[解决方案]认证机构综合管理系统业务需求说明书V10l

1、软件需求规格说明书软件需求规格说明书 认证机构综合管理系统认证机构综合管理系统 修订历史记录修订历史记录 日期日期版本版本说明说明作者作者 2010-7-6v0.1 初始创建 2010-10-22v0.1 补充业务和功能之外其他章节 键入文字 第 iii 页 共 498 页 目目 录录 修订历史记录修订历史记录.ii 第第 1 章章介绍介绍.10 1.1目的.10 1.2项目概述 .10 1.3定义、术语和缩写.12 1.4参考资料 .13 第第 2 章章业务需求业务需求 .14 2.1总体描述 .14 2.2用户组织结构.15 2.2.1用户特点 .15 2.3初次认证 .16 2.3.1业

2、务描述 .16 2.3.2业务流程 .18 2.4复评.40 2.4.1业务描述 .40 2.4.2业务流程 .41 2.5监督.45 2.5.1业务描述 .45 2.5.2业务流程 .46 2.6非行检查 .53 2.7变更.53 2.7.1业务描述 .53 2.7.2业务流程 .53 2.8证书管理 .55 2.8.1认证证书的基本内容.55 2.8.2认证证书的文种 .55 2.8.3认证证书编号的规定格式 .55 2.8.4认证证书样式的确认.56 2.9申诉.57 2.9.1业务描述 .57 2.9.2业务流程 .59 2.10投诉 .59 2.10.1业务描述 .59 2.10.2

3、业务流程 .61 2.11争议 .61 键入文字 第 iv 页 共 498 页 2.11.1争议的提出.61 2.11.2争议的处理.61 2.12证书转换.62 2.12.1业务描述 .62 2.12.2业务流程 .63 2.13企业管理.64 2.14审核员管理 .64 2.15认证业务范围管理 .66 2.16认证人员的专业能力管理 .66 2.16.1审核人员专业能力.66 2.16.2技术专家专业能力.66 2.16.3其他人员的专业能力.67 2.16.4认证人员专业能力评价 .67 第第 3 章章功能需求功能需求 .67 3.1概述.67 3.1.1用例模型 .68 3.1.2系

4、统角色 .68 3.2公共功能需求.69 3.3需求.69 3.3.1总体用例图.69 3.3.2总体业务描述.69 3.3.3总体流程图.70 3.3.4需求申请用例.70 3.3.5需求变更申请用例.76 3.4申请.81 3.4.1总体用例图.81 3.4.2总体业务描述.81 3.4.3总体流程图.82 3.4.4初认证申请用例 .82 3.4.5机构间转换申请用例.90 3.4.6再认证申请用例 .96 3.4.7特殊审核申请用例 .101 3.4.8监督申请用例.108 3.4.9非行检查申请用例 .113 3.5申请评审 .118 3.5.1总体用例图 .118 3.5.2总体业

5、务描述.118 3.5.3总体流程图 .119 3.5.4申请评审用例.120 3.5.5发送不受理通知书用例.124 键入文字 第 v 页 共 498 页 3.6审核管理 .126 3.6.1总体用例图 .126 3.6.2总体业务描述.126 3.6.3总体流程图 .127 3.6.4审核任务管理用例 .128 3.6.5审核计划管理用例 .135 3.6.6审核通知管理用例 .145 3.6.7监督审核通知用例 .149 3.6.8监督收费通知管理用例.151 3.6.9再认证收费通知管理用例 .156 3.7决定管理 .161 3.7.1总体用例图 .161 3.7.2总体业务描述.1

6、61 3.7.3总体流程图 .162 3.7.4材料接收、分发用例.162 3.7.5认证评定用例.166 3.7.6评定结果用例.169 3.7.7认证决定用例.173 3.7.8认证决定通知用例 .176 3.8证书管理 .186 3.8.1总体用例图 .186 3.8.2总体业务描述.186 3.8.3总体流程图 .187 3.8.4证书确认用例.187 3.8.5发放证书用例.192 3.8.6证书管理用例.196 3.8.7证书维护用例.201 3.8.8证书变更通知书用例.206 3.8.9证书模板管理用例 .211 3.9企业管理 .216 3.9.1总体用例图 .216 3.9

7、.2总体业务描述.216 3.9.3总体流程图 .217 3.9.4企业信息维护用例 .218 3.9.5发展企业用例用例 .226 3.10归档管理.231 3.10.1总体用例图 .231 3.10.2总体业务描述.231 3.10.3总体流程图 .232 3.10.4文档归档用例.233 3.10.5分类维护用例.238 3.11认证范围管理 .243 键入文字 第 vi 页 共 498 页 3.11.1总体用例图 .243 3.11.2总体业务描述.244 3.11.3总体流程 .245 3.11.4认证范围管理用例 .245 3.12企业培训管理 .252 3.12.1总体用例图 .

