GBT 38701-2020 供应链安全管理体系 对供应链安全管理体系审核认证机构的要求

依赖认证的各方期望投诉得到调查。在投诉经查明有效时，认证机构宜使依赖认证的各方相信 几构将对投诉进行适当的处理，并为解决投诉做出适当的努力。 注：为了向认证的所有用户证明认证的诚信性与可信性，需要在公开性和保密性（包括对投诉的处理)等原则之 取得适当的平衡

正活动承担法律责任，政府的认证机构因其政府地位而被视为法律实体

认证机构与客户组织 的提供认证服务的协议。此外地质灾害标准规范范本，如果认证 机构有多个办公场所或获证客户有多 证机构应确保授予认证并颁发证书的认证机构与获 证客户之间有清晰覆盖客户每一个获认证场所的在法律上具有强制实施力的协议。该协议应清楚说明 按照哪些标准和/或其他规范性文件进行认证

5.1.3认证决定的责任

认证机构应对与认证有关的决定（包括授予、保持、更新、扩关、缩小、暂停和撤消认证）负责，并应保 持做出上述决定的权力。

5.2.1认证机构最高管理层应对供应链安全管理体系认证活动的公正性做出承诺。认证机构应具有 可公开获取的声明，表明其理解公正性在实施供应链安全管理体系认证活动中的重要性，对利益冲突加 以管理，并确保其供应链安全管理体系认证活动的客观性。 5.2.2认证机构应识别和分析由认证活动引起的利益冲突的可能性并将其形成文件，包括认证机构的 各种关系引起冲突的可能性。有关系不一定都会引起利益冲突。但是，如果任何关系对公正性构成风 险，认证机构应将其如何消除或最大限度减小此类风险形成文件，并应能向6.2所指的委员会证实。所 做的证实应包括所有已识别的潜在利益冲突来源，无论其产生于认证机构内部还是其他个人、机构或组 织的活动。 5.2.3当某种关系对认证机构的公正性产生不可消除的威胁时（如认证机构的全资子公司向其申请认 证），认证机构不应提供认证。 5.2.4认证机构不应对另一认证机构的管理体系认证活动进行认证。 5.2.5认证机构及同一法律实体的任何其他部分不应提供供应链安全管理体系咨询和/或相关的风险 评估，也不应为供应链安全管理体系咨询和/或风险评估提供报价。本条款同样适用于政府中被识别为 认证机构的那一部分。 5.2.6认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核。本条款同样适用 于政府中被识别为认证机构的那一部分 5.2.7如果咨询机构与认证机构之间的关系对认证机构的公正性构成了不可接受的威胁，而客户接受 了该咨询机构的供应链安全管理体系咨询和/或相关的风险评估或内部审核，则认证机构不应对该供应 链安全管理体系进行认证。 注1：在供应链安全管理体系咨询和/或相关风险评估或内部审核结束后经过至少两年时间，是将对公正性的威助 降至可接受水平的一种方式， 注2；对5.2.2和5.2.4的注：威胁认证机构公正性的关系可能源自其所有权、法人治理结构、管理层、人员、共享资 源、财务、合同、营销以及给介绍新客户的人销售佣金或其他好处。 注3：对5.2.6和5.2.7的注：由审核员提出解决方案（针对已识别的不符合或改进机会）的内部审核被视为对公正性 有不可接受的威胁。 5.2.8认证机构不应将审核外包给对认证机构的公正性构成不可接受的威胁的机构（见7.5）。 5.2.9认证机构活动的营销不应与提供供应链安全管理体系咨询和/或相关风险评估的机构的活动有

5.2.9认证机构活动的营销不应与提供供应链安全管理体系咨询和/或相关风险评估的机构的活动有 联系。如果任何咨询机构宣称或暗示选择某认证机构将使认证更为简单、容易、迅速或廉价，则该认证 机构应采取措施纠正这种不当表述。认证机构不应宜称或暗示选择某咨询机构将使认证更为简单、容 易、迅速或廉价。

括管理人员），在咨询结束后两年内，不应被雇佣从事针对该客户的审核或认证活动。 5.2.11认证机构应采取措施，以应对其他人员、机构或组织的行为对其公正性产生的威胁。 5.2.12认证机构所有可以影响认证活动的人员（内部或外部的）或委员会应公正行事，且不应允许商 业、财务或其他方面的压力损害公正性。 5.2.13认证机构应要求内部和外部的人员告知他们所了解的任何可能使其或认证机构陷入利益冲突 的情况。认证机构应利用这些信息识别他们或其所在单位的活动对公正性产生的威胁，且应在他们能 够证明没有利益冲突之后再使用这些内部或外部人员。 注：如果已知组织扁佣的审核员提供了供应链安全管理体系咨询和/或相关的风险评估，则在咨询结束后的两年 内，这个事实将被视为对公正性有高度威胁，

5.3.1认证机构应能证明已对认证活动引发的风险进行了评估，并对各个活动领域和运作地域的业务 引发的责任作了安排（如保险或储备金）。 5.3.2认证机构应评估其财务状况和收人来源，并向6.2所指的委员会证明其公正性始终没有受到商 业、财务和其他方面压力的损害

