PDF《CNAS-SC153》

2018 年04 月01 日 发布

2018 年10 月01 日 实施 CNAS-SC153 供应链安全管理体系认证机构认可方案 Accreditation scheme for SCSMS certification bodies 中国合格评定国家认可委员会 CNAS-SC153:2018 第2页共34 页2018 年04 月01 日 发布

2018 年10 月01 日 实施 目次前言31范围

4 2 规范性引用文件.

4

3 术语和定义.4

4 SCSMS 认证机构认可规范的构成.5 R 部分.5 R.1 认证业务范围的认可.5 R.2 对CNAS-RC03 的补充.6 R.3 CNAS 认可范围的限定

6 C 部分.6 C.1 对资源要求的补充

6 C.2 审核时间.6 G 部分

7 G.1 对CC153 部分条款的指南

7 G.1.1 对CC153 7.4.2 的指南.7 G.1.2 对CC153 附录 D 的指南.7 G.1.3 对CC153 的9.2.3.2.5 的指南

7 G.2 认证业务范围能力管理实施指南.7 G.2.1 总则.7 G.2.2 SCSMS 认证业务范围的分类与分级指南.8 G.2.3 SCSMS 审核员的专业能力要求指南.9 G.2.4 SCSMS 审核员的专业能力评价指南.9 附录 A(资料性附录)SCSMS 认证业务范围分类.11 CNAS-SC153:2018 第3页共34 页2018 年04 月01 日 发布

2018 年10 月01 日 实施 前言本文件由中国合格评定国家认可委员会(CNAS)制定. 本文件是CNAS对供应链安全管理体系(SCSMS)认证机构提出的特定要求和 指南,与相关认可规则和认可准则共同用于CNAS对SCSMS认证机构的认可. 本文件中, 应 表示要求, 宜 表示建议. 本文件2018年首次发布. CNAS-SC153:2018 第4页共34 页2018 年04 月01 日 发布

2018 年10 月01 日 实施 供应链安全管理体系认证机构认可方案

1 范围 1.1 本文件提出了对实施供应链安全管理体系(SCSMS)认证的认证机构的特定要 求和指南,适用于 CNAS 对实施 SCSMS 认证的认证机构的认可工作. 1.2 本文件 R 部分是对 CNAS 认可规则的补充规定和/或进一步说明,其效力等同 于认可规则. 1.3 本文件 C 部分是对《供应链安全管理体系认证机构要求》 (CNAS-CC153)的 补充要求,其效力等同于认可准则. 1.4 本文件 G 部分是对相关认可准则的应用指南,为相关认可准则的要求提供说明 或解释.

2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款.以下引用的文件,注 明日期的, 仅引用的版本适用;

未注明日期的, 引用文件的最新版本 (包括任何修订) 适用. CNAS-R01《认可标识使用和认可状态声明规则》 CNAS-R02《公正性和保密规则》 CNAS-R03《申诉、投诉和争议处理规则》 CNAS-RC01《认证机构认可规则》 CNAS-RC02《认证机构认可资格处理规则》 CNAS-RC03《认证机构信息通报规则》 CNAS-RC04《认证机构认可收费管理规则》 CNAS-RC05《多场所认证机构认可规则》 CNAS-RC07《具有境外场所的认证机构认可规则》 CNAS-CC01《管理体系认证机构要求》 CNAS-CC153《供应链安全管理体系认证机构要求》 CNAS-CC12《已认可的管理体系认证的转换》 CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》 ISO 28000:2007《供应链安全管理体系规范》 GB/T19011《管理体系审核指南》

3 术语和定义 3.1 SCSMS 技术领域:以SCSMS 安全风险涉及的过程的共性为特征的领域. CNAS-SC153:2018 第5页共34 页2018 年04 月01 日 发布

2018 年10 月01 日 实施 注: 可以根据组织在供应链中所处的位置以及该组织对供应链安全产生的影响来 划分 SCSMS 技术领域. 3.2 SCSMS 认证业务范围: 认证机构对 SCSMS 认证活动所覆盖技术领域的描述. 3.3 风险等级:根据 SCSMS 认证业务范围(技术领域)的供应链安全事件/事故发 生的可能性和后果的严重性以及控制的复杂性,由高至低划分为

一、二级.

