GB/T27422-2019
合格评定业务连续性管理体系审核和认证机构要求
Conformityassessment—Requirementsforbodiesprovidingauditandcertificationofbusinesscontinuitymanagementsystems
- 中国标准分类号(CCS)A00
- 国际标准分类号(ICS)03.120.20
- 实施日期2020-07-01
- 文件格式PDF
- 文本页数19页
- 文件大小1.10M
以图片形式预览合格评定业务连续性管理体系审核和认证机构要求
合格评定业务连续性管理体系审核和认证机构要求
国家标准 GB/T27422一2019 合格评定业务连续性管理体系 审核和认证机构要求 Conformity assessment一Requirementsforbodiesproidingauditand certificationofbusinesscontinuitymanagementsystemms 2019-12-10发布 2020-07-01实施 国家市场监督管理总局 发布 国家标涯花管理委员会国家标准
GB/T27422一2019 目 次 前言 引言 范围 2 规范性引用文件 术语和定义 原则 通用要求 5.1法律与合同事宜 5.2公正性的管理 5.3责任和财力 结构要求 资源要求 7.1人员能力 7.2参与认证活动的人员 7.3外部审核员和外部技术专家的使用 7.!人员记录 7.5外包 信息要求 8.1公开信息 8.2认证文件 8.3认证资格的引用和标志的使用 8.4保密 8.5认证机构与其客户间的信息交换 过程要求 9.1认证前的活动 9.2策划审核 9.3初次认证 9.4实施审核 9.5认证决定 9.6保持认证 9.7申诉 9.8投诉 9.9客户的记录
GB/T27422一2019 10认证机构的管理要求 附录A资料性附录业务连续性管理体系审核及认证的知识 附录B(资料性附录BCMS能力需求分析与评价 附录c资料性附录BCMs认证审核时间确定指南 14 参考文献
GB/T27422一2019 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准由全国认证认可标准化技术委员会(SAC/TC261)提出并归口
本标准起草单位:网络安全审查技术与认证中心,山东省标准化研究院、标准化研究院、中 国合格评定国家认可中心、广发银行股份有限公司信用卡中心,北京奇安信科技有限公司、认证认 可协会、中金金融认证中心有限公司、民航大学、北京华认企业管理咨询有限公司
本标准主要起草人:魏军、尤其、王凤娇、王曙光、公伟、秦挺鑫、付志高、张桂明、鲍旭华、郝静、 谢宗晓、顾兆军、任天
GB/T27422一2019 引 言 GB/T27021.1一2017《合格评定管理体系审核认证机构要求第1部分要求》为机构对组织的 管理体系实施审核和认证建立了准则
如果这类机构按照G;B/T30146《公共安全业务连续性管理 体系要求》开展以业务连续性管理体系(BCMS)审核和认证为目的活动,对GB/T27021.12017补 充 -些要求和指南是必要的
本标准提供了这样的内容
本标准正文遵循GB/T27021.1一2017的结构,增加了针对业务连续性管理体系审核和认证机构 的专用要求,并与GB/T27021.1一2017共同使用 本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效地协调一致
IN
GB/T27422一2019 合格评定业务连续性管理体系 审核和认证机构要求 范围 本标准规定了在GB/T27021.1一2017和GB/T301462013的基础上,业务连续性管理体系 BCMs)认证机构所遵循的原则和对CMIs认证机构的要求,明确了1CMs审核与认证机构的能力、 -致性和公正性的原则、认证相关活动的实施和管理要求等 本标准适用于所有提供BCMS审核和认证的机构,这些机构需要在能力和可靠性方面证实其满足 本标准中的要求
