桦泰认证-业务连续性管理体系认证实施规则

20

2025-11

桦泰认证-业务连续性管理体系认证实施规则

806


 VTA.png




桦泰认证(江苏)有限责任公司

业务连续性管理体系认证实施规则

1  适用范围

1.1 本规则用于规范依据 GB/T 30146-2023/ISO 22301:2019 《安全与韧性 业务连续性管理体系 要求》在中国境内开展的业务连续性管理体系(以下简称BCMS认证活动。

1.2 本规则依据认证认可相关法律法规,结合相关技术标准,对业务连续性管理体系认证实施过程作出具体规定,明确本机构对认证过程的管理责任,保证业务连续性管理体系认证活动的规范有效。

1.3 本规则规定的所有要求是通用的,适用于各种类型、规模和特性的组织或其组成部分。这些要求的适用范围取决于组织的运行环境和复杂性。

2  认证依据

   GB/T 30146-2023/ISO 22301:2019 《安全与韧性 业务连续性管理体系 要求》

3  对认证机构的基本要求

3.1 开展BCMS认证活动围绕国家经济和社会发展目标,重点服务于经济社会高质量发展,不影响国家安全和社会公共利益,不违背社会公序良俗。

3.2 内部管理和认证活动符合 GB/T 27021.1/ISO/IEC 17021-1《合格评定 管理体系审核认证机构要求 1部分:要求》以确保机构持续满足开展BCMS认证的基本要求。

3.3  对认证活动的公正性负责,不允许商业、财务或其他压力损害公正性。如:不得将申请认证的组织是否获得认证与参与认证审核的审核员及其他人员的薪酬挂钩。

3.4 对认证活动中所知悉的国家秘密、商业秘密负有保密义务。通过在法律上具有强制实施力的协议,确保在认证活动中所获得的信息在未经认证委托人书面同意的情况下,不向第三方透漏,认证行政监管有要求的除外。

3.5 BCMS认证活动的真实性、有效性负责,加强认证人员的管理及素质、能力提升,合理安排审核员的工作量。

3.6 不得委派未取得BCMS注册资格的审核员开展BCMS认证审核活动。

4  对认证人员的基本要求

4.1 遵守认证认可相关法律法规、部门规章及规范性文件的要求,具有从事认证工作的基本职业操守,对认证活动及其结果的真实性和有效性承担相应责任。

4.2 审核员应当取得国家认证认可监督管理委员会(以下简称“国家认监委”)确定的认证人员注册机构批准的BCMS审核员注册资格。

4.3 审核员不得接受超出其注册资格的认证审核任务。

4.4 审核员按照CCAA要求接受人员注册/保持注册所要求的继续教育培训,以及机构要求的能力(包括知识和技能)提升活动,以持续具备从事BCMS认证工作相适宜的能力。

4.5 本机构确保BCMS认证活动所涉及的各类认证人员满足以下要求:

1)认证规则和方案制定人员:具有BCMS认证知识,熟悉BCMS认证依据标准、认证程序以及有关法律法规、技术标准要求;

2)认证申请评审人员:熟悉BCMS认证依据标准,能够正确判断认证申请信息的符合性;

3)认证审核方案管理人员:熟悉BCMS认证依据标准、认证程序要求,能够根据认证申请组织的业务/产品/过程/组织结构的知识和信息完成审核方案和审核策划;

4)认证审核员:具有BCMS认证知识,理解和掌握BCMS认证依据标准,熟悉BCMS认证相关法律法规、审核原则、程序和方法,了解受审核组织业务管理的实践知识,BCMS认证过程的管理要求,能够按照 ZDHY 的程序和过程开展工作;

5)认证决定或复核人员:具有BCMS认证知识,熟悉认证相关标准及认证审核原则、实践和技巧,了解本机构认证管理过程要求;

6)认证人员能力的评价人员:熟悉BCMS认证流程及认证过程各阶段的人员能力管理要求;熟悉各类认证人员的能力准则,能够正确选择对认证人员能力评价的方法,能够基于已有的证据准确判定受评价人员的能力与准则的符合性。 

4.6 各类认证人员不得发生影响认证公正性的行为,应主动告知本机构其所了解的任何可能使本人或本机构陷入利益冲突的情况。因认证人员未履行告知义务而导致非公正性认证结果的,认证人员应当负有连带责任(如承担因此造成的经济损失)。

5  认证程序

5.1  认证申请

5.1.1 本机构应向申请认证的组织至少公开以下信息:

1)可开展认证业务的范围,以及获得认可的情况

2)开展BCMS认证活动所依据的认证标准以及相关的认证方案、认证流程;

3)授予、拒绝、保持、更新、暂停(恢复)或撤销认证以及扩大或缩小认证范围的规定;

4)拟向申请组织获取的信息以及保密规定;

5)认证收费标准;

6认证证书、认证标志及相关的使用规定;

7)对认证过程和结果的申投诉规定。

8)其他需要公开的信息。

5.1.2 提出认证申请时,申请组织应具备以下条件:

1)取得合法主体资格,并处于有效期内;

2)取得相关法律法规规定的行政许可(适用时),并处于有效期内;

3)已按认证标准建立BCMS,且运行满三个月,至少已实施了一次完整的内部审核和管理评审;

4)当前未被行政监管部门责令停产停业整顿;

5)当前未列入国家企业信用信息公示系统信用中国发布的严重违法失信名单;

 

6)其他应具备的条件。

5.1.3 申请组织应向本机构至少提交以下资料:

