业务连续性管理体系认证规则

目录

1 适用范围

2 对本机构的要求

3 对认证人员的要求

4 认证过程流程图

5 初次认证程序

6 监督审核程序

7 再认证程序

8 暂停或撤销认证证书

9 认证证书要求

10 与其他管理体系的结合审核

11 受理转换认证证书

12 受理组织的申诉

13 认证记录的管理

14 费用

15 其他

1 适用范围

1.1 本规则用于规范本机构对申请认证和获证的各类组织按照 GB/T30146-2013《业务连续性管理体系 要求》标准建立业务连续性管理体系的认证活动。

1.2 本规则适用于初次申请按 GB/T30146-2013《业务连续性管理体系 要求》进行业务连续性管理体系认证审核的组织。

1.3 本规则旨在结合认证认可相关法律法规和技术标准，对业务连续性管理体系认证实施过程作出具体规定，明确公司对认证过程的管理责任，保证业务连续性管理体系认证活动的规范有效。

1.4 本规则是公司及申请组织与获证组织在企业业务连续性管理体系认证活动中的基本要求，本公司在该项认证活动中应当遵守本规则。

2 对本机构的要求

2.1 获得国家认监委批准，取得从事管理体系认证资格的资质证书。

2.2 建立可满足 CC01/CC121/CC125 的内部管理体系，以使从事的业务连续性管理体系认证认证活动符合法律法规及技术标准的规定。

2.3 建立内部制约、监督和责任机制，实现受理、培训（包括相关增值服务）、审核和作出认证决定等环节的相互分开。

2.4 针对业务连续性管理体系认证认证能力要求，按照 CNAS 规定要求对人员进行评价等工作。

3 对认证人员的要求

3.1 认证人员应当取得国家认监委确定的认证人员注册机构颁发的管理体系审核员注册资格。

3.2 认证人员应当遵守与从业相关的法律法规，对认证活动及作出的认证审核报告和认证结论的真实性承担相应的法律责任。

4 认证过程流程图（见下页图 1）

                                                图 1 业务连续性管理体系认证流程

5 初次认证程序

5.1 受理认证申请

5.1.1 本机构应向申请认证的组织（以下简称申请组织）至少公开以下信息：

1）可开展的认证业务的范围，以及获得认可的情况。

2）本机构的授予、保持、扩大、更新、缩小、暂停或撤销认证及其证书等环节的制度规定（本机构的公开文件）。

3）认证证书样式。

4）对认证过程、认证决定的申诉程序。

5.1.2 本机构应当要求申请组织提交以下资料：

1）认证申请书，包括申请组织的生产经营或服务活动等情况的说明。

2）法律地位的证明文件（包括：企业营业执照、事业单位法人证书、社会团体登记证书、非企业法人登记证书、党政机关设立文件等）的复印件。若业务连续性管理体系覆盖多场所活动，应附每个场所的法律地位证明文件的复印件（适用时）。

3）业务连续性管理体系覆盖的活动所涉及法律法规要求的行政许可证明、资质证书、强制性认证认证等的复印件。

4）多场所活动、活动分包情况。

5）方针、目标和范围，相关业务连续性管理体系文件化信息（适用时）。

6）业务连续性管理体系覆盖的产品和服务的范围或说明。

7）业务连续性管理体系己有效运行 3 个月以上的证明材料。

8）申请组织在一年内，未发生业务中断事故、重大投诉时间（如媒体曝光等）以及对服务对象业务连续性等造成重大影响、违反国家相关法律法规，虚报、瞒报获证所需信息的情况。

