琼中县CMMI认证百科要求产品的真实面貌,远比文字描述来得丰富和生动。点击观看我们的视频,让产品自己为您讲述它的故事。


以下是:琼中县CMMI认证百科要求的图文介绍

我们坚持以优质产品为理念,坚持以产品品质为先,致力为市场和客户提供优质 海南三亚ISO9000认证产品。客户满意是我们的追求,实体厂家,现货供应,加工定制。层层规格,库存充足,,售后无忧,24小时专注售后服务,为您解答疑惑,品质可靠现货当天发货。




IATF16949+ISO14001整合一化体系认证的好处? IATF16949 (汽车 供应链 品质标准,QMS与 ISO 14001 ( 环境管理体系 标准,EMS) 与) 已渐渐成为供货商需要符合的两大主要标准,不少汽车制造商及主要的 线供应商,如福特、戴姆勒克莱斯勒和Visteon, 均已将环境管理体系 要求加进他们的客户特定要求之中。 究竟这两套标准有没有重叠的地方呢?如有的话,又是否可以将他们共通的部分组合为一个体系,而不是分别推行两个独立的体系去处理环境管理和品质管理 呢? 其实,只要通过策略性的规划和协调,加上适当的组织架构,机构是可以把 品质管理 体系和 环境管理体系 组合,从而资源利用效率。本文会就ISO 14001:2004和IATF16949:2016的主要共通处进行分析,同时找到推行综合管理体系共同处的机会。 到底在什么地方可以找到 综合管理体系 的机会?其实几乎在所有的重要条文中都能找到两个体系标准的共通处。这里通过比较ISO 14001:2004和IATF6949:2016的相关条文,举例了主要的可组合领域。 文件管理TIATF16949的4.2.3条和ISO 14001的4.4.4.c条 两套标准均要求要有体系来管理所有用来阐明政策、程序和方法的文件,而TS 的要求已完全将ISO 14001的要求包含在内,即在TS的体系内推行ISO 14001文件管理,也会符合ISO 14001的要求。 要注意的地方,是核准这两套文件的负责人或许会不相同,但两套标准都允许机构自行决定核准人。对核准 质量管理 体统和环境管理体系文件并不要求一定是同一个人。 记录管理TIATF16949的4.2.4.1条和ISO 14001的4.5.4条 两套标准都要求将记录标识和保存。虽然两套体系的记录显然会不同,但却可共享一套方法和程序去阐明如何推行记录管理。 信息传递 IATF16949的5.1 及5.5.3条和ISO 14001的4.4.3条 两者也强调将客户要求、法规要求、品质政策和环境政策在内部和外部进行有效的沟通。其实只要通过协调,便可利用相同的渠道或媒体,将环境及品质管理 体系的信息传送出去。现实情况是,对普通的公司来讲,可用的沟通渠道就只有有限的几种。很多公司试着通过管理评审、创办公司刊物、小组会议等方式来贯彻标准中对信息传递的要求。但经常会出现一种无序状态,如明明一份刊物已经足够传递信息,还会有第二份刊物的出台。 目的、目标、方案、监察及测量IATF16949的5.1.1、5.4.1条和ISO 14001的4.4.3及4.5.1条 监控及测量品质管理体系和环境管理体系运作绩效的指标虽有分别,但也可共享一套体系及流程将绩效信息向 管理层和其它有关人士或组织汇报。 规划IATF16949的5.4.2条和ISO 14001的4.3条 品质管理体系和环境管理体系的目的,都是将会对机构造成影响的挑战识别出来;同时妥善处理任何体系上的变动,使另一体系不致受影响。如设立综合管理体系,评估及推行变动时便可同时考虑到对品质管理体系和环境管理体系的潜在影响。 管理评审IATF16949的5.6.1条和ISO 14001的4.6条 两套标准都确定了介定管理评审流程输入及输出的资料的必要性。虽然输入及输出的资料会有不同,但方法却基本上没有分别。此外,若把两个独立的管理评审组合为一,而评审报告也包含对品质管理体系和环境管理体系的成效评估,便可协助企业同时符合营运目的和客户的要求。 能力、培训及意识 TS 16949的6.2.2条和ISO 14001的4.4.2条 两套标准都提出了对员工能力的要求,都希望有受过培训的人员来胜任各自的工作要求。尽管两套标准的条款文字表述有所不同,但定义资格认定和胜任要求、确保能力、评估有效性和持续培训等方面所采用的方法,实质都是相同的。 内部审核TS 16949的8.2.2条和ISO 14001的4.5.5条 对两套体系用同样的内部审核体系进行审核是组合体系中省时有效的领域之一。 虽然内部审核员的要求资格有分别,但内部审核的目的却相同,所以只要在流程中找出TS 和ISO 14001的共通要求,便可共享一个内部审核体系,也只需执行一次内部审核,便能同时符合两套标准的要求,主要可从如下几大问题着手: 这个过程的目的,目标,对象是什么?实现这些目的应该如何做? 谁是客户、相关方和政府机构?他们的要求是什么? 有没有和这个过程相关的环境要素、影响和程序? 你在这个过程中的角色、职责是什么? 如何测量、监控和跟踪这个过程? 你曾经接受过哪些培训?你清楚的了解这些要求吗?遇到环境相关的突发事件是怎么处理的? 这个过程是否有相关的文件和记录要求? 建议改进的过程是什么?你是否有参与到这个过程中? 方针是什么?为完成方针,做了什么? 是如何汇报或记录产品和环境的不符合项的? TS 16949对环境方面的相关要求 除了以上可以在两套体系中找到对应的条文进行组合之外,ISO/TS 16949:2002的部分条文也涵盖了环境管理体系的要求在内: 6.4.1条 组织必须考虑产品和员工潜在风险小化的方法,特别是在设计和开发过程和制造过程的活动中。 7.2.1(C)条 注2和3说明了在循环、考虑环境影响、政府、和环境适用于材料的获得、存储、搬运 、和处理。 