認證程序

1、管理體系認證申請的基本條件

1.1申請質量管理/環境管理/職業健康安全管理/信息安全管理體系/信息技術服務管理體系認證的組織應符合以下基本條件：

a)持有有效法律地位證明文件，對有行政許可要求的，已取得相應行政許可；當申請方存在多場所并與總部一起申請時，擬申請認證的多場所亦應提供相應的法律證明文件,同時提供與總部一起申請認證的書面承諾文件。

b)已按認證標準和相關專項技術要求或標準，建立了文件化的管理體系，并已有效運行三個月以上，且已實施了覆蓋所有程序的內審和管理評審。

c)申請質量管理體系認證的建筑施工類組織，依據ISO 9001:2015《質量管理體系 要求》和GB/T50430-2007《工程建筑施工企業質量管理規范》建立了文件化管理體系，并已有效運行6個月以上且已實施了覆蓋所有程序的內審和管理評審。

d)產品和（或）服務符合適用的我國和進口國（地區）相關法律、法規、標準和規范的的規定。

e)12個月內未發生過重大環境污染事故，污染物無超標排放(適用于環境管理體系)。

f) 12個月內未發生過無重大安全事故（適用于職業健康安全管理體系）。

g) 12個月內未出現信息安全事件/信息技術服務事故（適用于ISMS和SMS）；

h）承諾始終遵守適用的國家法律、法規和其他應遵守的要求,承諾始終遵守認證的有關規定；

i）承諾獲得認證后，按規定使用認證證書和認證標志，按合同支付認證費用；

j）上一次認證證書有效期內，按規定接受了監督審核，且滿足保持證書的要求（適用于再認證）；

k）客戶應符合工信部聯協[2010]394 號文《關于加強信息安全管理體系認證安全管理的通知》的要求，以及有關主管部門/監管部門對信息安全管理體系認證的管理要求（如工信部 2011 年第 21 號公告《工業和信息化部加強政府部門信息技術外包服務安全管理》等）。（適用于ISMS）。

2、認證申請

2.1申請方可以書面形式、來人面談或電話、傳真聯系的方式向眾信標（北京）認證有限公司（以下簡稱“ZXB”）運營部查詢有關認證事項和提出認證申請意向。

2.2運營部獲悉認證申請意向后，將首先判斷客戶對認證標準和認證范圍的要求是否在ZXB被批準的范圍內，且ZXB是否具備專業審核能力；對要求頒發帶認可標識證書的，還應確認是否在被認可的范圍之內。

2.3經初步確認該項申請在ZXB被認可的范圍之內，或有能力進行審核，由運營部答復申請方的查詢，向申請方提供ZXB的《公開文件》。

2.4 申請方應填寫并提交正式的、并由授權代表簽署和填寫完整的《管理體系認證申請書》。

2.5申請認證組織應提交的資料

2.5.1申請方申請質量、環境、職業健康安全、信息安全、信息技術服務管理體系認證時，需提供以下信息：

a) 法律地位的證明文件（包括：企業營業執照/統一社會信用代碼、事業單位法人證書、社會團體登記證書、非企業法人登記證書、黨政機關設立文件等）的復印件。若管理體系覆蓋多場所活動，應附每個場所的法律地位證明文件的復印件（適用時）、組織機構代碼證的復印件（適用時）；

