T-STIC 130022-2024 合格評定認(rèn)證數(shù)字化應(yīng)用指南

ICS35.020CCSA00STICConformityassessment-ApplicationguideforcertificationofdigitizationIT/STIC130022—2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4原則 5認(rèn)證數(shù)據(jù)要求 26認(rèn)證數(shù)字化過程 26.1總則 26.2申請評審 26.3數(shù)據(jù)及采集方式選擇 36.4審核/檢查方案 36.5審核/檢查計劃 36.6審核/檢查實施 46.7認(rèn)證復(fù)核 47數(shù)字化輸出 47.1電子簽字與簽章 47.2成文信息輸出 47.3證明文件輸出 5參考文獻(xiàn) 6T/STIC130022—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由上海市檢驗檢測認(rèn)證協(xié)會提出。本文件由上海市檢驗檢測認(rèn)證協(xié)會歸口。本文件起草單位：上海添唯認(rèn)證技術(shù)有限公司、上海市檢驗檢測認(rèn)證協(xié)會、上海質(zhì)量體系審核中心、上海建科檢驗有限公司、上海質(zhì)量技術(shù)認(rèn)證中心、上海市質(zhì)協(xié)用戶評價中心、上海牽翼網(wǎng)絡(luò)科技有限公司、挪亞檢測認(rèn)證集團有限公司、上海遠(yuǎn)誠科技咨詢有限公司、上海市電子商務(wù)行業(yè)協(xié)會。本文件主要起草人：洪軒、鄭學(xué)東、姚應(yīng)濤、黃慧杰、汪珺、譚平、岳鵬、湯瀟、陳浩、章淳博、高峰、姜瀛洲、楊萬霞、劉春遠(yuǎn)、林嘉怡、高平、錢藝銘。首批承諾執(zhí)行單位:上海添唯認(rèn)證技術(shù)有限公司、上海市檢驗檢測認(rèn)證協(xié)會、上海質(zhì)量體系審核中心、上海建科檢驗有限公司、上海質(zhì)量技術(shù)認(rèn)證中心、上海市質(zhì)協(xié)用戶評價中心、上海牽翼網(wǎng)絡(luò)科技有限公司、挪亞檢測認(rèn)證集團有限公司、上海遠(yuǎn)誠科技咨詢有限公司、上海市電子商務(wù)行業(yè)協(xié)會。本文件為首次發(fā)布。T/STIC130022—2024隨著信息技術(shù)的飛速發(fā)展，數(shù)字化轉(zhuǎn)型已成為各行各業(yè)發(fā)展的新趨勢。認(rèn)證行業(yè)作為保障產(chǎn)品質(zhì)量、服務(wù)水平和安全的重要環(huán)節(jié)，也在積極探索數(shù)字化應(yīng)用。本文件旨在為認(rèn)證機構(gòu)和相關(guān)組織在數(shù)字化轉(zhuǎn)型過程中提供指導(dǎo)和支持。認(rèn)證行業(yè)在數(shù)字化轉(zhuǎn)型方面具有巨大潛力，通過數(shù)字化技術(shù)可以提高認(rèn)證過程的透明度、公正性和可信度。為認(rèn)證行業(yè)數(shù)字化發(fā)展推動，亟需制定相關(guān)標(biāo)準(zhǔn)予以引導(dǎo)和規(guī)范。本文件明確了認(rèn)證數(shù)字化應(yīng)用的內(nèi)涵、目標(biāo)、基本原則和關(guān)鍵要素，為認(rèn)證機構(gòu)開展數(shù)字化工作提供了統(tǒng)一的遵循。通過本文件的實施，有助于提高認(rèn)證效率、降低認(rèn)證失誤、增強認(rèn)證數(shù)據(jù)的安全性和可靠性，進(jìn)一步優(yōu)化認(rèn)證服務(wù)體驗。