6.1组织结构和最高管理层

5.1.1认证机构的组织结构应为其认证提供信任

任的最高管理层（委员会、小组或个人） a) 与认证机构运作有关的政策的制定； b) 政策和程序实施的监督； C) 认证机构财务的监督； 审核与认证的实施和对投诉的回应； e) 认证决定； f) 在需要时，授权委员会或个人代表最高管理层开展规定的活动； g 合同安排； h 为认证活动提供充分的资源。 6.1.3认证机构应将其组织结构形成文件，并明确管理层和其他认证人员及各委员会的任务、责任和 权力。当认证机构是一个法律实体内有明确界定的一部分时，该文件应说明认证机构与该法律实体间 的权力关系以及与同一法律实体内其他部分的关系。 .1.4认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则

h）为认证活动提供充分的资源。 6.1.3认证机构应将其组织结构形成文件，并明确管理层和其他认证人员及各委员会的任务、责任和 权力。当认证机构是一个法律实体内有明确界定的一部分时，该文件应说明认证机构与该法律实体间 的权力关系以及与同一法律实体内其他部分的关系。 6.1.4认证机构应有关于任何参与认证活动的委员会的任命、权限和运行的正式规则

6.2维护公正性的委员会

6.2.1认证机的统 主，开具有一个进行下列活动的委员会： a）协助制定与认证活动公正性有关的政策； b）阻止认证机构的所有者有任何倾向使商业或其他因素妨碍其一致地提供客观的认证活动； c）对影响认证可信度的事宜（包括公开性和公众认识）提出建议。 注：该委员会也可被委以其他任务或职责，但这些附加的任务或职责不宜削弱其确保公正性的基本作用， 6.2.2该委员会的组成、权限、任务、权力、成员能力和责任均应正式形成文件，并由认证机构最高管理 层授权，以确保：

权，以确保： a）各方利益均衡，以使任一利益方不处于支配地位（认证机构的内部或外部人员视为一个禾

方，且不宜居支配地位）； 获取所有必要的信息，使其能够履行自已的职能（见5.2.2和5.3.2）； 如果认证机构最高管理层不尊重委员会的建议，委员会应有权采取独立措施（如报告主管部 门、认可机构或利益相关方）。采取独立措施时，委员会应遵守8.5中与客户和认证机构相关 的保密要求， 的客户，供应链安全管理体系获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府 组织（包括消费者组织）的代表

方，且不宜居支配地位）； b 获取所有必要的信息，使其能够履行自已的职能（见5.2.2和5.3.2）； C 如果认证机构最高管理层不尊重委员会的建议，委员会应有权采取独立措施（如报告主管部 门、认可机构或利益相关方）。采取独立措施时，委员会应遵守8.5中与客户和认证机构相关 的保密要求， 注：虽然该委员会不能代表所有利益方.但是认证机构宜识别和邀请关键利益方。这些利益方可能包括：认证机构 的客户，供应链安全管理体系获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府 组织（包括消费者组织）的代表

Z.1管理层和人员的能力

7.1.1认证机构应确保参与供应链安全管理体系审核与认证的所有人员有能力胜任其承担的工作。 认证机构应有过程来确保其人员对其运作涉及的供应链安全管理体系类型和地域有适宜的相关知 识、技能和经验。 认证机构应确定与特定认证方案相关的每个技术领域所需的资格和能力，以及认证活动的每项职 能所需的资格和能力。 认证机构应确定在履行特定职能前证实能力的方法，应保留确定的记录。 7.1.2认证机构在确定认证实施人员的能力要求时，除了那些直接实施审核与认证活动的人员，还应 考虑管理层和行政人员所承担的职能。 7.1.3认证机构应有获取必要的专业知识与技能的途径，以在其运作涉及的技术领域、供应链安全要 索类型和地域等方面获得与认证直接相关的建议。这些建议可由外部人员或认证机构人员提供

7.2参与认证活动的人员

7.2.1认证机构自身应有具备足够能力的人员，以对各种类型与范围的审核方案进行管理并实施其他 认证工作。 7.2.2就接触保密信息而言，认证机构应确保委派实施供应链安全管理体系认证审核的人员和技术专 家，在对验证工作期间所获保密信息保守秘密方面能得到信任，并确保他们没有造成安全问题。见7.4. 7.2.3委派实施供应链安全管理体系审核的人员至少应具备IS019011：2002中7.2、7.3.1、7.3.2和7.4 刺述的与供应链要全理和风险分析相关的个人素质、知识、技能和教育经历， 7.2.3.1供应链安全管理体系审核员应具备风险分析、关键控制点分析、风险管理方法学和信息保密方 面的能力。包括但不限于以下方面： a) 理解供应链安全管理标准或规范的要求（如ISO28000）。 b 理解供应链流程和关键控制点分析，理解供应链相关过程和实务的知识。 威胁识别： 一理解威胁，如物理的、生物的、化学的、计算机网络的和放射性的威胁。 d 风险评估和分析： 一理解风险评估和分析的原理。 e） 风险的最小化、降低与控制： 一理解最小化、降低与管理风险的原理； 一安全方法学和技术的知识，尤其是预防措施和技术。 应急的策划与准备： 一政府和第一响应者的作用的知识

