GB／T 35770-2022  合规管理体系 要求及使用指南

为此，组织应结合诸多事项，包括但不限于： 业务模式，包括组织活动和运行的战略、性质、规模、复杂性和可持续性； 与第三方业务关系的性质和范围： 法律和监管环境； 经济状况； 社会、文化、环境背景； 内部结构、方针、过程、程序和资源，包括技术； 自身的合规文化。

.2理解相关方的需要和期望

组织应确定： 与合规管理体系有关的相关方； 这些相关方的有关需求； 哪些需求将通过合规管理体系予以解决

组织应确定合规管理体系的边界和适用性，以确立其范围。 注：合规管理体系的范围旨在理清组织面临的主要合规风险，以及合规管理体系适用的地理和/或组织边界燃气标准规范范本，尤其 当组织是较大实体的一部分时。 组织应根据以下内容确定合规管理体系的范围： 4.1提及的内部和外部事项； 4.2、4.5和4.6提及的需求。 范围应作为文件化信息可获取，

组织根据本文件的要求，应建立、实施、维护和持续改进合规管理体系，包括所需的过程及其相互 作用， 合规管理体系应反映组织的价值观、目标、战略和合规风险，并且应结合组织环境（见4.1）

组织应系统识别来源于组织活动、产品和服务的合规义务，并评估其对运行所产生的影响。 组织应建立过程以： a）识别新增及变更的合规义务，确保持续合规； b）评价已识别的变更的义务所产生的影响，并对合规义务管理实施必要的调整。 组织应维护其合规义务的文件化信息

组织应基于合规风险评估，识别、分析和评价其合规风险， 组织应通过将其合规义务与活动、产品、服务以及运行的相关方面关联，来识别合规风险 组织应评估与外包的和第三方的过程相关的合规风险。 组织应定期评估合规风险，并在组织环境发生重大变化时进行评估。 组织应保留有关合规风险评估和应对合规风险措施的文件化信息

GB/T35770—2022/ISO37301:202

治理机构和最高管理者应确保下列原则得到实施： 合规团队应能直接接触治理机构； 合规团队的独立性； 合规团队具有适当的权限和能力。 注1：直接接触包括：向治理机构的直接汇报线、定期提交报告以及参加其会议 注2：独立性是指合规团队的运行不受任何不当干扰和/或压力。

治理机构和最高管理者应确立合规方针，该方针： a）适合于组织的宗旨，

b）为设定合规目标提供框架， c）包括满足适用需求的承诺， d）包括持续改进合规管理体系的承诺。 合规方针应： 与组织的价值观、目标和战略保持一致； 要求遵守组织的合规义务； 根据5.1.3支持合规治理原则； 提及并描述合规职能； 概述不遵守组织的合规义务、方针、过程和程序的后果； 鼓励提出疑虑，并且禁止任何形式的报复； 用通俗易懂的语言书写，易于所有人员理解其原则和意图； 被适当地实施和执行； 作为文件化信息可获取； 在组织内予以沟通； 视情况，可被相关方获取。

5.3岗位、职责和权限

5.3.1治理机构和最高管理者

治理机构和最高管理者应确保在组织内分配并沟通相关岗位的职责和权限。 治理机构和最高管理者应分配职责和权限，以便： a）确保合规管理体系符合本文件的要求； b）获得合规管理体系绩效的报告。 治理机构应： 确保根据合规目标的实现情况对最高管理者进行衡量： 对最高管理者运行合规管理体系的情况进行监督。 最高管理者应： 为建立、制定、实施、评价、维护和改进合规管理体系配置足够且适当的资源； 确保建立及时有效的合规绩效报告制度； 确保战略和运行目标与合规义务相协同； 确立和维护问责机制，包括纪律处分和结果； 确保合规绩效与人员绩效考核挂钩。

合规团队应负责合规管理体系的运行，包括： 推进识别合规义务； 编制合规风险评估文件（见4.6）； 使合规管理体系与合规目标保持一致； 监视和测量合规绩效； 分析和评价合规管理体系的绩效，以确认是否需要采取纠正措施； 确立合规报告和文件化制度； 确保按策划的时间间隔对合规管理体系进行评审（见9.2和9.3)：

