认证程序

6.1管理体系认证申请的基本条件

6.1.1申请质量管理/环境管理/职业健康安全管理/信息安全管理体系/基于ISO/IEC 20000-1的基于ISO/IEC 20000-1的服务管理体系等管理体系以及申请服务认证的组织应符合以下基本条件：

a）持有有效法律地位证明文件，对有行政许可要求的，已取得相应行政许可；当申请方存在多场所并与总部一起申请时，拟申请认证的多场所亦应提供相应的法律证明文件,同时提供与总部一起申请认证的书面承诺文件。

b）已按认证标准和相关专项技术要求或标准，建立了文件化的管理体系，并已有效运行三个月以上，且已实施了覆盖所有程序的内审和管理评审。

c）申请质量管理体系认证的建筑施工类组织，依据ISO 9001:2015《质量管理体系 要求》和GB/T50430-2017《工程建筑施工企业质量管理规范》建立了文件化管理体系，并已有效运行3个月以上且已实施了覆盖所有程序的内审和管理评审。 

d) 产品和（或）服务符合适用的我国和进口国（地区）相关法律、法规、标准和规范的的规定，且1 年内申请范围内产品未发生国抽不合格或已整改合格。

e) 12个月内未发生过重大环境污染事故，污染物无超标排放(适用于环境管理体系)。

f) 12个月内未发生过无重大安全事故（适用于职业健康安全管理体系）。

g) 12个月内未出现信息安全事件/信息技术服务事故（适用于ISMS和SMS）；

h）承诺始终遵守适用的国家法律、法规和其他应遵守的要求,承诺始终遵守认证的有关规定，当前未被责令停产停业、未列入严重违法失信名单，1 年内未发生重大质量事故；

i）承诺获得认证后，按规定使用认证证书和认证标志，按合同支付认证费用；

    j）上一次认证证书有效期内，按规定接受了监督审核，且满足保持证书的要求（适用于再认证）；

k）再认证要求：原证书因自身原因被暂停 / 撤销满 1 年方可重新申请；

l）客户应符合工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》的要求，以及有关主管部门/监管部门对信息安全管理体系认证的管理要求（如工信部 2011 年第 21 号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等）。（适用于ISMS）。

6.2认证申请

6.2.1申请方可以书面形式、来人面谈或电话、传真联系的方式向ZXB运营部查询有关认证事项和提出认证申请意向。

6.2.2运营部获悉认证申请意向后，将首先判断客户对认证标准和认证范围的要求是否在ZXB被批准的范围内，且ZXB是否具备专业审核能力。拟开展的 QMS 业务范围需配备至少 2 名专业领域审核员，审核员需满足学历 / 工作经历 / 职称 / 审核经历等能力要求。

6.2.3经初步确认该项申请在ZXB的认证范围之内，或有能力进行审核，由运营部答复申请方的查询，向申请方提供ZXB的《公开文件》，向申请方公开认证业务范围风险类型、审核时间标准、证书编号规则等信息。

6.2.4 申请方应填写并提交正式的、并由授权代表签署和填写完整的《管理体系认证申请书》和（或）《服务认证申请书》，包括申请认证的生产、认证范围内有效人数、外包过程、班次及季节性生产信息、经营或服务活动范围及活动情况的说明，对于OHSMS还应包含在组织场所内及组织场所外的工作人员的详细信息，对于服务认证应明确服务网点。

6.2.5申请认证组织应提交的资料

6.2.5.1申请方申请质量、环境、职业健康安全、信息安全、基于ISO/IEC 2000-1的服务管理体系认证和（或）服务认证时，需提供以下信息：

a) 法律地位的证明文件（包括：企业营业执照/统一社会信用代码、事业单位法人证书、社会团体登记证书、非企业法人登记证书、党政机关设立文件等）的复印件。若管理体系覆盖多场所活动，应附每个场所的法律地位证明文件的复印件（适用时）、组织机构代码证的复印件（适用时）；

