CNAS-CC51：2014 软件过程及能力成熟度评估机构通用要求.pdf

资源描述

1、 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 CNAS-CC51 软件过程及能力成熟度评估机构软件过程及能力成熟度评估机构通用要求通用要求 General requirements for Software Process and Capability Maturity Assessment Bodies 中国合格评定国家认可委员会 CNAS-CC51:2014 第 1 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施目目次次 1 范围.2 2 规范性引用文件.2 3 术语和定义.2 4 通用要求.3 4

2、.1 法律和合同事项.3 4.2 公正性管理.4 4.3 责任和财力.5 4.4 非歧视性条件.5 4.5 保密性.6 4.6 可公开获取的信息.6 5 结构要求.6 5.1 组织结构和最高管理层.6 5.2 维护公正性的机制.7 6 资源要求.8 6.1 评估机构的人员.8 6.2 总则.8 6.3 评估的资源.9 7 过程要求.10 7.1 总则.10 7.2 申请.10 7.3 申请评审.10 7.4 评估.11 7.5 复核.11 7.6 评估决定.11 7.7 评估文件.11 7.8 获证组织名录.12 7.9 监督.12 7.10 影响评估的变更.12 7.11 评估的终止、缩小、

3、暂停或撤销.13 7.12 记录.13 7.13 投诉和申诉.14 8 管理体系要求.14 8.1 总则.14 8.2 管理体系文件.14 8.3 文件控制.14 8.4 记录控制.15 8.5 管理评审.15 8.6 内部审核.16 8.7 纠正措施.16 8.8 预防措施.16 CNAS-CC51:2014 第 2 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施软件过程及能力成熟度评估机构通用要求软件过程及能力成熟度评估机构通用要求 1 范范围围本文件包含了对软件过程及能力成熟度评估机构（以下简称为评估机构）的能力、一致性运作和公正性的

4、要求。评估是一种第三方的合格评定活动（GB/T27000-2006的5.5）。2 规范性引用文件规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 27000 合格评定词汇和通用原则 GB/T 27021 合格评定管理体系审核评估机构的要求 GB/T 27065 产品、过程和服务认证机构要求 GB/T 20000.1-2002标准化工作指南第1部分：标准化和相关活动的通用词汇 SJ/T 11234-2001软件过程能力评估模型 SJ/T 11235-2001软

5、件能力成熟度模型国认可联200249号关于发布软件过程及能力成熟度评估指南(试行稿)的通知 ISO/IEC 17065:2012合格评定对认证产品、过程和服务机构的要求 3 术语和定义术语和定义 GB/T27000给出的以及下列术语和定义适用于本文件。3.1 软件过程及能力成熟度评估依据SJ/T 11234-2001或SJT/11235-2001，对软件组织的一个或多个过程进行的评价活动。根据其目的不同，分为内部过程改进评估和顾客选择评估两种模式。3.2 内部过程改进评估以内部过程改进为目的，委托评估机构，对组织内部软件过程能力进行的评估。注:评估前，评估机构可根据评估委托方的要求向

6、被评估组织提供咨询，并且可以有被评估组织的人员参加到评估组中，使评估活动更有效地发挥促进内部过程改进的作用。3.3 顾客选择评估以选择软件产品或服务的供方为目的，由需方委托评估机构，组织独立的评估组，对供方的软件过程能力进行的评估。注：当需方（顾客）需要获取某种软件或者服务时，为了能客观地了解候选供方的软件开发和管理能力，委托第三方评估机构根据其需求，对候选供方的软件过程能力或CNAS-CC51:2014 第 3 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施成熟度进行评估。评估机构向顾客提供评估结果，为顾客对供方建立信任提供客观依据。3.