GB/T357702022/ISO37301:2021

6.1应对风险和机会的措施

在策划合规管理体系时，组织应根据4.1提及的事项和4.2提及的需求，并确定需要应对 机会，以便： 确保合规管理体系能够实现预期结果， 预防或减少不利影响，

实现持续改进。 在策划合规管理体系时，组织应结合： 其合规目标（见6.2）， 经识别的合规义务（见4.5）， 合规风险评估结果（见4.6）。 组织应策划以下活动： a）应对这些风险和机会的措施； b）如何： 1）将措施纳入合规管理体系过程并实施 2）评价这些措施的有效性

5.2合规目标及其实现

组织应在相关职能和层级上确立合规目标。 合规目标应： a）与合规方针一致； b）可测量（如果可行)； c） 体现适用的需求； d）予以监视； e）予以沟通； f）视情况予以更新； g）作为文件化信息可获取。 策划如何实现合规目标时，组织应确定： 要做什么， 需要什么资源， 由谁负责， 何时完成， 如何评价结果。

当组织确定需要变更合规管理体系时，应对这些变更的实施进行策划。 组织应结合： 变更目的及其潜在后果； 合规管理体系设计和运行的有效性； 足够的资源的可获取性； 职责和权限的分配或再分配。

当组织确定需要变更合规管理体系时，应对这些变更的实施进行策划。 组织应结合： 变更目的及其潜在后果； 合规管理体系设计和运行的有效性； 足够的资源的可获取性； 职责和权限的分配或再分配

GB/T35770—2022/ISO37301:2021

组织应： 确定在其控制下工作、影响合规绩效的人员所需的能力； 确保这些人员在适当的教育、培训或经验的基础上胜任工作； 适用时，采取措施获得所需的能力，并评价所采取措施的有效性。 适当的文件化信息应作为能力证据可获取。 注：适当的措施可能包括，例如：向现有人员提供培训、指导或重新分配工作；或者聘用或劳务雇用能够胜任的 人员

组织应针对其所有人员开发、确立、实施和维护以下过程： a）要求人员遵守组织的合规义务、方针、过程和程序，作为人员的聘用条件； b）在聘用后的适当期间内，新聘用人员能获得合规方针的副本或者有渠道获得合规方针，并获得 关于合规方针的培训； c）对于违反组织合规义务、方针、过程和程序的人员，应采取适当的纪律处分。 作为聘用过程的一部分，组织应结合岗位和人员可能引发的合规风险，在任何聘用、调动和普升之 前按要求进行尽职调查。 组织应实施对绩效目标、绩效奖金和其他激励措施进行定期评审的过程，以验证是否有适当的措施 来防止鼓励不合规

组织应定期对有关人员进行培训，培训应在聘用开始时和组织策划的时间间隔实施。 培训应： a）适合于人员的岗位及其面临的合规风险； b）进行有效性评估； c）进行定期评审。 结合已识别的合规风险，组织应确保实施程序对代表组织开展业务并可能给组织带来合规风险的 第三方进行培训，提高其合规意识。 培训记录应作为文件化信息予以保留

在组织控制下工作的人员应知道： 合规方针； 他们对合规管理体系有效性的贡献，包括改善合规绩效带来的效益； 不符合合规管理体系要求的后果； 提出合规疑虑的方法和程序（见8.3）； 工作岗位的合规义务与合规方针的关系； 支持合规文化的重要性。

GB/T35770—2022/ISO37301:2021

组织应确定与合规管理体系有关的内部和外部沟通，包括： 沟通什么， ）何时沟通， ）与谁沟通， ）如何沟通。 组织应： 结合沟通需求，综合考虑沟通的多样性和潜在障碍； 确立沟通的过程，确保结合了相关方的意见； 在确立沟通过程时： ·应将其合规文化、合规目标和义务纳人沟通内容； 。应确保所沟通的合规信息与来源于合规管理体系的信息一致且可信； 对与合规管理体系相关的沟通内容进行回应； 视情况，保留文件化信息作为其沟通的证据； 在组织的各层级和职能内部沟通与合规管理体系有关的信息，视情况包括合规管理体系的 变更； 确保人员能在沟通过程中为合规管理体系的持续改进做出贡献； 确保人员能在沟通过程中提出合规疑虑（见8.3）； 通过组织确立的沟通过程，对外沟通包括其合规文化、合规目标和义务在内的与合规管理体系 相关的信息