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T270002006合格评定词汇和通用原则 GB/T27021.1一2017合格评定管理体系审核认证机构要求第1部分;要求 GB/T30146公共安全业务连续性管理体系要求 术语和定义 GB/T270002006,GB/T27021.1一2017、G;B/T30146界定的以及下列术语和定义适用于本 文件
3.1 认证文件 certifieationdocumenmt 表明客户的BCMS符合规定的BCMS标准及BCMS所要求的任何补充性文件的一类文件 原则 应符合GB/T27021.1一2017中第4章的要求
通用要求 5.1法律与合同事宜 应符合GB/T27021.l2017中5.1的要求
5.2公正性的管理 应符合GB/T27021.1一2017中5.2的要求,并且以下要求同时适用
认证机构可以从事以下工作,而不被视为咨询或具有潜在的利益冲突
GB/T27422一2019 安排培训课程并作为教师参与讲授,如果这些课程涉及业务连续性管理、有关的管理体系或审 a 核,认证机构应仅限于提供可公开获取的通用信息和建议,即认证机构不应针对具体客户提供 那些违反下面b)要求的建议
b 根据请求,提供或发布认证机构对认证审核标准要求的解释性信息
仅以确定认证审核是否就绪为目的的审核前活动,但是这些活动不应导致提供违反本条款的 c 建议和意见
认证机构应能够证实这些活动不违反本条款的要求,且没有把这些活动作为减 少最终认证审核时间的理由 根据没有包含在认可范围内的标准或法规,实施第二方或第三方审核
d e 在认证审核和监督审核过程中的增值活动,例如,在审核过程中,当改进机会明显时,识别改进 机会但不推荐具体的解决方案
认证机构不应为寻求认证的客户的BCMS提供内部业务连续性评审
此外,认证机构应独立于提 供BCMS内部审核的机构(包括任何个人
5.3责任和财力 应符合GB/T27021.1一2017中5.3的要求
6 结构要求 应符合GB/T27021.1一2017中第6章的要求
资源要求 7.1人员能力 7.1.1总则 应符合GB/T27021.12017中7.1的要求,并且7.1.2一7.1.3中的要求同时适用
7.1.2总体考虑 为实施业务连续性管理体系认证,管理层应确保选择、提供和管理那些具备与受审核的活动和有关 的业务连续性管理事宜相适应的技能和综合能力的人员
认证机构应对GB/T27021.12017表A.1中的每一项认证职能定义能力要求
在定义这些能力 要求时,认证机构应考虑GB/T27021.1一2017中指明的所有要求,和本标准7.1和7.2中的所有要求
注,附录A提供了对业务连续性管理体系认证职能所涉及人员能力要求的信息摘要
7.1.3能力准则的确定 认证机构应确保相关人员理解组织业务连续性管理有关的技术、法律、法规以及其他相关要求
认证机构应有形成文件的过程,以确定参与管理和实施审核与认证的人员及其能力准则
这些人 员包括但不限于实施申请评审以确定所需的审核组能力,选择审核组成员并确定审核时间的人员,复核 审核报告并作出认证决定的人员,审核和领导审核组的人员
学历教育,在职培训、工作经历是人员获 取所需能力的途径,认证机构应对各类人员实际所具有的能力进行评价和证实,而不应仅用资格条件的 审查代替能力的评价和证实
该过程的输出应是形成文件的所要求知识和技能的准则,这些知识和技能是有效地实施审核与认 证任务以实现预期结果所必需的
GB/T27422一2019 注:附录B为认证机构建立BCMS的能力需求分析与评价系统提供了指南
7.2参与认证活动的人员 7.2.1总则 应符合GB/T27021.l一2017中7.2的要求,并且以下要求同时适用
7.2.2申请评审、选择审核组和确定审核时间的人员 实施申请评审以确定所需的审核组和选择审核组成员并确定审核时间的人员应具有以下能力 选择审核员并验证他们的能力; a 给业务连续性管理体系审核员提供简要的指导并安排必要的培训 b 做出授予、保持、更新、扩大、缩小、暂停或撤销认证决定 c d)建立和实施投诉、申诉和争议程序; 实施申请评审以确定所需的审核组的能力
e 7.2.3审核人员 认证机构应为培训和选择审核组成员建立准则,以确保审核员具备特定的知识和技能 业务连续性管理体系审核员特定的知识和技能要求宜是以下10个方面相关内容的组合,认证机构 应根据审核活动的能力需求确定实施审核所需的特定知识和技能 a 业务连续性管理(BCM)术语具备BCM及风险的词汇,定义和概念等知识
