合格评定技术与标准.doc

合格评定技术与标准GB/T2700127005-2011合格评定五项基本要素主讲人：认可中心 史新波2012年5月目录课程概况1合格评定2五项基本要素为什么这五项要素是合格评定活动共同的基本要素2五项标准相同部分4什么是公正性5为什么保持公正性6怎样保持公正性满足要求7如何编写公正性要求9合格评定信息分类（保密与公开角度）9信息保密及要求10哪些信息需要保密10为什么要保密10如何实现保密10如何编写保密性要求11信息公开要求11那些信息需要公开11为什么需要公开11如何进行公开11如何编写公开要求12信息保密和公开的均衡性管理13什么是投诉和申诉13为什么要重视投诉和申诉的处理工作14怎样处理好投诉和申诉满足要求15如何编写投诉和申诉要求16什么是管理体系（质量管理体系）17为什么使用管理体系（质量管理体系）17怎样建立管理体系17如何编写管理体系要求19本课程主要内容一、概述（合格评定五项基本要素二、公正性 原则和要求三、保密性和信息公开 原则与要求四、投诉和申诉 原则与要求五、管理体系的使用 原则与要求一、概述（合格评定五项基本要素）1.课程概况2.合格评定（定义、分类、本质与价值）3.五项基本要素（在合格评定活动中的地位与作用）4.合格评定规范性文件（合格评定工具箱）5.五项国家标准结构及共同部分课程概况1.课程题目“合格评定技术与标准”，包含规范性文件26项（ISO/CASCO网站）国家标准（IS）13项、指南（Guide）8项、可公开获取的规范（PAS）5项。合格评定五项基本要素可公开获取的规范（PAS）5项合格评定活动5项共同的基本要素（中认协培201233号：“关于发布2012年度认证人员继续教育实施方案的通知”）2.培训对象审核员（管理体系认证）检查员（产品认证）（2011年12月31日以前所有去的中国认证认可协会注册/确认）3.课程内容讲解框架五项要素是什么五项要素重要性（为什么这5个要素时合格评定活动共同的基本要素）怎样实施五项要素如何填写五项要素的要求（不做重点）引用标准及使用示例：GB/T27021-2007ISO/IEC17065 FDIS:2012（未使用GB/T27065-2004）ISO/IEC17024 FDIS:2011（未使用GB/T27024-2003）教材合格评定系列国家标准理解与实施（四）（中国标准出版社2012年4月出版，刊号：ISBN 978-7-5066-6725机构提供案例（认可机构与2个认证机构）五项基本要素及相应国家标准GB/T27001-2011合格评定 公正性 原则和要求(ISO/PAS17001)GB/T27002-2011合格评定 保密性 原则和要求(ISO/PAS17002)GB/T27003-2011合格评定 投诉和申诉 原则和要求(ISO/PAS17003)GB/T27004-2011合格评定 信息公开 原则和要求(ISO/PAS17004)GB/T27005-2011合格评定 管理体系的使用 原则和要求(ISO/PAS17005)4.学习教材名称：GB/T2700027005-2011合格评定系列国家标准理解与实施（四）2012年4月中国标准出版社出版发行，刊号：ISBN 978-7-5066-6725国家标准化管理委员会统一宣贯教材国家认证认可监督管理委员会推荐培训教材五项国家标准中的每一条款逐一阐述五项国家标准的全文作为附录全部列入合格评定1.什么是合格评定（GB/T27000-2004 2.1）与产品、过程、体系、人员或机构有关的规定要求得到满足的证实。例如：检测、检查、认证和认可、审核合格评定对象：特定材料、产品、安装、过程、体系、人员或机构2.合格评定活动分类 第一方合格评定活动（GB/T27000-2004 2.2）由提供合格评定对象的人员或组织进行的合格评定活动 第二方合格评定活动（GB/T27000-2004 2.3）由在合格评定对象中具有使用方利益的人员或组织进行的合格评定活动 第三方合格评定活动（GB/T27000-2004 2.4）由既独立于提供合格评定对象的人员或组织、又独立于在对象中具有使用方利益的人员或组织的人员或机构进行的合格评定活动3.合格评定相关概念 合格评定机构（GB/T27000-2004 2.5）从事合格评定服务的机构注：认可机构不是合格评定机构 认可机构（GB/T27000-2004 2.6）实施认可的权威机构4.本质和价值传递信任 中国合格评定国家认可中心宗旨 传递信任 服务发展 合格评定 建立信任（国家标准化组织ISO、联合国工业发展组织UNIDO）“合格评定提供了按照相关标准、法规和其他规范评价产品和服务是否符合要求和期望的手段，及合格评定建立信任” GB/T27021-2007（管理体系认证机构要求 IDT ISO/IEC 17021:2006）4.1.2认证的总体目的是使所有相关方相信管理体系满足规定要求。