b) 适用时，提供管理体系覆盖的活动所涉及有效期内的资质证书、行政许可证明、资质证书、强制性认证证书等相关的法律法规要求的证明文件（复印件）；

c) 组织的一般特性，包括名称、地址、多场所、临时场所、认证范围、流程等；

d) 其在一个较大实体中的职能和所处的关系；当申请认证的客户在产品实现/服务过程存在有分包/外包过程时，应提供相应分包/外包过程的说明；

e) 多场所、临时场所、在建和竣工项目清单（适用时）；

f) 有效版本的体系策划的形成文件的信息等；

g) 体系覆盖的产品或服务有关的法律法规、规范和标准清单；

h) 所识别的与过程有关的主要的危险源和OHS风险，在过程中所使用的主要危险材料以

及任何适用的OHS法规中的有关的法律义务，包括危险源辨识和风险评价清单、危险材料（化

学品)清单、适用法律法规要求清单等；（适用于职业健康安全管理体系）；

i) 重要环境因素清单（适用于环境管理体系）；

k) 是否接受过与拟认证的管理体系有关的咨询，如果接受过，由谁提供咨询；

l）管理体系已有效运行3个月以上的证明材料（建筑行业质量体系3个月）（如文件发布记录、运行数据、内审 / 管评报告等）；

m) 申请方管理体系一体化程度信息，包括文件、管理体系要素和职责整合的信息；

n）根据《固定污染源排污许可分类管理名录》提供排污许可证、排污登记表（适用于环

境管理体系)

o）根据《建设项目环境影响评价分类管理名录》提供验收报告或环境批复（适用于环境管理体系）

p）其他与任何审核有关的必要文件。6.2.6客户申请信息安全和基于ISO/IEC 2000-1的服务管理体系认证时，还需在6.2.5的基础上提供以下信息：

a）向ZXB说明是否有适用的关于ISMS/SMS认证机构的资质、诚信守法记录或认证人员身份背景的要求，以及适用的与保守国家秘密或维护国家安全有关的法律法规要求。并在有需要情况下即时更新该说明，以便ZXB判断其是否具备对该申请方实施认证活动的资格或条件。需确认客户的 ISMS 满足 ISO/IEC 27001:2022 的要求和客户的策略与目标。（组织的必要控制可能是其自行设计的，也可能是从任何控制源中选取的。因此，即使组织的必要控制不是来自于ISO/IEC 27001:2022附录A，组织也有可能获得ISO/IEC 27001:2022认证。）客户向ZXB说明是否存在因包含保密信息或敏感信息而导致不能提供给审核组审查的 ISMS 相关信息（例如，ISMS 记录或关于控制的设计与有效性的信息）。

b) 确定的SMS 的范围。 ZXB应确保客户的SMS范围恰当地反映其服务活动，并确保客户没有将其活动中应包含的SMS运行要素排除在认证范围之外。

c）适用时，应在递交认证申请时指明不完全包含在SMS范围内的服务活动。例如，与其他组织共同提供服务的情况。

d）对基于ISO/IEC 2000-1的服务管理体系认证范围涉及的业务活动的描述，包括利用信息技术为内部或外部顾客的业务过程提供支持的说明。

6.2.7 客户申请服务认证时，还需在6.2.5的基础上提供以下信息：

 a)产品销售网点/售后服务网点清单；

 b）申报服务活动的详细说明，主要的服务流程以及适用时为服务运作提供支持的主要服务设施以及售后服务管理的数量。

c）组织简介（包括本单位经营范围、规模、特色、实力，在国内外同行业中利税、技术、产量、 质量、销售等方面的地位）；

d )组织机构图（ 1、总的组织机构图； 2、售后服务体系有关部门组织机构图）；

e）组织依据GB/T 27922 进行的自我评价报告。

6.2.8 对多场所组织的要求

当申请方存在多场所并与总部一起申请认证时，应提交多场所清单，多场所的法律地位证明文件及与总部关系的说明,以及6.2.5、6.2.6适用的要求的材料。

6.3 认证受理

6.3.1运营部收到申请方的认证申请书和提供的资料后，应进行清点、登记，妥善保管，注意保密。以便于评审和受理。

6.3.2运营部组织人员对认证申请书和随附资料进行预评审，对以下内容做出判断，决定是否受理申请：

a) 考虑申请的认证范围、申请方的运作场所、员工人数、生产周期、服务场所、完成审核/审查需要的时间和任何其他影响认证活动的因素（语言、安全条件、对公正性的影响等）、结合风险类型调整，减少幅度不超过基础人日的 30%，现场审核时间不低于 80%；