1)认证申请,包括申请组织的名称、地址、认证依据的标准、申请的认证范围、认证范围内人员数量及影响体系有效性的外包过程;

2)法律地位的证明文件的复印件。若BCMS覆盖多场所活动,应附每个场所的法律地位证明文件的复印件(适用时)

3BCMS覆盖的活动所涉及法律法规要求的行政许可证明、资质证书、强制性认证证书等的复印件

4受审核组织的组织机构图及职责;

5BCMS成文信息(适用时);

6)受审核组织的业务影响分析和风险评估报告、业务连续性计划以及演练和测试方案;

7)其他需要提供的文件。

5.2  申请评审

5.2.1 本机构对申请组织提交的申请信息和文件资料进行评审,仔细鉴别申请信息和文件资料的真伪,确定是否受理认证申请,并保存相应评审记录。

5.2.2 满足以下条件的,本机构可以受理认证申请:

1)认证委托人已具备受理条件(见 5.1.2);

2)本机构具备实施认证的能力;

3)双方就认证事宜达成一致。

5.2.3 对被执法监管部门责令停业整顿或在全国企业信用信息公示系统中被列入严重违法企业名单 的认证委托人,本机构不应受理其认证申请。

5.3  认证合同及相关责任

在实施认证审核前,本机构应与申请组织订立具有法律效力的书面认证合同,合同应至少包含以下内容:

1)获得认证后持续有效运行管理体系的承诺;

2)对遵守认证认可相关法律法规,协助认证监管部门的监督检查,对有关事项的询问和调查如实提供相关材料和信息的承诺

3)承诺获得认证后发生以下情况时,应及时向本机构通报:

客户及相关方有重大投诉。

发生重大质量、环境、安全、食品安全等事故。

相关情况发生变更,包括:法律地位、生产经营状况、组织状态或所有权变更;取得的行政许可资格、强制性认证或其他资质证书变更;法定代表人、最高管理者变更;业务连续性过程活动所涉及的工作场所变更;管理体系覆盖的活动范围变更;管理体系和重要过程的重大变更等。

出现影响管理体系运行的其他重要情况。

(4)承诺获得认证后正确使用认证证书和有关信息,证书范围只涉及审核地址所涉及的业务连续性过程活动;

5)在认证审核实施过程及认证证书有效期内,本机构和申请组织各自应当承担的责任、权利和义务;

6)认证服务的费用、付费方式及违约条款

5.4  审核方案和审核策划

5.4.1 审核方案

5.4.1.1 本机构应针对每一申请组织建立认证周期内的审核方案,以清晰地识别所需的审核活动。

5.4.1.2 初次认证的审核方案应包括两阶段初次审核、获证后的监督审核和认证到期前进行的再认证审核。

注:一个认证周期通常为3年,从初次认证(或再认证)决定算起, 至认证的有效期截止。

5.4.1.3 初次认证审核和再认证审核是对申请组织完整体系的审核,应覆盖 认证依据所有的适用要求,认证证书有效期内的监督审核累计应覆盖认证依据所有的适用要求。

5.4.1.4 初次认证及再认证后的第一次监督审核应在认证证书签发起 12 个月内进行。此后,监督审核间隔不应超过12个月

5.4.1.5 本机构基于受审核组织不同班次的过程和活动以及所证实的每个班次的BCMS控制水平,策划对不同班次实施的审核程度,确保审核的有效性:

1)每次审核应至少对其中的一个班次的生产或服务的活动现场进行审核;

2)对于未审核的班次,应记录未审核的理由。

5.4.2 审核时间

5.4.2.1 审核时间包括在受审核组织现场的审核时间以及在现场审核以外的实施策划、文件审核和编写审核报告等活动的时间。审核时间以人天日计,1 人日为8小时。如果每天的实际工作时间不足8 小时,则应延长审核天数以满足人天要求。

5.4.2.2 为确保认证审核的完整有效,本机构应以附录A所规定的审核时间为基础,考虑受审核组织的规模和性质、所在行业特点、认证范围覆盖的场所数量、管理过程和活动的复杂程度、所使用的审核方法和语言、后勤条件等因素,确定策划和完成一个完整有效的审核所需的审核时间。

5.4.2.3 本机构基于5.4.2.2上述因素减少的审核时间不得超过附录A所规定的审核时间的 30整个审核时间中,现场审核时间不应少于总审核时间的80%。

5.4.2.3 BCMS与其他管理体系实施结合审核时,本机构将分别确定每个管理体系所需的审核时间,结合审核的总审核时间不少于每个管理体系所需审核时间之和的80%

5.4.3 多场所抽样方案

5.4.3.1 多场所受审核组织可以包含一个以上的法律实体,但该组织的所有场所应与组织的中心职能具有法律或合同联系,并服从于单一的管理体系。该管理体系应由中心职能制定、 建立,并服从于中心职能的持续监督和内部审核。

5.4.3.2 当多场所组织的多个场所均实施非常相似的过程、活动时,本机构可对其进行抽样审核。样本应选择有代表性的不同场所,确保覆盖认证范围内的所有过程和活动。机构将基于各场所规模上的显著差异、不同场所管理过程和活动的复杂程度、以往审核的结果、上次审核后的变化、法律法规方面的差异、地理位置的分散程度等因素来选择场所。

5.4.3.3 通过申请评审来确定多场所项目中拟实施现场审核的场所,形成抽样计划并记录其合理性。对多个相似场所进行抽样审核时,每次审核最少访问的场所数量是:

1)初次认证审核 公式1.png

2)监督审核公式2.png公式2.png

3)再认证审核 公式3.png

注:其中Y 为抽样的数量,结果向上取整;X 为相似场所的总体数量。

初次认证审核、监督审核以及再认证审核时都应对中心职能进行审核。

5.4.4 审核组

5.4.4.1 本机构根据实现审核目的所需的能力和公正性要求组建审核组。审核组应满足以下要求:

1)组内的审核员应具备CCAA确认的业务连续性管理体系审核员资格。

2)指定组内的一名审核员担任审核组长,审核组长应具有管理和领导审核组达成审核目标的知识和技能,其能力应至少满足GB/T 19011《管理体系审核指南》标准中对审核组长的通用要求;如果审核组仅有一名审核员,则该审核员应具备履行审核组长职责的能力。

3)组内审核员所需的知识和技能可以通过技术专家和(或)翻译人员进行补充,技术专家和(或)翻译人员应在审核员的指导下工作,其选择应避免他们对审核产生不当影响。

4)技术专家主要负责为审核组提供技术支持,不作为审核员实施审核,不计入审核时间。

5)审核组可以有实习审核员,其要在审核员的指导下参与审核, 不计入审核时间,不单独出具记录等审核文件,其在审核过程中的活动由负责指导的正式审核员承担责任。

5.4.4.2 审核组成员不得与受审核组织存在利益关系。

5.4.5 远程审核方法

5.4.5.1 BCMS认证审核应在受审核组织的现场实施,初次认证以及认证周期内的每年度的监督审核和再认证审核活动,应包括访问申请组织现场的现场审核。

5.4.5.2 因安全因素的考虑,审核组可在受审核组织的现场采用远程审核方法对受审核组织的某个过程的运作情况实施审核。

5.4.5.3 审核中采用远程审核方法的,远程审核时间不得超过现场审核时间的30%,并应在审核计划、审核记录及审核报告中予以注明。

5.4.6 审核计划

5.4.6.1 审核组长依据审核方案应为每次现场审核制定审核计划(第一阶段审核不要求正式的审核计划)。审核计划至少包括以下内容:审核目的、审核依据、审核范围、现场审核的日期和场所、现场审核持续时间、审核组成员(其中:审核员应标明认证人员注册号;技术专家应标明工作单位及专业技术职称)。

5.4.6.2 现场审核应安排在受审核组织 BCMS 范围内的管理过程和活动处于正常运行时进行。

5.4.6.3 现场审核开始前,应将审核计划提交给受审核组织并经其确认。如需要临时调整审核计划,应经双方协商一致后实施。

5.5  实施审核

5.5.1 审核组应按照审核计划实施审核,并采用中文记录审核过程,可使用图片、音像等作为补充材料。

5.5.2 审核组应会同受审核组织召开首、末次会议,受审核组织的最高管理者(因特殊原因不能参加的,应授权高级管理层其他成员)、BCMS相关职能部门负责人应参加会议。审核组应保留首、末次会议签到记录。审核组应按国家认监委的要求完成首、末次会议现场审核的网络签到。

5.5.3 现场审核过程中,审核组宜采用面谈、观察过程和活动、审查文件和记录以及其他适用的审核方法,通过适当抽样来收集与审核目的、范围和准则相关的信息(包括与职能、活动和过程之间的接口有关的信息)并加以验证使之成为审核证据。审核组对照审核准则评价审核证据以确定审核发现,包括关于不符合的审核发现。

5.5.4 发生下列情况时,审核组应向本机构报告,经同意后终止审核:

1受审核组织对审核活动不予配合,审核活动无法进行;

2受审核组织实际情况与申请材料有重大不一致;

3)其他导致审核活动无法完成的情况。

5.6  初次认证审核

5.6.1 初次认证审核,分为第一、二阶段实施审核。

5.6.2 第一阶段审核应至少覆盖以下内容:

1)了解受审核组织的情况,包括其活动、产品和服务设施设备、工艺流程、现场运作以及适用的法律法规、标准和其他规范性要求

2)评审受审核组织的BCMS文件,确认文件内容与组织业务活动及产品和服务吻合

3)审核受审核组织理解和实施认证依据的情况,特别是对BCMS关键绩效、过程和运行及管理目标识别情况

4)受审核组织是否为第二阶段审核做好准备,已实施了内部审核和管理评审

5)确认受审核组织BCMS认证范围、体系覆盖范围内的有效人数和场所

6)受审核组织的产品和服务符合相关法律法规及强制性标准的情况;

7)确认受审核组织需要进行现场见证的过程和控制措施,以及组织是否已为第二阶段审核的现场见证做好准备

5.6.3 第一阶段审核包括文件评审和现场访问。

对于文件评审,审核组长应在现场审核前审查受审核组织的BCMS文件,确定与认证依据的符合性,并获取受审核组织对BCMS进行有效策划的信息。审核组长经评审,确认审核组织BCMS文件符合认证依据,文件评审通过。审核组长将文件初审意见告知受审核组织,包括识别任何引起关注的、可能被判定为不符合的问题。对于文件评审中发现的不修改则会影响现场审核的问题,受审核组织应在规定期限内完成修改,审核组长再次审查并接受后,文件评审通过。

对于现场访问,审核组长可编制第一阶段审核计划,在现场访问前提交给受审核组织确认。现场访问过程中,审核组成员通过与受审核组织各层级人员的交谈以及走访受审核组织BCMS的主要运行场所,了解受审核组织BCMS及其方针、目标、风险、过程和现场运行情况,为第二阶段审核收集必要的信息。

