CNAS-SC178-2020 电子商务管理体系认证机构认可方案.pdf

资源描述

1、 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施 CNAS-SC178 电子商务管理体系认证机构认可方案电子商务管理体系认证机构认可方案 Accreditation scheme for ECMS certification bodies 中国合格评定国家认可委员会 CNAS-SC178 第 1 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施目目次次前言.2 1 范围.3 2 规范性引用文件.3 3 术语和定义.3 4 ECMS 认证机构认可规范的构成.4 R 部分部分.5 R1 认可申请（CNAS-RC0

2、1 条款 5.1）.5 R2 申请评审.5 R3 评审.6 R4 见证评审（CNAS-RC01 条款 9.1）.6 R5 认可决定.6 R6 认证业务范围的认可（CNAS-RC01 条款 6）.7 R7 认可标识（CNAS-R01 条款 4.2.3）.7 R8 认可后的信息通报（CNAS-RC03 条款 5.2）.7 C 部分部分.8 C1 通用要求（CNAS-CC01 条款 5.1 至 5.3）.8 C2 认证人员能力要求（CNAS-CC01 条款 7.1-7.2）.8 C3 认证文件（CNAS-CC01 条款 8.2）.9 C4 保密要求（CNAS-CC01 条款 8.4）.10 C5 过

3、程要求（CNAS-CC01 条款 9.1 至 9.9）.10 附录 A（资料性附录）ECMS 认证机构认证业务范围分类.14 附录 B（规范性附录）电子商务管理体系审核时间.15 CNAS-SC178 第 2 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施前前言言本文件是 CNAS 对电子商务管理体系（ECMS）认证机构提出的特定要求和指南，并与相关认可规则和认可准则共同构成 CNAS 对 ECMS 认证机构的认可要求。本文件中，“应”表示相应条款是强制性的，“宜”表示建议。本文件由中国合格评定国家认可委员会（CNAS）制定。本文件 20

4、20 年首次发布。CNAS-SC178 第 3 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施电子商务管理体系认证机构认可方案电子商务管理体系认证机构认可方案 1 范围范围 1.1 为确保中国合格评定国家认可委员会（CNAS）对依据 GB/T36311电子商务管理体系要求开展电子商务管理体系（ECMS）认证的认证机构（以下简称“ECMS认证机构”）实施评审和认可的一致性，指导申请认可和获得认可的 ECMS 认证机构理解和实施认可规范要求，特制定本文件。1.2 本文件适用于 CNAS 对 ECMS 认证机构的认可。1.3 本文件 R 部分是对

5、认证机构认可规则（CNAS-RC01）的补充规定和进一步说明；C 部分是对 CNAS-CC01管理体系认证要求、CNAS-CC105确定管理体系审核时间（QMS、EMS、OHSMS）的补充要求；G 部分是对认证机构业务范围分类的指南。其效力等同于相应类别的认可规范文件。1.4 除本文件的特殊规定或要求外，CNAS 制定的认可规则和管理体系认证机构的认可准则等相关认可规范均适用，应同时满足这些文件的要求。1.5 电子商务法第二条中所列不适用服务活动中的利用信息网络提供的新闻信息、音视频节目的服务同样不属于本定义所指范围，但金融类产品、电子出版物和文化产品的服务经营活动仍属于本定义所指范围。2 规

6、范性引用文件规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。注明日期的引用文件，仅引用的版本适用于本文件；未注明日期的引用文件，其最新版本（包括任何修订）适用于本文件。CNAS-RC01 认证机构认可规则 CNAS-RC03 认证机构信息通报规则 CNAS-RC04 认证机构认可收费管理规则 CNAS-CC01 管理体系认证机构要求 CNAS-CC105 确定管理体系审核时间（QMS、EMS、OHSMS）GB/T 36311 电子商务管理体系要求 GB/T 31524 电子商务平台运营与技术规范 3 术语和定义术语和定义 CNAS-CC01、CNAS-CC105和GB/T

7、36311中的术语和定义以及下列术语和定义适用于本文件。3.1 电子商务通过互联网等信息网络销售商品或者提供服务的经营活动。CNAS-SC178 第 4 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施注：经营活动主体之间利用现代信息技术和网络技术（含互联网、移动网络和其他信息网络）开展商务活动，实现网上接洽、签约、支付和售后等部分或全部电子化的商务活动。电子商务可包括货物交易、服务交易和知识产权交易等（引自GB/T31524，定义 3.1）3.2 电子商务平台电子商务活动中为交易双方或多方提供交易撮合及相关服务的信息网络系统总和。【GB/

