各认证机构:
在认证活动中建立健全数字化管理手段和能力,是提升认证有效性和公信力的重要保障。为引导认证机构加大数字化基础设施投入,加强数字化能力建设,提高认证关键环节的质量管控能力与效率,现就提升认证机构数字化管理能力提出如下意见。
一、总体目标
全面落实《质量强国建设纲要》《“十四五”市场监管现代化规划》的要求,充分运用云计算、大数据、人工智能等数字化技术和手段,实现质量认证全过程数据可追溯,推动数字化治理模式创新,以数字化管理能力的提升推动质量认证行业高质量发展。
2025年,拟订《认证机构数字化管理技术指南》行业标准,指导质量认证全行业明确数字化管理的工作路径和方向;指导20家以上认证机构发挥数字化管理能力示范作用,全面实现覆盖认证全过程的数字化管理和安全可靠的数据追溯;100家以上认证机构初步实现覆盖认证业务关键环节的数字化管理,认证流程的规范性和数据追溯能力有明显提升。
到2029年,《认证机构数字化管理技术指南》行业标准得到全面落实和应用;60%以上认证机构实现覆盖认证全过程的数字化管理和数据可追溯;指导30家以上的认证机构发挥数字化管理能力标杆作用,运用数字化管理工具赋能认证业务发展,具备技术先进、安全可靠的数字化基础设施和优质的专业性人才,运用数据分析、数据加工等数字化应用能力服务认证业务创新实践;100家以上认证机构全面实现覆盖认证全过程的数字化管理和安全可靠的数据追溯,认证流程的规范性、认证风险防控得到全面提升;全行业初步建成基于数字化管理的统一、规范、高效、可靠的认证服务市场体系。
二、建立健全数字化管理手段和运行机制
(一)加强覆盖认证全过程的数字化管理平台建设。支撑认证机构日常业务运行的数字化管理平台是认证机构实现数字化管理的基础手段,体现认证机构的技术能力、管理水平和竞争力。认证机构应根据组织规模、业务特点,不断加强覆盖认证业务全过程的数字化管理平台建设,实现认证申请、审核策划与实施、认证决定、证书管理和证后监督等关键认证活动的数字化管理和数据追溯,完成信息公示、数据上报和统计报告等管理要求,以进一步规范认证流程、增强风险管控、优化认证服务、提高运营效率。认证机构应持续保障必要的资源投入,确保数字化管理平台的可用、可靠、可扩展,不断提升数字化管理平台的业务支撑和综合管理能力。
(二)建立规范认证流程的数字化管理工作制度。认证机构应围绕认证流程的规范管理,建立清单化的数字化管理工作制度和更新机制,通过制定业务流程管理规范、平台操作使用规范等内部管理性文件,保证认证流程和要素的完整性,强化数字化管理工作制度对规范认证流程的约束作用。
(三)提高认证基础数据质量。认证业务基础数据的质量是认证机构数字化管理能力的核心要素。认证机构应实现对基础数据的收集、产生和加工的规范处理。一是加强证书编号、认证依据、组织名称、组织地址、统一社会信用代码、业务范围等基础数据管理,保证认证证书相关信息的真实性和准确性。二是对重要的基础数据实施结构化管理,重点实现手工输入数据的字典化、业务数据的结构化以及审核依据和评价结论的条款化等。三是强化对基础数据的技术校验,重点是基于认证业务领域代码、国家地区区域代码、经济领域分类代码、基础字典等,通过数据类型匹配、数据来源验证、数据自动生成等方式,建立对结构化数据的自动校验手段,最大限度降低手工操作出错率。
(四)确保认证数据的可靠性和可追溯性。一是通过数据备份、数据复用等技术手段,确保认证数据的可靠性,防止未经授权的访问和数据泄露。二是通过数字签名、时间戳等技术手段,确保业务数据处理活动的全过程可追溯。三是鼓励认证机构逐步实现电子档案替代纸质文件,对认证活动产生的记录、报告、结论、证书等档案文件,以不可篡改的文件格式(OFD等)实现电子档案的可靠存储与交换。
三、强化数字化管理支持工具的赋能作用
(五)认证审核管理数字化支持工具。认证审核活动的实施与管理是确保认证有效性的关键环节。鼓励认证机构开发和使用数字化审核管理支持工具,更好支撑审核活动的可追溯性,减少人员工作量和出错率。一是实现审核活动关键过程的数字化协同与信息确认,做到从审核计划到审核问题关闭过程的多方线上协同,以及审核工作实施与取证环节的线上线下融合等。二是实现审核计划与报告的辅助性自动生成,做到基于线上任务管理的审核任务自动分配和跟踪管理,基于结构化数据的审核方案和报告的自动编制等。三是实现审核问题描述与整改验证措施的智能化匹配和闭环管理。四是实现审核计划、审核结果等应上报信息的自动化、无人工操作的即出即报。
