CNAS-EC-063-2021 关于远程审核活动的说明

认可说明编号：CNAS-EC-063:2021第1页共23页发布日期：2021年04月01日实施日期:2021年04月01日关于远程审核活动的说明0引言0.1随着信息和通信技术（ICT）日趋先进和成熟，能够应用ICT来优化审核活动的有效性和效率，并为审核过程和结果的完整性及可信性提供支持和保障。0.2应用ICT实施远程审核的目标是：a)提供在审核中应用ICT的灵活的方法，以优化传统审核过程。b)确保采取充分的控制措施以避免可能损害审核过程完整性和可信性的不当使用。c)为安全性和可持续性原则提供支持。0.3随着新冠肺炎疫情在全球的蔓延，为保障人民生命安全和有效防控疫情，认证认可行业主管部门、相关国际组织、CNAS以及相关行业团体分别给出了在疫情期间实施审核活动的要求和指导，各认证机构纷纷开展了远程审核的实践与研究。0.4在考虑了认证认可行业的远程审核相关实践，并对有关文献研究的基础上，制定本文件。1.目的和适用范围1.1为进一步规范和指导认证机构实施远程审核活动，确保认证机构在满足相关国际标准、相关国际组织和CNAS要求的同时，恰当和正确地应用ICT实施远程审核，并能规范有效地运行，特制定本文件。1.2本文件对认证机构应用ICT实施远程审核的相关内容给出了指南和说明，并列出了国内外相关组织关于远程审核的指南文件，是对CNAS现行认可规范文件中有关内容的补充说明，本文件未涉及的活动仍按相关文件执行。1.3本文件适用于管理体系、人员和产品认证机构的远程审核活动，其他认证机构可参照实施。2.引用文件以下引用文件，注明日期的，仅引用的版本适用；未注明日期的，引用文件的最新版本适用。CNAS-CC14《信息和通信技术（ICT）在审核中应用》CNAS-CC105《确定管理体系审核时间（QMS、EMS、OHSMS）》IAFID3:2011：IAFInformativeDocumentForManagementofExtraordinaryEventsorCircumstancesAffectingABs,CABsandCertifiedOrganizations；认可说明编号：CNAS-EC-063:2021第2页共23页发布日期：2021年04月01日实施日期:2021年04月01日IAFFoodWorkingGroupTaskForceDocument(April2020，Version2.0)：RemoteAuditingActivitiesforAccreditedFoodSafetyCertificationISO19011:2018GuidelinesforauditingmanagementsystemsISO9001AuditingPracticesGroupGuidanceon:REMOTEAUDITS（2020-04-16,Edition1）T/CCAA36—2020:认证机构远程审核指南IAFFrequentlyAskedQuestionsCOVID-19Pandemic（新冠疫情爆发期间IAF的常见问题）3.术语和定义3.1远程审核应用信息和通信技术（ICT），在受审核方物理场所以外的地点对其实施的审核。4.实施远程审核的指南4.1实施远程审核的基本原则4.1.1认证机构应在确保认证活动合规、有效，满足认可要求的前提下，根据自身条件和客户组织的实际情况恰当使用ICT实施远程审核。4.1.2认证机构应确保采取充分有效的控制措施，以避免由于ICT的不恰当使用而出现损害审核过程完整性、可信性和有效性的情况。4.1.3认证机构可参照相关国际组织给出的临时性解决方案[如IAFFrequentlyAskedQuestionsCOVID-19Pandemic(新冠疫情爆发期间IAF的常见问题）]实施远程审核。但当情况允许时，应执行正常情况下的要求和做法。4.2关于《信息和通信技术（ICT）在审核中应用》（CNAS-CC14）的应用说明4.2.1《信息和通信技术（ICT）在审核中应用》（CNAS-CC14）是应用ICT实现审核目的的强制性文件，规定了认证机构和其审核员应遵守的规则，以确保在支撑和保障审核过程完整性与可信性时，应用ICT优化审核过程的有效性和效率。认证机构在将ICT应用于审核时应符合CNAS-CC14的全部要求。4.2.2适用的法律法规、标准和认可规范文件（如CNAS-CC105）中有对审核中应用ICT的限制性要求时，满足这些要求应优先于CNAS-CC14。4.2.3认证机构应将CNAS-CC14中的全部要求落实到自身的管理体系中，并制订具备可操作性的具体措施，而不仅仅是原文照搬。4.3对远程审核的补充说明4.3.1总则认可说明编号：CNAS-EC-063:2021第3页共23页发布日期：2021年04月01日实施日期:2021年04月01日4.3.1.1认证机构应识别、分析并记录每项ICT的应用可能影响审核有效性的风险和机遇，确定每项ICT可能适用的情形/场合。认证机构应考虑在达到审核目的方面，由ICT造成的限制和风险(包括信息安全、数据保护以及保密性等方面)，尤其应关注所收集客观证据的真实性与质量等。4.3.1.2认证机构宜规定可接受的应用ICT实施远程审核的准则，并针对每个拟实施远程审核的项目应用该准则判断可行后再实施。4.3.1.3认证机构宜根据对远程审核活动的评价结果，持续改进远程审核活动的充分性、适宜性和有效性。4.3.2应用ICT的可行性a)在决定使用ICT实施远程审核之前，认证机构宜评审并确定哪些ICT是可用的、相关审核员与受审核方是否均具备能力。这包括，知晓组织的哪些过程、活动或场所可应用哪种ICT被远程审核，以及拟采用的ICT和相关人员是否满足活动/场所的卫生、安全等相关要求。b)认证机构宜评估上线连接的质量（如带宽或软硬件条件），以确保双方的交互可以满足审核过程的需要。