T-STIC 130022-2024 合格评定认证数字化应用指南

ICS35.020CCSA00STICConformityassessment-ApplicationguideforcertificationofdigitizationIT/STIC130022—2024前言 2规范性引用文件 3术语和定义 4原则 5认证数据要求 26认证数字化过程 26.1总则 26.2申请评审 26.3数据及采集方式选择 36.4审核/检查方案 36.5审核/检查计划 36.6审核/检查实施 46.7认证复核 47数字化输出 47.1电子签字与签章 47.2成文信息输出 47.3证明文件输出 5参考文献 6T/STIC130022—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市检验检测认证协会提出。本文件由上海市检验检测认证协会归口。本文件起草单位：上海添唯认证技术有限公司、上海市检验检测认证协会、上海质量体系审核中心、上海建科检验有限公司、上海质量技术认证中心、上海市质协用户评价中心、上海牵翼网络科技有限公司、挪亚检测认证集团有限公司、上海远诚科技咨询有限公司、上海市电子商务行业协会。本文件主要起草人：洪轩、郑学东、姚应涛、黄慧杰、汪珺、谭平、岳鹏、汤潇、陈浩、章淳博、高峰、姜瀛洲、杨万霞、刘春远、林嘉怡、高平、钱艺铭。首批承诺执行单位:上海添唯认证技术有限公司、上海市检验检测认证协会、上海质量体系审核中心、上海建科检验有限公司、上海质量技术认证中心、上海市质协用户评价中心、上海牵翼网络科技有限公司、挪亚检测认证集团有限公司、上海远诚科技咨询有限公司、上海市电子商务行业协会。本文件为首次发布。T/STIC130022—2024随着信息技术的飞速发展，数字化转型已成为各行各业发展的新趋势。认证行业作为保障产品质量、服务水平和安全的重要环节，也在积极探索数字化应用。本文件旨在为认证机构和相关组织在数字化转型过程中提供指导和支持。认证行业在数字化转型方面具有巨大潜力，通过数字化技术可以提高认证过程的透明度、公正性和可信度。为认证行业数字化发展推动，亟需制定相关标准予以引导和规范。本文件明确了认证数字化应用的内涵、目标、基本原则和关键要素，为认证机构开展数字化工作提供了统一的遵循。通过本文件的实施，有助于提高认证效率、降低认证失误、增强认证数据的安全性和可靠性，进一步优化认证服务体验。本文件是为认证数字化转型提供支持，并非创造新的合格评定方法。坚持科学性、实用性、兼容性和开发性的原则。科学性：充分考虑认证行业特点，结合数字化技术发展趋势，确保标准的科学性和前瞻性。实用性：注重实际操作，确保标准具有可操作性和实用性，为认证机构提供具体指导。兼容性：充分考虑现有认证体系和技术规范，确保标准与现有体系的有效衔接。开放性：为适应未来技术发展，标准应具有一定的开放性，便于修订和完善。本文件适用于认证机构、认证人员、认证对象等相关方在认证数字化应用过程中的规划、建设、管理和评估。将有助于推动认证行业数字化发展，提升认证服务质量，为构建公平、公正、高效的认证体系奠定坚实基础。1T/STIC130022—2024合格评定认证数字化应用指南本文件规定了认证数字化原则、认证数据要求、认证数字化过程、数字化输出等内容。本文件适用于认证机构提供第三方认证时，适用于认证机构、认证人员、认证对象等相关方在认证数字化应用过程中的规划、建设、管理和评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T19000《质量管理体系基础和术语》GB/T37988《信息技术数据安全能力成熟度模型》ISO/IEC17021-2.2《合格评定——管理体系审核认证机构的要求及管理体系第三方认证审核的要求——第2部分：管理体系审核第三方认证审核的要求》T/CCAA36《认证机构远程审核指南》3术语和定义下列术语和定义适用于本文件。