8、252 3.12.2总体业务描述.252 3.12.3总体流程图 .253 3.12.4企业培训计划用例 .254 3.12.5教师管理用例.259 3.12.6参训人员管理用例 .264 3.12.7培训班管理用例.269 3.13人员管理.277 3.13.1总体用例图 .277 3.13.2总体业务描述.278 3.13.3总体流程图 .278 3.13.4人员信息管理用例 .278 3.13.5专业资格管理用例 .286 3.13.6专业能力评价管理用例.290 3.13.7专业能力评定管理用例.294 3.13.8考核管理用例.297 3.14申投诉管理 .299 3.14.1总体用

9、例图 .299 3.14.2总体业务描述.299 3.14.3总体流程图 .300 3.14.4申投诉管理用例.301 3.15意见箱管理 .309 3.15.1总体用例图 .309 3.15.2总体业务描述.309 3.15.3总体流程图 .310 3.15.4意见建议用例.310 3.16合同管理.317 3.16.1总体用例图 .317 3.16.2总体业务描述.317 3.16.3总体流程图 .318 3.16.4合同编制用例.318 3.16.5合同模板管理用例 .322 3.17系统管理.329 3.17.1总体用例图 .329 3.17.2总体业务描述.329 3.17.3总体功

10、能结构图.330 3.17.4应用管理 .330 键入文字 第 vii 页 共 498 页 3.17.5资源管理 .334 3.17.6组织机构管理.340 3.17.7用户管理 .347 3.17.8角色管理 .356 3.17.9权限管理 .365 3.17.10操作日志管理.372 3.17.11参数配置管理.376 3.17.12数据字典管理.379 3.17.13记录权限管理.379 3.17.14元数据权限管理 .379 3.18数据交换.380 3.18.1总体用例图 .380 3.18.2总体业务描述.380 3.18.3总体功能结构图.380 3.18.4自愿性认证活动.38

11、0 3.18.5认监委信息上报用例.385 3.18.6认可中心信息上报用例.398 3.18.7协会信息上报.406 3.19查询统计.409 3.19.1总体用例图 .409 3.19.2总体业务描述.409 3.19.3总体流程图 .410 3.19.4证书统计分析用例 .410 3.19.5企业统计分析用例 .414 3.19.6审核员统计分析用例.418 3.19.7业务统计分析用例 .430 3.19.8费用统计分析用例 .440 3.20预警管理.443 3.20.1总体用例图 .443 3.20.2总体业务描述.443 3.20.3总体流程图 .444 3.20.4预警配置 .

12、445 3.20.5预警个人配置.450 3.20.6证书到期预警用例 .455 3.20.7监督预警用例.460 3.20.8再认证预警用例.465 3.20.9暂停到期预警用例 .470 3.20.10标准换版预警用例.475 3.20.11审核员证书到期预警用例.480 第第 4 章章数据需求数据需求 .485 4.1逻辑数据模型.485 键入文字 第 viii 页 共 498 页 4.2逻辑数据字典.485 4.2.1xxx 实体.485 4.3代码集.486 4.3.1xxx 代码.486 第第 5 章章系统接口需求系统接口需求.486 5.1xxx接口需求 .486 5.1.1接口

13、目的 .486 5.1.2接口遵循的标准和规范.486 5.1.3接口方式 .486 5.1.4接口内容 .486 5.2转换需求 .486 第第 6 章章系统部署系统部署 .486 6.1大规模认证机构部署.487 6.2一般认证机构部署.487 6.3较小规模机构部署.488 第第 7 章章系统运行环境需求系统运行环境需求.488 7.1软件环境 .488 7.1.1大规模机构 .488 7.1.2一般规模机构.488 7.1.3小规模机构 .488 7.2硬件环境 .488 7.2.1大规模机构 .489 7.2.2一般规模机构.490 7.2.3小规模机构 .491 7.3网络环境 .

14、492 第第 8 章章其它需求其它需求 .492 8.1性能需求 .492 8.2信息存储量需求 .493 8.3易用性需求.493 8.4可靠性需求.494 8.5可支持性/可维护性需求.494 8.6安全需求 .494 8.7设计约束 .495 8.8系统管理需求.495 键入文字 第 ix 页 共 498 页 8.9法律声明、版权声明和其他声明 .495 键入文字 第 10 页 共 498 页 第第 1 章章介绍介绍 1.1目的目的 说明开发本软件的目的； 为了提高认证机构的在认证行业的竞争力，加快机构拓展市场的能力，提升机构的品牌 形象，加快客户的认证过程，提高认证效率，提高机构的产能

15、，降低认证机构在认证过程中 的认证成本。所以我们通过对一些机构进行调研和分析，结合认监委认证相关的法律法规、 以开发服务于机构、服务于企业为目的，开发出认证机构业务综合管理系统。 说明编写文档的目的； 本文档定义了认证机构业务管理系统的业务需求、功能需求、数据需求、系统接口需求、 运行环境需求等； 说明本文档所预期的读者 本文档作为认证机构业务管理系统设计人员、售前技术支持人员、程序员、测试人员和 使用人员的参考资料。 1.2项目概述项目概述 项目环境背景 伴随着我国认证行业的飞速发展和综合国力的进一步的增强，我国的认证市场呈现出极强的 发展潜力和广阔的发展前景，截至目前为止，我国经过国家认证

16、认可监督管理委员会批准可以从 事认证活动的各类认证机构已有 178 家，其中目前有效的认证机构为 168 家。 随着我国加入了 wto 时代，产品认证更成了国际贸易的一个不可缺少的条件，随着国际贸 易的全球化，各国政府认证业务的开放和市场化，认证业务已经在世界范围内形成了一个巨大的 市场，认证机构的市场化形成了发展的必然结果。我国产品认证市场起步较晚，在起步阶段只有 少数几个国外认证机构在中国设立了办事机构，而且规模都很小，认证市场基本没有什么竞争， 随着我国认证市场的完全开放及认证需求的扩大，国外认证机构纷纷进入中国市场。目前，国际 上几乎所有知名的认证公司都已经进入了中国市场，我国国内也成