7.3.2.1条 考虑在车辆报废等方面的环境问题,组织必须对产品设计输入要求进行识别、形成文件并进行评审。在环境管理体系相关条款中的顾客特殊要求,和ISO 14001 4.3.2条的"其他"要求一致,而用"其他"要求评估符合性与ISO 14001中的4.5.2条一致。 7.3.2.2条 这一条包含了环境管理在制造过程设计活动需要考虑的方面。 7.4.1.1条 这一条要求所有采购的产品或材料,均必须满足使用的法规要求,在ISO 14001的第4.4.6(C)条有所提及。当与供方存在合并、兼并或从属关系时,组织应该验证供方质量管理 体系的延续性和有效性。 效率节约成本 由此可见,把品质管理体系和环境管理体系组合起来的机会可说是很多;至于能否成功推行,关键却在于组织的管理架构和汇报体系。很多组织认为环境管理体系的功能促使组织实践符合法律、法规的承诺;而品质管理体系则针对客户产品和机构的运作,所以故意让品质管理体系和环境管理体系独立运作。 但退一步看,品质管理体系和环境管理体系却是互有关连、互相影响的,如果将它们组合起来,便可用一个宏观的方法来作决策,所作的决定亦能同时符合不同层面的要求,包括环境管理、品质管理、机构目标和客户要求等




质量管理体系的设计 质量管理体系策划的重点是提出质量管理体系的方案,也就是对质量管理体系进行设计 。设计质量的高低,在很大程度上决定了质量管理体系的运行结果。 (1)质量管理体系设计的原则 ①必须满足“要求”; ②必须符合组织的实际情况; ③要充分考虑利益、成本和风险; ④要尽量利用现有的资源; ⑤要使质量管理体系有广泛的适应性; ⑥要使设计过程成为一个“增值”的过程。 (2)质量管理体系设计的基本程序 ①深刻理解质量管理体系策划的输入 参与设计的人员特别是外聘的专家顾问,应通过学习、讨论、调查、研 究、访谈等多种 形式,、深刻地理解“要求”、“情况”、“利益、成本和风险”等策划的输入。 ②选择标准 1994版GB/T 19000 — ISO 9000族标准提供了三种质量保证模式。2000版将三种模式进 行了合并,但依然有GB/T 19001 — 2000和GB/T 19004 — 2000供组织选用。此外,还有QS 9000等专业性质量管理体系标准可供组织选择。 ③决定必要的删减 GB/T19001 — 2008规定:“当本标准的任何要求因组织及其产品的特点而不适用时, 可以考虑对其进行删减。”标准规定,删减只限于“产品实现”这一“板块”要素中的要素 或子要素。在设计时,对删减一定要慎重。 ④提出质量方针草案 质量方针是由 管理者制定的。策划人员可为 管理者提供质量方针草案,以供 其选择或参考。质量方针要根据组织的总方针、“要求”和“情况”等来制定。在策划中, 应由 管理者召开专门会议,对组织的发展战略和现状进行分析和反思,有针对性地提出 来。 ⑤提出质量目标草案 质量目标也是由 管理者制定的。策划人员可根据质量方针草案提 供质量目标方案 ,以供 管理者选择或参考。质量目标与质量方针保持一致。 ⑥确定质量职能 根据选择的标准(经过允许的删减)和组织的实际情况,确定质量职能,提出质量职能 的清单。 ⑧确定质量手册的框架结构 质量手册是规定组织质量管理体系的文件。质量管理体系策划至少要确定质量手册的框 架结构,也就是说,要确定其所包含的全部内容,包括质量管理体系的范围(要素和子要素 )。 ⑨确定所需的程序文件目录 GB/T19001 — 2000虽然只规定了必须建立的六个程序文件,但绝大多数组织所必需的 程序文件远不止于此。策划时,应根据组织的实际情况,确定所需的程序文件。凡那些对产 品、过程、体系有重大影响的过程或质量管理活动,都应当建立程序文件。 ⑦进行质量职能分配 这是质量管理体系策划中重要又困难的工作。质量职能分配不下去,下一步建立或 改进 质量管理体系的工作就无法开展。而要合理分配质量职能又相当困难,很可能涉及组织机构 和人员调配等多种问题。为使质量职能分配真正落到实处,必要时可以调整组织的组织机构 和相关人员。 ⑩编制质量管理体系策划方案 内容包括: a.为什么要建立或改进质量管理体系(主要阐述“要求”和“情况”); b.质量管理体系方案的概述(选择什么标准以及策划所遵循的原则); c.质量方针和质量目标草案; d.质量职能分配(可以将分配结果作为附件列在方案之中); e.质量手册框架(如果已编制了质量手册草案,可附在方案之后); f.程序文件目录; g.对质量管理体系方案的有关说明; 11对方案和计划进行评审和修改 方案和计划都应提交给质量管理体系策划领导小组进行评审, 管理者要亲自主持评审会 议。对评审中提出的意见和建议,合理的应当接纳,以对方案和计划进行修改;不合理的则 应做好解释工作;争执不下的,则由 管理者裁决认证。




《IATF16949:2016标准(中文)-完整版》由会员分享,可在线阅读,更多相关《IATF16949:2016标准(中文)-完整版(46页珍藏版)》请在人人文库网上搜索。 1、TECHNICALSPECIFICATION技术规范IATF16949版质量管理体系一一汽车生产件及相关服务件组织应用ISO9001:2015的特别要求Qualitymanagementsystems-ParticularrequirementsfortheapplicationofISO9001:2015forautomotiveproductionandrelevantservicepartorganizations参考号码IATF16949:2016北京豪尔思科企业管理咨询有限公司译HRSKY前言引言0.1总则0.2质量管理 2、原则0.3过程方法0.3.1总贝U0.3.2策划-实施-检查-改进循环0.3.3基于风险的思维0.4与其他管理体系标准的关系1.