7、4 客户有责任向评估机构确保满足评估要求（3.7）包括服务要求（3.8）的组织或个人注：若无特别说明，则本文件中使用的术语“客户”既适用于“申请人”也适用于“客户”。3.5 咨询对下列活动的参与 a)获证或拟评估的过程的设计、实施、操作或维护；或 b)获证或拟评估的服务的设计、实施、提供或维护注：在本文件中，术语“咨询”是指涉及评估机构、评估机构的人员以及与评估机构有关联的组织的活动。3.6 评估机构实施评估活动的第三方合格评定机构。注：评估机构可以是非政府的或政府的（具有或不具有监管权利）。3.7 公正性客观性的表现注1：客观性意味着利益冲突不存在或者已解决，从而不会对评估机构

8、的活动产生不利影响。注2：表述公正性要素的其他术语有：独立、无利益冲突、没有成见、没有偏见、中立思想开明、不偏不倚、不受他人影响、均衡。4 通用要求通用要求 4.1 法律和合同事项法律和合同事项 4.1.1 法律责任评估机构应是一个法律实体，或一个法律实体内明确界定的一部分，以便该法律实体能够对其所有评估活动承担法律责任。注：政府的评估机构基于其政府地位而被视为法律实体。4.1.2 评估协议 4.1.2.1 评估机构应有为客户提供规定评估活动的具有法律约束力的协议。评估协议应考虑评估机构及其客户的责任。4.1.2.2 评估机构应确保其评估协议要求客户至少遵守：a)始终满足评估要求，包括当收到

9、评估机构的通知时做出适当变更；b)客户为下列事项做出所有必要的安排：1)实施评估和监督（若需要），包括审查文件和记录，访问相关设备、场所、区域、人员及客户的分包方；2)投诉的调查；CNAS-CC51:2014 第 4 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 3)适用时，观察员的参与。c)客户有关评估的声明与评估范围一致；d)客户不得以损害评估机构声誉的方式使用评估的结果，不得做出使评估机构认为可能误导或未经授权的有关评估的声明；e)当评估证书暂停、撤销或终止时，评估结果的已升级或降级时，客户应停止使用包含原评估证书内容的所有广告，采取评

10、估机构要求的措施（如交回评估文件）以及其他需要的措施。f)如果客户将评估文件的副本提供给其他人，文件应被完整地复制或者按照规定复制；g)在文件、宣传册或广告等传播媒介中涉及到评估内容时，应遵守评估机构的要求；h)客户遵守与符合性标志的使用的任何要求；i)客户保存已知的与评估要求符合性有关的所有投诉记录，并在评估机构要求时提供，以及 1)对这些投诉以及发现的影响评估要求符合性的任何缺陷，采取适当的措施；2)将所采取的措施形成文件。j)当发生了可能影响满足评估要求的能力的变更，客户及时通知评估机构：注：变更的例子包括：-法律、商业、组织的状况或所有权的变更；-组织和管理层的变更（如：主要的管理、决

11、策或技术人员变更）；-联系地址和提供场地；-质量管理体系的重要变更。4.1.3 证书和符合性标志的使用 4.1.3.1 评估机构应按照评估的规定对证书、符合性标志的所有权、使用和展示进行控制。4.1.3.2 对在文件或其他宣传中对评估结果的不正确引用，或对证书、标志及任何表明已获评估结果的误用，应采取适当的措施。注：这类措施包括纠正措施、撤销证书，发布违规通告，以及必要时的法律措施。4.2 公正性管理公正性管理 4.2.1 评估活动应公正地进行。4.2.2 评估机构应对评估活动的公正性负责，不允许有任何来自商业、财务或其他方面的压力损害公正性。4.2.3 评估机构应持续地进行公正性风险识别。这

12、些风险源于其自身的活动或各种关系，或者源于其人员的各种关系，尽管这些关系不一定给评估机构带来公正性风险。CNAS-CC51:2014 第 5 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施注：给评估机构公正性带来风险的关系可能源于所有权、管理方式、管理层、人员、共享资源、财务、合同、营销（包括品牌）以及给介绍新客户的人佣金或其他好处等。4.2.4 当识别出了公正性风险，评估机构应能够证实如何消除或最大限度减小此类风险。4.2.5 评估机构最高管理层应对公正性做出承诺。4.2.6 评估机构和其在同一法律实体下的任何部分以及在其组织控制下的实体不

13、应：a)是获证过程的设计者、实施者、操作者或维护者；b)是获证服务的设计者、实施者、提供者或维护者；c)主动或被动地为其客户提供咨询；注1：这不排除在评估机构与其客户之间可能发生的信息交换（例如：解释检查发现或阐明要求）；注2：4.2.6中C条适用顾客 4.2.7 评估机构应确保与其直接关联或与其附属机构有关联的其他法律实体的活动不损害其评估活动的公正性。4.2.8 当4.2.7中的其他的法律实体提供相关服务（包括拟评估的服务）或提供咨询时，评估机构的管理人员、复核和评估决定人员不应参与该法律实体的活动。该法律实体的人员不应参与评估机构的管理、复核和评估决定。4.2.9 评估机构活动的营销和报