17、立了很多第三方认证机构，随 着这些机构的迅速发展，我国的产品认证市场竞争日趋激烈。目前的情况对国内的认证机构来说 既是机遇又是挑战，认证机构如何抓住机遇，把自身的品牌做大做强，国外认证机构进入国内市 场，和国内的认证机构形成竞争，所以国内的认证机构需要抓住市场空间，从而获取更大的发展。 项目的提出原因 在改革开放以来，我国认证认可工作迅速发展，取得了明显的成绩，但也存在着很多问题。 通过我们对认证行业的调查和分析，目前认证行业发展速度非常快，在国内认证行业发展的初期， 接受认证的企业比较小，很多认证机构都是通过手工来记录企业的信息和认证相关的信息，但是 键入文字 第 11 页 共 498 页

18、随着认证行业的发展，接受认证的企业越来越多，对这些企业信息的管理会越来越困难。同时在 整个认证行业存在着不同机构之间存在多重标准，重复收费、监督不力等问题。根据国务院办 公厅关于加强认证认可工作的通知 ，认证市场需要坚持统一规划、强化监管、规范市场、提高 效能和与国际接轨的原则，要求建立全国统一的国家认可制度和强制性认证与资源性认证相接合 的认证制度，逐步实现认证机构的社会化。 如何对认证机构、认证咨询机构、认证培训机构、认证人员进行有效的管理，如何加强对获 准认证的企业、产品和认证标志的跟踪监督，及如何体现服务型政府等一系列问题。 针对以上的问题，我们提出了开发认证机构综合管理系统，在满足机

19、构的日常管理需求的同 时也考虑了将来为国家认证认可管理委员会对认证机构业务的监管提供依据。 项目运作的可行性 软件产业作为信息化的核心和关键，无论是在传统行业，还是在发展电子政务、电子商务等 领域都有着广阔的用武之地，同样认证行业的信息化也离不开软件产业。 我们的认证行业起步较晚，起初认证市场基本上没有什么竞争，随着我国认证市场的完全开 发和认证需求的扩大，国内外的认证机构之间的竞争也越来越激烈。为了适应激烈的市场竞争， 各个认证机构之间为了提高自身在认证市场的竞争力，也逐步将信息化纳入到提升竞争力的范围 之内。 从目前认证市场的信息化软件产品种类不多，只有很少的几家软件提供商，最大的软件提供

20、 商就是以前的华狮软件，基本上占据了认证机构市场的一半，随着华狮软件退出了认证行业，整 个认证行业信息化面临着重新洗牌的格局。在认证行业中，一些机构比如 cqc、方圆、中汽认 证等成立专门的信息化部门来建设自己的认证系统。从我们前期调研的情况来看，cqc、中汽认 证中心都依靠自身的信息化部门已经开发出了自己的体系认证和产品认证的系统，但是由于本身 业务和管理模式的限制，体系和认证系统完全是根据自身的业务量上定做。另外一些小的机构， 比如东方纵横认证中心，由于本身机构自身信息化人员的匮乏，没有足够的力量去开发自己的系 统，只能借助第三方公司进行开发，但是第三方公司没有任何认证行业的业务背景，在开

21、发认证 业务系统时遇到很多阻碍，系统开发周期过长，效果也不是很好。 通过大量的调研和分析，我们认为目前认证机构的信息化是一个非常好的机会。 首先，从公司的背景来说，公司从成立开始就致力于认证认可行业的信息化，通过应用信息 技术转变认证认可相关部门传统的集中管理、分层结构运行模式，以适应数字化社会的需要，帮 助认证认可部门提高行政办事效率，节省财政开支，增强办公的透明度。对整个认证行业的发展 状况和业务都非常熟悉。随着公司的成长，同时也积累了一批既懂认证业务又懂技术的复合型人 才。这些都是公司在认证行业信息化方面的巨大优势。 其次，目前国内市场上认证机构业务系统提供商主要有杭州速普软件和奥途卡文

22、化传播有限 公司，速普软件采用 php+mysql 技术来开发，仅仅适合于小型的认证机构使用，从市场占有 情况来看，使用的机构很少，基本上只有几家小机构在使用。奥途卡文化传播有限公司接受了上 键入文字 第 12 页 共 498 页 海华狮软件的系统和部分人员，组建了一个新的团队重新进入认证市场。虽然华狮软件占有将近 58 家左右的认证机构，但是随着华狮软件的退出，很多机构也退出了使用华狮软件的系统。奥 途卡公司虽然继承了华狮软件的软件，但是这套软件采用的是 ms sqlserver、 vbscript 和 access，由于技术本身的限制，系统地效率非常低，通过一些机构的反馈，随着证书的增多，

23、查 询一个证书耗费的时间非常长，经常会遇到查不出结果的情况。该系统第一个版本创建和开发于 2000 年左右，到目前为止已经有 10 余年的时间，一般的软件使用周期也就是 4-5 年时间，10 年时间，信息化技术已经发生了翻天覆地的变化，华狮软件认证系统采用的技术已经远远落后于 目前的主流技术。相比较我们在开发认证机构业务综合管理系统时架构在目前主流的 j2ee 技术 之上，并且采用了工作流和表单技术，这使我们的产品在技术方面占有绝对的优势。 第三，我们最大的优势在于认监委、认可中心、认可协会都是我们的客户，很多系统都是我 们所开发，我们在认证机构业务综合管理系统的建设中，充分考虑了和这些监管部