本文件是為認(rèn)證數(shù)字化轉(zhuǎn)型提供支持，并非創(chuàng)造新的合格評定方法。堅持科學(xué)性、實用性、兼容性和開發(fā)性的原則?？茖W(xué)性：充分考慮認(rèn)證行業(yè)特點，結(jié)合數(shù)字化技術(shù)發(fā)展趨勢，確保標(biāo)準(zhǔn)的科學(xué)性和前瞻性。實用性：注重實際操作，確保標(biāo)準(zhǔn)具有可操作性和實用性，為認(rèn)證機構(gòu)提供具體指導(dǎo)。兼容性：充分考慮現(xiàn)有認(rèn)證體系和技術(shù)規(guī)范，確保標(biāo)準(zhǔn)與現(xiàn)有體系的有效銜接。開放性：為適應(yīng)未來技術(shù)發(fā)展，標(biāo)準(zhǔn)應(yīng)具有一定的開放性，便于修訂和完善。本文件適用于認(rèn)證機構(gòu)、認(rèn)證人員、認(rèn)證對象等相關(guān)方在認(rèn)證數(shù)字化應(yīng)用過程中的規(guī)劃、建設(shè)、管理和評估。將有助于推動認(rèn)證行業(yè)數(shù)字化發(fā)展，提升認(rèn)證服務(wù)質(zhì)量，為構(gòu)建公平、公正、高效的認(rèn)證體系奠定堅實基礎(chǔ)。1T/STIC130022—2024合格評定認(rèn)證數(shù)字化應(yīng)用指南本文件規(guī)定了認(rèn)證數(shù)字化原則、認(rèn)證數(shù)據(jù)要求、認(rèn)證數(shù)字化過程、數(shù)字化輸出等內(nèi)容。本文件適用于認(rèn)證機構(gòu)提供第三方認(rèn)證時，適用于認(rèn)證機構(gòu)、認(rèn)證人員、認(rèn)證對象等相關(guān)方在認(rèn)證數(shù)字化應(yīng)用過程中的規(guī)劃、建設(shè)、管理和評估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19000《質(zhì)量管理體系基礎(chǔ)和術(shù)語》GB/T37988《信息技術(shù)數(shù)據(jù)安全能力成熟度模型》ISO/IEC17021-2.2《合格評定——管理體系審核認(rèn)證機構(gòu)的要求及管理體系第三方認(rèn)證審核的要求——第2部分：管理體系審核第三方認(rèn)證審核的要求》T/CCAA36《認(rèn)證機構(gòu)遠(yuǎn)程審核指南》3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1認(rèn)證數(shù)字化certificationdigitization以數(shù)字化方法運用合格評定技術(shù)對產(chǎn)品和服務(wù)提供者的產(chǎn)品、服務(wù)或管理體系是否達(dá)到相關(guān)要求提供有關(guān)的第三方證明。注：數(shù)字化的認(rèn)證過程應(yīng)符合GB/T27067或ISO/IEC17021-2.2的要求。3.2數(shù)字化采集digitizationcollection收集和采信認(rèn)證對象一個或多個特性的數(shù)字化值的活動。注：改寫GB/T19000-2016，定義3.11.1。3.3數(shù)字化審核/檢查digitizationaudit運用數(shù)字化方法，為獲得客觀證據(jù)并對其進(jìn)行客觀的評價，以確定滿足審核/審查準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨立的并形成成文信息的過程。注：改寫GB/T19000-2016，定義3.13.1。3.4數(shù)字化審核/檢查平臺digitizationauditsystem為認(rèn)證審核/檢查收集和采信認(rèn)證對象客觀證據(jù)，并為審核/檢查過程提供支持的信息系統(tǒng)。