在制定過程中，GB/T38701-2020還參考了國內(nèi)其他與供應鏈安全、質(zhì)量管理、信息安全等相關的國家標準，以確保標準的全面性和協(xié)調(diào)性。ISO28000系列標準GB/T38701-2020在制定過程中，廣泛參考了ISO28000系列標準，特別是ISO28000《供應鏈安全管理體系規(guī)范》，該標準為供應鏈安全管理體系的建立、實施、保持和改進提供了框架和指導。030201法律法規(guī)要求：標準還引用了國家相關的法律法規(guī)要求，特別是與供應鏈安全、信息安全、質(zhì)量管理等相關的法律法規(guī)，以確保認證活動符合國家的法律法規(guī)框架。這些規(guī)范性引用文件為GB/T38701-2020的制定提供了堅實的理論基礎和實踐依據(jù)，確保了標準的科學性、合理性和可操作性。同時，這些引用文件也為認證機構在實施供應鏈安全管理體系審核與認證過程中提供了明確的指導和要求。2規(guī)范性引用文件033術語和定義指供應鏈在運營過程中，能夠保障產(chǎn)品、服務、信息和資金等要素的安全，避免遭受各種風險和威脅。供應鏈安全指組織為保障供應鏈安全而建立的一系列管理制度、流程、方法和措施的總稱。供應鏈安全管理體系3.1供應鏈安全3.2審核認證機構審核員指經(jīng)過專業(yè)培訓，具備相應資質(zhì)和能力，從事供應鏈安全管理體系審核工作的人員。審核認證機構指依法設立，具備相應資質(zhì)和能力，從事供應鏈安全管理體系審核認證活動的第三方機構。認證標志指由審核認證機構頒發(fā)的，表明組織已通過供應鏈安全管理體系審核認證的標志。認證證書3.3認證標志指由審核認證機構頒發(fā)的，表明組織已通過供應鏈安全管理體系審核認證的書面證明文件。01023.4風險管理風險管理指組織在供應鏈運營過程中，識別、評估、控制和監(jiān)控各種風險，以保障供應鏈安全的一系列活動。風險識別指組織通過各種途徑和方法，發(fā)現(xiàn)供應鏈運營過程中可能存在的各種風險。風險評估指組織對識別出的風險進行分析和評價，確定其可能性和影響程度，為風險控制提供依據(jù)。風險控制指組織根據(jù)風險評估結果，采取相應的措施和方法，降低或消除風險對供應鏈安全的影響。044認證機構的原則4認證機構的原則公正性認證機構應確保對所有申請認證的組織一視同仁，不偏袒任何一方。在審核和認證過程中，應嚴格按照規(guī)定的程序和標準進行操作，避免主觀臆斷和歧視性對待。專業(yè)性認證機構應具備專業(yè)的技術能力和知識背景，能夠準確理解和應用供應鏈安全管理體系的相關標準和要求。認證機構應定期對審核員進行培訓和考核，確保其具備足夠的專業(yè)素養(yǎng)和審核能力。獨立性認證機構應保持獨立，不受任何可能影響其認證判斷的外部壓力或利益沖突。在審核和認證過程中，認證機構應基于客觀事實和標準進行判斷，確保認證結果的公正性和可信度。030201認證機構在審核和認證過程中接觸到的所有敏感信息和商業(yè)機密應嚴格保密。認證機構應建立完善的保密制度和管理措施，確保信息的安全性和完整性。同時，認證機構還應與申請認證的組織簽訂保密協(xié)議，明確雙方的權利和義務。保密性認證機構應關注供應鏈安全管理體系的最新發(fā)展和變化，及時更新自身的審核和認證標準。同時，認證機構還應建立持續(xù)改進機制，不斷優(yōu)化審核和認證流程，提高認證效率和質(zhì)量。通過持續(xù)改進，認證機構可以更好地滿足市場需求和客戶需求，提升自身的競爭力和影響力。持續(xù)改進4認證機構的原則055通用要求獨立性認證機構應獨立于供應鏈中的任何組織，以確保審核和認證過程的客觀性和公正性。認證機構不得與被審核組織存在任何可能影響其判斷的利益關系。5通用要求公正性認證機構應秉持公正原則，對所有申請認證的組織一視同仁，不偏袒任何一方。在審核和認證過程中，應嚴格按照規(guī)定的程序和標準進行操作，確保結果的公正性和準確性。專業(yè)能力認證機構應具備實施供應鏈安全管理體系審核與認證所需的專業(yè)知識和技術能力。