TCCAA 36-2022 认证机构远程审核指南.pdf

ICS 03.120.20 CCS A 00 团体标准 T/CCAA 362022 代替 T/CCAA 362020 认证机构远程审核指南认证机构远程审核指南 Guidelines on remote auditing for certification bodies 2022 5 31 发布 2022-5 31 实施 中国认证认可协会 发布 全国团体标准信息平台全国团体标准信息平台T/CCAA 362022 I 目 次 前言.II 引言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 3.1 .1 4 远程审核原则.2 4.1 总则.2 4.2 信息安全性与保密性.2 4.3 基于风险的方法.2 4.4 持续改进.2 5 远程审核方案的管理.2 5.1 总则.2 5.2 实施远程审核的条件.2 5.3 确定和评价远程审核的风险.3 5.4 建立远程审核方案.3 5.5 实施远程审核方案.6 5.6 监视远程审核方案.6 5.7 评审和改进远程审核方案.6 6 远程审核的实施.7 6.1 总则.7 6.2 审核的准备.7 6.3 审核的实施.7 6.4 审核报告的编制.8 6.5 审核的完成.8 6.6 审核的后续活动.8 7 远程审核能力.8 7.1 总则.8 7.2 基础设施与运行环境.8 7.3 人员.9 8 评价与改进.10 附录 A（资料性）采用远程审核方式条件判断示例.11 附录 B（资料性）宜保留的与远程审核活动相关的成文信息.13 附录 C（资料性）远程审核常用的信息和通信技术（ICT）.14 附录 D（资料性）应用 ICT 实施审核取证示例.17 参考文献.22 全国团体标准信息平台 全国团体标准信息平台T/CCAA 362022 II 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件代替T/CCAA 36-2020认证机构远程审核指南，与T/CCAA 362020相比，除编辑性改动外，主要技术变化如下：a）提出了建立远程审核方案的考虑因素以及连续两次采用远程审核方式时宜保留的信息（见5.4）；b）删除了远程审核实施中通用及与附录重叠的部分，扩充了远程审核相关的关注内容（见第6章）；c）扩充了实施远程审核的人员能力、基础设施及运行环境建议（见第7章）；d）增加了远程审核在信息安全方面的考虑（见4.2及第6章）；e）提供了更多的信息和通信技术（ICT）及其应用示例（见附录C及附录D）。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本文件起草单位：广州赛宝认证中心服务有限公司、中国合格评定国家认可中心、北京埃尔维质量认证中心、中国质量认证中心、通标标准技术服务有限公司、中国网络安全审查技术与认证中心、兴原认证中心有限公司、中汽研华诚认证（天津）有限公司、北京军友诚信检测认证有限公司、中汽认证中心有限公司、杭州万泰认证有限公司、华夏认证中心有限公司、北京五洲恒通认证有限公司、北京大陆航星质量认证中心股份有限公司、北京恩格威认证中心有限公司、中知（北京）认证有限公司、英标管理体系认证（北京）有限公司、中国船级社质量认证公司、方圆标志认证集团有限公司、卓越新时代认证有限公司、上海质量体系审核中心、北京中建协认证中心有限公司、北京中认科进技术服务有限公司、北京兴国环球认证有限公司、北京国建联信认证中心有限公司、浙江公信认证有限公司、北京海德国际认证有限公司、中国新时代认证中心、北京世标认证中心有限公司、国家市场监督管理总局认证认可技术研究中心、北京中经科环质量认证有限公司、北京中化联合认证有限公司、北京联合智业认证有限公司、北京九鼎国联认证有限公司、深圳市腾讯计算机系统有限公司、中标联合（北京）认证有限公司、长城（天津）质量保证中心、中标华信（北京）认证中心有限公司、北京东方纵横认证中心有限公司、泰尔认证中心有限公司、中煤协联合认证（北京）中心、北京国标联合认证有限公司。