T∕CCAA 36-2022 认证机构远程审核指南.pdf
《T∕CCAA 36-2022 认证机构远程审核指南.pdf》由会员分享,可在线阅读,更多相关《T∕CCAA 36-2022 认证机构远程审核指南.pdf(30页珍藏版)》请在咨信网上搜索。
1、 ICS 03.120.20 CCS A 00 团体标准 T/CCAA 362022 代替 T/CCAA 362020 认证机构远程审核指南认证机构远程审核指南 Guidelines on remote auditing for certification bodies 2022 5 31 发布 2022 - 5 31 实施 中国认证认可协会 发布 全国团体标准信息平台全国团体标准信息平台T/CCAA 362022 I 目 次 前言 . II 引言 . III 1 范围 .1 2 规范性引用文件 .1 3 术语和定义 .1 3.1 .1 4 远程审核原则 .2 4.1 总则 .2 4.2 信息
2、安全性与保密性 .2 4.3 基于风险的方法 .2 4.4 持续改进 .2 5 远程审核方案的管理 .2 5.1 总则 .2 5.2 实施远程审核的条件 .2 5.3 确定和评价远程审核的风险 .3 5.4 建立远程审核方案 .3 5.5 实施远程审核方案 .6 5.6 监视远程审核方案 .6 5.7 评审和改进远程审核方案 .6 6 远程审核的实施 .7 6.1 总则 .7 6.2 审核的准备 .7 6.3 审核的实施 .7 6.4 审核报告的编制 .8 6.5 审核的完成 .8 6.6 审核的后续活动 .8 7 远程审核能力 .8 7.1 总则 .8 7.2 基础设施与运行环境 .8 7.
3、3 人员 .9 8 评价与改进 .10 附录 A(资料性)采用远程审核方式条件判断示例 . 11 附录 B(资料性)宜保留的与远程审核活动相关的成文信息 .13 附录 C(资料性)远程审核常用的信息和通信技术(ICT) .14 附录 D(资料性)应用 ICT 实施审核取证示例 .17 参考文献 .22 全国团体标准信息平台 全国团体标准信息平台T/CCAA 362022 II 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。 本文件代替T/ CCAA 36-2020认证机构远程审核指南,与T/CCAA 362020相比,除编辑性改动外,
4、主要技术变化如下: a)提出了建立远程审核方案的考虑因素以及连续两次采用远程审核方式时宜保留的信息 (见5.4) ; b)删除了远程审核实施中通用及与附录重叠的部分, 扩充了远程审核相关的关注内容 (见第6章) ; c)扩充了实施远程审核的人员能力、基础设施及运行环境建议(见第7章); d)增加了远程审核在信息安全方面的考虑(见4.2及第6章); e)提供了更多的信息和通信技术(ICT)及其应用示例(见附录C及附录D)。 请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。 本文件起草单位:广州赛宝认证中心服务有限公司、中国合格评定国家认可中心、北京埃尔维质量认证中心
5、、中国质量认证中心、通标标准技术服务有限公司、中国网络安全审查技术与认证中心、兴原认证中心有限公司、中汽研华诚认证(天津)有限公司、北京军友诚信检测认证有限公司、中汽认证中心有限公司、杭州万泰认证有限公司、华夏认证中心有限公司、北京五洲恒通认证有限公司、北京大陆航星质量认证中心股份有限公司、北京恩格威认证中心有限公司、中知(北京)认证有限公司、英标管理体系认证(北京)有限公司、中国船级社质量认证公司、方圆标志认证集团有限公司、卓越新时代认证有限公司、 上海质量体系审核中心、 北京中建协认证中心有限公司、 北京中认科进技术服务有限公司、北京兴国环球认证有限公司、北京国建联信认证中心有限公司、浙江
6、公信认证有限公司、北京海德国际认证有限公司、中国新时代认证中心、北京世标认证中心有限公司、国家市场监督管理总局认证认可技术研究中心、北京中经科环质量认证有限公司、北京中化联合认证有限公司、北京联合智业认证有限公司、北京九鼎国联认证有限公司、深圳市腾讯计算机系统有限公司、中标联合(北京)认证有限公司、长城(天津)质量保证中心、中标华信(北京)认证中心有限公司、北京东方纵横认证中心有限公司、泰尔认证中心有限公司、中煤协联合认证(北京)中心、北京国标联合认证有限公司。 本文件主要起草人:刘小茵、梁小峻、王索、秦红、刘彦龙、于文涛、肖定生、张剑、曲丽、郑燕、柯章勇、董德刚、于芳、贾岚、卢振辉、乔文龙、
