1、管理体系认证申请的基本条件

1.1申请质量管理/环境管理/职业健康安全管理/信息安全管理体系/信息技术服务管理体系认证的组织应符合以下基本条件：

a)持有有效法律地位证明文件，对有行政许可要求的，已取得相应行政许可；当申请方存在多场所并与总部一起申请时，拟申请认证的多场所亦应提供相应的法律证明文件,同时提供与总部一起申请认证的书面承诺文件。

b)已按认证标准和相关专项技术要求或标准，建立了文件化的管理体系，并已有效运行三个月以上，且已实施了覆盖所有程序的内审和管理评审。

c)申请质量管理体系认证的建筑施工类组织，依据ISO 9001:2015《质量管理体系 要求》和GB/T50430-2007《工程建筑施工企业质量管理规范》建立了文件化管理体系，并已有效运行6个月以上且已实施了覆盖所有程序的内审和管理评审。

d)产品和（或）服务符合适用的我国和进口国（地区）相关法律、法规、标准和规范的的规定。

e)12个月内未发生过重大环境污染事故，污染物无超标排放(适用于环境管理体系)。

f) 12个月内未发生过无重大安全事故（适用于职业健康安全管理体系）。

g) 12个月内未出现信息安全事件/信息技术服务事故（适用于ISMS和SMS）；

h）承诺始终遵守适用的国家法律、法规和其他应遵守的要求,承诺始终遵守认证的有关规定；

i）承诺获得认证后，按规定使用认证证书和认证标志，按合同支付认证费用；

j）上一次认证证书有效期内，按规定接受了监督审核，且满足保持证书的要求（适用于再认证）；

k）客户应符合工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》的要求，以及有关主管部门/监管部门对信息安全管理体系认证的管理要求（如工信部 2011 年第 21 号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等）。（适用于ISMS）。

2、认证申请

2.1申请方可以书面形式、来人面谈或电话、传真联系的方式向众信标（北京）认证有限公司（以下简称“ZXB”）运营部查询有关认证事项和提出认证申请意向。

2.2运营部获悉认证申请意向后，将首先判断客户对认证标准和认证范围的要求是否在ZXB被批准的范围内，且ZXB是否具备专业审核能力；对要求颁发带认可标识证书的，还应确认是否在被认可的范围之内。

2.3经初步确认该项申请在ZXB被认可的范围之内，或有能力进行审核，由运营部答复申请方的查询，向申请方提供ZXB的《公开文件》。

2.4 申请方应填写并提交正式的、并由授权代表签署和填写完整的《管理体系认证申请书》。

2.5申请认证组织应提交的资料

2.5.1申请方申请质量、环境、职业健康安全、信息安全、信息技术服务管理体系认证时，需提供以下信息：

a) 法律地位的证明文件（包括：企业营业执照/统一社会信用代码、事业单位法人证书、社会团体登记证书、非企业法人登记证书、党政机关设立文件等）的复印件。若管理体系覆盖多场所活动，应附每个场所的法律地位证明文件的复印件（适用时）、组织机构代码证的复印件（适用时）；

b) 适用时，提供管理体系覆盖的活动所涉及有效期内的资质证书、行政许可证明、资质证书、强制性认证证书等相关的法律法规要求的证明文件（复印件）；

c) 组织的一般特性，包括名称、地址、多场所、临时场所、认证范围、流程等；

d) 其在一个较大实体中的职能和所处的关系；当申请认证的客户在产品实现/服务过程存在有分包/外包过程时，应提供相应分包/外包过程的说明；

e) 多场所、临时场所、在建和竣工项目清单（适用时）；

f) 有效版本的管理体系策划的形成文件的信息等；

g) 管理体系覆盖的产品或服务有关的法律法规、规范和标准清单；

h) 不可接受风险因素清单（适用于职业健康安全管理体系）；

i) 重要环境因素清单（适用于环境管理体系）；

k) 是否接受过与拟认证的管理体系有关的咨询，如果接受过，由谁提供咨询

l）管理体系已有效运行3个月以上的证明材料（建筑行业质量体系6个月）；

m) 申请方管理体系一体化程度信息，包括文件、管理体系要素和职责整合的信息；

n）其他与认证审核有关的必要文件。

o）根据《建设项目环境影响评价分类管理名录》提供验收报告或环境批复（适用于环境管理体系）

p）认证组织复杂度计算表(适用于OHSMS)

