I. QUY ĐỊNH CHUNG
1. Công ty Cổ phần Chứng nhận và Giám định quốc tế ISOCERT là thành lập theo Luật Đầu tư và Luật Doanh nghiệp với định hướng cung cấp dịch vụ chứng nhận hệ thống quản lý, chứng nhận sản phẩm phù hợp với tiêu chuẩn quốc gia, tiêu chuẩn nước ngoài, tiêu chuẩn quốc tế, cũng như phù hợp với quy chuẩn kỹ thuật. Các thủ tục, chính sách và hoạt động chứng nhận của ISOCERT phải tuân thủ các yêu cầu luật định, chuẩn mực và thông lệ quốc tế nhằm đảm bảo tính thống nhất và nhất quán trong chất lượng dịch vụ chứng nhận mà ISOCERT cung cấp. Những chính sách và thủ tục này không nhằm ngăn cản hay gây khó dễ cho các Tổ chức có nhu cầu chứng nhận.
2. ISOCERT nhận thức được tầm quan trọng của tính khách quan trong việc tiến hành hoạt động chứng nhận hệ thống quản lý, cam kết kiểm soát được các mâu thuẫn về quyền lợi và đảm bảo được tính khách quan trong công tác chứng nhận hệ thống quản lý. Tất cả các Tổ chức có tư cách pháp nhân, không phân biệt thành phần kinh tế, quy mô, điều kiện tài chính đều có thể đăng ký chứng nhận. Tuy nhiên, ISOCERT sẽ không chứng nhận trong các trường hợp sau:
a) Có mối liên hệ ảnh hưởng đến tính khách quan của ISOCERT;
b) Một Tổ chức chứng nhận khác đề nghị ISOCERT cung cấp dịch vụ chứng nhận cho các hoạt động chứng nhận hệ thống quản lý của họ; hoặc
c) Tổ chức đăng ký chứng nhận có sử dụng dịch vụ tư vấn hay đánh giá nội bộ hệ thống quản lý, trong đó mối quan hệ giữa Tổ chức tư vấn và ISOCERT ảnh hưởng đến tính khách quan của
ISOCERT. Thời gian tối thiểu hai năm kể từ ngày kết thúc hoạt động tư vấn được xem là không gây ảnh hưởng đến tính khách quan này.
3. Bên cạnh đó, để đảm bảo tính khách quan trong dịch vụ chứng nhận, ISOCERT đảm bảo rằng:
a) ISOCERT hay bất kỳ một bộ phận nào của ISOCERT không được phép đề nghị hay cung cấp dịch vụ tư vấn hệ thống quản lý, tư vấn liên quan đến thiết kế sản phẩm, bao gồm cả xây dựng tiêu chuẩn áp dụng cho sản phẩm, tư vấn hệ thống quản lý cho quá trình sản xuất sản phẩm được chứng nhận;
b) ISOCERT hay bất kỳ một bộ phận nào của ISOCERT không được phép đề nghị hay cung cấp hoạt động đánh giá nội bộ cho Tổ chức được chứng nhận;
c) ISOCERT không thuê các Tổ chức tư vấn thực hiện công tác đánh giá;
d) Trong hoạt động của mình, ISOCERT không được giới thiệu hay ám chỉ là có liên quan đến các hoạt động của một Tổ chức cung cấp dịch vụ tư vấn. ISOCERT phải có hành động thích hợp để điều chỉnh những tuyên bố hay ám chỉ của bất kỳ một Tổ chức tư vấn nào rằng việc chứng nhận sẽ đơn giản hơn, dễ dàng hơn, nhanh hơn hay ít tốn kém hơn nếu Tổ chức sử dụng dịch vụ chứng nhận của ISOCERT;
e) ISOCERT không được tuyên bố hay ám chỉ rằng việc chứng nhận sẽ đơn giản hơn, dễ dàng hơn, nhanh hơn hay ít chi phí hơn nếu Tổ chức lựa chọn một tổ chức tư vấn cụ thể;
f) Các cá nhân đã cung cấp dịch vụ tư vấn hệ thống quản lý, tư vấn sản phẩm, bao gồm cả hoạt động với vai trò quản lý cho một Tổ chức cụ thể sẽ không được ISOCERT sử dụng để tiến hành đánh giá hay thực hiện các hoạt động chứng nhận khác cho Tổ chức đó trong vòng hai năm kể từ khi kết thúc hoạt động;
g) ISOCERT yêu cầu mọi cán bộ nhân viên, nội bộ hoặc bên ngoài, khai báo về bất kỳ tình huống nào có thể dẫn tới mẫu thuẫn về quyền lợi giữa họ hay ISOCERT với Tổ chức được đánh giá. ISOCERT phải sử dụng thông tin này như đầu vào để nhận diện các mối đe dọa ảnh hưởng tới tính khách quan do hoạt động của những cá nhân hoặc tổ chức nơi cá nhân làm việc có thể tạo ra. ISOCERT không được sử dụng các cá nhân đó trừ phi họ có thể chứng tỏ rằng không có các mẫu thuẫn về quyền lợi;
h) Tất cả nhân viên của ISOCERT, nội bộ hoặc bên ngoài, hoặc thành viên các Ban kỹ thuật có thể ảnh hưởng đến các hoạt chứng nhận đều phải đóng vai trò khách quan và không để cho các áp lực mang tính thương mại, tài chính hay các áp lực khác ảnh hưởng đến sự khách quan này và
i) ISOCERT phải thực hiện hành động thích hợp để phản ứng lại bất kỳ mối đe doạ nào ảnh hưởng đến tính khách quan phát sinh từ hoạt động của các cá nhân, tổ chức hay đơn vị khác.
4. Chuyên gia đánh giá của ISOCERT phải đạt chuẩn mực theo yêu cầu của ISO 19011- Hướng dẫn đánh giá các hệ thống quản lý và các tiêu chuẩn quốc tế có liên quan khi thực hiện đánh giá các hệ thống quản lý tương ứng ISO/IEC 17021; ISO/IEC 17065; ISO/TS 22003 và các quy định của pháp luật Việt Nam.
