2019 年 05 月 10 日 发布 2022 年 06 月 15 日 第一次修订 2019 年 07 月 04 日 实施 CNAS-CC14 信息和通信技术(ICT)在审核中应用 The use of information and communication technology (ICT) for auditing purpose 中国合格评定国家认可委员会 CNAS-CC14:2019 第 1 页 共 5 页 2019 年 05 月 10 日 发布 2022 年 06 月 15 日 第一次修订 2019 年 07 月 04 日 实施 目 次 前言........................................................................................................................ 2 0 引言 .................................................................................................................. 3 1 范围 .................................................................................................................. 3 2 规范性引用文件................................................................................................. 3 3 定义 .................................................................................................................. 4 4 要求 .................................................................................................................. 4 CNAS-CC14:2019 第 2 页 共 5 页 2019 年 05 月 10 日 发布 2022 年 06 月 15 日 第一次修订 2019 年 07 月 04 日 实施 前 言 CNAS 作为国际认可论坛(IAF)成员,等同采用 IAF 发布的强制性文件 IAF MD4:2022《强制性文件信息和通信技术(ICT)在审核/评审中应用》制定本文件。 本文件旨在确保 CNAS-CC01《管理体系认证机构要求》、CNAS-CC02《产品、 过程和服务认证机构要求》、CNAS-CC03《人员认证机构通用要求》等基本认可准 则实施的一致性,并和相应基本认可准则共同作为 CNAS 对认证机构的认可准则。 本文件中,用术语“应”表示相应的 CNAS-CC14 条款是强制性的,这些条款 反映了相应基本认可准则的要求。术语“宜”表示 CNAS-CC14 相应的条款提供了 满足相应基本认可准则要求的公认方法;如果认证机构采用与 CNAS-CC14 等效的 方式来满足相应基本认可准则的要求,需要向 CNAS 证实该方式确实能达到这一目 的。 相对于 IAF MD4:2022 本文件作出如下编辑修改: 1.作为对认证机构的认可准则,将“审核/评审”(即:auditing/assessment)统 一调整为审核,并删除 IAF MD4:2022“1 范围”部分“本文件适用于认可机构”等 内容,有关应用 ICT 对合格评定机构评审的要求将在其他工作安排中另行规定。 2.将部分对 IAF 文件及 ISO 标准的引用调整为对应 CNAS 文件的引用。 本文件代替了 CNAS-CC14:2008。 CNAS-CC14:2019 第 3 页 共 5 页 2019 年 05 月 10 日 发布 2022 年 06 月 15 日 第一次修订 2019 年 07 月 04 日 实施 信息和通信技术(ICT)在审核中应用 0 引言 0.1 随着信息和通信技术(ICT)更加复杂精密,能够应用ICT来优化审核的有效性 和效率,并能为审核过程的完整性与可信性提供支持和保障是非常重要的。 0.2 ICT是应用技术来收集、存储、检索、处理、分析和发送信息。它包括软件和硬 件,例如:智能手机、手持设备、笔记本电脑、台式电脑、无人机、摄像机、可穿戴 技术、人工智能及其他。ICT技术的应用可能同时适用于对当地现场和远程场所审核。 0.3 审核中应用ICT可能包括但不限于如下示例: 会议;通过远程电信会议设施,包括音频、视频和数据共享; 通过远程接入方式对文件和记录的审核,同步的(即实时的)或是异步的(在 适用时); 通过静止影像、视频或音频录制的方式记录信息和证据; 提供对远程场所或潜在危险场所的视频或音频访问通道。 