3.5信息與通信技術(shù)（ICT）informationandcommunicationstechnology完成信息加工和通信或使其具有信息加工和通信功能的技術(shù)手段。注：ICT是包含所有的設(shè)備，網(wǎng)絡(luò)組件，應(yīng)用程序和系統(tǒng)及4原則4.1選擇與應(yīng)用數(shù)字化的認(rèn)證數(shù)據(jù)原則通常包括：公正性、可用性和可靠性、安全性和隱私性、真實性和有效性。2T/STIC130022—20244.2公正性是認(rèn)證機構(gòu)提供可建立信任的認(rèn)證的必要條件和基本原則，也是數(shù)字化的認(rèn)證數(shù)據(jù)選擇與應(yīng)用的技術(shù)基礎(chǔ)。認(rèn)證機構(gòu)應(yīng)對認(rèn)證活動的公正性負(fù)責(zé)，不允許有任何來自商業(yè)、財務(wù)或其他方面的壓力損害公正性。4.3可用性和可靠性是數(shù)字化的認(rèn)證數(shù)據(jù)選擇與應(yīng)用的評價原則，無論是數(shù)字化采集，還是管理能力數(shù)字化審核/審查，應(yīng)首選能夠反應(yīng)組織生產(chǎn)、服務(wù)質(zhì)量能力，且連續(xù)的數(shù)據(jù)源，促進(jìn)并便于認(rèn)證結(jié)果的采信。4.4安全性和隱私性是數(shù)字化的認(rèn)證數(shù)據(jù)選擇與應(yīng)用的工作原則，在數(shù)字化采集和審核/審查過程中應(yīng)考慮選擇保護受益者（包括獲證組織、用戶、數(shù)據(jù)提供機構(gòu)）隱私的數(shù)據(jù)，并充分考慮數(shù)據(jù)的信息安全，防止非授權(quán)訪問。4.5有效性是數(shù)字化的認(rèn)證數(shù)據(jù)選擇與應(yīng)用的價值原則，在保證公正性原則與認(rèn)證風(fēng)險可控的前提下，有效反映組織生產(chǎn)和服務(wù)提供能力。5認(rèn)證數(shù)據(jù)要求5.1認(rèn)證數(shù)字化是采用數(shù)字化的方法、技術(shù)和過程形成成文信息的過程，本部分針對認(rèn)證過程的基礎(chǔ)數(shù)據(jù)、運行數(shù)據(jù)、用戶數(shù)據(jù)的采集規(guī)定了認(rèn)證數(shù)據(jù)要求。5.2為確保申請認(rèn)證組織符合相應(yīng)的要求，其應(yīng)具備提供的條件和能力。5.3本文件提出通用的認(rèn)證數(shù)據(jù)要求，給出認(rèn)證數(shù)字化的三個關(guān)鍵因素，每個因素通過關(guān)鍵評價指標(biāo)反映應(yīng)具備的條件和能力。如圖1所示。圖1認(rèn)證數(shù)據(jù)要求6認(rèn)證數(shù)字化過程6.1總則認(rèn)證機構(gòu)應(yīng)提供認(rèn)證過程所需的信息與通信技術(shù)（ICT），宜建立認(rèn)證的信息系統(tǒng)，被認(rèn)證對象通過系統(tǒng)提供必要的信息，以便認(rèn)證機構(gòu)采集相關(guān)數(shù)據(jù)。6.2申請評審6.2.1認(rèn)證機構(gòu)應(yīng)對申請組織的數(shù)字化成熟度進(jìn)行診斷。