4 SCSMS 认证机构认可规范的构成 4.1 适用的认可规则 a) CNAS-R01《认可标识使用和认可状态声明规则》 b) CNAS-R02《公正性和保密规则》 c) CNAS-R03《申诉、投诉和争议处理规则》 d) CNAS-RC01《认证机构认可规则》 e) CNAS-RC02《认证机构认可资格处理规则》 f) CNAS-RC03《认证机构信息通报规则》 g) CNAS-RC04《认证机构认可收费管理规则》 h) CNAS-RC05《多场所认证机构认可规则》 i) CNAS-RC07《具有境外场所的认证机构认可规则》 4.2 适用的认可准则 a) CNAS-CC153《供应链安全管理体系认证机构要求》 b) CNAS-CC12《已认可的管理体系认证的转换》 c) CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》 R 部分 R.1 认证业务范围的认可 R.1.1 CNAS 按照 CNAS-RC01 附录 A 中的认证业务范围分类(39 大类)授予获 认可的认证机构 SCSMS 认可业务范围, 必要时可限定到中类或小类 (见本文件附录 A) . R.1.2 SCSMS认证业务范围认可的见证评审要求 1) 对于本文件已确定的风险等级为一级的认证业务范围,需实施见证评审;

2) 对于同属一个门类的不同大、中、小类的一级认证业务范围,可根据安全风 险的相似性和认证机构技术能力分析与评价的情况等适当减少见证评审数量;

3) 对于风险等级为二级的认证业务范围,CNAS可视情况抽样实施见证评审;

4) 对于F门类,CNAS将考虑认证机构的分析结果和具体情况,按上述原则进行 见证. CNAS-SC153:2018 第6页共34 页2018 年04 月01 日 发布

2018 年10 月01 日 实施 R.2 对CNAS-RC03 的补充 对于获得 SCSMS 认证的组织,CNAS-RC03 中 获证组织发生重大事故/事件 是指发生具有下列影响的事件: a) 严重损害国家安全、社会秩序、公共利益或其相关方的合法权益;

或者 b) 可能损害颁证机构或 CNAS 的公信力、 声誉, 或使颁证机构或 CNAS 承担连 带责任. R.3 CNAS 认可范围的限定 CNAS将根据SCSMS的研究进展和认证实践的具体情况,适时公开发布可以受 理认可的认证业务范围,认证机构可在CNAS的受理范围内申请认可. C部分 C.1 对资源要求的补充 C1.1 CNAS-CC153 7.4.6记录,认证机构应以其认为合理的期限保存记录.除满足 确定记录保存期限时宜考虑到国家、国际或其它法定要求外,还需考虑对解除合同/ 协议的审核人员的记录销毁不宜早于所审核过的认证档案的保存期限. C.2 审核时间 基于CNAS-CC153附录A计算审核时间时,还需考虑下列因素(但不限于这些因 素): 增加审核时间的考虑因素 ?组织的工作在多于一处的建筑物或地点实施,审核时需要复杂的后勤安排, 例如组织有多个不同地点存放货物的仓库;

? 员工使用多于一种的语言(需要翻译或妨碍单个审核员独立工作);

? 与人员数量相比,现场很大(例如森林);

? 受法规管制的程度较高 (例如食品、 药品、 航天、 核能、 危险化学品等领域) ;

? 组织的体系覆盖着高度复杂的过程或数量较多的互不相同的活动;

? 需要访问临时场所,以确认拟认证管理体系中的常设场所的活动;

? 与同行业典型情况相比,供应链脆弱性较高、风险程度较高. 减少审核时间的考虑因素 ? 与人员数量相比,现场很小;

? 体系成熟;

? 对客户管理体系已有了解 (例如同一认证机构已依据另一标准认证了该客户) ;

CNAS-SC153:2018 第7页共34 页2018 年04 月01 日 发布

2018 年10 月01 日 实施 ? 客户为认证所作的准备(例如已获得另一个第三方合格评定制度的认证);