0.4 ICT在审核中有效应用的目的是: i) 提供一项在审核中应用ICT的方法用以优化传统审核过程,该方法充分灵活 并对其类别未做限定; ii) 确保采取充分的控制以避免滥用,滥用可能危害审核过程的完整性与可信性; iii) 为安全和可持续性原则提供支持。 同时应采取措施,以确保贯穿于审核活动的安全性和保密性得到保持。 0.5 其他方案、规范文件和合格评定标准可能强调审核中应用ICT的限制,满足那些 文件中要求优先于本文件。 1 范围 作为在审核中使用信息和通信技术(ICT)的一套方法,本文件提供了一致的应 用。本文件适用于管理体系、人员和产品认证机构的审核。使用ICT并不是强制性的, 并且其可能用于其他类型的合格评定活动,但是(将ICT)用作审核方法的一部分时, 符合本文件是强制要求。 2 规范性引用文件 CNAS-CC14:2019 第 4 页 共 5 页 2019 年 05 月 10 日 发布 2022 年 06 月 15 日 第一次修订 2019 年 07 月 04 日 实施 取决于合格评定活动,下列引用文件对本文件的应用是必不可少的。凡是注日期 的引用,仅所引用的版本适用。凡是不注日期的引用,所引用文件的最新版本(包括 任何修改单)适用。限于: CNAS-CC105《确定管理体系审核时间(QMS、EMS、OHSMS)》(IAF MD5) ISO/IEC 17011《合格评定认可机构要求》 CNAS-CC01《管理体系认证机构要求》(ISO/IEC 17021-1) CNAS-CC02《产品、过程和服务认证机构要求》(ISO/IEC 17065) CNAS-CC03《人员认证机构通用要求》(ISO/IEC 17024) 本文件也可以考虑与其他合格评定标准一起使用,例如: CNAS-CC04《温室气体审定/核查机构要求》(ISO 14065) CNAS-CI01《检验机构能力认可准则》(ISO/IEC 17020) CNAS-CL01《检测和和校准机构能力认可准则》(ISO/IEC 17025) 除此之外,还可以从以下文件述获得审核中应用ICT的指南: CNAS-CI01《检验机构能力认可准则》(ISO/IEC 17020) CNAS-CL01《检测和和校准机构能力认可准则》(ISO/IEC 17025) ISO/IAF 审核实践组“电子文件信息系统”(参见gjx.cnas.org.cn) https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html IAF ID12 远程评审原则 ISO 19011 管理体系审核指南 3 定义 3.1 虚拟场所 Virtual site 虚拟地点指客户组织完成工作或提供服务所用到的,允许处于不同物理地点的人 员执行过程的在线环境 注 1:当某过程必须在某一有形环境实现时不能将其考虑为虚拟场所,如:仓储、 制造、物理检测实验、安装或维修有形产品等。 注 2:一个虚拟场所(如:一个组织的内部网络)被当作一个独立场所来计算审 核时间。 4 要求 CNAS-CC14:2019 第 5 页 共 5 页 2019 年 05 月 10 日 发布 2022 年 06 月 15 日 第一次修订 2019 年 07 月 04 日 实施 4.1 安全性与保密性 4.1.1 在审核中应用 ICT 时,对电子信息或电子化传输信息的安全性和保密性是特 别重要的。 4.1.2 针对审核中应用 ICT 遵守信息安全与数据保护的措施和规则,在 ICT 应用于 审核之前,接受审核方及实施审核方之间应相互达成一致意见。 4.1.3 在不履行这些措施或没有就信息安全和数据保护措施达成一致意见的情况 下,实施审核方应采用其他方法实施审核。 4.1.4 当对于在审核中应用 ICT 没有达成一致时,应采用其他方法以满足审核目的。 4.2 过程要求 4.2.1 机构应识别并记录在相同条件下应用每项 ICT 可能影响审核有效性的风险和 机遇,包括对技术的选择以及如何对其进行管理。 4.2.2 当提议将 ICT 用于审核活动时,申请评审应包括一项检查,即检查客户及审 核实施机构具有必要的基础设施以支持被提议使用的 ICT。 4.2.3 考虑由 4.2.1 识别的风险和机遇,为了优化审核的有效性和效率并保持审核过 程的完整性与可信性,审核计划应识别在审核中如何利用 ICT 以及审核中哪些 ICT 在什么范围被应用。 4.2.4 应用 ICT 时,审核员及其他涉及到的人员(例如:无人机操作员、技术专家) 应具备能力和智慧以便理解和利用所采用的信息和通信技术取得期望获得的审核结 果。审核员同样应意识到应用信息与通信技术的风险和机遇,以及应用这些技术对信 息收集有效性和客观性的影响。 4.2.5 如果审核中应用 ICT,将对总审核时间做出贡献,当影响到审核持续时段时可 能有必要做额外的策划。 注:在确定审核时间和审核持续时段时,请参考规范性引用文件中可能影响 ICT 实施的附加要求。应用 ICT 对审核持续时段的影响并未在本文件中作出限定。 4.2.6 审核报告及相关记录应指出审核实施过程中所采用 ICT 的范围,以及为达到 审核目的应用 ICT 的有效性。 4.2.7 如果范围中包括虚拟场所,认证的记录材料应注明包括虚拟场所并且应识别 出在虚拟场所实施的活动。 ——
扫码关注我们