组织的合规管理体系应包括： a）本文件要求的文件化信息； b）组织确定的，对于合规管理体系有效性所必需的文件化信息。 注：不同组织的合规管理体系文件化信息的程度可能不同，取决于： 组织的规模及其活动、过程、产品和服务的类型； 过程及其相互作用的复杂度； 人员的能力

7.5.2文件化信息的创建和更新

在创建和更新文件化信息时，组织应确保适当的： 标记和说明（例如，标题、日期、作者或文件编号）， 形式（例如，语言文字、软件版本、图形）和载体（例如，纸质的、电子的） 针对适宜性和充分性的评审和批准

7.5.3文件化信息的控制

应控制合规管理体系和本文件要求的文件化信息，以确保其： ）在需要的场所和时间均可获得并适于使用：

GB/T 35770—2022/ISO37301:2021

b）得到充分保护（例如，防止泄密、不当使用或完整性受损）。 为了控制文件化信息，组织应开展以下适用的活动： 分发、访问、检索和使用； 存储和防护，包括保持易读性； 对变更的控制（例如，版本控制）； 保留和处置。 对于组织确定的，策划和运行合规管理体系必要的、来自外部的文件化信息，应视情况进行识别，并 予以控制。 查看和变更文件化信息的权限

8.1 运行的策划和控制

为满足要求和实施第6章确定的猎施，组织应通过以下方式 对过程确立准则； 按照准则对过程实施控制。 文件化信息应根据必要程度可获取，以便确认过程已按照策划得到实施。 组织应控制已策划的变更，并评审非预期变更的后果，必要时采取措施减轻不利影响。 组织应确保与合规管理体系相关的，由外部提供的产品、过程或服务受控。 主：对组织运行的外包不会免除组织的法律责任或合规义务。 组织应确保第三方过程得到控制和监视

组织应实施控制以管理其合规义务和相关合规风险。应对这些控制进行维护、定期评审和测试，以 确保其持续有效。 注：测试控制是指实施经过设计的活动以检验控制是否按照既定目的运行，或者不能被规避，或者切实有效地降低 风险的后果或可能性。

组织应确立、实施并维护一个报告过程，以鼓励和促进（在有合理理由相信信息真实的情况下）报告 式图、涉嫌或实际存在的违反合规方针或合规义务的行为。 该过程应： 在整个组织内可见并可访问； 对报告保密； 接受匿名报告； 保护报告者免于遭受打击报复； 便于人员获得建议。 组织应确保所有人员了解报告程序 棒序

组织应开发、确立、实施并维护过程，以评估、评价、调查有关涉嫌或实际的不合规情形的报告，并 论。这些过程应确保能公平、公正的做出决定。

调查过程应由具备相应能力的人员独立进行，且避免利益冲突。 组织应视情况利用调查结果改进合规管理体系（见第10章）。 组织应定期向治理机构或最高管理者报告调查的次数和结果 组织应保留有关调查的文件化信息

调查过程应由具备相应能力的人员独立进行，且避免利益冲突。 组织应视情况利用调查结果改进合规管理体系（见第10章）。 组织应定期向治理机构或最高管理者报告调查的次数和结果。 组织应保留有关调查的文件化信息

9.1监视、测量、分析和评价

GB/T35770—2022/ISO37301:2021

组织对白规 组织应确定： 需要监视和测量什么； 适用的监视、测量、分析和评价的方法，以确保有效的结果； 何时实施监视和测量； 何时对监视和测量的结果进行分析和评价。 文件化信息应作为结果证据可获取。 组织应评价合规绩效和合规管理体系的有效性

9.1.2合规绩效的反馈来源

组织应确立、实施、评价和维护能够使其从多种渠道寻求并获取合规绩效反馈的过程。组织应对信 息进行分析和严格评估，以确认不合规的根本原因，确保采取适当的措施，并在4.6要求的定期风险评 估中反映上述信息

组织应开发、实施和维护一套适当的指标，以帮助组织评价其合规目标的实现情况并评估合规 绩效。

组织应确立、实施和维护合规报告的过程，以确保： a) 界定适当的报告准则； b 确立定期报告的时间表； 实施非常规报告机制以便于临时报告； 实施保证信息准确性和完整性的机制和过程： e) 向组织中合适的职能或板块提供准确和完整的信息，以便及时采取预防、纠正和补救措施 合规团队向治理机构或最高管理者提交的任何报告内容均应受到充分保护以防止被修改