一突发事件通报原则的知识

一一突发事件缓解、响应和恢复的知识。 7.2.3.2每一位供应链安全管理体系审核员还应成功地完成了培训（见附录C或等效的），并能证明 在安全方法学、风险分析和管理原理的理解和应用方面是有能力的，同时宜是注册的管理体系审 核员。 7.2.3.3每一位供应链安全管理体系审核员应参加与其特定的资格要求相适应的持续培训。认证机构 应每年评审针对其审核员的目标培训计划，培训内容包括：安全方法学、风险分析与管理原理、关键控制 点分析、审核技巧、特别是7.2.3.1提到的能力要求。培训应： a）基于对上述学科和能力项进行需求分析的结果而策划； 保留培训记录； ） 包括审核案例分析以评价审核员的能力； d 有信息支持且审核员宜能获取这些信息，如：适用的管理体系标准应用的解释，常见问题解答， 研讨会记录、针对案例的标准的纠正； e 按照培训要求得到评价，且认证机构应根据培训效果采取适当的措施； 由有资格的培训教师实施。 7.2.3.4 供应链安全管理体系审核员应具备至少五年与风险分析和管理相关的经历，或者两年按照最 佳行业实践及标准审核的经历。 7.2.3.5供应链安全管理体系审核员应保证每年至少五次的相关审核，或者每年至少完成10人日的现 场审核，以保持其资格。 7.2.3.6认证机构应能证明每一位审核员在被认为有能力的特定专业类别具有恰当的培训和工作经 历，并记录能力（IS019011：2002中5.5c）。 7.2.4认证机构应聘用或有途径获得足够数量的审核员（包括审核组长）和技术专家，以覆盖其所有活 动并满足审核工作量的需要。 7.2.5认证机构应使所有有关人员清楚自已的任务、责任和权力。 7.2.6认证机构应有明确的过程来选择、培训、正式任用和监视审核员以及选择认证活动使用的技术 专家。审核员的初始能力评价应包括一次对被评价者现场审核的观察。 7.2.7认证机构应有实现和证实有效审核的过程。该过程应确保所使用的审核员和审核组长具备通 用的审核知识与技能以及特定技术领域审核所需的恰当的知识与技能。这一过程应基于ISO19011提 供的指南转化为适当的文件要求（特别见IS019011：2002中的第7章及附录C）。 7.2.8供应链安全管理体系审核员应具备适用于所审核的供应链、工业和商业领域的安全知识和 经验。 7.2.9供应链安全管理体系审核员应具有或经过培训获得并证实附录D所描述的能力。 7.2.10能力应通过笔试进行验证，考试的及格线设定宜仅使那些证实全面理解模块内容且达到课程 目标的人员通过。 7.2.11认证机构应确保审核员（需要时，包括技术专家）熟悉认证活动、认证要求、审核方法和其他相 关要求。认证机构应使审核员和技术专家有途径获取指导审核和提供认证活动所有相关信息的现行有 效的文件化程序。 7.2.12认证机构应仅使用审核员和技术专家从事已证实他们具备能力的那些认证活动。 注：为特定审核组指派审核员和技术专家的要求见第9章， 7.2.13认证机构应识别培训需求，并向审核员、技术专家和其他参与认证活动的人员提供或使其有机 会参加特定的培训，以使他们获得认证要求和过程的知识。 7.2.14做出授予、保持、更新、扩大、缩小、暂停或撤消认证等决定的小组或个人应具备足够的知识和 经验.以评价审核过程和审核组的推荐意见

7.2.15认证机构应确保所有参与审核和认证活动的人员均有令人满意的表现。认证机构应有形成文 件的程序和准则，以根据这些人员的使用频率及其活动的风险水平来监视和衡量他们的表现。认证机 构尤其应根据人员的表现来复核他们的能力，以识别培训需求。 7.2.16形成文件的审核员监视程序应把现场见证、审核报告复核及客户或市场反馈相结合，并应基于 ISO19011提供的指南转化成适当的文件要求。在设计监视方式时，应使正常认证过程所受干扰最小 （尤其是从客户角度来看）。 7.2.17认证机构应定期对每位审核员的表现进行现场见证。现场见证的频率应取决于根据所有可获 得的监视信息确定的现场见证需求

7.3外部审核员和外部技术专家的使用

认证机婴求外部审核员和外部技本专家通过书面办议承诺 和程序。该协议应含有关于资格、保密及独立于商业和其他利益的条款，并要求外部审核员和外部技术 专家向认证机构说明现在或以前与可能派其审核的组织的关系， 认证机构应确保所有独立的外部审核员和技术专家都经过了安全调查，并且受到认证机构保密协 议的约束。 注：依据上述协议使用单个审核员和技术专家不构成7.5所述的外包。

认证机构应保持认证活动涉及每个人的最新记录，包括相关的资格、培训、经历、兼属关系、专 和能力

认证机构应建立对候选供应链安全管理体系审核员进行安全审查的过程并形成文件。 认可机构也应确保其评审员满足这费要求 对审核员安全审查的过程应形成文件，并应通过适当方式使申请供应链安全管理体系认证或审核 组织以及其他利益相关组织（适用时）能够获得。 审核员应由其所在认证机构进行安全调查。安全调查过程应包括以下内容

认证机构应对所有人员和承担供应链安全管理体系审核的审核员与技术专家进行犯罪背景的核 查。可行时，这些核查应凭借国家安全核查机构或警方。否则，认证机构应在最高管理层监督之下，通 过内部审查过程进行记录核查和安全调查的审查评价/面试，来核查人员的适宜性和诚实性。审查过程 包括对候选供应链安全管理体系审核人员所提交证明文件的审查、面试以及对诸如护照、身份卡、工 许可证、驾驶执照和工作介绍信等文件的审查。实施供应链安全管理体系审核员面试的人员应按本 示准7.4.3的过程接受任命和审查