14、价不应与咨询机构的活动相关联。评估机构不应宣称或暗示选择某咨询机构将使评估更为简单、容易、迅速或廉价。4.2.10 在评估机构规定的期限内，提供过咨询的人员不应从事对该评估的复核和评估决定。注：可在评估中规定期限，如果由评估机构规定，期限应该足够长，以确保不影响复核和评估决定的公正性。通常规定为两年。4.2.11 评估机构应采取措施，以应对已知的来源于其他人员、机构或组织的行为所产生的公正性的风险。4.2.12 评估机构中可能影响评估活动的所有人员（外部或内部）或委员会，均应公正地行使职责。4.3 责任和财力责任和财力 4.3.1 评估机构应做好充分的安排（例如：保险或储备金）以承担由于运作引

15、发的责任。4.3.2 评估机构应保持财务状况稳定，并且应具备运作所需的资源。4.4 非歧视性条件非歧视性条件 4.4.1 评估机构运作所遵循的方针和程序以及对它们的管理应是非歧视性的。除非本文件规定，否则程序不应妨碍或阻止申请人申请。CNAS-CC51:2014 第 6 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 4.4.2 对于其活动在评估机构运作范围内的所有申请人，评估机构的服务都应开放。4.4.3 不应以客户的规模、某一协会或团体的成员、已颁发证书的数量作为实施评估的限制条件。不应含有任何不恰当的财务或其他条件。注：当存在一些原则性的

16、或明显的理由时,例如客户参与非法活动，或以往有重复发生不符合评估要求及类似情况时，评估机构可以婉拒其评估申请或维持评估合同。4.4.4 评估机构应将与要求、评估、复核、决定和监督有关的事项限定在评估范围内。4.5 保密性保密性 4.5.1 评估机构应通过具有法律约束力的承诺，对从事评估活动时获得或产生的所有信息的管理负责。除客户自己公开的或机构与客户之间商定（如为应对投诉）的信息外，所有其他信息均应视为专有信息并应视为保密信息。评估机构拟向公众公开保密信息时，应提前通知客户。4.5.2 当评估机构根据法律要求或合同安排需要提供上述保密信息时，评估机构应将提供的信息通知有关客户或个人，除非法律限

17、制。4.5.3 从客户以外其他来源（如投诉者、监管机构）获得的关于客户的信息应按保密信息处理。4.6 可公开获取的信息可公开获取的信息评估机构应（通过出版物、电子媒介或其他方式）保存和根据请求提供下列信息：a)有关（或涉及）评估的信息，包括评估程序，批准、保持、范围扩大或缩小、升级、降级、暂停、撤销或拒绝评估的规则和程序；b)评估机构获得财力支持方式的描述以及向申请人和客户收取费用的一般信息；c)申请人与客户的权利和义务的描述信息，包括使用评估机构名称和评估标志以及评估结论引用方式的要求、约束或限制；d)有关处理投诉和申诉程序的信息。5 结构要求结构要求 5.1 组织结构和最高管理层组织结构

18、和最高管理层 5.1.1 评估活动应从结构和管理上保证公正性。5.1.2 评估机构应将其组织结构形成文件，并明确管理层和其他评估人员及各委员会的任务、责任和权力。当评估机构是一个法律实体内明确界定的一部分时，这种结构应包括评估机构的权力界线和与同一法律实体内其他部分的关系。5.1.3 评估机构的管理层应确定对下列各项具有全部权力和责任的委员会、小组或个人：a)制定有关评估机构运作的方针；CNAS-CC51:2014 第 7 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 b)监督方针和程序的实施；c)监督评估机构的财务；d)开发评估活动；e)制