8、T31524，定义 3.2】3.3 组织为实现目标、由职责、权限和相互关系构成自身功能的一个人或一组人。注：改写 GB/T19000，定义 3.2.1 3.4 管理体系组织建立战略和目标以及实现这些目标的过程的相互关联可相互作用的一组要素。注：改写 GB/19000，定义 3.5.3 3.5 认证业务范围实施认证活动所涉及的业务领域。3.6 电子商务管理体系技术领域在电子商务活动中，以相关商贸活动的类型、信息技术和过程的共性为特征的领域。4 ECMS 认证机构认可规范的构成认证机构认可规范的构成 4.1 除本方案外主要规则和准则：CNAS-RC01认证机构认可规则是 ECMS 认证机构

9、认可活动的基本程序规则；CNAS-CC01管理体系认证机构要求是 ECMS 认证机构的基本认可准则。4.2 其他适用的认可规则包括：a)CNAS-R01认可标识使用和认可状态声明规则；b)CNAS-R02公正性和保密规则；c)CNAS-R03申诉、投诉和争议处理规则；d)CNAS-RC02认证机构认可资格处理规则；e)CNAS-RC03认证机构信息通报规则；f)CNAS-RC04认证机构认可收费管理规则；g)CNAS-RC05多场所认证机构认可规则；h)CNAS-RC07具有境外场所的认证机构认可规则。4.3 其他适用的认可准则包括：CNAS-SC178 第 5 页共 18 页 2020 年

10、 12 月 31 日发布 2021 年 01 月 01 日实施 a)CNAS-CC11多场所组织的管理体系认证；b)CNAS-CC12已认可的管理体系认证的转换；c)CNAS-CC14信息和通信技术（ICT）在审核中应用；d)CNAS-CC106CNAS-CC01 在一体化管理体系审核中的应用。R 部分部分 R1 认可申请认可申请（CNAS-RC01 条款条款 5.1）R1.1 具备下列条件的认证机构，可向 CNAS 提出认可申请：R1.1.1 已通过国家认证认可行政主管部门批准，具有从事电子商务管理体系或相关管理体系认证资格的认证机构。当具有相关管理体系认证资格的机构申请时，应同时具有质

11、量和信息化管理体系有关的批准资格。注：相关管理体系指质量、信息安全、信息技术服务等管理体系。R1.1.2 已按照本文件及相关CNAS认可规范文件的要求，建立并实施了文件化的管理体系。通常情况下：1)申请机构应按相应领域的管理体系认可规范要求建立和有效运行其管理体系6 个月，且已在申请领域完整实施了至少 3 个电商（平台）组织的认证审核和管理工作；如申请的认证业务范围中包含附录 A01 类，至少应对 2 家电商平台组织实施了完整认证审核和管理工作。2)至少有 5 名符合本文件要求的、具有与其从事的电子商务认证业务相适宜的人员。R1.2 申请机构应按要求填写认可申请书，并连同下列材料和信息一并提交

12、CNAS：R1.2.1 与 ECMS 认证业务相关的人员能力情况；R1.2.2 已认证组织的数量及对应的认证业务范围信息；R1.2.3 已获 CNAS 认可的情况；R1.2.4 拟见证项目的认证审核方案，内容至少包括电商（平台）组织特点、审核时间测算方法、申请机构办公室和电商（平台）组织现场审核时间分配比例及关注项、匹配的人员专业能力要求等信息；R1.2.5 需要时，CNAS 要求的其他信息。R2 申请评审申请评审 R2.1 预访问（CNAS-RC01 条款 5.1）必要时，CNAS 可在受理申请过程中安排预访问，以了解申请方是否已满足认可申请条件和是否基本具备接受认可评审的条件。R2.2 C

13、NAS 对申请机构的认可申请进行审查，对于符合 CNAS-RC01 认证机构认可规则5.1.1 条款和本文件 R 条款要求的予以受理，并根据申请方的具体情况策划CNAS-SC178 第 6 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施认可评审方案。R3 评审评审 CNAS 依据认可规范的要求，对申请机构的 ECMS 的认证能力及其运作的符合性和有效性实施评审。评审包括文件评审（初次申请、复评审以及机构发生重大变化时）、办公室评审和见证评审。对申请机构的认可评审过程、认可决定及其后续的监督、复评管理同CNAS-RC01 的规定。R4 见证评审

