認證程序

6.1管理體系認證申請的基本條件

6.1.1申請質量管理/環境管理/職業健康安全管理/信息安全管理體系/基于ISO/IEC 20000-1的基于ISO/IEC 20000-1的服務管理體系等管理體系以及申請服務認證的組織應符合以下基本條件：

a）持有有效法律地位證明文件，對有行政許可要求的，已取得相應行政許可；當申請方存在多場所并與總部一起申請時，擬申請認證的多場所亦應提供相應的法律證明文件,同時提供與總部一起申請認證的書面承諾文件。

b）已按認證標準和相關專項技術要求或標準，建立了文件化的管理體系，并已有效運行三個月以上，且已實施了覆蓋所有程序的內審和管理評審。

c）申請質量管理體系認證的建筑施工類組織，依據ISO 9001:2015《質量管理體系 要求》和GB/T50430-2017《工程建筑施工企業質量管理規范》建立了文件化管理體系，并已有效運行3個月以上且已實施了覆蓋所有程序的內審和管理評審。 

d) 產品和（或）服務符合適用的我國和進口國（地區）相關法律、法規、標準和規范的的規定，且1 年內申請范圍內產品未發生國抽不合格或已整改合格。

e) 12個月內未發生過重大環境污染事故，污染物無超標排放(適用于環境管理體系)。

f) 12個月內未發生過無重大安全事故（適用于職業健康安全管理體系）。

g) 12個月內未出現信息安全事件/信息技術服務事故（適用于ISMS和SMS）；

h）承諾始終遵守適用的國家法律、法規和其他應遵守的要求,承諾始終遵守認證的有關規定，當前未被責令停產停業、未列入嚴重違法失信名單，1 年內未發生重大質量事故；

i）承諾獲得認證后，按規定使用認證證書和認證標志，按合同支付認證費用；

    j）上一次認證證書有效期內，按規定接受了監督審核，且滿足保持證書的要求（適用于再認證）；

k）再認證要求：原證書因自身原因被暫停 / 撤銷滿 1 年方可重新申請；

l）客戶應符合工信部聯協[2010]394 號文《關于加強信息安全管理體系認證安全管理的通知》的要求，以及有關主管部門/監管部門對信息安全管理體系認證的管理要求（如工信部 2011 年第 21 號公告《工業和信息化部加強政府部門信息技術外包服務安全管理》等）。（適用于ISMS）。

6.2認證申請

6.2.1申請方可以書面形式、來人面談或電話、傳真聯系的方式向ZXB運營部查詢有關認證事項和提出認證申請意向。

6.2.2運營部獲悉認證申請意向后，將首先判斷客戶對認證標準和認證范圍的要求是否在ZXB被批準的范圍內，且ZXB是否具備專業審核能力。擬開展的 QMS 業務范圍需配備至少 2 名專業領域審核員，審核員需滿足學歷 / 工作經歷 / 職稱 / 審核經歷等能力要求。

6.2.3經初步確認該項申請在ZXB的認證范圍之內，或有能力進行審核，由運營部答復申請方的查詢，向申請方提供ZXB的《公開文件》，向申請方公開認證業務范圍風險類型、審核時間標準、證書編號規則等信息。

6.2.4 申請方應填寫并提交正式的、并由授權代表簽署和填寫完整的《管理體系認證申請書》和（或）《服務認證申請書》，包括申請認證的生產、認證范圍內有效人數、外包過程、班次及季節性生產信息、經營或服務活動范圍及活動情況的說明，對于OHSMS還應包含在組織場所內及組織場所外的工作人員的詳細信息，對于服務認證應明確服務網點。