24、门之间的数据 共享和接口，既考虑了机构本身业务开展的方便，同时又考虑了将来业务监管部门将来进行监管 的方便性。我们系统的一些数据来自于监管部门，这样大大提高了系统的准确性和权威性，同时 机构的业务数据能够很方便的上传给监管部门，解决了监管部门数据的实时性，又降低了认证机 构数据上报的难度，目前数据上报是很多机构最为头疼的事情，需要花费很大的精力和时间。 综上所述，虽然我们的产品有很多优势，但是我们也面临着诸多问题，时间是我们目前存在 的最大问题，我们的产品到第一个版本的问世，仅仅剩下不到半年的时间，如何在短时间内高质 量的、高效率的完成我们的预期目标，这是我们必须面对，也是必须要解决的问题。

25、1.3定义、术语定义、术语和缩写和缩写 监督监督：认证机构对企业获得认证的活动的系统性重复，是保持符合性声明持续有效的基础。 供方供方：对产品、过程或服务负有责任的且能够确保实施质量保证的一方，如制造商、批发商、 进口商、装配厂和服务组织等。 认证机构：认证机构：依据已发布的体系标准和体系要求的任何补充规定,对供方的进行审核和认证的 第三方机构。 审核：审核：与认证某一组织有关的所有活动，包括文件审查、审核、审核报告的编制，以及其它 有关的必要活动，这些活动的目的是确定该组织是否满足并有效实施了批准认证所依据的特定标 准的相关条款的全部要求，并为作出是否批准认证的决定提供充分的信息。 监督监督

26、：认证机构对企业获得认证活动的系统性重复，是保持符合性声明持续有效的基础。 复评：复评：根据体系要求为了保持证书在有效期后持续生效进行的再一次审核。(注：在复评中， 一般可将第一阶段审核与第二阶段审核合二为一。) 结合审核结合审核：对两个或多个管理体系一起审核（参考 gb/t19011-2003） 。注：对于组织所建 立的管理体系而言，按照两个或多个管理体系要求建立的统一的管理体系，有时被称为“整合的 体系”或“一体化体系”。 键入文字 第 13 页 共 498 页 管理体系认证：管理体系认证：体系认证是指企业，通过一个第三方机构对企业的管理体系进行第三方评价。 该机构必须是独立的，公正的。

27、产品认证：产品认证：产品质量认证是依据产品标准和相应技术要求，以认证机构确认并通过颁发认证 证书和认证标志来证明某一产品符合相应标准和相应技术要求的活动。 服务认证：服务认证：是认证机构按照一定程序规则证明服务符合相关的服务质量标准要求的合格评定 活动，是市场经济条件下为适应宏观管理需要专为服务行业设立的一项新的认证制度，是继产品、 体系认证之后开展的一种新型的认证形式。简单的说，就是服务行业对消费者的服务承诺。 申诉：申诉：申请企业或获证企业对认证机构做出的，与其期望的认证状态有关的不利决定所提出 的重新考虑的书面请求。 投诉：投诉：申请企业或获证企业向认证机构表达的，有别于申诉并希望得到答

28、复的，对认证机构、 申请企业或获证企业的活动的不满的书面表示。 争议：争议：申请企业或获证企业与认证机构在认证过程中就认证程序或认证技术问题不同意见的 书面表述。 1.4参考资料参考资料 列出本项目经核准的任务书或合同和上级机关的批文； 列出编写本软件需求说明书时参考的文件、资料、技术标准以及它们的作者、标题、编号、 发布日期和出版单位等。 #资料名称版本发布时间出版单位备注 1 cnas-cc22产品认证机构通用要 求应用指南 2007-022007-02-15中国合格评定国家 认可委员会 2 cnas-cc12质量管理体系认证机 构通用要求应用指南 2006-062006-06-01中国合

29、格评定国家 认可委员会 3 cnas-cc32环境管理体系认证机 构通用要求应用指南 2007-02 2007-02-15 中国合格评定国家 认可委员会 4cnas-cc01 管理体系认证机构要求 2008-092007-04-15 中国合格评定国家 认可委员会 5cnas-gc02 管理体系认证的结合审 核指南 2006-072006-06-01中国合格评定国家 认可委员会 6中华人民共和国认证认可条例2003-082003-11-1中华人民共和国国 务院令 7中华人民共和国产品质量法2000-072000-09-01中华人民共和国主 席令 8 cnas-cc12_2008已认可的管理 体系

30、认证的转换 2008-072008-12-14中国合格评定国家 认可委员会 92007 版 cnas-cc22产品认证机 构通用要求应用指南 2007-022007-12-08中国合格评定国家 认可委员会 键入文字 第 14 页 共 498 页 10cnas-r03 申诉、投诉和争议处理 规则 2008-062008-06-16中国合格评定国家 认可委员会 11cnas-gc41 职业健康安全管理体 系认证机构认证业务范围管理实施 指南 2006-062006-07-01中国合格评定国家 认可委员会 12cnas-gc31 环境管理体系认证机 构认证业务范围管理实施指南 2006-062006

31、-07-01中国合格评定国家 认可委员会 13cnas-gc21 产品认证机构认证业 务范围管理实施指南 2006-062006-07-01中国合格评定国家 认可委员会 14cnas-gc11 质量管理体系认证机 构认证业务范围管理实施指南 2006-062006-07-01中国合格评定国家 认可委员会 15cnas-gc01 认证证书管理指南2006-062006-07-01中国合格评定国家 认可委员会 16cnas-cc61 食品安全管理体系认证 机构通用要求 2006-062006-07-01中国合格评定国家 认可委员会 17 cnas-cc62食品安全管理体系认 证机构通用要求应用指南