6.2.2采用數(shù)字化的認(rèn)證過程，應(yīng)在選取數(shù)據(jù)采集方式前，確定組織的數(shù)字化水平，診斷內(nèi)容包括但不限于：a)信息系統(tǒng)配置和應(yīng)用；b)信息系統(tǒng)復(fù)雜程度和數(shù)據(jù)的可采集程度；c)數(shù)字化信息發(fā)布或外部輸出；d)數(shù)字化流程的風(fēng)險識別；e)信息與通信技術(shù)（ICT）的選擇；f)信息與通信技術(shù)（ICT）所需的資源與條件；3T/STIC130022—2024g)確定傳輸數(shù)據(jù)的適宜性、可用性和可靠性、有效性；h)必要時，可參照GB/T37988的要求；i)其他支持條件。6.2.3針對被認(rèn)證對象的數(shù)字化水平進(jìn)行診斷，并適用于本文件第4章節(jié)數(shù)據(jù)適用原則，應(yīng)考慮采集的數(shù)據(jù)能夠反應(yīng)被認(rèn)證對象符合認(rèn)證準(zhǔn)則實施認(rèn)證的決策，適用：a)可根據(jù)組織的數(shù)字化診斷結(jié)果決策數(shù)據(jù)采集方式選擇；b)可根據(jù)認(rèn)證機構(gòu)的數(shù)字化診斷結(jié)果決策數(shù)據(jù)采集方式選擇；c)可根據(jù)相關(guān)公共管理部門的數(shù)字化診斷結(jié)果決策數(shù)據(jù)采集方式選擇。6.3數(shù)據(jù)及采集方式選擇6.3.1數(shù)據(jù)及采集方式旨在認(rèn)證過程中，實施收集符合認(rèn)證準(zhǔn)則所提供的數(shù)據(jù)及采集技術(shù)方式。本文件給出的認(rèn)證數(shù)據(jù)及采集方式具有良好的適用性，但并未給出所有可能的數(shù)據(jù)及采集方式。6.3.2建立、選擇和應(yīng)用時應(yīng)考慮對數(shù)據(jù)采集和數(shù)字化審核/審查的技術(shù)需求和適宜性。數(shù)據(jù)及采集宜針對特定的產(chǎn)品和服務(wù)及其管理的特征，適用于產(chǎn)品和服務(wù)數(shù)據(jù)采集以及數(shù)字化審核/審查的活動。所需要采集的數(shù)據(jù)見圖1。6.3.3應(yīng)在認(rèn)證開展實施前，確定認(rèn)證所需采集的數(shù)據(jù)，可選取一種或一種以上的組合選擇，包括但不限于：a)被認(rèn)證對象提供的數(shù)據(jù)；b)認(rèn)證機構(gòu)測評/測試數(shù)據(jù)，包括產(chǎn)品認(rèn)證所需的型式試驗數(shù)據(jù)；c)由認(rèn)證機構(gòu)與被認(rèn)證對象確定的采信平臺或數(shù)據(jù)；d)公共管理機構(gòu)發(fā)布的公開數(shù)據(jù)。6.3.4采集方式可選取一種或一種以上的組合選擇，結(jié)合其他認(rèn)證過程，完成認(rèn)證活動。包括：a)方式A：“人-人”采集，不能通過客觀數(shù)據(jù)全部或部分澄清的認(rèn)證過程，可采用的方式；b)方式B：“人-機”或“機-人”采集，通過人對系統(tǒng)訪問或系統(tǒng)對人輸出的認(rèn)證過程，可采用的方式；c)方式C：“機-機”采集，通過系統(tǒng)與系統(tǒng)直接采集的認(rèn)證過程，可采用的方式。6.3.5數(shù)據(jù)及采集方式的組合宜考慮其適宜性、可用性/可靠性和有效性的影響因素，如數(shù)據(jù)的復(fù)雜性、風(fēng)險性；采集和審核/審查的資源與能力，以及利益相關(guān)方和法律法規(guī)的需求或期望。6.4審核/檢查方案6.4.1應(yīng)對一個認(rèn)證周期制定審核/檢查方案，以清晰地識別所需的審核/審查活動，用以證實被認(rèn)證對象的生產(chǎn)和服務(wù)提供符合認(rèn)證所依據(jù)標(biāo)準(zhǔn)或其他規(guī)范性文件的要求。認(rèn)證周期的審核/檢查方案應(yīng)覆蓋全部的認(rèn)證準(zhǔn)則要求。應(yīng)符合ISO/IEC17021-2.2的9.1.1條款要求。