5.6.4 审核组与受审核组织管理层进行沟通,将第一阶段审核目的是否实现、第二阶段审核是否准备就绪以及第一阶段审核发现以书面形式告知受审核组织,包括所识别的任何应引起关注的、在第二阶段审核可能被判定为不符合的问题。

第一阶段确认受审核组织需要进行现场见证的过程和控制措施,以及组织是否已为第二阶段审核的现场见证做好准备。

第一阶段审核提出的需要在第二阶段审核前完成纠正的问题,审核组长经验证并确认得到解决之后,方可实施第二阶段审核。

受审核组织存在BCMS文件与现场实际情况不符,审核范围覆盖的管理活动和过程未正常开展和运行,BCMS运行不足3个月或无法证明已满3个月,以及其他不具备现场审核条件的情形时,本机构不能实施第二阶段审核。

如果受审核组织发生任何影响其BCMS的重大变更,机构将考虑重复整个或部分第一阶段审核。 第一阶段审核结果可能导致推迟或取消第二阶段审核。

5.6.4 当受审核组织获得本机构颁发的有效的信息安全管理体系或信息技术服务管理体系认证证书时,机构经评估,确认已对受审核组织BCMS范围内的组织结构、过程、资源、重要 影响因素、控制方式等现场情况有充分了解,通过对其提交的文件和资料的评审,可以达到第一阶段审核的目的和要求时,第一阶段可不在受审核组织现场实施。

5.6.5 第二阶段审核应当在受审核组织现场进行,审核目的是评价受审核组织BCMS的实施情况,包括对认证依据的符合性和体系的有效性,应至少覆盖以下内容:

1)受审核组织BCMS文件化信息的符合性和适宜性

2)受审核组织BCMS范围、场所、过程和活动的必要信息,BCMS与认证依据或其他规范性文件的所有要求的符合情况及证据

3)受审核组织BCMS方针和目标的实现程度

4)受审核组织依据其确定的 BCMS 关键绩效和目标,对绩效进行的监视、测量、报告和评审的情况

5)受审核组织 BCMS 实现其预期结果的能力,以及在符合适用法律法规要求和合同要 求方面的绩效

6)受审核组织 BCMS 过程的运行控制情况

7)受审核组织策划并实施 BCMS 内部审核和管理评审的有效性

8)确认适用的法律地位文件、生产经营许可证书、资质证书、强制性产品认证证书等证明文件的有效性。

5.7  监督审核

5.7.1 本机构采用日常监督活动与监督审核相结合的方式,对获证组织进行有效跟踪,以确认获证组织 BCMS 与认证依据要求的持续符合性和运行的有效性。

5.7.2 日常监督活动

实施日常监督活动包括:

1)评审获证组织向机构通报的信息;

2机构就认证的有关方面询问获证组织;

3)要求获证组织提供有关的文件化信息(纸质或电子介质);

4)其他监视获证组织绩效的方法(如关注国家有关部门发布的信息等)。

5.7.3 监督审核

5.7.3.1 初次认证及再认证后的第一次监督审核应在认证证书签发之日起 12个月内进行,此后,监督审核间隔不应超过12个月。监督审核的时间,应不少于按5.4.2条计算审核时间人日数的1/3

发生以下情形时,机构将考虑增加监督审核频次或单独实施一次专门的审核(即专项审核):

1)获证组织BCMS发生重大变更时,包括法人、场所、组织机构、有关职能、资源、过程等影响其认证基础的变更;

2)认证依据发生变化时;

3)对被暂停认证资格的获证组织进行追踪;

4)获证组织出现重大业务连续性管理事故,或对相关方提出的有关 BCMS 运行效果的 重大投诉未做出任何回应时;

5)发生其他影响符合认证要求的能力变化的特殊情况时;

6)其他需要考虑的情况。

5.7.3.2 本机构对监督审核进行策划,以便对获证组织BCMS范围内有代表性的区域和职能进行监视。监督审核在受审核组织现场进行,重点关注获证组织的变更以及BCMS绩效的持续改进,监督审核内容至少包括:

1)审查与认证覆盖范围相关的法律地位文件、生产经营许可证书、资质证书、强制性产品认证证书等证明文件的有效性;

2)获证组织 BCMS 的任何变更;

3)获证组织 BCMS 在实现其目标和预期结果方面的有效性;

4)获证组织 BCMS 持续的运作情况及其有效性,包括对适用法律法规和其他规范性要求的识别和遵守情况;

5)获证组织策划和实施BCMS内部审核和管理评审的有效性;

6)对受审核组织业务连续性计划的演练过程进行见证,以确认其业务连续性计划的演练和测试方案能够验证和确保业务连续性计划的有效性;

7)获证组织为持续改进其 BCMS 所策划的活动的进展和效果;

8)获证组织对 BCMS 相关投诉的处理,以及投诉对保持认证的影响;

9)适用时,获证组织对上次审核确定的不符合所采取的纠正措施的有效性;

10)获证组织对认证证书、认证标志的使用和(或)任何其他对认证信息的引用。

5.7.4 本机构基于获证组织BCMS的成熟度和稳定性、管理过程和活动特点、所承担的风险等因素,合理确定监督审核的时间间隔和频次。监督审核一般为现场审核,机构按照本方案5.45.5的要求策划并实施监督审核。当获证组织的 BCMS、管理体系文件发生重大变更,可能影响其与认证依据要求的符合性时,机构将针对变更实施文件评审。