2.5.2客户申请信息安全和信息技术服务管理体系认证时，还需在6.2.5的基础上提供以下信息：

a）向ZXB说明是否有适用的关于ISMS/SMS认证机构的资质、诚信守法记录或认证人员身份背景的要求，以及适用的与保守国家秘密或维护国家安全有关的法律法规要求。并在有需要情况下即时更新该说明，以便ZXB判断其是否具备对该申请方实施认证活动的资格或条件。

b) 确定的SMS 的范围。 ZXB应确保客户的SMS范围恰当地反映其服务活动，并确保客户没有将其活动中应包含的SMS运行要素排除在认证范围之外。

c）适用时，应在递交认证申请时指明不完全包含在SMS范围内的服务活动。例如，与其他组织共同提供服务的情况。

2.6 对多场所组织的要求

当申请方存在多场所并与总部一起申请认证时，应提交多场所清单，多场所的法律地位证明文件及与总部关系的说明,以及2.5适用的要求的材料。

3、 认证受理

3.1运营部收到申请方的认证申请书和提供的资料后，应进行清点、登记，妥善保管，注意保密。以便于评审和受理。

3.2运营部组织人员对认证申请书和随附资料进行预评审，对以下内容做出判断，决定是否受理申请：

a) 考虑申请的认证范围、申请方的运作场所、员工人数、生产周期、完成审核需要的时间和任何其他影响认证活动的因素（语言、安全条件、对公正性的影响等）；

b) 申请组织及其管理体系的信息足以建立审核方案；

c) 认证要求是否已得到明确规定并形成文件，且已提供给申请方；

d) 申请方提交的资料是否齐全；

e)  ZXB和申请方在理解上的任何已知的差异都已得到解决；

f) 申请方在一个较大实体中所处的关系是否得到说明；

g)  ZXB有能力并能够实施认证活动；

h) 申请方从事的活动是否符合相关法律法规的规定;

i） 申请方为达到质量/环境/职业健康安全/信息安全/信息技术服务管理目标是否建立了文件化的质量/环境/职业健康安全/信息安全/信息技术服务管理体系并已有效运行3个月以上（建筑行业质量体系6个月）；

j）组成审核组，考虑审核组及认证决定人员需要具备的能力。

k）对ISMS，申请方符合工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》的要求，以及有关主管部门/监管部门对信息安全管理体系认证的管理要求（如工信部 2011 年第 21 号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等）。

l）对信息技术服务管理体系认证申请评审中，运营部应基于CNAS-SC175文件C.2.2.2 a）所述的能力需求分析的结果，根据特定客户的具体情况分析对其实施审核和认证所需的能力，并确保相关认证人员具备或能够获取所需的能力。针对特定客户的审核和认证能力需求分析宜关注那些在进行CNAS-SC175文件C.2.2.2 a）所述的能力需求分析时未考虑到的情况。技术部宜根据已获证客户ITSMS的变化对已有的能力需求分析结果进行审查和必要的更新。

m）保持了决定实施审核的理由的记录。

3.3 根据资料评审结果符合要求后，由运营部正式受理认证申请；并应向申请人至少公开以下信息：认证业务范围，公正性政策，认证工作程序，认证依据，证书样式及有效期，认证收费标准，申投诉的处理程序，分公司和办事处的名称、业务范围、地址等。

3.4 对经评审后确定为拒绝认证申请的，运营部应及时通知申请方，说明拒绝的原因，以书面形式反馈给申请方。并保存形成文件的拒绝申请的信息。对被执法监管部门责令停业整顿或在全国企业信用信息公示系统中被列入“严重违法企业名单”的申请方，运营部不受理其认证申请。

4、 认证审核程序

4.1 申请客户与ZXB签订了正式的《管理体系认证审核合同书》之后，ZXB开始启动认证审核工作。

4.2 ZXB安排文审人员对申请客户所提供的管理体系文件进行文审。

4.3 ZXB运营部负责制定审核方案，包括任命审核组长、选择审核组其他成员、确定审核时间等。

4.4 当申请客户认为必要时，通知ZXB进行预审。

4.5 现场审核之前，由审核组长编制审核计划后书面通知受审核方，并得到受审核方对审该计划的书面确认。

4.6质量、环境、职业健康安全、信息安全管理体系和信息技术服务管理体系初次认证审核分两个阶段进行，申请方应通过第一阶段审核后才能进行第二阶段审核。其中质量管理体系的工程建设施工企业、信息安全管理体系、信息技术服务管理体系的第一阶段审核不能策划不到受审核方现场实施。

4.7审核组按照审核计划实施现场审核。

4.8 对现场审核中发现的不符合项，受审核方应制定相应的纠正和纠正措施并予以实施，并以书面形式报告审核组长。只有在对所有不符合项都采取了相应的纠正和纠正措施并验证有效之后，审核组长才可以向ZXB推荐认证注册。