b) 申请组织及其管理体系的信息足以建立审核方案；

c) 认证要求是否已得到明确规定并形成文件，且已提供给申请方；

d) 申请方提交的资料是否齐全；

e) ZXB和申请方在理解上的任何已知的差异都已得到解决；

f) 申请方在一个较大实体中所处的关系是否得到说明；

g) ZXB有能力并能够实施认证活动，审核组需包含至少 1 名专职审核员、1 名专业领域审核员，第一阶段审核员需参与第二阶段；

h) 申请方从事的活动是否符合相关法律法规的规定;

i） 申请方为达到质量/环境/职业健康安全/信息安全/基于ISO/IEC 2000-1的服务管理/服务目标是否建立了文件化的质量/环境/职业健康安全/信息安全/基于ISO/IEC 2000-1的服务管理体系/服务认证并已有效运行3个月以上（建筑行业质量体系3个月）且已实施内审 / 管评；

j）组成审核/审查组，考虑审核/审查组及认证决定人员需要具备的能力。

k）对ISMS，申请方符合工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》的要求，以及有关主管部门/监管部门对信息安全管理体系认证的管理要求（如工信部 2011 年第 21 号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等）。

l）对基于IS0/IEC20000-1的服务管理体系认证申请评审中，运营部应评审客户的申请，以确保清晰地了解了客户的活动区域，以及SMS和服务的可能风险。

运营部识别申请客户的行业类别和与之相应的信息技术服务提供过程的特性和服务要求；掌握国家对相应行业的基于IS0/IEC20000-1的服务管理体系认证的管理要求。

    m）保持了决定实施审核/审查的理由的记录。

6.3.3 根据资料评审结果符合要求后，由运营部正式受理认证申请；并应向申请人至少公开以下信息：认证业务范围，公正性政策，认证工作程序，认证依据，证书样式及有效期，认证收费标准，申投诉的处理程序，分公司和办事处的名称（适用时）、业务范围、地址、认证标准换版规定、提前短时间通知审核的情形等。

6.3.4 对经评审后确定为拒绝认证申请的，运营部应及时通知申请方，说明拒绝的原因，以书面形式反馈给申请方。并保存形成文件的拒绝申请的信息。对被执法监管部门责令停业整顿或在全国企业信用信息公示系统中被列入“严重违法失信名单”的申请方，运营部不受理其认证申请。

6.4 认证审核/审查程序

6.4.1 申请客户与ZXB签订了正式的《管理体系认证合同》、《服务认证合同》，并，明确费用直接支付、资质注销 / 撤销的经济赔偿责任之后，ZXB开始启动认证审核/审查工作。

6.4.2 ZXB安排文审人员对申请客户所提供的管理体系/服务认证文件进行文审。

6.4.3 ZXB运营部负责制定审核/审查方案，包括任命审核/审查组长、选择审核/审查组其他成员、确定审核/审查时间等，初次认证方案包含两阶段审核 + 监督 + 再认证，监督至少 2 次，需覆盖标准所有要求和典型产品 / 服务。

6.4.4 当申请客户认为必要时，通知ZXB进行预审。

6.4.5 现场审核/审查之前，由审核/审查组长编制审核/审查计划后书面通知受审核方，审核/审查应注明审核员注册号、专业代码，审核安排在生产 / 服务正常运行时进行，并得到受审核方对审该计划的书面确认。