4.1.2认证的价值取决于第三方通过公证、有能力的评定所建立的公信力的程度 ISO/IEC 17065 FDIS （产品、过程、服务认证机构要求）引言 产品、过程或服务认证的总体目的是向所有相关方提供产品、过程或服务符合规定要求的信心引言 认证的价值在于所建立的信心和信任的程度五项基本要素为什么这五项要素是合格评定活动共同的基本要素1.管理体系认证机构要求（GB/T27021-2007）“4.1.3建立信任的原则包括：公正性；能力；责任；公开性；保密性；对投诉的回应（另：管理体系的使用公认工具、内部机制、整合性工具）l 人员认证机构通用要求（ISO/IEC FDIS 17024-2011）“附录A 人员认证机构及其认证活动原则：A1 通用要求A2 公正性A3 能力A4 保密与公开A5 投诉和申诉的处理A6 责任（另：管理体系的使用公认工具、内部机制、整合性工具）l 产品、过程和服务认证机构要求（ISO/IEC FDIS 17005:2012）“附录A 产品认证机构及其认证活动原则：A1 通用要求A2 公正性A3 能力A4 保密与公开A5 投诉和申诉的处理A6 责任（另：管理体系的使用公认工具、内部机制、整合性工具）2.各项要素的重要性 公正性要素GB/T27001-2011（合格评定 公正性 原则和要求）4.3为增加合格评定活动在市场上的信任、信心和价值GB/T27021-2007（管理体系认证机构要求）4.2.1公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。 保密性要素GB/T27004-2011（合格评定 保密性 原则和要求）4.1为获得合格评定活动有效进行所需的信息，机构应提供确保保密性信息不被泄露的信任。4.3在合格评定活动中，对符合要求的有关信息的保密和公开之间的均衡性进行管理，能提升相关方的信任和对合格评定活动价值的认同 信息公开要素GB/T27004-2011（合格评定 信息公开 原则和要求）5a为了获得或保持对合格评定活动的信任4.1对符合要求的有关信息的保密和公开之间的均衡性进行管理，能提升相关方的信任和对合格评定活动价值的认同 投诉和申诉要素GB/T27003-2011（合格评定 投诉和申诉 原则与要求）5可以纠正和弥补错误、疏忽或不合理行为5能够保护机构及其顾客和其他合格评定使用者免受进一步的损失5可增强社会公众对合格评定活动的信心和信任 管理体系的使用要素GB/T27005-2011（合格评定 管理体系的使用 原则与要求）4.1.1管理体系是支持和确保机构及其活动持续符合要求的公认工具4.1.6管理体系是确保机构及其活动持续符合要求的内部机制4.1.6管理体系是持续满足要求的一套整合性工具 五项标准相同部分1.范围本系列标准给出了与合格评定有关的公正性/保密性/投诉和申诉/信息公开/管理体系的使用的原则和要求。适用于合格评定标准起草工作组在标准编制中对“公正性”/“保密性”/“投诉和申诉”/“信息公开”/“管理体系的施工”通用要素的阐述。不单独直接用于合格评定活动。2.规范性引用文件GB/T27000-2006合格评定 词汇和通用原则（ISO/IEC 17000:2004 IDT）3.术语和定义GB/T27000界定的术语和定义适用于本标准。本系列标准中“机构”指GB/T27000中定义的认可机构或合格评定机构4.总则合格评定的要求有不同程度的具体说明（varying degrees of specificity that ISO/CASCO working groups should consider。）本章要求的具体说明分三个层次（requirements in this clause are categorized into three levels of specificity）a）强制性：强制性要求是合格评定标准起草工作组在阐述相关要素时应采用的特定要求。除非用更具体的术语替代，否则不应修改。当合格评定标准起草工作组在处理通用要素不使用这些要求时，应给出正当的理由。例如：短语“应公正地实施合格评定活动”可以被更具体地替代为“应公正地实施管理体系认证活动”。b）推荐性：合格评定标准起草工作组在阐述相关要素，希望规范的程度更高时使用的要求。这些要求是可以修改的。c）建议性：合格评定标准起草工作组在阐述相关要素时，可以考虑的要求。