b) 適用時，提供管理體系覆蓋的活動所涉及有效期內的資質證書、行政許可證明、資質證書、強制性認證證書等相關的法律法規要求的證明文件（復印件）；

c) 組織的一般特性，包括名稱、地址、多場所、臨時場所、認證范圍、流程等；

d) 其在一個較大實體中的職能和所處的關系；當申請認證的客戶在產品實現/服務過程存在有分包/外包過程時，應提供相應分包/外包過程的說明；

e) 多場所、臨時場所、在建和竣工項目清單（適用時）；

f) 有效版本的管理體系策劃的形成文件的信息等；

g) 管理體系覆蓋的產品或服務有關的法律法規、規范和標準清單；

h) 不可接受風險因素清單（適用于職業健康安全管理體系）；

i) 重要環境因素清單（適用于環境管理體系）；

k) 是否接受過與擬認證的管理體系有關的咨詢，如果接受過，由誰提供咨詢

l）管理體系已有效運行3個月以上的證明材料（建筑行業質量體系6個月）；

m) 申請方管理體系一體化程度信息，包括文件、管理體系要素和職責整合的信息；

n）其他與認證審核有關的必要文件。

o）根據《建設項目環境影響評價分類管理名錄》提供驗收報告或環境批復（適用于環境管理體系）

p）認證組織復雜度計算表(適用于OHSMS)

2.5.2客戶申請信息安全和信息技術服務管理體系認證時，還需在6.2.5的基礎上提供以下信息：

a）向ZXB說明是否有適用的關于ISMS/SMS認證機構的資質、誠信守法記錄或認證人員身份背景的要求，以及適用的與保守國家秘密或維護國家安全有關的法律法規要求。并在有需要情況下即時更新該說明，以便ZXB判斷其是否具備對該申請方實施認證活動的資格或條件。

b) 確定的SMS 的范圍。 ZXB應確保客戶的SMS范圍恰當地反映其服務活動，并確保客戶沒有將其活動中應包含的SMS運行要素排除在認證范圍之外。

c）適用時，應在遞交認證申請時指明不完全包含在SMS范圍內的服務活動。例如，與其他組織共同提供服務的情況。

2.6 對多場所組織的要求

當申請方存在多場所并與總部一起申請認證時，應提交多場所清單，多場所的法律地位證明文件及與總部關系的說明,以及2.5適用的要求的材料。

3、 認證受理

3.1運營部收到申請方的認證申請書和提供的資料后，應進行清點、登記，妥善保管，注意保密。以便于評審和受理。

3.2運營部組織人員對認證申請書和隨附資料進行預評審，對以下內容做出判斷，決定是否受理申請：

a) 考慮申請的認證范圍、申請方的運作場所、員工人數、生產周期、完成審核需要的時間和任何其他影響認證活動的因素（語言、安全條件、對公正性的影響等）；

b) 申請組織及其管理體系的信息足以建立審核方案；

c) 認證要求是否已得到明確規定并形成文件，且已提供給申請方；

d) 申請方提交的資料是否齊全；

e)  ZXB和申請方在理解上的任何已知的差異都已得到解決；

f) 申請方在一個較大實體中所處的關系是否得到說明；

g)  ZXB有能力并能夠實施認證活動；

h) 申請方從事的活動是否符合相關法律法規的規定;

i） 申請方為達到質量/環境/職業健康安全/信息安全/信息技術服務管理目標是否建立了文件化的質量/環境/職業健康安全/信息安全/信息技術服務管理體系并已有效運行3個月以上（建筑行業質量體系6個月）；

j）組成審核組，考慮審核組及認證決定人員需要具備的能力。

k）對ISMS，申請方符合工信部聯協[2010]394 號文《關于加強信息安全管理體系認證安全管理的通知》的要求，以及有關主管部門/監管部門對信息安全管理體系認證的管理要求（如工信部 2011 年第 21 號公告《工業和信息化部加強政府部門信息技術外包服務安全管理》等）。

l）對信息技術服務管理體系認證申請評審中，運營部應基于CNAS-SC175文件C.2.2.2 a）所述的能力需求分析的結果，根據特定客戶的具體情況分析對其實施審核和認證所需的能力，并確保相關認證人員具備或能夠獲取所需的能力。針對特定客戶的審核和認證能力需求分析宜關注那些在進行CNAS-SC175文件C.2.2.2 a）所述的能力需求分析時未考慮到的情況。技術部宜根據已獲證客戶ITSMS的變化對已有的能力需求分析結果進行審查和必要的更新。

m）保持了決定實施審核的理由的記錄。

3.3 根據資料評審結果符合要求后，由運營部正式受理認證申請；并應向申請人至少公開以下信息：認證業務范圍，公正性政策，認證工作程序，認證依據，證書樣式及有效期，認證收費標準，申投訴的處理程序，分公司和辦事處的名稱、業務范圍、地址等。