14、（见证评审（CNAS-RC01 条款条款 9.1）R4.1 见证评审的数量基于申请机构的 ECMS 认证业务范围数量、电子商务活动的复杂程度、商贸活动的风险程度、以及多场所经营（包括物理的和虚拟的）的情况来确定见证评审的数量。通常情况下，初次认可评审和扩大认可范围评审的见证项目每个大类不少于一个项目，其后每年至少安排一次见证评审，一个认可周期内覆盖全部已获认可的认证业务范围（大类），如机构提供的 ECMS 见证评审项目不能覆盖其已获认可的认证业务范围（大类），应相应缩小其认可业务范围。R4.2 见证项目的选择根据机构申请的认证业务范围或已获认可的认证业务范围情况，优先选择高风险、高复杂程度

15、的项目进行见证，考虑因素包括但不限于：R4.2.1 ECMS 认证业务范围是高风险的类别，如带“*”的类别；R4.2.2 电子商务活动复杂程度高，如：在多个电商平台或渠道开展不同类型的服务活动、拥有自有物流、仓储、金融支付等管理活动等；R4.2.3 涉及行业风险较高，如：销售危险化学品、食品生鲜、非处方药等有特殊要求的产品，或服务（商品）质量调查存在负面信息等；R4.2.4 其他因素：如组织信息化程度不高，质量监控方法不强等。R4.3 见证评审的方式由于电商（平台）组织信息化程度高、质量监控手段先进、大数据分析能力强等因素，申请机构对电商（平台）组织的现场审核可能会存在申请机构办公室和认证组

16、织现场审核相结合的方式进行，因此，CNAS 可根据申请机构的认证审核方案，采取：4.3.1 申请机构办公室和电商（平台）组织现场评审相结合的方式进行。4.3.2 对于信任程度较高的申请机构（如：管理体系认可风险分级评价为 A 级的机构，且获得 ECMS 认可资格在一个认可周期以上），可仅见证电商（平台）组织的现场审核部分，但要关注到非见证组织现场部分审核的有效性。R5 认可决定认可决定 CNAS 依据提交认可评定的相关材料，做出相应的认可决定。认可文件及其附CNAS-SC178 第 7 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施件上将注明

17、申请人获准认可的相关信息，至少包括认可领域、认可依据、ECMS 认可的业务范围（中类）、认证标准。R6 认证业务范围的认可（认证业务范围的认可（CNAS-RC01 条款条款 6）R6.1 认证业务范围的分类（CNAS-RC01 条款 6.2）本文件附录 A 提供了认证业务范围分类方法。CNAS 根据附录 A 来确定认证机构的认可业务范围，通常认可到表 A 中的大类。若申请机构采用与 CNAS 不同的分类方法，应说明其分类方法与 CNAS 分类方法的对应关系。R6.2 认证业务范围的认可要求（CNAS-RC01 条款 6.3.3）CNAS 对于本文件附录 A 中带“*”的类别有强制性见证要求，应

18、在见证评审后予以认可；对于仅见证不带“*”的类别，CNAS根据申请机构ECMS认证活动的范围、规模、风险水平和绩效对其认证业务范围的大类实施见证评审。R6.3 认证业务范围的认可决定当CNAS见证评审了附录A中带“*”的中类并满足认可要求时，应给予中类所在的相应大类的认可资格；当CNAS仅见证评审了附录A中不带“*”的中类并满足认可要求时，应给予中类所在的全部大类中除带“*”的类别外的所有类别的认可资格。R7 认可标识（认可标识（CNAS-R01 条款条款 4.2.3）R7.1 获得 CNAS 认可的具有 ECMS 认可资质的认证机构，应在 CNAS 认可范围内所颁发的 ECMS 认证证书上

19、使用 CNAS 认可标识和（或）声明认可状态。R7.2 CNAS 对 ECMS 认可标识的管理，遵循 CNAS-R01 认可标识和认可状态声明管理规则的相关规定。获得认可的 ECMS 认证机构不得针对 ECMS 认证使用IAF-MLA/CNAS 联合标识。R7.3 认证机构应对 ECMS 认证标志和认可标识的所有权、使用权和展示方式予以管理和控制，并要求认证组织在宣传和使用认可标识时，仅就获得认证范围的有关认证进行声明，防止错误使用和产生误导。R7.4 认证机构可采取授权的方式，准许认证组织（包括电商组织和电商平台组织）在获得 ECMS 认证的区域内使用 CNAS 认可标识和认证标志，并应进行