范围2.规范性引用文件3.术语和定义4.组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定质量管理体系范围4.4质量管理体系及其过程5.领导作用5.1领导作用和承诺5.1.1总贝U5.1.2以顾客为关注焦点5.2方针5.2.1质量方针的制定5.2.2质量方针的沟通5.3组织的角色、职责和权限6.策划6.1应对风险和机遇的措施6.2质量目标及其实现的策划6.3变更的策划7.支持7.1资源7.1.1总则7.1.2人员7.1.3基础设施7.1 3、.4过程运行环境7.1.5监视和测量资源7.1.5.1总则7.1.5.2测量溯源7.1.6组织的知识7.2能力7.3意识7.4沟通7.5形成文件的信息7.5.1总则7.5.2创建与更新7.5.3形成文件的信息的控制1HRSKY8.运行8.1运行策划和控制8.2产品和服务的要求8.2.1顾客沟通822与产品和服务的要求的确定823与产品和服务的要求的评审8.2.4产品和服务要求的更改8.3产品和服务的设计和开发8.3.1总贝U8.3.2设计和开发策划8.3.3设计和开发输入8.3.4设计和开发控制8.3.5设计和开发输出8.3.6设计和开发更改8.4外部提供过程、产品和服务的控制8. 4、4.1总则8.4.2控制类型和程度8.5生产和服务提供8.5.1生产和服务提供的控制8.5.2标识和可追溯性8.5.3顾客或外部供方的财产8.5.4防护8.5.5交付后的活动8.5.6更改控制8.6产品和服务的放行8.7不合格输出的控制9.绩效评价9.1监视、测量、分析和评价9.1.1总贝U9.1.2顾客满意9.1.3分析与评价9.2内部审核9.3管理评审9.3.1总贝U9.3.2管理评审输入9.3.3管理评审输出10.改进10.1总则10.2不合格和纠正措施10.3持续改进附录A(资料性附录)附录B(资料性附录)参考文献国际标准化组织(ISO)是由各国标准化团体(ISO成员团体) 5、组成的世界性的联合会。制定国际标准工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会确定的项目感兴趣,均有权参加该委员会的工作。与ISO保持联系的各国际组织(官方的或非官方的)也可参加有关工作。ISO与国际电工委员会(IEC)在电工技术标准化方面保持密切合作的关系。本标准依据ISO/IEC导则部分的程序进行制定及维护。应特别指出的是不同类型的ISO文件所需的批准准则不同。本标准草案是根据ISO/IEC导则第二部分的规则起草(见www.iso.org/directives)。标准中的某些内容有可能涉及一些权问题,对此应引起注意,ISO不负责识别任何这样的权问题。在制 6、定文件期间识别的权的细节将纳入介绍和(或)收到的ISO声明表中。(www.iso.org/directives/patents)本标准中使用的任何商标名称是为了方便用户参考,并不构成背书。关于ISO符合度评价的特定术语和表达解释,以及ISO遵循了技术性贸易壁垒(TBT)中的WTO原则的信息,参见URL:Forward-Supplementaryinformation。本标准由ISO/TC176质量管理和质量保证技术委员会质量体系SC2分委员会负责制定。ISO9001第五版取消并替代了第四版(ISO9001:2008)。新版本通过修订条款顺序,以及采用修订的质量管理原则”和 7、新理念进行了技术性修订。第五版标准也取消并代替了ISO9000:2008/cor1:20091号技术修改单。3HRSKY豪条乩科0.1总则采用质量管理体系是组织的一项战略性决策,能够帮助其提高整体绩效,为推动可持续发展奠定良好基础。组织根据本标准实施质量管理体系具有如下潜在益处:a)稳定地提供满足顾客要求以及适用的法律法规要求的产品和服务的能力;b)促成增强顾客满意的机会;c)应对与其运行环境和目标相关的风险和机遇;d)证实符合规定的质量管理体系要求的能力。内部和外部各方均可使用本标准。实施本标准并不意味着需要:统一不同质量管理体系的结构;形成与本标准条款结构相一致的文 8、件;在组织内使用本标准的特定术语。本标准规定的质量管理体系要求是对产品和服务要求的补充。本标准采用过程方法,该方法结合了PDCA(策划、实施、检查、处置)循环与基于风险的思维。过程方法能帮助组织策划其过程及其相互作用。PDCA循环使得组织确保对其过程进行适当管理,提供充足资源,确定改进机会并采取行动。基于风险的思维使得组织能确定可能导致其过程和质量管理体系偏离策划结果的各种因素,采取控制,限度地降低不利影响,并限度地利用出现的机遇(见附录A.4)。在日益复杂的动态环境中持续满足要求,并针对未来需求和期望采取适当行动,这无疑是组织面临的一项挑战。为了实现这一目标,组织可能会发 9、现,除了采取纠正和持续改进,还有必要采取各种形式的改进,比如变革突变、创新和重组。在本标准中使用如下助动词:应”表示要求;宜”表示建议;可”表示允许;能”表示一种可能性或能够。注”是理解和说明有关要求的指南。0.2质量管理原则本标准是在ISO9000所描述的质量管理原则基础上制定的。每项原则的介绍均包含其释义、该原则对组织的重要性的理论依据,应用该原则的主要收益示例,以及应用该原则时组织绩效的典型改进措施示例。质量管理原则包括:以顾客为关注焦点;领导作用;全员参与;过程方法;改进;基于事实的决策方法(另有翻译:循证决策);关系管理。0.3过程方法0.3.1总则本标准倡导在建立、实施质量管 10、理体系以及提高其有效性时采用过程方法,通过满足顾客要求增强顾客满意。采用过程方法所需满足的具体要求见4.4。