强制性 obligatory推荐性recommended建议性suggested特定要求specific drafted requirements要求drafted requirement要求considerations应采用shall use使用 should use可以考虑could be taken into account不应修改without modification可以修改modification is permissible不采用应给出正当的理由Justification required，no use规范的程度更高A greater degree of specification要求分三个层次的目的： 实现对五项要素（公正性/保密性/投诉和申诉/信息公开/管理体系的使用）的一致性描述； 具体措施保留灵活性。二、合格评定 公正性 原则和要求GB/T27001-2011内容什么是公正性为什么保持公正性怎么保持公正性如何编写公正性要求什么是公正性1.定义实际存在的并被认识到的客观性（GB/T27001 5.1）（GB/T27021-2007、ISO/IEC 17024 DIS）实际存在的客观性（ISO/IEC 17065 FDIS、ISO/IEC 17024 FDIS）客观性：应理解为利益冲突不存在或已解决，不会对机构的活动产生不利影响。注：公正性的热点：客观、独立、无利益冲突、没有成见、没有偏见、中立、公平、思想开明、不偏不倚、不受他人影响、平衡。2.组成（4.1条）公正性是一个有若干部分组成的要素。这些组成部分被认为是实施合格评定活动的机构或个人的基本素质。a）客观评价：“以客观的且无偏见的方式实施合格评定活动”b）主动管理利益冲突：“识别已存在的和潜在的利益冲突，且对其主动管理以确保客观性”c）身份公正：“独立于合格评定活动的结果有利益关系的任何其他组织和个人”d）思想上重视：“意识到实施合格评定活动以及做出合格评定决定或/和证明所应承担的责任和义务”3.什么影响公正性（5.3条）对公正性的威胁包括可能源于下述情况而产生的各种偏离：a）自身利益认证收费会影响公正性吗？例如：过分依赖某服务合同或费用，担心失去客户或事业，达到影响客观性的程度to an extent that adversely affects objectivity in carrying out conformity assessment activities（5.3a条及ISO/IEC 17065 FDIS A.2.2a）依自身利益行事产生威胁（ISO/IEC 17024 FDIS A.2.3a及GB/T27021-2007 4.2.4a）客户支付的认证费用是认证机构的收入来源，也是对公正性的潜在威胁，这一点得到公认（GB/T27021-2007 4.2.2）认证机构收入来源是一种对公正性的威胁（ISO/IEC 17024 FDIS A.2.3e）b）自我审核认证咨询一条龙可以吗？例如：机构对其提供的服务如设计或咨询的结果进行评估（5.3b、27021-2007 4.2.4b、ISO/IEC 17065 FDIS A.2.2b）认证机构不应将审核外包给管理体系咨询机构，因为这一做法将对证机构的公正性构成不可接受的威胁。本条款不适用于作为签约审核员的个人。（GB/T27021-2007 5.2.8）c）偏向例如：争议或诉讼中，机构支持或反对为其客户的一方（5.3c）d）过于熟识机构或其他人员对合格评定对象过于熟悉或信赖，而不去寻找符合性证据（5.3d）例如：在管理体系合格评定中，合格评定人员和客户人员或组织的关系的发展，给合格评定活动的客观性和严谨性带来不利影响（5.3d）个人或机构对另外一人过于熟悉或信赖，为不去寻找审核证据（27021-2011 4.2.4c）考核员或机构人员与候选人之间的关系影响了其客观判断（17024 FDIS A.2.3e）问题：一位审核员总审核一家企业，可以吗？e）胁迫例如：机构或其人员受客户或其他利益方胁迫而不敢客观行事。（5.3d 27021-2007 4.2.4d 17065 FDIS A.2.2d 17024 FDIS A.2.3d）f）竞争例如：被评审公司与签约技术评审员之间的竞争（5.3d）客户与签约人员之间的竞争（17065 FDIS A.2.2d）被评审公司与评审机构所聘用的签约技术评审员所在单位存在同行竞争关系（教材）机构之间对客户的竞争。为什么保持公正性 GB/T27021-2007（管理体系认证机构要求）4.1.2认证的总体目标是使所有相关方相信管理体系满足规定要求。认证的价值取决于第三方通过公正、有能力的公信力的程度引言 本标准规定了对认证机构的要求。贯彻这些要求旨在确保认证机构以有能力的、一致和公正的方式实施管理体系认证4.2.1公正，并被认为公正，是认证机构提供可建立信任的认证的必要条件。4.2.3认证机构根据其所获得的符合（或不符合）的客观证据做出决定，且不受其他利益或其他各方的影响，对于获得和保持信任是必不可少的。 ISO/IEC17065 FDIS（产品、过程、服务认证机构要求）引言 产品、过程或服务认证的总体目的是向所有相关方提供产品、过程或服务符合规定要求的信心。