GB∕T 38701-2020 供应链安全管理体系 对供应链安全管理体系审核认证机构的要求

lCS 03.100.0l 90 华人春日家标准唱T38701-2020/lSO 28003 :2007 供应链安全管理体系对供应链安全管理体系审核认证机构的要求ril prOidi lnr 1the sop ply Chain- Requirements for bodi upplv chain securit mana2ement svstem CISO 28003 : 200 7 , IDT) 2020-0331发布2020-09-01实施发布B3870 l-2020/ISO 28003 ,2007 自次前言.,. I 寻l畜., . , . ,. , . , . . n ll11 2 如辅佐引用文件3 术肝和帘。川证机构的原则., . ? 通用要求.3 纣； 1句要求.57 资淑要牢。目信息要求）屈要求., . . 12 10 认班机构的管理体系要求，川.,. ,. .叶.22 资斜，性附录对审眩时间确定过程的导贝4噜.2t1 多场所组织的审榕准则.28 市烛员的教育、丁，作租市践经历及:t;lVII fl苦耐.1 审核员能力必求.32 考文献，.,. . ! .，. t .”34 :tr 38701i-2020/ISO 28003 ,2007 一目前。起草。供应链系审，及、魏2豆、1菁英、1气无龙、孙HJ;车、宋跃炜、叶假f、俄、张剑、孙兵、李正样、曾繁仰、踪伟、ff。B3870 l-2020/ISO 28003 ,2007 引供应链安全管理体系认证将由经承认的机构例如同际认可论坛OA们的成员认可的认证机他，.，c 式实施供F 进供应能口供应链安全的文化和习惯是适当的和11:tr 38701i-2020/ISO 28003 ,2007 供应链安全管理体系对供应链安全管理体系审核认证机构的要求1范际恨t一:Xl应用ISJI(）的认证机构认可提供了一致的！峙泣的供应链安全管理体系要求实2 规范性引用文中期的版本运用ISO/ IEC 17000:2004 general principle!) 评定向汇和边用原则Conformityase.s.smenc-Vocahulary nnd ISO 19011 : 2002 南（Guidelinesfor quality cind/or envirnmental manage 可J只Lemmiditing) TSO 28000供应链安全管理体系规范（Specificationfor security management叩川emsfor the uply chain) 3 术语和定义YSO/TBC 17000界定的以及下列术语和定义适用于本文件。3.1 军在证窑卢certifi.ed clie11t 供应链安全管理体系已获得有资格的第三方认证的组织3.2 公蓝性imparUaUt 际存在的并被认识到的客观性B3870 l-2020/ISO 28003 ,2007 l i .不会语14?机构的后结活动产生.w.中立、公平、恩想开明、3.3 i荣的风险评估man吨栩冒entsvsem c 理体系或审核有关的培训课程仅限于提供叫在公共场合肉由在取的通用信息，那么组织培训不撞视为曹闹，Rll培训者不针对特定的公司提陆解决方4 认证机构的原现4.1单4.1. l 生的也ii在中后缕的1cl) b 4.1.3 rt) 公正性zb）能力：仕z 公开性EJ投诉的处理4.2公iE.4.2. 4.2.2 4.2.3 、甲据4.2.4 2 悟舍这一J夺、得王m公t，飞符合的客包括：:tr 38701i-2020/ISO 28003 ,2007 fl 个人或机构依其认证中专财务方面的b) 发。