国家认证认可监督管理委员会发布

管理体系认证规则 

本规则依据认证认可相关法律法规，结合相关技术标准，规定了认证机构开展各类管理体系认证活动应遵循的基本程序要求。除国家认监委对特定管理体系认证另有规定外，在中国境内从事管理体系认证活动应当遵守本规则要求。

2.1 认证机构应当依据认证认可相关法律法规取得管理体系认证相关资质后，方可在批准范围内开展相关管理体系认证活动。 

2.2 认证机构从事管理体系认证活动应当遵循公正公开、客观独立、诚实信用的原则。认证机构实施内部管理和开展管理体系认证活动应当符合 GB/T 27021.1/ISO/IEC 17021-1《合格评定 管理体系审核认证机构要求》及其他相关系列标准要求，以确保持续具备开展管理体系认证的能力、一致性和公正性。

2.3 认证机构开展不同类别、不同行业领域的管理体系认证活动，应根据国家经济和社会发展的需要，不得影响国家安全和社会公共利益，不得违背社会公序良俗。 

2.4 认证机构开展不同类别、不同行业领域的管理体系认证活动，应当在遵守本规则基础上，制定机构自身的认证实施规则（如认证方案、认证程序、作业指导书等），并遵照执行。

2.5 认证机构应当建立风险防范机制，对其从事管理体系认证活动可能引发的风险和责任，采取合理有效措施。认证机构应能证明已对其开展的管理体系认证活动引发的风险进行了评估，并对各个活动领域和运作地域的业务引发的责任做了充分安排（如保险或储备金）。获证组织发生重大事故或引发重大舆情，认证机构应及时采取措施，迅速进行调查、处理，并将信息及时报送市场监管部门： 

2.6 认证机构应当建立认证人员管理制度，对认证人员的选择条件、评价准则、聘用程序、培养机制等做出明确规定，确保从事不同类型、不同行业领域管理体系认证的人员持续具备相应素质和能力。

其中，下列三类人员，其能力应当满足 GB/T27021（或 ISO/IEC 17021）系列标准中的相应要求： 

（1）实施申请评审以确定所需的审核组能力要求，选择审核组成员，并确定审核时间； 

（2）复核审核报告并作出认证决定； 

（3）审核及领导审核组

2.7 认证机构应当基于风险思维，对不同类型的获证组织开展有效的监督活动，以监督获证组织持续运行管理体系并符合认证要求。除了常规的监督审核以外，认证机构还应根据获证组织的风险级别，开展多种形式的监督活动，包括： 

3.1 认证人员应遵守认证认可相关法律法规及规范性文件的要求，应当具有从事认证工作的基本职业操守：诚信、客观、公正、廉洁，不冒名顶替其他认证人员实施审核，不编制虚假或严重失实的文件，不出具虚假或严重失实的认证记录和报告，不编造学习经历、工作经历和审核经历。认证人员对认证结论、认证结果的真实性承担相应责任。 

3.2 认证人员应当具备与其所从事认证工作相适宜的能力，且为保证自身能力持续满足认证相关要求，应当持续学习，并定期参加认证机构组织或要求的各类培训。 

3.3 认证人员不得发生影响认证公正性和有效性的行为；不得参与近两年内其咨询过的组织的认证活动；不得接受认证委托人及其相关利益方的礼金、礼品或其他不当利益；未经允许不得私自到获证组织报销食宿交通等票据。

 4.1 信息公开 认证机构应当向申请组织至少公开以下信息： 

 4.2 申请信息 认证机构应当要求认证申请组织提供必要的信息，至少包括：

 4.3 申请评审

 4.3.1 认证机构应当实施认证申请评审，以确定是否受理认证申请，不得受理本机构未被批准或不具备专业能力的认证申请。

4.3.2 存在以下情况的组织，认证机构不得受理其认证申请： 

 4.4 认证合同

 4.4.1 认证机构应当与每个申请组织订立具有法律效力的认证合同或等效文件，以明确双方的责任。

 4.4.2 认证机构的责任至少包括 

4.4.3 申请组织的责任至少包括：

 5.1 审核方案策划

 5.1.1 认证机构应当针对每一认证客户建立认证周期内的审核方案，初次认证的审核方案应当包括两阶段初次审核、认证决定之后的监督审核和第三年在认证到期前进行的再认证审核。注：一个认证周期通常为三年（有特定行业认证方案的除外），从初次认证（或再认证）决定算起，至认证的终止日期截止。