认证机构应建立一个在最高管理层监督之下的分级面试制度。 最高管理层应指定一名经过面试和审查已确认值得信颗且具备必要的能力和判断力的负有责任的 管理者，对候选供应链安全管理体系审核员和技术专家进行审查。该负有责任的管理者应通过审查候 选人所提交的证明文件、面试和持续监视来评价候选供应链安全管理体系审核员和技术专家的可信度 与适宜的行为特征

每位候选供应链安全管理体系 提供至少五整年的连续工作经历的证据，这些经历应 当前或以往雇主的证实。自我聘用的候选供应链安全管理体系审核员应提供其他适当的证明文 正明雇用记录具有同等信心和可信度

7.4.5身份卡（ID卡）

应发给每位供应链安全管理体系审核员一张存有下列信息的身份卡（ID卡）： 一照片； 一姓、名； 一国籍； 卡号； 一认证机构的名称和徽标： 一防止更改和伪造的标志和特征。 需要时·接受审核的组织应当可以获得供应链安全管理体系审核员的保密承诺。

认证机构的程序应包括对违约的供应链安全管理体系审核员实施处理的过程，宜包含调查期间对 审核员实施暂停等组织纪律程序。认证机构应按其认为并证明恰当的期限保存记录。确定记录保存期 银时宜考虑到国家、国际或其他法定要求。

宜使审核员明白并做出书面声明，表明其知道违规行为将可能导致纪律处罚、民事责任和开 公。

生。认证机构应与每个承担外包服务的机构就相关安排（包括资格、保密和利益冲突）签订在法律 有强制实施力的协议。 注1：这里可包括外包给其他认证机构的情况，依据合同使用审核员见7.3。 注2.本标准中“外包"与"分包视为同义词

7.5.2认证决定不应外包

7.5.3认证机构应：

a） 对外包给另一机构的所有活动负责； 对授予、保持、更新、扩大、缩小、暂停或撤消认证负责； c) 确保外包服务承担机构使用的人员符合认证机构的要求和本标准的适用要求，包括能力、公正 性和保密； d 确保外包服务承担机构使用的人员与拟审核的组织没有可能损害公正性的关系（无论是直接 的还是通过任何其他雇主发生的关系）； 由特定机构提供外包服务应征得客户的同意； ? f) 负责处理申诉和投诉。 7.5.4 认证机构应有形成文件的程序，以对认证活动的所有外包服务承担机构进行资格审查和监视， 且应保持其审核员资格的记录

且应保持其审核员资格的记录

于其活动及其运作地域的信息。

8.1.1认证机构应保持并在有请求时提供关于其活动及其运作地域的信息。 8.1.2认证机构向客户或市场提供的信息（包括广告）应准确且不使人产生误解。 8.1.3认证机构应使授予、暂停或撤消认证的信息可公开获取。 8.1.4当任何一方提出请求时，认证机构应提供确认某一认证是否有效的途径。

3.2.1认证机构应以其选择（见8.1.4中注1)的任何方式向获证客户提供认证文件。 3.2.2认证文件的生效日期不应早于认证决定的日期。 B.2.3认证文件应标明：

a） 获得供应链安全管理体系认证的客户组织的每一场所的名称和可识别的物理位置； b） 授予、扩大或更新认证的日期； ） 与再认证周期相一致的认证有效期； d） 唯一的识别代码； e） 审核获证客户时所用的标准和（或）其他规范性文件，包括版本和（或）修订； f 与客户供应链安全管理体系内所从事活动相适宜的认证范围，包括服务、过程等，适用时包括 每个场所的认证范围； 8 认证机构的名称和（或）认证标志； 注：在认证机构获得相应授权的情况下，可以带有其他标志（如认可标识）；然面，认证机构作为证书颁发机构宜保 证标志不产生误导和含混不清 h）认证用标准所要求的任何其他信息

认证机构应以其选择的任何方式保持有效认证的目录，并使其可公开获。该目录应至少说明每 个获证客户的名称、相关的规范性文件、活动和组织要素的范围和地理位置（国家和城/镇）。 注：该目录是认证机构的专有资产

正资格的引用和标志的值

3.4.1认证机构对其授权获证客户使用的任何标志应有管理政策。该政策应确保可以从标志追溯至 人证机构。标志或所附文字不应使人对认证对象和授予认证的认证机构产生歧义。标志不应用于产品 成消费者所见的产品包装之上，或以任何其他可解释为表示产品符合性的方式使用。 注：ISO/IEC17030提供了对使用第三方标志的指南。 3.4.2认证机构不应允许其标志被用于实验室检测、校准或检查的报告，这里将此类报告视为产品。

8.4.2认证机构不应允许其标志被用于实验室检测、校准或检查的报告，这里将此类报告视为产品

a）在传播媒介（如互联网、文件、宜传册或广告）中引用认证状态时，符合认证机构的要 b）不做出或不充许有关于其认证资格的误导性说明：

在其认证被暂停或撤消时，按照认证机构的指令立即停止使用所有引用认证资格的广告材料 (见9.6.3和9.6.6); ） 在认证范围被缩小时，修改所有的广告材料： 不允许在引用其供应链安全管理体系认证资格时，暗示认证机构对任何供应链或供应链中任 何要素进行了认证； 不得暗示认证适用于认证范围以外的活动； h 在使用认证资格时，不得使认证机构和（或）认证制度声誉受损，失去公众信任。 4.4认证机构应正确地控制其所有权，并采取措施识别和处理认证状态的错误引用或认证标志或审