II. QUY ĐỊNH ĐỐI VỚI HOẠT ĐỘNG ĐÁNH GIÁ VÀ CHỨNG NHẬN
1. Điều kiện chứng nhận
1.1 Tổ chức có đủ điều kiện để được chứng nhận hệ thống quản lý khi:
a) Có tư cách pháp nhân theo quy định của pháp luật; và
b) Đã thiết lập và thực hiện có hiệu lực một hệ thống phù hợp với chính sách và thủ tục dạng văn bản theo yêu cầu của tiêu chuẩn áp dụng.
1.2 Tổ chức có đủ điều kiện để được chứng nhận sản phẩm, quá trình, dịch vụ khi:
a) Có tư cách pháp nhân theo quy định của pháp luật;
b) Đã thiết lập và thực hiện có hiệu lực một hệ thống quản lý chất lượng/đảm bảo chất lượng cho sản phẩm đăng ký chứng nhận (nếu phương thức chứng nhận đòi hỏi phải đánh giá quá trình sản
xuất);
c) Tiêu chuẩn áp dụng cho sản phẩm đăng ký chứng nhận đáp ứng các yêu cầu của ISO/IEC 17007:2009; và
d) Có thể tiếp cận tới các dịch vụ thử nghiệm theo các yêu cầu của tiêu chuẩn áp dụng.
2. Quá trình chứng nhận
Quá trình và hoạt động chứng nhận của ISOCERT phải được thiết lập và thực hiện phù hợp với yêu cầu của tiêu chuẩn ISO/IEC 17021:2015, ISO/IEC 17065:2012, ISO 19011; ISO/TS 22003.
2.1 Tiếp xúc ban đầu: ISOCERT phải cung cấp cho Tổ chức đăng ký chứng nhận các thông tin cần thiết bao gồm: Nguyên tắc và Điều kiện chứng nhận, quá trình và thủ tục chứng nhận và các thông tin có liên quan khác.
2.2 Đăng ký chứng nhận
Sau khi xem xét và hiểu rõ về Nguyên tắc và Điều kiện chứng nhận, quá trình và thủ tục chứng nhận, Tổ chức đăng ký chứng nhận gửi ISOCERT bản “Đăng ký chứng nhận” được ký bởi đại diện có thẩm quyền. Bản đăng ký kèm theo các tài liệu liên quan phải cung cấp cho ISOCERT các thông tin cần thiết bao gồm tối thiểu các thông tin sau:
a) Phạm vi đăng ký chứng nhận;
b) Tên và địa chỉ, thông tin về các khía cạnh quan trọng trong quá trình và hoạt động của Tổ chức, cũng như các nghĩa vụ pháp lý có liên quan;
c) Thông tin chung về Tổ chức đăng ký chứng nhận tương ứng với lĩnh vực chứng nhận được áp dụng bao gồm các hoạt động, nguồn nhân lực và nguồn lực kỹ thuật, cơ cấu tổ chức, mối quan hệ trong một tổ chức lớn hơn, nếu có;
d) Thông tin liên quan đến các quá trình thuê ngoài của Tổ chức có ảnh hưởng đến khả năng tuân thủ các yêu cầu;
e) Tiêu chuẩn chứng nhận hay các yêu cầu chứng nhận cụ thể khác; và
f) Thông tin liên quan đến việc sử dụng đơn vị tư vấn liên quan tới hệ thống quản lý và sản phẩm.
2.3 Xem xét Đăng ký chứng nhận
2.3.1 Trước khi tiến hành đánh giá, ISOCERT phải tiến hành xem xét đăng ký chứng nhận và thông tin hỗ trợ để đảm bảo rằng:
a) Thông tin về Tổ chức và hệ thống quản lý xin chứng nhận là đầy đủ để có thể tiến hành các hoạt động đánh giá;
b) Các yêu cầu chứng nhận đã được xác định rõ, lập thành văn bản và thông báo cho Tổ chức đăng ký chứng nhận;
c) Mọi khác biệt trong cách hiểu giữa ISOCERT và Tổ chức đăng ký chứng nhận đều được giải
quyết;
d) ISOCERT có năng lực và khả năng để thực hiện hoạt động chứng nhận;
e) Phạm vi chứng nhận, các địa điểm hoạt động của Tổ chức đăng ký chứng nhận, thời gian cần thiết để hoàn tất cuộc đánh giá và mọi yếu tố khác có ảnh hưởng đến hoạt động chứng nhận phải được xem xét cụ thể (ngôn ngữ, điều kiện an toàn, mối đe dọa đến tính khách quan, v.v...); và
f) Hồ sơ minh chứng cho các quyết định thực hiện đánh giá phải được lưu giữ.
2.3.2 Dựa trên kết quả xem xét đăng ký chứng nhận, ISOCERT phải thiết lập kế hoạch đánh giá tổng thể cho Tổ chức đăng ký chứng nhận. Khi xây dựng kế hoạch đánh giá tổng thể, ISOCERT phải đảm bảo rằng:
a) Kế hoạch đánh giá bao gồm đánh giá chứng nhận với hai giai đoạn, đánh giá giám sát trong năm đầu và năm thứ hai và đánh giá lại vào năm thứ ba trước khi kết thúc hiệu lực giấy chứng nhận (đối với chứng nhận các hệ thống quản lý);
b) Kế hoạch lấy mẫu cho các lần đánh giá trong chu kỳ chứng nhận được xác định (đối với chứng nhận sản phẩm);
c) Việc xác định kế hoạch đánh giá và các nội dung điều chỉnh sau đó phải phụ thuộc vào quy mô của Tổ chức, phạm vi và tính phức tạp của hệ thống quản lý của Tổ chức, các sản phẩm và quá trình cũng như mức độ hiệu lực được chứng minh của hệ thống quản lý và kết quả của các cuộc đánh giá trước đó;
d) Khi cân nhắc tới việc chứng nhận hoặc các lần đánh giá đã được thực hiện cho Tổ chức, ISOCERT phải thu thập đầy đủ thông tin có khả năng kiểm chứng được để điều chỉnh và lưu hồ sơ về bất kỳ sự điều chỉnh nào liên quan đến kế hoạch đánh giá.