4.3.3安全性与保密性鉴于某些安全要求不允许使用ICT，拟应用ICT前，认证机构宜识别所有关于信息安全和数据保护的法律法规、认可要求和客户要求，并采取措施确保其得到有效执行。认证机构和受审核方应就使用ICT达成一致，并采取措施以满足这些要求。4.3.4风险评估实施远程审核前，认证机构宜根据受审核方情况识别、评估和管理风险，制定相应措施并形成文件。风险评估宜给出是否可以通过远程审核达到审核目的的结论。风险评估宜考虑的因素可包括但不限于：a)认证认可行业主管部门、国际组织、CNAS的相关要求。b)认证机构与受审核方是否就信息安全和数据保护事项协商一致。c)拟应用的ICT是否连接稳定且具有良好的在线连接质量；是否允许通过ICT接入相关文件化信息，包括软件、数据库、记录等；相关数据的电子化程度；是否有可能优先通过图像对被访问者进行验证/识别；对于与达到审核目的有关的设施、过程、活动等，是否可能通过视频对其访问以进行观察；是否满足活动/场所的卫生、安全等相关要求；审核组全部成员以及受审核方代表应用ICT的能力。d)是否可能远程访问到组织中所有相关人员。e)应用ICT审核时，所审核的过程/活动是否具有足够的代表性以达到审核目认可说明编号：CNAS-EC-063:2021第4页共23页发布日期：2021年04月01日实施日期:2021年04月01日的。f)组织、过程或产品与服务的复杂程度是否适宜通过远程审核来达到审核目的。4.3.5审核活动的准备a)应在审核计划中识别如何利用ICT以及审核中哪些ICT在什么范围被应用。b)应在审核前测试拟使用的ICT，以确认连接稳定并且相关人员知晓如何使用该ICT。4.3.6审核活动的实施4.3.6.1首次会议上审核组与受审核方宜进一步确认拟应用的ICT的可用性与可行性，确认已就信息安全和数据保护事项协商一致的措施。4.3.6.2审核过程中审核组按协商一致的信息安全和数据保护措施执行。4.3.6.3当使用视频观看远程场所的在线实时图像时，宜确认其真实性。4.3.6.4当无法保持符合要求的稳定的沟通交流条件（包括软/硬件故障、网络稳定性、双方配合程度等）时，认证机构宜与受审核方沟通，若审核任务无法完成，宜中止当次审核。4.3.6.5远程审核相关的成文信息应确保远程审核证据的可追溯性和有效性。4.3.7审核报告审核报告宜清晰陈述使用ICT的范围以及在达到审核目的方面的有效性。4.4相关组织对远程审核的指南认证机构在应用ICT实施远程审核时，在满足认证认可行业主管部门、相关国际组织、CNAS相关要求的基础上，宜考虑相关组织对远程审核的指南，具体如下：a)IAFID3:2011：IAFInformativeDocumentForManagementofExtraordinaryEventsorCircumstancesAffectingABs,CABsandCertifiedOrganizations（影响认可机构、合格评定机构和获证组织的特殊事件或情况的管理）（参考译文见附录A）；b)IAFFoodWorkingGroupTaskForceDocument(April2020，Version2.0)：RemoteAuditingActivitiesforAccreditedFoodSafetyCertification[IAF食品工作组专项工作组文件：已认可的食品安全认证的远程审核活动(2020年4月，第2版)]（参考译文见附录B）；c)ISO19011:2018Guidelinesforauditingmanagementsystems(管理体系审核指南)；d)ISO9001AuditingPracticesGroupGuidanceon:REMOTEAUDITS（2020-04-16,Edition1）[ISO9001审核实践组指南：远程审核（2020年4月16日，第1版）]（参考译文见附录C）；e)T/CCAA36—2020:认证机构远程审核指南。认可说明编号：CNAS-EC-063:2021第5页共23页发布日期：2021年04月01日实施日期:2021年04月01日附录AIAFID3:2011：IAFInformativeDocumentForManagementofExtraordinaryEventsorCircumstancesAffectingABs,CABsandCertifiedOrganizations（影响认可机构、合格评定机构和获证组织的特殊事件或情况的管理）参考译文0.引言在正常的商业环境中，每个组织都不断面临机遇、挑战和风险。然而，组织无法控制的特殊事件或情况会总会发生。在这种情况下，ABs（认可机构）和CABs（合格评定机构）宜根据本文件中概述的指南，制定适当的维护认可和认证的流程。对于AB（认可机构）和CAB（合格评定机构）来说，能够证明以下事项是重要的展示合理的尽职调查、相互理解和信任建立适当的行动计划（进程）以应对非常事件该文件的目的是为ABs和CABs提供适当行动计划（进程）的指南。该信息性文件无意覆盖认证标准或认证制度中的要求。如果一项标准或制度无论发生何种危机都不能提供灵活性的解决方案，那么认证机构则只能从相关认可机构或制度所有者那里寻求指南并商定行动路线。1.范围该信息类文件主要适用于管理体系认证。2.定义:2.1特殊事件或情况：组织无法控制的情况，通常称为“不可抗力”或“天灾”。例如战争、罢工、暴乱、政治不稳定、地缘政治紧张、恐怖主义、犯罪、流行病、洪水、地震、恶意的计算机黑客攻击、其他自然或人为灾难。3.影响获证组织的特殊事件或情况影响获证组织或认证机构的特殊事件可能会暂时阻止认证机构计划实施的现场审核。当这种情况发生时，依据标准或法规文件的运作要求，认可机构（ABs）和合格评定机构（CABs）需要建立(经过与获证组织协商)合理的行动方案。合格评定机构（CAB）宜评审持续认证的风险，并建立文件化的方针和流程，说明在认证组织受到异常事件影响时将采取的步骤。合格评定机构（CAB）制定的方针和流程宜确定评审获证组织当前和预期未来状况的方法