ISO IEC FDIS 17021-2010《合格评定 管理体系审核认证机构的要求》 - 图文

ISO/IEC FDIS 17021

9.6.5 如果客户在认证范围的某些部分持续地或严重地不满足认证要求，认证机构应缩小其认证范围，以排除不满足要求的部分。认证范围的缩小应与认证标准的要求一致。

9.6.6 认证机构应与获证客户就撤消认证时的要求[见8.4.3 d)]做出具有强制实施力的安排，以确保获证客户接到撤消认证的通知时，立即停止使用任何引用认证资格的广告材料。 9.6.7 在任何一方提出请求时，认证机构应正确说明客户的管理体系认证被暂停、撤消或缩小的情况。 9.7 申诉

9.7.1 认证机构应有受理和评价申诉并对之做出决定的形成文件的过程。 9.7.2 申诉处理过程的说明应可公开获取。

9.7.3 认证机构应对申诉处理过程各个层次的所有决定负责。认证机构应确保参与申诉处理过程的人员没有实施申诉涉及的审核，也没有做出申诉涉及的认证决定。

9.7.4 申诉的提出、调查和决定不应造成针对申诉人的任何歧视行为。 9.7.5 申诉处理过程应至少包括以下要素和方法：

a) 受理、确认和调查申诉的过程，以及参考以前类似申诉的结果，决定采取何种措施以回应申诉的过程；

b) 跟踪和记录申诉，包括为解决申诉而采取的措施； c) 确保采取任何适当的纠正和纠正措施。

9.7.6 认证机构应确认收到了申诉，并应向申诉人提供申诉处理的进展报告和结果。

9.7.7 对申诉的决定应由与申诉事项无关的人员做出，或经其审查和批准，并应告知申诉人。 9.7.8 认证机构应在申诉处理过程结束时正式通知申诉人。 9.8 投诉

9.8.1 认证机构应使对投诉处理过程的说明可公开获取。

9.8.2 认证机构在收到投诉时，应确认投诉是否与其负责的认证活动有关，并在经确认有关时予以处理。如果投诉与获证客户有关，认证机构在调查投诉时应考虑获证管理体系的有效性。 9.8.3 对于针对获证客户的投诉，认证机构还应在适当的时间将投诉告知该客户。

9.8.4 认证机构应有受理和评价投诉并对之做出决定的形成文件的过程。该过程涉及投诉人和投诉事项的方面应满足保密要求。

9.8.5 投诉处理过程应至少包括以下要素和方法：

a) 受理、确认和调查投诉的过程，以及决定采取何种措施以回应投诉的过程； b) 跟踪和记录投诉，包括为回应投诉而采取的措施； c) 确保采取任何适当的纠正和纠正措施。

注： ISO 10002为投诉的处理提供了指南。 9.8.6 收到投诉的认证机构应负责收集与核实对投诉进行确认所需的一切信息。

9.8.7 在可能时，认证机构应确认收到了投诉，并应向投诉人提供投诉处理的进展报告和结果。 9.8.8 对投诉的决定应由与投诉事项无关的人员做出，或经其审查和批准，并应告知投诉人。 9.8.9 在可能时，认证机构应在投诉处理过程结束时正式通知投诉人。 9.8.10 认证机构应与客户及投诉人共同决定是否应将投诉事项公开，并在决定公开时，共同确定公开的程度。

9.9 申请组织和客户的记录

9.9.1 认证机构应对所有客户（包括所有提交申请的组织、接受审核的组织和获得认证或被暂停或撤消认证的组织）保持审核及其他认证活动的记录。 9.9.2 获证客户记录应包括以下内容：

a) 申请资料及初次认证、监督和再认证的审核报告； b) 认证协议；

c) 抽样方法的理由；

19

ISO/IEC FDIS 17021

确定审核时间的理由（见9.1.4）； 纠正与纠正措施的验证；

投诉和申诉及任何后续纠正或纠正措施的记录； 适用时，委员会的审议和决定； 认证决定的文件；

认证文件，包括与产品（包括服务）、过程相关的认证范围，适用时，包括每个场所相应的认证范围；

j) 建立认证的可信度所需的相关记录，如审核员和技术专家能力的证据。

d) e) f) g) h) i)

注： 抽样方法包括为评审特定管理体系和（或）在多场所评审中选取场所而做的抽样。 9.9.3 认证机构应保证申请组织和客户记录的安全，以确保满足保密要求。运送、传输或传递记录的方式应确保保密。