9）其他与认证审核有关的必要文件。

5.1.3 认证申请的审査确认

本机构应对申请组织提交的申请资料进行审査，并确认：

1）申请资料齐全。

2）申请组织从事的活动符合相关法律法规的规定。

3）申请组织为达到管理目标而建立了文件化的业务连续性管理体系。

5.1.4 根据申请组织申请的相应资质、认证范围、生产经营场所、资质所对应的员工人数、完成审核所需时间和其他影响认证活动的因素，综合确定是否有能力受理认证申请。

5.1.5 对符合 5.1.3、5.1.4 要求的，本机构可决定受理认证申请：对不符合上述要求的，本机构应通知申请组织补充和完善，或者不受理认证申请。

5.1.6 本机构应完整保存认证申请的审査确认工作记录（即：合同评审记录）。

5.1.7 签订认证合同

在实施认证审核前，本机构应与申请组织订立具有法律效力的书面认证合同，合同应至少包含以下内容：

1）申请组织获得认证后持续有效运行业务连续性管理体系的承诺。

2）申请组织对遵守认证认可相关法律法规，协助认证监管部门的监督检査，对有关事项的询问和调査如实提供相关材料和信息的承诺。

3）申请组织承诺获得认证后发生以下情况时，应及时向本机构通报：

a）客户及相关方有重大投诉。

b）生产的产品或服务被执法监管部门认定不符合法定要求。

c）发生产品或服务的质量安全亊故。

d）相关情况发生变更，包括：法律地位、生产经营状况、组织状态或所有权变更：取得的行政许可资格、强制性认证或其他资质证书变更：法定代表人、最高管理者、管理者代表、主要联系人变更：生产经营或服务的工作场所变更：业务连续性管理体系覆盖的活动范围变更：业务连续性管理体系和重要过程的重大变更等。

e）出现影响业务连续性管理体系运行的其他重要情况。

4）申请组织承诺获得认证后正确使用认证证书、认证标志和有关信息：不擅自利用业务连续性管理体系认证证书和相关文字、符号误导公众认为其产品或服务通过认证。

5）拟认证的业务连续性管理体系覆盖的生产或服务的活动范围、体系覆盖人数。

6）在认证审核及认证证书有效期内各次监督审核中，本机构和申请组织各自应当承担的责任、权利和义务。

7）认证服务的费用、付费方式及违约条款。

5.2 制定审核计划

5.2.1 审核时间

5.2.1.1 为确保认证审核的完整有效，本机构应以附录 A 所规定的审核时间为基础，根据申请组织业务连续性管理体系覆盖的活动范围、特性、技术复杂程度、风险程度、认证要求和体系覆盖范围内的有效员工人数等情况，核算并拟定完成审核工作需要的时间。在特殊情况下，可以减少审核时间，但减少的审核时间不得超过附录 A 所规定的审核时间的 30%。

5.2.1.2 整个审核时间中，包括编写审核计划、审核报告、不符合项验证以及认证决定等时间，现场审核时间不应少于总人日数的 80%。

5.2.2 审核组

5.2.2.1 本机构应当根据业务连续性管理体系覆盖活动的专业技术领域选择具备相关能力的审核员和技术专家组成审核组。审核组中的审核员应当承担审核责任。

5.2.2.2 技术专家主要负责提供认证审核的技术支持，不作为审核员实施审核，不计入审核时间，其在审核过程中的活动由审核组中的审核员承担责任。

5.2.2.3 审核组可以有实习审核员，其要在审核员的指导下参与审核，不计入审核时间，不单独出具记录等审核文件，其在审核过程中的活动由审核组中的审核员承担责任。

5.2.3 审核计划

5.2.3.1 本机构应制定书面的审核计划交审核组实施。审核计划至少包括以下内容：审核目的、审核准则、审核范围、审核过程、审核涉及的部门和场所、审核时间、审核组成员（其中：审核员应标明注册证书号：技术专家应标明专业）。

5.2.3.2 通常情况下，初次认证审核、监督审核和再认证审核成在申请组织申请认证的范围涉及到的各个场所现场进行。如果业务连续性管理体系包含在多个场所进行相同或相近的活动，且这些场所都处于该申请组织授权和控制下，本机构可以在审核中对这些场所进行抽样，但应制定合理的抽样方案以确保对各场所业务连续性管理体系的正确审核。如果不同场所的活动存在根本不同、或不同场所存在可能对质量管理产生显著影响的区域性因素，则不能采用抽样审核的方法，应当逐一到各现场进行审核，确保审核证据的完整性和充分性。