 5.1.2 初次认证后的第一次监督审核应当在认证证书签发日起12 个月内进行。此后，监督审核应当至少每个日历年（应进行再认证的年份除外）进行一次，且两次监督审核的时间间隔不得超过 15个月。 

5.1.3 认证机构应当基于风险的方法进行审核方案策划，审核方案的确定和任何后续调整应考虑客户的规模，其管理体系、产品和过程的范围、复杂程度和风险大小，以及经过证实的管理体系有效性水平和以前审核的结果。 

5.2 审核时间 

5.2.1审核时间是指策划并完成一次完整且有效的管理体系审核所需的时间，包括从首次会议到末次会议之间实施审核活动的所有时间。认证机构应当建立科学、合理的审核时间测算方法，并形成文件。若有已发布或公认的计算方法（如CNAS、有关国际组织发布的方法），应当参照执行。认证机构应当为每次审核计算管理体系认证审核时间， 并留有记录。

5.2.2 认证机构应当建立并实施多场所认证抽样的规则，策划并保留多场所组织的抽样及计算审核时间的记录。

5.3 审核组 

5.3.1认证机构应当根据组织申请认证的管理体系的范围，组建具备能力（包括专业技术能力）的认证审核组，当审核组的专业技术能力不足时，可以配备该专业的技术专家。 

5.3.2 技术专家主要负责提供审核组的技术支持，不作为审核员实施审核，不计入审核时间。

5.3.3 实习审核员应当在审核员的指导下完成审核，不计入审核时间，其在审核过程中的活动由负责指导的审核员承担责任。

 5.4 审核计划 

5.4.1 认证机构应当为每次现场审核制定审核计划（一阶段审核除外）。审核计划至少包括以下内容：审核目的、审核准则、审核范围、现场审核的日期、时间安排和场所、审核组成员及审核任务安排。专业审核员和技术专家应当在审核计划中予以明确。

5.4.2 现场审核应当安排在受审核的组织的生产或服务处于正常运行时进行。

5.4.3 现场审核开始之前，应当将审核计划提交给受审核方并经其确认。如需要临时调整审核计划，应当经双方协商一致后实施。 

 6.1 总要求

6.1.1 审核组应当按照审核计划实施审核，形成相应记录，审核组可采用不同形式记录审核过程，如文字、图片、音像等。认证机8构应当保留相应记录。

6.1.2 审核组应当会同受审核方召开首、末次会议，受审核方的管理层及相关管理体系职能部门的人员应当参加会议。参会人员应当签到，审核组应当保留首、末次会议签到表（一阶段审核不做要求）。

6.1.3 发生下列情况时，审核组应当向认证机构报告，经同意后终止审核。

6.2 初次认证审核管理体系的初次认证审核应当分为两个阶段实施：一阶段审核和二阶段审核。 

6.2.1 一阶段审核 

6.2.2 二阶段审核 

6.3 监督审核 

6.3.1 认证机构应当对获证组织开展监督审核，以确认获证组织管理体系的持续符合性和有效性。监督审核应当在获证组织现场进行。

6.3.2 监督审核的内容应当满足 GB/T 27021.1 中相应要求，并重点关注变更以及绩效的持续改进。

6.3.3 由于市场、季节性等原因，在每次监督审核时难以覆盖所有产品和服务的，在认证证书有效期内的监督审核需覆盖认证范围内的所有产品和服务。 

6.4 再认证审核 

6.4.1 认证机构应当根据获证组织的再认证申请实施再认证审核，以判断组织管理体系与相应认证标准的持续符合性和有效性。再认证审核应在认证证书到期前完成。

6.4.2 再认证审核的内容应当满足 GB/T 27021.1《合格评定 管理体系审核认证机构的要求》中相应要求。

7.1 审核组应当根据审核发现形成严重或轻微不符合（见 GB/T27021.1 中定义），要求受审核方在规定的时限内对不符合进行原因分析、采取相应的纠正和纠正措施（轻微不符合可以是纠正措施计划）。 