2.3.3 ISOCERT phải xác định thời gian cần thiết để hoạch định và hoàn thành một cuộc đánh giá hoàn chỉnh và có hiệu lực cho từng chương trình chứng nhận tuân thủ theo các thủ tục có liên quan. Thời gian đánh giá và cơ sở để xác định mức thời gian này phải được lưu hồ sơ. Ngoài ra, ISOCERT phải xem xét tới các khía cạnh sau:
a) Các yêu cầu của tiêu chuẩn hệ thống quản lý tương ứng;
b) Quy mô và mức độ phức tạp;
c) Khuôn khổ công nghệ và quy định pháp luật;
d) Bất kỳ hoạt động thuê bên ngoài nào bao gồm trong phạm vi của hệ thống quản lý;
e) Kết quả của các cuộc đánh giá trước đây;
f) Số địa điểm và cân nhắc đến hoạt động theo nhiều địa điểm; và
g) Thời gian cần thiết để thử nghiệm (đối với thử nghiệm tại chỗ).
2.4 Chuẩn bị đánh giá
2.4.1 Dựa vào kết quả xem xét Đăng ký chứng nhận, ISOCERT phải xác định yêu cầu năng lực của các cán bộ liên quan trong đoàn đánh giá và cán bộ thực hiện việc xem xét hồ sơ, kiến nghị chứng nhận và ra quyết định chứng nhận. ISOCERT phải đảm bảo:
a) Chỉ định Đoàn chuyên gia đánh giá bao gồm các chuyên gia đánh giá, chuyên gia kỹ thuật, nếu cần thiết, để có đuợc toàn bộ năng lực đã xác định cho việc chứng nhận;
b) Việc lựa chọn Đoàn đánh giá phải được thực hiện căn cứ vào kết quả xác định năng lực của chuyên gia đánh giá và chuyên gia kỹ thuật như đã quy định trong các chính sách và thủ tục của ISOCERT;
c) Các cá nhân thực hiện việc xem xét và kiến nghị chứng nhận phải được chỉ định để đảm bảo trình độ phù hợp; và
d) ISOCERT phải cung cấp cho Tổ chức đăng ký chứng nhận trong một khoảng thời gian phù hợp, tên và, nếu được yêu cầu, là thông tin khái quát chung về từng thành viên của đoàn đánh giá để Tổ chức đăng ký chứng nhận xem xét chấp thuận. ISOCERT phải tổ chức sắp xếp lại đoàn đánh giá nếu Tổ chức đăng ký chứng nhận có lý do hợp lệ cho việc phản đối một chuyên gia đánh giá hay chuyên gia kỹ thuật cụ thể.
2.4.2 ISOCERT phải đảm bảo rằng mọi nhiệm vụ giao cho đoàn đánh giá được xác định rõ và truyền đạt tới Tổ chức đăng ký chứng nhận. Các nhiệm vụ này phải bao gồm:
a) Kiểm tra và xác nhận cơ cấu tổ chức, chính sách, quá trình, thủ tục, hồ sơ và các tài liệu của Tổ chức đăng ký chứng nhận liên quan đến hệ thống quản lý;
b) Xác định rằng các đối tượng nêu trên đáp ứng các yêu cầu liên quan đến phạm vi dự kiến chứng nhận;
c) Xác định rằng các quá trình và thủ tục được xây dựng, triển khai và duy trì một cách có hiệu lực;
d) Cung cấp kết quả đánh giá tin cậy về hệ thống quản lý của Tổ chức đăng ký chứng nhận; và
e) Thông tin tới Tổ chức đăng ký chứng nhận về bất kỳ sự không nhất quán nào giữa chính sách, mục tiêu với các kết quả đánh giá.
2.4.3 ISOCERT phải đảm bảo rằng:
a) Chương trình đánh giá được thiết lập cho từng cuộc đánh giá;
b) Chương trình đánh giá được xây dựng dựa trên các yêu cầu lập thành văn bản của ISOCERT, phù hợp với hướng dẫn tương ứng trong ISO 19011;
c) Tổ chức đăng ký chứng nhận phải được thông tin về chương trình đánh giá và chấp thuận trước về ngày đánh giá.
2.5 Đánh giá chứng nhận
2.5.1 Đối với chứng nhận hệ thống quản lý
2.5.1.1 ISOCERT phải tiến hành đánh giá chứng nhận hệ thống quản lý theo hai giai đoạn bao gồm giai đoạn 1 và giai đoạn 2.
2.5.1.2 ISOCERT tiến hành đánh giá giai đoạn 1 nhằm đảm bảo:
a) Đánh giá hệ thống tài liệu quản lý của Tổ chức;
b) Xem xét địa điểm và các điều kiện đặc thù liên quan của Tổ chức và xác định những nội dung cần thiết cho đánh giá giai đoạn 2;
c) Xem xét tình trạng và sự thấu hiểu của Tổ chức đối với các yêu cầu của tiêu chuẩn liên quan, đặc biệt là các điểm trọng yếu, các khía cạnh có ý nghĩa, các quá trình, mục tiêu và việc vận hành hệ thống quản lý;
d) Thu thập thông tin cần thiết liên quan đến phạm vi của hệ thống quản lý, các quá trình, các địa điểm, các văn bản pháp quy có liên quan và mức độ tuân thủ (ví dụ: chất lượng, môi trường, khía cạnh pháp lý của hoạt động của Tổ chức, các mối nguy liên quan v.v...);
e) Xem xét việc phân bổ nguồn lực cho đánh giá giai đoạn 2 và thống nhất với Tổ chức về nội dung chi tiết cho đánh giá giai đoạn 2;
f) Định hướng cho việc hoạch định đánh giá giai đoạn 2 thông qua việc am hiểu đầy đủ hệ thống quản lý của Tổ chức và am hiểu các hoạt động tác nghiệp trong khuôn khổ của các khía cạnh có ý nghĩa;
g) Đánh giá việc lâp kế hoạch và triển khai hoạt động đánh giá nội bộ và xem xét lãnh đạo, mức độ thực hiện hệ thống quản lý và khẳng định sự sẵn sàng của Tổ chức cho việc đánh giá giai đoạn 2.