3.1认证数字化certificationdigitization以数字化方法运用合格评定技术对产品和服务提供者的产品、服务或管理体系是否达到相关要求提供有关的第三方证明。注：数字化的认证过程应符合GB/T27067或ISO/IEC17021-2.2的要求。3.2数字化采集digitizationcollection收集和采信认证对象一个或多个特性的数字化值的活动。注：改写GB/T19000-2016，定义3.11.1。3.3数字化审核/检查digitizationaudit运用数字化方法，为获得客观证据并对其进行客观的评价，以确定满足审核/审查准则的程度所进行的系统的、独立的并形成成文信息的过程。注：改写GB/T19000-2016，定义3.13.1。3.4数字化审核/检查平台digitizationauditsystem为认证审核/检查收集和采信认证对象客观证据，并为审核/检查过程提供支持的信息系统。3.5信息与通信技术（ICT）informationandcommunicationstechnology完成信息加工和通信或使其具有信息加工和通信功能的技术手段。注：ICT是包含所有的设备，网络组件，应用程序和系统及4原则4.1选择与应用数字化的认证数据原则通常包括：公正性、可用性和可靠性、安全性和隐私性、真实性和有效性。2T/STIC130022—20244.2公正性是认证机构提供可建立信任的认证的必要条件和基本原则，也是数字化的认证数据选择与应用的技术基础。认证机构应对认证活动的公正性负责，不允许有任何来自商业、财务或其他方面的压力损害公正性。4.3可用性和可靠性是数字化的认证数据选择与应用的评价原则，无论是数字化采集，还是管理能力数字化审核/审查，应首选能够反应组织生产、服务质量能力，且连续的数据源，促进并便于认证结果的采信。4.4安全性和隐私性是数字化的认证数据选择与应用的工作原则，在数字化采集和审核/审查过程中应考虑选择保护受益者（包括获证组织、用户、数据提供机构）隐私的数据，并充分考虑数据的信息安全，防止非授权访问。4.5有效性是数字化的认证数据选择与应用的价值原则，在保证公正性原则与认证风险可控的前提下，有效反映组织生产和服务提供能力。5认证数据要求5.1认证数字化是采用数字化的方法、技术和过程形成成文信息的过程，本部分针对认证过程的基础数据、运行数据、用户数据的采集规定了认证数据要求。5.2为确保申请认证组织符合相应的要求，其应具备提供的条件和能力。5.3本文件提出通用的认证数据要求，给出认证数字化的三个关键因素，每个因素通过关键评价指标反映应具备的条件和能力。如图1所示。图1认证数据要求6认证数字化过程6.1总则认证机构应提供认证过程所需的信息与通信技术（ICT），宜建立认证的信息系统，被认证对象通过系统提供必要的信息，以便认证机构采集相关数据。6.2申请评审6.2.1认证机构应对申请组织的数字化成熟度进行诊断。6.2.2采用数字化的认证过程，应在选取数据采集方式前，确定组织的数字化水平，诊断内容包括但不限于：a)信息系统配置和应用；b)信息系统复杂程度和数据的可采集程度；c)数字化信息发布或外部输出；d)数字化流程的风险识别；e)信息与通信技术（ICT）的选择；f)信息与通信技术（ICT）所需的资源与条件；3T/STIC130022—2024g)确定传输数据的适宜性、可用性和可靠性、有效性；h)必要时，可参照GB/T37988的要求；i)其他支持条件。6.2.3针对被认证对象的数字化水平进行诊断，并适用于本文件第4章节数据适用原则，应考虑采集的数据能够反应被认证对象符合认证准则实施认证的决策，适用：a)可根据组织的数字化诊断结果决策数据采集方式选择；b)可根据认证机构的数字化诊断结果决策数据采集方式选择；c)可根据相关公共管理部门的数字化诊断结果决策数据采集方式选择。6.3数据及采集方式选择6.3.1数据及采集方式旨在认证过程中，实施收集符合认证准则所提供的数据及采集技术方式。本文件给出的认证数据及采集方式具有良好的适用性，但并未给出所有可能的数据及采集方式。6.3.2建立、选择和应用时应考虑对数据采集和数字化审核/审查的技术需求和适宜性。