20、定期检查。R8 认可后的认可后的信息通报（信息通报（CNAS-RC03 条款条款 5.2）R8.1 获准认可的认证机构应按照 CNAS-RC03认证机构信息通报规则的要求，将其认可后的变化情况通报 CNAS。R8.2 当获得 ECMS 认证的电子商务（平台）组织发生以下具有重大影响的情况时，认证机构应在五个工作日采取相应措施，并向 CNAS 通报有关情况：R8.2.1 新闻媒体曝光中涉及认证组织存在虚假促销、疑似售假等损害消费者或相关方合法权益行为的；CNAS-SC178 第 8 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施 R8.2.2 国

21、家或行业部门抽查中发现涉及发布违法信息、发生侵权行为、商品（服务）质量问题等重大服务质量事件和信息安全事件的；R8.2.3 造成损害认证认可公信力和声誉的，或使认证机构或CNAS 承担连带责任的事件；R8.2.4 其他严重情况。R8.3 认证机构宜对发生重大事件的获证组织先发布暂停认证资格的决定，待事件调查结束、识别认证风险后，再进行后续的认证资格恢复、缩小、撤销或增加监督频次等处理措施。C 部分部分 C1 通用要求（通用要求（CNAS-CC01 条款条款 5.1 至至 5.3）C1.1 合规责任（CNAS-CC01 条款 5.1）开展 ECMS 认证活动的认证机构，应当关注、识别并符合适用的

22、法律法规有关规定（如：电子商务法等），并具备从事 ECMS 认证活动所要求的技术能力。C1.2 风险评估和责任安排（CNAS-CC01 条款 5.3.1）认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证机构可能承担的责任进行评估，并做出充分的安排（如：购买职业责任保险或设立储备金等）。C2 认证人员能力要求认证人员能力要求（CNAS-CC01 条款条款 7.1-7.2）C2.1 认证机构应按照 CNAS-CC01 的 7.1.2 要求，针对每个技术领域和认证过程中的每项职能确定能力准则，并有充足的人员支撑其 ECMS 认证管理活动的运行，且有过程证明其人员具备与 ECMS 客

23、户开展认证特定职能所需要的知识和技能。C2.2 认证机构的 ECMS 认证人员宜具备以下通用知识和技能；C2.2.1 电子商务管理体系标准和相关规范性文件的知识；C2.2.2 电子商务特定术语、基本知识和原理；C2.2.3 ECMS 相应技术领域的基本理论知识和实践经验；C2.2.4 电子商务相关法律、法规、标准或技术指南，如中华人民共和国电子商务法、消费者权益保护法、电子签名法等法律法规要求，和电子商务可信交易要求（GB/T31782）、电子商务产品质量信息规范（GB/T33992）、电子合同订立流程规范（GB/T36298）、电子合同基础信息描述规范（GB/T36319）、第三方电子合同服

24、务平台功能建设规范（GB/T26320）、电子商务模式规范（GB/T36310）、电子商务平台运营与技术规范（GB/T31524）、电子商务平台服务质量评价与等级划分（GB/T31526）、电子商务供应商评价准则（GB/T30698）、电子商务统计指标体系在线营销（GB/T31232.2）、电子商务主体基本信息规范（GB/T32873）、电子商务产品信息规范CNAS-SC178 第 9 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施（GB/T33992）、服务质量评价通则（GB/T36733）等国家标准，以及跨境电子商务产品质量信息数据规范（

25、SN/T4900）、网络交易服务规范（SB/T10519）、电子认证服务管理办法（工信部第 29 号令）、互联网 IP 地址备案管理办法（工信部第 34 号令）、互联网站管理工作细则（信部电2005501 号）等行业标准和商务部、工信部、市监局等行业主管部门发布的要求。C2.2.5 电子商务基础信息技术和系统的知识和技能；C2.2.6 电子商务活动中有关经营、管理、服务特性的知识和技能；C2.2.7 认证机构认证管理相关过程的知识和技能；C2.2.8 识别风险管控的知识和技能。认证审核、专业评价和能力监视、认证决定等人员还宜掌握以下知识和技能：C2.2.9 熟悉电子商务物流管理知识和技能；C2