Trong quá trình tiến hành đánh giá giai đoạn 1, ISOCERT phải đảm bảo rằng:
a) Ít nhất một phần của đánh giá giai đoạn 1 được tiến hành đánh giá tại địa điểm của Tổ chức nhằm đạt được các mục tiêu nêu trên. Yêu cầu này không áp dụng đối với Tổ chức có quy mô nhỏ, mức độ phức tạp thấp, quá trình đơn giản. Trong trường hợp này, ISOCERT sẽ lưu giữ các minh chứng cụ thể .
b) Những phát hiện trong đánh giá giai đoạn 1 được lập thành văn bản và thông báo đến Tổ chức, bao gồm cả việc xác định những khu vực có thể dẫn đến điểm không phù hợp trong đánh giá
giai đoạn 2.
c) Cơ sở để xử lý các vấn đề đã xác định trong đánh giá giai đoạn 1 phải được cân nhắc để xác định khoảng thời gian giữa giai đoạn 1 và giai đoạn 2 cũng như những chỉnh sửa cần thiết cho
đánh giá giai đoạn 2.
2.5.1.3 ISOCERT phải tiến hành đánh giá giai đoạn 2 tại địa điểm của Tổ chức đăng ký chứng nhận để đánh giá việc thực hiện và tính hiệu lực của hệ thống quản lý. Đánh giá giai đoạn 2 bao
gồm:
a) Xem xét thông tin và bằng chứng về sự tuân thủ tất cả các yêu cầu của tiêu chuẩn áp dụng;
b) Giám sát việc thực hiện, đo lường, báo cáo và xem xét đối với các mục tiêu kết quả thực hiện chính và các chỉ tiêu (nhất quán với mục đích của tiêu chuẩn áp);
c) Xem xét sự phù hợp của hệ thống quản lý và kết quả tuân thủ các yêu cầu pháp luật liên quan;
d) Xem xét việc kiểm soát vận hành các quá trình ;
e) Đánh giá hoạt động xem xét lãnh đạo và đánh giá nội bộ;
f) Xem xét trách nhiệm của lãnh đạo Tổ chức đối với các chính sách;
g) Xem xét sự liên hệ giữa các yêu cầu kỹ thuật, tiêu chuẩn, các mục tiêu và chỉ tiêu (nhất quán với mục đích của tiêu chuẩn áp dụng), các yêu cầu của pháp luật, trách nhiệm, năng lực cán bộ, vận hành, thủ tục, dữ liệu thực hiện, phát hiện đánh giá nội bộ và các kết luận.
2.5.1.4 ISOCERT phải đảm bảo rằng quá trình đánh giá tại hiện trường được xác định trong thủ tục dạng văn bản tuân thủ theo các hướng dẫn trong ISO 19011.
2.5.2 Đối với chứng nhận sản phẩm
2.5.2.1 Đánh giá quá trình sản xuất/cung cấp dịch vụ: Nếu phương thức chứng nhận đòi hỏi việc đánh giá quá trình sản xuất/cung cấp dịch vụ thì hoạt động đánh giá đó phải được thực hiện theo các yêu cầu của 2.5.1 kèm theo việc thử nghiệm mẫu điển hình.
2.5.2.2 Thử nghiệm mẫu điển hình: Việc thử nghiệm mẫu điển hình áp dụng cho mọi cuộc đánh giá sản phẩm (bao gồm đánh giá chứng nhận, đánh giá giám sát, đánh giá chứng nhận mở rộng, đánh giá chứng nhận lại).
Việc lựa chọn mẫu điển hình để thử nghiệm phải được xác định cho từng loại sản phẩm và tiêu chuẩn áp dụng. ISOCERT tiến hành lựa chọn phòng thử nghiệm sử dụng cho chương trình chứng nhận sản phẩm dựa trên năng lực của phòng thử nghiệm trong việc tiến hành các phép thử theo yêu cầu của tiêu chuẩn chứng nhận.
2.5.2.3 Đánh giá kết quả thử nghiệm: dựa trên kết quả thử nghiệm do Phòng thử nghiệm cung cấp, ISOCERT phải tiến hành xem xét để đảm bảo việc thử nghiệm được thực hiện theo đúng các yêu cầu thử nghiệm quy định cho mẫu đã gửi và các kết quả thử nghiệm đáp ứng yêu cầu của tiêu chuẩn áp dụng.
2.6 Kết luận đánh giá chứng nhận và Báo cáo đánh giá
2.6.1 Đoàn chuyên gia đánh giá của ISOCERT phải phân tích tất cả các thông tin và bằng chứng liên quan đã thu thập được trong suốt quá trình đánh giá giai đoạn 1 và giai đoạn 2 (đối với chứng nhận hệ thống quản lý), kết quả đánh giá tại chỗ và kết quả thử nghiệm (đối với chứng nhận sản phẩm) để xem xét các phát hiện đành giá và thống nhất về các kết luận đánh giá.
2.6.2 Thủ tục của ISOCERT phải quy định rằng:
a) Trưởng đoàn đánh giá cung cấp một bản báo cáo cho mỗi cuộc đánh giá. Báo cáo được lập dựa trên những hướng dẫn liên quan trong ISO 19011 và các tiêu chuẩn có liên quan khác;
b) Đoàn Chuyên gia đánh giá có thể chỉ ra cơ hội cải tiến nhưng không được phép đưa ra giải pháp cụ thể;
c) Báo cáo đánh giá là thông tin do ISOCERT quản lý.
