GB/T 38701-2020 供应链安全管理体系 对供应链安全管理体系审核认证机构的要求

lCS03.100.0l

90

春日

华人

家标准

唱／T38701-2020/lSO28003:2007

供应链安全管理体系对供应链

安全管理体系审核认证机构的要求

rill'nrth1esopplyChain·-Requirementsforbodi

prO\'idiupplvchainsecurit''mana2ement·svstem

CISO28003:2007,IDT)

2020-03~31发布2020-09-01实施

发布

B／τ3870l-2020/ISO28003,2007

自次

前言………………………··……,..I

寻l畜…,.••,••.•,……………….,.••,…··………n

ll11"

2如辅佐引用文件－

3术肝和帘。

川证机构的原则……………...,..………………·………·?

通用要求…...…..…3

纣；1句要求…………………·……………·…5

7资淑要牢。

目信息要求－

｝~）屈要求……..……………….,…………··……12

10认班机构的管理体系要求……～．．．，．．．．＠．．．．．，．．．．．．，．．．．．川..,.,.叶22

资斜，性附录〉对审眩时间确定过程的导贝4………噜...…….2t1

多场所组织的审榕准则…….......……………….28

市烛’员的教育、丁，作租市践经历及:t;lVIIfl苦耐……….~1

审核员能力必求…………......….32

考文献，，．…，,.!，…φ，．．．．．．，……，.….t”’…··…34

:tr38701i-2'020/ISO28003,2007

…前－

一

目

。起草。

供应链系审，及

、魏2豆、1菁英、1气无龙、孙HJ;车、宋跃炜、叶假f「、

俄、张剑、孙兵、李正样、曾繁仰、｜踪伟、ff~。

B／τ3870l-2020/ISO28003,2007

引

和11

供应链安全管理体系认证将由经承认的机构［例如同际认可论坛OA们的成员〕认可的认证机

他，.，＿c

式实施供~·F

进供应能

口供应链安全

的文化和习惯是适当的．

:tr38701i-2'020/ISO28003,2007

供应链安全管理体系对供应链

安全管理体系审核认证机构的要求

1范

际恨t

JI(）的认证机构认可提供了一致的

一－:X·l应用IS{

！峙泣的供应链安全管理体系要求〉实

2规范性引用文中

期的版本运用．

ISO/IEC17000:2004评定向汇和边用原则＜Conformityas~e.s.smenc-Vocahularynnd

generalprinciple!')

ISO19011:2002南（Guidelinesforqualitycind/orenvirυnmentalmanage

可J只Lem~miditing)

TSO28000供应链安全管理体系规范（Specificationforsecuritymanagement叩川emsforthe

~upµlychain)

3术语和定义

YSO/TBC17000界定的以及下列术语和定义适用于本文件。

3.1

军在证窑卢certifi.edclie11t

供应链安全管理体系已获得有资格的第三方认证的组织．

3.2

公蓝性imparUaUt

际存在的并被认识到的客观性．

B／τ3870l-2020/ISO28003,2007

机构的后结活动产生

li~.不会

语14·?

.w..中立、公平、恩想开明、

3.3

i荣的风险评估man吨栩冒entsvs~emc<msul

闯en臼

全管理体系e以及实施风险评价．

－

市

a

b供具体的建议、指导或解决方朱E

cl>

理体系或审核有关的培训课程仅限于提供叫在公共场合肉由在取的通用信息，那么组织

培训不撞视为曹闹，Rll培训者不针对特定的公司提陆解决方－－·

4认证机构的原现

4.1单

4.1.lii在中后缕的1

生的也

cl)

b>

4.1.3

rt)公正性z

b）能力：

仕z

ω公开性E

J投诉的处理－

4.2公iE.

4.2.

4.2.2

悟舍这一J夺、得王m公t，飞

4.2.3符合〉的客

、甲据

4.2.4

包括：

2

:tr38701i-2'020/ISO28003,2007

fl个人或机构依其认证中专财务方面的

b)

发。

4,3能力

U证桃构的组织架构所支撑的人员能力是认iiE提供信任的必要提件．能力是给证实的有做应用适

吁知识和技能的本领。

4.4责任

4.4.l符合认证要求的责任在于客户组织而不是认证机陶－

4.4.2认证机构有责任对足够的客观证据边衍评价，并在此

fb：审核推辛苦．如

ltl符合性的证据’充分，iJ.、研机构做出接子认10:的

子认iL

理：＊帧证据应可以1险证，由于市校的时嗣相资拥有限．审格证据基于对可我JC＜信息的抽样，对审核结论的信任

J应是与抽样的情吁使用宙均相关'11.

.5公开性

4.5.l为按御对认证的i戚俏恢与内．，·碍、认iJE过程相所

有组织认证状态（即认证的授予，·f'

