1 范圍

      對于依據(jù)管理體系規(guī)范和標準（例如ISO 28000）提供供應(yīng)鏈安全管理體系審核與認證的機構(gòu)，本標準給出了原則和要求。

      本標準規(guī)定了對認證機構(gòu)及其相關(guān)審核員的最低要求，識別了審核和認證客戶組織時對保密性的獨特要求。

      對供應(yīng)鏈安全管理體系的要求可能來自多個方面，本標準的制定旨在幫助對符合ISO 28000《供應(yīng)鏈安全管理體系規(guī)范》和其他供應(yīng)鏈安全管理體系國際標準要求的供應(yīng)鏈安全管理體系實施認證。

      本標準的內(nèi)容也可用于支持基于其他特定的供應(yīng)鏈安全管理體系要求的供應(yīng)鏈安全管理體系認證。

      本標準：

      ——對應(yīng)用ISO28000（或其他特定的供應(yīng)鏈安全管理體系要求）的認證機構(gòu)認可提供了一致的指導(dǎo)；

      ——明確了適用于依據(jù)供應(yīng)鏈安全管理體系標準要求（或其他特定的供應(yīng)鏈安全管理體系要求）實施供應(yīng)鏈安全管理體系審核與認證的規(guī)則；

      ——向客戶提供關(guān)于其供方獲得認證的方式的必要信息和信心。

      注1：供應(yīng)鏈安全管理體系認證有時也稱為“注冊”，認證機構(gòu)有時稱為“注冊機構(gòu)”。

      注2：認證機構(gòu)可以是非政府的或政府的（具有或不具有法定權(quán)力）。

      注3：本標準可作為認可、同行評審或其他審核過程的準則文件。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修訂版）適用于本文件。

      ISO/IEC 17000：2004 合格評定 詞匯和通用原則（Conformity assessment-Vocabulary and general principles)

      ISO 19011：2002 管理體系審核指南（Guidelines for quality and/or environmental management systems auditing)

      ISO 28000 供應(yīng)鏈安全管理體系規(guī)范（Specification for security management systems forthe supply chain)

3 術(shù)語和定義

      ISO/IEC 17000界定的以及下列術(shù)語和定義適用于本文件。

3.1

      獲證客戶 certified client

      供應(yīng)鏈安全管理體系已獲得有資格的第三方認證的組織。

3.2

      公正性 impartiality

      實際存在的并被認識到的客觀性。

      注1：客觀性意味著利益沖突不存在或已解決，不會對認證機構(gòu)的后續(xù)活動產(chǎn)生不利影響。

      注2：其他可用于表示公正性的要素的術(shù)語有：客觀、獨立、無利益沖突、沒有成見、沒有偏見、中立、公平、思想開明、不偏不倚、不受他人影響、平衡。

3.3

      管理體系咨詢和/或相關(guān)的風險評估 management system consultancy and/or associated risk as-sessments

      參與設(shè)計、實施或保持供應(yīng)鏈安全管理體系，以及實施風險評估。

      示例：

      a）籌劃或編制手冊或程序；

      b）對供應(yīng)鏈安全管理體系的建立和實施提供具體的建議、指導(dǎo)或解決方案；

      c）實施內(nèi)審；

      d）實施風險評估與分析。

      注：如果與供應(yīng)鏈安全管理體系或?qū)徍擞嘘P(guān)的培訓(xùn)課程僅限于提供可在公共場合自由獲取的通用信息，那么組織培訓(xùn)并作為培訓(xùn)者參與培訓(xùn)不被視為咨詢，即培訓(xùn)者不針對特定的公司提出解決方案。

4 認證機構(gòu)的原則

4.1 總則

4.1.1 本章所述原則是本標準中后續(xù)的特定績效要求和說明性要求的基礎(chǔ)。本標準未就所有可能發(fā)生的情況給出特定要求。在出現(xiàn)未預(yù)料到的情況時，宜應(yīng)用這些原則作為決策的指南。這些原則不是要求。

