SN∕T 5405.1-2021 互联网环境下的认证技术指南 第1部分：总则(出入境检验检疫).pdf

I C S0 3.1 2 0.2 0C C S A0 0中华人民共和国出入境检验检疫行业标准S N/T5 4 0 5.12 0 2 1 互联网环境下的认证技术指南 第1部分:总则T e c h n i c a l g u i d e t o c e r t i f i c a t i o n i n t h e i n t e r n e t e n v i r o n m e n tP a r t 1:G e n e r a l r u l e s2 0 2 1-1 1-2 2发布2 0 2 2-0 6-0 1实施中华人民共和国海关总署发 布前 言 本文件按照G B/T 1.12 0 2 0 标准化工作导则 第1部分:标准化文件的结构和起草规则 的规定起草。本文件是S N/T 5 4 0 5 互联网环境下的认证技术指南 的第1部分,S N/T 5 4 0 5已经发布了以下几个部分:第1部分:总则;第2部分:评价指标建立;第3部分:样本选取;第4部分:评价;第5部分:复核与证明;第6部分:监督。本文件由中华人民共和国海关总署提出并归口。本文件起草单位:中华人民共和国广州海关、中国检验认证集团广东有限公司、上海电器科学研究所(集团)有限公司、中标合信(北京)认证有限公司、广东杰信检验认证有限公司。本文件主要起草人:陈胜、周明辉、郑建国、姚应涛、蒋洁、颜刚华、郭庆园。S N/T5 4 0 5.12 0 2 1互联网环境下的认证技术指南第1部分:总则1 范围 本文件给出了互联网环境下的认证基本原则、认证活动要求和认证方案的管理。本文件适用于认证机构在互联网环境下开展认证活动中对评价指标选取、样本选取、确定、复核、决定与证明、监督等过程的管理,以及对认证方案的管理。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。I S O/I E C 1 7 0 0 0:2 0 2 0 合格评定 词汇和通用原则 T/C C AA 3 6 认证机构远程审核指南3 术语和定义 I S O/I E C 1 7 0 0 0:2 0 2 0和T/C C AA 3 6界定的以及下列术语和定义适用于本文件。3.1互联网环境 i n t e r n e t e n v i r o n m e n t指互联网技术得到广泛使用的社会条件。3.2评价指标 e v a l u a t i o n i n d e x用于评价认证对象是否满足预期的一组方针、程序或要求。3.3选取 s e l e c t i o n包括一系列策划和准备活动,其目的是收集或生成后续确认功能所需的全部信息和输入。3.4样本 s a m p l e指总体中有代表性的一部分。这里的样本不仅指实物样品,还包括与认证对象和评价指标相关的文件、记录、资料、数据和信息等。3.5确定 d e t e r m i n a t i o n获取认证对象或其样本满足规定要求情况的完整信息的活动。3.6复核 r e v i e w针对认证对象满足规定要求的情况,对选取和确定活动及其结果的适宜性、充分性和有效性进行的验证。1S N/T5 4 0 5.12 0 2 1 来源:I S O/I E C 1 7 0 0 0:2 0 2 0,7.13.7决定 d e c i s i o n根据复核的结果,得出是否已证明满足特定要求的结论。来源:I S O/I E C 1 7 0 0 0:2 0 2 0,7.23.8证明 a t t e s t a t i o n根据复核后作出的决定而出具的说明,以证实规定要求已得到满足。来源:I S O/I E C 1 7 0 0 0:2 0 2 0,7.33.9监督 s u r v e i l l a n c e认证活动的系统性重复,是保持符合性说明持续有效的基础。来源:I S O/I E C 1 7 0 0 0:2 0 2 0,8.13.1 0远程审核 r e m o t e a u d i t i n g应用信息和通信技术(I C T),在受审核活动的实际场所以外任何地点实施的审核。注:I C T是应用技术来收集、存储、检索、处理、分析和发送信息,它包括软件和硬件,例如智能手机、手持设备、笔记本电脑、台式电脑、无人机、摄像机、可穿戴技术、人工智能及其他。来源:I A F MD 4:2 0 1 8,0.24 总则4.1 法律法规要求 互联网环境下认证技术的应用应满足相关法律法规和部门规章制度的要求。4.2 合格评定功能法 互联网环境下的认证活动以合格评定功能法为基础,应包括以下几个功能阶段:选取;确定;复核、决定与证明;监督(如有)。4.3 前提方案 认证机构可以根据自身和认证对象具备的基础设施情况,采用线上或线下评价方式。如采用线上评价方式,认证机构和认证对象应满足下列条件。a)认证机构:配备互联网接入、数据处理和存储设备;具备涵盖认证主要过程的业务管理信息系统;具备认证过程信息化的能力,具备采集、处理、使用、传播和存储这些信息并确保信息安全的能力,以及具备相关能力的人员;具备其他认证必需的信息和通信技术。b)认证对象:配备互联网接入、数据传输设备;2S N/T5 4 0 5.12 0 2 1 具备熟悉互联网应用软件基本操作的人员;具备其他认证必需的信息和通信技术。5 互联网环境下的认证技术体系5.1 认证流程 互联网环境下的认证活动原则上不改变原有的业务流程,改变的是信息获取和评价的方式。如果由于实际客观情况的限制,部分工作只能通过线下方式进行,可以采取线上和线下相结合的方式。