公开文件-北京大陆航星质量认证中心.DOC

北京大陆航星质量认证中心有限公司 程 序 规 则 计算机辅助审核指南 编 号： HXQC-04-22 版本/修改： F/1 受控状态： 受 控 分 发 号： 12 编修 审核 批准 编写/修改日期 生效日期 柯章勇（E/0） 王喜春 王喜春 2009年05月25日 2009年06月01日 张淑珍（E/1） 张 敏 张 敏 2010年04月01日 2010年04月18日 何小梅（F/0） 张 敏 张 敏 2011年1 2011年11月25日 何小梅（F/1） 韩 李 张 敏 2012年06月30日 2012年06月30日 程序规则 编号：HXQC-04-22 题目：计算机辅助审核指南 第 PAGE 3页共3页 北京大陆航星质量认证中心有限公司 1 范围 本文件规定了当管理体系审核中使用计算机辅助审核技术（CAAT）时的要求， 以确保符合CNAS-CC01:2011《管理体系认证机构要求》及CNAS-CC14:2008《计算机辅助审核技术在获得认可的管理体系认证中的使用》。本文件并不强制要求在审核过程中使用CAAT，但如果HXQC及受审核方选择使用CAAT，则应符合本文件的要求。 2 引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件。凡是不注日期的引用文件，其最新版本适用于本文件。 CNAS-CC01:2011《管理体系认证机构要求》（ISO/IEC17021:2011,IDT） CNAS-CC14:2008《计算机辅助审核技术在获得认可的管理体系认证中的使用》（IAF MD4:2008） 3 术语和定义 ISO 9000、ISO19011、ISO14001、ISO22000、GB/T28001、GB/T50430和CNAS-CC01中给出的术语和定义适用于本文件。 4 基本要求 4.1 计算机辅助审核技术（CAAT） 4.1.1 随着信息和通信技术日益发展和成熟，HXQC可能会使用计算机辅助审核技术（CAAT）提高审核的有效性和效率，但在使用CAAT时应确保审核过程的完整性与可信性。 4.1.2 计算机辅助审核技术（CAAT）的示例有： 电视电话会议； 网络会议； 通过网络进行交互式通信； 通过电子方式远程访问管理体系文件和（或）管理体系过程。 4.1.3 有效地应用CAAT 的目标是： a) 使HXQC及受审核方可以用CAAT 加强常规的审核过程，从而提供一套具有充分灵活性的未作限定的方法以满足行业的需求； b) 确保对CAAT 的使用有足够的控制，包括由认可机构实施充分的监督，以防止滥用CAAT，并避免过度的商业压力对认证过程完整性与可信性可能造成的损害。 4.2 保密 根据CNAS-CC01 条款8.5.1，当HXQC使用CAAT 时，电子信息或通过电子方式传输的信息的安全性和保密性尤为重要。HXQC在使用CAAT前，应与受审核方商定双方都能够接受的信息安全措施。这种信息安全措施包含但不限于以下方面： 双方确认的数据信息传输路径、时间等； 双方参与的人员及人员身份确认方式； 审核范围； 密码或其他双方认可的数据加密方式； 保密承诺。 4.3 过程要求 4.3.1 除满足CNAS-CC01 条款9.1.2 的要求外，审核计划应注明拟使用的任何计算机辅助审核技术（见4.1.2）。 4.3.2 除满足CNAS-CC01 条款9.1.3 的要求外，在使用CAAT 时，运营部在委派审核组时应特别关注审核员理解和使用受审核方用于管理其管理体系过程的信息技术的能力。这种能力在审核员使用前由综合部负责确认是符合要求的。 4.3.2.1审核员应能够在审核中应用通用的信息技术知识，包括（但不限于）： 软件基本知识； 硬件基本知识； 网络基本知识； HXQC或受审核方确定其他特定能力。 4.3.2.2 审核员应能够识别适用的法律法规和与信息安全相关的其他要求，理解它们在受审核组织中的具体应用，并以适当的方式利用它们为审核提供支持。这些法律法规和其他要求可能来自： 国家、区域、地方的法律法规； 国际公约和条约； 合同和协议； HXQC、审核员及受审核组织须遵守的其他要求。 4.3.3 除满足CNAS-CC01 条款9.1.4 的要求外，如果HXQC使用CAAT，可以考虑将CAAT审核时间作为总的现场审核时间的一部分。HXQC远程审核活动时间不得超过所策划的现场审核时间的30％。 注：现场审核时间指为单个场所分配的现场审核时间。对分场所的电子化审核（即使该电子化审核是在受审核方组织的另一处场所实施的）视