6.2.5申請認證組織應提交的資料

6.2.5.1申請方申請質量、環境、職業健康安全、信息安全、基于ISO/IEC 2000-1的服務管理體系認證和（或）服務認證時，需提供以下信息：

a) 法律地位的證明文件（包括：企業營業執照/統一社會信用代碼、事業單位法人證書、社會團體登記證書、非企業法人登記證書、黨政機關設立文件等）的復印件。若管理體系覆蓋多場所活動，應附每個場所的法律地位證明文件的復印件（適用時）、組織機構代碼證的復印件（適用時）；

b) 適用時，提供管理體系覆蓋的活動所涉及有效期內的資質證書、行政許可證明、資質證書、強制性認證證書等相關的法律法規要求的證明文件（復印件）；

c) 組織的一般特性，包括名稱、地址、多場所、臨時場所、認證范圍、流程等；

d) 其在一個較大實體中的職能和所處的關系；當申請認證的客戶在產品實現/服務過程存在有分包/外包過程時，應提供相應分包/外包過程的說明；

e) 多場所、臨時場所、在建和竣工項目清單（適用時）；

f) 有效版本的體系策劃的形成文件的信息等；

g) 體系覆蓋的產品或服務有關的法律法規、規范和標準清單；

h) 所識別的與過程有關的主要的危險源和OHS風險，在過程中所使用的主要危險材料以

及任何適用的OHS法規中的有關的法律義務，包括危險源辨識和風險評價清單、危險材料（化

學品)清單、適用法律法規要求清單等；（適用于職業健康安全管理體系）；

i) 重要環境因素清單（適用于環境管理體系）；

k) 是否接受過與擬認證的管理體系有關的咨詢，如果接受過，由誰提供咨詢；

l）管理體系已有效運行3個月以上的證明材料（建筑行業質量體系3個月）（如文件發布記錄、運行數據、內審 / 管評報告等）；

m) 申請方管理體系一體化程度信息，包括文件、管理體系要素和職責整合的信息；

n）根據《固定污染源排污許可分類管理名錄》提供排污許可證、排污登記表（適用于環

境管理體系)

o）根據《建設項目環境影響評價分類管理名錄》提供驗收報告或環境批復（適用于環境管理體系）

p）其他與任何審核有關的必要文件。6.2.6客戶申請信息安全和基于ISO/IEC 2000-1的服務管理體系認證時，還需在6.2.5的基礎上提供以下信息：

a）向ZXB說明是否有適用的關于ISMS/SMS認證機構的資質、誠信守法記錄或認證人員身份背景的要求，以及適用的與保守國家秘密或維護國家安全有關的法律法規要求。并在有需要情況下即時更新該說明，以便ZXB判斷其是否具備對該申請方實施認證活動的資格或條件。需確認客戶的 ISMS 滿足 ISO/IEC 27001:2022 的要求和客戶的策略與目標。（組織的必要控制可能是其自行設計的，也可能是從任何控制源中選取的。因此，即使組織的必要控制不是來自于ISO/IEC 27001:2022附錄A，組織也有可能獲得ISO/IEC 27001:2022認證。）客戶向ZXB說明是否存在因包含保密信息或敏感信息而導致不能提供給審核組審查的 ISMS 相關信息（例如，ISMS 記錄或關于控制的設計與有效性的信息）。

b) 確定的SMS 的范圍。 ZXB應確保客戶的SMS范圍恰當地反映其服務活動，并確保客戶沒有將其活動中應包含的SMS運行要素排除在認證范圍之外。

c）適用時，應在遞交認證申請時指明不完全包含在SMS范圍內的服務活動。例如，與其他組織共同提供服務的情況。

d）對基于ISO/IEC 2000-1的服務管理體系認證范圍涉及的業務活動的描述，包括利用信息技術為內部或外部顧客的業務過程提供支持的說明。

6.2.7 客戶申請服務認證時，還需在6.2.5的基礎上提供以下信息：

 a)產品銷售網點/售后服務網點清單；

 b）申報服務活動的詳細說明，主要的服務流程以及適用時為服務運作提供支持的主要服務設施以及售后服務管理的數量。

c）組織簡介（包括本單位經營范圍、規模、特色、實力，在國內外同行業中利稅、技術、產量、 質量、銷售等方面的地位）；

d )組織機構圖（ 1、總的組織機構圖； 2、售后服務體系有關部門組織機構圖）；

e）組織依據GB/T 27922 進行的自我評價報告。

6.2.8 對多場所組織的要求

當申請方存在多場所并與總部一起申請認證時，應提交多場所清單，多場所的法律地位證明文件及與總部關系的說明,以及6.2.5、6.2.6適用的要求的材料。

6.3 認證受理

6.3.1運營部收到申請方的認證申請書和提供的資料后，應進行清點、登記，妥善保管，注意保密。以便于評審和受理。

6.3.2運營部組織人員對認證申請書和隨附資料進行預評審，對以下內容做出判斷，決定是否受理申請：

a) 考慮申請的認證范圍、申請方的運作場所、員工人數、生產周期、服務場所、完成審核/審查需要的時間和任何其他影響認證活動的因素（語言、安全條件、對公正性的影響等）、結合風險類型調整，減少幅度不超過基礎人日的 30%，現場審核時間不低于 80%；