這包括熟悉供應鏈安全管理體系的相關標準、規(guī)范和要求，以及掌握有效的審核方法和技巧。5通用要求認證機構應擁有足夠的資源來支持其審核和認證活動。這些資源包括合格的人員、必要的設備和工具、以及充足的信息和技術支持等。認證機構應確保這些資源能夠滿足審核和認證工作的需要，并保證其持續(xù)有效。認證機構應對在審核和認證過程中獲取的敏感信息和機密資料予以嚴格保密。這包括被審核組織的商業(yè)秘密、技術秘密以及其他敏感信息。認證機構應建立并執(zhí)行嚴格的保密制度，確保這些信息不被泄露給未經(jīng)授權的第三方。認證機構應建立并實施持續(xù)改進的機制，以不斷提高其審核和認證工作的質(zhì)量和效率。這包括定期對審核員進行培訓和考核、對審核和認證過程進行監(jiān)督和評估、以及及時糾正發(fā)現(xiàn)的問題和不足等。通過持續(xù)改進，認證機構可以不斷提升其專業(yè)能力和服務水平，更好地滿足客戶的需求和期望。資源保障保密性持續(xù)改進066結構要求6.1總體結構供應鏈安全管理體系審核認證機構應具備完善的組織結構，包括決策層、管理層和執(zhí)行層。01應設立獨立的審核認證部門，負責供應鏈安全管理體系的審核認證工作。02應建立有效的溝通機制，確保各部門之間的信息暢通。03審核認證機構應配備足夠數(shù)量的專業(yè)人員，包括審核員、技術專家等。6.2人員結構審核員應具備相應的資質(zhì)和經(jīng)驗，熟悉供應鏈安全管理體系的標準和要求。技術專家應具備相關領域的知識和經(jīng)驗，能夠為審核認證工作提供技術支持。010203審核認證機構應具備必要的辦公場所、設施和設備，確保審核認證工作的正常進行。應建立完善的信息管理系統(tǒng)，實現(xiàn)審核認證工作的信息化和規(guī)范化。應具備穩(wěn)定的財務基礎，確保審核認證工作的持續(xù)性和穩(wěn)定性。6.3資源保障077資源要求7資源要求設施與設備認證機構應擁有適宜的辦公場所和必要的審核工具，包括但不限于計算機硬件、軟件、通訊設備以及用于現(xiàn)場審核的交通工具等。這些設施和設備應滿足高效、準確執(zhí)行審核任務的需求。信息資源認證機構應建立并維護一個全面的信息資源庫，包括供應鏈安全管理的相關法律法規(guī)、標準、指南、案例研究等。這些資源有助于審核員深入理解供應鏈安全管理體系的要求，提高審核工作的質(zhì)量和效率。人力資源認證機構應配備足夠數(shù)量的合格審核員和技術專家，這些人員需具備供應鏈安全管理的專業(yè)知識、審核技能及豐富的實踐經(jīng)驗。審核員應定期接受培訓，以保持其專業(yè)能力和對最新標準的理解。030201認證機構應具備穩(wěn)定的財務基礎，以確保能夠持續(xù)投入于人員培訓、設施更新、技術研發(fā)等方面。同時，合理的財務規(guī)劃和管理也是保障認證機構獨立性和公正性的重要手段。財務資源認證機構應積極與國內(nèi)外相關機構建立合作關系，共享資源、交流經(jīng)驗，提高供應鏈安全管理體系認證的國際認可度和影響力。此外，認證機構還應利用網(wǎng)絡資源，如建立官方網(wǎng)站、社交媒體平臺等，加強與客戶、利益相關方的溝通和互動。合作與網(wǎng)絡資源7資源要求088信息要求包括供應鏈各環(huán)節(jié)的安全風險、安全事件、安全漏洞等信息。供應鏈安全相關信息收集與供應鏈安全管理相關的法律法規(guī)、標準、政策等信息。法律法規(guī)和標準要求收集供應商的安全管理情況、安全風險評估結果、安全漏洞修復情況等信息。供應商信息8.1信息收集010203信息分析將分析后的信息及時傳遞給相關部門和人員，確保信息的及時性和準確性。信息傳遞信息存儲將重要信息進行存儲和備份，確保信息的完整性和可追溯性。對收集到的信息進行整理、分類、分析，識別出潛在的安全風險和漏洞。8.2信息處理在供應鏈安全管理體系內(nèi)部，實現(xiàn)信息的共享和交流，提高安全管理效率。內(nèi)部共享與供應商、客戶、第三方機構等實現(xiàn)信息的共享，共同應對供應鏈安全風險。