32、 2006-062006-07-01中国合格评定国家 认可委员会 18 cnas-cc42职业健康安全管理体 系认证机构通用要求应用指南 2006-062006-07-01中国合格评定国家 认可委员会 19 cnas-cc31 2010人员认证机构通 用要求应用指南 2004-042004-04-01中国合格评定国家 认可委员会 20cnas-cc21 产品认证机构通用要求2006-062006-07-01中国合格评定国家 认可委员会 第第 2 章章业务需求业务需求 2.1总体描述总体描述 认证机构业务综合管理信息系统是面向认证机构及其分支机构在办理认证业务信息处理系统。 该系统以认证机构为中

33、心，以企业为服务对象，在企业、认证机构之间搭建一个认证业务处理平 台，同时在认证机构和认证业务监管部门之间建立一个数据交换平台。根据认证机构认证业务发 展的状况，下面我们将对认证业务进行需求分析。 键入文字 第 15 页 共 498 页 2.2用户组织结构用户组织结构 认证机构的组织机构大多数包括分中心、子公司和办事处，其中分中心和子公司都可以进行 业务的受理、审核工作，办事处只能联系业务，不能进行其它的业务工作。只有认证机构本身能 够进行认证决定和证书发放。 2.2.1用户特点用户特点 本产品的最终使用者包括以下几类人员：企业人员、市场人员、受理人员、审核人员、审批 人员、评定人员、决定人员

34、、财务人员、考核员、培训人员、人力人员、意见箱管理人员、文档 管理员、系统管理人员、信息处理人员、证书管理人员、二次开发人员，系统维护人员； 其中企业人员、市场人员、审批人员、财务人员、考核员、培训人员、人力人员、申投诉管 理人员、文档管理员、信息处理人员要有一定的计算机操作能力和知识，了解相关的认证知识， 经过简单的培训后能够进行相关的操作。 受理人员、审核人员、评定人员、决定人员需要有一定的计算机操作能力和知识，必须熟悉 认证业务知识，经过对系统的培训后能够熟练的操作系统。 系统管理人员需要对计算机操作非常熟悉，并且熟悉认证业务的办理流程，经过培训后能对 系统进行相关的配置。 二次开发人员

35、具有一定的编程基础，熟悉数据库、应用服务器、应用中间件，掌握工作流和 表单技术，熟悉认证相关的业务流程。 系统维护人员要求熟悉操作系统、数据库、应用服务器、中间件的配置和相关的命令，熟悉 系统的运行环境、对系统运行过程中的常见的 bug 进行追踪和分析，并能够处理简单的错误， 有一定的测试能力。 键入文字 第 16 页 共 498 页 2.3初次认证初次认证 2.3.1业务描述业务描述 通过申请，申请评审，审核，认证决定和发证五个阶段，认证机构用来确认申请者具有满足 特定标准的相关条款的全部要求的过程。 企业将所要申请的业务由企业提出需求内容。需求内容包括企业的名称，地址，管理者代表 信息（管

36、理者代表姓名，管理者代表电话，管理者代表传真，管理者代表职务等） ，联系人信息 （联系人姓名，联系人电话，联系人传真等） ，何种业务（文字表示的具体业务内容） ，上传相关 资质证明，法律地位和申请认证相关的文件。企业需求确认后，提交给机构。 机构收到企业提出的需求后，进行接收工作。首先和企业进行沟通，明确企业的需求后，由 机构人员录入申请书。系统会根据申请书进行拆分，按照企业和领域来拆分，把申请书转化为最 终的企业申请。例如机构人员录入了一条企业的 ems 和 qms 的初认证结合申请书，系统自动进行 拆分，生成一条该企业的 ems 初认证申请和一条该企业的 qms 初认证申请。企业如果提出了

37、变更 申请，扩项或者缩项。机构人员要确认此申请是针对哪个领域提出，而变更地址，法人，公司名 称等内容，要确认出哪些证书需要进行变更。申请中如果涉及到总子证的情况，在申请分场所的 时候，标记出分场所是否需要出子证，分场所涉及的认证范围是什么。机构人员在录入申请的时 候进行完整性检查，对于缺少的申请资料需要及时和企业沟通进行补充。对于监督和非例行检查 的内容，机构接收岗位也可以制定出相关的监督计划和非行计划。 机构接收需求，录入申请后，机构开始进行受理工作，首先是对申请做正确性检查。在正确 性检查期间机构可以对申请书和申请进行修改。机构确认申请是否可以受理，在正式受理企业需 求的同时生成受理通知书

38、，发送给企业。如果机构因为各种原因，不受理企业的需求，也需要同 时生成不受理通知书，发送给企业说明不受理的原因。同时机构根据和企业协商结果拟定合同。 一个合同可以关联多个由机构接收企业需求而生成的申请。机构做完合同评审后，要和企业对合 同进行最终确认。 受理部门受理申请后，由审核部门开始拟制审核计划。一个审核计划可以对应多个已受理的 申请或者机构制定的监督计划和非行计划。拟制审核计划时要设置审核计划开始和结束的时间， 设置计划的负责人员。同时可以在审核计划下创建阶段子计划。并且设置阶段子计划的开始时间， 结束时间，审核阶段的类型（文审，现场一阶段，现场二阶段，特殊审核） ，关联的申请以及组 长