26、.2.10 熟悉电子商务金融支付管理知识和技能；C2.2.11 熟悉商业贸易知识和销售服务专业知识和技能；C2.2.12 具有网络信息技术、安全的应用和风险控制管理知识和技能；C2.2.13 熟悉 ECMS 技术领域相关的商贸活动、服务和过程；C2.2.14 能识别 ECMS 有关组织影响服务质量的关键活动和风险因素，并能对其控制的有效性进行评价等。C2.3 认证机构应针对 ECMS 每个技术领域和认证过程中的每项职能，建立、实施并持续改进其形成文件的能力准则，并用所确定的能力准则，对所有参与管理、审核和相关认证活动的人员进行能力评价，该评价过程应包括：C2.3.1 能力评价。对照能力准则，采

27、用适宜的方法评价和证实其认证人员实际具有的能力，确保从事特定活动的人员能力是经评价证实的。C2.3.2 持续培训。电子商务作为一种新的经济形式，在互联网环境下，依托信息化手段，快速响应市场变化和需要，其管理模式灵活多样、创新速度快，为保证ECMS 认证人员能力持续满足电子商务领域的发展，每三年至少对 ECMS 审核人员培训一次，每次培训应不少于 2 个小时。C2.3.3 能力和绩效的持续监视。应根据认证人员的使用频率、工作业绩及其活动风险水平，制定其周期监视计划，并通过现场评价、审核报告复核及客户或市场反馈相结合的方式，评价其能力和绩效的持续保持情况，并识别能力差异，通过培训、指导、实践等措施

28、，确保其能力得到满足。C2.4 认证机构应确保从事 ECMS 的认证人员所具有的知识得到持续更新。C2.5 认证机构应确保做出认证决定的小组或个人应理解电商标准和认证要求，并经证实有能力识别可能存在的认证风险及对认证结果产生潜在影响的信息，以保证认证决定结论的客观公正性。C3 认证文件（认证文件（CNAS-CC01 条款条款 8.2）认证机构对满足 ECMS 认证要求的认证组织提供电子商务管理体系认证文件，CNAS-SC178 第 10 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施其中涉及对 ECMS 的认证业务范围表述宜体现以下内容：C3

29、.1 多场所信息；包括：物理场所和虚拟场所（如网址）；C3.2 商贸类型；如：商品、文化等；C3.3 经营活动；如：销售、仓储、物流、金融支付等；示例：xxx 公司在 xx 平台上开展家电、食品等 x 类产品的销售、仓储、物流和金融支付活动的电子商务管理活动；xxx 公司在 xx 平台上开展旅游服务的电子商务管理活动。C4 保密保密要求（要求（CNAS-CC01 条款条款 8.4）C4.1 认证机构宜要求直接接触客户信息的认证人员（如：审核组成员）遵守客户的保密政策，如：按照客户的保密要求与客户签署保密协议。C4.2 审核组成员不宜在审核过程中以任何方式记录客户的保密或敏感信息。审核组在离开客

30、户前，宜请客户检查和确认审核组携带的文件、资料和设备中未夹带客户的任何保密或敏感信息。C5 过程要求（过程要求（CNAS-CC01 条款条款 9.1 至至 9.9）C5.1 申请及申请评审（CNAS-CC01 条款 9.1.1、9.1.2）C5.1.1 认证机构应基于以下方面的考虑，确认具备申请认证的资格和条件：1）具有合法的法律地位或一个法律实体内有明确界定的一部分，能够独立承担经济和法律责任；2）当有法规要求时，已按规定要求取得法定的行政许可或注册；3）拥有能够保障电子商务经营活动的软、硬件设备设施；如计算机信息系统、网络安全环境等；4）电子商务管理体系已建立，并运行至少三个月，具有处理突

31、发事件的响应机制；5）未列入国家严重失信主体相关名录。C5.1.2 认证机构应复核申请人提供的认证所需信息的真实性，这些信息可包括但不限于：1）法律证明文件和（或）相关资质证明文件，如营业执照、行政许可证、注册证明文件等；2）认证申请人基本信息：如名称、经营场所地址、组织结构、员工数量、工作时间、班次、电子商务活动的服务类型、服务流程（包括服务提供过程、顾客接触点及服务中可见因素等信息）、基础设施情况、成交量、流量。适用时，还包括提供服务的多场所信息、外包信息等；3）申请认证范围的信息；如：认证范围覆盖的网站域名、电子商务平台信息、以及经营相关电子商务活动的类型及产品种类数量。适用时，还包括涉