外部共享在信息共享過程中，要注意信息的保密性，避免敏感信息的泄露。信息保密8.3信息共享099過程要求9過程要求不符合項處理對于審核中發(fā)現(xiàn)的不符合項，認證機構應與客戶組織進行溝通確認，并要求其制定糾正措施和預防措施。認證機構需跟蹤驗證這些措施的實施效果，確保不符合項得到有效整改?，F(xiàn)場審核審核過程中，審核員應嚴格按照審核計劃執(zhí)行，通過查閱文件、現(xiàn)場觀察、訪談等方式，全面評估客戶組織的供應鏈安全管理體系是否符合相關標準和要求。審核員需保持客觀公正，對發(fā)現(xiàn)的問題進行詳細記錄，并提出改進建議。審核準備認證機構應制定詳細的審核計劃，明確審核范圍、目的、方法和時間安排。審核員需提前了解客戶組織的基本情況，包括其供應鏈安全管理體系的運行狀況、關鍵控制點等，以確保審核的針對性和有效性。9過程要求審核結束后，審核員應編制審核報告，對審核過程、發(fā)現(xiàn)的問題、客戶組織的整改情況等進行全面總結。審核報告應客觀、準確、清晰，為認證決策提供依據(jù)。審核報告編制認證機構應根據(jù)審核報告和其他相關信息，對客戶組織的供應鏈安全管理體系是否符合認證要求作出決定。對于符合要求的組織，認證機構應頒發(fā)認證證書；對于不符合要求的組織，應提出具體的改進建議，并視情況決定是否延期認證或拒絕認證。認證決定認證機構應對已獲證組織進行持續(xù)監(jiān)督，確保其供應鏈安全管理體系的持續(xù)有效運行。同時，根據(jù)認證周期的要求，組織復審活動，以驗證客戶組織在認證有效期內(nèi)是否持續(xù)滿足認證要求。復審過程中，認證機構應重點關注客戶組織的變化情況及其對供應鏈安全管理體系的影響。持續(xù)監(jiān)督與復審0102031010認證機構的管理體系要求認證機構應建立、實施和保持一套完整的管理體系文件，包括質(zhì)量手冊、程序文件、作業(yè)指導書等，以明確管理體系的結構、職責、過程和資源要求。管理體系文件化認證機構應建立持續(xù)改進的機制，通過內(nèi)部審核、管理評審、客戶反饋等方式，不斷識別管理體系中的不足，并采取措施加以改進。持續(xù)改進機制管理體系的建立與運行確保公正性認證機構應確保其審核和認證活動的公正性，不受任何商業(yè)、財務或其他壓力的影響，確保審核和認證結果的客觀性和真實性。維護獨立性認證機構應獨立于其審核和認證的客戶組織，避免利益沖突，確保審核和認證活動的獨立性。公正性與獨立性人力資源認證機構應配備具有相應專業(yè)知識和技能的審核員和管理人員，確保他們具備實施審核和認證活動所需的能力和經(jīng)驗。物質(zhì)資源認證機構應提供必要的物質(zhì)資源，如辦公場所、設備、工具等，以支持審核和認證活動的順利進行。資源管理信息管理記錄管理認證機構應建立記錄管理制度，對審核和認證過程中產(chǎn)生的記錄進行妥善保存和管理，以便追溯和驗證審核和認證活動的有效性和合規(guī)性。保密性認證機構應對客戶組織的信息保密，未經(jīng)客戶組織同意，不得泄露給第三方。同時，認證機構應建立信息安全管理體系，確保信息的完整性和可用性。認證機構應對審核過程進行嚴格控制，確保審核活動按照預定的程序和方法進行，以識別客戶組織供應鏈安全管理體系的符合性和有效性。審核過程控制認證機構應建立認證決定過程，確保認證決定基于充分的審核證據(jù)和合理的判斷，避免主觀臆斷和偏見。認證決定過程過程控制風險評估認證機構應定期對其管理體系進行風險評估，識別潛在的風險和機遇，并制定相應的應對措施。風險應對對于已識別的風險，認證機構應采取適當?shù)拇胧┻M行應對，以降低風險對管理體系的影響，確保管理體系的持續(xù)有效運行。風險管理11附錄A(資料性附錄)對審核時間確定過程的導則審核時間應充分考慮供應鏈安全管理體系的復雜性和規(guī)模，以及受審核方的具體情況。審核時間應合理分配到各個審核階段和審核要素，確保審核的全面性和有效性。審核時間應確保審核員有足夠的時間對受審核方的供應鏈安全管理體系進行全面、客觀、準確的評估。