4,3 能力U证桃构的组织架构所支撑的人员能力是认iiE提供信任的必要提件能力是给证实的有做应用适吁知识和技能的本领。4.4 责任4.4. l 符合认证要求的责任在于客户组织而不是认证机陶4.4.2 认证机构有责任对足够的客观证据边衍评价，并在此ltl符合性的证据充分，iJ.、研机构做出接子认10:的fb：审核推辛苦如子认iL理：帧证据应可以1险证，由于市校的时嗣相资拥有限审格证据基于对可我JC 信息的抽样，对审核结论的信任J应是与抽样的情吁使用宙均相关11 .5 公开性4.5. l 为按御对认证的i戚俏恢与内有组织认证状态（即认证的授予，f息。公升性是指可以获取或公布俏 ，碍、认iJE过程相所4.5.2 为获得或保持对认证的信任认证机构需向特定利益相关方提供获取特定审核（如为回府投户而做的审核）纳论的非保密情息的远二渠道或公布这些品。4.6保密性为f享有获取充分评价与认证婴求的符合性l所f4.7 对投诉的处理赖认if的各方WH型投诉得到i明菇。在1：投诉经在明有效时，认证机构宦使依赖认证的各方n信，认iiE机构将对投诉进行远泻的处理并为解快投诉做出适当的-:J.:i./.J 0 在：为了向认证的所有m户证明认证的被阳性与丙和性，对理柯：公汗性扣保镀性包括对投侨的处理等原则之间5 通周要习雷5.1 法律与合同事宜5.1. l 法律责任认iiE机构且认谊活动最担法d、法律实体，.!t立一个法律实体内有明确界定的一部分以便认证机向能够对英所a府的认证机陶因只：政府地位而被视为佳伴实体。3 B3870 l-2020/ISO 28003 ,2007 5.1.2 认远协议由主的权力5.2公E性的5.2. l认织的活动。5.2.3 吁某种关系对认班机构的公lE上具有强叩h包括授予、保持、更新、扩大、缩小、暂停掬撤消认证）负系认证活动的公正性做出承诺，认证矶脑系认证活动中的的全贺子公司1!11其申请认体系咨向和1戎相犬的风险，且同样适用5.2.7 如果咨询机梅与认iiE饥构之间的关系对认证机梅的公if:fl！构破f不可接受的威胁，而客了i亥挥i古j机构的供应链安全管理体系再向有l！戎相关的风险评估峰内部审核则认ii机构不应对该供应. f本系X询#J!j或榈夹凤酌评价南内育事ti宝结束后现过至少两年时1嗣J是将对公l正性的威胁注21挝、共？辱、财务、合同、营销以庭结介绍新客户的注3 ；（、J5.2.6乎n2.7的址：tftr flT院员提出嗣决方采针对巳识别的不持合戒改造帆会）的肉都可i格被；最为对公正斜了T不可接受的盹胁。5.2.8 认班机构不应将审、容f客户供应链安系. Wil险评估的人员包4 :tr 38701 i-2020/ISO 28003 ,2007 括5.2. l l 应允许商员。链安全管理体系曹询鞠或相关的风险评佑，则在咨嗣结束后的同年5.3 责任和财为迸衍了评估并对各个话功领域和运作地域的业. 会证明其公正性始终没有受到商6 结构要求16.1 组织结6.1. l认1和责任的员会才、组或个人：a) b) 、，JU 的活动tg h 理器和其他认证人员及各委员时族文件应说明认证机何参与认证活动的委员会的任命、权限和运行的正6.2 维护公里性的委员会6.2. t 认证机钩的结构应维护认证机构活动的公正性亏并具有一个迸H下列活动的委员在2提供客观的认证活动；川各方利益均衡，以使任一利益方不处于支配地位认证机响的内部或外部人员视为5 B3870 l-2020/ISO 28003 ,2007 方C 都币的7 资源要求7.1 管理忌和人员的能为7.1.l 认证机构应确保参与供应橙安全管理体系审核与认证的所有人员有能力j性任其乐娼的l；作。