认证的价值在于所建立的信心和信任的程度，这种信心和信任来源于第三方对产品、过程或服务符合规定要求进行的公正和足够的证实引言 本标准规定的要求旨在确保认证机构以有能力的、一致的和公正的方式运作认证方案。 ISO/IEC17024 FDIS（人员认证机构要求）人员认证的总体目的是承认执行某项任务或工作的人员的能力；认证机构应以值得信赖的方式运作，以便相关方信任其的能力、公正和诚信。1.增加信任、信心和价值的需要（4.3）开展合格评定活动时，为增加合格评定活动在市场上的信任、信心和价值，重要的是：a）保持客观性；b）识别、避免、减轻和管理利益冲突；c）确保独立性。2.缺乏公正性的后果（4.2）在合格评定活动中缺乏公正性，可能会导致错误的或有缺陷的合格评定行为和结果。怎样保持公正性满足要求1.通用要求（强制性） 公正地实施合格评定活动（6.2.1.1） 机构对公正性负责，不应允许商业、财务等影响（6.2.1.2） 机构持续识别公正性风险（6.2.1.3）风险可能来源：自身活动、各种关系、工作人员关系可能导致风险的关系：所有权、法人治理结构、管理层、人员、共享资源、财务、合同、营销（包括品牌），以及介绍新客户的销售佣金或其他诱发因素。 对识别的风险，机构应证明其如何消除或最大限度减小此类风险（6.2.1.4） 机构最高管理者应对公正性做出承诺（6.2.1.5）通用要求（推荐性） 机构不应向同一客户就同一合格评定对象既提供合格评定服务，同时又给予设计或咨询服务；（6.2.2.1）策划或编制手册或程序（不可以，见GB/T27021-2007 3.3）对管理体系的建立和实施提供具体的建议、指导或解决方案（不可以，见GB/T27021-2007 3.3）；提供通用信息培训（可以，见GB/T27021-2007 3.3）；问题：一个机构向一个客户同一合格评定对象提供了咨询服务，由另一机构提供合格评定服务？ 机构不应提供产生不可接受风险的服务（6.2.2.2） 如果涉及或咨询服务的提供者与机构之间的关系产生了不可接受的威胁，不应向该客户提供合格评定服务。（6.2.2.3）注1：一个特定时间间隔，为威胁降至可接受水平的一种方式例如：6.2.2.1不应对认证机构的全资子公司进行认证（GB/T27021-2007 5.2.3）认证机构及统一法律实体的任何其他部分不应提供或推荐管理体系咨询，也不应为管理体系咨询提供报价（GB/T27021-2007 5.2.5）认证机构及其所属法律实体的任何其他部分不应向获证客户提供内部审核，不应在内审后两年内对该管理体系进行认证。（GB/T27021-2007 5.2.6）认证机构不应将审核外包给管理体系咨询机构（GB/T27021-2007 5.2.8）认证机构的营销或报价不应与咨询机构的活动有联系（GB/T27021-2007 5.2.9）客户管理体系咨询的人员，咨询结束后两年内，不应对该客户进行审核或其他认证活动（GB/T27021-2007 5.2.10）审核组在审核时向受审核方进行公正性与保密承诺（某认证机构）审核组成员也要向机构进行公正性承诺（某认证机构） 合同和协议应考虑各方的责任，以确保公正性；（6.2.2.4）各方：包括机构、客户可能还有第三方（如外包方）等（教材）各方的责任应当是合理的、均衡的（教材）认证合同和申请书：申请时要求客户填写为其提供咨询的机构名称和人员名单（某认证机构）企业信息反馈单有客户签字确认表明已知悉认证机构不能认证咨询一条龙，并遵守相关要求（某认证机构） 机构应有公开的声明，表面理解公正性在实施合格评定活动中的重要性，并对利益冲突加以管理，以及确保其合格评定活动的客观性。（6.2.2.5）例如：声明文件宜至少需要包含以下方面内容，并能够公开获取（教材）；理解公正性在合格评定活动中的重要性；已经非洗了任何存在的和潜在的利益冲突；对利益冲突进行了管理；确保管理起到了效果，合格评定活动是公正客观的。2.结构要求（推荐性） 组织应从结构和管理上保障合格评定活动的公正性（6.3.1）；总体上的概括要求，是强制要求规定的目标和结果（教材）组织结构如何设置以及管理上采取什么措施；（教材）6.3.2推荐性要求具体的合格评定标准机构确定 机构应建立一套各利益相关方均衡的机制；（6.3.2.1）a）制定与公正性有关的原则和政策；b）消除商业或其他因素阻碍一致、客观的任何倾向；c）对影响公正性的事宜（包括公众认知）提出建议。问题：该机制如何实现利益均衡？管理体系认证机构要求（GB/T27021-2007）建立公正性委员会任一利益方不处于支配地位（GB/T27021-2007 6.2.2a）认证机构的内部或外部人员视为一个利益方（GB/T27021-2007 6.2.2a）虽然该委员会不能代表所有利益方，但是认证机构宜识别和邀请关键利益方。