息。公升性是指可以获取或公布俏ω·

4.5.2为获得或保持对认证的信任－认证机构需向特定利益相关方提供获取特定审核（如为回府投户

而做的审核）纳论的非保密情息的远二~渠道．或公布这些·~品。

4.6保密性

为f享有获取充分评价与认证婴求的符合性l所f

4.7对投诉的处理

’赖认if的各方WH型投诉得到i明菇。在1：投诉经在明有效时，认证机构宦使依赖认证的各方~n信，认

iiE机构将对投诉进行远泻的处理．并为解快投诉做出适当的-:J.:i./.J0

在：为了向认证的所有m户证明认证的被阳性与丙和性，对理柯：公汗性扣保镀性〈包括·对投侨的处理〕等原则之间

5通周要习雷

5.1法律与合同事宜

5.1.l法律责任

｜、法律实体，.!t立一个法律实体内有明确界定的一部分．以便认证机向能够对英所aι

认iiE机构且

认谊活动最担法d

府的认证机陶因只：政府地位而被视为佳伴实体。

3

B／τ3870l-2020/ISO28003,2007

5.1.2认远协议

上具有强叩h

包括授予、保持、更新、扩大、缩小、暂停掬撤消认证）负

由主的权力．

5.2公E性的

5.2.l认系认证活动的公正性做出承诺，认证矶脑

系认证活动中的

织的活动。

5.2.3吁某种关系对认班机构的公lE的全贺子公司1!11其申请认

体系咨向和／1戎相犬的风险

，且同样适用

5.2.7如果咨询机梅与认iiE饥构之间的关系对认证机梅的公if:fl！构破f不可接受的威胁，而客

了i亥挥i古j机构的供应链安全管理体系再向有l／！戎相关的风险评估峰内部审核．则认ii[机构不应对该供应

.f本系'X询#J!j或榈夹凤酌评价南内育事ti•~宝结束后现过至少两年时1嗣J是将对公l正性的威胁

挝、共？~~

注21

辱、财务、合同、营销以庭结介绍新客户的

注3~；（·、J5.2.6乎nι2.7的址：tftrflT院员提出嗣决方采〈针对巳识别的不持合戒改造帆会）的肉都可i格被；最为对公正斜了

T不可接受的盹胁。

5.2.8认班机构不应将审

、容

Wil险评估的人员〈包

f客户供应链安

系

4

:tr38701i-2'020/ISO28003,2007

括

5.2.ll

应允许商

员。

链安全管理体系曹询鞠／或相关的风险评佑，则在咨嗣结束后的同年

5.3责任和财为

迸衍了评估－并对各个话功领域和运作地域的业

.

‘会证明其公正性始终没有受到商

6结构要求

6.11组织结

6.1.l认

员会才、组或个人〉：

1和责任的

a)

b)

、

JU

，．

，

的活动t

g

h

理器和其他认证人员及各委员

时．族文件应说明认证机

何参与认证活动的委员会的任命、权限和运行的正

6.2维护公里性的委员会

6.2.t认证机钩的结构应维护认证机构活动的公正性亏并具有一个迸H下列活动的委员在2

提供客观的认证活动；

川各方利益均衡，以使任一利益方不处于支配地位｛认证机响的内部或外部人员视为←／｜

5

B／τ3870l-2020/ISO28003,2007

方．

C'都

·币的

7资源要求

7.1管理忌和人员的能为

7.1.l认证机构应确保参与供应橙安全管理体系审核与认证的所有人员有能力j性任其乐娼的l；作。

；关的每个技术领域j毋需的资m和能力．以及认证主~idJ的每项职

证活动的人员．还应

7.2磐与认谊活动的人员

员，以对各种类型与范闸的审核方案遗行管理并实班主t4ft1

有1技术专

1班戚安全问题．见7Ao

7.2.3.1供应锚艾茧膛’理方法学相信息保密方

丽的能力。包括

a)I.I:lSO28000).

b)吧供应链捕关过程和实务的知识．

P识别E

1网络的和放射性的威胁．

和技儿。

6

:tr38701i-2'020/ISO28003,2007

发事件

发$件

7.2.3.2句一位供应链

分

核员。

n

h)

尚系标准应用的解释量常见问题时r霄’

罚’取适当的措施z

·两年按照

。人n的

别具有恰当的培训租下体经

7.2.4〈包括审核组段）和技以寝盖其所1l

动并

7.2.5

7.2.6

审核员以及选择认证活动使用的技对

专家。市‘.

7.2.7认

咱－－.－TSO19011.、“·

:2002中的第7寸

7.2.8：的供应链、丁．业和商业领域的

经1血。

．块内容且达到、

－动、认证要求、审核方法和荒他榈

气信息的现行珩

7.2.l4f故拙，．

的小组或个人应具备足够的知识租

7

B／τ3870l-2020/ISO28003,2007

f11号与市楼和认证活动的人员均

英活动的

描结合，并应

设tf·监视方式时．应使正常认证过

核员的表现进行现场见证．现场见证的频率应取决于根据所有可抗

专家通过书面，协议原诸其遵守认证机陶明确的适用的政

:.11~1:1.受到认证机构保密协

泊的约束。

苦士：舷据上M‘协议使用非．个审核虽有｜技术专事;t-.;构成7.5所述的外包．

7.4人员记录

、．班机构应保持认证？带动完l＇及每个人的后都记录．包括相关的资楠、培训、经历、隶属关系、专业状

况相能力。

7.4.1安全调查

认iI机向JJi建立对候选供应链安全岱理体系审楼员进行安~审查的过程｝在形成文件。

．且系认iiE成审楼

7.4.2背黑核查

－行扭’1在背景的核

’lk系审核员面试的人员应按h

；阳南：7.4.3自－

7.4.3面试

的能力相判断力的负有责任的

．候

选

1豆宫的？－

鸦

:tr38701i-2'020/ISO28003,2007

7.4.4工作经历

的连续下你经历的证据，这些经历应经

系审核员应提供其他适当的证明文件，

以证明鹿用i

7.4.5身份引

d发给持位供应提系市镇员一张存有下JIJ信息的身份卡（JD卡〉＝

－－照片1

－一卡，f

－－认证机构的名草草和徽标；

－一防止更改相伪造的标志相特征．

体系审核员的保

u要时，接

7.4.6记录

认证机构的程序应包括期间对

记录保存朋

7.4.7

纪律处罚、民、，，

和

员明出书面声明．表明其知道违规行为将可能

诉讼。

7.5外包

7.5.t认