1.适用范围
本文件规定了提供第三方有机食品认证服务的机构应满足的基本要求,为对有机食品认证机构认可和实 施监督管理提供依据。 本文件适用于国家有机食品认证机构认可会(以下简称"认可委")对认证机构的认可和监督管理。
2.引用文件
ISO/IEC导则65标准化及相关活动的基本术语与定义
ISO 14050:1994质量体系和质量保证
ISO 14010:1996环境审核指南
国家环境保护总局第十号令《有机食品认证管理办法》
国家环境保护总局有机食品技术规范(征求意见稿)
3.定义
ISO/IEC导则65、IS014050、国家环境保护总局第十号令《有机食品认证管理办法》和国家环境保护总局有 机食品技术规范中的有关术语与定义适用于本文件,同时本文件还包括以下定义。
3.1组织 具有自身职能和行政管理的公司、集团公司、商行、企业、机构、研究机构,或是上述单位的一部分或 结合体,无论其是否是法人团体、公营或私营。
3.2认证机构 根据已颁布的国家保护总局第十号令《有机食品认证管理办法》和国家环保总局有机食品技术规范所要求 的其他规范性和补充性文件,并经国家有机食品认可会审核批准的从事有机食品认证活动的第三方机 构。
3.3认证证书 表明食品(产品)及生产食品(产品)的基地,生产、加工条件及场所或食品(产品)贸易符合特定的有机食品技 术规范和该规范所要求的其它补充性文件要求的文件。
3.4认证制度 具备一定程序规则和管理要求的制度,认证机构依据该制度实施认证活动以决定认证文件的发布和认证 的保持。
4.对认证机构的要求
4.1认证机构
4.1.1总则
4.1.1.1认证机构运作所遵循的原则和程序应具有公正性,并应得以公正地实施。不容许设置违反本文件的 程序来阻碍或阻止申请者的申请。
4.1.1.2认证机构的服务应向所有申请者开放,不应附加过分的财务或其它条件。不应以组织的规模或其是 否为某一协会(社团)的成员作为受理申请的条件,也不应把获证组织的数量作为是否受理申请的条件。
4.1.1.3认证机构用于评价申请者有机食品的准则应是有机食品技术规范标准或与申请者职能有关的其它规 范性文件所规定的要求。如果某一特定的认证项目需要对这些准则做出解释,应由具有相应职能且公正的技 术机构或具有必要技术能力的人员进行规范化解释,并由认证机构公布。
4.1.1.4 认证机构应严格在拟认证的范围内根据申请者的具体情况决定实施认证和做出认证决定。
4.1.1.5申请者有责任保持并评价法律法规要求的符合性。认证机构应对此做必要的检查和抽样,以确认申 请者执行有机食品技术规范的有效性,认证机构应确认申请者已对法律法规要求的符合性做出了评价并在不 符合相关法律法规要求时及时采取了纠正措施。
4.1.2组织结构 认证机构的组织结构应保证其认证的可信度。认证机构应做到:
a)保持公正;
b)对其做出的批准、扩大、缩小、暂停和撤销认证等的决定负责;
c)一个管理层(会、小组或个人)对以下工作全面负责:
1)实施本文件中规定的检验和认证活动,
2)制定关于认证机构运行的方针,
3)做出认证决定,
4)监督方针的实施,
5)监督认证机构的财务,
6)需要时授权相关的职能机构或个人代表其开展规定的活动。
d)有文件是一个法律实体;1E
e)设置必要的组织结构程序以确保公正性,包括确保认证机构运作公正的条款,这一组织结构应保证各相关 方参与制定有关认证制度的内容及运作的方针和原则;
f)确保认证决定不是由实施审核的人员做出;
g)有实施认证活动的权力和职责;
h)有能力就机构运作和活动中所引发的责任问题做出处理;
i)财务状况稳定,具有认证制度云做所需的资源;
j)在负有执行职责的管理人员负责下,根据认证工作的类型、范围和工作量配备充足的人员,他们应具 有与所实施的工作相适应的必要的教育、培训、技术知识和经历;
k)具备4.1.4条款所描述的质量体系,确机构有能力运行对组织进行认证的制度;
l)有用以区分对组织的认证活动和该机构从事的其它活动的方针和程序;
m)认证机构、管理者和全体人员均不应受任何可能影响认证终结果的商业、经济和其它压力;
n)具有正式的规则和组织结构,对所有参与认证过程的会的组建和运行加以规定。该会不应受到任 何有可能影响认证结论的商业、经济和其它压力;(见注1)
o)确保与本机构有密切关系的机构的活动不会影响其认证的保密性、客观性和公正性,并且不应直接或间接 提供.