9.9.4 认证机构应有关于记录保存的形成文件的政策和程序。记录保存期应为当前认证周期加上一个完整的认证周期。

注： 某些情况下，记录需按法律规定保存更长的时间。 10 认证机构的管理体系要求 10.1 可选方式 认证机构应建立和保持一个能够支撑并证实其始终满足本国际标准要求的管理体系。认证机构除了满足第5章至第9章的要求外，还应按照下列要求之一建立管理体系： a) 与ISO 9001一致的管理体系要求（见10.2）； b) 通用的管理体系要求（见10.3）。 10.2 方式一：与ISO 9001一致的管理体系要求 10.2.1 总则 认证机构应按照ISO 9001的要求，建立和保持一个能够支撑并证实其始终满足本国际标准要求的管理体系。该管理体系还应满足10.2.2至10.2.5的补充要求。 10.2.2 范围 为应用ISO 9001的要求，认证机构管理体系的范围应包括认证服务的设计和开发要求。 10.2.3 以顾客为关注焦点 为应用ISO 9001的要求，认证机构在建立管理体系时应考虑认证的可信性，而且不仅应关注客户需求，还应关注依赖其审核与认证服务的所有各方（如4.1.2所述）的需求。 10.2.4 管理评审 为应用ISO 9001的要求，认证机构应将认证活动使用方相关申诉和投诉的信息作为管理评审的输入。 10.2.5 设计和开发 为应用ISO 9001的要求，认证机构在开发新的管理体系认证方案或将现有方案适用于特殊情况时，应确保将GB/T 19011中适用于第三方审核的指南作为设计输入. 10.3 方式二：通用的管理体系要求 10.3.1 总则 认证机构应建立、实施和保持一个能够支撑并证实其始终满足本国际标准要求的管理体系并形成文件。 认证机构最高管理层应为认证机构的活动制定政策和目标，并形成文件。最高管理层应提供证据，以证实其对按本国际标准要求建立和实施管理体系的承诺。最高管理层应确保认证机构的政策在组织的各个层次上得到理解、实施和保持。 认证机构最高管理层应任命一名有下列职责和权力的管理层成员，无论其是否有其他职责： 20

ISO/IEC FDIS 17021

a) 确保管理体系所需的过程和程序得到建立、实施和保持； b) 向最高管理层报告管理体系的绩效及任何改进需求。

10.3.2 管理体系手册 认证机构应在管理体系手册或其关联文件中反映本国际标准的所有适用要求。认证机构应确保所有相关人员可以获取手册和相关的关联文件。 10.3.3 文件控制 认证机构应建立程序以控制与本国际标准实施有关的文件（内部和外部的）。该程序应规定下列方面所需的控制：

a) 文件发布前，对其充分性与适宜性进行批准； b) 对文件进行复审和必要的更新，并再次批准； c) 确保文件的更改和现行修订状态得到识别； d) 确保在使用场所可以获得适用文件的相关版本； e) 确保文件保持清晰并易于识别；

f) 确保外来文件得到识别，并控制其分发；

g) 防止作废文件的非预期使用，并在因故保留作废文件时，对其做出适当的标识。

注： 文件可以使用任何形式或类型的介质。 10.3.4 记录控制 认证机构应建立程序，以对识别、贮存、保护、检索和处置与本国际标准实施有关的记录以及记录保存期限规定所需的控制。

认证机构应建立程序以明确与其合同、法律责任相一致的记录保存期限。对这些记录的查阅应与保密安排相一致。

注： 获证客户记录的要求见9.9。

10.3.5 管理评审 10.3.5.1 总则 认证机构最高管理层应建立按策划的时间间隔对管理体系进行评审的程序，以确保管理体系（包括与本国际标准实施有关的明示的政策和目标）的持续适宜性、充分性和有效性。管理评审应至少每年进行一次。

10.3.5.2 评审输入 管理评审的输入应包括与下列方面有关的信息： a) 内部审核和外部评审的结果；

b) 客户和本国际标准实施涉及的利益相关方的反馈； c) 维护公正性的委员会的反馈； d) 预防措施和纠正措施的状况； e) 以往管理评审的后续措施； f) 目标的实现情况；

g) 可能影响管理体系的变更； h) 申诉和投诉。 10.3.5.3 评审输出 管理评审的输出应包括与下列方面有关的决定和措施： a) 管理体系及其过程的有效性的改进；

b) 与本国际标准实施有关的认证服务的改进； c) 资源需求。 10.3.6 内部审核 21

ISO/IEC FDIS 17021

10.3.6.1 认证机构应建立内部审核程序，以证明认证机构满足本国际标准要求，并有效地实施和保持了管理体系。 注： GB/T 19011为实施内部审核提供了指南。 10.3.6.2 认证机构应对内部审核方案进行策划，并在策划中考虑拟审核过程和区域的重要程度以及以往审核的结果。 10.3.6.3 内部审核应至少每12个月进行一次。如果认证机构能够证明管理体系按照本国际标准持续地有效运行并保持稳定，则可以减少内部审核的频次。 10.3.6.4 认证机构应确保：

a) 内部审核的实施人员具备资格，熟悉认证、审核和本国际标准的要求； b) 审核员不审核自己的工作；

c) 将审核结果告知受审核区域的负责人员； d) 根据内部审核结果及时采取适当的措施； e) 识别任何改进的机会。 10.3.7 纠正措施 认证机构应建立识别和管理其运作中的不符合的程序。必要时，认证机构还应采取措施消除不符合的原因，以防止其再次发生。纠正措施应与所遇到问题的影响程度相适应。该程序应明确对下列方面的要求：

a) 识别不符合（例如通过投诉和内部审核）； b) 确定不符合的原因； c) 纠正不符合；

d) 评价确保不符合不再发生的措施的需求； e) 及时确定和实施所需的措施； f) 记录所采取措施的结果； g) 评审纠正措施的有效性。 10.3.8 预防措施 认证机构应建立采取预防措施以消除潜在不符合的原因的程序。预防措施应与潜在问题的可能影响程度相适应。预防措施程序应明确对下列方面的要求：

a) 识别潜在的不符合及其原因；

b) 评价防止不符合发生的措施的需求； c) 确定和实施所需的措施； d) 记录所采取措施的结果；

e) 评审采取的预防措施的有效性。

注： 纠正措施和预防措施的程序不一定要分别制定。 22