7.2 磐与认谊活动的人员7.2.3. 1 供应锚艾茧丽的能力。包括6 a) b) P识别E；关的每个技术领域j毋需的资m 和能力以及认证主idJ的每项职证活动的人员还应员，以对各种类型与范闸的审核方案遗行管理并实班主t4ft1 I.I: lSO 28000). 有1技术专1班戚安全问题见7Ao膛理方法学相信息保密方吧供应链捕关过程和实务的知识1网络的和放射性的威胁和技儿。发事件发$件7.2.3.2 句一位供应链分核员。n h) 7.2.4 动并7.2.5 7.2.6 专家。市7.2.7认7.2.8 经1血。7.2. l4 f故拙，:tr 38701 i-2020/ISO 28003 ,2007 尚系标准应用的解释量常见问题时r霄罚取适当的措施z两年按照。人n的别具有恰当的培训租下体经包括审核组段）和技以寝盖其所1l审核员以及选择认证活动使用的技对. 咱.TSO 19011.、“:2002中的第7寸：的供应链、丁业和商业领域的块内容且达到、动、认证要求、审核方法和荒他榈气信息的现行珩的小组或个人应具备足够的知识租7 B3870 l-2020/ISO 28003 ,2007 f11号与市楼和认证活动的人员均英活动的描结合，并应设tf监视方式时应使正常认证过核员的表现进行现场见证现场见证的频率应取决于根据所有可抗专家通过书面，协议原诸其遵守认证机陶明确的适用的政: .11 1:1.受到认证机构保密协泊的约束。苦士：舷据上M协议使用非个审核虽有技术专事;t-.;构成7.5所述的外包7.4 人员记录、班机构应保持认证？带动完l及每个人的后都记录包括相关的资楠、培训、经历、隶属关系、专业状况相能力。7.4. 1 安 全调查认iI机向JJi建立对候选供应链安全岱理体系审楼员进行安审查的过程在形成文件。7.4.2 背黑核查；阳南：7.4.3自7.4.3 面试选1豆宫的？鸦且系认iiE成审楼行扭1在背景的核lk系审核员面试的人员应按h的能力相判断力的负有责任的候:tr 38701 i-2020/ISO 28003 ,2007 7.4.4 工作经历的连续下你经历的证据，这些经历应经系审核员应提供其他适当的证明文件，以证明鹿用i7.4.5身份引d发给持位供应提系市镇员一张存有下JIJ信息的身份卡（JD卡照片1一卡，f认证机构的名草草和徽标；一防止更改相伪造的标志相特征u要时，接体系审核员的保.7.4.6记录认证机构的程序应包括7.4.7 员明出书面声明表明其知道违规行为将可能诉讼。7.5 外包7.5. t 认证机构应说明可以迸何外包即向另一个组织分包由其。认证机构应与句4(I ) b) 的伤况依据合同使用审核员见7.3.使用的人员与拟审核的组织系，7.5.4 认证饥构应有形成文件的程序每以对认证活动的所有外包服且应保持英审核员资格的记4、纪律处罚、民、，期间对记录保存朋和二供部分认证服务的E和利益冲突签订在法律的适用要求，包括能力、公正r生？正性的关系无论是直9 B3870 l-2020/ISO 28003 ,2007 8 信息要求8.1 公开信息8.1. t 认证机8.1.2 8.1.3 8.1.4 二的越缀链接法2;-(f号珠制况下，Pf8.2认证艾48.2.3 a ？ff大或更新认ilt1LI WJ . . L认t正j苟串jd) Jlf 萨坝别代码F的途径。:t唯一性编码系统萨j获11E客户提供认证文件。姐织的1;:j:-.场所的名称和可识别的物理位) 市在复获iiE客户时昕阳的非共(fP.;f.O （戒贺他规范性文件，包括版本和（或恪订：一客户供t能安全管理体系内所从事活动相适宜的认证范网但却i服务、过程等J重用时包前，个场所的认-i1H1应用t认可标识）；然而.iJ.