2.6.3 Đối với các điểm không phù hợp được phát hiện trong quá trình đánh giá, ISOCERT phải đảm bảo rằng:
a) Đoàn đánh giá đề nghị Tổ chức được đánh giá phân tích nguyên nhân và mô tả sự khắc phục và hành động khắc phục đã được thực hiện hoặc lập kế hoạch thực hiện để loại bỏ sự không phù hợp đã được phát hiện trong một khoảng thời gian xác định;
b) ISOCERT kiểm tra xác nhận sự khắc phục và hành động khắc phục do Tổ chức đệ trình để xem xét khả năng chấp nhận;
c) ISOCERT thông báo đến Tổ chức nếu cần đánh giá bổ sung một phần hoặc toàn bộ cuộc đánh giá hoặc Tổ chức gửi bổ sung các bằng chứng dạng văn bản. Các bằng chứng này sẽ được kiểm tra xác nhận trong các cuộc đánh giá giám sát tiếp theo.
2.7 Quyết định chứng nhận
2.7.1 Đoàn đánh giá phải cung cấp toàn bộ thông tin cần thiết cho Chuyên gia thẩm xét của ISOCERT để kiểm tra xác nhận trước khi kiến nghị chứng nhận. Những thông tin này phải bao gồm tối thiểu các nội dụng sau:
a) Báo cáo đánh giá;
b) Nhận xét về các điểm không phù hợp, sự khắc phục và hành động khắc phục được Tổ chức thực hiện;
c) Xác nhận lại về các thông tin cung cấp cho ISOCERT đã dùng trong xem xét đăng ký chứng nhận ban đầu;
d) Đánh giá kết quả thử nghiệm đối với chứng nhận sản phẩm;
e) Kiến nghị cấp hoặc không cấp giấy chứng nhận, kèm theo các điều kiện hoặc lưu ý.
2.7.2 Chuyên gia là người thẩm xét (Cán bộ thẩm xét)phải là thành viên độc lập với các cá nhận tiến hành đánh giá. Cán bộ thẩm xét phải xác nhận, trước khi kiến nghị Giám đốc ra quyết định chứng nhận, và thông tin bằng văn bản đến cho Tổ chức các nội dung sau:
a) Các thông tin do đoàn đánh giá cung cấp phù hợp với các yêu cầu chứng nhận và phạm vi chứng nhận;
b) Cán bộ thẩm xét đã xem xét, chấp nhận và kiểm tra xác nhận hiệu lực của việc khắc phục và hành động khắc phục đối với tất cả các điểm không phù hợp;
c) Việc không phù hợp với một hoặc nhiều yêu cầu của tiêu chuẩn hệ thống quản lý, hoặc tình huống xảy ra có thể làm ảnh hưởng đến việc đạt được mục tiêu đã định của hệ thống quản lý.
Lưu ý: Trong trường hợp Giám đốc ốm, vắng mặt hoặc tham gia trong đoàn đánh giá thì sẽ ủy quyền cho Phó giám đốc ra quyết định chứng nhận khi có kiến nghị cấp giấy chứng nhận của cán bộ thẩm xét.
2.7.3 ISOCERT phải đảm bảo rằng quyết định chứng nhận được ban hành dựa trên cơ sở xem xét các phát hiện và kết luận đánh giá cũng như các thông tin liên quan khác.
2.7.4 Giấy chứng nhận cấp cho Tổ chức sẽ có hiệu lực tối đa là 03 năm kể từ ngày ký với điều kiện Tổ chức tuân thủ hoàn toàn các yêu cầu của các Nguyên tắc và Điều kiện chứng nhận. Đối với chứng nhận sản phẩm theo lô, Giấy chứng nhận có giá trị cho lô sản phẩm, hàng hóa được lấy mẫu thử nghiệm.
2.8 Hoạt động giám sát và duy trì chứng nhận
2.8.1 Đối với Tổ chức được chứng nhận, ISOCERT phải tiến hành các hoạt động giám sát sao cho các khu vực và bộ phận chức năng đại diện thuộc phạm vi của hệ thống quản lý được giám sát trên cơ sở định kỳ, trong đó có tính đến những thay đổi của Tổ chức được chứng nhận cũng như hệ thống quản lý. Các hoạt động giám sát này phải bao gồm:
a) Đánh giá tại hiện trường để xác định mức độ phù hợp của hệ thống quản lý của Tổ chức đã được chứng nhận so với yêu cầu của tiêu chuẩn ghi trong giấy chứng nhận đã cấp;
b) Đưa ra yêu cầu của ISOCERT liên quan đến việc chứng nhận;
c) Xem xét tuyên bố của Tổ chức liên quan đến các hoạt động (ví dụ: thông tin trong tài liệu quảng bá, trang web...);
d) Đề nghị Tổ chức cung cấp tài liệu hoặc hồ sơ (bản cứng hoặc bản mềm);
e) Các cách thức kiểm soát khác đối với hoạt động của Tổ chức được chứng nhận.
2.8.2 Đánh giá giám sát được thực hiện ít nhất một lần một năm tại cơ sở của Tổ chức. Thời gian đánh giá giám sát lần một thông thường không được quá 12 tháng kể từ ngày cuối cùng của đánh
giá giai đoạn 2. Đánh giá giám sát không nhất thiết phải đánh giá toàn bộ hệ thống nhưng phải được lập kế hoạch cùng với các hoạt động giám sát khác để ISOCERT có thể khẳng định rằng hệ thông quản lý đã được chứng nhận tiếp tục đáp ứng đầy đủ các yêu cầu giữa các lần đánh giá lại. Tuy nhiên, chương trình đánh giá giám sát ít nhất phải bao gồm:
a) Đánh giá nội bộ và xem xét của lãnh đạo;
b) Xem xét lại các hành động khắc phục các điểm không phù hợp của lần đánh giá giám sát trước;
c) Xử lý các khiếu nại;
d) Hiệu lực của hệ thống quản lý trong việc đạt được các mục tiêu;
e) Tiến trình thực hiện các hoạt động đã hoạch định nhắm tới việc cải tiến thường xuyên;
f) Kiểm soát điều hành;
g) Xem xét các thay đổi, và
h) Sử dụng dấu hiệu chứng nhận và các thông tin khác liên quan đến giấy chứng nhận đã cấp.