6.4.6 质量、环境、职业健康安全、信息安全管理体系和基于IS0/IEC20000-1的服务管理体系初次认证审核分两个阶段进行，申请方应通过第一阶段审核后才能进行第二阶段审核。其中质量管理体系的工程建设施工企业、信息安全管理体系、基于IS0/IEC20000-1的服务管理体系的第一阶段审核不能策划不到受审核方现场实施。 质量管理体系两阶段审核要求：间隔最短 5 日、最长 6 个月，超期需重新实施一阶段；一阶段原则上需现场实施，特殊情况可豁免但需记录理由。服务认证审查采取文审加现场评价的方式。服务认证现场评价宜安排在正常营业时间内进行， 应能够有效观察到组织提供的服务活动。评价采用一组由服务特性测评与服务管理审核相结合的评价方式。（评价方式包括：a)  服务特性测评；b)  服务管理审核；c)  暗访（必要时））。

6.4.7 审核/审查组按照审核计划实施现场审核，记录应使用中文，可辅以图片 / 音像；重点审核最高管理者领导作用，不熟悉质量方针 / 未参与体系实施的审核不予通过。

6.4.8 对管理体系认证现场审核中发现的不符合项，受审核方应制定相应的纠正和纠正措施并予以实施，并以书面形式报告审核组长。只有在对所有不符合项都采取了相应的纠正和纠正措施并验证有效之后，审核组长才可以向ZXB推荐认证注册。服务认证现场审查为通过打分确定受审核方星级，审查组长不需开具不符合项。不符合项验证要求：严重不符合初次认证 6 个月内、监督 3 个月内、再认证证书到期前验证；轻微不符合可下次审核验证。

6.4.9 审核/审查组长向ZXB提交审核报告，审核/审查报告中需要对受审核客户的管理体系认证和服务认证是否符合相关标准和认证要求做出说明，需包含最高管理者审核情况、国抽不合格整改情况、证书标志使用情况等。经ZXB审议批准后的审核/审查报告应提交受审核方或审核委托方。

6.5 认证批准与注册

6.5.1 ZXB对审核组提交的现场审核/审查资料（包括审核报告）进行审议，做出认证决定结论。认证决定应由专职人员做出，不得外包，境内完成。

6.5.2 ZXB批准认证注册并签发认证证书，证书有效期最长 3 年。

6.5.3 ZXB向获证客户发放认证证书和相关获证材料。

6.5.4 对获证注册的客户，ZXB及时在ZXB网站予以公告，并包括其地址和获准认证的范围、有效期限等。

6.5.5 对未被批准的受审核方，ZXB会及时通知受审核方并说明原因。

6.6 监督审核

6.6.1 监督审核的目的

监督审核的目的是为了确认认证证书的持有者其管理体系认证和服务认证是否持续满足认证标准的要求，并应实现自我完善和持续改进。监督审核/审查的结果，将作为ZXB做出保持、缩小、暂停、撤销决定的依据。

6.6.2 监督审核的频次

监督审核应至少每个日历年（应进行再认证的年份除外）进行一次。初次认证后的第一次监督审核应在认证决定日期起12个月内进行。此后，监督审核应至少每个日历年（应进行再认证的年份除外）进行一次，且两次监督审核的时间间隔不得超过15个月。监督审核时间亦在获证客户的生产旺季进行，建筑企业应在其具有代表性的在建项目施工期间时进行审核。需要时，监督审核可以在一年中进行一次以上的监督审核，以覆盖监督审核的所有要求。服务认证初次评价后或第一次监督评价结束后的9- 12个月内完成第一年与第二年的监督评价。

为了考虑诸如市场、季节或有限时段的管理体系认证（例如临时施工场所）等因素，可能有必要调整监督审核的频次；当获证客户管理体系发生重大变更，或发生重大质量/环境/职业健康安全/信息技术服务事故及信息安全事件时，ZXB应增加跟踪监督的频次。由于市场、产品生产的季节性原因，在每次跟踪监督审核时难以覆盖所有产品和服务的，在认证证书有效期内的跟踪监督审核必须覆盖管理体系认证范围内的所有产品和服务。