(六)认证风险管理数字化支持工具。认证风险管理是认证机构提升认证有效性和公信力的基础性管理措施。鼓励认证机构实现覆盖认证活动全生命周期的数字化认证风险管理。一是将具体的认证风险管理工作措施转化为数字化的认证风险管理模型,将现行的法规、认证规则等要求转化为业务信息流中可识别、可量化的数字化控制点或阈值,通过建立相应的触发和管控机制,实现覆盖认证业务全过程的风险管理,重点关注认证机构资质与人员能力的保持和符合性、审核方案与实施的合规性与公正性、信息上报的完整性和及时性等关键环节。二是建立各类人员工作强度数字化模型,动态识别工作强度区间指标,对超过合理区间的认证人员及其认证活动采取风险预警措施。三是建立数字化、自动化风险处置措施,对发现严重风险隐患的认证活动或结果,应触发自动化的证后管理处置措施,暂停或撤销相关认证证书,实现风险管理的及时性和规范性。
(七)获证组织信用信息管理数字化支持工具。质量认证是市场经济运行的信用管理工具,认证公信力离不开对相关信用信息的收集和管理。鼓励认证机构开发获证组织信用信息管理数字化支持工具,实现相关信用信息的及时、准确收集和有效利用。一是动态收集获证组织信用信息,依托国家企业信用信息公示系统、第三方信用信息平台等,通过数据接口、数据库导入等方式,实现对获证组织信用信息的动态收集,自动收集更新获证组织有关的违法失信记录、经营异常等信用信息。二是动态分析获证组织信用信息,重点关注违法失信、经营异常、地址变更、兼并重组等信息,研判获证组织关联证书的相互影响,为认证风险处置提供信息输入。三是推动建立和积极参与面向行业产业、认证联盟的信用信息共享机制,重点共享获证组织在证书转换、跨机构获证等过程中产生的认证关联信用信息,提升获证组织信用信息应用效率和水平。
四、加强数字化基础设施和数据安全保障能力建设
(八)加快数字化基础设施建设。算力、存储与网络是数字化管理平台安全稳定运行的核心资源保障。鼓励认证机构通过国家公共数字化基础设施的有效供给,利用云计算、大数据、人工智能等成熟的数字化产品,构建满足认证机构自身发展需要的高效、安全、可扩展的数字化基础设施。一是使用具有充足算力和扩展性的自建或云端服务器等方式,保障各类数字化业务平台的高效运行。二是利用互联网数据中心(IDC)资源,采用多链路组网等技术,实现全国范围高效稳定的网络和存储技术保障。三是主动使用我国自主可控的操作系统、数据库等软件工具。
(九)提升网络与数据安全保障能力。认证机构应根据我国《网络安全法》《数据安全法》等法律要求,参照《网络安全等级保护条例》等规定,确保认证业务数据的收集、处理和使用安全合规。一是鼓励认证机构自建或租赁的网络基础设施和数字化管理平台达到等级保护二级以上的技术要求。二是在日常参与国际组织、国家和地区之间的认证业务活动过程中,确保不出现任何形式的违规数据出境行为。三是确保获证组织有关信息的数据安全,加强对恶意入侵、篡改破坏、非法获取利用等违法行为的主动防范。
(十)夯实专业化人才队伍建设。认证机构应积极建立专业化人才队伍,提升全员数字化意识和能力水平。一是建立一支兼备认证技术、系统设计、数据分析和数据安全能力的专业队伍,保障数字化管理平台的高质量建设和安全稳定运行。二是提升全员数字化意识和能力水平,加强数字化技能培训,激励全员积极运用各类数字化工具,全面提升数字化认证服务能力。三是鼓励认证机构在管理层设立首席数字官,负责数字化管理目标的制定、数字化管理平台及基础设施的建设等。
五、加强组织领导和示范引导
认证机构管理层应加强数字化管理工作的组织领导和统筹协调,细化工作措施和责任落实,持续加大资源和要素的投入。国家认监委将对实现全过程数字化管理和数据追溯的认证机构,在行政监管工作中直接采信认证机构的追溯数据,减少提供相关证明性资料;组织分享相关先进经验和工作成果,引导全行业加速提升数字化管理水平。
国家认监委
2025年10月21日
(此件公开发布)