4.1.2 認證的總體目標是使所有相關(guān)方相信供應(yīng)鏈安全管理體系、過程或產(chǎn)品（包括服務(wù)）滿足規(guī)定要求。認證的價值取決于第三方通過對管理體系、過程或產(chǎn)品（包括服務(wù)）進行公正、有能力的評定所建立的公信力的程度。認證的利益相關(guān)方包括（但不限于）：

      a）認證機構(gòu)的客戶；

      b）獲證客戶的顧客；

      c）政府部門；

      d）非政府組織；

      e）消費者和其他公眾。

4.1.3 建立信任的原則包括：

      a) 公正性；

      b）能力；

      c）責任；

      d）公開性；

      e）保密性；

      f）對投訴的處理。

4.2 公正性

4.2.1 公正，并被認為公正，是認證機構(gòu)提供可建立信任的認證的必要條件。

4.2.2 客戶支付的認證費用是認證機構(gòu)的收入來源，也是對公正性的潛在威脅，這一點得到公認。

4.2.3 為獲得和保持信任，認證機構(gòu)必須能夠證明其認證決定是基于所獲得的符合（或不符合）的客觀證據(jù)，且不受其他利益或其他各方的影響。

4.2.4 對公正性的威脅包括：

      a）自身利益：此類威脅源于個人或機構(gòu)依其自身利益行事。在認證中，財務(wù)方面的自身利益是一種對公正性的威脅。

      b）自我評審：此類威脅源于個人或機構(gòu)評審自己所做的工作。認證機構(gòu)對由其進行供應(yīng)鏈安全管理體系咨詢的客戶實施供應(yīng)鏈安全管理體系審核屬于此類威脅，因此不可接受。

      c）熟識（或信任）：此類威脅源于個人或機構(gòu)對另外一人過于熟悉或信賴，而不去尋找審核證據(jù)。

      d）脅迫：此類威脅源于個人或機構(gòu)察覺受到公然或暗中的強迫，如威脅用他人取而代之或向主管告發(fā)。

4.3 能力

      認證機構(gòu)的組織架構(gòu)所支撐的人員能力是認證提供信任的必要條件。能力是經(jīng)證實的有效應(yīng)用適當知識和技能的本領(lǐng)。

4.4 責任

4.4.1 符合認證要求的責任在于客戶組織而不是認證機構(gòu)。

4.4.2 認證機構(gòu)有責任對足夠的客觀證據(jù)進行評價，并在此基礎(chǔ)上做出認證推薦。根據(jù)審核推薦，如果符合性的證據(jù)充分，認證機構(gòu)做出授予認證的決定；如果符合性的證據(jù)不充分，則不授予認證。

      注：審核證據(jù)應(yīng)可以驗證。由于審核的時間和資源有限，審核證據(jù)基于對可獲取信息的抽樣，對審核結(jié)論的信任程度是與抽樣的恰當使用密切相關(guān)的。

4.5 公開性

4.5.1 為獲得對認證的誠信性與可信性的信任，認證機構(gòu)需要提供獲取有關(guān)審核過程、認證過程和所有組織認證狀態(tài)（即認證的授予、暫停、縮小范圍或撤消）的適當、及時信息的公開渠道，或公布這些信息。公開性是指可以獲取或公布信息。

4.5.2 為獲得或保持對認證的信任，認證機構(gòu)需向特定利益相關(guān)方提供獲取特定審核（如為回應(yīng)投訴而做的審核）結(jié)論的非保密信息的適當渠道，或公布這些信息。

4.6 保密性

      為了享有獲取充分評價與認證要求的符合性所需信息的特權(quán)，認證機構(gòu)需對任何關(guān)于組織供應(yīng)鏈安全管理體系的敏感信息、專有信息和/或與漏洞相關(guān)的信息予以保密。

4.7 對投訴的處理

      依賴認證的各方期望投訴得到調(diào)查。在投訴經(jīng)查明有效時，認證機構(gòu)宜使依賴認證的各方相信，認證機構(gòu)將對投訴進行適當?shù)奶幚?，并為解決投訴做出適當?shù)呐Α?/p>

      注：為了向認證的所有用戶證明認證的誠信性與可信性，需要在公開性和保密性（包括對投訴的處理）等原則之間取得適當?shù)钠胶狻?/p>

5 通用要求

5.1 法律與合同事宜

5.1.1 法律責任

      認證機構(gòu)應(yīng)為一個法律實體，或一個法律實體內(nèi)有明確界定的一部分，以便認證機構(gòu)能夠?qū)ζ渌姓J證活動承擔法律責任。政府的認證機構(gòu)因其政府地位而被視為法律實體。

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。