19、定评估要求；f)评估；g)复核；h)评估决定；i)需要时，授权委员会或人员代表管理层开展规定的活动；j)合同安排；k)为评估活动提供充分的资源；l)回应投诉和申诉；m)人员能力要求；n)评估机构的管理体系。5.1.4 评估机构应有关于参与评估过程的任何委员会的任命、权限和运作的正式规则。这种委员会应免受来自商业、财务和其他可能影响决定的压力。评估机构应保留任命和撤销委员会成员的权力。5.2 维护公正性的机制维护公正性的机制 5.2.1 评估机构应有一个维护公正性的机制，该机制应为机构管理提供以下方面的输入：a)与评估活动的公正性有关的方针和原则；b)评估机构出于商业或其他考虑而妨碍一致公正地提

20、供评估活动的任何倾向；c)影响评估的公正性、保密性等事项，包括信息公开；注1：该机制可被赋予其他任务或职责（例如参与做决定的过程），其前提是这些增加的任务或职责不得损害其确保公正性的基本作用。注2：该机制可以是由一家或多家评估机构组建的委员会、某个政府部门或类似团体。5.2.2 应将该机制形成正式的文件以确保：a)重要利益相关方均衡，以使任一利益方不处于支配地位（评估机构的内部或外部人员视为一个利益方，且不应居支配地位）；b)获取所有必要的信息以使其能够履行所有职能。5.2.3 如果评估机构的最高管理层不采纳该机制提出的意见和建议，则该机制应有权独立采取措施（如报告主管部门、认可机构或利益相关

21、方）。在采取适当措施时，应尊重与客户和评估机构相关的保密要求。不宜采纳与评估机构运行程序或其他强制性要求相冲突的意见和建议。管理层宜将不采纳的理由形成文件，并保存以备适当的人员审查。CNAS-CC51:2014 第 8 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 5.2.4 虽然这一机制不能代表所有利益方，但是评估机构应识别并邀请重要的利益方。注：利益方可能包括评估机构的客户，客户的顾客、供方和用户，合格评定专家，行业协会代表，政府监管机构或其他政府部门的代表及非政府组织（包括消费者组织）的代表。6 资源要求资源要求 6.1 评估机构的人员

22、评估机构的人员 6.2 总则总则 6.2.1.1 评估机构应聘用或有途径获得足够数量的人员，以支撑其与评估、适用的标准及其它规范性文件相关的运行。注：人员包括为机构工作的正式人员，也包括通过签订合同或协议使其置于评估机构管理控制及体系和（或）程序内的人员。6.2.1.2 这些人员应有能力履行职责，包括根据需要做出技术判断、确定方针并加以实施。6.2.1.3 除非法律或评估有要求，无论委员会成员、外部机构人员或代表评估机构利益的人员，对评估活动过程中获得的或产生的所有信息都应保密。6.2.2 参与评估过程的人员能力管理 6.2.2.1 评估机构应建立、实施并维护对参与评估过程的人员能力进行管理的

23、程序。该程序应要求评估机构：a)确定评估过程中每项职能所需人员能力的准则；b)识别培训需求，必要时提供有关对评估过程、要求、方法、活动和其他有关评估要求的培训方案；c)证实这些人员具备承担任务和责任所需的能力；d)为评估过程中履行职能的人员正式授权；e)监视人员绩效。6.2.2.2 评估机构应保存参与评估过程人员的下列记录：a)姓名和地址；b)所在单位及职位；c)学历及专业状况；d)经历和培训；e)能力评价；f)绩效监视；g)在评估机构内具有的权限；h)每项记录的最新更新日期。6.2.3 与人员签约 CNAS-CC51:2014 第 9 页共 17 页 2014 年 10 月 01 日发布

24、 2015 年 01 月 01 日实施评估机构应要求参与评估过程的人员与其签署合同或其他文件，以做出下列承诺：a)遵守由评估机构确定的规则，包括与保密性和独立于商业和其他利益有关的规则；b)在被安排进行评估时，声明以前和（或）现在本人或其雇主与如下各方的关系：1)服务的提供方或开发方，或 2)过程的作业方或开发方 c)告知了解的可能导致其本人或评估机构发生利益冲突的任何情况。注：评估机构应根据这些信息，来识别由这类人员或雇用他们的组织的活动引发的公正性风险。6.3 评估的资源评估的资源 6.3.1 内部资源评估机构进行评估活动时，无论使用内部资源还是其直接控制的其它资源，均应满足相关标准