1)其认证对象所提供的服务,
2)获取或保持认证的咨询服务,
3)设计、实施或保持有机食品技术规范或其它相关技术规范的服务(见注2);
p)具有公正,立地处理来自组织或其它方面的关于认证或其它相关活动的投诉、申诉和争议的方针和程 序。
4.1.3 分包 当认证机构决定将认证工作(如检验)分包给某一外部机构或人员时,应就有关事宜签定书面协议,包括保密 规定和避免利益冲突的条款.认证机构应做到:
a)对分包的工作全面负责,并且保留其批准、扩大、缩小、暂停或撤销认证的职责;
b)确保分包的机构或个人具备必要的能力并且满足本文件的有关要求,保证分包方不直接或不通过他们所在 的组织参与有机食品技术规范的设计、实施活动,以确保公正性;
c)得到申请人或获证组织的同意。
4.1.4质量体系
4.1.4.1认证机构对质量负责的管理者应制定质量方针,包括质量目标和对质量的承诺并形成文件。管理者 应保证质量方针在各个层次中得到理解、实施。
4.1.4.2认证机构应依据本文件中的有关规定和本机构的工作类型、范围和工作量,建立并运行质量体系。 质量体系应形成文件并提供给认证机构的人员使用。认证机构应确保文件化质量体系的有效实施。认证机 构应一名可向执行管理者直接汇报的人员(可以是负有其它职责的人员)行使以下权力:
a)确机构依据本文件建立、实施和保持质量体系;
b)向认证机构的管理层汇报质量体系的运行情况以便进行管理评审,并将上述结论作为质量体系改进的依 据。
4.1.4.3质量体系应通过质量手册和相关的质量程序予以文件化,其中质量手册至少应包含或涉及以下内容:
a)质量方针
b)对认证机构法律地位的简要说明,包括所有者的名称,如果另有控制者,也应包括控制者的姓名;
c)影响认证质量的管理者及其它认证人员的姓名、、经历和权限;
d)表明本机构所有管理层次和部门的权限、职责、职能及其相互关. 系的组织机构图,特别应表明参与检验过程和认证决定的人员之间的关系;
e)对认证机构的组织结构的描述,包括4.12c)所确定的管理层(会、工作组或人员)的详细情况及其章 程、权限和程序规则;
f)管理评审的方针和程序;
g)包括文件控制在内的管理程序;
h)与质量有关的运行职责及工作内容,以便每个岗位的职责和权限,让所有相关人员了解;
i)认证机构人员的录用、培训和考核的方针和程序;
j)分包方的清单和对分包方能力的评价、记录和程序;
k)处理不合格项并采取有效纠正措施的程序; l)认证实施过程的方针和程序,包括:
1)发放、保持和撤销认证文件的条件,
2)对有机食品技术规范认证中所用文件的使用和适用情况的验证;
3)对有机食品进行检验及认证评定的程序,
4)对获证组织的监督与复评程序;
m)处理申诉、投诉、争议的方针和程序;
n)按照lS010011-1的条款实施内部检验的程序。
4.1.5 批准、扩大、缩小、暂停和撤消认证条件
4.1.5.1认证机构应规定批准、扩大和缩小认证的条件,以及对获证组织认证范围部分或全部暂停或撤销认 证的条件;尤其应要求组织及时汇报对有机食品技术规范拟进行的变动或其它可能影响其技术规范符合性的变动。
4.1.5.2认证机构应要求组织建立符合相应有机食品技术规范标准或其它规范性文件的有机食品技术规范, 并形成文件。 4.1.5.3认证机构应有程序控制以下活动:
a)批准、暂停和撤销认证;
b)扩大或缩小认证范围;
c)当组织的活动和运行(如所有权、人员或设备)出现重大变动,对体系运行构成重大影响;或者通过对投诉 的分析或其它信息表明获证组织不再满足认证机构要求的时候,应对其进行复评。