在实现其预期结果的过程中,系统地理解和管理相互关联的过程有助于提高组织的有效性和效率。此种方法使组织能够对体系中相互关联和相互依赖的过程进行有效控制,以增强组织整体绩效。过程方法包括按照组织的质量方针和战略方向,对各过程及其相互作用,系统地进行规定和管理,从而实现预期结果。可通过采用PDCA循环(见032)以及基于风险的思维(见033)对过程和体系进行整体管理,从而有效利用机遇并防止发生非预期结果。在质量管理体系中应用过程方法能够:a)理解并持续满足要求;b)从增值的角度考 11、虑过程;c)实现有效的过程绩效;d)在评价数据和信息的基础上改进过程。单一过程各要素的相互作用如图1所示。每一过程均有特定的监视和测量检查点,以用于控制,这些检查点根据不同的风险有所不同。入柿此河过桂側:,冲:心钢慄方.林客孤肚迪啊半矛的対鴨用7时能帆蛉訓轮埔亡WE后续过程倒如内ar氐水帕关月的:|此图1单一过程要素示意图0.3.2策划-实施-检查-处置循环PDCA循环能够应用于所有过程以及作为整体的质量管理体系。本标准第循环中的应用如2所示。4章至第10章的内容在PDCA粤1桝隅就纨织朋具址境/C4休鑑的站产甜和腿铮相关力的走求和期望(4)5H£ 12、;RSKY豪条乩科#HRSKY豪条乩科注:括号中的数字表示本标准的章节。图2:本标准的基本结构适用PDCA循环示意图#HRSKY豪条乩科PDCA循环可以简要描述如下:策划:建立体系及其过程的目标、配置所需的资源,以实现与顾客要求和组织方针相一致的结果;实施:实施所做的策划;检查:根据方针、目标和要求对过程以及产品和服务进行监视和测量(适用时),并报告结果;处置:必要时,采取措施提高绩效。0.3.3基于风险的思想基于风险的思维(见附录A.4)对质量管理体系有效运行是至关重要的。本标准以前的版本已经隐含基于风险的思维的概念,例如,采取措施 13、潜在的不合格的原因;对发生的不合格问题进行分析,并采取适当措施防止其再次发生。为了满足本标准的要求,组织需策划和实施应对风险和利用机遇的措施。应对风险和利用机遇可为提高质量管理体系的有效性、实现改进结果以及防止不利影响奠定基础。机遇的出现可能意味着某种有利于实现预期结果的局面,例如,有利于组织吸引顾客、开发新产品和服务、减少浪费或提高生产率的一系列情形。利用机遇也可能需要考虑相关风险。风险是不确定性的影响,不确定性可能是正面的或负面的影响。风险的正面影响可能提供改进机遇,但并非所有的正面影响均可提供改进机遇。0.4与其它管理体系标准的关系本标准采用ISO制定的管理体系标准框架,以 14、提高与其他管理体系标准的兼容性(见附录A.1)。本标准使组织能够使用过程方法,并结合PDCA循环和基于风险的思维,将其质量管理体系要求与其他管理体系标准要求进行协调或整合。本标准与ISO9000和ISO9004的存在如下关系:ISO9000质量管理体系基础和术语为正确理解和实施本标准提供必要的基础;ISO9004追求组织的持续成功质量管理方法为组织选择超越本标准要求的质量管理方法提供指南。附录B提供了ISO/TC176制定的其它质量管理和质量管理体系标准的详细信息。本标准不包括对环境管理体系、职业管理体系或财务管理体系等其他管理体系的特定要求。在本标准的基础上,已经 15、制定若干行业特定要求的质量管理体系标准。其中的某些标准规定了质量管理体系的附加要求,而另一些标准则仅限于提供在特定行业应用本标准的指南。本标准的章节号与之前版本(ISO9001:2008)章节内容之间的对应关系见ISO/TC176/SC2(国际标准化组织/质量管理和质量保证/质量体系分委员会)的公开网站:www.iso.org/tc176/sc02/public。0.5本技术规范的目标本技术规范的目标是在供应链中建立持续改进,强调缺陷,减少变差和浪费的质量管理体系。本技术规范为汽车生产件和相关维修零件组织建立质量管理体系提供一个通用的方法。7HR姿丫质量管理体系一汽车生产件及相 16、关服务件组织应用ISO9001:2015的特别要求1范围本标准为下列组织规定了质量管理体系要求:a)需要证实其具有稳定地提供满足顾客要求和适用法律法规要求的产品和服务的能力;b)通过体系的有效应用,包括体系改进的过程,以及保证符合顾客要求和适用的法律法规要求,旨在增强顾客满意。本标准规定的所有要求是通用的,旨在适用于各种类型、不同规模及提供不同产品和服务的组织。注1:在本标准中,术语产品”或服务”仅适用于预期提供给顾客或顾客所要求的产品和服务。注2:法律法规要求可称为法定要求。本技术规范与ISO9001:2015相结合,规定了质量管理体系要求,用于汽车相关产品的设计和开发、生产 17、;相关时,也适用于安装和服务。本技术规范适用于组织进行顾客规定的生产件和/或维修零件制造的现场。支持职能,无论其在现场或在外部(如设计中心,公司总部及分销中心),由于它们对现场起支持性作用而构成现场审核的一部分,但不能单独获得本标准的认证。本技术规范可适用于整个汽车供应链。2规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本标准。凡是不注日期的引用文件,其版本(包括所有的修改单)适用于本标准。ISO9000:2015质量管理体系基础和术语3术语和定义ISO9000:2015术语和定义适用于本标准。3.1汽车行业的术语和定义本文件采用I 18、SO9000:2015和以下给出的术语和定义。3.1.1控制计划controlplan对控制产品所要求的系统和过程的形成文件的描述。3.1.2有设计责任的组织designresponsibleorganization有权建立新的产品规范,或对现有的产品规范进行更改的组织。注:本责任包括在顾客规定的应用范围内对设计性能的试验和验证。