25、的适用要求。相关标准中规定的对评估人员公正性的要求始终都应适用。6.3.2 外部资源（外包）6.3.2.1 评估机构只应将评估活动外包给那些满足相关标准适用要求的机构。相关标准中规定的对评估人员公正性的要求始终都应适用。注1：外部资源可包括其他评估机构。评估机构按照合同使用外部人员不属于外包。注2：在本文件中，“外包”和“分包”被认为是同义词。6.3.2.2 评估活动外包给非独立机构时，评估机构应确保评估活动得到管理，这种管理的方式能提供可信任的结果，且有记录证实这种信任。6.3.2.3 评估机构应与提供外包服务的机构签署具有法律约束力的协议，包括保密性条款和利益冲突条款。6.3.2.4 评估

26、机构应：a)对外包给其他机构的所有活动负责；b)确保提供外包的机构及其使用的人员的参与（直接的或通过任何其他雇主）不能影响评估结果的可信性；c)对提供用于评估活动的外包机构的资格、评价和监视都有形成文件的方针、程序和记录；d)保存获得批准的外包机构清单；e)对已知的任何违反协议和其他规定要求的行为采取纠正措施；f)外包活动前通知客户，以给客户一个提出异议的机会。CNAS-CC51:2014 第 10 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施注：如果对外包机构的资格认定、评价和监视由其他组织（如认可机构、同行评审机构或政府部门）实施，只要

27、满足以下条件，评估机构就可以考虑采信这些资格认定或监视结果：范围与承担的工作相符；按照评估机构确定的周期对资格、评价和监视安排的有效性进行核实。7 过程要求过程要求 7.1 总则总则 7.1.1 评估机构实施评估的依据为SJ/T 11234-2001或SJ/T 11235-2001。7.1.2 对软件组织的一个或多个过程进行的评价活动，根据其目的不同，分为内部过程改进评估和顾客选择评估两种模式。7.1.3 对不同的评估模式，如需要进行解释，应由相关的、公正的和具备必要技术能力的人员或委员会做出。在有请求时，评估机构应予提供。7.2 申请申请对于评估申请，评估机构应获取所有必要信息。注1：必要

28、信息的例子如下：拟评估的范围、级别、模型；客户寻求的评估所依据的标准和（或）其他规范性文件；客户的基本特征，包括名称、实际位置、过程和运作的重要方面（如果相关评估有要求），以及任何相关的法律义务；与申请评估范围相关的客户的基本信息，比如客户的活动；人力与技术资源；以及适用时，其在一个较大集团中的职能和关系；客户使用的对要求符合性有影响的所有有关的外包过程的信息；相关评估要求所需的其他信息，如初始评估和监督活动的信息，评估服务的提供地点、联系人等。注2：可用多种媒介和方式在不同时间收集这种信息，包括申请表。收集这些信息可与签署具有法律约束力的协议（评估协议）同时进行，也可分开进行。7.3 申请评

29、审申请评审 7.3.1 评估机构应对所获得的信息进行评审以确保：a)评估过程所需的客户信息和服务信息是充分的；b)评估机构和客户之间任何已知的理解上的分歧已经得到解决，包括在相关标准或规范性文件方面达成一致；c)评估的范围和级别得到确定；d)实施所有评价活动的方法是可行的；e)评估机构有能力并能够实施评估活动；CNAS-CC51:2014 第 11 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 7.3.2 如果评估机构缺乏能力开展需要其进行的评估活动，评估机构应婉拒开展这一特定的评估。7.3.3 如果评估机构根据其已经批准的该客户的相关评估结

30、果省略任何活动，评估机构应把对已有的评估结果的引用保存在记录中。如客户要求，评估机构应提供省略这些活动的理由。7.4 评估评估 7.4.1 评估机构应制定一个评估活动计划，以做出必要的安排。7.4.2 利用评估机构内部资源进行的各项评估任务应由评估机构指派人员去执行。注：外包任务通常由外包方指派的人员去完成。这种人员一般不由评估机构指派。7.4.3 评估机构应确保可获得执行评估任务必须的所有信息和（或）文件。7.4.4 评估机构应按评估计划完成利用内部资源进行的评估活动和管理外部资源。应依据评估范围覆盖的要求提供评估服务。7.4.5 评估机构应只采信本次评估申请之前完成的与评估相关的评估结果，