5.2.3.3 为使现场审核活动能够观察到活动情况，现场审核应安排在认证范围覆盖的产品生产或服务活动正常运行时进行，并考虑轮班作业班次安排。

5.2.3.4 在审核活动开始前，审核组应将书面审核计划交申请组织确认。遇特殊情况临时变更计划时，应及时将变更情况书面通知受审核的申请组织，并协商一致。

5.3 实施审核

5.3.1 审核组应当全员完成审核计划的全部工作。除不可预见的特殊情况外，审核过程中不得更换审核计划确定的审核员（技术专家和实习审核员除外）。

5.3.2 审核组应当会同申请组织按照程序顺序召开首、末次会议。审核组应当提供首、末次会议签到表，参会人员应签到。在首次会议开始前，审核组成员应主动向申请组织出示身份证明文件。

5.3.3 审核过程及环节

5.3.3.1 初次认证审核，分为第一、二阶段实施审核。

5.3.3.2 第一阶段审核应至少覆盖以下内容：

1）申请组织从事的业务连续性管理体系活动是否符合相关法律法规的规定。

2）结合现场情况，确认申请组织实际情况与业务连续性管理体系文件描述的一致性，特别是体系文件化信息中描述的产品或服务、部门设置和负责人、生产和服务过程等是否与申请组织的实际情况相一致。

3）结合现场情况，审核申请组织有关人员理解和实施 GB/T30146-2013《业务连续性管理体系 指南》标准要求的情况，评价业务连续性管理体系运行过程中是否实施了内部审核和管理评审，确认业务连续性管理体系是否已有效运行并且超过 3 个月。对业务连续性管理体系文件化信息不符合现场实际、相关体系运行尚未超过 3 个月或者无法证明超过3 个月的，应当终止审核。

4）确认申请组织建立的业务连续性管理体系覆盖的活动和范围、申请组织体系覆盖范围内的有效员工人数、活动过程和场所，遵守相关法律法规及技术标准、强制性标准的情况。

5）结合业务连续性管理体系覆盖活动的特点识别对管理目标的实现具有重要影响的关键点，并结合其他因素，科学确定重要审核点。

6）与申请组织讨论确定第二阶段审核安排。

5.3.3.3 在下列情况，第一阶段审核可以不在申请组织现场进行：1）申请组织已获得本机构颁发的其他认证证书，本机构已对申请组织业务连续性管理体系有充分了解。

2）申请组织获得了其他经认可的认证机构颁发的有效的工程建设施工企业业务连续性管理体系认证证书，通过对其文件和资料的审查可以达到第一阶段审核的目的和要求。除以上情况之外，第一阶段审核应在申请组织的生产经营或服务现场进行。

5.3.3.4 审核组应将第一阶段审核情况形成书面文件告知申请组织。对在第二阶段审核中可能被判定为不符合项的重要关键点，要及时提醒申请组织特别关注。

5.3.3.5 笫一阶段审核和笫二阶段审核应安排适宜的间隔时间，使申请组织有充分的时间解决第一阶段中发现的问题。

5.3.3.6 第二阶段审核应当在申请组织现场进行。重点是审核业务连续性管理体系符合 GB/T30146-2013 《业务连续性管理体系 要求》标准要求和有效运行情况，应至少覆盖以下内容：

