1 范圍

      對于依據管理體系規范和標準（例如ISO 28000）提供供應鏈安全管理體系審核與認證的機構，本標準給出了原則和要求。

      本標準規定了對認證機構及其相關審核員的最低要求，識別了審核和認證客戶組織時對保密性的獨特要求。

      對供應鏈安全管理體系的要求可能來自多個方面，本標準的制定旨在幫助對符合ISO 28000《供應鏈安全管理體系規范》和其他供應鏈安全管理體系國際標準要求的供應鏈安全管理體系實施認證。

      本標準的內容也可用于支持基于其他特定的供應鏈安全管理體系要求的供應鏈安全管理體系認證。

      本標準：

      ——對應用ISO28000（或其他特定的供應鏈安全管理體系要求）的認證機構認可提供了一致的指導；

      ——明確了適用于依據供應鏈安全管理體系標準要求（或其他特定的供應鏈安全管理體系要求）實施供應鏈安全管理體系審核與認證的規則；

      ——向客戶提供關于其供方獲得認證的方式的必要信息和信心。

      注1：供應鏈安全管理體系認證有時也稱為“注冊”，認證機構有時稱為“注冊機構”。

      注2：認證機構可以是非政府的或政府的（具有或不具有法定權力）。

      注3：本標準可作為認可、同行評審或其他審核過程的準則文件。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修訂版）適用于本文件。

      ISO/IEC 17000：2004 合格評定 詞匯和通用原則（Conformity assessment-Vocabulary and general principles)

      ISO 19011：2002 管理體系審核指南（Guidelines for quality and/or environmental management systems auditing)

      ISO 28000 供應鏈安全管理體系規范（Specification for security management systems forthe supply chain)

3 術語和定義

      ISO/IEC 17000界定的以及下列術語和定義適用于本文件。

3.1

      獲證客戶 certified client

      供應鏈安全管理體系已獲得有資格的第三方認證的組織。

3.2

      公正性 impartiality

      實際存在的并被認識到的客觀性。

      注1：客觀性意味著利益沖突不存在或已解決，不會對認證機構的后續活動產生不利影響。

      注2：其他可用于表示公正性的要素的術語有：客觀、獨立、無利益沖突、沒有成見、沒有偏見、中立、公平、思想開明、不偏不倚、不受他人影響、平衡。

3.3

      管理體系咨詢和/或相關的風險評估 management system consultancy and/or associated risk as-sessments

      參與設計、實施或保持供應鏈安全管理體系，以及實施風險評估。

      示例：

      a）籌劃或編制手冊或程序；

      b）對供應鏈安全管理體系的建立和實施提供具體的建議、指導或解決方案；

      c）實施內審；

      d）實施風險評估與分析。

      注：如果與供應鏈安全管理體系或審核有關的培訓課程僅限于提供可在公共場合自由獲取的通用信息，那么組織培訓并作為培訓者參與培訓不被視為咨詢，即培訓者不針對特定的公司提出解決方案。

4 認證機構的原則

4.1 總則

4.1.1 本章所述原則是本標準中后續的特定績效要求和說明性要求的基礎。本標準未就所有可能發生的情況給出特定要求。在出現未預料到的情況時，宜應用這些原則作為決策的指南。這些原則不是要求。

4.1.2 認證的總體目標是使所有相關方相信供應鏈安全管理體系、過程或產品（包括服務）滿足規定要求。認證的價值取決于第三方通過對管理體系、過程或產品（包括服務）進行公正、有能力的評定所建立的公信力的程度。認證的利益相關方包括（但不限于）：

      a）認證機構的客戶；

      b）獲證客戶的顧客；

      c）政府部門；

      d）非政府組織；

      e）消費者和其他公眾。

4.1.3 建立信任的原則包括：

      a) 公正性；

      b）能力；

      c）責任；

      d）公開性；

      e）保密性；

      f）對投訴的處理。

4.2 公正性

4.2.1 公正，并被認為公正，是認證機構提供可建立信任的認證的必要條件。

4.2.2 客戶支付的認證費用是認證機構的收入來源，也是對公正性的潛在威脅，這一點得到公認。

4.2.3 為獲得和保持信任，認證機構必須能夠證明其認證決定是基于所獲得的符合（或不符合）的客觀證據，且不受其他利益或其他各方的影響。

4.2.4 對公正性的威脅包括：

      a）自身利益：此類威脅源于個人或機構依其自身利益行事。在認證中，財務方面的自身利益是一種對公正性的威脅。

      b）自我評審：此類威脅源于個人或機構評審自己所做的工作。認證機構對由其進行供應鏈安全管理體系咨詢的客戶實施供應鏈安全管理體系審核屬于此類威脅，因此不可接受。

      c）熟識（或信任）：此類威脅源于個人或機構對另外一人過于熟悉或信賴，而不去尋找審核證據。

      d）脅迫：此類威脅源于個人或機構察覺受到公然或暗中的強迫，如威脅用他人取而代之或向主管告發。

4.3 能力

      認證機構的組織架構所支撐的人員能力是認證提供信任的必要條件。能力是經證實的有效應用適當知識和技能的本領。

4.4 責任

4.4.1 符合認證要求的責任在于客戶組織而不是認證機構。

4.4.2 認證機構有責任對足夠的客觀證據進行評價，并在此基礎上做出認證推薦。根據審核推薦，如果符合性的證據充分，認證機構做出授予認證的決定；如果符合性的證據不充分，則不授予認證。

      注：審核證據應可以驗證。由于審核的時間和資源有限，審核證據基于對可獲取信息的抽樣，對審核結論的信任程度是與抽樣的恰當使用密切相關的。

4.5 公開性

4.5.1 為獲得對認證的誠信性與可信性的信任，認證機構需要提供獲取有關審核過程、認證過程和所有組織認證狀態（即認證的授予、暫停、縮小范圍或撤消）的適當、及時信息的公開渠道，或公布這些信息。公開性是指可以獲取或公布信息。

4.5.2 為獲得或保持對認證的信任，認證機構需向特定利益相關方提供獲取特定審核（如為回應投訴而做的審核）結論的非保密信息的適當渠道，或公布這些信息。

4.6 保密性

      為了享有獲取充分評價與認證要求的符合性所需信息的特權，認證機構需對任何關于組織供應鏈安全管理體系的敏感信息、專有信息和/或與漏洞相關的信息予以保密。

4.7 對投訴的處理

      依賴認證的各方期望投訴得到調查。在投訴經查明有效時，認證機構宜使依賴認證的各方相信，認證機構將對投訴進行適當的處理，并為解決投訴做出適當的努力。

      注：為了向認證的所有用戶證明認證的誠信性與可信性，需要在公開性和保密性（包括對投訴的處理）等原則之間取得適當的平衡。

5 通用要求

5.1 法律與合同事宜

5.1.1 法律責任

      認證機構應為一個法律實體，或一個法律實體內有明確界定的一部分，以便認證機構能夠對其所有認證活動承擔法律責任。政府的認證機構因其政府地位而被視為法律實體。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。