7.2 对于严重不符合，认证机构应当督促受审核方及时进行整改，并对其纠正和纠正措施的有效性进行验证。认证机构应当规定严重不10符合项的验证时限，并至少满足： 

7.3 对于组织未能在规定的时限完成对不符合所采取措施的情况，审核组不应当给予该受审核方推荐认证、保持认证或再认证。

8.1 认证机构应当就每次审核（一阶段除外）向受审核方提供完整详实的审核报告。审核组长应对审核报告的内容负责。

8.2 审核报告的内容应当反映受审核方管理体系的真实状况，描述对照相应认证标准的符合性和有效性的客观证据信息，及对认证结论的推荐意见。审核报告应当满足 GB/T27021.1 中相应要求，重点反映受审核方管理体系所取得的绩效，受审核方实际情况与其预期管理体系目标之间存在的差距和改进机会。

9.1 认证机构应当在对审核报告、不符合项的纠正和纠正措施及其结果以及其他信息进行综合评价的基础上，作出认证决定。认证决定人员应当为认证机构管理控制下的人员，并不得为审核组成员。

9.2 经评定，认证机构有充分的证据确认受审核方满足下列条件时，可做出授予认证的决定： 

9.3 授予组织的认证范围应当基于组织的法律地位文件及审核范围，不得大于其营业执照范围和行政许可范围以及审核范围。

9.4 监督审核无需独立的认证决定，认证机构可以根据审核组长的肯定性结论保持对组织的认证，除非需要暂停、撤销和变更认证证书的情况。 

9.5 再认证审核的认证决定宜在上一认证周期认证证书到期前完成，最迟应当在证书到期之日起 6 个月内完成。

10.1 认证机构应当向认证决定符合要求的组织出具认证证书，认证证书的生效日期不应早于认证决定的日期。

10.2 再认证证书的终止日期不得超过上一认证周期认证证书的终止日期再加三年。

10.3 认证证书载明的信息应清晰、明确、容易理解、设计上不会以任何方式产生误导。

 10.4 认证证书中的获证组织及认证有关的信息应当真实、准确，不违反有关法规要求，至少包含以下内容： 

11.1 总则 

11.1.1 认证机构应当制定暂停、撤销、恢复认证证书的管理规定，并遵照执行，不得随意暂停、撤销和恢复认证。

11.1.2 认证机构应当在暂停、撤销或恢复认证决定生效后的 2个工作日内，将相关信息报送至“CNCA 认证认可业务信息统一上报平台系统。

11.2 认证证书的暂停

11.2.1 获证组织有以下情形之一的，认证机构应当在调查核实后的 5 日内暂停其认证证书：

11.2.2 认证机构可以根据暂停的原因和性质规定暂停的期限，但暂停期限最长不得超过 6 个月。暂停到期后，认证机构应当恢复或撤销认证证书。 

11.2.3 认证机构应当以适当方式公开暂停认证证书的信息，明确暂停的起始日期和暂停期限，并声明在暂停期间获证组织不得以任何方式使用认证证书、认证标志或引用认证信息。 

11.2.4 在认证机构规定的时限内，如果被暂停认证资格的组织采取了有效的纠正措施，造成暂停的问题已解决，认证机构应当恢复被暂停的认证证书并保留相应证据。

11.3 认证证书的撤销 获证组织有以下情形之一的，认证机构应当在获得相关信息并调查核实后 5 日内撤销其认证证书：

12.1 认证机构应当建立必要的申诉、投诉处理程序。认证委托人对认证决定有异议时，可以向认证机构提出申诉。任何组织和个人对认证过程和决定有异议的可以向认证机构提出投诉。

12.2 认证机构应当及时、公正、有效地处理申诉和投诉，必要时采取纠正措施。

 13.1 认证机构应当建立认证记录保持制度，记录认证活动全过程并妥善保存。 

13.2 记录应当真实、准确，以证实认证活动得到有效实施。认证记录应当使用中文，存档留存时间为认证证书有效期届满或者被撤销之日起2年以上。

13.3 以电子文档方式保存记录的，应当采用不便于编辑的电子文档格式。

13.4 在认证证书有效期内，认证活动参与各方盖章或者签字的认证记录、资料等，应当保持具有法律效力的原件。 

14.1 市场监管部门可以依照本规则的规定对管理体系认证活动实施监督管理，发现违法违规行为，应当依法依规处理。

14.2 本规则由市场监管总局负责解释。 

14.3 本规则自 2019 年 月 日起实施。

《国家认监委关于发布新版<质量管理体系认证规则>的公告》（认监委 2016 年第 20 号）和《关于开展信息技术服务管理体系认证工作的公告》（认监委 2012 年第 8号公告）中规定的认证规则同时废止。