5.7.5 在监督审核中发现的不符合项,本机构应要求获证组织分析原因,规定时限要求获证组织完成纠正和纠正措施并提供纠正和纠正措施有效性的证据。机构应采用适宜的方式及时验证获证组织对不符合项进行处置的效果。

5.7.6 本机构根据监督审核报告及其他相关信息,作出继续保持或暂停、撤销认证证书的决定。

5.8  再认证

5.8.1 认证证书期满前,若获证组织申请继续持有认证证书,按照本方案 5.1的要求向本机构提出再认证申请。机构按照本方案5.25.3的要求实施申请评审,经评审同意受理再认证申请时,与申请组织签订具有法律效力的认证合同。

5.8.2 本机构依据审核方案实施再认证审核,以判断获证组织的BCMS作为一个整体与认证依据要求的持续符合性和运行的有效性。再认证审核内容至少包括:

1)审查与认证覆盖范围相关的法律地位文件、生产经营许可证书、资质证书、强制性产品认证证书等证明文件的有效性;

2)结合内外部环境的变化情况,确认获证组织 BCMS 的持续有效性以及认证范围的持续相关性和适宜性;

3)获证组织 BCMS 持续的运行控制情况,以及在实现其目标和预期结果方面的有效性, 包括对适用法律法规和其他规范性要求的识别和遵守情况;

4)对受审核组织业务连续性计划的演练过程进行见证,以确认其业务连续性计划的演练和测试方案能够验证和确保业务连续性计划的有效性;

5)适用时,获证组织对上次审核确定的不符合所采取的纠正措施的有效性;

6)获证组织对认证证书、认证标志的使用和(或)任何其他对认证信息的引用;

7)获证组织在上一个认证周期内的绩效,保持 BCMS 有效性并实现改进以提高整体绩效的情况及其效果。

5.8.3 按照本方案5.4的要求实施再认证审核策划,策划将考虑获证组织最近一个周期内的BCMS 绩效,包括调阅以往的监督审核报告。再认证通常包括文件评审和现场审核,文件评审按照本方案 5.6.3 的要求实施,现场审核按照本方案5.45.5的要求实施。

BCMS及获证组织的内部和外部环境无重大变更时,再认证审核可省略第一阶段审核,但审核时间应不少于按初审计算人日数的2/3

5.8.4 当获证组织发生影响认证有效性的重大变更,或机构对相关投诉的分析,或机构通过日常监督活动和监督审核获取的信息表明获证组织不再满足认证要求时,机构将提前对获证组织实施再认证。

5.8.5 获证组织在认证证书被暂停使用期间提出再认证申请,机构执行认证恢复及再认证程序。

5.8.6 如果在当前认证证书的终止日期前完成了再认证活动并决定换发证证书,新认证证书的终止日期可以基于当前认证证书的终止日期。新认证证书上的颁证日期应不早于再认证决定日期。

如果在当前认证证书终止日期前,本机构未能完成再认证审核或对严重不符合项实施的纠正和纠正措施未能进行验证,则不应予以再认证,也不应延长原认证证书的有效期。

在当前认证证书到期后,如果本机构能够在6个月内完成未尽的再认 证活动,则可以恢复认证,否则应至少进行一次第二阶段审核才能恢复认证。认证证书的生效日期应不早于再认证决定日期,终止日期应基于上一个认证周期。

5.8.7 上一周期认证证书到期后,如果获证组织未能在6个月内完成未尽的再认证活动,则上一周期认证证书到期后即失效。获证组织应重新提出认证申请,机构执行初次认证程序。

5.9  特殊审核

5.9.1 扩大认证范围

对于已授予的认证,本机构应对扩大认证范围的申请进行评审,并确定任何必要的审核活动,以做出是否可予扩大的决定。这类审核活动可以结合监督审核同时进行。

5.9.2 提前较短时间通知的审核

为调查投诉、质量事故、对变更做出回应或对被暂停的客户进行追踪, 可能需要在提前较短时间或不通知获证组织的情况下进行审核:

1)本机构应说明并使获证组织提前了解将在何种条件下进行此类审核;

2)由于获证组织缺乏对审核组成员的任命表示反对的机会,本机构应在指派审核组时给予更多的关注

5.10  不符合项及其验证

5.10.1 对审核中发现的不符合项,本机构应要求受审核组织在规定的时限内进行原因分析,采取相应的纠正措施。

5.10.2 本机构应对受审核组织所采取的纠正措施的有效性进行验证。受审核组织可以针对轻微不符合项制定纠正措施计划,由机构在下次审核时验证。

5.10.3 严重不符合项的验证时限应满足以下要求:

1)初次认证:在二阶段审核结束之日起6个月内完成;

2)监督审核:在审核结束之日起3个月内完成;

3)再认证:在审核结束之日起1个月内完成。

5.10.4 对于受审核组织未能在规定的时限内完成对不符合项所采取措施的情况,本机构不应做出授予认证、保持认证或更新认证的决定。

5.11  审核报告

5.11.1 审核组应对审核活动形成书面审核报告,由审核组组长签字。审核报告应准确、简明和清晰地描述审核活动的主要内容,至少包括以下内容:

1受审核组织的名称和地址;

2受审核组织的活动范围和场所;