3.4 對經評審后確定為拒絕認證申請的，運營部應及時通知申請方，說明拒絕的原因，以書面形式反饋給申請方。并保存形成文件的拒絕申請的信息。對被執法監管部門責令停業整頓或在全國企業信用信息公示系統中被列入“嚴重違法企業名單”的申請方，運營部不受理其認證申請。

4、 認證審核程序

4.1 申請客戶與ZXB簽訂了正式的《管理體系認證審核合同書》之后，ZXB開始啟動認證審核工作。

4.2 ZXB安排文審人員對申請客戶所提供的管理體系文件進行文審。

4.3 ZXB運營部負責制定審核方案，包括任命審核組長、選擇審核組其他成員、確定審核時間等。

4.4 當申請客戶認為必要時，通知ZXB進行預審。

4.5 現場審核之前，由審核組長編制審核計劃后書面通知受審核方，并得到受審核方對審該計劃的書面確認。

4.6質量、環境、職業健康安全、信息安全管理體系和信息技術服務管理體系初次認證審核分兩個階段進行，申請方應通過第一階段審核后才能進行第二階段審核。其中質量管理體系的工程建設施工企業、信息安全管理體系、信息技術服務管理體系的第一階段審核不能策劃不到受審核方現場實施。

4.7審核組按照審核計劃實施現場審核。

4.8 對現場審核中發現的不符合項，受審核方應制定相應的糾正和糾正措施并予以實施，并以書面形式報告審核組長。只有在對所有不符合項都采取了相應的糾正和糾正措施并驗證有效之后，審核組長才可以向ZXB推薦認證注冊。

4.9 審核組長向ZXB提交審核報告，審核報告中需要對受審核客戶的管理體系是否符合相關標準和認證要求做出說明。經ZXB審議批準后的審核報告應提交受審核方或審核委托方。

5、 認證批準與注冊

5.1 ZXB對審核組提交的現場審核資料（包括審核報告）進行審議，做出認證決定結論。

5.2 ZXB批準認證注冊并簽發認證證書。

5.3 ZXB向獲證客戶發放認證證書和相關獲證材料。

5.4 對獲證注冊的客戶，ZXB及時在ZXB網站予以公告，并包括其地址和獲準認證的范圍、有效期限等。

5.5 對未被批準的受審核方，ZXB會及時通知受審核方并說明原因。

6、 監督審核

6.1 監督審核的目的

監督審核的目的是為了確認認證證書的持有者其管理體系是否持續滿足認證標準的要求，并應實現自我完善和持續改進。監督審核的結果，將作為ZXB做出保持、縮小、暫停、撤銷決定的依據。

6.2 監督審核的頻次

監督審核擬每年一次（但不限于一次），第一次監督審核應在初次審核第二階段末次會議后的9-12個月內進行，最晚不能超過12個月，其后的相鄰的兩次監督不能超過12個月。監督審核時間亦在獲證客戶的生產旺季進行，建筑企業應在其具有代表性的在建項目施工期間時進行審核。需要時，監督審核可以在一年中進行一次以上的監督審核，以覆蓋監督審核的所有要求。

為了考慮諸如市場、季節或有限時段的管理體系認證（例如臨時施工場所）等因素，可能有必要調整監督審核的頻次；當獲證客戶管理體系發生重大變更，或發生重大質量/環境/職業健康安全/信息技術服務事故及信息安全事件時，ZXB應增加跟蹤監督的頻次。由于市場、產品生產的季節性原因，在每次跟蹤監督審核時難以覆蓋所有產品和服務的，在認證證書有效期內的跟蹤監督審核必須覆蓋管理體系認證范圍內的所有產品和服務。