32、及的物流服务、仓储、金融、支付服务等信息；CNAS-SC178 第 11 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施 4）申请人的承诺；如：遵循与个人隐私和信息安全有关法律法规的承诺以及符合保障人身、财产安全、环境保护等要求的承诺；5）申请人已按 ECMS 认证标准或规范要求建立并实施的管理体系文件；6）其他信息：如：国家行政抽查情况、申投诉处理情况、ECMS 体系咨询情况等。C5.2 审核方案（CNAS-CC01 条款 9.1.3）当认证机构的现场审核采用非现场（如远程审核）和现场相结合的方式进行时，审核方案还应包括：C5.2.1 非现场

33、审核和现场审核的时间、目的、内容和拟采用的审核方法。C5.2.2 明确一阶段非现场审核的理由。C5.3 确定审核时间（CNAS-CC01 条款 9.1.4）C5.3.1 鉴于电子商务行业信息技术手段先进，业务流程主要体现在计算机系统中，且业务发展与大数据分析紧密结合等特点，认证机构可以使用远程审核等方式，提前获取组织电商体系运行的数据和信息，基于这些数据和信息能够充分决定电商（平台）组织在某部分体系运行情况的有效性，因此 ECMS 的现场审核时间可以按非现场审核时间和现场审核时间的总和进行计算，但认证机构应有文件规定非现场审核的方法和机制，内容包括但不限于：1）获取电商（平台）组织数据和信息的

34、渠道和方法；2）这些数据和信息的名称、统计时期、使用目的等；3）审核这些数据和信息人员的能力要求；4）审核方法和结论；5）其他有助于决定组织电子商务体系运行有效性的信息。C5.3.2 确定审核时间，认证机构应考虑以下方面（不限于）：1）电子商务（平台）组织运营特点、规模和复杂程度；2）申请的认证范围：3）多场所情况（包括常设场所、临时场所和虚拟场所）；4）法律法规和标准规定的特殊技术要求（如：食品、物流、仓储、金融等领域）5）所使用的审核方法和技术手段（如：计算机远程等）；6）活动外包和审核风险等。本文件附录 B 规定了 ECMS 审核时间测算的方法。C5.4 多场所的抽样 C5.4.1 抽样

35、条件当认证组织拥有满足以下条件的多个服务场所时，认证机构可以考虑使用基于抽样的方法对其服务经营场所进行审核：C5.4.1.1 所有场所经营的服务类型相同、提供商品的供应商相同；CNAS-SC178 第 12 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施 C5.4.1.2 所有场所的工作人员均在同一个 ECMS 下进行管理，认证组织对人员具有分配和调配的权力，有权要求场所内提供服务的工作人员提供工作量和工作质量的数据；C5.4.1.3 认证组织在所有场所提供的服务和活动的变动，或场所的成立和撤销不影响客户的 ECMS 运行的完整性；C5.4.

36、1.4 所有的场所都包含在客户的 ECMS 内部审核计划和管理评审计划中。C5.4.2 抽样方法 C5.4.2.1 当多场所数量低于 4（含）个时，不能抽样，只有超过 5（含）个才允许抽样，具体抽样方法见下表：电商活动服务点数量（个）增加的电商活动服务点抽样（个）5 10 1 11 20 2 21 40 3 41 60 4 注：当多场所的数量超过 60 时，可沿用上表的规律确定应增加的抽样量。C5.4.2.2 按上述方法确定的多场所数量是初次认证审核抽取的多场所样本数量；监督审核应为初次多场所样本数量的 60%；再认证审核应为初次多场所样本数量的 80%。C5.4.2.3 抽取的多场所应覆盖认

37、证范围内所涉及到的附录 A ECMS 认证机构认证业务范围分类的中类，且优先选取同种业务服务类型中业务复杂程度高且商品（服务）交付风险大的服务场所。C5.4.2.4 认证机构应对未访问的多场所建立风险管理规定，进行风险分析以及制定必要的应对措施。C5.5 第一阶段（CNAS-CC01 条款 9.3.1.2）当认证组织由于信息安全、风险等原因在申请阶段不能向认证机构提供足够的信息时，认证机构可通过第一阶段审核在客户的现场补充对上述信息的确认，并完成申请评审。这种情况下，认证机构应增加第一阶段现场审核时间。C5.6 认证审核相关要求（CNAS-CC01 条款 9.3-9.6）根据认证组织的业务特点

38、，确定其管理体系运行能力的审核至少还应覆盖以下方面：C5.6.1 识别和确定适用的电子商务法律法规、管理标准和规范性文件的要求；C5.6.2 落实适用的法律法规、管理标准和规范性文件的合规性要求，包括特殊资质、网络安全、个人信息保护等方面的义务；C5.6.3 支持电子商务管理体系运行所必要的软硬件、互联网管理等设施配置的充分性和技术管理能力；CNAS-SC178 第 13 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施 C5.6.4 运行控制管理能力，包括但不限于：1）组织结构和人力资源配置的合理性；2）商品的可追溯性；3）商品或服务宣传信息与