本文件主要起草人：刘小茵、梁小峻、王索、秦红、刘彦龙、于文涛、肖定生、张剑、曲丽、郑燕、柯章勇、董德刚、于芳、贾岚、卢振辉、乔文龙、孙芳、潘蓉、李洋、彭新、杨雪娟、谭平、褚宝磊、张莉、王梅、曲光宇、严义君、肖飞、孙竹君、孟咏歌、郭喜宏、孟凯、胡新爱、孟建军、陈嫣红、黄学良、宋跃炜、陈健、徐超、汤丽娜、潘小利、延敬清、王永霞、李文远、王燕、李辰暄、周陶陶、胡越男、孙敏杰、张静。全国团体标准信息平台全国团体标准信息平台T/CCAA 362022 III 引 言 为适应快速变化的环境，包含但不限于公共卫生事件、出行限制、自然灾害及其他限制性情况的发生，导致审核员无法到达受审核方场所实施审核的情况，认证机构在基于风险、信息安全、持续改进的原则下，应用远程审核手段提升、整合、重构认证机构的内外部资源，提升认证管理能力，赋能认证业务稳健创新。在适应新形势和顾客新需求的同时，符合政府监管部门、认可机构及其他相关方的要求，构建传统审核与远程审核相互补充的新生态，形成新动能，创造新价值，实现新发展。同时，信息和通信技术（ICT）的快速发展和广泛应用，也为远程审核提供了更多可能。编制本文件的目的是确保远程审核的有效性和可信度。认证机构及相关方都需了解其在远程审核过程中的输入、预期输出以及风险等方面的作用，以期实现审核目标。本文件结合最新的远程审核实践和ICT技术发展，为规范和指导认证机构开展远程审核活动，管理远程审核风险提供指南。本文件在国际认可论坛（IAF）有关文件、国际标准化组织（ISO）相关标准框架下制定，是对IAF文件的有效补充和细化，以及对GB/T 190112021附录A1“远程审核方法”的补充，同时还进一步明确了GB/T 27021.12017附录A所述的认证过程中远程审核相关人员的能力。本文件第1章至第3章给出了使用本文件的范围、规范性引用文件以及术语和定义，第4章阐述了远程审核原则，这些原则体现了本文件的核心关注点。第5章至第8章基于PDCA方法明确了远程审核的全过程，为认证机构通过建立管理体系来提高远程审核的有效性提供了可选择的途径。附录A给出了是否可采用远程审核方式的条件判断示例，附录B列出了建议保留的与远程审核活动相关的成文信息，附录C给出了远程审核的常用信息和通信技术，附录D列出了应用信息和通信技术实施审核取证示例。全国团体标准信息平台 全国团体标准信息平台T/CCAA 362022 1 认证机构远程审核指南 1 范围 本文件为认证机构实施远程审核提供了审核原则、审核方案管理、审核实施、审核能力、审核评价与改进的指南。本文件适用于认证机构开展管理体系认证、产品认证和服务认证的远程审核活动，也可供其他类型的审核活动参考使用。注：远程审核的适用范围包含但不限于公共卫生事件、出行限制、自然灾害及其他限制性情况的发生，导致审核员无法到达受审核方场所实施审核的情况。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 19000 质量管理体系 基础和术语 GB/T 190112021 管理体系审核指南 GB/T 23694 风险管理 术语 GB/T 27000 合格评定 词汇和通用原则 IAF MD4：2022 IAF 强制性文件 信息和通信技术（ICT）在审核/评审中的应用（IAF mandatory document for the use of information and communication technology（ICT）for auditing/assessment purposes）3 术语和定义 GB/T 19000、GB/T 190112021、GB/T 23694、GB/T 27000、IAF MD4：2022 界定的以及下列术语和定义适用于本文件。