2.8.3 ISOCERT phải duy trì hiệu lực giấy chứng nhận đã cấp dựa trên những minh chứng rằng Tổ chức vẫn tiếp tục đáp ứng yêu cầu của tiêu chuẩn hệ thống quản lý.
Thủ tục của ISOCERT phải đảm bảo rằng:
a) Cán bộ có năng lực được chỉ định để theo dõi các hoạt động giám sát;
b) Cán bộ thẩm xét độc lập và có năng lực phải được chỉ định để xem xét các báo cáo của chuyên gia đánh giá nhằm xác định các hoạt động chứng nhận được thực hiện có hiệu lực;
c) Chứng nhận được duy trì dựa trên những kết luận rõ ràng của trưởng đoàn chuyên gia đánh giá và các xem xét độc lập tiếp theo;
d) Với bất cứ điểm không phù hợp nào hoặc trường hợp nào có thể dẫn đến việc đình chỉ hay hủy bỏ chứng nhận, trưởng đoàn chuyên gia đánh giá phải báo cáo ngay tới ISOCERT về việc đề xuất xem xét tiếp theo bởi những nguời có năng lực và độc lập với đoàn đánh giá để xác định khả năng duy trì chứng nhận.
2.9 Chứng nhận lại
2.9.1 Hoạt động đánh giá chứng nhận lại phải được hoạch định và tiến hành nhằm đánh giá việc Tổ chức tiếp tục tuân thủ các yêu cầu của tiêu chuẩn hệ thống quản lý liên quan. Thủ tục đánh giá chứng nhận lại của ISOCERT phải đảm bảo:
a) Xem xét kết quả thực hiện của hệ thống quản lý trong suốt chu kỳ chứng nhận;
b) Xem xét các báo cáo đánh giá giám sát trước đó;
c) Có đánh giá giai đoạn một nếu phát sinh những thay đổi đáng kể tới hệ thống quản lý, Tổ chức hoặc bối cảnh trong đó hệ thống quản lý đang được vận hành (ví dụ: thay đổi về cơ sở pháp luật).
d) Bao gồm việc đánh giá tại hiện trường nhấn mạnh tới các khía cạnh sau:
i) hiệu lực của hệ thống quản lý khi có các thay đổi nội bộ hoặc bên ngoài và sự phù hợp của hệ thống với phạm vi chứng nhận;
ii) cam kết được thể hiện nhằm duy trì tính hiệu lực và cải tiến hệ thống quản lý để nhằm nâng cao hiệu quả tổng thể;
iii) việc vận hành hệ thống quản lý đã được chứng nhận góp phần đạt được các chính sách và mục tiêu của Tổ chức.
2.9.2 Trong quá trình đánh giá chứng nhận lại, trường hợp có sự không phù hợp hoặc thiếu bằng chứng của sự phù hợp, ISOCERT phải xác định khoảng thời gian cho việc khắc phục và hành động khắc phục trước thời hạn hết hiệu lực của giấy chứng nhận.
2.9.3 ISOCERT phải cấp giấy chứng nhận dựa trên kết quả đánh giá chứng nhận lại cũng như kết quả xem xét tổng thể hệ thống chứng nhận qua cả chu kỳ chứng nhận cũng như các khiếu nại nhận được từ đối tượng sử dụng kết quả chứng nhận.
2.10 Đánh giá mở rộng
Tổ chức đã được chứng nhận muốn mở rộng phạm vi chứng nhận phải gửi đăng ký chứng nhận mở rộng cho ISOCERT. Khi nhận được đăng ký, ISOCERT phải xem xét và xác định hoạt động đánh giá cần thiết để quyết định mở rộng hoặc không mở phạm vi đã được chứng nhận. Lần đánh giá mở rộng có thể kết hợp với lần đánh giá giám sát định kỳ.
2.11 Đánh giá đột xuất
Thủ tục của ISOCERT phải đảm bảo cân nhắc tới khả năng tiến hành đánh giá đột xuất Tổ chức đã được chứng nhận để có thể:
a) điều tra các khiếu nại; hoặc
b) đáp ứng đối với những thay đổi; hoặc
c) xem xét tiếp theo đối với các Tổ chức đã bị đình chỉ.
Nếu việc đánh giá đột xuất được xác định bởi ISOCERT là cần thiết, ISOCERT phải đảm bảo:
a) mô tả và làm rõ trước với Tổ chức được chứng nhận những điều kiện để tiến hành cuộc đánh giá đặc biệt; và
b) cẩn trọng trong việc chỉ định đoàn đánh giá.
3. Thay đổi yêu cầu chứng nhận
3.1 Khi có thay đổi trong yêu cầu chứng nhận như thay đổi tiêu chuẩn chứng nhận, qui định hay thủ tục, ISOCERT phải thông báo cho Tổ chức được chứng nhận về những thay đổi này và xác định khoảng thời gian hợp lý cho Tổ chức để điều chỉnh lại các quá trình, các thủ tục cho phù hợp với các yêu cầu thay đổi.
3.2 ISOCERT phải thẩm tra xác nhận rằng từng Tổ chức được chứng nhận tuân thủ với các yêu cầu mới. Nếu Tổ chức được chứng nhận vẫn không có khả năng đáp ứng các yêu cầu thay đổi khi hết hạn thời gian chuyển đổi, ISOCERT phải thực hiện một trong những hành động sau:
a) Đình chỉ chứng nhận;
b) Hủy bỏ chứng nhận;
c) Từ chối cấp lại chứng nhận; hoặc
d) Thu hẹp phạm vi chứng nhận.
