2019年05月10日发布2019年07月04日实施CNAS-CC14信息和通信技术(ICT)在审核中应用Theuseofinformationandcommunicationtechnology(ICT)forauditingpurpose中国合格评定国家认可委员会CNAS-CC14:2019第1页共5页2019年05月10日发布2019年07月04日实施目次前言........................................................................................................................20引言..................................................................................................................31范围..................................................................................................................32规范性引用文件.................................................................................................33定义..................................................................................................................44要求..................................................................................................................4CNAS-CC14:2019第2页共5页2019年05月10日发布2019年07月04日实施前言CNAS作为国际认可论坛(IAF)成员,等同采用IAF发布的强制性文件IAFMD4:2018《强制性文件信息和通信技术(ICT)在审核/评审中应用》制定本文件。本文件旨在确保CNAS-CC01《管理体系认证机构要求》、CNAS-CC02《产品、过程和服务认证机构要求》、CNAS-CC03《人员认证机构通用要求》等基本认可准则实施的一致性,并和相应基本认可准则共同作为CNAS对认证机构的认可准则。本文件中,用术语“应”表示相应的CNAS-CC14条款是强制性的,这些条款反映了相应基本认可准则的要求。术语“宜”表示CNAS-CC14相应的条款提供了满足相应基本认可准则要求的公认方法;如果认证机构采用与CNAS-CC14等效的方式来满足相应基本认可准则的要求,需要向CNAS证实该方式确实能达到这一目的。相对于IAFMD4:2018本文件作出如下编辑修改:1.作为对认证机构的认可准则,将“审核/评审”(即:auditing/assessment)统一调整为审核,并删除IAFMD4:2018“1范围”部分“本文件适用于认可机构”等内容,有关应用ICT对合格评定机构评审的要求将在其他工作安排中另行规定。2.将部分对IAF文件及ISO标准的引用调整为对应CNAS文件的引用。本文件代替了CNAS-CC14:2008。CNAS-CC14:2019第3页共5页2019年05月10日发布2019年07月04日实施信息和通信技术(ICT)在审核中应用0引言0.1随着信息和通信技术(ICT)更加复杂精密,能够应用ICT来优化审核的有效性和效率,并能为审核过程的完整性与可信性提供支持和保障是非常重要的。0.2ICT是应用技术来收集、存储、检索、处理、分析和发送信息。它包括软件和硬件,例如:智能手机、手持设备、笔记本电脑、台式电脑、无人机、摄像机、可穿戴技术、人工智能及其他。ICT技术的应用可能同时适用于对当地现场和远程场所审核。0.3审核中应用ICT可能包括但不限于如下示例:会议;通过远程电信会议设施,包括音频、视频和数据共享;通过远程接入方式对文件和记录的审核,同步的(即实时的)或是异步的(在适用时);通过静止影像、视频或音频录制的方式记录信息和证据;提供对远程场所或潜在危险场所的视频或音频访问通道。