b 组织环境:具备组织运行所处相关环境的知识
c 法律法规和其他要求;理解组织业务连续性管理有关的技术,法律、法规以及其他相关要求
d 业务连续性管理过程中的关系:具备BCM各元素内部关系的知识
业务影响分析和风险评估 具备业务影响分析(BIA)的知识,包括 技术和方法; 对提供产品和服务的活动的识别 时间上的影响评估,当影响变得不可接受时应能予以识别 对预期结果设定具有优先排序的时间表; 对支持资源的识别
具备风险评估和风险管理的知识,包括: 对中断事件进行风险识别风险分析和风险评估 现有控制措施的有效性; 对适当的风险处置的识别 业务连续性策略:具备相关的策略方法等知识,以降低中断事件的影响及其发生的可能性, f 包括: 策略变化; 已准备措施; -对可选性策略的选择; 连续性策略的成本收益分析; 和外部股东的协调方法; 事件反应; 沟通和交流;
GB/T27422一2019 指挥和控制; 相关组织的协调; 恢复和重建
事件管理:具备应对事件管理的知识,包括预警和沟通需要,以确定组织是否对中断事件做出 g 了适当反应
在验证组织的事件管理能力时,审核组、审核报告复核及做出认证决定的人员亦应具备评估组 织的事件管理有效性的知识
业务连续性计划具备业务连续性计划的知识,包括业务连续性计划的建立,更新、维护、目的 h 格式、结构以及过程化细节等
业务连续性实践;应具备计划和执行业务连续性实践的知识,包括业务连续性实践的方式、过 程、技巧/技术以及评估组织是否达成了其恢复优先级别及恢复目标的能力评估标准
BCMS绩效评估:应具备BCMS绩效评估的知识,包括指示物和绩效矩阵,以确定组织的 BCMS绩效是否达成了其管理任务及目标
审核员应能够证实其具备上述知识和能力,如通过 经承认的业务连续性管理方面的相关资质; a b 经注册的审核员资格; 经批准的业务连续性管理课程培训 c d 持续提升自身知识和能力的记录; 经现场验证的审核能力证明 e f 定期的个人评价记录
7.2.4复核审核报告并做出认证决定的人员 复合审核报告并做出认证决定过程的人员应具备对授予保持、扩大、缩小、暂停和撤销cMs认 证的决定过程进行管理所需的技术能力
7.3外部审核员和外部技术专家的使用 应符合GB/T27021.1一2017中7.3的要求,并且以下要求同时适用
认证机构可使用外部审核员或外部技术专家作为审核组的一部分参与审核,外部技术专家应在审 核员的监督下进行工作
7.4人员记录 应符合GB/T27021.1一2017中7.4的要求
7.5外包 应符合GB/T27021.12017中7.5的要求
信息要求 8 8.1公开信息 应符合GB/T27021.12017中8.1的要求
8.2认证文件 应符合GB/T27021.1一2017中8.2的要求,并且以下要求同时适用
GB/T27422一2019 认证文件应由具有负责此项职责的人员签署
8.3认证资格的引用和标志的使用 应符合GB/T27021.1一2017中8.3的要求
8.4保密 应符合GB/T27021.1一2017中8.4的要求,并且以下要求同时适用
认证机构应识别法律法规对保密方面的要求,并在与组织签订的认证协议中明确双方及相关人员 的责任和义务
在认证审核之前,认证机构应要求组织说明是否存在不能提供给审核组的包含保密性或敏感性信 息的BCMS记录,认证机构应确定是否能在缺少这些记录的情况下对BCMS进行充分的审核,如果认 证机构认为不对已识别的保密性或敏感性的信息进行审核就不能保证BCMS审核的充分性,则应告知 组织只有在获得适当的访问许可时才能进行认证审核
8.5认证机构与其客户间的信息交换 应符合GB/T27021.l一2017中8.5的要求 过程要求 g.1认证前的活动 9.1.1申请 应符合GB/T27021.1一2017中9.1.1的要求
并且以下要求同时适用
认证机构应要求客户具有一个已文件化且已实施的BCMS
客户的BCMS应符合GB/T30146和 认证所要求的其他文件
g.1.2申请评审 应符合GB/T27021.1一2017中9.1.2的要求
并且以下要求同时适用
认证机构应评审客户的申请,以确保清晰地了解了客户的活动边界,以及业务连续性管理和服务的 可能风险