? 活动的复杂程度低. G 部分 G.1 对CC153 部分条款的指南 G.1.1 对CC153 7.4.2的指南 背景核查宜包括人事档案的核查,核查起始时间宜从中等或高等教育经历开始, 工作背景应包括专职工作和兼职工作,以及参加社团和/或其他组织的经历.对于工 作间断期间内的活动也宜作必要的调查. G.1.2 对CC153附录D的指南 附录D所描述的审核员能力要求,可通过正规的培训(如专业课程学习和必要的 实践培训) 等方式获得, 接受过其他管理体系安全风险分析及控制培训的人员可以适 当减少培训的时间. G.1.3 对CC153的9.2.3.2.5的指南 审核组应访问足够数量的员工,包括最高管理层和所审核设施的操作人员,为体 系已经在整个客户组织中得到实施和理解提供信心. 上述 设施 的定义参照 ISO28000 的3.1,设施的操作人员多数情况下是影响供 应链安全风险的相关人员.足够数量的员工,还可以包括对员工身份识别系统(计算 机软件控制系统)进行控制的人员等. 审核中确定访问员工的数量时,需考虑特定生产/服务过程的供应链安全风险评 价结果,审核组宜记录接受访问的人员及身份. G.2 认证业务范围能力管理实施指南 G.2.1 总则 G.2.1.1 对SCSMS认证业务范围能力实施管理是认证机构的责任,认证机构应建立 和实施能力分析与评价系统, 并在整个认证实施过程中确保使用经证实具备能力的认 证人员实施各项职能. 对认证人员能力进行评价的过程应考虑个人行为表现以及应用 知识和技能履行特定职能(如:实施申请评审以确定所需的审核组能力、选择审核组 成员并确定审核时间、审核实施、领导审核、复核审核报告并做出认证决定、认证人 员能力评价)实现预期结果的本领. 审核员在从事审核活动时应展现的职业素养应满足GB/T19011的要求.履行其 他职能的认证人员的职业素养要求, 认证机构可参照对审核员的职业素养要求并结合 CNAS-SC153:2018 第8页共34 页2018 年04 月01 日 发布

2018 年10 月01 日 实施 所履行职能的特点来确定. 知识和技能可通过教育、工作经历、培训和审核经历获得.为便于对人员能力的 管理,认证机构可将知识和技能分为所有管理体系领域通用的知识和技能与SCSMS 领域的专业知识和技能(包括SCSMS领域的特定知识和技能以及SCSMS相关技术 领域的专业知识和技能) .认证机构建立的能力分析与评价系统应覆盖所有认证职能 (即认证流程中的各岗位)对所有管理体系领域的通用能力和SCSMS领域专业能力 的管理.认证机构可参考CC01的相关要求和GB/T19011对管理体系审核员的通用知 识和技能的描述确定本机构的通用能力要求.SCSMS认证业务范围的能力管理主要 关注SCSMS领域专业能力的管理. G.2.1.2 认证机构SCSMS认证业务范围的能力分析与评价宜包括以下活动: 1) 根据对SCSMS技术领域的特征分析与风险评估,确定认证机构开展SCSMS 认证活动的认证业务范围分类和风险级别;

2) 根据对不同SCSMS技术领域的特征分析与风险评估, 确定履行不同认证职能 认证人员的专业能力需求并确定认证人员专业能力准则;

3) 基于能力需求和能力准则选择和确定适当的评价方法;

4) 实施能力评价,对于不满足能力准则者,补充适当的培训、工作或审核经历 后进行再评价;

5) 识别对相关认证人员的培训需求,实施必要的培训;

6) 识别审核指导性文件的编制需求,编制必要的文件;

7) 提供持续专业发展的途径(如:工作经历、培训、个人学习、辅导、参加会 议、研讨、论坛或其他活动);

8) 对SCSMS认证业务范围的扩大和缩小实施管理. G.2.1.3 认证机构应对上述活动制定相应的文件,并保持充分记录. G.2.1.4 认证机构应有程序就申请SCSMS认证业务范围的认可做出规定. G.2.1.5 本文件对SCSMS认证业务范围的分类以及审核员的专业能力要求与评价给 出了指南. G.2.2 SCSMS认证业务范围的分类与分级指南 G.2.2.1 本文件附录A为SCSMS认证业务范围的详细分类提供指南. 认证........