A.1審核時間確定的基本原則02分析受審核方的供應鏈安全管理體系文件，包括手冊、程序文件、記錄等，確定審核的重點和難點。04與受審核方溝通，確認審核時間安排的可行性和合理性，必要時進行調(diào)整。03根據(jù)審核員的專業(yè)能力和經(jīng)驗，以及審核任務的要求，初步確定審核時間。01了解受審核方的供應鏈安全管理體系情況，包括其規(guī)模、復雜程度、業(yè)務范圍等。A.2審核時間確定的具體步驟A.3審核時間確定的注意事項010203審核時間不宜過短，以免審核員無法充分了解和評估受審核方的供應鏈安全管理體系。審核時間也不宜過長，以免造成資源浪費和審核效率低下。審核時間的確定應充分考慮審核員的工作負荷和審核任務的緊急程度，確保審核工作的順利進行。審核員應詳細記錄審核時間的分配和使用情況，包括各個階段和要素的審核時間。A.4審核時間的記錄和報告審核報告應明確說明審核時間的確定過程和結果，以及審核過程中發(fā)現(xiàn)的問題和改進建議。審核時間和報告應作為審核工作的重要記錄和依據(jù)，為后續(xù)的審核工作提供參考和借鑒。12附錄B(規(guī)范性附錄)多場所組織的審核準則審核范圍應覆蓋所有場所審核應涵蓋組織所有相關的場所，包括總部、分支機構、生產(chǎn)基地、倉庫等。審核內(nèi)容應全面審核內(nèi)容應包括供應鏈安全管理體系的所有要素，如供應商管理、采購控制、生產(chǎn)過程控制、產(chǎn)品檢驗和測試等。審核范圍制定詳細的審核計劃審核計劃應包括審核目的、范圍、時間、地點、審核員、審核方法等。審核計劃應具有可操作性審核計劃應具體、明確，能夠指導審核員進行實際操作。審核計劃審核員應具備供應鏈安全管理體系的專業(yè)知識和審核技能，能夠準確判斷組織的合規(guī)性和有效性。審核員應具備專業(yè)能力審核員在審核過程中應保持客觀公正，不受任何組織或個人影響，確保審核結果的準確性和公正性。審核過程應客觀公正審核實施審核報告應全面反映審核情況審核報告應包括審核目的、范圍、時間、地點、審核員、審核方法、審核結果等內(nèi)容，全面反映組織的供應鏈安全管理體系情況。審核報告應具有可追溯性審核報告應詳細記錄審核過程中的關鍵信息和數(shù)據(jù)，確保審核結果的可追溯性和可驗證性。審核報告13附錄C(規(guī)范性附錄)審核員的教育、工作和審核經(jīng)歷及培訓時間高等教育背景應具有與供應鏈安全管理相關的高等教育背景，如物流管理、安全管理、質(zhì)量管理等專業(yè)。專業(yè)培訓應接受過供應鏈安全管理方面的專業(yè)培訓，了解相關法規(guī)、標準和管理體系。審核員的教育經(jīng)歷審核員的工作經(jīng)歷審核經(jīng)驗應具有對供應鏈安全管理體系進行審核的經(jīng)驗，能夠識別體系中的不符合項并提出改進建議。相關工作經(jīng)驗應具有在供應鏈安全管理領域的相關工作經(jīng)驗，熟悉供應鏈運作流程和安全風險點。審核項目數(shù)量應具有一定的審核項目數(shù)量，能夠熟練掌握審核技巧和方法。審核領域范圍審核員的審核經(jīng)歷應具有在不同領域進行審核的經(jīng)歷，能夠應對不同行業(yè)的供應鏈安全管理體系審核。0102VS應滿足相關法規(guī)和標準對審核員培訓時間的要求，確保具備足夠的專業(yè)知識和技能。持續(xù)教育應持續(xù)接受相關法規(guī)、標準和管理體系的培訓和教育，保持專業(yè)知識和技能的更新。培訓時間要求審核員的培訓時間14附錄D(規(guī)范性附錄)審核員能力要求安全管理知識掌握安全管理的基本原理和方法，了解安全風險評估、安全控制措施和安全事故應急處理等方面的知識。法律法規(guī)知識熟悉與供應鏈安全管理相關的法律法規(guī)、標準和政策要求，能夠準確理解和應用相關法律法規(guī)。供應鏈管理知識了解供應鏈管理的基本概念、原理和方法，熟悉供應鏈各環(huán)節(jié)的操作流程和規(guī)范。專業(yè)知識要求01審核計劃制定能夠根據(jù)審