39、和审核组成员。 制定了阶段子计划后，根据实际情况，设定任务。一个阶段子计划可以设定多个任务。每个 任务中要填写这个任务的开始时间，结束时间，审核地址，审核范围，具体的审核组成员（从阶 段子计划的审核组成员中选择） ，以及各个成员在任务中的工作安排（担任的组内职务，开始时 间和结束时间） 。 选择审核组成员，要求可以根据项目，领域，地域，组内职务，所学专业，专兼职，领域的 键入文字 第 17 页 共 498 页 标准，审核员的年龄和合同是否到期等情况进行人员的筛选。组建的审核组要求成员具有的审核 范围必须覆盖本任务的审核范围。同时一个审核组内只能有一个组长。 当审核任务完成后，由审核组长上报审核

40、组各个成员实际的开始审核时间和结束时间，具体 的人日数。同时上报任务的审核结果和审核报告，和该任务是否完成。并不是所有的任务都一定 有审核报告，当一个审核任务并没有全部完成审核要求的内容，而因为审核组的因素不能继续进 行审核时，要上传工作交接的说明，来衔接下一次任务方便继续进行审核。当一个阶段子计划下 所有的任务都完成后，计划负责人员要去填写阶段子计划的实际开始时间和实际结束时间，同时 确认阶段子计划是否完成。当一个计划下所有的阶段子计划都完成后，计划负责人员去填写审核 计划的实际开始时间和实际结束时间，同时确认审核计划是否完成。 审核组长判断所负责的任务是否完成，确认完成后提交给计划的负责人

41、员。负责人员在一个 申请的所有范围关联的二阶段任务都完成后（相关的报告都提交了） ，由负责人员提交申请关联 的审核资料结果给资料受理岗位。如果一个申请的审核（企业的一个领域的认证）只完成一部分， 不能将审核资料提交给资料受理岗位。发生这种情况，或者等待该申请全部审核都完成后再提交， 或者修改申请书和申请，去掉未完成的范围。如果是总子证的情况，必须要全部相关的审核都完 成，才能提交给资料受理岗位。 资料受理岗位人员接收到计划负责人员提交的已经完成审核的申请信息后，对审核文档做完 整性的检查。 资料受理人员检查资料完整后，机构成立评定组，对审核报告和过程相关文档进行评定。评 定组成员要从评定人员库

42、中进行选择，要求选择出的评定人员所具有的能力能够覆盖要评定的审 核中的范围。如果评定过程中发现因为审核组的责任，造成审核不充分的，需要进行补充审核。 在原来的计划上增加补充审核的子计划和任务。当通过评定组的评定后，机构决定人员针对评定 的结果给出最终的决定意见。对于决定不通过的，要生成认证不合格通知书，同时说明认证不通 过的原因。决定通过的，生成证书确认单，发送给企业，由企业对要打印证书的内容进行最终确 认。 机构接收到企业的证书确认单后，如果企业没有对内容进行修改，直接生成证书，由证书打 印岗人员选择证书模板，对证书进行打印。对于已经受理且不需要进行现场审核的变更申请，直 接修改证书，在证书

43、打印岗重新打印证书。对于企业提出证书状态变更的申请，由机构对申请进 行确认然后修改证书的状态。如果是机构主动对企业证书进行的状态变更，直接对证书状态进行 修改。一旦证书的状态发生变化，则生成相应的证书变更通知单，通知企业该证书状态的变化情 况以及原因。 机构针对一个申请相关的所有的过程文档，包括申请资料，审核过程文档，审核报告，评审 结果等统一进行归档。 键入文字 第 18 页 共 498 页 2.3.2业务流程业务流程 键入文字 第 19 页 共 498 页 2.3.2.1体系总体业务流程体系总体业务流程 2.3.2.1.1申请申请 认证机构应要求申请组织的授权代表提供必要的信息，以便认证机

44、构确定： a） 申请认证的范围； b） 申请组织的一般特征，包括其名称、物理场所的地址、过程和运作的重要方面以 及任何相关的法律义务； c） 申请组织与申请认证的领域相关的一般信息，包括其活动，人力与技术资源，以及 适用时，其在一个较大实体中的职能和所处的关系； d） 申请组织采用的所有影响符合性的外包过程的信息； e） 申请组织寻求认证的标准或其他要求； f） 接受与管理体系有关的咨询的情况。 2.3.2.1.2受理受理 在实施审核前，认证机构应对认证申请及补充信息进行评审，以确保： a） 关于申请组织及其管理体系的信息充分，可以进行审核； b） 认证要求已有明确说明并形成文件，且已提供给申

45、请组织； c） 解决了认证机构与申请组织之间任何已知的理解差异； d） 认证机构有能力并能够实施认证活动； e） 考虑了申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他 影响认证活动的因素（语言、安全条件、对公正性的威胁等） ； f） 保持了决定实施审核的理由的记录。 根据上述评审，认证机构应确定审核组及进行认证决定需要具备的能力。 认证机构应任命审核组。组成审核组的所有审核员（必要时，还有技术专家）作为一个整体 应具备认证机构按以上确定的对申请组织实施认证的能力。认证机构应根据审核员和技术专家具 备的能力来选择审核组，并可以使用内部和外部的人力资源。 认证机构应指定将进行认证

46、决定的人员，以确保具有实施认证决定的适宜能力。 2.3.2.1.3审核审核 管理体系的初次认证审核应分两个阶段实施：第一阶段和第二阶段。 第一阶段审核第一阶段审核 第一阶段审核应： a） 审核客户的管理体系文件； b） 评价客户的运作场所和现场的具体情况，并与客户的人员进行讨论，以确定第二 阶段审核的准备情况； 键入文字 第 20 页 共 498 页 c） 审查客户理解和实施标准要求的情况，特别是对管理体系的关键绩效或重要的因素、 过程、目标和运作的识别情况； d） 收集关于客户的管理体系范围、过程和场所的必要信息，以及相关的法律法规要 求和遵守情况（如客户运作中的质量、环境、法律因素，相关的