3.1.3防错errorproofing为防止不合格产品的制造而进行的产品和制造过程的设计和开发。3.1.4实验室laboratory进行检验、试验或校准的设施,其范围包括但不限于化学、金相、尺寸、物理、电性能或可靠性试验3.1.5实验室范 19、围laboratoryscope受控文件,包括:-实验室有资格进行的特定试验、评价和校准;-用来进行上述活动的设备清单;-进行上述活动的方法和标准清单。3.1.6制造manufacturing以下制作或加工过程:-生产材料;生产或维修零件;-装配;-热处理、焊接、喷漆、电镀和其他表面处理。3.1.7预见性维护predictivemaintenance基于过程数据,通过预测可能的失效模式以避免维护性问题的活动。3.1.8性维护preventivemaintenance为设备失效和生产的计划外中断的原因而策划的措施,作为制造过程设计的一项输出。3.1.9超额运费pr 20、emiumfreight在合同约定的交付之外发生的附加成本或费用。注:可因方法、数量、计划外或延迟交付等导致。3.1.10外部场所remotelocation支持现场且不存在生产过程的场所。3.1.11现场site发生增值的制造过程的场所。3.1.12特殊特性specialcharacteristic可能影响产品的性或法规符合性、配合、功能、性能或其后续过程的产品特性或制造过程参数。4组织环境4.1理解组织及其环境组织应确定与其目标和战略方向相关并影响其实现质量管理体系预期结果的各种外部和内部因素。组织应对这些内部和外部因素的相关信息进行监视和评审。注1:这些因素可以包 21、括需要考虑的正面和负面要素或条件;注2:通过考虑国际、、地区或当地的法律法规、技术、竞争、市场、文化、社会和经济因素,有助于理解外部环境。注3:考虑组织的价值观、文化、知识和绩效等相关因素,有助于理解内部环境。4.2理解相关方的需求和期望由于相关方对组织持续提供符合顾客要求和适用法律法规要求的产品和服务的能力产生影响或潜在影响,因此,组织应确定:a)与质量管理体系有关的相关方;b)这些相关方的要求。组织应对与这些相关方及其要求的相关信息进行监视和评审。4.2.1理解相关方的需求和期望-补充组织应对各相关方及其有关要求的评审结果在建立质量管理体系的年度绩效目标(内、外)时予以考虑。4. 22、3确定质量管理体系的范围组织应明确质量管理体系的边界和适用性,以确定其范围。在确定范围时,组织应考虑:a)各种内部和外部因素,见4.1;b)相关方的要求,见4.2;c)组织的产品和服务。对于本标准中适用于组织确定的质量管理体系范围的全部要求,组织应予以实施。组织的质量管理体系范围应作为形成文件的信息加以保持。该范围应描述所覆盖的产品和服务类型。若组织认为其质量管理体系的应用范围不适用本标准的某些要求,应说明理由。那些不适用于组织的质量管理体系要求,不能影响组织确保产品和服务合格以及增强顾客满意的能力或责任,否则不能声称符合本标准。4.3.1确定质量管理体系的范围-补充支持职能,无论 23、是现场或外部(如设计中心,公司总部和配送中心),都应包括在质量管理体系范围内。允许删减的章节仅限于8.3条款中关于产品设计开发的要求,过程设计不得删除,删除8.3产品设计开发的要求必须是合理的且保持文件化信息。4.3.2顾客特殊要求必须对顾客特殊要求进行评估和确定并包含在质量管理体系范围内。4.4质量管理体系及其过程4.4.1组织应按本标准的要求,建立、实施、保持和持续改进质量管理体系,包括所需过程及其相互作用。组织应确定质量管理体系所需的过程及其在整个组织中的应用,且应:a)确定这些过程所需的输入和预期的输出;b)确定这些过程的顺序和相互作用;c)确定和应用所需的准则和方法(包括监视 24、、测量和相关绩效指标),以确保这些过程的有效运行和有效控制;d)确定并确保获得这些过程所需的资源;e)规定与这些过程相关的职责和权限;f)按照6.1的要求确定风险和机遇;g)评价这些过程,实施所需的变更,以确保实现这些过程的预期结果;h)改进过程和质量管理体系。441.1产品和过程一致性组织有责任确保产品和过程的一致性,包括服务件及其外包,以达到所有的顾客、法律和监管要求(见第842.2)。4.4.1.1.1产品组织应为产品相关的产品和制造过程的管理形成文件化的过程,包括但不限于:a)识别法定和监管有关的产品要求;b)通知顾客上述要求;c)顾客要求的识别;d)设计FMEA的 25、特殊审批;e)识别产品特性;f)从产品生产和制造的角度识别和控制与相关的特性;g)特别批准的控制计划和过程FMEA;h)定义反应计划;i)定义职责,定义升级过程和信息流,包括管理层和顾客通知;j)有关人员参与产品相关程序的具体培训;k)产品或过程的变化,应在实施前予以批准,包括对产品性的潜在影响进行评估和产品更改;l)关于产品性的要求,包括顾客指定的来源;m)至少:在整个供应链的可追溯性;n)针对新产品介绍的经验教训。4.4.1.2外程组织选择将影响产品符合要求的任何过程外包,组织应对质量管理体系中任何这样的过程确定控制的类型和程度,并确保外程、产品和服务 26、符合要求(见8.4)。4.4.2必要时,组织应:a)保持形成文件的信息以支持过程运行;b)保留确认其过程按策划进行的形成文件的信息。5领导作用5.1领导作用和承诺5.1.1总贝U管理者应证实其对质量管理体系的领导作用和承诺,通过:a)对质量管理体系的有效性承担责任;b)确保制定质量管理体系的质量方针和质量目标,并与组织环境和战略方向相一致;c)确保质量管理体系要求融入组织的业务过程;d)促进使用过程方法和基于风险的思维;e)确保获得质量管理体系所需的资源;f)沟通有效的质量管理和符合质量管理体系要求的重要性;g)确保实现质量管理体系的预期结果;h)促使、指导和支持员工努力提高质量管理体 27、系的有效性;i)推动改进;j)支持其他管理者履行其相关领域的职责。