b) 申請組織及其管理體系的信息足以建立審核方案；

c) 認證要求是否已得到明確規定并形成文件，且已提供給申請方；

d) 申請方提交的資料是否齊全；

e) ZXB和申請方在理解上的任何已知的差異都已得到解決；

f) 申請方在一個較大實體中所處的關系是否得到說明；

g) ZXB有能力并能夠實施認證活動，審核組需包含至少 1 名專職審核員、1 名專業領域審核員，第一階段審核員需參與第二階段；

h) 申請方從事的活動是否符合相關法律法規的規定;

i） 申請方為達到質量/環境/職業健康安全/信息安全/基于ISO/IEC 2000-1的服務管理/服務目標是否建立了文件化的質量/環境/職業健康安全/信息安全/基于ISO/IEC 2000-1的服務管理體系/服務認證并已有效運行3個月以上（建筑行業質量體系3個月）且已實施內審 / 管評；

j）組成審核/審查組，考慮審核/審查組及認證決定人員需要具備的能力。

k）對ISMS，申請方符合工信部聯協[2010]394 號文《關于加強信息安全管理體系認證安全管理的通知》的要求，以及有關主管部門/監管部門對信息安全管理體系認證的管理要求（如工信部 2011 年第 21 號公告《工業和信息化部加強政府部門信息技術外包服務安全管理》等）。

l）對基于IS0/IEC20000-1的服務管理體系認證申請評審中，運營部應評審客戶的申請，以確保清晰地了解了客戶的活動區域，以及SMS和服務的可能風險。

運營部識別申請客戶的行業類別和與之相應的信息技術服務提供過程的特性和服務要求；掌握國家對相應行業的基于IS0/IEC20000-1的服務管理體系認證的管理要求。

    m）保持了決定實施審核/審查的理由的記錄。

6.3.3 根據資料評審結果符合要求后，由運營部正式受理認證申請；并應向申請人至少公開以下信息：認證業務范圍，公正性政策，認證工作程序，認證依據，證書樣式及有效期，認證收費標準，申投訴的處理程序，分公司和辦事處的名稱（適用時）、業務范圍、地址、認證標準換版規定、提前短時間通知審核的情形等。

6.3.4 對經評審后確定為拒絕認證申請的，運營部應及時通知申請方，說明拒絕的原因，以書面形式反饋給申請方。并保存形成文件的拒絕申請的信息。對被執法監管部門責令停業整頓或在全國企業信用信息公示系統中被列入“嚴重違法失信名單”的申請方，運營部不受理其認證申請。

6.4 認證審核/審查程序

6.4.1 申請客戶與ZXB簽訂了正式的《管理體系認證合同》、《服務認證合同》，并，明確費用直接支付、資質注銷 / 撤銷的經濟賠償責任之后，ZXB開始啟動認證審核/審查工作。

6.4.2 ZXB安排文審人員對申請客戶所提供的管理體系/服務認證文件進行文審。

6.4.3 ZXB運營部負責制定審核/審查方案，包括任命審核/審查組長、選擇審核/審查組其他成員、確定審核/審查時間等，初次認證方案包含兩階段審核 + 監督 + 再認證，監督至少 2 次，需覆蓋標準所有要求和典型產品 / 服務。

6.4.4 當申請客戶認為必要時，通知ZXB進行預審。

6.4.5 現場審核/審查之前，由審核/審查組長編制審核/審查計劃后書面通知受審核方，審核/審查應注明審核員注冊號、專業代碼，審核安排在生產 / 服務正常運行時進行，并得到受審核方對審該計劃的書面確認。

