对电子化管理体系（EBMS）的审核.pdfVIP

日期：2005 年 8 月 25 日 ISO 9001审核实践组指南 对电子化管理体系（EBMS）的审核 1. 介绍 组织在管理体系运行和控制方面对电子介质的依赖性不断增强，这 就要求认证机构及其审核员考虑新的方法，以确保审核的有效和高效。 他们需要重新确定对过程及相关文件（包括记录）进行评价的方式，以 验证其是否符合审核准则。 本文件为审核完全电子化的管理体系，或文件在很大程度上电子化 的管理体系提供了基本指南。本文件还针对应在审核前进行的通常的策 划和准备活动，为认证机构和审核员提供了补充性指南。 本文件关注 ISO 9001 中那些有可能使用电子文件、记录等的要求， 同时还考虑了可能通过电子系统控制上述文件/记录的获取途径的情况。 本文件拟供那些在电子化管理体系（electronic-based management system，EBMS）方面具有丰富实践经验的审核员使用，EBMS是指依靠电 子文件、数据和应用软件来正常运行的管理体系。不过，本文件的写作 风格使那些在计算机和 EBMS 方面经验有限的审核员也可以使用本文件。 不论是实施审核的第三方认证机构、实施评审的认可机构，还是实 施内部审核的职能部门（以下统称为“审核组织”），审核组织都有责 任确保 EBMS 审核过程的有效性。本文采用了 ISO 19011提供的指南，并 对 ISO 9001 和其他管理体系标准的审核员可以用来验证标准符合性的方 法提出了建议。为确保使用适当的方法，审核员和审核组织在实施 ISO 19011所述的审核过程步骤时应当进行必要的调整。 - 1 - 应当注意，认证机构不应当将审核员能够熟练审核 EBMS 作为减少审 核时间的理由，而是将其作为优化审核有效性和效率的一种手段。 本文件无意对审核EBMS的信息安全控制提供指南。对信息安全控制 有兴趣的读者，可以参考 ISO/IEC 17799，该标准是针对信息安全控制的 综合性标准。 2. 审核的启动和策划 在审核启动阶段（第一阶段审核），审核组织应当确定受审核组织 的结构及其管理体系电子化的程度。对于建立集中的 EBMS 的多场所组织 或者“虚拟”组织，需要采用与单一场所和（或）有形组织不同的审核 计划和方法。 审核组织和受审核方应当商定审核员将如何访问和使用EBMS。这可 能需要考虑以下方面： — 允许审核组成员有机会熟悉受审核方的 EBMS（包括在审核计划里为此 安排充足的时间）； — 受审核方信息技术设施的使用政策； — 访问指导书、必要的访问安全许可、相关的组织文件和记录； — 确保审核员在审核中和审核后对电子文件和记录予以保密的保障措 施和过程。 审核组织应当确保所挑选的审核组有足够能力对 EBMS进行有效的审 核。 3. 文件审查 取决于受审核方能否通过电子邮件传输文件，或使审核员通过网络 获取文件，审核组织可以在现场以外，通过在线方式或电子邮件提交的 电子文件，进行部分或全部的文件审查。 - 2 - 出于技术和安全原因，审核组可能不能在到达现场前，通过在线方 式或电子邮件传送的相关文件对组织的 EBMS进行完整的文件审查。这种 情况下，审核组需要在第一阶段审核中，在受审核方的设施对电子文件 进行审查，以满足审核准备活动的要求。 4. 现场审核活动的实施 EBMS的审核方法很大程度上取决于在判定符合性时，需要多少电子 记录形式的证据。 现场审核活动中，审核路线通常应当包括受审核过程的物理场所。 但是，对于 EBMS，审核员可能需要在计算机工作站上花费大部分时间对 证据进行确认，以确定是否符合要求，而计算机工作站的位置可能不一 定位于实际过程附近。 如果计算机工作站位置较远，不能从实际过程的地点访问，那么可 以减少在实际过程的地点实际使用的审核时间。但是，由于可能要在确 认实际过程存在之前或之后对电子证据进行审查，总的审核时间可能不 一定需要减少。 当相关的计算机工作站位置较远时，应当特别考虑在实际过程的地 点和计算机工作站之间往返所