31、在这种情况下，评估机构应对评估结果负责，并且证明实施评估的机构满足相关的要求。7.4.6 评估机构应将所有的评估发现（包括：强项、弱项和改进项）告知客户。7.4.7 复核之前，所有评估活动的结果应形成文件。注：这些文件可以为确定评估要求是否得到满足提供意见。7.5 复核复核 7.5.1 评估机构应指派至少一人复核与评估相关的所有信息和结果。复核应由未参与评估过程的人员进行。7.5.2 除非复核和评估决定由相同的人一并做出，否则应将基于复核的评估决定的建议形成文件。7.6 评估决定评估决定 7.6.1 评估机构应对其评估决定负责并保留评估决定权。7.6.2 评估机构应指派至少一人根据评估、复核以

32、及其他相关的所有信息做出评估决定。评估决定应由未参与评估过程的一个人或一组人（如委员会）完成。注：复核和评估决定可由同一个人或同一组人一并完成。7.6.3 由评估机构指派做出评估决定的人员应受雇或受聘于：-评估机构；-评估机构组织控制下的一个实体。注：做出评估决定的委员会成员除外。7.6.4 受雇或受聘于组织控制下实体的人员与受雇或受聘于评估机构的人员一样，应满足本文件的相同要求。7.6.5 评估机构应将未通过评估的决定通知客户，并应说明该决定的理由。注：如果客户表示愿意继续评估过程，评估机构应重新开始评估过程。7.7 评估文件评估文件 CNAS-CC51:2014 第 12 页共 17 页

33、 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 7.7.1 评估机构应给客户提供正式的评估文件，明确表达或能够辨识以下信息：a)评估机构的名称和地址；b)获证日期（该日期不应早于完成评估决定的日期）；c)客户名称和地址；d)评估范围、等级、模型；e)评估证书有效期或终止日期；f)评估要求的任何其他信息。7.7.2 正式的评估文件应包括评估机构指定的负责人的签名或其他授权签署。注：在评估机构备案的负责签署评估文件的人员的姓名和职位，是一种除签名之外的“授权”的例子。7.7.3 正式的评估文件应仅在下列事项完成之后或同时颁发：a)批准或扩大评估范围、升降级的决定已

34、经做出；b)评估要求得到满足；c)评估协议已经完成和（或）签署。7.8 获证组织名录获证组织名录评估机构应保存获证组织的信息，至少包括：a)客户识别信息。b)评估用的标准和其他规范性文件应规定那些需要在名录中公开或在有要求时提供（通过出版物、电子媒体或其他方式）的信息。至少评估机构应当在有要求时提供该评估的有效状态。7.9 监督监督 7.9.1 评估机构应对被评估组织进行监督评估。7.9.2 评估机构应有形成文件的程序，以便能按照相应的评估制度的适用准则对被评估组织进行监督。监督评估应包括现场评估，特殊情况下不能进行现场评估的，应有相关的文件说明。在评估证书3年有效期内，至少应进行一次监督评

35、估，监督周期不超过18个月。7.9.3 评估机构应将其监督活动形成文件。7.9.4 应建立监督机制，对评估标志的使用进行定期的监督，以确保符合规定的要求。7.10 影响评估的变更影响评估的变更 7.10.1 当评估标准或相关文件产生变更并对客户产生影响时，评估机构应确保这些变更能通知到所有客户，评估机构应验证其客户针对这些变更所采取的措施。注：通过与客户的合同安排来确保这些要求的实施是必要的。7.10.2 评估机构应考虑其他对评估有影响的变更，包括由客户引发的变更，并决定采取适宜的措施。CNAS-CC51:2014 第 13 页共 17 页 2014 年 10 月 01 日发布 2015

36、年 01 月 01 日实施注：影响评估的变更可能包括评估完成后得到的与满足评估要求有关的新的信息。7.10.3 必要时，对实施影响评估的变更所采取的措施，应包括：评估；复核；决定；颁发修订后的正式评估文件以扩大或缩小评估范围；颁发修订后监督活动的评估文件（适用时）。7.11 评估的终止、缩小、暂停或撤销评估的终止、缩小、暂停或撤销 7.11.1 当监督或其他活动的结果证实存在不满足评估要求的评估发现时，评估机构应考虑并确定适宜的措施。注：适宜的措施可能包括：a)在评估机构规定的条件（如：增加监督）下保持评估；b)缩小评估范围；c)在客户采取补救措施前暂停评估资格；d)撤销评估。7.11.2