7、孙芳、潘蓉、李洋、彭新、杨雪娟、谭平、褚宝磊、张莉、王梅、曲光宇、严义君、肖飞、孙竹君、孟咏歌、郭喜宏、孟凯、胡新爱、孟建军、陈嫣红、黄学良、宋跃炜、陈健、徐超、汤丽娜、潘小利、延敬清、王永霞、李文远、王燕、李辰暄、周陶陶、胡越男、孙敏杰、张静。 全国团体标准信息平台全国团体标准信息平台T/CCAA 362022 III 引 言 为适应快速变化的环境,包含但不限于公共卫生事件、出行限制、自然灾害及其他限制性情况的发生,导致审核员无法到达受审核方场所实施审核的情况,认证机构在基于风险、信息安全、持续改进的原则下,应用远程审核手段提升、整合、重构认证机构的内外部资源,提升认证管理能力,赋能认证业务
8、稳健创新。在适应新形势和顾客新需求的同时,符合政府监管部门、认可机构及其他相关方的要求,构建传统审核与远程审核相互补充的新生态,形成新动能,创造新价值,实现新发展。同时,信息和通信技术(ICT)的快速发展和广泛应用,也为远程审核提供了更多可能。 编制本文件的目的是确保远程审核的有效性和可信度。认证机构及相关方都需了解其在远程审核过程中的输入、预期输出以及风险等方面的作用,以期实现审核目标。 本文件结合最新的远程审核实践和ICT技术发展,为规范和指导认证机构开展远程审核活动,管理远程审核风险提供指南。 本文件在国际认可论坛(IAF)有关文件、国际标准化组织(ISO)相关标准框架下制定,是对IAF
9、文件的有效补充和细化,以及对GB/T 190112021附录A1“远程审核方法”的补充,同时还进一步明确了GB/T 27021.12017附录A所述的认证过程中远程审核相关人员的能力。 本文件第1章至第3章给出了使用本文件的范围、规范性引用文件以及术语和定义,第4章阐述了远程审核原则, 这些原则体现了本文件的核心关注点。 第5章至第8章基于PDCA方法明确了远程审核的全过程,为认证机构通过建立管理体系来提高远程审核的有效性提供了可选择的途径。附录A给出了是否可采用远程审核方式的条件判断示例, 附录B列出了建议保留的与远程审核活动相关的成文信息, 附录C给出了远程审核的常用信息和通信技术,附录D
10、列出了应用信息和通信技术实施审核取证示例。 全国团体标准信息平台 全国团体标准信息平台T/CCAA 362022 1 认证机构远程审核指南 1 范围 本文件为认证机构实施远程审核提供了审核原则、审核方案管理、审核实施、审核能力、审核评价与改进的指南。 本文件适用于认证机构开展管理体系认证、 产品认证和服务认证的远程审核活动, 也可供其他类型的审核活动参考使用。 注:远程审核的适用范围包含但不限于公共卫生事件、出行限制、自然灾害及其他限制性情况的发生,导致审核员无法到达受审核方场所实施审核的情况。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日
11、期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 19000 质量管理体系 基础和术语 GB/T 190112021 管理体系审核指南 GB/T 23694 风险管理 术语 GB/T 27000 合格评定 词汇和通用原则 IAF MD4:2022 IAF 强制性文件 信息和通信技术(ICT)在审核/评审中的应用(IAF mandatory document for the use of information and communication technology ( ICT ) for auditing/assessm
12、ent purposes) 3 术语和定义 GB/T 19000、GB/T 190112021、GB/T 23694、GB/T 27000、IAF MD4:2022 界定的以及下列术语和定义适用于本文件。 3.1 远程审核远程审核 remote auditingremote auditing 应用信息和通信技术(ICT) ,全部或部分的在受审核方实际场所以外任何地点获得客观证据、形成审核发现,以确定满足审核准则程度所进行的系统的、独立的并形成文件的过程。 注1:ICT是应用技术来收集、存储、检索、处理、分析和发送信息,它包括软件和硬件,例如:智能手机、手持设备、笔记本电脑、台式电脑、无人机、摄
13、像机、可穿戴技术、人工智能及其他 IAF MD4:2022,0.2。 注2:远程审核可以是审核员在受审核方某一场所对其他场所的人员、 活动或过程进行的审核, 也可以是审核员不在受审核方场所对受审核方的人员、活动或过程进行的审核。 注3:GB/T 190112021的A.16对远程审核与虚拟场所审核进行了说明。 虚拟场所的审核有时称为虚拟审核。 关于虚拟审核,可参考GB/T 190112021中的有关内容。 全国团体标准信息平台T/CCAA 362022 2 4 远程审核原则 4.1 总则 本条款在 GB/T 190112021 第 4 章的基础上,对其进行了补充和说明。 注:本文件4.2、4.