11HR姿丫注:本标准使用的业务”一词可大致理解为涉及组织存在目的的核心活动,无论是公营、私营、盈利或非盈利组织。5.1.1.1企业责任组织应制定并实施员工行为规范的行为准则和道德方针(whistle-blowerpolicy”,目的是保证供应链的社会和环境绩效。5.1.1.2过程效率咼管理者应评审产品实现过程和支持过程以确保其有效性和效率。咼管理者的管理评审过程活动及结果应包括在管理评审中(见9.3)。5.1.1.3过程所有者管理者应确定过程所有者,并确定他们的职责,并确保他们有能力执行过程 28、。5.1.2以顾客为关注焦点管理者应证实其以顾客为关注焦点的领导作用和承诺,通过:a)确定、理解并持续满足顾客要求以及适用的法律法规要求;b)确定和应对影响产品和服务的符合性,以及增强顾客满意能力的风险和机遇;c)始终致力于增强顾客满意。5.2方针5.2.1质量方针的制定管理者应制定、实施和保持质量方针,质量方针应:a)适应组织的宗旨和环境并支持其战略方向;b)为制定质量目标提供框架;c)包括满足适用要求的承诺;d)包括持续改进质量管理体系的承诺。5.2.2质量方针的沟通质量方针应:a)作为形成文件的信息,可获得并保持;b)在组织内部得到沟通、理解和应用;c)适当时,可向有关相关方提供 29、。5.3组织的角色、职责和权限管理者应确保整个组织内相关角色的职责、权限得到分配、沟通和理解。管理者应分配职责和权限,以:a)确保质量管理体系符合本标准的要求;b)确保各过程获得其预期输出;c)报告质量管理体系的绩效及改进机会(见10.1),特别是向管理者报告;d)确保在整个组织推动以顾客为关注焦点;e)确保在策划和实施质量管理体系变更时保持其完整性。5.3.1组织的角色、职责和权限-补充管理者应指定人员,赋予其职责和权限,以确保顾客的要求得到体现,包括特殊特性的选择、制定质量目标和相关的培训、纠正和措施以及产品设计和开发。5.3.2产品要求符合性和纠正措施管理者 30、应确保:a)确保产品符合性要求的人员有权停止装运并停止生产,以纠正质量问题;b)应立即把不符合要求的产品或过程通报给负有纠正措施职责和权限的人员,确保不合格产品不处理运至顾客和所有潜在的不合格产品的识别与控制;c)保持这些问题和纠正措施的文件化证据并在要求时可以提供(见第8.7);d)所有班次的生产作业人员都配备了主管人员,或委派职责,确保产品符合要求;e)保留授权人员的文件化信息。6策划6.1应对风险和机遇的措施6.1.1策划质量管理体系时,组织应考虑4.1所描述的因素和4.2所提及的要求,确定需要应对的风险和机遇,以便:a)确保质量管理体系能够实现其期望结果;b)增强有利影响;c)避 31、免或减少不利影响;d)实现改进。6.1.2组织应策划:a)应对这些风险和机遇的措施;b)如何:1)在质量管理体系过程中整合并实施这些措施(见4.4);2)评价这些措施的有效性。应对风险和机遇的措施应与其对于产品和服务符合性的潜在影响相适应。注1:应对风险可包括规避风险,为寻求机遇而承担风险、风险源、改变风险的可能性和后果、分担风险、或通过明智决策延缓风险。注2:机遇可能会导致采用新实践、推出新产品、开辟新市场、赢得新客户、建立合作伙伴关系、利用新技术以及能够解决组织或其顾客需求的其它有利的可能性。6.1.2.1风险分析组织应持续的进行风险分析,至少包括:潜在的和实际的反馈、现场返回及 32、修理、投诉、报废以及任何返工。注:风险分析应根据对顾客的影响严重度、频度和探测度。6.1.2.2应急计划组织应:a)识别和评估所有生产过程和基础设施设备的内部和外部风险,确保生产的输出,确保顾客的要求得到满足;b)根据风险和对顾客的影响制定应急计划;c)制定应急计划,以确保在下列任何事件发生时供应的连续性:关键设备故障(参见第8.5.6.1)、供应链中断、自然灾害、公共设施中断、劳动力短缺、基础设施的破坏;d)应急计划应包括任何影响顾客的操作的程度和持续时间的顾客通知;e)定期测试应急计划的有效性,包括模拟;f)采用多方论证方法(包括管理者)对应急计划进行评审(至少每年)与更新;g) 33、保留文件化信息,描述应急计划的修订和授权修订人。6.2质量目标及其实现的策划6.2.1组织应对质量管理体系所需的相关职能、层次和过程设定质量目标。质量目标应:a)与质量方针保持一致;b)可测量;c)考虑到适用的要求;d)与提供合格产品和服务以及增强顾客满意相关;e)予以监视;f)得到沟通;g)适时更新。组织应保留有关质量目标的形成文件的信息。6.2.2策划如何实现质量目标时,组织应确定:a)采取的措施;b)需要的资源;c)由谁负责;d)何时完成;e)如何评价结果。6.2.2.1质量目标及其实现的策划-补充管理者应确保对顾客特殊要求所需的质量目标在整个组织中相关职能、过程和层次上得到定义、 34、制定和保持。6.3变更的策划当组织确定需要对质量管理体系进行变更时,此种变更应经策划并系统地实施(见4.4)。组织应考虑到:a)变更的目的及其潜在后果;b)质量管理体系的完整性;c)资源的可获得性;d)职责和权限的分配或再分配。7支持7.1资源7.1.1总则组织应确定并提供为建立、实施、保持和持续改进质量管理体系所需的资源。组织应考虑:a)现有内部资源的能力和约束;b)需要从外部供方获得的资源。7.1.2人员组织应确定并提供所需要的人员,以有效实施质量管理体系并运行和控制其过程。7.1.3基础设施组织应确定、提供并维护过程运行所需的基础设施,以获得合格产品和服务。