0.4ICT在审核中有效应用的目的是:i)提供一项在审核中应用ICT的方法用以优化传统审核过程,该方法充分灵活并对其类别未做限定;ii)确保采取充分的控制以避免滥用,滥用可能危害审核过程的完整性与可信性;iii)为安全和可持续性原则提供支持。同时应采取措施,以确保贯穿于审核活动的安全性和保密性得到保持。0.5其他方案、规范文件和合格评定标准可能强调审核中应用ICT的限制,满足那些文件中要求优先于本文件。1范围作为在审核中使用信息和通信技术(ICT)的一套方法,本文件提供了一致的应用。本文件适用于管理体系、人员和产品认证机构的审核。使用ICT并不是强制性的,并且其可能用于其他类型的合格评定活动,但是(将ICT)用作审核方法的一部分时,符合本文件是强制要求。2规范性引用文件CNAS-CC14:2019第4页共5页2019年05月10日发布2019年07月04日实施取决于合格评定活动,下列引用文件对本文件的应用是必不可少的。凡是注日期的引用,仅所引用的版本适用。凡是不注日期的引用,所引用文件的最新版本(包括任何修改单)适用。限于:CNAS-CC105《确定管理体系审核时间(QMS、EMS、OHSMS)》(IAFMD5)ISO/IEC17011《合格评定认可机构要求》CNAS-CC01《管理体系认证机构要求》(ISO/IEC17021-1)CNAS-CC02《产品、过程和服务认证机构要求》(ISO/IEC17065)CNAS-CC03《人员认证机构通用要求》(ISO/IEC17024)本文件也可以考虑与其他合格评定标准一起使用,例如:CNAS-CC04《温室气体审定/核查机构要求》(ISO14065)CNAS-CI01《检验机构能力认可准则》(ISO/IEC17020)CNAS-CL01《检测和和校准机构能力认可准则》(ISO/IEC17025)除此之外,还可以从以下文件述获得审核中应用ICT的指南:CNAS-CI01《检验机构能力认可准则》(ISO/IEC17020)CNAS-CL01《检测和和校准机构能力认可准则》(ISO/IEC17025)ISO/IAF审核实践组“电子文件信息系统”(参见gjx.cnas.org.cn)IAFID12远程评审原则ISO19011管理体系审核指南3定义3.1虚拟场所Virtualsite虚拟地点指客户组织完成工作或提供服务所用到的,允许处于不同物理地点的人员执行过程的在线环境注1:当某过程必须在某一有形环境实现时不能将其考虑为虚拟场所,如:仓储、制造、物理检测实验、安装或维修有形产品等。注2:一个虚拟场所(如:一个组织的内部网络)被当作一个独立场所来计算审核时间。4要求CNAS-CC14:2019第5页共5页2019年05月10日发布2019年07月04日实施4.1安全性与保密性4.1.1在审核中应用ICT时,对电子信息或电子化传输信息的安全性和保密性是特别重要的。4.1.2针对审核中应用ICT遵守信息安全与数据保护的措施和规则,在ICT应用于审核之前,接受审核方及实施审核方之间应相互达成一致意见。4.1.3在不履行这些措施或没有就信息安全和数据保护措施达成一致意见的情况下,实施审核方应采用其他方法实施审核。4.1.4当对于在审核中应用ICT没有达成一致时,应采用其他方法以满足审核目的。4.2过程要求4.2.1机构应识别并记录在相同条件下应用每项ICT可能影响审核有效性的风险和机遇,包括对技术的选择以及如何对其进行管理。4.2.2当提议将ICT用于审核活动时,申请评审应包括一项检查,即检查客户及审核实施机构具有必要的基础设施以支持被提议使用的ICT。4.2.3考虑由4.2.1识别的风险和机遇,为了优化审核的有效性和效率并保持审核过程的完整性与可信性,审核计划应识别在审核中如何利用ICT以及审核中哪些ICT在什么范围被应用。4.2.4应用ICT时,审核员及其他涉及到的人员(例如:无人机操作员、技术专家)应具备能力和智慧以便理解和利用所采用的信息和通信技术取得期望获得的审核结果。审核员同样应意识到应用信息与通信技术的风险和机遇,以及应用这些技术对信息收集有效性和客观性的影响。4.2.5如果审核中应用ICT,将对总审核时间做出贡献,当影响到审核持续时段时可能有必要做额外的策划。注:在确定审核时间和审核持续时段时,请参考规范性引用文件中可能影响ICT实施的附加要求。应用ICT对审核持续时段的影响并未在本文件中作出限定。4.2.6审核报告及相关记录应指出审核实施过程中所采用ICT的范围,以及为达到审核目的应用ICT的有效性。4.2.7如果范围中包括虚拟场所,认证的记录材料应注明包括虚拟场所并且应识别出在虚拟场所实施的活动。——