证材i陶作为证书债发机椅节；8.3 族证窑户认证；恍构应以其选择的任何方式保持有放认证的目录并使其可公开获取。该日录应至少t.明.个获证客户的名称、阳天的规范性文件、活动栩组织要梨的范网刷地理位11.（回家：在1城1lOo注1施IJJ:丰认iiE机构的专有资产，的报齿，这里将此类报价视为产品ba ;I(: 10 :tr 38701i-2020/ISO 28003 ,2007 Cl .u_即停业使用所有引用认证资格的广见9.6.3和9.6.6);法I此.，.8.5 保在8.5.4 , 址理a8.5.6 些i8.5.7 认证机构向其他机向（如认可机阀、建立在同行评坤刚过一行动通知l相犬的监管机构及其客户。8.6 认证机构与其窑卢闸的信息交换认ij机构应向客户提供并为其更沥1-.J.下（门，也：f任何供公营造规行为以及必要的且在供应链中当法及构应将；但合同1f、外部机构人员或个人日a) 对认11巨活动瞥个过程的详细说明钮括t扫清、夺目j次市板、！眩居审核和授予、保J夺、缩小、扩大、A. c d 认证的过毡0泛的客户的要）JI,.:遵守认证要求12) 为实施审艘做r11JiJi有必要的安排但括在初次认证、防督、再认证如解决投诉时，为问：和接触所有过程与区峰、记术及人员提供条件；3) 适用时为接纳到场的观察员（如认可评审员）提供条件J获证客户损摇SA的要求f使各类沟通巾引JH认证资格时的权利租1主任f包括要求）予以说明的文件aII B3870 l-2020/ISO 28003 ,2007 投诉和申诉处理程序的1商品8.6,2 认证机梅的变更通知将其认证要求的任何变更叫L掏应1监iiE错个在w符2为8.6.3 害户的变更通知认证VL系(I) b) 8.6.4 供应链安全认证机构应制山信息的凭他相夫方9 过程要求”f能寄：墨与我证客9.1 适用于所有审核的通周要求9.1. t 审棋方案应包括至少由两阶9.1.2认w件要求。应为错依据。i己JT-.12 . 晶J:客户及时将可能影响供应链安全系运行的信息能够在认证矶构、客户和允诗我得h将该程序及时通知客户和其他捕关方。的适当的排和实施达成一致提供的过程该T你协系梢况告知:1客户供租附景B的:tr 38701i-2020/ISO 28003 ,2007 (l 栅关供应链安全管理体系标准的要；y,.b) 坡车和对多场所的考虑B给f付了对运衍多场所组织的要；J.巾的资料性附录但是刻于一个供应链上运营的少9.1.8 批，E。员时，审核组民应对叶划进行评审.9.1.9 认证tfl钩应明确说明审核组的b o1且1在l程序以便为建立对客户组织供Jkii链安全管卫J) 9.1. 10 情况0i 幡Ii对有l构应罚Mi足够的时司以使客户组织能够对某审核员11技术专4, M认证机构能够巫细审核组核计别进行沟通，并商运审核日期。；施现场审核的过挥，该过得应基于自ISO1901 E中提供的指南转化成的适气，忑1除了访阳有形杨J9r 二阶审划和l实施了内部审接！ i在系的实施程度一阶段审9.2.3.2 第二阶段审核9.2. 3.2.1 第气阶段审械应编制审按计If（见9.1.2）。计则应遵铺ISO19011叶的指南转化成的远写的才牛当要求，并应该考虑在第一阶段审核中找得的的，息。9.2 . 3.2.2 第二阶段审楼j虫在客户组织的现场选行第二阶段审核的目的是评价客户供应链安全管理体系的实施情况刊有放性。9.2.3.2.3 市镇组山进行第二阶段市核拟收集jlJ1!i链安全管理体系将合trl证据。系以及时供应jj宝安全管理体系的9.2.3.2.5 崎设施的操作人15 B3870 l-2020/ISO 28003 ,2007 b) g) 的2) 3 .t) 上述低气审核结论：2 9.2.4.5形的负面的符口。