9.1.3审核方案 应符合GB/T27021.1一2017中9.1.3的要求
并且以下要求同时适用
BCMS审核方案应包含对客户演练活动的现场观察,以便为确定客户BCMs的有效性建立充分的 信心
审核方案中对现场观察客户演练活动的安排,宜与客户的业务影响分析(BIA)结果和认证机构 对客户BCMS的风险与绩效的评估结果相适宜
注对客户BCMs的演练活动 功的现场观察,宜不晚于获证后的第一次监督审核活动
g.1.4确定审核时间 应符合GB/T27021.l一2017中9.1.4的要求
并且以下要求同时适用 认证机构应给予审核员足够的时间来开展与初次审核、监督审核或再认证审核相关的所有活动
总审核时间的计算,应包括报告审核情况所需的充足时间
认证机构宜使用附录C来确定审核时间
GB/T27422一2019 g.1.5多场所的抽样 应符合GB/T27021.1一2017中9.1.5的要求
并且以下要求同时适用. 如果客户具有多个地点且所有的地点满足以下条件时,认证机构可以使用基于抽样的方法来实施 多场所认证审核 在同一个实能集中管理的cMs下运行 a b)包含在客户的内部审核方案中 包含在客户的管理评审方案中
c g.1.6多管理体系标准 应符合GB/T27021.1一2017中9.1.6的要求
并且以下要求同时适用
BCMS审核可以和其他管理体系审核相结合
结合审核或一体化审核应确保审核证据在审核范围 内满足GB/T30146的要求
在审核报告中,应容易辨识出与GB/T30146相关的所有审核发现
GB/T30146审核的完整性,不应因结合审核而受到负面影响
9.2策划审核 9.2.1确定审核目的、范围和准则 应符合GB/27021.! 并且以下要求适用
-2017中9.2.1的要求
BCMs的审核目的应包括确定管理体系的有效性,以确保客户已根据业务影响分析和风险评估建 立了业务连续性计划并实施了演练从而实现了所设立的业务连续性目标
9.2.2选择和指派审核组 应符合GB/T27021.1一2017中9.2.2的要求
并且以下要求适用
认证机构应正式任命审核组并为其提供相应的工作文件
认证机构应明确地规定审核组的任务 并使客户知晓
审核组可以由一个人组成,只要其满足7.2.2中所规定的全部准则
9.2.3审核计划 应符合GB/T2701.1一2017中9.2.3的要求
并且以下要求和指南适用 审核准则是确定符合性的依据,宜包括 GB/T30146中关于业务连续性管理体系的要求; a b) 特定行业对业务连续性管理的要求 适用的法律法规和其他要求 c d 客户的业务连续性管理体系文件
9.3初次认证 应符合GB/T27021.l一2017中9.3的要求
9.4实施审核 应符合GB/T27021.12017中9.4的要求
g.5认证决定 应符合GB/T27021.1一2017中9.5的要求
GB/T27422一2019 g.6保持认证 应符合GB/T27021.1一2017中9.6的要求
9.7申诉 应符合GB/T27021.1一2017中9.7的要求
9.8投诉 应符合GB/T27021.l一2017中9.8的要求
9.9客户的记录 应符合GB/T27021.1一2017中9.9的要求
0认证机构的管理要求 应符合GB/T27021.l一2017中第10章的要求
GB/T27422一2019 附 录 A 资料性附录) 业务连续性管理体系审核及认证的知识 表A.1提供了一个BCMS审核及认证所需知识的摘要,该表是资料性的,仅标明了特定认证功能 所需的知识范围
每个认证职能的能力要求见本标准正文
表A.1中,“、”表示认证机构宜对该知识的准则和程度进行定义
表A.1知识表 知识和技能 实施申请评审,以确 知识 定审核组的能力要复核审核报告并做出 审核和领导审核组 求、选择审核组成员认证决定 并决定审核时间 业务连续性管理术语 组织环境 适用法律法规和其他要求 业务连续性管理过程中的关系 业务影响分析和风险评估 连续性和恢复策略 事件管理 业务连续性计划 业务连续性实践 BKCMS绩效评价 审核组宜具有专门知识和技能,或在必要时由技术专家补充
当审核由一个审核组实施时,相应程 度的必备知识和技能宜由审核组整体具有,而不必由组内每位独立成员分别具有