47、风险等） ； e） 审查第二阶段审核所需资源的配置情况，并与客户商定第二阶段审核的细节； f） 结合可能的重要因素充分了解客户的管理体系和现场运作，以便为策划第二阶段审 核提供关注点； g） 评价客户是否策划和实施了内部审核与管理评审，以及管理体系的实施程度能否 证明客户已为第二阶段审核做好准备。为实现上述目标，对于大多数管理体系而言，建议至 少一部分第一阶段审核活动在客户的场所进行。 认证机构应将第一阶段审核发现形成文件并告知客户，包括识别任何引起关注的、在第二阶 段审核中可能被判定为不符合的问题。 认证机构在确定第一阶段审核和第二阶段审核的间隔时间时，应考虑客户解决第一阶段审核 中识别的任

48、何需关注问题所需的时间。认证机构也可能需要调整第二阶段审核的安排。 第二阶段审核第二阶段审核 第二阶段审核的目的是评价客户管理体系的实施情况，包括有效性。第二阶段审核应在客户 的现场进行，并至少覆盖以下方面： a） 与适用的管理体系标准或其他规范性文件的所有要求的符合情况及证据； b） 依据关键绩效目标和指标（与适用的管理体系标准或其他规范性文件的期望一致） ， 对绩效进行的监视、测量、报告和评审； c） 客户的管理体系和绩效中与遵守法律有关的方面； d） 客户过程的运作控制； e） 内部审核和管理评审； f） 针对客户方针的管理职责； g） 规范性要求、方针、绩效目标和指标（与适用的管理体系

49、标准或其他规范性文件 的期望一致） 、适用的法律要求、职责、人员能力、运作、程序、绩效数据和内部审核发现 及结论之间的联系； 初次认证的审核结论初次认证的审核结论 审核组应对在第一阶段和第二阶段审核中收集的所有信息和证据进行分析，以评审审核发现 并就审核结论达成一致 审核报告审核报告 为使认证机构做出认证决定，审核组至少应向认证机构提供以下信息： a） 审核报告； b） 对不符合的意见，适用时，还包括对客户采取的纠正和纠正措施的意见； 键入文字 第 21 页 共 498 页 c） 对提供给认证机构用于申请评审信息的确认； d） 对是否授予认证的推荐性意见及附带的任何条件或评论。 认证机构应在评

50、价审核发现和结论及任何其他相关信息（如公共信息、客户对审核报告的意 见）的基础上做出认证决定。 2.3.2.1.4决定决定 认证机构应对与认证有关的决定（初认证中就是授予）负责，并应保持做出上述决定的权力。 2.3.2.2质量管理体系业务流程质量管理体系业务流程 2.3.2.2.1受理受理 适宜时，审核计划应当识别在审核中可能用到的计算机辅助审核技术。注：计算机辅助审核 技术可能包括诸如电视电话会议、网络会议、网络交流、远程电子方式获得 qms 文档和/或 qms 过程等。运用这种技术旨在提高审核有效性和效率，且宜支持审核过程的完整性。 2.3.2.2.2审核审核 认证机构应给审核员充分的时间

51、来进行所有与审核或复评（re-assessment）有关的活动。 该时间分配宜根据组织的规模、场所的数量、实施 qms 的各种不同的组成部分时所使用的技术 （如文件和/或过程控制、纠正/预防措施的控制等） 、业经证实的 qms 的绩效，以及认证用的 标准等因素。提供对审核员时间的指南。认证机构应证实或证明审核、监督或复评所用时间的合 理性。 当质量管理体系、环境管理体系或其它管理体系的审核同时或依次进行时，有些要素可能是 所有体系共有的。在确定审核员对共有要素的审核能力时，主要原则是保持每个体系审核的完整 性。这要求在所有审核活动中配备适当的能力。关键是要始终判断质量管理体系、环境管理体系 或

52、其它类型审核的哪些方面能由具有另外一个学科培训和背景的审核员来实施，以及是否需要补 充知识和/或培训。 审核发现报告要求的不只是一个一般的总结陈述。向认证机构提供的发现报告应具有足够的 细节以便于并支持认证决定，且宜包括： a)审核覆盖的区域（如：认证要求的区域，受审核方的地点/单位/部门/过程）包括重要 的审核路线及使用的审核技术； b)所做的观察，包括正面的（如：的优点）和负面的（如：潜在的不符合） ； c)由客观证据支持已确定的任何不符合报告（细节） 。 已填写的调查表/检查表/观察记录/审核员笔记可作为覆盖上述内容的报告的组成部分。如 果应用了这些方法，应将这些文件提交认证机构作为支持

53、认证决定的证据。 供方质量管理体系是否符合认证要求的评述及对不符合项的明确的说明,适用时也可与以往 键入文字 第 22 页 共 498 页 对供方审核结果作有用的比较： 第一个要点，要求报告包含关于组织的质量管理体系与认证要求的符合性的意见。满足这一 条的方法可以是一个简单的书面总结，归纳审核所有的审核发现（结论）并且判断组织是否具有 从体系上满足对证书确定的范围内提供的产品或服务的商定要求的能力。 第二个要点，要求这些意见包含对不符合的明确说明。这可以采用认证机构通常使用的报告 不符合的方法。 最后一个要点， “适用时也可比照以往对供方审核的结果”不适用于初评，只与纠正措施的跟 踪访问、部分