6.4.6 質量、環境、職業健康安全、信息安全管理體系和基于IS0/IEC20000-1的服務管理體系初次認證審核分兩個階段進行，申請方應通過第一階段審核后才能進行第二階段審核。其中質量管理體系的工程建設施工企業、信息安全管理體系、基于IS0/IEC20000-1的服務管理體系的第一階段審核不能策劃不到受審核方現場實施。 質量管理體系兩階段審核要求：間隔最短 5 日、最長 6 個月，超期需重新實施一階段；一階段原則上需現場實施，特殊情況可豁免但需記錄理由。服務認證審查采取文審加現場評價的方式。服務認證現場評價宜安排在正常營業時間內進行， 應能夠有效觀察到組織提供的服務活動。評價采用一組由服務特性測評與服務管理審核相結合的評價方式。（評價方式包括：a)  服務特性測評；b)  服務管理審核；c)  暗訪（必要時））。

6.4.7 審核/審查組按照審核計劃實施現場審核，記錄應使用中文，可輔以圖片 / 音像；重點審核最高管理者領導作用，不熟悉質量方針 / 未參與體系實施的審核不予通過。

6.4.8 對管理體系認證現場審核中發現的不符合項，受審核方應制定相應的糾正和糾正措施并予以實施，并以書面形式報告審核組長。只有在對所有不符合項都采取了相應的糾正和糾正措施并驗證有效之后，審核組長才可以向ZXB推薦認證注冊。服務認證現場審查為通過打分確定受審核方星級，審查組長不需開具不符合項。不符合項驗證要求：嚴重不符合初次認證 6 個月內、監督 3 個月內、再認證證書到期前驗證；輕微不符合可下次審核驗證。

6.4.9 審核/審查組長向ZXB提交審核報告，審核/審查報告中需要對受審核客戶的管理體系認證和服務認證是否符合相關標準和認證要求做出說明，需包含最高管理者審核情況、國抽不合格整改情況、證書標志使用情況等。經ZXB審議批準后的審核/審查報告應提交受審核方或審核委托方。

6.5 認證批準與注冊

6.5.1 ZXB對審核組提交的現場審核/審查資料（包括審核報告）進行審議，做出認證決定結論。認證決定應由專職人員做出，不得外包，境內完成。

6.5.2 ZXB批準認證注冊并簽發認證證書，證書有效期最長 3 年。

6.5.3 ZXB向獲證客戶發放認證證書和相關獲證材料。

6.5.4 對獲證注冊的客戶，ZXB及時在ZXB網站予以公告，并包括其地址和獲準認證的范圍、有效期限等。

6.5.5 對未被批準的受審核方，ZXB會及時通知受審核方并說明原因。

6.6 監督審核

6.6.1 監督審核的目的

監督審核的目的是為了確認認證證書的持有者其管理體系認證和服務認證是否持續滿足認證標準的要求，并應實現自我完善和持續改進。監督審核/審查的結果，將作為ZXB做出保持、縮小、暫停、撤銷決定的依據。

6.6.2 監督審核的頻次

監督審核應至少每個日歷年（應進行再認證的年份除外）進行一次。初次認證后的第一次監督審核應在認證決定日期起12個月內進行。此后，監督審核應至少每個日歷年（應進行再認證的年份除外）進行一次，且兩次監督審核的時間間隔不得超過15個月。監督審核時間亦在獲證客戶的生產旺季進行，建筑企業應在其具有代表性的在建項目施工期間時進行審核。需要時，監督審核可以在一年中進行一次以上的監督審核，以覆蓋監督審核的所有要求。服務認證初次評價后或第一次監督評價結束后的9- 12個月內完成第一年與第二年的監督評價。

為了考慮諸如市場、季節或有限時段的管理體系認證（例如臨時施工場所）等因素，可能有必要調整監督審核的頻次；當獲證客戶管理體系發生重大變更，或發生重大質量/環境/職業健康安全/信息技術服務事故及信息安全事件時，ZXB應增加跟蹤監督的頻次。由于市場、產品生產的季節性原因，在每次跟蹤監督審核時難以覆蓋所有產品和服務的，在認證證書有效期內的跟蹤監督審核必須覆蓋管理體系認證范圍內的所有產品和服務。