6.4.2認(rèn)證機構(gòu)可在認(rèn)證過程不同的階段或過程，采用數(shù)字化的審核/檢查方式。6.4.3基于6.3.4的相關(guān)內(nèi)容，通?？晒┻x擇與使用為：a)初次認(rèn)證可采用：方式A；或方式B；或方式C；或方式A+方式B+方式C的任意組合；注：方式C或與方式C組合的數(shù)據(jù)采集方式適用于數(shù)字化程度較高的認(rèn)證過程。b)認(rèn)證保持（或監(jiān)督評價），可根據(jù)上一次的評價結(jié)果以及被認(rèn)證對象數(shù)據(jù)類型的變化，調(diào)整或交替使用數(shù)據(jù)采集的方式和數(shù)字化審核/檢查，如：靜態(tài)數(shù)據(jù)采集未必需要每次監(jiān)督審核/檢查實施；c)再認(rèn)證可采用：可基于上一個認(rèn)證周期的綜合審核/檢查結(jié)果，采用初次認(rèn)證選取的數(shù)據(jù)采集及其組合，或予以簡化，包括其數(shù)據(jù)樣本量的變化。6.5審核/檢查計劃6.5.1審核/檢查計劃編制和審核/檢查組的指派應(yīng)符合ISO/IEC17021-2.2的9.1.2和9.1.3條款要求。4T/STIC130022—20246.5.2審核/檢查時間認(rèn)證機構(gòu)應(yīng)有形成文件的確定審核/檢查時間的程序，并針對每個被認(rèn)證對象確定策劃和完成對其認(rèn)證過程的完整有效審核/檢查所需的時間。認(rèn)證機構(gòu)應(yīng)記錄所確定的時間及其合理性。在確定數(shù)字化審核/檢查時間時，在考慮ISO/IEC17021-2.2的9.1.4條款要求下，同時應(yīng)考慮：a)基于本文件6.3條款確定的數(shù)據(jù)及采集方式或組合；b)采集數(shù)據(jù)量以及以往認(rèn)證過程中相關(guān)數(shù)據(jù)存量；c)認(rèn)證機構(gòu)數(shù)字化審核/檢查平臺的可用性和完整性；d)數(shù)據(jù)采集的風(fēng)險；e)數(shù)據(jù)采集的便利。6.6審核/檢查實施6.6.1首末次會議與溝通審核/檢查組可采用通信和信息技術(shù)（ICT）對話工具，按照ISO/IEC17021-2.2的9.1.9條款的要求進(jìn)行審核/審查溝通和評審會議，宜參照T/CCAA36《認(rèn)證機構(gòu)遠(yuǎn)程審核指南》實施。6.6.2數(shù)據(jù)采集和傳輸審核/檢查過程中，審核/檢查組應(yīng)與被認(rèn)證對象建立或選擇認(rèn)證數(shù)據(jù)采集和傳輸?shù)那馈Ｒ源_保：a)數(shù)據(jù)樣本庫的建立；b)數(shù)據(jù)采集的時間段；c)數(shù)據(jù)可重現(xiàn)性。6.7認(rèn)證復(fù)核認(rèn)證機構(gòu)應(yīng)對評價的結(jié)論和相關(guān)證據(jù)進(jìn)行驗證,除對審核/審查結(jié)論進(jìn)行復(fù)核外,還應(yīng)通過對采集的數(shù)據(jù)進(jìn)行核實,對使用的認(rèn)證規(guī)則和結(jié)論的正確性進(jìn)行確認(rèn)。包括但不限于：a)數(shù)據(jù)的有效性；b)數(shù)據(jù)的完整性；c)數(shù)據(jù)可重現(xiàn)性。7數(shù)字化輸出7.1電子簽字與簽章以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)，或利用圖像處理技術(shù)將電子簽字或簽章轉(zhuǎn)化為與紙質(zhì)文件蓋章時，應(yīng)確保利用電子簽名技術(shù)保障電子信息的真實性和完整性以及簽名人的不可否認(rèn)性