14、3是分别对GB/T 190112021第4章d)、g)的进一步说明,4.4是对GB/T 190112021第4章的补充。 4.2 信息安全性与保密性 应用 ICT 实施远程审核,确保电子信息或电子化传输信息的安全性、保密性和数据保护非常重要。认证机构宜考虑与安全性、 保密性和数据保护相关的法律法规和客户要求, 针对审核中应用 ICT 遵守信息安全与数据保护的措施和规则,在 ICT 应用于审核之前,与受审核方相互达成一致意见。 注:在某些情况下,出于信息安全性要求的考虑,审核过程不允许使用ICT,可能导致无法实施远程审核。 4.3 基于风险的方法 应用 ICT 实施远程审核,认证机构宜对实现审核
15、目标有影响的风险加以识别、评估和管理。风险可能与下列方面有关,包括但不限于: 审核类型; 所审核活动/过程和场所的复杂性、代表性; ICT 的选择; ICT 所需的资源与条件; 审核组应用 ICT 获取审核证据的能力; 信息处理和分析的能力; 电子信息或电子化传输信息的真实性、完整性; 其他支持条件。 4.4 持续改进 认证机构宜根据远程审核活动评价的结果,持续改进远程审核的充分性、适宜性与有效性。 5 远程审核方案的管理 5.1 总则 认证机构宜建立远程审核方案,该方案在符合 GB/T 190112021 中 5.1 相关内容的同时宜考虑本文件对远程审核提出的特定因素的建议,这些因素包括但不
16、限于: 与远程审核方案有关的风险(见 5.3)及应对措施; 远程审核的信息安全和保密原则(见 4.2) ; 实施远程审核的能力(见第 7 章) 。 注:认证机构宜不断监视和测量审核方案的执行情况(见5.6),以确保实现其目标,并定期开展审核方案的审查工作,以便确定变化的需要和可能的改进机会(见5.7)。 5.2 实施远程审核的条件 当下列(但不限于)情况得到满足时,认证机构可实施远程审核: a) 实施远程审核所需的信息是充分的; 全国团体标准信息平台T/CCAA 362022 3 b) 远程审核的范围(审核内容和边界)已确定(产品认证除外); c) 远程审核的方式/方法以及可行性得到确认; d
17、) 双方实施远程审核活动的能力得到确认; e) 认证机构和受审核方之间任何已知的有关远程审核理解上的分歧已经得到解决。 适宜时,认证机构宜编制实施远程审核调查表,对受审核方实施远程审核的能力进行调查。调查内容可参考但不限于本文件的 7.2 和 7.3。 认证机构宜对所获得的远程审核相关信息实施评审,并与受审核方进行沟通,以便: a) 根据远程审核风险评价需要(见 5.3)评审受审核方是否满足实施远程审核条件; 注:开展远程审核的条件可参考附录A。 b) 确定认证机构自身的: 1) 认证范围及专业风险; 2) 实施远程审核的支持条件(见第 7 章) 。 注:认证机构可以适宜的方式与受审核方沟通远
18、程审核的可行性、 远程审核的风险以及远程审核后的有效性评估及补充措施(适用时)等。 5.3 确定和评价远程审核的风险 在符合 GB/T 190112021 中 5.3 要求的基础上,认证机构在策划远程审核方案时,宜考虑第 4 章提及的远程审核原则,对可能影响远程审核有效性的认证项目,或认证项目中的活动/过程进行风险评价。对于评价结果为高风险的认证项目,或低风险认证项目中的高风险活动/过程,不适宜采用远程审核。策划宜: 保证实现远程审核的预期结果; 预防或降低远程审核风险; 实现远程审核活动的持续改进。 注:附录 A 给出了开展远程审核活动的适宜(不适宜)情形。 认证机构宜策划: a) 风险评估
19、准则以及风险应对措施; b) 如何: 1) 在远程审核活动中实施这些措施; 2) 评价这些措施的有效性。 5.4 建立远程审核方案 认证机构在建立远程审核方案时,宜在考虑GB/T 190112021的5.4相关内容的基础上,同时考虑(但不限于)本文件5.4.1、5.4.2的相关内容。 5.4.1 与远程审核实施有关事项的沟通和确认 认证机构宜针对远程审核实施与受审核方进行充分的沟通,并就相关事项与受审核方进行确认并达成一致: 认证机构(含人员) 、受审核方及相关方(实施远程审核所使用的 ICT 的提供方,如第三方软件平台)的能力和责任; 信息安全风险及控制要求; 远程审核的范围及边界; 实施远