6.6.3 監督審核的內容

6.6.3.1 質量管理體系監督審核的主要內容：

a) 對上次審核時確定的不符合項所采取的糾正措施的審查；

b) 顧客或相關方投訴；

c) 文件化體系的變化；

d) 變更涉及的區域；

e) 適當時，其他選定的區域；

f) 每次監督時，審核組長應檢查以下方面并與負責的管理者會談：

----在實現客戶目標和預期結果方面質量管理體系的有效性；

----向管理者報告任何違規情況的程序是否發揮作用；

----旨在持續改進體系績效策劃的活動的進展情況；

----內部審核和管理評審結論的跟蹤；

g) 證書、標志的使用和（或）任何其他對認證資格的引用；

h) 對客戶環境及客戶基于風險思考的理解和審核；

i) 向ZXB提交的對客戶的申訴、投訴和爭議的記錄，在顯露任何不符合或沒有滿足認證要求的地方，客戶是否已經調查了自己的體系和程序并采取了適當的糾正措施。

6.6.3.2 環境管理體系監督審核的主要內容：

a) 環境管理體系實現客戶的環境方針目標和預期結果方面的有效性；

b) 與負責環境管理體系的管理層交談；

c) 檢查客戶是否按環境管理體系標準的要求實施了接收、記錄與外部相關方交流的信息并做出回應的程序；

d) 檢查客戶是否實施了定期評價法律法規的符合性的程序；

e) 根據客戶的環境方針為強化環境管理體系以全面提高環境績效所策劃的活動的進展情況；對客戶運用生命周期觀點的審核；

f) 檢查客戶對內部審核和管理評審結果的跟蹤情況；

g) 對上次審核中確定的不符合所采取的糾正措施落實情況；

h) 對投訴所采取的措施；

i) 對客戶的認證證書、標志與報告的使用及和（或）任何其他對認證資格的引用情況予以監督；

j) 任何變更；

k) 查看申訴、投訴與爭議的記錄，并確認當出現有不符合或不能滿足ZXB要求的情況時，客戶是否已檢查了其自身體系存在的問題并采取了適當的糾正措施。

6.6.3.3 職業健康安全管理體系監督審核的主要內容：

a) 職業健康安全管理體系在提供安全和健康工作環境以及實現職業健康安全方針的目標和預期結果方面的有效性；

b) 與負責職業健康安全管理體系的管理層面談；

c) 檢查客戶是否按職業健康安全管理體系標準要求實施了接收和記錄與外部相關方交流的信息并做出反饋的程序；

d) 檢查客戶是否實施了對相關職業健康安全法律法規符合性進行定期評價的程序；

e) 檢查客戶根據客戶的職業健康安全方針，為強化職業健康安全體系以全面提高職業健康安全績效所策劃的活動的進展情況；

f) 檢查客戶對內部審核和管理評審結論的后續行動；

g) 檢查客戶對上次審核中發現的不符合采取的措施；

h) 檢查客戶對投訴所采取的措施；

i) 任何變更；

j) 證書、標志的使用和（或）任何其他對認證資格的引用。

6.6.3.4 ISMS監督審核的主要內容：

a） ISMS 在實現客戶信息安全方針的目標方面的有效性；

b） 相關信息安全法律法規合規性的定期評價和審查規程的運行情況；

c） 所確定的控制的變更，及其引起的適用性聲明變更；

d） 審核方案中所述控制的實現和有效性。

6.6.3.5 SMS監督審核的主要內容：

a) 基于IS0/IEC20000-1的服務管理體系在實現客戶的服務管理方針目標和預期結果方面的有效性；

b) 檢查客戶為持續改進而策劃的活動的進展情況；

c）檢查客戶持續的運作控制；

d) 檢查客戶對內部審核和管理評審結論的后續行動；

e) 檢查客戶對上次審核中發現的不符合采取的措施；

f) 檢查客戶對投訴所采取的措施；

g) 任何變更；

h) 證書、標志的使用和（或）任何其他對認證資格的引用；

i) SMS體系變化和保持情況；

