中华人民共和国国家标准
GB/T 35770—2022/ISO 37301:2021
代替GB/T35770—2017
合规管理体系 要求及使用指南Compliance management systems—Requirements with guidance for use
(ISO 37301:2021,IDT)
2022-10-12实施2022-10-12发布
国家市场监督管理总局发布
国家标准化管理委员会
GB/T 35770—2022/ISO 37301:2021
合规管理体系 要求及使用指南
1 范围
本文件规定了组织建立、开发、实施、评价、维护和改进有效的合规管理体系的要求，并提供了指南。本文件适用于所有类型的组织，不论其类型、规模、性质，也不论其是公共的、私营的或非营利性的。如果组织内没有设立独立的治理机构，则本文件中规定的所有关于治理机构的要求都适用于最高管理者。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。3.1
组织 organization
为实现目标（3.6），由职责、权限和相互关系构成自身功能的一个人或一组人。
注1∶组织的概念包括但不限于个体经营者、公司、集团公司、商行，全事业单位、行政机构、合伙企业、慈善机构或研
究机构，或上述组织的部分或组合，无论是否具有法人资格，公有或私有。
注2∶如果组织是大型实体的某个组成部分，那么，术语"组织"仅指在合规管理体系（3.4）范围内的这个组成部分。3.2
相关方 interested party（优先术语）利益相关方stakeholder（许用术语）
能够影响决策或活动、受决策或活动影响或自认为受决策或活动影响的个人或组织（3.1）。3.3
最高管理者 top management
在最高层指挥和控制组织（3.1）的一个人或一组人。注1∶最高管理者有权在组织内部授权和提供资源。
注2∶如果管理体系（3.4）的范围仅覆盖组织的某个组成部分，那么最高管理者是指挥和控制该部分的一个人或一
组人。
注3∶本文件中，“最高管理者”指最高级别的执行管理层。3.4
管理体系 management system
组织（3.1）为确立方针（3.5）和目标（3.6）以及实现这些目标的过程（3.8）所形成的相互关联或相互作用的一组要件。
注1∶一个管理体系可能针对一个或几个主题。
注2∶管理体系要件包括组织的结构、岗位和职责、策划和运行。
GB/T 35770—2022/ISO 37301:2021
3.5
方针 policy
由最高管理者（3.3）正式表述的组织（3.1）的意图和方向。注∶方针也可能由组织的治理机构（3.21）正式表述。3.6
目标 objective 要实现的结果。
注1∶目标可能是战略的、战术的或运行的。
注2∶目标可能涉及不同的主题（如财务、健康和安全、环境）。它们可能存在于不同层面，诸如组织整体层面或项
目、产品、服务或过程（3.8）层面。
注3目标能够用其他方式表述，如预期的结果、宗旨、运行准则，合规（3.26）目标或使用其他有类似含义的词（如
终点或指标）。
注4∶在合规管理体系（3.4）中，组织（3.1）设定的合规目标与合规方针（3.5）保持一致，以实现特定的结果。3.7
风险 risk
不确定性对目标（3.6）的影响。
注1∶影响是对预期的偏离——正面的或负面的。
注2∶不确定性是一种状态，是指对某个事件、事件的后果或可能性缺乏甚至部分缺乏相关信息、理解或知识。注3通常，风险以潜在事件（见1SO Guide73的定义）和后果（见ISO Guide73的定义）或二者的组合来描述其
特性。
注4∶通常，风险以某个事件的后果（包括情况的变化）及其发生的可能性（见150 Guide73的定义）的组合来表述。3.8
过程 process
使用或转化输入以实现结果的一组相互关联或相互作用的活动。注∶某个过程的结果是称为输出，还是称为产品或服务，取决于相关语境。3.9
能力 competence
应用知识和技能实现预期结果的本领。3.10
文件化信息 documented information 组织（3.1）需要控制和维护的信息及其载体。注1∶文件化信息能够以任何形式和载体存在，且来源不限。注2∶文件化信息可能涉及∶
————管理体系（3.4），包括相关过程（3.8）；————为组织运行而创建的信息（文件）；————实现的结果的证据（记录）。3.11
绩效 performance 可测量的结果。
注1∶绩效可能涉及定量的或定性的结果。
注2∶绩效可能与活动、过程（3.8）、产品、服务、体系或组织（3.1）的管理有关。3.12
持续改进 continual improvement 提高绩效（3.11）的循环活动。2
GB/T 35770—2022/ISO 37301:2021
3.13
有效性 effectiveness
完成策划的活动和实现策划的结果的程度。3.14
要求/需求 requirement
规定的、不言而喻的或有义务履行的需要或期望。
注1∶不言而喻的或有义务履行的需要或期望是指需求。其中，“不言而喻”是指组织（3.1）和相关方（3.2）的惯例或
一般做法，不言而喻的儒要或期望是不用说就明白的。
注2∶规定的需要或期望是指要求，也就是符合GB/T1.1—2020中定义的要求，即表达声明符合该文件需要满足的
客观可证实的准则。
注3∶规定的需要或期望是指要求，例如文件化信息（3.10）中。3.15
符合 conformity 满足要求（3.14）。3.16
不符合 nonconformity 未满足要求（3.14）。
注∶不符合不一定是不合规（3.27）。3.17
纠正措施 corrective action
为了消除不符合（3.16）的原因并预防再次发生所采取的措施。3.18
审核 audit
获取审核证据并对其进行客观评价，以确定审核准则满足程度所进行的系统的、独立的过程（3.8）。注1∶审核可能为内部（第一方）审核或外部【第二方或第三方（3.30）】审核，也可能为多体系审核（合并两个或多个
主题）。
注2∶内部审核由组织（3.1）自行实施或代表组织的外部机构实施。注3∶"审核证据"和"审核准则"的定义见ISO19011。
注4∶独立性能通过对正在被审核的活动免于承担责任或无偏见和利益冲突来证实。3.19
测量 measurement 确定数值的过程（3.8）。3.20
监视 monitoring
确定体系、过程（3.8）或活动的状态。注∶确定状态可能需要检查、监督或严格观察。3.21
治理机构 governing body
对组织（3.1）的活动、治理、方针（3.5）负有最终职责和权限的一个人或一组人，最高管理者（3.3）向其报告并对其负责。
注1∶并不是所有的组织，尤其是小型组织，都会有一个独立于最高管理者的治理机构。注2∶治理机构可能包括但不限于董事会、董事会委员会、监事会或受托人。