这些利益方可能包括：认证机构的客户，获证客户的顾客，行业协会代表，政府监管机构或其他政府部门的代表，或非政府组织（包括消费者组织）的代表（GB/T27021-2007 6.2.3）问题：该机制是否一定为委员会形式？ 该机制是否一定有某个认证机构组建和实施？产品、服务和过程认证机构要求ISO/IEC17065 FDIS 5.2.1 note 2公正性委员会是公正性机制的一种方式该机构可由一个或多个认证机构组成，由认证方案所有者、政府部门或类似机构实施。A possible mechanism can be a committee established by one or more certification bodies，a committee implemented by a scheme owner，a governmental authority or an equivalent party。 符合性复核和决定人员与执行选取功能和确定功能的人员不同（6.3.2.2）例如：认证机构应确保作出认证决定的人员或委员会不是实施审核的人员（GB/T27021-2007 9.1.14过程要求）作出认证决定的人员应未参与过对候选人的考核或培训（GB/T27024-2003 6.3.1）认证决定应由未参加过评价过程的某个儿女或一组人（如：委员会）提出（ISO/IEC17065 FDIS 7.6.2）3.资源要求（强制性）（6.4.2） 机构的所有可能影响合格评定活动的人员，不论是内部的还是外部的，都应公正行事。（6.4.1）工作上的概括要求（教材）所有人员都应公正行事，不论是内部的还是外部的（教材）（所有可能影响合格评定活动的人员） 曾经参与合格评对象设计、管理或咨询的人员，在结束后特定时间段内，不应从事与该对象有关的合格评定活动。特定的时间段：应该考虑到具体领域内的技术和其他方面的发展情况，一般为2年。某组织QMS前管理人员参与对该管理体系的认证活动，需2年后；产品认证、认可工作类似。如何编写公正性要求a）强制性要求（条款）强制性要求是合格评定标准起草工作组在阐述相关要素时应采用的特定要求。除非用更具体的术语替代，否则不应修改。当合格评定标准起草工作组在处理通用要求不使用这些要求是，应给出正当的理由。b）推荐性要求（条款）合格评定标准起草工作组在阐述相关要素，希望规范的程度更高时使用的要求。这些要求是可以修改的。c）建议性要求（条款）本标准没有合格评定标准起草工作组在阐述相关要素时，可以考虑的要求。三、合格评定 保密性和信息公开 原则与要求GB/T27002 IDT ISO/PAS17002 GB/T27004 IDT ISO/PAS17004内容合格评定信息分类保密信息机要求公开信息及要求信息保密和公开的均衡性管理合格评定信息分类（保密与公开角度）合格评定信息：合格评定活动中获得或产生的所有信息机构的信息机构合格评定活动的信息（27004 5a）合格评定结果（27004 5a）合格评定对象的信息与合格评定活动有关的合格评定对象的任何信息（27004 5b）专有信息（27002 4.2）客户公开的信息或机构和客户达成了一致的信息（27002 5.2a）机构从客户以外的渠道获得的有关客户的信息（27002 5.2c）另两种合格评定对象的信息符合要求的有关信息（27002 4.3 27004 4.1）与特定合格评定对象有关的非保密以及无版权的信息（27004 5a）合格评定信息分类及相应要求分类公开或保密对象要求标准中的条款号合格评定信息合格评定活动中获得或产生的所有信息机构承担管理职责27002 5.2a）机构信息机构合格评定活动的信息公开向所有客户机构需要向所有用户其合格评定活动的信息27004 5a）合格评定结果The current status an attestation公开公众按照相关法律要求，经客户许可，机构可向公众公开其已经实施了的合格评定结果27004 5a）使用者按照相关法律要求，回应使用者对其真实性的询问合格评定对象的信息与合格评定活动有关的合格评定对象的任何信息公开有合同关系的个人或组织在有要求时，承担合格评定活动任务的评定机构应向与其有合同关系的个人或组织提供机构所掌握的与本次合格评定活动有关的合格评定对象的任何信息27004 5b）专有信息保密公众所有的组织和个人对其提供的任何专有信息有权要求受到保护27002 42客户（合格评定对象）公开的信息公开公众27002 5.2a）客户和机构达成一致可公开的信息公开公众27002 5.2a）机构从客户以外的渠道获得信息保密公众应作为保密信息管理27002 5.2c）非保密以及无版权的信息公开特定的相关方机构应向特定的相关方公开与特定合格评定对象有关的非保密以及无版权的信息，或提供访问路径27004 5a）符合要求的有关信息均衡管理对符合要求的有关信息的保密和公开之间的均衡性进行管理27002 4.327002 4.1信息保密及要求那些信息需要保密为什么需要保密如何实现保密如何编写信息保密要求（不做重点）哪些信息需要保密1.