8.5.1认证机构应具有政策和相关安排，以确保其各个层次（包括代表其活动的委员会、外部机构或个 人）对从事认证活动时获得、产生的保密信息予以保密，并通过在法律上具有强制实施力的协议落实上 述政策和安排。 8.5.2认证机构应将其拟对公众公开的信息（如4.5.1与8.3中定义的）提前告知客户。所有其他信息 购应视为保密信息，客户自已公开的信息除外。 8.5.3除本标准有要求外，关于特定客户或个人的信息，未经其书面同意，不应向第三方披露。当法律 或法定机构要求认证机构向第三方提供保密信息时，除法律限制或法定机构的要求外，认证机构应将拟 提供的信息提前通知有关客户或个人。 8.5.4从其他来源（如投诉人、监管机构）获得的关于客户的信息应根据认证机构的政策按保密信息 处理。 8.5.5认证机构的人员，包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个人，应 对从事认证机构的活动时获得或产生的所有信息予以保密。 8.5.6认证机构应能获得并使用确保保密信息（如文件、记录）安全处理的设备/设施。 8.5.7认证机构向其他机构（如认可机构、建立在同行评审基础上的协议集团）公开保密信息时，应将 这一行动通知相关的监管机构及其客户

8.6认证机构与其客户间的信息交换

8.6.1认证过程和要求的信息

认证机构应向客户提供并为其更新以下信息： a 对认证活动整个过程的详细说明，包括申请、初次审核、监督审核和授予、保持、缩小、扩大、暂 停、撤消认证以及再认证的过程。 认证依据的规范性要求， c） 申请、初次认证和保持认证资格所需费用的信息。 d） 认证机构对拟接受审核的客户的要求： 1）遵守认证要求； 2） 为实施审核做出所有必要的安排，包括在初次认证、监替、再认证和解决投诉时，为检查文 件和接触所有过程与区域、记录及人员提供条件： 3 适用时，为接纳到场的观察员（如认可评审员）提供条件。 e） 对获证客户根据8.4的要求在各类沟通中引用认证资格时的权利和责任（包括要求）予以说明 的文件。

（）投诉和申诉处理程序的信息

8.6.2认证机构的变更通知

认证机构应以适当方式将其认证要求的任何变更通知获证客户。认证机构应验证每个获证客户符 合新的要求。 注，为确保实施本条款，认证机构可能需要与获证客户在合同中做出安排

8.6.3客户的变更通知

认证机构应做出在法律上具有强制实施力的安排，以确保获证客户及时将可能影响供应链安全管 理体系持续满足认证标准要求的能力的事宜通知认证机构，例如与下列方面有关的变更： a） 法律地位、经营状况、组织状态或所有权； 组织和管理层（如关键的管理、决策或技术人员）； ） 联系地址和场所； d 获证供应链安全管理体系覆盖的运作范围； 供应链安全管理体系和过程的重大变更

认证机构应制定程序，确保客户供应链安全 管理体系运行的信息能够在认证机构、客户和允许获得 信息的其他相关方之间可靠传递。认证机构应确保将该程序及时通知客户和其他相关方。

9.1适用于所有审核的通用要求

9.1.1审核方案应包括至少由两阶段构成的初次审核、监督审核和再认证审核。审核方案的确定和任 可后续调整应考虑客户组织的规模，其供应链安全管理体系和过程的范围与复杂程度，以及经过证实的 供应链安全管理体系有效性水平和以前审核的结果。 9.1.2认证机构应确保其审核计划基于ISO19011中为编制审核计划提供的指南所转化成的适当的 文件要求。应为每次审核编制审核计划，以便为有关各方就审核活动的日程安排和实施达成一致提供 依据。 9.1.3认证机构应有根据实现审核目标所需的能力来选择和任命审核组（包括审核组长）的过程。该 过程应基于ISO19011提供的指南转化成的适当的文件要求。 9.1.4认证机构应有正式的规定和/或合同条款来确保每个审核组成员以公正的方式开展工作。每位 审核组成员应在接受审核委托前，将任何已知的现在、以前或可预见到的与受审核组织的关系情况告知 认证机构（见5.2.9、5.2.12和7.4）。 9.1.5认证机构应按照形成文件的程序确定审核时间，用以在认证范围所包含的场所中完成对客户供 应链安全管理体系的完整而有效的审核。 9.1.6安全威胁对于每一个业务场所都是独特的，因此一个组织认证范围内的所有业务场所均应接受 审核。组织应对每一个场所进行了威胁及风险评估并应实施相应的运行控制。同样，对于非业务场所 （如提供行政支持服务的场所）的安全威胁也是独特的，但其活动的特性可能对供应链安全只构成较低 的风险。认证机构应对所有的业务场所进行审核，且对其他非业务场所进行风险评估并实施与其风险 相称的审核。 认证机构确定的每一个场所/地点的审核时间和确定审核时间的合理性应基于附录A和附录B的 要求，并应予以记录。在确定审核时间时，认证机构宜考虑（但不限于）以下方面：

a） 相关供应链安全管理体系标准的要求； b） 复杂程度； ) 规模； d）风险； e） 技术和法规环境； f）场所的数量和对多场所的考虑。附录B给出了对运行多场所组织的要求。 审核人日数应基于附录A中的人日表。虽然附录A是资料性附录，但是对于一个供应链上运营的 公司，审核人日数不太可能少于附录A给出的人日数。 9.1.7对于经营多个业务场所的组织，即使这些场所的活动实质上相同，抽样也是不适宜的。认证范 围中的每一个场所都应被审核到，然而，当一些场所的供应链安全管理体系及活动相同时，或许可减少 这些场所的审核时间；或者，当一些非业务场所主要从事行政活动且对供应链安全没有重大影响时，可 以对这些非业务场所抽样。在这些情况下，认证机构应对每一个场所进行风险评估并制定一个基于风 险的审核方案，该过程应确保认证机构对组织的供应链安全管理体系进行恰当的审核。此要求在 附录B中有进一步的描述。