GB/T27422一2019 附录B 资料性附录 BCMS能力需求分析与评价 能力需求分析 B.1 B.1.1BCMS认证机构的能力需求分析官 包括BCMS认证机构能力管理系统构建和扩展(如增加新的技术领域)时进行的能力需求分 析,以及在申请评审和审核方案管理中根据特定客户具体情况进行的能力需求分析 b 覆盖与BCMS认证与审核活动相关的各类人员,包括认证机构的管理人员、行政支持性人员、 相关委员会的成员以及技术专家等 能够根据业务连续性管理理论与实践,适用标准与法规和认证机构的BCMS认证实践(如认 证范围认证经验等)的变化及时更新
B.1.2BCMs认证机构的能力需求分析宜包括通用能力需求分析和特定技术领域的能力需求分析 通用能力需求分析宜对GB/T27021.12017附录A和本标准附录A中描述的通用知识和技 能类别所包含的具体内容做进一步分析
分析宜考虑下列方面,并根据下列方面的发展变化 及时得到更新: 适用标准和法律法规; 2 业务连续性管理理论与实践; 3 本机构认证活动的范围、规模
对于复核审核报告和做出认证决定、审核和领导审核组两类人员,除本标准附录A描述的通 用知识和技能外,还宜具备下列方面的知识: 业务所使用的信息通信技术(IcT): 业务影响分析(BIA)方法
特定技术领域能力需求分析宜对各技术领域内的业务活动的典型流程、业务连续面对的特定 b 风险,所使用的ICT技术,与业务连续性有关的法律法规和标准、业务连续性计划演练技术等 进行分析,以识别各技术领域BCMS审核所需的特定能力 B.2能力准则 对于复核审核报告和做出认证决定的人员和审核和领导审核组的人员,还宜知晓相应业务所使用 的信息通信技术(ICT)和业务影响分析(BIA)方法
B.3能力评价 BCMs认证机构在对认证人员的能力进行评价时宜 获取与能力准则的内容相关的被评价人信息: b将被评价人信息与能力准则进行比较,判断被评价人员是否满足能力准则
BCMS认证机构宜保留上述被评价人信息、比较和判断的记录,这些记录宜足以支持能力评价的 结论
GB/T27422一2019 B.4能力的持续改进 BCMS认证机构在组织审核员持续专业发展时宜考虑 能力准则的更新; a b)通过能力评价发现的人员实际能力与能力准则的差距; c 本机构BCMS审核和认证实践的发展
HCMS认证机构宜根据认证人员的持续专业发展情况复核其能力
BCMS认证机构宜确保审核员知晓现行的业务影响分析技术、业务连续性管理理论与实践以及适 用标准和法律法规
BCMS认证机构宜组织和促进认证人员之间的经验交流和技术研讨,以总结和推广BCMs审核和 认证的经验、方法、技巧
必要时,BCMS认证机构宜根据上述交流和研讨的成果制定或修订相关文件 例如: a BCMS审核和认证的程序或作业指导文件; b BCMS审核检查单; BCMIS审核和认证的能力需求分析,能力准则能力评价过程或评价方法 c 上述交流和研讨的频次、范围、规模宜与下列方面相适宜 BcMs认证机构审核和认证活动的范围,规模和绩效 a BCMS认证机构审核和认证人员的数量、能力范围与水平、工作量和绩效
b 0
GB/T27422一2019 C 录 附 资料性附录 BCMIS认证审核时间确定指南 c.1引言 本附录用于认证机构确定对不同规模、不同复杂程度,从事各类活动的客户实施审核所需时间
本附录没有规定审核时间的最小值和最大值,但提供了认证机构计划安排审核任务时宜采用的根 据拟审核客户具体情况确定适宜审核时间的框架
认证机构宜根据本附录确定对每个申请方或获证客户实施第一阶段和第二阶段初次审核、监督审 核和再认证审核所需的审核时间
C.2定义 C.2.1审核时间 各类审核的审核时间是指按审核人日度量的实施审核活动所需的有效时间
C.2.2审核人日 -个审核人日通常为8h,是否可以包括旅途时间或午饭时间以当地法定要求为准
但往返于审 核场所之间所花费的时间不计人审核时间
注,我国除香港特别行政区,澳门特别行政区、台湾地区外,市核时间通常不包括旅途时间和午饭时间
c.2.3有效人数 有效人数包括认证范围内涉及的所有人员(含每个班次的人员)
覆盖于认证范围内的非固定人员 如;季节性人员、临时人员、分包商和合同人员)和兼职人员也应包括在有效人数内
c.2.4临时场所 临时场所是组织为在有限的时期内进行特定工作或服务而设立的,且不会成为常设场所的场所(例 如外包的软件开发场所).