机构对在合格评定活动中获得或产生的所有信息承担管理责任。（5.2a）2.除非是客户公开的信息或机构和客户达成了一致（例如：对投诉做出的回应）的信息，其他所有信息都被认为是专有信息，应予以保密。（5.2a）3.机构从客户以外的渠道（如投诉人、监管机构）获得有关客户的信息应作为保密信息管理。（5.2c）为什么要保密1.为获得合格评定活动有效进行所需的信息，机构应提供确保保密性信息不被泄露的信任（4.1）2.所有的组织和个人对其提供的任何专有信息有权要求受到保护（4.2）3.在合格评定活动中，对符合要求的有关信息的保密和公开之间的均衡性进行管理，能提升相关方的信任和对合格评定活动价值的认同（4.3）如何实现保密1.通用要求（均为强制性）（5.2）a）机构应作出具有法律效力的承诺，对在实施合格评定活动中获得或产生的所有信息承担管理责任。机构应对要在公开场合发布的信息事先通知客户。例如：GB/T27021-2007 管理体系认证机构要求8.5.1认证机构应具有政策和相关安排，以确保其各个层次（包括代表其活动的委员会、外部机构或个人）对从事认证活动是获得或产生的保密信息予以保密，并通过在法律上具有强制实施力的协议落实上述政策和安排。8.5.2认证机构应将其拟对公众公开的信息提前告知客户。b）当机构依据法律要求或合约安排授权发布保密信息时，除非法律禁止，应经所公开的信息通知相关的客户或个人例如：GB/T27021-2007 管理体系认证机构要求8.5.3当法律要求认证机构向第三方提供保密信息时，除法律限制外，认证机构应将拟提供的信息提前通知有关客户或个人。CNAS-R02公正性与保密规则5.1 条款CNAS对在认可过程中获得的有关申请人或获准认可机构的商业、技术等信息负有保密责任。未经申请人或获认可机构的书面同意，CNAS均不对外透露其保密信息，但法律法规另有要求，或者需要履行法定责任的除外。c）机构从客户以外的渠道（如投诉人、监管机构）获得的有关客户的信息应作为保密信息管理。资源要求（强制性）人员（包括任何委员会成员、合同方、外部机构的人员、或代表机构的个人）应对在实施合格评审活动中获得或产生的所有信息保密，除非法律灵有要求。（5.3.1）例如：GB/T27021-2007 管理体系认证机构要求8.5.5认证机构的人员，包括代表认证机构工作的任何委员会成员、合同方、外部机构人员或个人，应对从事认证机构的活动时获得或产生的所有信息予以保密。CNAS-R02公正性与保密规则5.2 CNAS所有与认可工作有关的人员，包括所有委员会的委员、秘书处的工作人员、评审员、技术专家以及其他参与认可活动的人员均须对在认可工作过程中获得的有关申请人或获准认可机构的信息保密。资源要求（推荐性）机构应能获得和使用相应设施，以便对保密信息（如文件，记录）和合格评定对象（例如产品样品）进行安全地处置（如对邮件，Email，销毁记录的安全处置）。（5.3.2）例如：GB/T27021-2007 管理体系认证机构要求8.5.6认证机构应能获得确保保密信息（如文件、记录）的安全处理的设备和设施，并使用这些设备和设施。如何编写保密性要求a）强制性要求（条款）强制性要求是合格评定标准起草工作组在阐述相关要素时应采用的特定要求。除非用更具体的术语替代，负责不应修改。当合格评定标准起草工作组在处理通用要素不使用这些要求时，应给出正当的理由。例如：短语“机构应作出具有法律效力的保密承诺”可以被更具体地替代为“认证机构应作出具有法律效力的保密承诺”。b）推荐性要求（条款）合格评定标准起草工作组在阐述相关要素，希望规范的程度更高时使用的要求。这些要求是可以修改的。c）建议性要求（条款）本标准没有合格评定标准起草工作组在阐述相关要素时，可以考虑的要求。信息公开要求那些信息需要公开为什么需要公开如何进行公开如何编写信息公开条款（不做重点）那些信息需要公开1.机构合格评定活动的信息所有用户（27004 5a）2.合格评定结果公众及使用者（27004 5a）（the current status of an attestation）3.合格评定活动有关的合格评定对象的任何信息有合同关系的个人或组织（27004 5b）4.非保密以及无版权的信息特定相关方（27004 5a）为什么需要公开1.为了获得或保持对合格评定活动的信任（27004 5a）2.法律规定（哪些信息可以公开，如何公开以及向谁公开，可依据法律要求确定。本标准的内容和在合格评定文件中要求的应用，都遵循这些法律要求的规定）（27004 4.2）3.