以产品认证为例,互联网环境下的认证活动流程如图1所示。图1 互联网环境下的产品认证活动流程5.2 信息来源 互联网环境下的认证活动在传统认证手段基础上,可通过互联网技术收集和分析各方信息作为符合性判断的依据,信息的来源应符合如下要求:a)真实性:确保信息真实,尽量剔除网络虚假信息;b)安全性:确保信息系统不受到外部的侵扰;c)保密性:确保客户的信息不用于认证活动之外的用途;d)有效性:确保获得的信息能作为认证活动结论的证据。3S N/T5 4 0 5.12 0 2 15.3 评价指标选取 评价指标的建立是认证活动的重要阶段,直接关系到后续确认活动的执行和产出。评价指标的建立应根据不同的认证对象和可采用的互联网应用技术进行制订,在传统认证标准要去的基础上,完善或补充以下指标,作为重要的判断事项:a)企业信用指标;b)产品风险指标;c)消费者评价指标;d)社会关注和影响指标。5.4 样本选取5.4.1 样本选取原则:a)目的性原则:生产过程可能有很多工序,需要选收集与评价指标对应的关键数据,如采购数据、检验数据、产品数据、生产控制数据、环境与场景信息等;b)可溯性原则:所有样本数据均可追溯;c)可行性原则:技术上具有可操作性;d)经济性原则:不带来较大的额外经济支出。5.4.2 产品质量数据选取:a)工厂检验数据,可通过数据交互,直接传递给认证机构;b)产品市场抽查数据,如利用信息挖掘技术,检索市场监管部门公布的市场抽查报告等;c)审核现场抽取代表性样品进行现场指定试验,予以实时记录;d)定期或不定期抽样检测,由指定检测机构进行检测。5.4.3 工厂运行数据选取:a)通过工厂与认证机构数据交互,直接传递给认证机构;b)在线视频审核相关生产现场记录。5.4.4 消费者体验数据选取:a)利用网络技术,收集和分析对应网络销售平台的消费者评价信息;b)挖掘各消费者投诉和评价平台信息。5.5 确定5.5.1 评价方式 认证机构可以根据不同的认证类型和实施条件,采取线上与线下结合的方式开展评价活动。评价活动可采用以下几种方式中的一种或几种的组合进行:a)现场审核;b)远程审核;c)设计鉴定;d)软件评估;e)专家评议;f)顾客调查;g)产品检测;h)特性测评;i)指定试验;4S N/T5 4 0 5.12 0 2 1 j)数据分析等。5.5.2 线上审核 需考虑和控制以下认证风险:a)保密性、安全性的要求;b)证据真实性、完整性;c)获取审核证据的能力;d)数据失真和数据丢失,数据格式不匹配;e)信息安全;f)必备的资源与条件(人员、设备等)。5.6 复核、决定与证明5.6.1 复核 在对现场审核发现进行复核外,还可通过互联网技术对以下内容进行复核:a)认证对象资质的有效性;b)行业或监管部门对认证对象、产品、关键人员以往的安全、质量、信用等的评价;c)消费者评价等信息。5.6.2 证明 认证机构应采取以下方式或措施,保证相关方能及时、准确地获取认证证书:a)以二维码等呈现形式,标注在纸质证书或产品包装上;b)电子证书信息根据审核结果实行实时、动态变化,以便客户、监管方、采购方等掌握准确信息;c)在网站、A P P等互联网平台上开通查询渠道;d)在认证证书上施加电子防伪技术,防止篡改。5.7 监督 监督不是认证活动的必须阶段,但是为保证认证的持续有效性,认证机构宜将其作为重要的跟踪手段。认证机构应该基于以下条件,判断认证对象是否免予监督:a)机构重要信息变化监督抽查结果追踪;b)标准内容或评价指标变更;c)认证对象的舆情分析;d)上次审核结果的情况。6 互联网环境下的认证方案管理6.1 认证方案的策划 认证方案的策划应考虑以下内容:a)认证类型和特点;b)认证机构和认证对象的互联网化程度和能力;c)认证的风险程度;d)认证模式的选择。5S N/T5 4 0 5.12 0 2 16.2 认证模式的选择 认证机构可选择以下一种或几种认证方式的组合:a)产品型式试验;b)现场管理体系审核;c)企业声明;d)认证后监督;e)远程审核;f)消费者评价;g)专家评议;h)数据核验;i)设计鉴定;j)软件评估;k)人工智能分析等。6.3 认证方案的实施 认证机构根据认证方案的策划内容采取线上、线下或线上与线下相结合的方式实施。6.4 认证方案的检查 认证机构应对认证方案的适宜性、充分性和当次审核实施的有效性进行评价,评价其是否达到预期目标以及可能存在的潜在风险。评价内容包括但不限于:a)认证活动的合规性,是否符合法律法规的要求;b)认证活动的有效性,是否符合标准的要求;c)认证活动的经济性,是否节省了时间和成本;d)认证活动的风险评价,是否避免了不可接受的风险;e)方案实施过程中存在的问题,采取适当的措施进行方案的调整和完善。6.5 认证方案的改进 认证机构通过对认证方案的实施评价,完善认证方案的相关流程和技术内容,作为后续审核方案调整和持续改进的输入。6S N/T5 4 0 5.12 0 2 1120215045T/NS中华人民共和国出入境检验检疫行 业 标 准互联网环境下的认证技术指南第1部分:总则S N/T 5 4 0 5.12 0 2 1*中国海关出版社有限公司出版发行北京市朝阳区东四环南路甲1号(1 0 0 0 2 3)编辑部:(0 1 0)6 5 1 9 4 2 4 2-7 5 3 1网址 www.c u s t o m s k b.c o m/b o o k中国标准出版社秦皇岛印刷厂印刷*开本8 8 01 2 3 0 1/1 6 印张0.7 5 字数1 7千字2 0 2 2年6月第一版 2 0 2 2年6月第一次印刷印数 15 0 0*书号:1 5 5 1 7 57 8 4 定价1 6.0 0元