C.3 应用 C.3.1审核时间 所有类型审核的审核时间包括在客户场所的现场时间,以及在现场以外实施策划文件审查、与客 户人员之间的相互活动和编写报告等活动的时间 在分配这些组合活动(不论这些活动是在现场或非现场实施)的审核时间时,通常不宜使现场总审 核时间少于本附录C.4中计算出的80%
对于任何审核,不宜以需要增加策划和(或)编写报告的时间 为理由减少现场审核时间
c.3.2审核人日 人日数的审核时间是以每天8h为基础计算
为了符合当地关于旅途时间、午饭时间和工作小时 11
GB/T27422一2019 数的法律规定,可能需要调整审核人日数,以达到审核总小时数
在策划阶段,认证机构不宜通过增加每个工作日的工作小时数来减少审核人日数
C.3.3有效人数 本附录以有效人数为基础来计算审核时间
在计算有效人数时 兼职人员的数量可以根据其实际工作小时数予以适当减少,或换算成等效的全职人员数量; a D)如果企业由于技术和自动化水平较低,可能雇佣大量临时的非熟练人员,这种情况下宜适当减 少这些人员的数量; 如果相当大一部分员工从事相似的简单职能,例如;运送、流水线工作,装配线、现场值守等,同 样宜适当减少人员的数量; 为使计算的审核时间充分覆盖所有的业务范围,可能需要包括正常工作时间之外的审核或者 d 适合倒班的工作模式
C.4审核时间的确定方法 -步;认证机构宜按照拟审核客户的有效人数按照表c1确定基准审核时间,作为计算审核时间 第一 的起始点
表C.1员工有效人数与审核时间的关系 初次认证审核时间 初次认证审核时间 有效人数 第1阶段十第2阶段》 有效人数 第1阶段十第2阶段) 人日 人日 1一25 1176~155o 15 26~45 1551~2025 16 46~65 2026~2675 17 6685 26763450 18 86~125 34514350 19 126175 43515450 20 176275 l0 21 5451一6800 276一425 6801一8500 22 1 12 426625 850110700 23 626875 13 >10700 遵循上述递进规律 876~1175 14 注:表中的人数宜视为连续变化的,而不是阶梯式变化的 第二步给适用于该客户的每个重要因素(参见c.7)赋予一个对基准审核时间的增加量或减少量 根据这些因素对基准审核时间进行调整
认证机构对表C.1所列审核时间进行调整时,减少量不宜超过30%
在各种情况下,认证机构宜记录确定审核时间(包括审核时间的调整)的依据
12
GB/T27422一2019 C.5初次认证审核(第1阶段+第2阶段 通常情况下,第一阶段现场审核所需的审核员时间不宜少于0.5个审核人日,不多于初次认证审核 总的现场审核时间的30%
第二阶段的审核时间通常情况下不会少于1个人日,否则可能影响审核有效性 C.6监督与再认证 在策划监督和再认证审核时,认证机构宜可获得对客户BCMS有关的更新信息
通常的做法是 假设基于更新后的客户BCMs信息对组织实施初次认证审核,监督审核时间约为该初次审核所需时间 的1/3,再认证审核时间约为该初次审核所需时间的2/3. 注:对管理体系绩效评价本身并不作为再认证审核时间的一部分 c.7调整审核时间的考虑因素 在调整审核时间时,还需要考虑下列因素(但不限于这些因素): 增加审核时间的考虑因素 a -认证机构在进行多场所审核时; 在业务连续方面,受法规管制的程度较高例如金融、电力电信、公共服务领域); 业务连续性计划的数量 在认证审核过程中,工作语言超过一种的需要翻译或影响审核员个人独立工作) -复杂的后勤条件,在体系范围内涉及不止一座建筑物或一处工作地点; 体系覆盖了高度复杂的过程或相对数量大或独特的活动; -审核活动中需要访问临时场所
b 减少审核时间的考虑因素 体系成熟
业务过程低风险
-对客户管理体系已有的了解例如本中心已依据另一标准认证了该客户). 客户为认证所做的准备(例如已经获得另一个第三方合格评定制度的认证或承认)
活动的复杂程度低例如 过程仅包含单一的一般性活动例如仅包含服务); 以往审核(内部审核和认证机构审核)显示,所有班次都实施相同的活动,且有适当证 据表明所有班次的表现相同 一部分员工从事相似的简单职能
相当 一部分员工在组织的场所外工作,例如销售人员、司机、服务人员等,并且有可能通过 有 记录审查来对其活动是否符合体系要求进行充分地审核