组织应保留合规活动准确且实时的记录，以协助监视和评审合规过程，并证实其符合合规管理 求。

GB/T35770—2022/ISO37301:2021

组织应在策划的时间间隔内实施内部审核，以便为合规管理体系提供以下信息： a）是否符合： 1）组织自身对合规管理体系的要求； 2）本文件的要求。 b）是否得到了有效地实施和维护。

9.2.2内部审核方案

现有控制和绩效指标的有效性； 与提出疑虑的人员、相关方沟通，包括反馈（见9.1.2)和投诉； 调查（见8.4）； 报告机制的有效性

现有控制和绩效指标的有效性； 与提出疑虑的人员、相关方沟通，包括反馈（见9.1.2)和投诉； 调查（见8.4）； 报告机制的有效性

9.3.3管理评审结果

组织应持续改进合规管理体系的适宜性、充分性和有效性。

组织应持续改进合规管理体系的适宜性、充分性和有

10.2不符合与纠正措施

发生不符合或不合规时，组织应： a）对不符合或不合规做出反应，并且如适用： 1）采取控制和纠正措施， 2）处置后果； D） 通过以下活动评价采取措施的需要，以消除产生不符合和/或不合规的原因，避免其再次发生 或在其他地方发生： 1）评审不符合和/或不合规， 2） 确定产生不符合和/或不合规的原因， 3） 确定是否存在或可能发生类似的不符合和/或不合规； c）实施任何所需的措施； d）评审所采取的任何纠正措施的有效性； e）如必要，变更合规管理体系。 纠正措施应与不符合和/或不合规产生的影响相适应。 文件化信息应作为以下事项的证据可获取： 不符合和/或不合规的性质和所采取的任何后续措施； 任何纠正措施的结果

附录A （资料性） 本文件使用指南

2021年发布的"ISO/IEC导则，第1部分，2021，《ISO综合补充件ISO专用程序》”中已经将“高层结构” 为“协调结构”

4.1理解组织及其环境

职能，诸如风险管理、内部控制、内部审核、人力

确定合规管理体系的范围 程中，组织选择在整个组织、组织内特定单元或特定职能内部实施合规管理体系时，具有自由度和灵 活性。 通常情况下，合规管理体系会在整个组织中实施，如果组织由多个组织组成，合规管理体系会在所 有组织中实施，这样做的目的是为了避免在道德操守和合规方面的双重标准，

GB/T35770—2022/ISO37301:202

合规管理体系的范围宜合理且与组织相匹配，宜考虑组织所面临的合规风险的性质和程度。 确立合规管理体系的范围和确定组织将采纳哪些需求时，宜结合对组织环境的理解和有关的相关 方的需求。

A.4.4合规管理体系

合规管理体系是一个框架，该框架是基本结构、方针、过程和程序的有机组合，其目的是实现预期的 合规结果，并发挥作用以预防、发现和响应不合规。 通常，合规管理体系框架具有结构性特征：在必要的基础上构建这个体系。该体系需要通过方针 过程和程序的实施来使其运行，且对其进行维护和持续改进。 合规管理体系包含诸多要件。其中某些要件是为满足预期行为而设计，某些要件用于防止非预期 行为而设计，而某些要件用于监视组织的合规绩效或在发生不合规时提出警告。 合规管理体系无法完全避免错误的发生，但有相应的过程确保对错误做出适当的反应，包括对过 程、体系和受影响方的补救。 合规管理体系宜以良好治理、匹配性、诚信、透明、问责制和可持续性等原则为基础。 合规管理体系宜作为文件化信息提供

组织宜将合规义务作为建立、开发、实施、评价、维护和改进其合规管理体系的基础。 组织强制遵守的要求能包括： 法律法规； 许可、执照或其他形式的授权； 监管机构发布的命令、条例或指南； 法院判决或行政决定； 条约、公约和协议。 组织自愿选择遵守的要求能包括： 与社会团体或非政府组织签订的协议； 与公共权力机构和客户签订的协议； 组织的要求，如方针和程序； 自愿的原则或规程； 自愿性标志或环境承诺； 与组织签署合同产生的义务； 相关组织的和产业的标准。 组织宜按部门、职能和不同类型的组织性活动来识别合规义务，以便确定谁受到这些合规义务的 影响。 获取关于法律和其他合规义务变更信息的过程能包括： 列人相关监管部门收件人名单； 成为专业团体的会员； 订阅相关信息服务； 参加行业论坛和研讨会； 监视监管部门网站； 与监管部门会睛：