39、实际情况的一致性；4）交易前、交易中和交易后各阶段的服务质量管理情况；5）对仓储和支付等的运行管理能力，适用时，包括对物流、金融等运行管理能力；6）网络信息技术的建设、维护和管理情况；7）大数据管理和分析能力；8）顾客服务的识别、提供和处理能力；9）处理突发事件、事故机制的适宜性；10）绩效评价和改进等。C5.6.5 风险管理能力，可能来自以下方面（不限于）；1）信息技术管理风险（如保密）；2）商品采购；3）商品或服务的宣传；4）顾客服务过程；5）仓储、物流、金融、支付等管理风险等。C5.6.6 认证机构如采用电子方式实施审核（如远程审核等），应与认证组织商定双方都能接受的信息安全措施，以确保

40、信息和数据的保密和不可修改。C5.6.7 对多场所的抽样审核通过在常设场所和虚拟场所商贸活动的服务状况、与相关人员（如服务人员和信息技术工程师等）面谈以及调阅现场服务记录，认证机构可以收集认证组织的ECMS 运行和有效性的证据。C5.7 审核报告（CNAS-CC01 条款 9.4.8）认证机构 ECMS 审核报告还应体现：C5.7.1 对认证标准中适用条款的引用情况或删除条款的说明；C5.7.2 认证组织商贸活动所涉及的电商平台及其网站域名；C5.7.3 审核覆盖的时间段，及审核时间段内认证组织的业务发展（如流量、交易量等）情况、被新闻媒体曝光的事故、事件信息以及对顾客抱怨的处理情况；C5.

41、7.4 抽样方法和样本信息；C5.7.5 审核情况表述（包括定性和定量的信息分析、信息技术保证能力以及保密管控能力等）；C5.7.6 对顾客的关注度；C5.7.7 战略调整和持续改进等信息。CNAS-SC178 第 14 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施附录附录 A（资料性附录）（资料性附录）ECMS 认证机构认证业务范围分类认证机构认证业务范围分类大类中类示例 01 电子商务平台组织 0101*共享型平台如：阿里巴巴、天猫、淘宝、苏宁易购、京东等 0102 自用型平台如：唯品会，华为商城、天猫超市、苏宁易购（自营）、

42、京东（自营）等 0103 其他 02 电子商务组织 0201*货物/商品如：化工原料、机械设备、非处方药、服装、食品生鲜、电器等 0202 服务如：旅游、餐饮、教育、中介等 0203 知识产权如：商标、专利、版权等 0204 其他注 1：共享型平台是指通过互联网渠道搭建供多个电商组织入驻的平台。自用型平台是指在线上搭建平台仅供自营使用的平台。注2：本表是给认证机构开展ECMS能力分析和评价提供一致的框架；同时也为CNAS 在规范框架下对认证机构的能力实施评审，有效控制认可风险，促进 ECMS 认证活动健康、有序发展。注 3：由于电子商务行业在全球范围内仍处于发展阶段，本表中的组织业务活

43、动类型的划分方式可能仍需随着我国电子商务认证的发展和经验的增加不断改进。CNAS-SC178 第 15 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施附录附录 B（规范性附录）规范性附录）电子商务管理体系审核时间电子商务管理体系审核时间 1 确定原则确定原则本文件将客户的人员数量（固定的、临时的和兼职的）作为考虑审核时间时的出发点，但这并不是唯一需要考虑的因素，还应考虑其他影响审核时间的因素。这些因素包括但不限于：拟认证客户及其管理体系的复杂程度、技术和法规环境、管理体系范围内活动的分包情况、以前审核的结果、场所的数量/规模/地理位置/多场

44、所的情形、电子商务活动涉及的商品（服务）类型、电子商务活动的访问流量及成交量、与组织的产品/过程/活动相关联的风险、是否是结合审核/联合审核或一体化审核。2 有效人有效人数数本文件以有效人数为基础来计算审核时间。在计算有效人数时，兼职人员的数量可以根据其实际工作小时数予以适当比例减少，或换算成等效的全职人员数量。3 审核时间的确定方法审核时间的确定方法 3.1 初次审核初次审核 3.1.1 初次审核（第一阶段第二阶段）时间的计算方法以表 1 为基础，基于客户的有效人数进行计算。3.1.2 表 1 中有效人数与审核时间的关系等同采用了 CNAS-CC105 的附录 A 表QMS 表 1。电商管