9.2.4.6 16 ，地也要求、职责、人员能力、运作、程和符合现的适当的文件要祀的审核报告应至少包括或涉及以下内容c掘和所覆盖的时期及Hi评价的供应链要素L理标准和或使用的其他规范性文件。fl期和场所，以及上次市攘的U期。和有效性的最璋耍的iF-论的总结唾包括正丽租负面的1I建设性有益的信息的攘相总结，包括正面符口.报lJ.险评估方法的可信方同意的期限的，向受审核组织提交一份报告可以:tr 38701 i-2020/ISO 28003 ,2007 托组织接报告的所有权和棒改权仍归认证机构所.fJ 9.2.5 审核后锺活动9.2.5. l 为纠正己识别的不符符审核组织现明的期限内消除所发现的缕的监督审核巾予以确认L以据所确定的不符合的类型和9.2.5.3认证机其有效性m审核组织所采取的纠正和剑正措施。以确定其q确定9.2.6 9.2.6. l 为使认证机构做出川、，审核组至少应向认证机构提供以下倍，也(l 9.2.4所指的报U;h) 对不符合相对客户组织、采取的纠正及纠正措施的意见tC 鼠、客户对审核报告的态凡）的9.2.6.3 9.2.6.4 时b) 受1满足要求的生ti在和！如111：指系的要尽4主2 产L+L J1 电蓝大怀疑的情况。C) 对于任何其他不符合，认证机构己接受了组织计划采取的纠正和包括防止再发生的纠正情闹。9.3 监督活动9.3. l 总则9.3.1.1 认证机构应对其监督活动进行股汁以在鞠职能进行监视，并应考虑我旺3年户及其供应链沪要求的悄况进行if价的现场审核。监督的lJ还可以包捐：a) 认证机构就认证的有关方面词问获证客户：川市c cl) i审核，以确认挟证的供应链气实1-J效。9.3. 1.4 初次认证后锵次i监督市践的n期凶从初次市版第二阶段结束时（虫u末次会议的11lt月1章程。17 B3870 l-2020/ISO 28003 ,2007 9.3.2 监督审核a) C o) g) h) 9.3.2.2 9.3.2.3 9.3.2.4 a) b) 涉及供应链安全的d) 随机抽样的规模；次审核所左现不符合的数j注：f) 组织、产rf.1！或过程的变化9.3.3 监笛审核报9.3.3.1 a b) d) 此；在告j丘9.3.3.2 9.3.3.3 在监督审核中，马H割iiDt限。9.3.4 保持认证认证列条件时，fI1 a) Xt 由6实获持续满足供川，际方丽的街效性起策划以便认证机审楼方案罕少应包插中的指南并运吗考虑下列国饨的验证：trt15l t 性证据时，认证机构应现应实施纠正如纠正指酶的巾予以确认L以和勘JI.启动:tr 38701i-2020/ISO 28003 ,2007 b) 组知道处理不符合和任何后续纠正措施的？在员Jjj 认iiEVl构有能力相称的人员对监督活动进行监视包括对审核员的报告活动造衍监视）以确认9.4 再认9.4. l 再认证周期韧次认证审核与再认证审门证审核之间的时间闹闹不应超过3i;仁9.4.2再榕的策划l汉前的监如法律的变更到场市的结果审核策划9011中的指南转化9.4.2.6 司在差的审眩目中间应依据中的指酶斓足9.4.3 再认证审楼”杨审核可以f c:r期的监督审核h再认证审核应关注下列供4rt l 1 巾予以确认L以19 B3870 l-2020/ISO 28003 ,2007 9.4.5 再认证决9.4.5. l 认. 9.4.5.2 和认证使用方的投诉；fi出9.4.5.3 民;ti认iiE范网。经审核并接受了特合要求的纠正和纠正措) 2) 系有效c 、z., I 认证机构已接受了组织计划采取的纠正相包措防止醉在生的生iii情吨。