GB/T35770—2022/ISO37301:2021

不合规（即使是单一的不合规事件也能构成情况的实质变化）和近乎不合规。 合规风险评估的详细程度和水平取决于组织的风险情况、环境、规模和目标，并能随着具体的细分 领域（如：环境、财务、社会）变化。 基于风险方法的合规管理并不意味着在合规风险较低的情况下组织就接受不合规。它有助于组织 集中主要注意力和资源优先处理更高级别风险，最终覆盖所有合规风险。所有已识别的合规风险/情况 都会得到监视和处理。 在进行风险评估（相关指导见ISO31000）时.宜注意适当的技术（见IEC.31010）

/T35770—2022/ISO37301:2021

A.5.1.1治理机构和最高管理者

A.5.1.2合规文化

GB/T357702022/ISO37301:2021

持续就合规问题进行沟通； 绩效考核体系，结合对合规行为的评估，并将合规表现与绩效工资挂钩，以实现合规关键 措施和结果； 对合规管理业绩和结果予以明确认可； 对故意或因疏忽而违反合规义务的情况给予即时和适当的处分； 在组织的战略和个人岗位之间建立清晰的联系，强调合规是实现组织结果所必不可少的； 在内部和外部就合规进行公开和适当的沟通。 合规文化的形成体现于下列方面的实现程度： 上述事项得以实施； 相关方（特别是组织的人员）相信上述事项已实施； 人员理解合规义务与自身活动和所在业务单元活动的相关性； 组织所有适当层级都按照要求自主应对不合规并采取纠正措施 重视合规团队的岗位及其目标； 人员有能力且受到鼓励向包括最高管理者和治理机构在内的适当的管理层提出合规疑虑 组织宜： a） 衡量其合规文化； b） 寻求所有人员的意见，以确定他们是否感知到治理机构、最高管理者和中层管理者对合 承诺； 根据组织合规文化指标的结果，确立行动计划

A.5.1.3合规治理

合规治理建立在以下基本原则基础上。 合规团队能直接接触治理机构和最高管理者。如有需要，他们能绕过组织中的其他人直接与一个 或多个最有权采取行动的人沟通。这直接禅益治理机构和最高管理者，便于他们履行职责。这种接触 宜是有计划和系统性的。例如，合规团队能直接向首席执行官报告和间接向审核委员会、主席或整个董 事会报告。 合规团队宜是独立的，不与组织结构或其他要件冲突。他们可以自由行动、不受垂直管理者的 干涉。 合规团队拥有权限。合规团队在权限上不是一个能被上级否决或被其修改报告或信息的初级部 门。合规团队能根据需要指导其他员工。合规团队宜有“发言权”，以申明和提出合规疑虑。 合规团队有足够的资源来支持组织不受限制地执行合规管理体系的必要工作和职责，包括获得技 术以使合规管理体系能全面和有效地支持组织实现其合规目标

合规方针确立了组织实现合规的首要原则和行动承诺。它设定了要求的职责和绩效水平，并设定 对行动进行评估的期望。该方针宜与组织活动产生的合规义务相适应。 合规方针宜由治理机构批准。 合规方针宜规定： 与组织的规模、性质、复杂性及其环境有关的合规管理体系的应用和环境； 合规与其他职能的结合程度，如与治理、风险、审核和法务； 对内外部相关方的关系进行管理的原则。

合规方针不宜是一个独立的文件，宜得到其他文件的支持，包括运行方针和过程。 如有必要，宜将合规方针翻译成其他语言。 合规方针宜适合于组织因其范围和活动而产生的合规义务。 开发合规方针，宜结合： a）具体的国际、区域或属地义务； b）组织的战略、目标、文化和治理方法； c） 组织结构； d）与不合规相关的风险的性质和等级； e）采用的标准、准则、内部方针和程序； f)行业标准。 合规方针可包括： 使命宣言； 总体方针声明； 管理战略以及责任和资源的分配； 标准合规程序； 审核、尽职调查和合规