3.3 ISOCERT phải thông báo quyết định và lý do cho Tổ chức bằng văn bản.
4. Đình chỉ, Hủy bỏ hoặc Thu hẹp chứng nhận
4.1 ISOCERT phải đình chỉ chứng nhận trong các trường hợp:
a) Hệ thống quản lý của Tổ chức đã được chứng nhận không đáp ứng yêu cầu chứng nhận bao gồm cả yêu cầu về hiệu lực của hệ thống quản lý ở mức độ nghiêm trọng hoặc trong thời gian kéo dài liên lục;
b) Tổ chức được chứng nhận không đảm bảo các cuộc giám sát hoặc đánh giá lại định kỳ được thực hiện theo tần suất yêu cầu; hoặc
c) Tổ chức được chứng nhận tự nguyện yêu cầu đình chỉ.
4.2 ISOCERT phải thông báo cho Tổ chức được chứng nhận về việc đình chỉ và yêu cầu có hành động khắc phục trong khoảng thời gian nhất định. Việc đình chỉ chứng nhận phải được công bố công khai.
4.3 Sau thời hạn đình chỉ chứng nhận, ISOCERT phải tiến hành xem tất cả các bằng chứng thích hợp để:
a) Khôi phục chứng nhận; hoặc
b) Hủy bỏ chứng nhận nếu Tổ chức không giải quyết được các vấn đề dẫn tới sự đình chỉ chứng nhận trong một khoảng thời gian xác định hoặc thực hiện các hành động được như quy định tại mục 4.4.
4.4 ISOCERT phải thu hẹp phạm vi chứng nhận đối với những hoạt động không đáp ứng yêu cầu, khi những hoạt động thuộc phạm vi chứng nhận này liên tục hoặc có vi phạm nghiêm trọng đối với các yêu cầu chứng nhận.
4.5 ISOCERT phải hủy bỏ chứng nhận và tất cả thỏa thuận về việc sử dụng Giấy chứng nhận và Dấu chứng nhận trong những trường hợp sau:
a) Như quy định tại mục 4.3;
b) Tổ chức bị phá sản; hoặc
c) Theo đề nghị của Tổ chức.
4.6 Khi được yêu cầu, ISOCERT phải thông báo chính xác tình trạng chứng nhận của Tổ chức khi việc chứng nhận này bị đình chỉ, hủy bỏ hay thu hẹp phạm vi.
5. Trách nhiệm của Tổ chức
5.1 Tổ chức đăng ký chứng nhận phải nộp Đăng ký chứng nhận có xác nhận của cấp có thẩm quyền và phải cam kết tuân thủ với tất cả yêu cầu nêu trong trong Nguyên tắc và Điều kiện chứng nhận.
5.2 Tổ chức đăng ký chứng nhận phải chuẩn bị tất cả những điều cần thiết cho hoạt động đánh giá, bao gồm việc cung cấp các tài liệu để đánh giá và cho phép truy cập tới tất cả các quá trình, khu vực, hồ sơ, cán bộ phục vụ cho mục đích chứng nhận ban đầu, giám sát, chứng nhận lại và giải quyết các khiếu nại. Khi có thể, Tổ chức đăng ký chứng nhận phải tạo điều kiện cần thiết cho quan sát viên (ví dụ: chuyên gia tập sự hoặc chuyên gia của Tổ chức công nhận), chuyên gia kỹ thuật, phiên dịch, biên dịch viên tham gia đoàn đánh giá .
5.3 Tổ chức được chứng nhận phải hoàn toàn chịu trách nhiệm về hiệu lực của hệ thống được chứng nhận và thường xuyên duy trì hệ thống phù hợp với các yêu cầu của tiêu chuẩn áp dụng.
5.4 Tổ chức được chứng nhận phải thông báo ngay cho ISOCERT về những vấn đề có thể ảnh hưởng đến khả năng của hệ thống quản lý trong việc tuân thủ phù hợp với yêu cẩu của tiêu chuẩn chứng nhận. Những vấn đề này bao gồm cả các thay đổi liên quan tới:
a) Tình trạng pháp lý, thương mại, cơ cấu hay quyền sở hữu;
b) Cơ cấu tổ chức và Ban lãnh đạo;
c) Địa chỉ và các địa điểm hoạt động;
d) Phạm vi hoạt động nằm trong hệ thống quản lý được chứng nhận; hoặc
e) Thay đổi lớn trong hệ thống quản lý và các quá trình.
5.5 Tổ chức được chứng nhận phải:
a) Lưu giữ toàn bộ ý kiến phản ảnh, khiếu nại liên quan đến hệ thống được chứng nhận và sẵn sàng cung cấp cho ISOCERT khi có yêu cầu;
b) Tiến hành phân tích nguyên nhân và thực hiện các biện pháp thích hợp để xử lý các khiếu nại và thiếu sót ảnh hưởng đến sự phù hợp với các yêu cầu chứng nhận nhằm khôi phục sự phù hợp, ngăn ngừa tái diễn;
c) Lưu giữ hồ sơ các biện pháp sửa chữa và hành động khắc phục đã thực hiện và kết quả đạt được; và
d) Báo cáo đến các tổ chức, cá nhân có liên quan, nếu có quy định của pháp luật.
5.6 Tổ chức được chứng nhận phải có trách nhiệm sử dụng Giấy chứng nhận và Dấu chứng nhận theo đúng các quy định liên quan. Giấy chứng nhận và dấu chứng nhận chỉ được sử dụng trong các
điều kiện sau:
a) Dấu chứng nhận chỉ được sử dụng trên các tiếp đầu thư, phương tiện, tài liệu quảng cáo liên quan đến sản phẩm và dịch vụ đã được định rõ trong phạm vi chứng nhận;
b) Không được sử dụng Dấu chứng nhận trực tiếp trên các sản phẩm hoặc bao bì sản phẩm mà người tiêu dùng có thể nhìn thấy hay dưới bất cứ hình thức nào khác có thể gây hiểu lầm rằng
sản phẩm được chứng nhận phù hợp.