9.5 特殊审核认证机构为调查投诉见9.8）、对企旦cw.8.6. 3）做rll阳！应可能荷兰丢在提前较1晤时间通知,J;证在口斤对Jt进行审楼。此时zu) 认i机构应说明并就证客户提前了解f如在8.6. i所述的文件中）将在何种条件fill:行此严审棋：由于组织缺乏对市核组成员的任命表示反对的机会认证机构陆在指振市技m时机9.6暂停、撤消或缩小认证范围9.6. 1 认fjf.机构应有暂停、撤消戒销小认液范闸的政策相形成文件的程序并规定认lif机构的后9.6.2 时，认证机构应暂停棋证客户的认iiE资格：认证求包括对供应链安全管理i(. 96.3 在暂停J锦间窑户的怯J苟链安全管理体系认i正暂时兀放认UfL构附与山.的安排以确保哲f亭期呻j璧兔客户继缆1专f专认i正资在取（见8.1,3）.到1采取戎认为适坞的任何其他纳IP.0 9.6.4 如果客户术能在认证机构规定的时限内解决滥成曾停的问题认班机构应般消或缩小其：.l . 范网e注：9.6.7 在任何一方提出请求时，认证机构应正确说明客户的供应链安唯管理体系认证被暂停j段和百小的20 :tr 38701i-2020/ISO 28003 ,2007 9.7 申诉认证机构应有受理租部价申诉并对之做附决定的形威文件的过哇。a) b) 9.7.8认9.8 控诉诉将2有9.8. l a) 9.8.6 9.8.7 9.8.8 9.8.9 取的精111 # 申诉处理近程的苦取何种措施以回应申诉的进展报告和结冉、泪申诉人并且如果确定有效使他们相信投使用方辈说是防止过，. T维护il回应投诉的过程：投诉人和投诉. 、.，rat电9.9 申请组织和客户的语录9.9.2 所有客户包括所有提交申请的组织接受审核的组织”！核及认证活动的ic!-7-.21 B3870 l-2020/ISO 28003 ,2007 (I 申请资料及初次认证、监督和再认证的审b) 任何减少审核时阔的方法的理由1投诉相申诉及任”f) 适用时g）认、h q密见10.2.3 ，。措施的、9.9.4 认证fJL向成布关于记录保抒的形成文件的政策和l扩个完整的认祉周期。知IJf商为玛丽认证周期JJn一10 、T机构j豆建立和保持个能够支撑并证实咒：始终满足本林樵要求的管理体系。在建立管理体系时认证机构J.ik贯彻l0.1或10. . 2的要求10. 1 方式：与lSO9001一致的管理体系要求l的要求建立相保持一个能够支持并证实其始终满足本标准要求的管理10.1.1 （！ . 为应用1SO 9001的要求认itT:机构管理体系的拖隅应包描认iiE服务的10. 1.2 以假害为关注焦点为应用ISO!JOOl的要求，认证机构在苦点还应关注依极其审10.1.3 管理评审斗应川ISO001的野求，认证机悔应将来自认证前功的使用方及利益相关方的相关投诉和申诉的俏，粤、作为管理评审的输八。10. 1.4设计和开发为府阳ISO9001的要求，认证机构在甜发新的管理体系认证方案或将现有方时l将ISO19011巾适用于第三方审核的指南作为设ti10.2 方式二：通用的，.，.系并形成文件22 个认b) 10.2. t 认证可以获取手册和相关的关联文件10.2.2 文件擅制认证机构应建立程序以语的控制：“b) l0.2.5 认证1队2.5.1评审输入b) 客户和出建立按矶的政策租1r:：；包括与下列方面有关的棕施涉及的利益相关方的:tr 38701i-2020/ISO 28003 ,2007 员舍克i其是否有其他职标准的所有适用要求.i，、确保其人员件内部租外部的该下列方面J9f系进行评审的程序，以性和有效性少何年进行23 B3870 l-2020/ISO 28003 ,2007 、，-AU g10.2.5.2 评审输出10.2.6 内部审额10.2.6.1认体系。