信任提升和价值认同（对符合要求的有关信息的保密和公开之间的均衡性进行管理，能提升相关方的信息和对合格评定活动价值的认同）（27004 4.1）如何进行公开1.信息公开的原则（27004 5） 公开性（27004 5a）机构需向所有用户公开其合格评定活动的信息；例如：GB/T27021-2007 管理体系认证机构要求8.1.1认证机构应保持说明其用于授予、保持、扩大、更新、缩小或撤销认证的审核过程和认证过程的信息，及其运作涉及的认证活动、管理体系类型和地域的信息，并使这些信息可公开获取，或在有请求时提供这些信息。按照相关法律要求，机构经客户许可可向公众公开其已经实施了的合格评定结果，或回应使用者对其真实性的询问。例如：GB/T27021-2007 管理体系认证机构要求8.1.3认证机构应授予、暂停或撤销认证的信息可公开获取。8.1.4当任何一方提出请求时，认证机构应提供确认特定认证的有效期的方法。为了获得或保持对合格评定活动的信任，机构应向特定的相关方公开与特定合格评定对象有关的非保密以及无版权的信息，或提供访问路径。特定的相关方包括： 投诉人（8.5.4） 监管机构（GB/T27021-2007 8.5.4）认可机构（GB/T27021-2007 8.5.7）建立在同行评审基础上的协议集团（GB/T27021-2007 8.5.7）认证结果的采信者（GB/T27021-2007 8.3） 可获取性（27004 5b）在有要求时，机构应向与其有合同关系的个人或组织提供与本次合格评定活动有关的合格评定对象的任何信息。有合同关系的个人或组织：外部审核员和外部技术专家（GB/T27021-2007 7.3）被分包机构开展分包工作需要（教材）认可机构见证评审工作需要（教材） 可被质疑性（27004 5c）个人或组织应该能够对机构是否符合信息保密和信息公开的有关要求提出质疑。2.通用要求强制性要求（27004 6.2）出具合格评定结果的机构或自我符合性声明的供方，应在有要求时，提供一个符合通用性合格评定要求的总体描述和证明。例如：GB/T27021-2007管理体系认证机构要求8.1.1认证机构应保持说明其用于授予、保持、扩大、更新、搜小、暂停或撤销认证的审核过程和认证过程的信息，及其运作涉及的认证活动、管理体系类型和地域的信息，并使这些信息公开获取，或在有请求时提供这些信息。8.1.4当任何一方提出请求时，认证机构应提供确认特定认证的有效期的方法。例如：GB/T27050.2-2006合格评定 供方的符合性声明 第2部分：支持性文件4.2 符合性声明的出具方（出具声明的组织或人员）应按照相关监管部门或机构的要求，在满足法规要求所需的限度内，使其能够获得支持性文件。出具方可以使任何其他提出请求的人员或机构能够获得支持性文件。3.过程要求推荐性要求（27004 6.3）机构应建立一个过程，以便个人或组织针对其向公众公开信息或保密信息的决定提出投诉或申诉；在回应任何申诉或投诉时，机构应确定原来的决定是否适宜，并陈述决定向公众公开信息或保持保密的理由。如何编写公开要求a）强制性要求（条款）强制性要求是合格评定标准起草工作组在阐述相关要素时应采用的特定要求。除非用更具体的术语替代，负责不应修改。当合格评定标准起草工作组在处理通用要素不使用这些要求时，应给出正当的理由。例如：短语“机构应建立一个过程”可以被更具体地替代为“认证机构应建立一个过程”。信息保密和公开的均衡性管理一、标准中的条款GB/T27002-2011 4.3 在合格评定活动中，对符合要求的有关信息的保密和公开之间的均衡性进行管理，能提升相关方的信任和对合格评定活动价值的认同。GB/T27004-2011 4.1 在合格评定活动中，对符合要求的有关信息的保密和公开之间的均衡性进行管理，能提升相关方的信任和对合格评定活动价值的认同。二、目的赢得合格评定对象提供者信任 赢得合格评定结果使用者信任，从而实现均衡GB/T27002-2011 4.1 为获得合格评定活动有效进行所需的信息，机构应提供确保保密性信息不被泄露的信任。GB/T27004-2011 5a 为了获得或保持对合格评定活动的信任三、具体要求1.确定保密信息和公开信息2.确定保密对象和公开对象（向谁保密和向谁公开）3.确定信息保密和信息公开的责任主体（谁的职责）4.按照规定程序进行信息保密和信息公开来源于三个层面：本标准、合格评定标准、机构规定例如：GB/T27002 5.2a）机构应对将要在公开场合发布的信息事先通知客户GB/T27002 5.2b）当机构依据法律要求或合约安排授权发布保密信息时，除非法律禁止，应将所公开的信息通知相关的客户或个人GB/T27004 5a）按照相关法律要求，机构经客户许可可向公众公开其已经实施了的合格评定结果，或回应使用者对其真实性的询问。