45、理体系是基于互联网建立在线上活动的 QMS 管理体系，具有较明显的简洁快速的行业管理特点，通常组织的管理流程清晰、管理层级较少、资源设施较少、供应链的部分活动外包、部分的管理活动信息可以直接通过网络获取，因此 ECMS 审核时间是在 CNAS-CC105 的基础上考虑电商管理的特点进行调整，为表 1 规定值的 70%。3.1.3 表 1 中的审核时间包括：非现场审核时间和现场审核时间，考虑到电商企业的特点，机构可以使用远程审核方式获取电商体系运行的部分数据和信息，如：电商网站上的营销信息、产品销售信息、客户投诉信息及第三方平台提供的相关数据（可行时）等。因此，可以根据实际情况考虑使用非现场审核

46、时间，但是不宜使现场审核时间少于 ECMS 审核时间的 60%，且最低不得低于 1 个人日。3.2 监督审核和再认证监督审核和再认证考虑目前电子商务行业处于发展之中，在认证周期内获证客户受到各种因素影响而发生变化的可能性比较大，因此对于电商管理体系，监督审核时间不宜低于初审的 70%，再认证的审核时间宜同初审。CNAS-SC178 第 16 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施 3.3 调整审核时间的考虑因素调整审核时间的考虑因素 3.3.1 根据表 1 确定了所需审核时间的基础数值后，还需考虑不同组织之间的差异性，这些差异可能影响

47、到为实施一个有效的电子商务管理体系审核所需的实际审核时间，应根据所识别的差异进行必要的增加或减少调整。在调整审核时间时，需考虑电商活动复杂程度（表 2）和销售产品的风险（表 3）对审核时间的影响，结合两个方面的因素对整体审核时间作出调整，具体调整方法见电商活动复杂程度、销售产品风险与审核时间的关系（表 4）。3.3.2 在考虑各类因素减少审核时间时，减少的比例不应超过 ECMS 审核时间的30%，且最低现场审核时间不得低于 1 个人日。表表 1：有效人数与审核时间的关系（仅适用于初次审核）：有效人数与审核时间的关系（仅适用于初次审核）有效人数有效人数审核时间审核时间第第一阶段第二阶一阶段第

48、二阶段（天）段（天）有效人数有效人数审核时间审核时间第第一阶段第二阶一阶段第二阶段（天）段（天）1-5 1.5 626-875 12 6-10 2 876-1175 13 11-15 2.5 1176-1550 14 16-25 3 1551-2025 15 26-45 4 2026-2675 16 46-65 5 2676-3450 17 66-85 6 3451-4350 18 86-125 7 4351-5450 19 126-175 8 5451-6800 20 176-275 9 6801-8500 21 276-425 10 8501-10700 22 426-625 11 1

49、0700 遵循上述递进规律 3.4 多场所审核时间认证机构分配给每个场所的审核时间宜与审核组在该场所需完成的审核活动相匹配。通常，每个场所的审核宜不少于 0.25 个人天，且每个场所的审核时间不含审核员的旅途时间。CNAS-SC178 第 17 页共 18 页 2020 年 12 月 31 日发布 2021 年 01 月 01 日实施表表 2：电子商务活动复杂程度：电子商务活动复杂程度高高经营多个电商平台；组织或电商平台使用多于一种的语言（需要翻译或妨碍单个审核员独立工作）；组织的电商活动在多个平台或渠道，开展不同类型的服务活动（至少 5 个以上平台或渠道）；同比组织销售产品类别

50、多、交易量高和销售量大；组织雇佣大量临时的客服或配送人员；组织自有金融支付管理活动；组织所使用的第三方平台未进行实地验厂或认证；组织具有多场所活动；组织曾经在官方或第三方的服务质量调查并存在负面信息公开。中中组织的电商活动在多个平台和多个渠道开展，开展相关类型的服务活动；组织或电商平台使用一种或多种的语言（需要翻译或妨碍单个审核员独立工作）；组织销售的产品由第三方配送或仓储或运输；同比组织销售产品类别一般、销售量中等。低低组织的电商活动在单个平台和单个渠道开展；组织或电商平台使用一种语言；组织销售的产品由第三方配送和仓储运输；组织的活动对于本标准要求存在不适用的内容（删减）；组织仅销售自己

展开阅读全文