注:基础设施可包括:a)建 35、筑物和相关设施;b)设备,包括硬件和软件;c)运输资源;d)信息和通讯技术。7.131工厂、设施和设备计划组织应采用多方论证方法,包括风险识别和风险缓解方法,用于开发工厂、设施和设备计划。在设计工厂布局时,组织应:a)优化材料的转移、材料处理,对场地空间的增值使用,以及对不合格品的控制;b)便于材料的同步流动,如适用。方法的制定和实施,以评估制造的可行性。这些方法也同样适用于评估现有业务的有效性。组织应保持过程的有效性,包括定期重新评估,以包括过程中批准的任何变更见第8.3.4.4),控制计划的维护(见第8.5.1.1),和作业准备验证(见第8.5.1.3。注1:这些要求应包括精益生产 36、原则的应用。评估制造的可行性,为现有业务和新设施应在管理评审的输入(见9.3。注2:本规定应适用于供应商活动现场。7.1.4过程运行环境组织应确定、提供并维护过程运行所需的环境,以获得合格产品和服务。注:适当的过程运行的环境可以是人文因素和物理因素的组合,例如:a)社会因素(如无歧视,和谐稳定,无对抗);b)心理因素(如舒缓心理压力、过度疲劳、保护个人情感);c)物理因素(如温度、热量、湿度、照明、空气流通、卫生、噪音等)。由于所提供的产品和服务不同,这些因素可能存在显著差异。注:在人员性方面,进行ISO45001认证,可以用来证明组织符合这一要求,但不是强制性的。7.141过程 37、运行环境-补充组织应保持其在一个清洁、维护和有序的状态,以符合产品和制造过程的要求。7.1.5监视和测量资源7.1.5.1总则当利用监视或测量活动验证产品和服务是否符合要求时,组织应确定并提供确保结果有效和可靠所需的资源。组织应确保所提供的资源:a)适合特定类型的监视和测量活动;b)得到适当的维护,以确保持续适合其用途。组织应保留作为监视和测量资源适合其用途的证据的形成文件的信息。7.1.5.1.1测量系统分析应进行统计研究,分析每种测量和测试设备系统的结果中出现的变差。本要求适用于控制计划中引用的测量系统。分析方法和验收标准应符合测量系统分析参考手册(见附录D。其他分析方法和接受标准也 38、可以使用,如果顾客认可。记录应保持顾客接受替代方法(见9.1.1.1)。7.1.5.2测量溯源当要求测量溯源时,或组织认为测量溯源是信任测量结果有效的前提时,则测量设备应:a)对照能溯源到国际或标准的测量标准,按照规定的时间间隔或在使用前进行校准和(或)检定(验证)。当不存在上述标准时,应保留作为校准或检定(验证)依据的形成文件的信息;b)予以标识,以确定其校准状态;c)予以保护,防止可能使校准状态和随后的测量结果失效的调整、损坏或劣化。当发现测量设备不符合其预期用途时,组织应确定以往测量结果的有效性是否受到不利影响,必要时采取适当的措施。7.1.5.2.1校准/验证记录对所有量具 39、、测量和试验设备(包括员工和顾客所有的设备)都应提供校准/验证活动的记录,用以提供符合确定的产品要求的证据。记录应包括:a)工程变更引发的修订;b)在校准/验证时获得的任何超出规范的读数;c)超出规范条件影响的评估;d)校准/验证后的符合规范的说明;e)通知顾客,如怀疑产品或材料已发运;f)当仪器在计划检定或校准过程中或在使用时发现有缺陷,对该仪器(包括相关标准的上一次校准日期和下一次校准报告)所获得的先前测量结果的有效性记录信息将保留;g)为产品和过程控制使用的所有软件的维护活动的记录应保留。7.1.5.3实验室要求7.1.5.3.1内部实验室组织的内部实验室设施应有一个确定的范围,包括进 40、行要求的检验、试验和校准服务的能力。实验室范围应包括在质量管理体系文件中。实验室应至少规定并实施以下方面的技术要求:a)实验室程序的充分性;b)实验室人员的能力;c)产品试验;d)正确的进行这些服务,可溯源到相关的过程标准(如ASTM、EN)的能力。e)相关记录的评审。当没有或国际标准存在时,组织应定义一种方法来验证测量系统能力。注:按ISO/IEC17025进行的认可可以用于证明组织内部实验室符合这一要求,但不是强制的。7.1.5.3.2外部实验室组织用于检验、试验或校准服务的外部/商业/独立的实验室设施应有一个确定的范围,包括进行要求的检验、试验或校准服务的能力,并且实验室 41、依据ISO/IEC17025或等效文件获得检验、试验或校准服务认可(认证),或者,应有证据证明外部实验室对顾客是可接受的。注:顾客的评定或顾客批准的第二方评定等方式可作为证明实验室满足ISO/IEC17025或等效文件意图的证据。第二方评定实验室的方法可能需要顾客认可。对于某一设备,当没有具有资格的实验室时,校准服务可以由原始设备制造商进行。这种情况下,组织应当确保上述7.1.5.3.1的要求已得到满足。7.1.6组织的知识组织应确定运行过程所需的知识,以获得合格产品和服务。这些知识应予以保持,并在需要范围内可得到。为应对不断变化的需求和发展趋势,组织应考虑现有的知识,确定如何获得 42、更多必要的知识,并进行更新。注1:组织的知识是从其经验中获得的特定知识,是实现组织目标所使用的共享信息。注2:组织的知识可以基于:a)内部来源(例如知识产权、从经历获得的知识、从失败和成功项目得到的经验教训;得到和分享未形成文件的知识和经验,过程、产品和服务的改进结果);b)外部来源(例如标准、学术交流、专业会议,从顾客或外部供方收集的知识)。7.2能力组织应:a)确定其控制范围内的人员所所需具备的能力,这些人员从事的工作影响质量管理体系的绩效和有效性;b)基于适当的教育、培训或经验,确保这些人员具备所需的能力;c)适用时,采取措施获得所需的能力,并评价措施的有效性;d)保留适当的形成文 43、件的信息,作为人员能力的证据。