1）在第一阶段审核中识别的重要审核点的监视、测量、报告和评审记录的完整性和有效性。

2）为实现总质量目标而在相关职能、层次和过程上建立质量目标是否具体、适用、可测量并得到沟通、监视。

3）对业务连续性管理体系覆盖的过程和活动的管理及控制情况。

4）业务影响分析和风险评估的实施情况。

5）业务连续性程序的建立和实施、演练和测试、评价情况。

6）申请组织实际工作记录是否真实。

7）申请组织的内部审核和管理评审是否有效。

5.3.4 发现以下情况时，审核组应终止审核，并向本机构报告。

1）申请组织对审核活动不予配合，审核活动无法进行。

2）申请组织的业务连续性管理体系存在重大缺陷，不符合 GB/T30146-2013《业务连续性管理体系 要求》标准要求。

3）发现申请组织存在重大质量安全问题或有其他严重违法违规行为。

4）其他导致审核程序无法完成的情况。

5.4 审核报告

5.4.1 审核组应对审核活动形成书面审核报告，由审核组组长签字。审核报告应准确、简明和清晰的描述审核活动的主要内容，至少包括以下内容：

1）申请组织的名称和地址。

2）审核的申请组织活动范围和场所。

3）审核组组长、审核组成员及其个人注册信息。

4）审核活动的实施日期和地点，包括固定现场和临时现场；对偏离审核计划情况的说明，包括对审核风险及影响审核结论的不确定性的客观陈述。

5）叙述 5.3 条列明的程序及各项要求的审核工作情况，其中：对 5.3.3.6 条的各项审核要求应逐项就审核证据、审核发现和审核结论进行详细描述；对目标和过程及合规绩效实现情况的评价，应同时叙述测量方法。

6）识别出的不符合项。不符合项的表述，应基于客观证据和审核依据，用写实的方法准确、具体、清晰描述，易于被申请组织理解。不得用概念化的、不确定的、含糊的语言表述不符合项。

7）审核组对是否通过认证的意见建议。

8）关于管理体系符合性与有效性的声明以及对下列方面相关证据的总结：

a）管理体系满足适用要求和实现预期结果的能力；

b）内部审核和管理评审的过程；

9）对认证范围适宜性的结论。

10）确认是否达到审核目的。

5.4.2 审核报告应随附必要的用于证明相关事实的证据或记录，包括文字或照片摄像等影像资料。

5.4.3 本机构应当将审核报告提交申请组织，并保留签收或提交的证据。

5.4.4 对终止审核的项目，审核组应将已开展的工作情况形成报告，本机构应将此报告及终止审核的原因提交给申请组织，并保留签收或提交的证据。

5.5 不符合项的纠正和纠正措施及其结果的验证

5.5.1 对审核中发现的不符合项，本机构应要求申请组织分析原因，并要求申请组织在规定期限内（最多不超过 3 个月）采取措施进行纠正。

5.5.2 本机构应对申请组织所采取的纠正和纠正措施及其结果的有效性进行验证。

5.6 认证决定

5.6.1 本机构应该在对审核报告、不符合项的纠正和纠正措施及其结果进行综合评价基础上，作出认证决定。

5.6.2 认证决定人员应为本机构管理控制下的人员，审核组成员不得参与对审核项目的认证决定。

5.6.3 本机构在作出认证决定前应确认如下情形：

1）审核报告符合本规则第 5.4 条要求，能够满足作出认证决定所需要的信息。

2）反映以下问题的不符合项，本机构已评审、接受并验证了纠正和纠正措施及其结果的有效性：

a）在持续改进业务连续性管理体系的有效性方面存在缺陷，实现质量目标有重大疑问。

b）未能满足业务连续性管理体系标准的要求。

c）制定的目标不可测量、或测量方法不明确。

d）对实现目标具有重要影响的关键点的监视和测量未有效运行，或者对这些关键点的报告或评审记录不完整或无效。

e）其他严重不符合项。

3）本机构对其他不符合项已评审，并接受了申请组织计划采取的纠正和纠正措施。

5.6.4 在满足 5.6.3 条要求的基础上，本机构有充分的客观证据证明申请组织满足下列要求的，评定该申请组织符合认证要求，向其颁发认证证书。

1）申请组织的业务连续性管理体系符合标准要求且运行有效。

2）认证范围覆盖的产品或服务符合相关法律法规要求。

3）申请组织按照认证合同规定履行了相关义务。

5.6.5 申请组织不能满足上述要求的，评定该申请组织不符合认证要求，以书面形式告知申请组织并说明其未通过认证的原因。

5.6.6 本机构在颁发认证证书后，应当在 30 个工作日内按照规定的要求将相关信息报送国家认监委。国家认监委在其网站（www.cnca.gov.cn）开设专栏向社会公开本机构上报的认证证书等信息。