6.6.3 监督审核的内容

6.6.3.1 质量管理体系监督审核的主要内容：

a) 对上次审核时确定的不符合项所采取的纠正措施的审查；

b) 顾客或相关方投诉；

c) 文件化体系的变化；

d) 变更涉及的区域；

e) 适当时，其他选定的区域；

f) 每次监督时，审核组长应检查以下方面并与负责的管理者会谈：

----在实现客户目标和预期结果方面质量管理体系的有效性；

----向管理者报告任何违规情况的程序是否发挥作用；

----旨在持续改进体系绩效策划的活动的进展情况；

----内部审核和管理评审结论的跟踪；

g) 证书、标志的使用和（或）任何其他对认证资格的引用；

h) 对客户环境及客户基于风险思考的理解和审核；

i) 向ZXB提交的对客户的申诉、投诉和争议的记录，在显露任何不符合或没有满足认证要求的地方，客户是否已经调查了自己的体系和程序并采取了适当的纠正措施。

6.6.3.2 环境管理体系监督审核的主要内容：

a) 环境管理体系实现客户的环境方针目标和预期结果方面的有效性；

b) 与负责环境管理体系的管理层交谈；

c) 检查客户是否按环境管理体系标准的要求实施了接收、记录与外部相关方交流的信息并做出回应的程序；

d) 检查客户是否实施了定期评价法律法规的符合性的程序；

e) 根据客户的环境方针为强化环境管理体系以全面提高环境绩效所策划的活动的进展情况；对客户运用生命周期观点的审核；

f) 检查客户对内部审核和管理评审结果的跟踪情况；

g) 对上次审核中确定的不符合所采取的纠正措施落实情况；

h) 对投诉所采取的措施；

i) 对客户的认证证书、标志与报告的使用及和（或）任何其他对认证资格的引用情况予以监督；

j) 任何变更；

k) 查看申诉、投诉与争议的记录，并确认当出现有不符合或不能满足ZXB要求的情况时，客户是否已检查了其自身体系存在的问题并采取了适当的纠正措施。

6.6.3.3 职业健康安全管理体系监督审核的主要内容：

a) 职业健康安全管理体系在提供安全和健康工作环境以及实现职业健康安全方针的目标和预期结果方面的有效性；

b) 与负责职业健康安全管理体系的管理层面谈；

c) 检查客户是否按职业健康安全管理体系标准要求实施了接收和记录与外部相关方交流的信息并做出反馈的程序；

d) 检查客户是否实施了对相关职业健康安全法律法规符合性进行定期评价的程序；

e) 检查客户根据客户的职业健康安全方针，为强化职业健康安全体系以全面提高职业健康安全绩效所策划的活动的进展情况；

f) 检查客户对内部审核和管理评审结论的后续行动；

g) 检查客户对上次审核中发现的不符合采取的措施；

h) 检查客户对投诉所采取的措施；

i) 任何变更；

j) 证书、标志的使用和（或）任何其他对认证资格的引用。

6.6.3.4 ISMS监督审核的主要内容：

a） ISMS 在实现客户信息安全方针的目标方面的有效性；

b） 相关信息安全法律法规合规性的定期评价和审查规程的运行情况；

c） 所确定的控制的变更，及其引起的适用性声明变更；

d） 审核方案中所述控制的实现和有效性。

6.6.3.5 SMS监督审核的主要内容：

a) 基于IS0/IEC20000-1的服务管理体系在实现客户的服务管理方针目标和预期结果方面的有效性；

b) 检查客户为持续改进而策划的活动的进展情况；

c）检查客户持续的运作控制；

d) 检查客户对内部审核和管理评审结论的后续行动；

e) 检查客户对上次审核中发现的不符合采取的措施；

f) 检查客户对投诉所采取的措施；

g) 任何变更；

h) 证书、标志的使用和（或）任何其他对认证资格的引用；

i) SMS体系变化和保持情况；