37、如果终止（应客户要求）、暂停或撤销评估，评估机构应按照规定采取措施，并对正式评估文件、公布的信息、标志使用的授权等做出所有必要的更改，以确保没有任何信息显示该服务仍持续获得评估。如果缩小评估范围，评估机构应按照规定采取措施，并应对正式评估文件、公布的信息、标志的使用授权等做出所有必要的更改，以确保缩小的评估范围被清晰地传达到客户，并在评估文件和公布的信息中清晰地描述。7.11.3 如果暂停评估，评估机构应指定一个或多个人员向客户说明和沟通以下信息：为结束暂停和恢复评估所需采取的措施；评估要求的任何其他措施。这些人员应具备处理暂停所有方面的知识和理解的能力。7.11.4 如果暂停后恢复评估，评

38、估机构应对正式的评估文件、公布的信息、标志使用的授权等进行所有必要的修改，以确保表明服务仍保持评估的状态。如果恢复评估的条件是做出缩小评估范围的决定，则评估机构应对正式的评估文件、公布的信息、标志使用的授权等进行所有必要的修改，以确保缩小的评估范围被清楚地传达到客户，并在评估文件和公布的信息中清晰地描述。7.12 记录记录 7.12.1 评估机构应保存记录以证明所有评估过程要求均得到满足。7.12.2 评估机构应将记录保密。运输、传递和移交记录的方式应确保其保密性。7.12.3 记录保存期限应至少为当前评估周期加上前一个评估周期。CNAS-CC51:2014 第 14 页共 17 页 201

39、4 年 10 月 01 日发布 2015 年 01 月 01 日实施注：在确定保存时限时，还可考虑法律规定和相互承认的协定。7.13 投诉和申诉投诉和申诉 7.13.1 评估机构应对投诉和申诉的接收、评价和做出决定的过程形成文件。评估机构应跟踪并记录投诉和申诉，以及为解决投诉和申诉所采取的措施。7.13.2 当接到投诉或申诉时，评估机构应及时确认投诉或申诉是否与其负责的评估活动相关。如果相关，则应进行处理；7.13.3 评估机构应告知已收到正式的投诉或申诉。7.13.4 评估机构应负责收集和验证所有必要的信息（尽可能）以推进投诉或申诉的解决。7.13.5 对解决投诉或申诉决定的做出复核和

40、批准，应由与被投诉和申诉的评估活动无关的人员来执行。7.13.6 为确保没有利益冲突，曾为客户提供过咨询或曾被客户聘用过的人员（包括承担管理职责的人员），在结束咨询或聘用关系两年之内，评估机构不应派其对投诉或申诉的解决进行复核或批准。7.13.7 只要可能，评估机构应将投诉处理结果和过程终止正式通知投诉人。7.13.8 评估机构应将申诉处理结果和过程终止正式通知申诉人。7.13.9 为解决投诉或申诉，评估机构应采取所需的后续措施。8 管理体系要求管理体系要求 8.1 总则总则评估机构应建立并保持一个能持续满足本文件要求的管理体系。8.2 管理体系文件管理体系文件 8.2.1 评估机构最高管理

41、层应制定方针和目标、形成文件并以满足本文件评估的要求，评估机构最高管理层还应确保方针和目标在评估机构组织的所有层面上得到理解和实施。8.2.2 评估机构最高管理层应对建立和实施管理体系及其持续满足本文件的有效性的承诺提供证据。8.2.3 评估机构最高管理层应任命一名具有以下职责和权力的管理层成员，无论其是否具有其他职责：a)确保管理体系所需的过程和程序得到建立、实施和保持；b)向最高管理层报告管理体系的绩效及任何改进需求。8.2.4 管理体系文件应包括、引用或关联与满足本文件要求相关的所有文件、过程、系统、记录等。8.2.5 评估活动涉及的所有人员应能获得与其职责相应的管理体系文件和相关信息。