54、复评和监督审核有关。 对报告的要求外，还应包括下列信息： a)内部审核的可信任程度； b)有关质量管理体系的实施中最重要的正面和负面的观察总结； c)审核组的结论。 要求在报告的内容里要考虑申请人内部组织结构和所采用的程序的适宜性，以建立对其质量 管理体系的信任。对适宜性的评述宜由对质量管理体系发展状况（成熟度）和有效性的评述来支 持。 如果是针对多个管理体系的审核，报告应清楚地表明与每个管理体系标准的所有重要要求的 符合性。 2.3.2.2.3决定决定 在认证过程中所收集的信息应足以使： a) 认证机构能够作出有依据的认证决定； b) 如发生申诉时，可用于追溯； c) 确保连续性，例如：在策

55、划下次审核时（可能由不同的审核组进行） 。 认证机构内作批准/撤销认证决定的实体（可以是个人）宜具备足够的知识和经验以评价审 核过程和审核组的相关推荐意见。 只有在定义的所有不符合都已得到纠正并采取纠正措施经认证机构验证（通过现场访问或其 它适当的验证方式） ，才可以批准认证。 认证文件应从认证机构作出正式决定日期开始计算，而监督周期宜从初审完成日期开始安排。 对认证机构某一业务范围的认可意味着根据 cnas 的判断，认证机构的管理层对该行业具 备必要的了解并具有管理能力，以管理其决定运作的那些行业的审核工作。这并不意味着该机构 一定要对在该行业内的所有组织的质量管理体系提供认证服务。认证机构

56、宜使申请人和预期的申 请人了解认证机构被认可的和/或所运作的业务范围，因此，认证机构可以请求其业务范围限定 在部分类别或类别中一部分。 认证机构宜向 cnas 通报其运作的业务范围的类别或类别中的一部分。如果认证机构打算 键入文字 第 23 页 共 498 页 在新的业务范围内，或以前没有通报过 cnas 的专业领域内（业务范围的一些部分）开展认证 工作，并想获得该业务范围的认可，它就宜保持向 cnas 通报的程序。这些程序宜表明在尚未 开发的领域的认证申请时将采取的步骤，并宜在接受这类申请前做好充分准备以获得必要的知识 和经验。 通过作为多边协议组织（如 ilac 多边互认协议组织）成员资格

57、证明具备能力的实验室认可 机构所发布的认可，能作为由认可覆盖的组织质量管理体系的职能符合与 iso/iec17025 或其 它等效认可标准相重叠的那部分 iso9001 要求的充分证据。如果一个已经根据 iso/iec17025 或其它等效认可标准获准认可的组织希望得到 gb/t19001 认证，认证机构可对组织质量管理体 系只审核未被 iso/iec17025 或其它等效认可标准所覆盖的要求。 认证机构可经认可开展对测试和校准实验室的质量管理体系认证，但它宜使委托方明白这种 认证并不等同于对测试或校准实验室的认可。认证机构不应允许将其标志用于实验室的测试和校 准报告上，因为在上述情形下这种报

58、告被视为产品。 通常不宜要求在管理体系证书的范围说明中或其它有关管理体系认证的场合 提到的法规、产品标准和其它产品规范性文件，除非有必要充分明确认证范围才可以。不宜 暗示管理体系以外的其它任何方面也获得了认证。 所有的认证文件应明确认证的有效期。生效日期应是认证机构正式作出决定的日期或之后。 建议该有效期同复评的安排一致，但这种联系不是一项要求。有关已认可的认证的转换。 作为一份已认可的认证文件，应由认证机构按照认可的条件颁发，并清楚地注明 cnas 和 颁发证书的认证机构。 如果认证机构的认证范围获得不止一个认可机构的认可，在认可的认证文件上应至少注明一 个认可机构。 2.3.2.3环境管理

59、体系业务流程环境管理体系业务流程 2.3.2.3.1受理受理 对第一阶段审核的要求包含在 cnas-cc31 中关于审核的 5.3.条款中。特殊要求还可能包括 在审核电子化 ems 时，需要考虑审核员能力和信息安全问题。 适用时，审核计划宜识别出任何在审核中使用的计算机辅助审核方法。 注：计算机辅助审核方法的例子可以包括：电话会议，网络会议，基于网络的交互式通讯以 及远程访问 ems 文件和（或）ems 过程。此类方法的关注点宜为增强审核的有效性和效率， 并为审核过程的完整性与可信性提供支持。 2.3.2.3.2审核审核 认证范围:目的是为了让各种性质的组织有充分的灵活度来确定其环境管理体系认

60、证证书的 范围，以反应出他们的商业需要与不同的运行情况。尽管如此，本文件还是要防止组织把应该包 含在环境管理体系中的运行要素从认证范围中剔除。 键入文字 第 24 页 共 498 页 以下因素应用来确定证书的范围。为了组织的环境管理体系获得认证的资格， a) 对环境管理体系覆盖的活动的管理层宜：能说明在环境管理体系中所有与环境因素 和环境影响相关的职责；有权通过设定目标、指标和方案来决定如何实施并保持环境方针； 有权调配适当的财力和人力资源，实现环境的控制和改善。这可能包含在预算或其他方案中。 对于改善环境的其他资源可能要得到更高管理层的授权。 b) 宜明确界定组织输入、输出的职责界限。 c)