3)审核的类型、准则和目的

4)审核组组长、审核组成员及其个人注册信息

5)审核活动的实施日期和地点,包括固定现场和临时现场;对偏离审核计划情况的说明,包括对审核风险及影响审核结论的不确定性的客观陈述

6)识别出的不符合项

7)审核组对是否通过认证的意见建议。

5.11.2 本机构应保留用于证实审核报告中相关信息的证据。

5.11.3 本机构应在作出认证决定后30个工作日内将审核报告提交申请组织,并保留签收或提交的证据。

5.11.4 对终止审核的项目,审核组应将已开展的工作情况形成报告,本机构应将此报告及终止审核的原因提交给申请组织,并保留签收或提交的证据。

5.12  认证决定

5.12.1 本机构应该在对审核报告、不符合项的纠正和纠正措施及其结果进行综合评价基础上做出复核,并根据复核结果作出认证决定。

5.12.2 认证决定人员应为本机构管理控制下的人员,审核组成员不得参与对审核项目的认证决定。

5.12.3 本机构应有充分的证据确认申请组织满足下列条件时,做出授予、更新、扩大认证范围的决定:

1)受审核组织满足本方案5.1.2所述的基本条件;

2)对于严重不符合,已审查、接受并验证了受审核组织纠正措施的有效性;

3)对于轻微不符合,已审查、接受了受审核组织的纠正措施或计划采取的纠正措施;

4)受审核组织的BCMS总体符合认证依据要求且运行有效;

5)认证申请组织按照认证合同规定履行了相关义务。

5.12.4 对符合认证要求的申请组织颁发认证证书。对不符合认证要求的申请组织,机构将告知其不能通过认证的原因。申请组织如要继续认证,需重新申请认证。

5.12.5 机构基于监督审核的结果,确认获证组织持续满足认证要求时,做出保持认证的决定,向获证组织发出保持认证的通知。确认获证组织不能持续满足认证要求时,按照本方案7的要求做出相应处置。

5.12.6 对于再认证,本机构按照5.8要求做出认证决定。

5.12.7 本机构在颁发认证证书后,应当在次月10日前按照规定的要求将认证结果相关信息报送国家认监委。

6  认证证书和认证标志

6.1  总则

6.1.1 本机构应通知并要求获证组织正确使用BCMS认证证书和认证标志,以满足《认证证书和认证标志管理办法》中相关规定。

6.1.2 获证组织可以在认证有效期内使用认证标志,并接受本机构的监督管理。认证证书处于暂停期间、被撤销或注销后,不得继续使用认证证书和认证标志。

6.1.3 获证组织应当在广告等有关宣传中正确使用认证标志,不得在产品上标注认证标志,只有在注明获证组织通过BCMS认证的情况下方可在产品的包装上标注认证标志。

6.1.4 本机构发现获证组织未正确使用认证证书和认证标志的,应当要求获证组织立即采取有效纠正措施,并跟踪监督纠正情况。

6.2  认证证书

6.2.1 本机构应及时向认证决定符合要求的组织出具认证证书,认证证书的签发日期不应早于做出认证决定日期。

6.2.2 BCMS认证证书的有效期最长为3年,初次认证证书有效期的起算日期为认证证书签发日期。再认证证书有效期的起算日期不得晚于最近一次有效认证证书的截止日期。

6.2.3 对每张BCMS认证证书应赋予一个认证证书编号,认证证书编号规则见本方案附录B

6.2.4 认证证书在中华人民共和国境内使用的,证书使用的语言至少应包括中文。

6.2.5 认证证书的信息应真实、准确,不产生误导,并至少包含以下内容:

1)认证证书的名称和编号;

2)获证组织名称、注册地址和统一社会信用代码;

3)认证范围所覆盖的经营地址,若认证的 BCMS 覆盖多场所时,将表述认证所覆盖的所有场所的地址信息;

4)获证组织BCMS所覆盖的产品、活动、服务的范围;适用时,包括每个场所相应的认证范围,且没有误导或歧义;

5)认证依据;

6机构的名称和地址;

7)认证证书的签发人、发证日期和证书有效期;

8)证书信息及证书状态的查询途径;

9)获证组织必须定期接受监督审核并经审核合格此证书方继续有效的提示信息

6.3  认证标志

6.3.1 认证/认可标志可用于以下范围:

1)本机构的文件、宣传材料上;

2)本机构被认可的业务范围内出具的体系认证证书上;

3)在本机构未被认可的业务范围内出具的管理体系认证证书上,只能使用认证标志,不可使用认可标志及国际互认标识;

4)获证组织的宣传品上,不能单独使用认可、认证标志。只有在确保标志的使用不致误导获证组织的产品符合要求的情况下,经本机构批准,有条件使用。

6.3.2 认证/认可标志的使用应符合以下要求:

1)网上、宣传册、广告或其他文件中引用认证状态时,应符合本机构的要求,不得损害本机构和认证制度的信誉,失去公众信任;

2)不得以误导方式使用认证证书和标志。不得利用管理体系认证证书和相关文字、符号,误导公众认为其产品、服务通过认证;不得利用服务认证证书和相关文字、符号,误导公众认为其产品、管理体系通过认证;

3)如在传播媒体上(互联网、宣传册、广告、促销材料等)引用认证资格时,不能改变认证文件的原意或产生潜在的误解;在其他文件,如投标书中引用认证资格时,应采用认证证书的全部内容。不得以误导性的方式使用认证文件或其任何部分。

4)在认证范围被缩小时,应修改原宣传资料;

5)在认证被暂停时,应暂停使用证书和标志继续宣传认证资格;注销(证书有效期已到终止时间)或被撤销(接到本认证的撤销通知)时,立即停止使用任何引用认证资格的广告材料,并将证书归还本机构或自行销毁。