5.6.7 本机构不得将申请组织是否获得认证与参与认证审核的审核员及其他人员的薪酬挂钩。

6 监督审核程序

6.1 本机构应对持有对其颁发的业务连续性管理体系认证证书的组织（以下称获证组织）进行有效跟踪，监督获证组织通过认证的业务连续性管理体系持续符合要求。

6.2 为确保达到 6.1 条要求，本机构应根据获证组织的产品或服务的风险程度或其他特性，确定对获证组织的监督审核的频次。

6.2.1 监督审核应至少每个日历年（应进行再认证的年份除外）进行一次。初次认证后的第一次监督审核应在认证决定日期起 12 个月内进行。

注：为了考虑诸如季节或有限时段的管理体系认证等因素，可能有必要调整监督审核的频次。

6.2.2 在达到第二次监督审核期限而有证据表明获证组织暂不具备实施监督审核的条件时，可以适当延长监督审核期限，但最长间隔不能超过 15 个月。

6.2.3 超过期限而未能实施监督审核的，应按 7.2 或 7.3 条款处理。

6.3 监督审核的时间，应不少于按 5.2.1 条计算审核时间人日数的 30%。

6.4 监督审核的审核组，应符合 5.2.2 条和 5.3.1 条的要求。

6.5 监督审核应在获证组织现场进行，且应满足第 5.2.3.3 条确定的条件。由于市场、季节性等原因，在每次监督审核时难以覆盖所有产品的，在认证证书有效期内的监督审核需覆盖认证范围内的所有产品。6.6 监督审核时应至少审核以下内容：