42、8.3 文件控制文件控制 CNAS-CC51:2014 第 15 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 8.3.1 评估机构应建立程序以控制与满足本文件要求的相关文件（内部和外部的）。8.3.2 该程序应规定下列方面所需的控制：a)文件发布前，对其适宜性进行批准；b)对文件进行复审和必要的更新，并再次批准；c)确保文件的更改和现行修订状态得到识别；d)确保在使用场所可获得适用文件的有关版本；e)确保文件保持清晰和易于识别；f)确保外来文件得到识别，其分发得到控制；g)防止作废文件的非预期使用，并在因故保留作废文件时，对其做出适当的标识

43、。注：文件可采用任何媒介形式或类型。8.4 记录控制记录控制 8.4.1 评估机构应建立程序，以规定与本文件实施有关的记录的标识、贮存、保护、检索、保存期限和处置所需的控制。8.4.2 评估机构应建立程序以明确与其合同、法律责任相一致的记录保存期限。对这些记录的查阅应与保密安排相一致。8.5 管理评审管理评审 8.5.1 总则 8.5.1.1 评估机构最高管理层应建立程序，按策划的时间间隔对管理体系进行评审，以确保管理体系（包括所制定的与符合本文件要求有关的方针和目标）的持续适宜性、充分性和有效性。8.5.1.2 管理评审应至少每年进行一次。也可以把一次完整的管理评审在12个月内分阶段进行。应

44、保存管理评审记录。8.5.2 评审输入管理评审的输入应包括以下有关信息：a)内部审核和外部审核的结果；b)来自于客户和利益相关方的有关满足本文件的反馈；c)来自维护公正性机制的反馈；d)预防措施和纠正措施的状况；e)以往管理评审的后续措施；f)目标的实现；g)可能影响管理体系的变更；h)申诉和投诉。8.5.3 评审输出管理评审的输出应包括以下有关决定和措施：a)管理体系及其过程有效性的改进；CNAS-CC51:2014 第 16 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 b)与满足本文件要求有关的评估机构的改进;c)资源需求。8.6

45、内部审核内部审核 8.6.1 评估机构应建立内部审核程序，以证实评估机构满足本文件要求，并有效地实施和保持了管理体系。注：GB/T19011为实施内部审核提供了指南。8.6.2 评估机构应对内部审核进行策划，并在策划中考虑拟审核过程和区域的重要程度以及以往审核的结果。8.6.3 内部审核通常应每12个月至少进行一次，或在12个月内分段（或滚动）完成。改变（减少或恢复）内部审核频次或完成内部审核的时间框架的决定过程应形成文件并得到遵守。这种改变应基于管理体系的相对稳定和持续有效。改变内部审核频次或完成内审的时间框架的决定以及改变的理由应形成记录，并予以保留。8.6.4 评估机构应确保：a)内部审

46、核由具备评估、审核和本文件要求知识的人员实施；b)审核员不审核自己的工作；c)将审核结果告知受审核区域的负责人员；d)根据内部审核结果及时地采取适当措施；e)识别任何改进的机会。8.7 纠正措施纠正措施 8.7.1 评估机构应建立程序，以识别和管理其运作中的不符合。8.7.2 必要时，评估机构还应采取措施消除不符合的原因，以防止其再发生。8.7.3 纠正措施应与所遇到问题的影响程度相适应。8.7.4 纠正措施的程序应明确以下要求 a)识别不符合（例如：来自投诉和内部审核）；b)确定不符合的原因；c)纠正不符合；d)评价确保不符合不再发生的措施的需求；e)及时确定和实施所需的措施；f)记录所采取措施的结果；g)评价纠正措施的有效性。8.8 预防措施预防措施 8.8.1 评估机构应建立程序，采取预防措施以消除潜在不符合的原因。8.8.2 采取的预防措施应与潜在问题的可能影响程度相适应。8.8.3 预防措施程序应明确下列要求：a)识别潜在的不符合及其原因；b)评价防止不符合发生的措施的需求；CNAS-CC51:2014 第 17 页共 17 页 2014 年 10 月 01 日发布 2015 年 01 月 01 日实施 c)确定和实施所需的措施；d)记录所采取措施的结果；e)评审采取的预防措施的有效性。注：纠正措施程序和预防措施程序不必分别制定。

展开阅读全文