GB/T27422一2019 参 考 文献 [1]CNAs-SC143业务连续性管理体系认证机构认可方案 s rementsforbou [2]IsO/IECTs17021-6:2014Conformity assesSment Requir iesproviding Part6:Co auditandcertifieationofmanagementsystems ompetencerequirementsforauditingand certificationofbusinesscontinuitymanagementsystems [3]IsO/IEC27006;2015Informationtechnolo scuritytechmiques一Requir ementsfor ogy bodiesprovidingauditandcertificationofinformationseeuritymanagementsystems
合格评定业务连续性管理体系审核和认证机构要求GB/T27422-2019解读
GB/T27422-2019是我国新发布的合格评定领域标准,主要针对于业务连续性管理体系审核和认证机构的要求进行了规范。该标准对于合格评定机构的资质要求、内部管理、审核过程、服务质量等方面均做了详细说明,下面我们就来逐一解读。
一、资质要求
合格评定机构应当具备以下条件:
- 依法注册并取得营业执照;
- 具备与所从事的业务领域相适应的人员组织架构;
- 有相应的技术能力和专业知识;
- 有完备的质量保证体系,确保合格评定工作符合相关标准和法规的要求;
- 有独立的合法经营地点,符合工作需要。
二、内部管理
合格评定机构应当建立健全的组织架构、管理制度和规章制度,明确各个职责岗位的分工和权限。同时,还需设置风险控制和知识保密的管理制度,以保障审核过程的公正性和客观性。
三、审核过程
在审核过程中,合格评定机构应当确定审核范畴、审核目标和审核内容,并对审核对象进行评估和筛选。审核人员必须具备相关业务领域的专业知识和审核技能,对审核结果负责,并及时向审核对象通报相关的审核结论。
四、服务质量
合格评定机构应当根据GB/T27422-2019标准的要求,提供高质量、高效率的合格评定服务。同时,还需尊重评定对象的权利,确保审核过程的公开透明。在服务过程中,还应当注重客户反馈和持续改进,不断提升服务水平。
五、总结
GB/T27422-2019标准的出台,进一步完善了我国合格评定领域的规范体系,有助于提高合格评定机构的服务质量和审核水平。同时,合格评定机构要认真履行职责,不断提升自身的管理和服务水平,为企业的发展注入新的动力。
合格评定业务连续性管理体系审核和认证机构要求的相关资料
- 合格评定 信息技术服务管理体系认证机构要求GB/T27308-2011解读
- 合格评定管理体系的使用原则和要求GB/T27005-2011
- 合格评定信息公开原则和要求GB/T27004-2011
- 合格评定投诉和申诉原则和要求GB/T27003-2011
- 合格评定保密性原则和要求GB/T27002-2011
- 公共安全业务连续性管理体系要求GB/T30146-2013
- 公共安全业务连续性管理体系指南GB/T31595-2015
- 公共安全业务连续性管理体系业务影响分析指南(BIA)GB/T35625-2017
- 公共安全业务连续性管理体系供应链连续性指南GB/T38299-2019
- 合格评定管理体系审核认证机构要求第6部分:业务连续性管理体系审核认证能力要求GB/T27021.6-2020解读
- 服务业清洁生产审核指南编制通则GB/T26720-2011
- 展览会数据审核规则GB/T31082-2014解读
- 软件工程软件评审与审核GB/T32421-2015解析
- 文物出境审核规范第10部分:金属器GB/T33290.10-2016
- 明器GB/T33290.11-2016:文物出境审核规范第11部分
- 合格评定 信息技术服务管理体系认证机构要求GB/T27308-2011解读
- 认证机构信用评价准则GB/T27201-2013分析
- 合格评定能源管理体系认证机构要求GB/T27309-2014
- 合格评定人员认证机构通用要求GB/T27024-2014
- 合格评定产品、过程和服务认证机构要求GB/T27065-2015
- 合格评定业务连续性管理体系审核和认证机构要求GB/T27422-2019解读