3.1 远程审核远程审核 remote auditingremote auditing 应用信息和通信技术（ICT），全部或部分的在受审核方实际场所以外任何地点获得客观证据、形成审核发现，以确定满足审核准则程度所进行的系统的、独立的并形成文件的过程。注1：ICT是应用技术来收集、存储、检索、处理、分析和发送信息，它包括软件和硬件，例如：智能手机、手持设备、笔记本电脑、台式电脑、无人机、摄像机、可穿戴技术、人工智能及其他 IAF MD4：2022，0.2。注2：远程审核可以是审核员在受审核方某一场所对其他场所的人员、活动或过程进行的审核，也可以是审核员不在受审核方场所对受审核方的人员、活动或过程进行的审核。注3：GB/T 190112021的A.16对远程审核与虚拟场所审核进行了说明。虚拟场所的审核有时称为虚拟审核。关于虚拟审核，可参考GB/T 190112021中的有关内容。全国团体标准信息平台T/CCAA 362022 2 4 远程审核原则 4.1 总则 本条款在 GB/T 190112021 第 4 章的基础上，对其进行了补充和说明。注：本文件4.2、4.3是分别对GB/T 190112021第4章d)、g)的进一步说明，4.4是对GB/T 190112021第4章的补充。4.2 信息安全性与保密性 应用 ICT 实施远程审核，确保电子信息或电子化传输信息的安全性、保密性和数据保护非常重要。认证机构宜考虑与安全性、保密性和数据保护相关的法律法规和客户要求，针对审核中应用 ICT 遵守信息安全与数据保护的措施和规则，在 ICT 应用于审核之前，与受审核方相互达成一致意见。注：在某些情况下，出于信息安全性要求的考虑，审核过程不允许使用ICT，可能导致无法实施远程审核。4.3 基于风险的方法 应用 ICT 实施远程审核，认证机构宜对实现审核目标有影响的风险加以识别、评估和管理。风险可能与下列方面有关，包括但不限于：审核类型；所审核活动/过程和场所的复杂性、代表性；ICT 的选择；ICT 所需的资源与条件；审核组应用 ICT 获取审核证据的能力；信息处理和分析的能力；电子信息或电子化传输信息的真实性、完整性；其他支持条件。4.4 持续改进 认证机构宜根据远程审核活动评价的结果，持续改进远程审核的充分性、适宜性与有效性。5 远程审核方案的管理 5.1 总则 认证机构宜建立远程审核方案，该方案在符合 GB/T 190112021 中 5.1 相关内容的同时宜考虑本文件对远程审核提出的特定因素的建议，这些因素包括但不限于：与远程审核方案有关的风险（见 5.3）及应对措施；远程审核的信息安全和保密原则（见 4.2）；实施远程审核的能力（见第 7 章）。注：认证机构宜不断监视和测量审核方案的执行情况（见5.6）,以确保实现其目标，并定期开展审核方案的审查工作，以便确定变化的需要和可能的改进机会（见5.7）。5.2 实施远程审核的条件 当下列（但不限于）情况得到满足时，认证机构可实施远程审核：a)实施远程审核所需的信息是充分的；全国团体标准信息平台T/CCAA 362022 3 b)远程审核的范围（审核内容和边界）已确定（产品认证除外）；c)远程审核的方式/方法以及可行性得到确认；d)双方实施远程审核活动的能力得到确认；e)认证机构和受审核方之间任何已知的有关远程审核理解上的分歧已经得到解决。适宜时，认证机构宜编制实施远程审核调查表，对受审核方实施远程审核的能力进行调查。调查内容可参考但不限于本文件的 7.2 和 7.3。认证机构宜对所获得的远程审核相关信息实施评审，并与受审核方进行沟通，以便：a)根据远程审核风险评价需要（见 5.3）评审受审核方是否满足实施远程审核条件；注：开展远程审核的条件可参考附录A。b)确定认证机构自身的：1)认证范围及专业风险；2)实施远程审核的支持条件（见第 7 章）。注：认证机构可以适宜的方式与受审核方沟通远程审核的可行性、远程审核的风险以及远程审核后的有效性评估及补充措施（适用时