c) Không được sử dụng Dấu chứng nhận trên phiếu kết quả thử nghiệm, báo cáo hiệu chuẩn hoặc kiểm định vì các tài liệu này được coi như là sản phẩm ở trong lĩnh vực này;
d) Tổ chức được chứng nhận phải ngừng sử dụng Giấy chứng nhận và Dấu chứng nhận khi ISOCERT có văn bản tuyên bố rằng cách thức sử dụng như vậy có thể gây hiểu lầm về đối tượng và phạm vi chứng nhận. Khi đó, Tổ chức được chứng nhận phải ngừng tất cả việc công bố ám chỉ đến quyền được sử dụng Giấy chứng nhận và Dấu chứng nhận; và
e) ISOCERT giữ quyền sở hữu Giấy chứng nhận và Dấu chứng nhận. Giấy chứng nhận và Dấu chứng nhận là không thể chuyển nhượng. Ngoài các yêu cầu trên, Tổ chức được chứng nhận phải có trách nhiệm:
a) Đảm bảo phù hợp với các yêu cầu của ISOCERT khi khi viện dẫn tình trạng chứng nhận trên các phương tiện truyền thông như internet, tài liệu giới thiệu hoặc quảng cáo, hoặc các văn bản khác;
b) Không được gây ra hoặc cho phép bất cứ sự hiểu lầm nào liên quan tới việc chứng nhận;
c) Không được sử dụng hoặc cho phép sử dụng Giấy chứng nhận hoặc một phần nào của Giấy chứng nhận theo cách thức có thể gây nên sự hiểu lầm;
d) Khi bị đình chỉ hoặc huỷ bỏ chứng nhận, phải ngừng tất cả các công bố hoặc quảng cáo có viện dẫn đến kết quả chứng nhận theo yêu cầu của ISOCERT;
e) Phải sửa đổi thích hợp tất cả các thông tin công bố khi phạm vi chứng nhận bị thu hẹp;
f) Không cho phép viện dẫn tới việc chứng nhận hệ thống quản lý theo cách thức ngụ ý rằng ISOCERT chứng nhận cho sản phẩm, dịch vụ hay quá trình cụ thể;
g) Không được ngụ ý rằng việc chứng nhận áp dụng cho các hoạt động nằm ngoài phạm vi chứng nhận; và
h) Không được sử dụng Giấy chứng nhận theo cách có thể gây ảnh hưởng xấu hoặc làm mất uy tín đến ISOCERT.
6. Quyền lợi của Tổ chức được chứng nhận:
Tổ chức được chứng nhận có các quyền sau:
a) Quảng cáo trên các phương tiện truyền thông về việc được chứng nhận;
b) Sử dụng Dấu chứng nhận; và
c) Sử dụng kết quả chứng nhận trong các tài liệu kỹ thuật, đấu thầu và các hoạt động khác theo quy định của Luật Chất lượng sản phẩm hàng hóa; và
d) Được cập nhật vào danh sách các Tổ chức được ISOCERT chứng nhận.
7. Trách nhiệm pháp lý của ISOCERT
7.1 ISOCERT cam kết bảo mật các mọi thông tin ghi nhận trong quá trình thực hiện hoạt động chứng nhận ở tất cả các mức độ trong tổ chức bao gồm cả các cán bộ thẩm xét, tổ chức hay cá nhân bên ngoài được ISOCERT ủy quyền thực hiện công việc.
Để thực thi chính sách này, ISOCERT phải đảm bảo rằng:
a) ISOCERT sẽ thông tin trước cho Tổ chức về các thông tin mà ISOCERT dự định công bố công khai;
b) Ngoại trừ những thông tin được Tổ chức công bố công khai, tất cả các thông tin khác bao gồm cả thông tin về Tổ chức được ghi nhận từ các nguồn khác (ví dụ: từ bên khiếu nại, cơ quan có thẩm quyền) sẽ được ISOCERT xử lý bảo mật;
c) Thông tin về một Tổ chức hoặc cá nhân cụ thể chỉ được tiết lộ cho bên thứ 3 khi có sự đồng ý bằng văn bản của Tổ chức hoặc cá nhân có liên quan. Khi buộc phải cung cấp thông tin cho một bên thứ ba theo yêu cầu Luật định, ISOCERT sẽ thông báo trước cho Tổ chức về các thông tin sẽ được cung cấp trừ khi Pháp luật ngăn cấm việc làm này;
d) Tất cả các nhân viên của ISOCERT, bao gồm các nhà thầu, các cá nhân của những tổ chức bên ngoài hoặc các cá nhân được ISOCERT uỷ quyền thực hiện công việc có trách nhiệm bảo mật thông tin thu nhận được trong quá trình thực hiện các hoạt động chứng nhận;
e) Cung cấp các thiết bị và phương tiện thích hợp để đảm bảo việc xử lý an toàn các thông tin cần bảo mật; và
f) Khi các thông tin bảo mật cần được cung cấp cho tổ chức khác (ví dụ: Tổ chức công nhận), ISOCERT sẽ thông báo đến Tổ chức về hành động này.
7.2 Thủ tục xử lý khiếu nại phải được thực hiện theo nguyên tắc bảo mật, khi thủ tục này liên quan đến người khiếu nại và các vấn đề khiếu nại.
7.3 ISOCERT là pháp nhân độc lập và do đó chịu trách nhiệm pháp lý về mọi hoạt động của mình theo quy định của pháp luật.
8. Chi phí
Tổ chức đăng ký chứng nhận phải trả các chi phí đánh giá, chứng nhận, giám sát và các chi phí khác theo thỏa thuận. Chi phí được tính toán và thỏa thuận sau khi xem xét tới phạm vi chứng nhận, quy mô tổ chức, địa điểm đánh giá, mức độ phức tạp của hệ thống và các thông tin liên quan khác.
9. Khiếu nại và phản ảnh
Tổ chức có thể khiếu nại về các quyết định của ISOCERT hoặc cung cấp phản ảnh liên quan đến các hoạt động chứng nhận. ISOCERT phải chính thức giải quyết các khiếu nại hoặc phản ánh này theo Thủ tục xử lý khiếu nại, phản ánh./.
Bình luận