6)认证标志不得用于产品或产品包装上,也不得以有可能被解释为产品符合要求的方式使用;也不得用于实验室检测、校准或检查的报告;

7)不得暗示认证是用于认证范围以外的活动;

8)标志应按同比例放大/缩小并保持原色。

9)认可标志须与认可注册号、认证标志一同使用,其排序是:认 证标志、认可标志、国际互认标识(适用时)。

7  认证证书状态管理

7.1  总则

本机构应对认证资格的暂停和撤销处理应及时,不得随意暂停或撤销认证证书。

7.2  认证证书的颁发

本机构在对受审核方做出准予注册的认证决定后,对获证组织颁发认证证书,并将证书信息在认监委平台及本机构官网进行公示。

7.3  认证证书的更换

7.3.1 获证组织证书上的内容有发生变更的,须向本机构提出变更换证申请,经本机构同意方可换证;

7.3.2 有效期内换发的认证证书注册号、年份号、顺序号和有效期不变,并注明换证日期,有特殊情况如组织规模扩大或缩小影响人数变更,导致需要更换证书号的,按规定修改人数对应的后缀;

7.3.3 认证证书有效期满,经再认证审核,保持注册资格,书面通知给予换发认证证书;换发的认证证书应重新编注册号;

7.3.4 经本机构同意换发的证书,机构及时将证书信息在认监委平台及本机构官网进行公示。

7.4  认证证书的暂停

7.4.1 获证组织有以下情形之一的,本机构应在调查核实后的5个工作日内暂停其认证证书。

1)获证组织持续地或严重地不满足认证要求;

2)获证组织不允许按要求的频次实施监督或再认证审核;

3)拒绝配合市场监管部门的认证执法监督检查,或者提供虚假材料或信息;

4)被有关行政监管部门责令停业整顿;

(5)获证组织主动请求暂停

6其他应暂停认证证书的。

7.4.2 认证证书暂停期不得超过6个月。但属于因许可过期的情形的暂停期可至相关单位作出许可决定之日。

7.4.3 本机构应以适当方式公开暂停认证证书的信息,明确暂停的起始日期和暂停期限,并声明在暂停期间获证组织不得以任何方式使用认证证书、认证标识或引用认证信息。

7.5  认证证书的撤销

7.5.1 获证组织有以下情形之一的,本机构应在获得相关信息并调查核实后5日内撤销其认证证书。

1)被注销或撤销法律地位证明文件的;

2)被国家企业信用信息公示系统信用中国列入严重违法失信名单的;

3)认证证书的暂停期限已满,但导致暂停的问题未得到解决或有效纠正的;

4)因获证组织违规造成与认证范围有关的重大事故的;

5)发生影响产品和服务连续交付的中断事件,所建立的业务连续性解决方案未能使其在中断期间和中断之后恢复并重新开始业务活动,已经对自身及相关方的业务持续运作产生灾难性影响,导致重大财产损失、人身伤亡事故等严重后果,需要立即撤销认证证书;

6)其他应撤销认证证书的。

7.5.2 撤销认证证书后,本机构应及时收回撤销的认证证书。若无法收回,本机构应及时在相关媒体和网站上公布或声明撤销决定。因获证组织违规宣传引起严重后果的,本机构将采取必要的法律手段。

7.6  认证证书的注销

获证组织主动申请不再保持认证资格时,认证机构应注销其认证资格,并保留相应证据。

7.7  认证证书的恢复

7.7.1 暂停资格的恢复的条件

如果造成暂停的问题已解决,本机构应及时恢复被暂停的认证。如果获证组织未能在机构规定的时限内解决造成暂停的问题,机构应撤销或缩小其认证范围。暂停期一般不超过6个月。

1)因获证组织原因导致的暂停,获证组织应就暂停原因进行有针对性地整改,并根据整改情况向市场部提出恢复认证申请,市场部根据获证组织情况,在ERP中提出建立项目,进行评审,需要通过审核恢复认证证书的,由审核部安排现场审核。此审核应针对暂停原因及整改的有效 性进行审核,并对暂停期间标志、证书及认证资格宣传情况进行审核。 恢复审核可视其所处认证周期的阶段与监督审核或再认证审核结合策划实施。

2)因机构特殊情况导致的暂停,由市场部在ERP中提出并进行评审,需要通过审核恢复认证证书的,由审核部安排现场审核。此审核应针对暂停原因及整改的有效性进行审核,并对暂停期间标志、证书及认证资格宣传情况进行审核。恢复审核可视其所处认证周期的阶段与监督审核或再认证审核结合策划实施。

7.7.2 暂停恢复审核的策划

获证组织需在暂停规定的期限内认真整改,采取必要的纠正措施后向市场部提出恢复认证请求;由审核部安排恢复认证审核,此审核应针对暂停原因及整改的有效性进行审核,并对暂停期间标志、证书及认证资格宣传情况进行审核。可行时,可与监督审核或再认证审核或其它审核结合策划实施,但审核发现和审核结论应充分证明不同的审核目的都得以实现。

7.7.3 未能按期恢复的处理

如暂停期内,获证组织未提出恢复申请,暂停期满,仍未能恢复认证证书,则撤销或缩小其认证范围。

7.7.4 根据获证组织恢复审核的结果,组长提出恢复认证资格的建议,经认证决定、批准后生效。如认证决定为:恢复认证资格,由市场部向获证组织发出认证资格保持通知,并注明恢复日期。如评定结论为:撤销认证,则由市场部向获证方发出撤销认证资格通知书。