1）上次审核以来业务连续性管理体系覆盖的活动及运行体系的资源是否有变更。

2）按 5.3.3.2 条要求已识别的重要关键点是否按业务连续性管理体系的要求在正常和有效运行。

3）对上次审核中确定的不符合项采取的纠正和纠正措施是否继续有效。

4）业务连续性管理体系覆盖的活动涉及法律法规规定的，是否持续符合相关规定。

5）总管理目标及各层级管理目标是否实现。目标没有实现的，获证组织在内部管理评审时是否及时调查并采取了纠正措施。

6）获证组织对认证标志的使用或对认证资格的引用是否符合相关的规定。

7）内部审核和管理评审是否规范和有效。

8）是否及时接受和处理投诉。

9）针对内审发现的问题或投诉的问题，及时制定并实施了有效的持续改进。

6.7 监督审核的审核报告，应按 6.6 条列明的审核要求逐项描述审核证据、审核发现和审核结论。审核组应提出是否继续保持认证证书的意见建议。

6.8 本机构根据监督审核报告及其他相关信息，作出继续保持或暂停、撤销认证证书的决定。

7 再认证程序

7.1 认证证书期满前，若获证组织申请继续持有认证证书，本机构应当实施再认证审核决定是否延续认证证书。

7.2 本机构应按 5.2.2 条要求组成审核组。按照 5.2.3 条要求并结合历次监督审核情况，制定再认证计划并交审核组实施。审核组按照要求开展再认证审核。

在业务连续性管理体系及获证组织的内部和外部环境无重大变更时，再认证审核可省略第一阶段审核，但审核时间应不少于按 5.2.1 条计算人日数的 70%。

当业务连续性管理体系、组织管理机构或管理体系的运作环境有重大变更（如法律的变更）时，再认证应该安排第一阶段审核。

7.3 对再认证审核中发现的不符合项，应按 5.5 条要求实施纠正和纠正措施并进行验证，验证应在原证书有效期满前完成。

7.4 本机构参照 5. 6 条要求作出再认证决定。获证组织继续满足认证要求并履行认证合同义务的，向其换发认证证书。

7.5 如果在原证书到期前，本机构未能完成再认证审核或不能验证对不符合实施的纠正和纠正措施，则不应予以再认证，也不应延长认证的效力。

再认证到期后，如果本机构能够在 6 个月内完成未尽的再认证活动，则可以恢复认证，否则应至少进行一次第二阶段审核才能恢复认证。证书的生效日期应不早于再认证决定日期，终止日期应基于上一个认证周期。

8 暂停或撤销认证证书

8.1 本机构应制定暂停、撤销认证证书或缩小认证范围的规定，并形成文件化的管理制度。本机构对认证证书的暂停和撤销处理应符合其管理制度和本规则的规定，不得随意暂停或撤销认证证书。

8.2 暂停证书

8.2.1 获证组织有以下情形之一的，本机构应在调查核实后的5个工作日暂停其认证证书。

1）业务连续性管理体系持续或严重不满足认证要求，包括对业务连续性管理体系运行有效性要求的。

2）不承担履行认证合同约定的责任和义务的。

3）被有关执法监管部门责令停业整顿的。

4）被地方认证监管部门发现体系运行存在问题，需要暂停证书的。

5）持有的行政许可证明、资质证书、强制性认证证书等过期失效，重新提交的申请已被受理单尚未换证的。

6）主动请求暂停的。

7）其他应当暂停认证证书的。

8.2.2 认证证书暂停期不得超过 6 个月。但属于 8.2.1 第 5）项情形的暂停期可至相关单位作出许可决定之日。

8.2.3 本机构暂停认证证书的信息，应明确暂停的起始日期和暂停期限，并声明在暂停期间获证组织不得以任何方式使用认证证书、认证标识或引用认证信息。

8.3 撤销证书

8.3.1 获证组织有以下情形之一的，本机构应在获得相关信息并调查核实后的 5 个工作日内撤销其认证证书。

1）被注销或撤销法律地位证明文件的。

2）拒绝配合认证监管部门实施的监督检查，或者对有关事项的询问和调查提供了虚假材料或信息的。

3）出现重大的产品或服务等质量安全事故，经执法监管部门确认是获证组织违规造成的。

4）有其他严重违反法律法规行为的。

5）暂停认证证书的期限已满但导致暂停的问题未得到解决或纠正的（包括持有的行政许可证明、资质证书、强制性认证证书等已经过期失效但申请未获批准等）。

6）没有运行业务连续性管理体系或者已不具备运行条件的。

7）不按相关规定正确引用和宣传获得的认证信息，造成严重影响或后果，或者本机构已要求其纠正但超过 6 个月仍未纠正的。

8）其他应当撤销认证证书的。

8.3.2 撤销认证证书后，本机构应及时收回撤销的认证证书。若无法收回，本机构应及时在相关媒体和网站上公布或声明撤销决定。

8.4 本机构暂停或撤销认证证书应当在其网站上公布相关信息，同时按规定程序和要求报国家认监委。

8.5 本机构有义务和责任采取有效措施避免各类无效的认证证书和认证标志被继续使用。

9 认证证书要求

9.1 认证证书应至少包含以下信息：

1）获证组织名称、地址和社会信用代码。该信息应与其法律地位证明文件的信息一致。

2）业务连续性管理体系覆盖的生产经营或服务的地址和业务范围。若认证的业务连续性管理体系覆盖多场所，表述覆盖的相关场所的名称和地址信息，该信息应与相应的法律地位证明文件信息一致。