4.1.5.4认证机构应针对以下活动制定文件化程序,并在有要求时提供:
a)依据国家环保总局10号令和国家环保总局有机食品技术规范和其他相关文件对组织的有机食品进行初次 检验;
b)依据国家环保总局10号令和国家环保总局有机食品技术规范等标准对组织有机食品进行定期监督、复评, 以确认其是否持续符合有关要求,并验证和记录组织在规定时间内对所有不合格项所采取的纠正措施;
c)确认并记录组织由于不正确宣传认证或误导而产生的不合格项,判断组织是否需要及时采取纠正措 施。
4.1.6内部审核和管理评审
4.1.6.1认证机构应有计划并系统地定期进行覆盖所有程序的内部审核,以审核质量体系的实施及有效性。 认证机构应确保:
a)将审核结果给被审核区域内的责任人员;
b)及时采取适宜的纠正措施;
c)记录审核结果。
4.1.6.2认证机构中负有执行职责的管理者应按适当的时间间隔对其质量体系进行管理评审,以确保认证机 构能够持续适宜和有效的满足本文件的要求及规定的质量方针和目标。管理评审记录应予以保存。
4.1.7文件
4.1.7.1认证机构应记录并定期更新以下内容,并在有要求时(通过出版物、电子媒介或其它途径)提供:
a)有关上级单位对认证机构的运行进行授权的信息;
b)对认证制度的书面陈述,包括批准、扩大、缩小、暂停和撤销认证的规则和程序;
c)检验、认证过程的有关信息;
d)认证机构对获取财务支持的方式与途径的说明,以及对申请方和获证组织收取费用的基本说明;
e)对申请方和获证组织的和义务的说明,包括对认证标志的使用及对认证宣传方式的要求和限制;
f)处理投诉、申诉和争议的程序;
g)获证组织名录,包括组织的场所、获证日期、证书编号或代码,以及对每一获证组织认证范围的描述。
4.1.7.2认证机构应建立并保持相应的程序,对所有与认证职能有关的文件和资料进行控制。无论是初次起 草、补充修订还是更改文件,在发布之前应由经授权的、具备能力的人员评审并批准。应保存一份表明所有 文件发布和更改状态的清单。应对这些文件的分发加以控制,以确保认证机构或组织的人员在开展涉及申请 方或获证组织活动的工作时,可以获取相关的有效文件。
4.1.8 记录
4.1.8.1认证机构应建立并保持记录制度,以适应其特定的工作性质并符合现行法规的要求。这些记录,特别 是申请书、检验报告及有关批准、保持、扩大、缩小、暂停或撤销认证的文件,应能证实认证程序得到了有 效实施。记录的标识、管理和处置应能确程的完整性和信息的保密性。记录应保存一段时间,以确保至 少在一个完整的认证周期内或在法律有要求时能够持续其可信度。
4.1.8.2认证机构应具有按合同、法律或其它义务的要求在一段时间内保持记录的方针和程序。认证机构还 应有符合4.1.9规定的获取这些记录的方针和程序。
申请ISO9001认证的组织应提供:
(1)有效法律地位和组织机构代码证/统一社会信用代码;
(2)体系覆盖多场所基本情况清单;
(3)产品所在装备研制阶段情况;
(4)管理体系文件和内审、管评记录(体系有效运行3个月以上);
(5)产品或服务的实现过程流程图和主要设备清单;
(6)产品/服务提供过程外包说明;
(7)体系覆盖产品适用的法规及执行标准等。
ISO9001的认证周期为三年,一个周期含一次初审和二次监督审核,具体为:在初次认证的第二阶段审核后12个月内应进行一次监督审核。此后,每次监督审核的时间间隔不超过12个月。
?õõ?