8  受理组织的申诉/投诉

申请组织或获证组织对认证决定有异议时,可以向本机构提出申诉/投诉,机构应接受申诉/投诉并且及时进行处理,在60日内将处理结果形成书面通知送交申诉/投诉人。书面通知应当告知申诉/投诉人,若认为本机构未遵守认证相关法律法规或本规则并导致自身合法权益受到严重侵害的,可以直接向所在地认证监管部门或国家认监委投诉,也可以向相关认可机构投诉。

9  信息公开与报告

9.1 本机构应按照国家认监委关于认证信息上报的要求,按时上报认证相关信息,至少包括:

1)上一年度工作报告;

2)社会责任报告;

3)认证计划及认证结果;

4)认证证书的状态;

5)其他应报告的信息。

9.2 本机构应至少在审核实施前3日,将审核计划上报国家认监委相关网站。

9.3 本机构在颁发认证证书后,应在次月10日前,将认证结果相关信息报送国家认监委。机构应通过其网站或者其他形式,向公众提供查询认证证书有效性的方式。

9.4 本机构应通过其网站或者其他方式公开暂停、撤销、注销认证证书的信息,暂停证书的,还应明确暂停的起始日期和暂停期限。本机构应在暂停、撤销、注销认证证书之日起 2 个工作日内,按规定程序和要求报国家认监委。

9.5 获证组织发生BCMS重大事故的,本机构应对该组织的认证过程进行自查,并按照认证行政监管部门的要求,在规定的时间内提供相关认证材料。

10  认证记录管理

10.1 本机构应记录认证活动全过程并妥善保存,归档留存时间为认证证书有效期届满之日起2年以上,或被注销、撤销之日起2年以上。

10.2 记录应当真实准确以证实认证活动得到有效实施。记录资料应当使用中文。认证记录包括但不限于:

1)认证申请书;

2)认证申请评审记录;

3)认证合同;

4)审核方案;

5)审核计划;

6)首、末次会议签到表;

7)现场审核记录;

8)不符合项报告及验证记录;

9)审核报告;

10)认证决定记录。

10.3 在认证证书有效期内,认证活动参与各方签字或者盖章的认证记录、资料等,应保存具有法律效力的纸质版原件,可以纸质文件或符合《电子签名法》规定的电子文件形式保存。签字或盖章的认证记录至少包括:

1)认证申请书;

2)认证合同;

3)审核计划;

4)首、末次会议签到表;

5)不符合项报告及验证记录;

6)认证决定的结论。

10.4 认证记录应使用中文,以电子文档的形式保存认证记录的,应采用不可编辑的方式。

11  信息通报

11.1 获证组织应及时将可能影响其BCMS持续满足认证要求的有关事宜通知本机构,包括但不限于以下信息:

1)获证组织的法律地位、生产经营状况、组织状态或所有权的变更;

2)获证组织所取得的行政许可资质证书、强制性产品认证证书或其他资质证书的变更,或到期后未能正常换证的情况;

3)获证组织的组织机构和管理层重要人员的变更信息;

4)获证组织的联系地址、生产经营场所的变更信息;

5)获证组织BCMS及其覆盖范围、过程的重大变更信息;

6)获证组织的客户及相关方有关BCMS运行的重大投诉信息;

7)获证组织发生的严重违法失信行为或事件,发生影响产品和服务连续交付的中断事件, 所建立的业务连续性解决方案未能使其在中断期间和中断之后恢复并重新开始业务活动,已经 或可能对自身及相关方的业务持续运作产生灾难性影响,导致重大财产损失、人身伤亡事故等 严重后果,反映其BCMS的运行存在重大缺陷的信息;

8)获证组织在认证证书有效期内,受到行政监管部门的处罚,被责令停业整顿,或被 列入国家企业信用信息公示系统发布的严重违法失信名单的情况;

9)获证组织存在影响BCMS有效运行的严重的不符合;

10)获证组织其他方面的信息(包括因法律法规、标准或其他规范性要求的变更,出现 影响BCMS运行的其他重要情况等)。

附录  A

业务连续性管理体系认证审核时间要求

 


组织有效人数初次认证审核时间/人日

(第一阶段+第二阶段)

组织有效人数

初次认证审核时间/人日(第一阶段+第二阶段)

1~2541176~155015
26~4551551~202516
46~6562026~267517
66~8572676~345018
86~12583451~435019
126~17594351~545020
176~275105451~680021
276~425116801~850022
426~625128501~1070023
626~87513>10700遵循上述递进规律
876~117514



注1:有效人数包括认证范围内涉及的所有全职人员(包括每个班次的工作人员)的数量,覆盖于认证范围内的非固定人员(如:季节性人员、临时人员、分包商和合同人员)和兼职人员的数量也宜包括在有效人数内,非固定人员的有效人数核定可根据其实际工作小时数予以适当减少,或换算成等效的全职人员数。当人员中有较高比例从事相同活动时,可根据这些活动的风险适当减少认证范围内的人员数量;

注2:往返于多审核场所之间所花费的时间不计入管理体系的认证审核时间;

注3:未被指派为审核人员的审核组成员(即技术专家、翻译人员、观察员)所花费的时间不计入管理体系认证审核时间。

 

 

附录  B

业务连续性管理体系认证证书编号规则

业务连续性管理体系认证证书编号格式如下:

 文本编号.png

 

如需获取完整版认证规则可通过致电或邮箱留言获取。 

联系电话:0516-83830805

邮箱:huatairz@yeah.net