j）服務目錄的變化情況；

k）適當時，其它選定的范圍。

6.6.3.6 SC監督評價的主要內容：

a)在監督周期內服務管理體系的任何變更，包括組織機構、體系文件修改、主要負責人更換、服務場所范圍的變化情況；

b)組織的內部監督評價活動及改進的效果；

c)組織代表性區域和活動；

d)對上次未得分項的證據進行驗證，有無遺漏問題或再發生；

e)相關方/顧客的投訴、申訴、爭議的處理，確認組織采取糾正及糾正措施的有效性以及重大投訴對認證保持的影響；

f)認證證書、標志的使用。

6.6.3.7在證書有效期內，獲證客戶應及時向認證機構通報以下信息：

a) 法律地位、生產經營狀況、組織狀態或所有權的變更；取得的行政許可資格、強制性認證或其他資質證書變更；

b) 組織和管理層(如關鍵的管理、決策或技術人員)的變更，法定代表人、最高管理者、主要聯系人變更；

c) 獲證管理體系覆蓋的運作范圍的變更（含地理位置、場所、產品/服務、活動等）；

d) 管理體系和服務、過程、工藝、環境等的重大變更；

e) 發生重大問題(質量/環境/職業健康安全/信息技術服務事故及信息安全事件、媒體曝光、執法檢查不合格、行業通報等)；

f) 政府或行業主管部門/行業自律組織檢查或市場抽查不合格；出口的產品因安全衛生方面的問題被進口國（地區）主管當局通報的；

g) 行政許可過期失效、重大質量輿情、體系與業務嚴重脫離等；

h) 客戶及相關方的重大投訴；

i) 客戶名稱、聯系地址和場所、通訊方式等的變更等；

j) 其他重要信息。

6.7 再認證

認證證書有效期滿前三個月，獲證客戶應以書面的形式向ZXB提出再認證申請，再認證現場審核應至少在認證證書到期前一個半月進行，再認證審核時間不少于初次認證的 2/3，且與上次監督審核的時間間隔不得超過12個月，不符合項的關閉及認證決定應在在證書期滿前整改完畢，再認證合格后，換發新的認證證書，未按期完成認證決定的證書自動失效。如果在認證終止日期前，ZXB不能對獲證客戶完成再認證審核或不能驗證對嚴重不符合實施的糾正和糾正措施，則不應推薦再認證，獲證客戶不在擁有認證的效力。再認證到期后，如果在 6個月內完成未盡的再認證活動，則可以恢復認證，否則應至少進行一次第二階段才能恢復認證。證書的生效日期應不早于再認證決定日期，終止日期應基于上一個認證周期。再認證程序與初次評審程序一致。

6.8 其他特殊審核

為調查投訴、對變更做出回應或對被暫停的客戶進行追蹤等情況，可能需要在提前較短時間通知獲證客戶后或不通知獲證客戶就對其進行非例行審核。非例行審核根據特定因素進行策劃。獲證組織產品國抽不合格的，30 日內實施提前短時間通知審核。

7 終止審核、認證范圍的擴大與縮小

7.1 終止審核

    對申請客戶的現場審核時如發生以下情況ZXB將終止客戶的認證、服務活動：

    a）申請客戶對審核活動不予配合，審核活動無法進行；

    b）申請客戶實際情況與申請材料有重大不一致；

c）最高管理者缺席首末次會議；

d）其它導致審核程序無法完成的情況。

    審核組將已完成的審核工作和終止審核的原因形成審核報告，提交運營部。

7.2 認證范圍的擴大與縮小

獲證客戶如需要擴大認證、服務范圍，應向ZXB運營部提出書面申請，由ZXB運營部評審確認后安排審核。審核可結合監督審核一并進行或單獨進行，但應適當增加審核時間并收取相應的費用。獲證客戶申請縮小認證、服務范圍或審核/審查組按現場審核情況要求縮小認證范圍時，ZXB將重新頒發證書，如有必要則派審核/審查組進行現場核查。認證范圍的擴大申請、評審、批準的實施參照初審程序進行。認證、服務范圍縮小可結合監督檢查進行評審或安排專人處理，評定合格后換發證書。