ISO27001认证信息安全管理
ISO27001 标准的起源和发展
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至小,使投资回报和业务机会大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
ISO27001的效益
1、通过定义、评估和控制风险,确保经营的持续性和能力
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
3、通过遵守国际标准提高企业竞争能力,提升企业形象
4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失
5、建立安全工具使用方针
6、谨防技术诀窍的丢失
7、在组织内部增强安全意识
8、可作为公共会计审计的证据
近年来企业高层对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面,企业越来越依赖IT系统来处理和储存各种信息,以保证业务正常运营。业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。
本质上说,信息安全威胁是全球化的。一般来说,它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。更严重的问题是,其他各种形式的危险也在整日威胁数据安全,包括从外部攻击行为到内部破坏、偷盗等一系列危险。
过去的十年内,围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大,其中包括针对个人数据保护问题的,也有针对企业财政、运营和风险管理体系建立的法规**问题的。一套正式规范的信息安全管理体系应当可以提供佳实践部署。目前,建立这样的管理体系逐渐成为诸多合规项目的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组织(包括部门)的热门需求,这份认证可以为他们带来重要的潜在商业合同。
如何进行企业质量体系认证咨询
一:目标
通过双方共同努力、积极协作,在合同期内,使企业按ISO9000(QS9000,ISO14000、VDA6.1)标准的要求,建立健全管理体系,规范企业的管理运作、提高管理水平,并通过第三方管理体系认证,获得管理体系认证证书。
二:内容
咨询机构依据选定标准的有关要求,结合企业的实际情况,企业建立健全质量体系,其中包括:
1.为企业提供ISO9000标准基本知识培训、质量体系文件编写培训以及内部质量体系审核员培训;
2.指派对企业的管理运作进行调研,确定质量体系框架,进行总体策划;
3.企业编写质量手册及质量体系程序,并进行审改;
4.企业完善质量体系相关文件,保证质量体系的协调性和有效性;
5.并参加企业进行的内部质量体系审核,提出问题和改进建议;
6.对企业的质量体系进行符合性审核,提出符合性审核报告;
7.协助企业选择的质量体系认证机构。
三:步骤
咨询项目共分四个阶段进行:
1.派到企业了解基本情况,提供基础培训,经充分协商制定认证咨询工作计划;
2.制定出质量手册和质量体系程序文件的编写要点,企业编写手册和程序文件并进行审改;
3.企业有效实施质量体系文件,并参与内部质量体系审核,指出问题,提出改进建议;
4.对企业的质量体系进行符合性审核,企业申请第三方质量体系认证。
四:配合
1.企业应按咨询机构要求提供适宜的资源;
2.企业应以提高自身管理运作为出发点对待质量体系认证工作;
3.企业各级人员应通力配合咨询机构的咨询活动;
4.在咨询过程中,企业不宜对组织机构和管理模式作重大调整;
5.双方严格执行经充分协商的认证咨询工作计划。
五:保密要求
1.双方应严格保守各自及对方的经营和技术秘密;
2.咨询人员必须对企业的经营和技术文件保密,用后立即归还;
3.企业未经许可,不可转借咨询所产生的结果性文件;
4.咨询合同终止后,保密要求仍然有效。
六:时间
6-10个月,并视企业规模、基础和配合情况确定。
http://www.gziso.net