A.5.3岗位、职责和权际

A.5.3.1治理机构和最高管理者

治理机构的积极参与和监督是有效合规管理体系不可或缺的组成部分。这有助于确保人员充分理 解组织的合规方针、合规运行程序以及这些方针和程序如何应用于他们的工作，并确保他们有效地履行 合规义务。 为使合规管理体系有效，治理机构和最高管理者需要以身作则，坚持并积极、明确地支持合规与合 规管理体系。 许多组织视其规模也有合规管理的全面负责人，尽管该负责人可能有其他岗位或职能，例如现有的 委员会、组织的单元或合规专家的外包要件。 最高管理者宜鼓励创造和支持合规的行为，而不宜容忍侵害合规的行为 最高管理者宜确保： 组织对合规的承诺与其价值观、目标和战略一致，以便适当地定位合规工作； 鼓励所有员工承认实现其负责或负有责任的合规目标的重要性； 创造一种鼓励报告不合规并使报告的员工不会受到报复的环境； 将合规纳人更广泛的组织文化和文化变更举措中； 识别不合规井即时采取行动予以纠正或处理； 运行目标和指标不会影响合规行为。 最高管理者宜参考关键绩效指标和其他关键信息并按策划的时间间隔（例如：每季度或每月）评审 合规管理体系的绩效，以确保合规管理体系实现其目标。 合规管理体系的有效性要求最高管理者通过制定标准和实施合理监督做出承诺。最高管理者宜了 解合规管理体系的内容和运行，并宜确保组织拥有有效的合规管理体系所需的足够的过程。

A.5.3.2合规团队

许多组织都由专门人员（例如：合规官)负责日常合规管理，有些组织还设有跨职能合规委员会来协 22

许多组织都由专门人员（例如：合规官）负责日常合规管理，有些组织还设有跨职能合规委员会来

照明标准规范范本GB/T35770—2022/ISO37301:2021

调整个组织的合规工作。合规团队会与管理层一起合作。 并非所有的组织都创建独立的合规团队；一些组织将此职能分配至现有岗位或职能外包。外包 时，组织不宜将全部合规职能分配给第三方。即使组织将部分职能外包，也宜考虑维护组织对这些职能 的权限并对其进行监督。 分配合规管理体系职责，宜考虑确保合规团队证实： 诚信和对合规的承诺； 有效的沟通和影响力； 有能力接受建议和指导； 具备设计、实施和维护合规管理体系的相关能力： 具备面对测试和挑战的信心、业务知识和经验； 以战略性、积极的方式对待合规； 有足够的时间来满足合规岗位的需求。 合规团队宜拥有权限、地位和独立性。权限意味着合规团队被治理机构和最高管理者授予足够的 权力。地位意味着其他人员很可能倾听和尊重他/她的意见。独立性意味着合规团队尽可能地不亲自 参与可能暴露在合规风险之下的活动。 合规团队履行其岗位不宜存在利益冲突

最高管理者的职责不宜被视为免除其他各级管理者的合规职责，因为所有管理者都在合规管理体 系方面发挥作用。因此，明确设定他们各自的职责并列人其岗位描述之中很重要。 管理者的合规职责必然会根据权限的级别、影响力和其他因素而有所不同，如组织的性质和规模， 然而，一些职责很可能在不同的组织中是通用的

所有人员都宜履行合规义务。 人员宜确保了解自已的合规职责并有效地执行这些职责。对此，人员将通过合规管理体系的要件 获得支持，如培训、方针和程序以及行为准则 人员宜积极主动地洞察不足与改进，以促进合规管理体系的绩效

灭火系统标准规范范本A.6.1风险与机会的应对措施

合规管理体系的策划是在战略层面上开展的，而运行策划则是针对运行层面的策划和控制开展的。 策划的目的是预测可能发生的情况和后果，因此它是预防性的。根据合规风险评估的结果，组织宜 策划如何在不利影响发生之前应对它们，以及如何从支持合规管理体系有效性的有利条件或环境中 获益。 策划还宜包括确定如何将被认为对合规管理体系必要或有益的行动融人业务活动和过程中。这种 融入能通过目标设定、运行控制或其他具体条款（例如：资源规定、能力）实现。还宜策划评价合规管理 体系有效性的措施。这包括监视、测量技术、内部审核或管理评审

A.6.2合规目标及其实现的策划