4.9 审核组长向ZXB提交审核报告，审核报告中需要对受审核客户的管理体系是否符合相关标准和认证要求做出说明。经ZXB审议批准后的审核报告应提交受审核方或审核委托方。

5、 认证批准与注册

5.1 ZXB对审核组提交的现场审核资料（包括审核报告）进行审议，做出认证决定结论。

5.2 ZXB批准认证注册并签发认证证书。

5.3 ZXB向获证客户发放认证证书和相关获证材料。

5.4 对获证注册的客户，ZXB及时在ZXB网站予以公告，并包括其地址和获准认证的范围、有效期限等。

5.5 对未被批准的受审核方，ZXB会及时通知受审核方并说明原因。

6、 监督审核

6.1 监督审核的目的

监督审核的目的是为了确认认证证书的持有者其管理体系是否持续满足认证标准的要求，并应实现自我完善和持续改进。监督审核的结果，将作为ZXB做出保持、缩小、暂停、撤销决定的依据。

6.2 监督审核的频次

监督审核拟每年一次（但不限于一次），第一次监督审核应在初次审核第二阶段末次会议后的9-12个月内进行，最晚不能超过12个月，其后的相邻的两次监督不能超过12个月。监督审核时间亦在获证客户的生产旺季进行，建筑企业应在其具有代表性的在建项目施工期间时进行审核。需要时，监督审核可以在一年中进行一次以上的监督审核，以覆盖监督审核的所有要求。

为了考虑诸如市场、季节或有限时段的管理体系认证（例如临时施工场所）等因素，可能有必要调整监督审核的频次；当获证客户管理体系发生重大变更，或发生重大质量/环境/职业健康安全/信息技术服务事故及信息安全事件时，ZXB应增加跟踪监督的频次。由于市场、产品生产的季节性原因，在每次跟踪监督审核时难以覆盖所有产品和服务的，在认证证书有效期内的跟踪监督审核必须覆盖管理体系认证范围内的所有产品和服务。