3）业务连续性管理体系符合标准的表述，适用时，包括明示不适用的标准条款。

4）证书编号。

5）本机构名称。

6）证书签发日期及有效期的起止年月日。

对初次认证以来未中断过的再认证证书，可表述该获证组织初次获得认证证书的年月日。

7）相关的认可标识及认可注册号（适用时）。

8）证书查询方式。本机构除公布认证证书在本机构的网站上的查询方式外，还应当在证书上注明：“本证书信息可在国家认证认可监督管理委员会官方网站（www.cnca.gov.cn）上查询”，以便于社会监督。

9.2 认证证书有效期最长为 3 年。

9.3 本机构应当建立证书信息披露制度。除向申请组织、认证监管部门等执法监管部门提供认证证书信息外，还应当根据社会相关方的请求向其提供证书信息，接受社会监督。

10 与其他管理体系的结合审核

10.1 对业务连续性管理体系和其他管理体系实施结合审核时，通用或共性要求应满足本规则要求，审核报告中应清晰地体现 5.4 条要求，并易于识别。

10.2 结合审核的审核时间人日数，不得少于多个单独体系所需审核时间之和的 80%。

11 受理转换认证证书

11.1 本机构应当履行社会责任，严禁以牟利为目的受理不符合 GB/T30146-2013《业务连续性管理体系 要求》标准、不能有效执行业务连续性管理体系的组织申请认证证书的转换。

11.2 本机构受理组织申请转换本机构的认证证书，应当详细了解申请转换的原因，进行必要的现场审核。11.3 转换仅限于现行有效认证证书。被暂停或正在接受暂停、撤销处理的认证证书以及已失效的认证证书，不得接受转换申请。

11.4 被执法监管部门责令停业整顿或列入“黑名单”的（如 7.2 条第 3）项）、被发证的本机构撤销证书的（如 7.3 条），除非该组织进行彻底整改，导致暂停或撤销认证证书的情形已消除，否则不应受理其认证申请。

12 受理组织的申诉

12.1 获证组织对认证决定有异议时，本机构应接受获证组织申诉并及时进行处理，在 60 日内将处理结果形成书面通知送交获证组织。

12.2 书面通知应当告知获证组织，若认为本机构未遵守认证相关法律法规或本规则并导致自身合法权益受到严重侵害的，可以直接向所在地认证监管部门或国家认监委投诉，也可以向相关认可机构投诉。

13 认证记录的管理

13.1 本机构应当建立认证记录保持制度，记录认证活动全过程并妥善保存。

13.2 记录应当真实准确以证实认证活动得到有效实施。记录资料应当使用中文，保存时间至少应当与认证证书有效期一致。

13.3 以电子文档方式保存记录的，应采用不可编辑的电子文档格式。

14 费用

本规则规定的费用，按照《业务连续性管理体系认证收费规定》的要求执行。

15 其他

15.1 本规则内容提及 GB/T30146-2013《业务连续性管理体系 要求》标准时均指认证活动发生时该标准的有效版本。认证活动及认证证书中描述该标准号时，应采用当时有效版本的完整标准号。

15.2 本规则所提及的各类证明文件的复印件应是在原件上复印的。

15.3 本机构可采取必要措施帮助组织开展业务连续性管理体系及相关技术标准的宣贯培训，促使组织的全体员工正确理解和执行业务连续性管理体系标准，但不得针对特定的组织提供具体的解决方案。

注：

1、有效人数包括认证范围内涉及的所有全职人员（含每个班次的人员）。审核时将在场的非固定人员（季节性人员、临时人员和分包商人员）和兼职人员也应包括在有效人数内。

2、对非固定人员（包括季节性人员、临时人员和分包商人员）和兼职人员的有效人数核定，可根据其实际工作小时数予以适当减少或换算成等效的全职人员数。

3、申请组织正常工作期内（如轮班制组织）安排的审核时间可以计入有效的业务连续性管理体系认证审核时间，但往返多审核场所之间所花费的时间不计入有效的业务连续性管理体系认证审核时间。