数据及采集宜针对特定的产品和服务及其管理的特征，适用于产品和服务数据采集以及数字化审核/审查的活动。所需要采集的数据见图1。6.3.3应在认证开展实施前，确定认证所需采集的数据，可选取一种或一种以上的组合选择，包括但不限于：a)被认证对象提供的数据；b)认证机构测评/测试数据，包括产品认证所需的型式试验数据；c)由认证机构与被认证对象确定的采信平台或数据；d)公共管理机构发布的公开数据。6.3.4采集方式可选取一种或一种以上的组合选择，结合其他认证过程，完成认证活动。包括：a)方式A：“人-人”采集，不能通过客观数据全部或部分澄清的认证过程，可采用的方式；b)方式B：“人-机”或“机-人”采集，通过人对系统访问或系统对人输出的认证过程，可采用的方式；c)方式C：“机-机”采集，通过系统与系统直接采集的认证过程，可采用的方式。6.3.5数据及采集方式的组合宜考虑其适宜性、可用性/可靠性和有效性的影响因素，如数据的复杂性、风险性；采集和审核/审查的资源与能力，以及利益相关方和法律法规的需求或期望。6.4审核/检查方案6.4.1应对一个认证周期制定审核/检查方案，以清晰地识别所需的审核/审查活动，用以证实被认证对象的生产和服务提供符合认证所依据标准或其他规范性文件的要求。认证周期的审核/检查方案应覆盖全部的认证准则要求。应符合ISO/IEC17021-2.2的9.1.1条款要求。6.4.2认证机构可在认证过程不同的阶段或过程，采用数字化的审核/检查方式。6.4.3基于6.3.4的相关内容，通常可供选择与使用为：a)初次认证可采用：方式A；或方式B；或方式C；或方式A+方式B+方式C的任意组合；注：方式C或与方式C组合的数据采集方式适用于数字化程度较高的认证过程。b)认证保持（或监督评价），可根据上一次的评价结果以及被认证对象数据类型的变化，调整或交替使用数据采集的方式和数字化审核/检查，如：静态数据采集未必需要每次监督审核/检查实施；c)再认证可采用：可基于上一个认证周期的综合审核/检查结果，采用初次认证选取的数据采集及其组合，或予以简化，包括其数据样本量的变化。6.5审核/检查计划6.5.1审核/检查计划编制和审核/检查组的指派应符合ISO/IEC17021-2.2的9.1.2和9.1.3条款要求。4T/STIC130022—20246.5.2审核/检查时间认证机构应有形成文件的确定审核/检查时间的程序，并针对每个被认证对象确定策划和完成对其认证过程的完整有效审核/检查所需的时间。认证机构应记录所确定的时间及其合理性。在确定数字化审核/检查时间时，在考虑ISO/IEC17021-2.2的9.1.4条款要求下，同时应考虑：a)基于本文件6.3条款确定的数据及采集方式或组合；b)采集数据量以及以往认证过程中相关数据存量；c)认证机构数字化审核/检查平台的可用性和完整性；d)数据采集的风险；e)数据采集的便利。6.6审核/检查实施6.6.1首末次会议与沟通审核/检查组可采用通信和信息技术（ICT）对话工具，按照ISO/IEC17021-2.2的9.1.9条款的要求进行审核/审查沟通和评审会议，宜参照T/CCAA36《认证机构远程审核指南》实施。6.6.2数据采集和传输审核/检查过程中，审核/检查组应与被认证对象建立或选择认证数据采集和传输的渠道。以确保：a)数据样本库的建立；b)数据采集的时间段；c)数据可重现性。6.7认证复核认证机构应对评价的结论和相关证据进行验证,除对审核/审查结论进行复核外,还应通过对采集的数据进行核实,对使用的认证规则和结论的正确性进行确认。包括但不限于：a)数据的有效性；b)数据的完整性；c)数据可重现性。7数字化输出7.1电子签字与签章以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据，或利用图像处理技术将电子签字或签章转化为与纸质文件盖章时，应确保利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性