20、程审核活动的资源、方式、方法; 全国团体标准信息平台T/CCAA 362022 4 应急响应(见 6.2)措施; 审核结果及有效性的评估。 5.4.2 远程审核方案策划 5.4.2.1 建立远程审核方案的原则 建立远程审核方案的原则是: 确保审核的完整性和有效性; 确保认证要求全部得到满足。 5.4.2.2 远程审核方案 远程审核方案宜考虑但不限于以下因素: a) 法律法规以及行业的相关要求; b) 认证项目的复杂程度及风险程度; c) 采用远程审核方式对所审核的活动/过程进行观察和获取证据的充分性; d) 其他因素,如有保密要求限制等; e) 风险评价结果。 5.4.2.2.1 对同一组织不
21、宜连续两次采用完全远程审核的方式,如以该方式实施,宜保留相关的连续选择远程审核的依据、风险评价、控制措施及其有效性评价结果等信息。 注:远程审核可分为两种类型: 完全远程审核:是指远程执行的审核活动,覆盖受影响的审核的全部审核期间和审核范围; 部分远程审核:是指采用实地现场审核和远程审核相结合的方式完成一次完整审核活动。 5.4.2.2.2 对于有特定要求的认证制度,宜在相关要求得到遵守的前提下,依据认证风险及项目风险评价结果选择适宜的远程审核方式。 5.4.2.2.3 对于产品认证: a) 产品认证机构在确定包含远程检查的认证方案时,宜考虑认证风险与本文件 5.4.2.1、5.4.2.2.1
22、 及 5.4.2.2.2 的有关内容; b) 认证机构应用远程方式实施产品抽样、一致性检查时,宜以适宜的方式方法,确保抽样和检查样本的真实性、代表性; c) 适宜的方式方法包括增加远程检查的频次, 利用适宜的 ICT 以获取远程产品抽样、 远程一致性检查样本的总体信息等; d) 认证机构宜依据产品认证相关要求,编制远程产品抽样实施指南、远程产品一致性检查指南,以确保远程产品抽样和产品一致性检查的效率及检查结果充分、清晰、可追溯。当产品要求变更时,认证机构宜评估产品抽样实施指南、远程产品一致性检查指南的充分性、适宜性及实施效果。 5.4.2.2.4 对于服务认证: 对于服务管理审核,可依据本标准
23、阐述的通用要求进行远程审核的策划和实施: a) 对于服务特性的测评,可根据不同服务业态、接触方式和选择的不同模式,进行风险评估,以确定是否适宜远程审核, 并保留风险评估的结果。 经与受审核方协商后制定远程审核方案, 得到受审核方确认后实施; 全国团体标准信息平台T/CCAA 362022 5 b) 对实施远程审核的效果进行评估。 注:A.3 给出了服务认证可部分采用远程审核的情形。 5.4.3 成文信息 认证机构宜建立、 实施并保持远程审核过程控制的成文信息, 以确保远程审核的可追溯性和有效性。 5.4.3.1 成文信息的类型 远程审核成文信息的类型包括但不限于: a) 信息随实际变化的动态文
24、件,如视频文件、音频文件; b) 信息不随实际变化的静态文件,如照片或截图等; c) 各种格式的文档信息,如 PDF、WORD、EXCEL 文件等。 注:附录B给出了建议保留的与远程审核活动相关的成文信息。 5.4.3.2 成文信息的控制 认证机构宜确保远程审核中获取、 收集、 传输、 保留和处置的成文信息完整、 清晰、 真实、 可追溯,具有安全性和保密性,并予以保护,防止非预期的更改和使用。 5.4.3.2.1 成文信息的获取和收集 成文信息的获取和收集需遵守法律法规和受审核方信息安全的有关规定,并宜注意下列事项: a) 事先获得受审核方许可,并考虑保密和安全事宜; b) 如确需访问受审核方
25、数据信息如数据库时, 宜在受审核方授权的前提下进行, 并遵守受审核方相关的信息安全保护措施要求,防止未经授权的访问、不当使用、损坏和泄露; c) 对于由受审核方生成的成文信息,宜关注: 1) 信息生成的日期和时间; 2) 编排整理的方式方法; 3) 信息传输的方式方法; 4) 审核组接收信息的日期、时间和人员。 5.4.3.2.2 成文信息的传输 成文信息传输时,宜采取措施防止数据交换、访问过程中给受审核方带来信息安全风险,并确保电脑等信息处理设备已采取相应的保护策略(如设置开机密码、清空桌面、防止无人值守等),避免审核期间的信息泄露。 不宜在未采取防护措施的情况下, 直接在互联网及其他公共信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- TCCAA 36-2022 认证机构远程审核指南 CCAA 36 2022 认证 机构 远程 审核 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。