6.3 監督審核的內容

6.3.1 質量管理體系監督審核的主要內容：

a) 對上次審核時確定的不符合項所采取的糾正措施的審查；

b) 顧客或相關方投訴；

c) 文件化體系的變化；

d) 變更涉及的區域；

e) 適當時，其他選定的區域；

f) 每次監督時，審核組長應檢查以下方面并與負責的管理者會談：

----在實現客戶目標和預期結果方面質量管理體系的有效性；

----向管理者報告任何違規情況的程序是否發揮作用；

----旨在持續改進體系績效策劃的活動的進展情況；

----內部審核和管理評審結論的跟蹤；

g) 證書、標志的使用和（或）任何其他對認證資格的引用；

h) 對客戶環境及客戶基于風險思考的理解和審核；

i) 向ZXB提交的對客戶的申訴、投訴和爭議的記錄，在顯露任何不符合或沒有滿足認證要求的地方，客戶是否已經調查了自己的體系和程序并采取了適當的糾正措施。

6.3.2 環境管理體系監督審核的主要內容：

a) 環境管理體系實現客戶的環境方針目標和預期結果方面的有效性；

b) 與負責環境管理體系的管理層交談；

c) 檢查客戶是否按環境管理體系標準的要求實施了接收、記錄與外部相關方交流的信息并做出回應的程序；

d) 檢查客戶是否實施了定期評價法律法規的符合性的程序；

e) 根據客戶的環境方針為強化環境管理體系以全面提高環境績效所策劃的活動的進展情況；對客戶運用生命周期觀點的審核；

f) 檢查客戶對內部審核和管理評審結果的跟蹤情況；

g) 對上次審核中確定的不符合所采取的糾正措施落實情況；

h) 對投訴所采取的措施；

i) 對客戶的認證證書、標志與報告的使用及和（或）任何其他對認證資格的引用情況予以監督；

j) 任何變更；

k) 查看申訴、投訴與爭議的記錄，并確認當出現有不符合或不能滿足ZXB要求的情況時，客戶是否已檢查了其自身體系存在的問題并采取了適當的糾正措施。

6.3.3 職業健康安全管理體系監督審核的主要內容：

a) 職業健康安全管理體系在提供安全和健康工作環境以及實現職業健康安全方針的目標和預期結果方面的有效性；

b) 與負責職業健康安全管理體系的管理層面談；

c) 檢查客戶是否按職業健康安全管理體系標準要求實施了接收和記錄與外部相關方交流的信息并做出反饋的程序；

d) 檢查客戶是否實施了對相關職業健康安全法律法規符合性進行定期評價的程序；

e) 檢查客戶根據客戶的職業健康安全方針，為強化職業健康安全體系以全面提高職業健康安全績效所策劃的活動的進展情況；

f) 檢查客戶對內部審核和管理評審結論的后續行動；

g) 檢查客戶對上次審核中發現的不符合采取的措施；

h) 檢查客戶對投訴所采取的措施；

i) 任何變更；

j) 證書、標志的使用和（或）任何其他對認證資格的引用。

6.3.4 ISMS監督審核的主要內容：

a）ISMS在實現客戶信息安全方針的目標方面的有效性；

b）對與相關信息安全法律法規的符合性進行定期評價與評審的規程的運行情況；

c）所確定的控制的變更，及其引起的SoA的變更；

d）控制的實施和有效性（根據審核方案來審查）；

e) 顧客投訴及處理；行業主管部門監督和抽查的結果；

f) 文件化管理體系的變更；發生變更的區域；

g) 內部審核、管理評審；

h) 證書、標志的使用和（或）任何其他對認證資格的引用；

i) 對上次審核中確定的不符合所采取的糾正措施。