9.1.9认证机构应明确说明审核组的任务，并告知客户组织。认证机构应要求审核组

a） 检查和验证客户组织与供应链安全管理体系相关的结构、方针、过程、程序及相关文件（记录）； b） 确定上述方面满足与拟认证范围相关的所有要求； c) 确定客户组织有效地建立、实施并保持了过程和程序，以便为建立对客户组织供应链安全管理 体系的信任提供基础： d 告知客户其方针、目标、指标和结果之间的任何不一致，以使其采取措施 9.1.10 认证机构应向客户提供审核组每位成员的姓名，并在客户请求时使其能够了解每位成员的背 景情况。认证机构应留出足够的时间，以使客户组织能够对某一审核员或技术专家的任命表示反对，并 在反对有效时使认证机构能够重组审核组。 9.1.11认证机构应提前与客户组织就审核计划进行沟通，并商定审核日期。 9.1.12认证机构应有实施现场审核的过程。该过程应基于由ISO19011中提供的指南转化成的适当 的文件化程序。 注1：除了访问有形场所（如工厂）外，“现场"还可以包括远程访问包含供应链安全管理体系评价相关信息的电子化 场所， 注2.ISO19011中的术语“受审核方”指披审核的组级

认证机构应要求申请组织的授权代表提供必要的信息，以便认证机构确定： ） 申请认证的范围； b） 申请组织的一般特征，包括其名称、物理场所的地址、过程和运作的重要方面以及任何相关的 法律义务： 申请组织与申请认证的领域相关的一般信息，包括其活动，人力与技术资源，以及适用时，其在 一个较大实体中的职能和关系； d 申请组织寻求认证的标准或其他要求； e）接受与供应链安全管理体系有关的咨询的情况

9.2.2.1在实施审核前，认证机构应对认证申请及补充信息进行评审，以确保： a） 关于申请组织及其供应链安全管理体系的信息充分，可以进行审核； 认证要求已有明确说明并形成文件，且已提供给申请组织； 解决了认证机构与申请组织之间任何已知的理解差异； d 认证机构有能力并能够实施认证活动； e） 考虑了申请的认证范围、申请组织经营场所的位置和数量、完成审核需要的时间和任何其他影 响认证活动的因素（语言、安全条件、对公正性的威胁等）； f 应保持决定实施审核的理由的记录。 9.2.2.2 根据上述评审，认证机构应确定审核组及进行认证决定需要具备的能力（见7.2.7）。 9.2.2.3 如果认证机构考虑申请组织已获得认证或接受的其他审核，则应收集充足的、可验证的信息， 以证明对审核方案的任何调整的合理性，并予以记录。 9.2.2.4 完成申请评审后，认证机构应向申请者通报是否接受了申请。不接受申请的原因应传达给申 请者。 9.2.2.5 在开始审核之前，认证机构应和申请组织签订一份协议（见5.1.2），该协议： a 明确开展工作的范围，包括拟认证的范围和场所的具体情况； b） 要求申请组织提供认证所需的所有信息； 要求甲请组织遵守认证要求。 9.2.2.6 6对于扩大认证范围的申请，认证机构应进行可行性评审和必要的审核活动，来确定是否可以准 予该范围的扩大。 9.2.2.7认证机构应任命（见9.1.3)审核组。组成审核组的所有审核员（必要时，还有技术专家）作为 个整体应具备认证机构按9.2.2.2确定的对申请组织实施认证的能力。认证机构应根据审核员和技术 专家具备的能力（如7.2.5所述）来选择审核组，并可以使用内部和外部的人力资源。 9.2.2.8认证机构应指定将进行认证决定的人员，以确保具有实施认证决定的适宜能力（见7.2.9）。 9.2.2.9 9审核组需要具备一定的背景，以确保成员理解与所审核体系有关的要求。每个审核组都应对 其审核的体系所属的技术与行业部门具备总体上的理解和背景。审核组应有能力确定一个特定的供应 链安全管理体系是否充分满足标准的要求。 9.2.2.10上文要求：认证机构委派实施供应链安全管理体系审核的每个审核组需要知道，对通常的过 程和程序，哪些要素对所审核的供应链是必需的。审核组应具备必要的能力（包括行业或监管方面的资 质），在确保体系满足规定要求方面有足够信心确定体系是否覆盖了这些必需的要素。 9.2.2.11在某些情况下，特别是当有关键要求和特殊程序时，审核组的背景知识可以通过情况介绍会、 专项培训或专家参与的方式加以补充。认证机构可以给审核组加派非审核员的专家。如果认证机构使 用技术专家，那么认证机构的管理控制体系应对这种情况做出规定，并且为保持其能力最新做出安排。 文件中应包括如何选择技术专家以及如何保证其能力的具体细节。认证机构可以依靠外部帮助，如工 业或专业机构。 认证机构应确保执行本条款的人员受到和审核员一样的保密性和公正性要求的约束。