吐lISO 19011为实施内部审核提供了指10.2.6.2 认证Vt构成对内部审钱方案进行策划，并在锻划中苟虑拟审核过程莉！区域的革要程度以及以往审核的结月、。b) 的进11天的认证服务的改进zJL内部审核程序，以f撞证认证机构满能要求，并有妓地实施和保持了进行次如果认证机钩能够证明系按照本书五准持续地有效运，则可以械少内部审核的J膜授、e10.2.6.4 认证机构应确保：川的部审核的实施人员具备资格熟悉认证、审核租本标准的要求tb) 审核员不应市按自己的I.1 r- c) 每审楼结果告知受审核l天域的负.Jid 根据内部审核结果及时采取运气的识）IJ任何改进的桃生。10.2.7 纠正措施认ii:机构应建立识圳和管理其运作中的不符合的程序必要时认证机锦还应采取措施消除不符a cl) 10.2.8 顿防措施的原阔的程序。预防梢3问题的可能萨a) 21 :tr 38701i-2020/ISO 28003 ,2007 b) 的需求：的有放性25 B3870 l-2020/ISO 28003 ,2007 J根据组织的的审核有效鹿员见注2l(见注9)210 1130 31100 101500 5012 000 时间，u的Jc. 26 审附录资科性！附录对审核时周确定过程的导则和表A.l 初次审核的审核人自3 3 3 6 4 8 8 5 11 l2 9 15 15 10 20 次审阶段第二阶段）J!Jn。z:o.% 20.% zo.% 安全了具包确皑的系统r11进行佳音的卡车主任15苦。27 B3870 l-2020/ISO 28003 ,2007 录范性附录多场所组织的审核准则B, 1 定义B, .1.1 多场所组部JU.1.1 多场所组织的组织。日.1.1.2 系，且个多场所组织可以包含个以上的场所应与组织的总部，、A或合同町并迸行持续的监理体系该供应链定、所在必要时采取纠正措施、一一服务公司拥有分销仓阳、草鞋集散地、其他场所幸n鞠ii在所构成的网络.1专场所实施相阳的过程il运1f相同的”际；一一有多个提供相同Ulf务的分支和I或经营场所的公1:iJ0 JJ.2 组织的资格准则k务场所部是独特的网此一个组织认证范罔内的所有业务场所均应接A和运行其供应值安号四所包括集巾管理职能，且在认证凯系且鞍个组织均满足认证标准的要马、 B.2.3 组织应证明英有能力从包括总部在内的全部场所收集和分析数据f包括以下项目，且:t r 38701 i-2020/ISO 28003 ,2007 而要时有权力和能力发起组织nr.件和体系变化1叶的威胁；在供应链t系4方来F一一在组织供应链安伞臂JIJ,体系下运作的临时场所的阳这理体系及其.F_所有场所（包括的有效性eD.3 认证机构的资格准则1&tl，并能通过1同前有杨f.fl所有开始帘校之前认证机构应肉组织提供本附录现定的关于组织资格m则的信息.n果准则的任何1T1副术得到满足不宜继续进行。开始市楼前官告知组织若在市核中发现与这些准则相关的不符合将B.3.1 合闰评，序宜确保最初的合同评审对拟认证的机r；攻链安全管理体系所覆盖的活动的具加以识别U作为确定抽样水平的嗒币If!。B.3.1.3 钊对每个实例认YE机构宜核岳备场所时在何种程股上按照相同的哩！字有1方法生产戒提快质上腐！可类的产品M!J服务”认证机问只有在经核实确倪拟包揣在该多场所任务中的全部：场所都符合组织的资格准则后才可梅抽样程序应用于1在头川。且3.1.4如果一个服务性组织tjJ实施认证所辍盐的情动所在的今部场所IL应要求组织事先告知jJ.