6.3.5 SMS監督審核的主要內容：

a) 信息技術服務管理體系在實現客戶的服務管理方針目標和預期結果方面的有效性；

b) 檢查客戶為持續改進而策劃的活動的進展情況；

c）檢查客戶持續的運作控制；

d) 檢查客戶對內部審核和管理評審結論的后續行動；

e) 檢查客戶對上次審核中發現的不符合采取的措施；

f) 檢查客戶對投訴所采取的措施；

g) 任何變更；

h) 證書、標志的使用和（或）任何其他對認證資格的引用；

i) ITSMS體系變化和保持情況；

j）服務目錄的變化情況；

k）適當時，其它選定的范圍。

6.3.6 在證書有效期內，獲證客戶應及時向認證機構通報以下信息：

a) 法律地位、生產經營狀況、組織狀態或所有權的變更；取得的行政許可資格、強制性認證或其他資質證書變更；

b) 組織和管理層(如關鍵的管理、決策或技術人員)的變更，法定代表人、最高管理者、主要聯系人變更；

c) 獲證管理體系覆蓋的運作范圍的變更（含地理位置、場所、產品/服務、活動等）；

d) 管理體系和過程、工藝、環境等的重大變更；

e) 發生重大問題(質量/環境/職業健康安全/食品安全事件、媒體曝光、執法檢查不合格、行業通報等)；

f) 政府或行業主管部門/行業自律組織檢查或市場抽查不合格；出口的產品因安全衛生方面的問題被進口國（地區）主管當局通報的；

g) 客戶及相關方的重大投訴；

h) 客戶名稱、聯系地址和場所、通訊方式等的變更等；

i) 其他重要信息。

7 、再認證

認證證書有效期滿前三個月，獲證客戶應以書面的形式向ZXB提出再認證申請，再認證現場審核應至少在認證證書到期前一個半月進行，且與上次監督審核的時間間隔不得超過12個月，不符合項的關閉及認證決定應在在證書期滿前整改完畢，再認證合格后，換發新的認證證書。如果在認證終止日期前，ZXB不能對獲證客戶完成再認證審核或不能驗證對嚴重不符合實施的糾正和糾正措施，則不應推薦再認證，獲證客戶不在擁有認證的效力。在認證到期后，如果在 6個月內完成未盡的再認證活動，則可以恢復認證，否則應至少進行一次第二階段才能恢復認證。證書的生效日期應不早于再認證決定日期，終止日期應基于上一個認證周期。再認證程序與初次評審程序一致。

8、其他特殊審核

為調查投訴、對變更做出回應或對被暫停的客戶進行追蹤等情況，可能需要在提前較短時間通知獲證客戶后或不通知獲證客戶就對其進行非例行審核。非例行審核根據特定因素進行策劃。

9、終止審核、認證范圍的擴大與縮小

9.1 終止審核

    對申請客戶的現場審核時如發生以下情況ZXB將終止客戶的認證活動：

a）申請客戶對審核活動不予配合，審核活動無法進行；

b）申請客戶實際情況與申請材料有重大不一致；

c）其它導致審核程序無法完成的情況。

    審核組將已完成的審核工作和終止審核的原因形成審核報告，提交運營部。

9.2 認證范圍的擴大與縮小

    獲證客戶如需要擴大認證范圍，應向ZXB運營部提出書面申請，由ZXB運營部評審確認后安排審核。審核可結合監督審核一并進行或單獨進行，但應適當增加審核時間并收取相應的費用。獲證客戶申請縮小認證范圍或審核組按現場審核情況要求縮小認證范圍時，ZXB將重新頒發證書，如有必要則派審核組進行現場核查。認證范圍的擴大申請、評審、批準的實施參照初審程序進行。認證范圍縮小可結合監督檢查進行評審或安排專人處理，評定合格后換發證書。