6.3 监督审核的内容

6.3.1 质量管理体系监督审核的主要内容：

a) 对上次审核时确定的不符合项所采取的纠正措施的审查；

b) 顾客或相关方投诉；

c) 文件化体系的变化；

d) 变更涉及的区域；

e) 适当时，其他选定的区域；

f) 每次监督时，审核组长应检查以下方面并与负责的管理者会谈：

----在实现客户目标和预期结果方面质量管理体系的有效性；

----向管理者报告任何违规情况的程序是否发挥作用；

----旨在持续改进体系绩效策划的活动的进展情况；

----内部审核和管理评审结论的跟踪；

g) 证书、标志的使用和（或）任何其他对认证资格的引用；

h) 对客户环境及客户基于风险思考的理解和审核；

i) 向ZXB提交的对客户的申诉、投诉和争议的记录，在显露任何不符合或没有满足认证要求的地方，客户是否已经调查了自己的体系和程序并采取了适当的纠正措施。

6.3.2 环境管理体系监督审核的主要内容：

a) 环境管理体系实现客户的环境方针目标和预期结果方面的有效性；

b) 与负责环境管理体系的管理层交谈；

c) 检查客户是否按环境管理体系标准的要求实施了接收、记录与外部相关方交流的信息并做出回应的程序；

d) 检查客户是否实施了定期评价法律法规的符合性的程序；

e) 根据客户的环境方针为强化环境管理体系以全面提高环境绩效所策划的活动的进展情况；对客户运用生命周期观点的审核；

f) 检查客户对内部审核和管理评审结果的跟踪情况；

g) 对上次审核中确定的不符合所采取的纠正措施落实情况；

h) 对投诉所采取的措施；

i) 对客户的认证证书、标志与报告的使用及和（或）任何其他对认证资格的引用情况予以监督；

j) 任何变更；

k) 查看申诉、投诉与争议的记录，并确认当出现有不符合或不能满足ZXB要求的情况时，客户是否已检查了其自身体系存在的问题并采取了适当的纠正措施。

6.3.3 职业健康安全管理体系监督审核的主要内容：

a) 职业健康安全管理体系在提供安全和健康工作环境以及实现职业健康安全方针的目标和预期结果方面的有效性；

b) 与负责职业健康安全管理体系的管理层面谈；

c) 检查客户是否按职业健康安全管理体系标准要求实施了接收和记录与外部相关方交流的信息并做出反馈的程序；

d) 检查客户是否实施了对相关职业健康安全法律法规符合性进行定期评价的程序；

e) 检查客户根据客户的职业健康安全方针，为强化职业健康安全体系以全面提高职业健康安全绩效所策划的活动的进展情况；

f) 检查客户对内部审核和管理评审结论的后续行动；

g) 检查客户对上次审核中发现的不符合采取的措施；

h) 检查客户对投诉所采取的措施；

i) 任何变更；

j) 证书、标志的使用和（或）任何其他对认证资格的引用。

6.3.4 ISMS监督审核的主要内容：

a）ISMS在实现客户信息安全方针的目标方面的有效性；

b）对与相关信息安全法律法规的符合性进行定期评价与评审的规程的运行情况；

c）所确定的控制的变更，及其引起的SoA的变更；

d）控制的实施和有效性（根据审核方案来审查）；

e) 顾客投诉及处理；行业主管部门监督和抽查的结果；

f) 文件化管理体系的变更；发生变更的区域；

g) 内部审核、管理评审；

h) 证书、标志的使用和（或）任何其他对认证资格的引用；

i) 对上次审核中确定的不符合所采取的纠正措施。

6.3.5 SMS监督审核的主要内容：

a) 信息技术服务管理体系在实现客户的服务管理方针目标和预期结果方面的有效性；

b) 检查客户为持续改进而策划的活动的进展情况；

c）检查客户持续的运作控制；

d) 检查客户对内部审核和管理评审结论的后续行动；

e) 检查客户对上次审核中发现的不符合采取的措施；

f) 检查客户对投诉所采取的措施；

g) 任何变更；

h) 证书、标志的使用和（或）任何其他对认证资格的引用；

i) ITSMS体系变化和保持情况；

j）服务目录的变化情况；

k）适当时，其它选定的范围。

6.3.6 在证书有效期内，获证客户应及时向认证机构通报以下信息：

a) 法律地位、生产经营状况、组织状态或所有权的变更；取得的行政许可资格、强制性认证或其他资质证书变更；

b) 组织和管理层(如关键的管理、决策或技术人员)的变更，法定代表人、最高管理者、主要联系人变更；

c) 获证管理体系覆盖的运作范围的变更（含地理位置、场所、产品/服务、活动等）；

d) 管理体系和过程、工艺、环境等的重大变更；

e) 发生重大问题(质量/环境/职业健康安全/食品安全事件、媒体曝光、执法检查不合格、行业通报等)；

f) 政府或行业主管部门/行业自律组织检查或市场抽查不合格；出口的产品因安全卫生方面的问题被进口国（地区）主管当局通报的；

g) 客户及相关方的重大投诉；

h) 客户名称、联系地址和场所、通讯方式等的变更等；

i) 其他重要信息。

7 、再认证

认证证书有效期满前三个月，获证客户应以书面的形式向ZXB提出再认证申请，再认证现场审核应至少在认证证书到期前一个半月进行，且与上次监督审核的时间间隔不得超过12个月，不符合项的关闭及认证决定应在在证书期满前整改完毕，再认证合格后，换发新的认证证书。如果在认证终止日期前，ZXB不能对获证客户完成再认证审核或不能验证对严重不符合实施的纠正和纠正措施，则不应推荐再认证，获证客户不在拥有认证的效力。在认证到期后，如果在 6个月内完成未尽的再认证活动，则可以恢复认证，否则应至少进行一次第二阶段才能恢复认证。证书的生效日期应不早于再认证决定日期，终止日期应基于上一个认证周期。再认证程序与初次评审程序一致。

8、其他特殊审核

为调查投诉、对变更做出回应或对被暂停的客户进行追踪等情况，可能需要在提前较短时间通知获证客户后或不通知获证客户就对其进行非例行审核。非例行审核根据特定因素进行策划。

9、终止审核、认证范围的扩大与缩小

9.1 终止审核

    对申请客户的现场审核时如发生以下情况ZXB将终止客户的认证活动：

a）申请客户对审核活动不予配合，审核活动无法进行；

b）申请客户实际情况与申请材料有重大不一致；

c）其它导致审核程序无法完成的情况。

    审核组将已完成的审核工作和终止审核的原因形成审核报告，提交运营部。

9.2 认证范围的扩大与缩小

    获证客户如需要扩大认证范围，应向ZXB运营部提出书面申请，由ZXB运营部评审确认后安排审核。审核可结合监督审核一并进行或单独进行，但应适当增加审核时间并收取相应的费用。获证客户申请缩小认证范围或审核组按现场审核情况要求缩小认证范围时，ZXB将重新颁发证书，如有必要则派审核组进行现场核查。认证范围的扩大申请、评审、批准的实施参照初审程序进行。认证范围缩小可结合监督检查进行评审或安排专人处理，评定合格后换发证书。