9.2.3初次认证审核

供应链安全管理体系的初次认证审核应分两个阶段实施：第一阶段和第二阶段。

9.2.3.1第一阶段审核

9.2.3.1.1第一阶段审核应编制审核计划，审核计划应包括9.1.2和9.2.3.1.2规定的要点。 14

B/T38701—2020/IS028003:2007

9.2.3.1.2通常，审核组对客户组织的供应链安全管理体系的第一阶段审核应在现场进行。在特殊情 况下，第一阶段可以不进行现场访问。不进行现场访问的决定应有正当理由并予记录，且应告知客户这 样做可能会给第二阶段的审核带来风险。该理由宜基于组织的规模、位置、风险的考虑和已了解到的情 第

9.2.3.1.3第一阶段审核应

9.2.3.2第二阶段审核

9.2.3.2.1第二阶段审核应编制审核计划（见9.1.2）。计划应遵循IS019011中的指南转化成的适当的 文件要求，并应该考虑在第一阶段审核中获得的信息。 9.2.3.2.2第二阶段审核应在客户组织的现场进行。第二阶段审核的目的是评价客户供应链安全管理 体系的实施情况和有效性。 9.2.3.2.3审核组应进行第二阶段审核以收集供应链安全管理体系符合标准和其他认证要求的审核 证据。 9.2.3.2.4审核组应审核足够数量的关于客户组织供应链安全管理体系以及对供应链安全管理体系的 实施情况包括有效性进行合理评价的活动的样本。 9.2.3.2.5作为审核的一部分，审核组应访问足够数量的员工，包括最高管理层和所审核设施的操作人 员，以确保体系在客户组织中的各个部分得到实施和理解。 9.2.3.2.6审核组应对在第一阶段和第二阶段审核中收集的所有信息和审核证据进行分析，以确定与 所有认证要求的符合程度和不符合。审核组可以提出改进机会的建议，但是不应建议具体的解决方法。 9.2.3.2.7第二阶段审核应至少覆盖对组织供应链安全管理体系以下方面的检查： a）与适用的规范性文件的所有要求的符合情况及证据； 1）依据关键结效目标和指标，对结效进行的监视测量报告和评审

d）运作控制； e 内部审核和管理评审； 针对客户组织方针的管理职责； 规范性要求、方针、绩效目标和指标、适用的法律要求、职责、人员能力、运作、程序、绩效数据和 内部审核结果之间的联系。 9.2.3.2.8完成第二阶段审核后应采取的行动至少应包括以下内容： a）离开审核地点前，应将所有确定并达成一致的不符合的记录留给客户； b）按照9.2.4的要求编制审核报告。 9.2.3.2.9缺少或未能实施和保持符合一个或多个供应链安全管理体系要求，或者根据已有的客观证 据，对组织持续满足要求的能力和供应链安全管理体系的有效性产生重大怀疑的情况，应该被确定为不 符合。 认证机构可以规定缺陷和待改进的区域的不同等级（如严重和一般不符合，观察项等）

a）离开审核地点前，应将所有确定并达成一致的不符合的记录留给客户； b）按照9.2.4的要求编制审核报告。 9.2.3.2.9缺少或未能实施和保持符合一个或多个供应链安全管理体系要求，或者根据已有 据，对组织持续满足要求的能力和供应链安全管理体系的有效性产生重大怀疑的情况，应该被 符合。 认证机构可以规定缺陷和待改进的区域的不同等级（如严重和一般不符合，观察项等）。

9.2.4初次认证的审核报告

9.2.4.1认证机构应有形成文件的报告程序。 9.2.4.2第一阶段的审核报告应包括对供应链安全管理体系文件的充分性、组织对关键绩效或重要因 素的分析以及供应链安全管理体系的实施程度是否表明可以进行第二阶段审核的意见。第一阶段审核 报告应对9.2.3.1.3要求的内容进行报告。 9.2.4.3第二阶段审核报告应基于ISO19011中的指南转化成的适当的文件要求来编制。 0244—害按组担交绘让证切均的审控担生应至小包抵或池及以下内究

b) 注明受审核方代表。 ） 注明认证机构。 d) 注明审核组组长和组员。 e） 审核自的。 f 审核范围，尤其注明所审核的组织和职能单元或过程、所覆盖的时期及所评价的供应链要素。 名） 审核准则。 h） 引用的供应链安全管理标准和/或使用的其他规范性文件。 i） 现场审核活动的实施日期和场所，以及上次审核的日期。 j 审核发现： 1） 关于供应链安全管理体系实施情况和有效性的最重要的评论的总结，包括正面和负面的； 关于风险评估方法实施情况和有效性的最有建设性/有益的信息的概述和总结，包括正面 和负面的； 3） 审核中提出的针对具体标准要求的不符合； 4）上述每个不符合的关闭情况报告。 k 审核结论： 1 供应链安全管理体系和风险评估方法的可信度； 2）审核组的推荐意见。 4.5形成文件的程序至少应确保：第二阶段审核后，在双方同意的期限内，向受审核组织提交一份 面的客户审核报告。该报告包括供应链安全管理体系的有效性以及与所有标准要求符合性的正面与 面的审核发现与结论，尤其要包括内审过程的有效性和方针承诺的实现情况，还包括确定的任何不 。