四、合格评定 投诉和申诉 原则与要求GB/T27003 IDT ISO/PAS17003内容什么是投诉和申诉为什么要重视投诉和申诉处理工作怎样处理好投诉和申诉如何编制投诉和申诉要求（不做重点）什么是投诉和申诉1.投诉和申诉的定义（GB/T27000-2006）申诉：合格评定对象提供者请合格评定机构或认可机构就其对该对象所作出的决定进行重新考虑的请求。（图1）申诉人：合格评定对象提供者被诉人：合格评定活动实施机构申诉内容：与合格评定活动的结论有关申诉处理机构：该合格评定活动实施机构例如：某获证组织对认证机构缩小其认证范围向认证机构提出异议（教材） 某生产企业对实验室对其产品的检测结果提出异议（教材） 某合格评定机构对认可机构对其开展的投诉调查处理结果不满向认可机构提出异议（教材）投诉：除申诉外，任何人员或组织向合格评定机构或认可机构就其活动表达不满意并期望得到回复的行为。（图1）投诉人：任何个人或组织被诉人：机构或其人员投诉内容：与合格评定活动有关机构某项工作 人员某些行为申诉处理机构：合格评定机构或认可机构例如：某获证组织向认证机构反应其某项工作的不合理（教材） 某企业向检测机构反映其检测人员存在违规行为（教材） 认证机构向认可机构反映某个评审组的评审工作存在问题（教材）投诉与申诉的关系处理投诉和处理申诉的某些过程可能相同（4.4）投诉与申诉是“不包含”关系（教材）投诉和申诉支架可能会相互转化（教材）问题是投诉，还是申诉？某获证组织向其认证机构表达对缩小其认证范围的决定提出复议意见该获证客户对认证机构的决定不满，向认可机构提出某获证组织对其认证机构不受理其投诉的决定提出复议意见某个人对认证机构对其认证的某组织投诉调查处理结果不满提出复议意见2.投诉的分类机构收到的投诉分为两类： 一类投诉是关于合格评定及合格评定制度功能法（合格评定制度运行方式）的，申诉也属于此范畴。（4.1）One category of complaints is about conformity assessment and/or appeals and the way that the conformity assessment system functions。 另一类投诉是关于服务质量或交付水平的。属一般商业过程范畴，非本标准关注的内容。（4.2）例如：来电话接听不及时；发票的数字有误。（图1）注：这样表述的目的是为了阐述清楚机构可能遇到的两类投诉的区别和关系（教材）3.与法律意义上申诉的区别 法律上“申诉”的概念：“通常，申诉是指公民或者企事业单位认为某一问题的处理结果不正确，而向国家的有关机关申述理由，请求重新处理的行为”。区别点申诉（合格评定）申诉（法律）申诉对象合格评定机构或认可机构国家机关（法院、检察院、公安局和行政部门等）申诉内容与合格评定决定有关的内容国家有关机关对某件事的处理结果处理申诉的机构由被申诉机构，即合格评定机构或认可机构来组织进行（是合格评定机构或认可机构的内部过程，并不需要外部机构或法庭对申诉的听证会或决定国家机关处理结果的影响机构声誉，合格评定制度的声誉国家机关声誉为什么要重视投诉和申诉的处理工作实例：某机构投诉调查工作基本情况：2008年至2011年，共收到投诉71件，符合受理条件组织调查的有46项，占65%；识别问题：被投诉调查对象存在问题的有45家，主要问题包括13个方面，前5项问题是：存在问题存在问题对象数量百分比（占被调查对象数量）误用冒用合格评定标识2350.00%原始记录不规范817.40%报告不规范613.00%合格评定状态声明错误613.00%弄虚作假48.70%实例：某机构投诉调查工作信息来源：71项投诉中，实名投诉49个，匿名投诉22个，实名投诉基本可确定信息来源，主要有6个方面：投诉信息来源投诉数量百分比（占实名投诉数）客户1938.78%业内同行1122.45%内部职工918.37%最终用户714.29%政府部门24.08%行业专家12.04%总计49100.00%1.可以纠正和弥补错误、疏忽或不合理行为；2.能够保护机构及其顾客和其他合格评定使用者免受进一步的损失；3.可增强社会公众对合格评定活动的信心和信任；4.提高顾客满意度（GB/T19012-2008）提高顾客满意度的三个有效途径：即创建一个以顾客为中心并对产品进行公开反馈的环境，解决受理的全部投诉，提高组织改进产品和服务的能力；（GB/T19012-2008 质量管理 顾客满意 组织处理投诉指南）怎样处理好投诉和申诉满足要求1.通用要求（强制性）建立过程并形成文件“合格评定机构应建立对投诉和申诉的接受、评价和做出决定的过程，并形成文件”（6.2a）决定（decision）是指投诉或申诉处理的决定，通常包括（教材）:投诉或申诉的是否正式受理的决定投诉或申诉调查处理结果（包括结构采取的措施