j）服务目录的变化情况；

k）适当时，其它选定的范围。

6.6.3.6 SC监督评价的主要内容：

a)在监督周期内服务管理体系的任何变更，包括组织机构、体系文件修改、主要负责人更换、服务场所范围的变化情况；

b)组织的内部监督评价活动及改进的效果；

c)组织代表性区域和活动；

d)对上次未得分项的证据进行验证，有无遗漏问题或再发生；

e)相关方/顾客的投诉、申诉、争议的处理，确认组织采取纠正及纠正措施的有效性以及重大投诉对认证保持的影响；

f)认证证书、标志的使用。

6.6.3.7在证书有效期内，获证客户应及时向认证机构通报以下信息：

a) 法律地位、生产经营状况、组织状态或所有权的变更；取得的行政许可资格、强制性认证或其他资质证书变更；

b) 组织和管理层(如关键的管理、决策或技术人员)的变更，法定代表人、最高管理者、主要联系人变更；

c) 获证管理体系覆盖的运作范围的变更（含地理位置、场所、产品/服务、活动等）；

d) 管理体系和服务、过程、工艺、环境等的重大变更；

e) 发生重大问题(质量/环境/职业健康安全/信息技术服务事故及信息安全事件、媒体曝光、执法检查不合格、行业通报等)；

f) 政府或行业主管部门/行业自律组织检查或市场抽查不合格；出口的产品因安全卫生方面的问题被进口国（地区）主管当局通报的；

g) 行政许可过期失效、重大质量舆情、体系与业务严重脱离等；

h) 客户及相关方的重大投诉；

i) 客户名称、联系地址和场所、通讯方式等的变更等；

j) 其他重要信息。

6.7 再认证

认证证书有效期满前三个月，获证客户应以书面的形式向ZXB提出再认证申请，再认证现场审核应至少在认证证书到期前一个半月进行，再认证审核时间不少于初次认证的 2/3，且与上次监督审核的时间间隔不得超过12个月，不符合项的关闭及认证决定应在在证书期满前整改完毕，再认证合格后，换发新的认证证书，未按期完成认证决定的证书自动失效。如果在认证终止日期前，ZXB不能对获证客户完成再认证审核或不能验证对严重不符合实施的纠正和纠正措施，则不应推荐再认证，获证客户不在拥有认证的效力。再认证到期后，如果在 6个月内完成未尽的再认证活动，则可以恢复认证，否则应至少进行一次第二阶段才能恢复认证。证书的生效日期应不早于再认证决定日期，终止日期应基于上一个认证周期。再认证程序与初次评审程序一致。

6.8 其他特殊审核

为调查投诉、对变更做出回应或对被暂停的客户进行追踪等情况，可能需要在提前较短时间通知获证客户后或不通知获证客户就对其进行非例行审核。非例行审核根据特定因素进行策划。获证组织产品国抽不合格的，30 日内实施提前短时间通知审核。

7 终止审核、认证范围的扩大与缩小

7.1 终止审核

    对申请客户的现场审核时如发生以下情况ZXB将终止客户的认证、服务活动：

    a）申请客户对审核活动不予配合，审核活动无法进行；

    b）申请客户实际情况与申请材料有重大不一致；

c）最高管理者缺席首末次会议；

d）其它导致审核程序无法完成的情况。

    审核组将已完成的审核工作和终止审核的原因形成审核报告，提交运营部。

7.2 认证范围的扩大与缩小

获证客户如需要扩大认证、服务范围，应向ZXB运营部提出书面申请，由ZXB运营部评审确认后安排审核。审核可结合监督审核一并进行或单独进行，但应适当增加审核时间并收取相应的费用。获证客户申请缩小认证、服务范围或审核/审查组按现场审核情况要求缩小认证范围时，ZXB将重新颁发证书，如有必要则派审核/审查组进行现场核查。认证范围的扩大申请、评审、批准的实施参照初审程序进行。认证、服务范围缩小可结合监督检查进行评审或安排专人处理，评定合格后换发证书。