9.2.4.6审核报告的所有权应归认证机构所有，当报告的内容包含安全缴感信息时，

托组织保管，但审核报告的所有权和修改权仍归认证机构所有。

9.2.5审核后续活动

优时个 符合及其原因已采取或拟采取的具体纠正和纠正措施。 9.2.5.2如需进行全面或部分的补充审核，或需要形成文件的证据（在后续的监督审核中予以确认），以 确保纠正和纠正措施的有效性，认证机构应告知受审核的组织。这将根据所确定的不符合的类型和数 量来确定。 9.2.5.3认证机构应审查受审核组织所采取的纠正和纠正措施，以确定其充分性，如果已实施，则确定 其有效性。

9.2.6授予初次认证或扩大认证

9.2.6.1为使认证机构做出认证决定，审核组至少应向认证机构提供以下信息： a 9.2.4所指的报告； 对不符合和对客户组织采取的纠正及纠正措施的意见： C 对提供给认证机构用于申请评审（见9.2.2）的信息的确认； d) 对是否授予认证的推荐性意见及附带的任何条件或评论 9.2.6.2 认证机构应在评价审核结果和任何其他相关信息（如公共信息、客户对审核报告的意见）的基 础上做出认证决定 9.2.6.3 认证机构应确保参与认证决定的人员或委员会不是实施审核的人员。 9.2.6.4 认证机构在做出决定前应确认： a) 审核组提供的信息足以确定认证要求的满足情况和认证范围。 对于属于下列情形之一的所有不符合，认证机构已经审查并接受了满足要求的纠正和纠正措 施（包括为消除原因以防止再发生的措施）： 1） 缺少或未能实施和保持符合一个或多个供应链安全管理体系的要求；或 2 根据已有的客观证据，对客户组织持续满足要求的能力和供应链安全管理体系有效性产 生重大怀的情况。 c）对于任何其他不符合，认证机构已接受了组织计划采取的纠正和包括防止再发生的纠正措施

9.2.6.1为使认证机构做出认

要求的情况进行评价的现场审核。监督活动还可以包括： 认证机构就认证的有关方面询问获证客户； b） 审查获证客户对其运作的说明（如宣传材料、网页）； 要求获证客户提供文件和记录（纸质或电子介质）； d 其他监视获证客户绩效的方法。 9.3.1.31 认证机构应制定方案间隔足够短的时间实施定期的监督审核，以确认获证的供应链安全管理 体系持续满足全部认证要求且持续有效， 9.3.1.4初次认证后第一次监督审核的目期应从初次审核第二阶段结束时（如末次会议的日期）算起

9.3.2.1监督审核是现场审核，但不是对整个体系的审核，并应与其他监督活动一起策划，以 构能对获证供应链安全管理体系在认证周期内持续满足要求保持信任。年度监督审核方案至 对以下方面的审查： 内部审核、安全评估与策划和管理评审； b) 对上次审核中确定的不符合采取的措施； c) 投诉的处理； d) 供应链安全管理体系在实现获证客户目标方面的有效性： e) 为持续改进而策划的活动的进展； f 持续的运作控制； g) 任何变更； h) 标志的使用和/或任何其他对认证资格的引用。 9.3.2.2 监督审核应至少每年进行一次。 9.3.2.3 监督审核应编制审核计划（见9.1.2）。 9.3.2.4 认证机构确定监督审核的审核时间时应考虑附录A中的指南并适当考虑下列因素 a) 供应链过程和要素的风险种类； b) 供应链要素、场所、过程和产品的数量； c) 涉及供应链安全的员数量； d) 随机抽样的规模； e 上次审核所发现不符合的数量； f 组织、产品或过程的变化

排水标准规范范本9.3.3监督审核报告

9.3.3.1对于监督审核，审核组的报告应包括！

a） 所审核的供应链安全管理体系标准要求； b 认证要求满足情况的意见，包括有效性； C) 上次审核发现的每个不符合的纠正措施实施有效性的验证情况； 任何新的不符合。 此报告应基于ISO19011中的指南所转化成的适当的文件要求来编制。 9.3.3.2此报告应提交给获证客户和认证机构。 9.3.3.3 在监督审核中，当出现不符合或缺乏符合性证据时，认证机构应规定实施纠正和纠正措施的 时限。 注：建议时限基于不符合的严重性和响程度， 9.3.3.4 4如需进行全面或部分的补充审核，或需要形成文件的证据（在后续的监督审核中予以确认），以 确保纠正和纠正措施的有效性，认证机构应告知受审核组织。这将根据所确定的不符合的类型和数量 来确定。

认证机构应在证实获证客户持续满足供应链安全管理体系标准要求后保持认证。认证机构满足下 列条件时，可以根据审核组长的肯定性建议保持对组织的认证，而无需进一步的独立复核： 8） 对于任何可能导致暂停或撤消认证的不符合或其他情况，认证机构有制度要求审核组长启动 由具能力相称（见7.2.9）且未实施该审核的人员进行的复核，以确定能否保持认证：

装修施工组织设计 b）组长知道处理不符合和任何后续纠正措施的准则； 认证机构有能力相称的人员对监督活动进行监视（包括对审核员的报告活动进行监视）以确认 认证活动运作有效。

9.4.1 再认证周期

9.4.2再认证审核的策划