注:适当的措施可包括对在职人员进行培训、辅导或重新分配工作,或者招聘具备能力的人员等。7.2.1培训组织应建立并保持文件化过程,识别培训需求及意识(见7.3.1)并使所有从事影响产品要求符合性的人员具备能力。承担特定任务的人员应具备要求的资格,在满足顾客要求方面给予特别的关注。7.2.1.1在职培训对影响产品要求符合性的岗位,组织应对新上岗或调整工作的人员提供岗位培训,包括合同工和代理工作人员。应将不符合顾客要求带来的后果告知对质量有影响的工作人员。7.3意识组织应确保其控制范围内的相关工作人员知晓:a)质量方针;b)相关的质量目标;c)他们对质量管理体系有 44、效性的贡献,包括改进质量绩效的益处;d)不符合质量管理体系要求的后果。7.3.1意识-补充组织应确保所有员工都知道他们对产品质量的影响,以及他们在实现、维护和提高质量方面的活动的重要性,包括顾客特殊要求和所涉及的不合格产品的顾客的风险。组织应评价其人员在多大程度上了解其活动的相关性和重要性,以及如何为实现质量目标作出贡献。7.3.2员工激励和授权组织应有一个激励员工实现质量目标、开展持续改进和建立促进创新环境的过程。该过程应包括在整个组织内提高质量和技术的意识。7.4沟通组织应确定与质量管理相关的内部和外部沟通的需求,包括:a)沟通什么;b)沟通时机;c)与谁沟通;d)如何沟通;e)由谁 45、负责。7.5形成文件的信息7.5.1总则组织的质量管理体系应包括:a)本标准要求的形成文件的信息;b)组织确定的为确保质量管理体系有效性所需的形成文件的信息。注:对于不同组织,质量管理体系形成文件的信息的多少与详略成度可以不同,取决于:组织的规模,以及活动、过程、产品和服务的类型;过程的复杂程度及其相互作用;人员的能力。7.5.1.1质量管理体系文件组织的质量管理体系应形成文件并包括:a)质量手册,可以是系列文件;b)过程及其相互作用;c)形成文件的程序和记录;d)组织确定的为确保其过程有效策划、运行和控制所需的文件,包括记录。7.5.1.2质量手册应建立和控制文件化的质量手册,可以是系列文件 46、,以确定组织按策划的安排,符合第7.5条的要求。手册的格式和结构由组织自行决定,取决于组织的规模、文化和复杂性。质量手册应包括以下:a)质量管理体系的范围,包括任何删减的细节与合理性;b)为质量管理体系建立的文件化过程,或引用;c)质量管理体系的过程之间的相互作用的描述,包括输入和输出。7.5.2创建与更新在创建和更新形成文件的信息时,组织应确保适当的:a)标识和说明(如:标题、日期、作者、索引编号等);b)格式(如:语言、软件版本、图示)和媒介(如:纸质、电子格式);c)评审和批准,以确保适宜性和充分性。7.5.3形成文件的信息的控制7.5.3.1组织应控制质量管理体系和本标准所要求的形成文 47、件的信息,以确保:a)无论何时何处需要这些信息,均可获得并适用;b)予以妥善保护(如防止泄密、不当使用或不完整)。7.532为控制形成文件的信息,适用时,组织应关注下列活动:a)分发、访问、检索和使用;b)存储和保护,包括保持可读性;c)变更的控制(比如版本控制);d)保留和处置。对确定策划和运行质量管理体系所必需的来自外部的原始的形成文件的信息,组织应进行适当识别和控制。应对所保存的作为符合性证据的形成文件的信息予以保护,防止非预期的更改。注:形成文件的信息的访问”可能意味着仅允许查阅,或者意味着允许查阅并授权修改。7.5.3.2.1记录的保存组织应确定、文件化和实施记录保存过程。记录的 48、控制应符合法律、法规、组织和顾客的要求。生产零件批准、工装记录,产品先期质量策划(或同等)记录、采购订单等及其修改应保持的时间长度,即零件(或零件族)生产和服务的在用时间,再加上一个日历年,除非顾客或监管机构另行规定。注:当发生被诉讼、官方调研、审核时,顾客可能要求质量记录的保存时间比要求延长,当需要延长时,顾客将通知组织。7.5.3.2.2工程规范组织应有一个过程,以保证按顾客要求的时间安排及时评审、发放和实施所有顾客工程标准/规范及其更改。及时评审应当尽快进行,与顾客达成一致。17HR姿丫工程标准/规范的变更的结果,产品的设计变更在第836要求,当工程标准/规范的变更的结果,在产 49、品实现过程的变化参考第8.5.6和8.5.6.1的要求。组织应保留每一更改在生产中实施的日期的记录。执行应包括更新文件。8运行8.1运行策划和控制组织应策划、实施和控制满足产品和服务要求所需的过程(见4.4),并实施第6章所确定的措施,通过:a)确定产品和服务的要求;b)建立以下内容的准则:1)过程;2)产品和服务的接收;c)确定符合产品和服务要求所需的资源;d)按照准则实施过程控制;e)在需要的范围和程度上,确定并保持和保留形成文件的信息:1)证实过程已经按策划进行;2)证明产品和服务符合要求。策划的输出应适合组织的运行需要。组织应控制策划的更改,评审非预期变更的结果,必要时,采取措施消 50、除不利影响。组织应确保外程得到控制(见8.4)。8.1运行策划和控制-补充在进行产品实现策划时,应包括以下内容:a)顾客产品要求和技术规范;b)物流要求;c)制造可行性;d)项目计划(参阅第8.3.2);e)接收准则。8.1c)所识别的资源是指针对产品和产品接收准则要求的验证、确认、监视、测量、检验和试验活动。(见附录D)8.2产品和服务的要求8.2.1顾客沟通与顾客沟通的内容应包括:a)提供的产品和服务的有关信息;b)处理问询、合同或订单,包括变更;c)获取有关产品和服务的顾客反馈,包括顾客抱怨;d)处置或控制顾客财产;e)关系重大时,制定特定的应急措施。8.2.1.1顾客沟通-补 51、充书面或者口头交流应采用与顾客商定的语言。组织应具备沟通必要信息的能力,包括顾客指定的采用计算机语言和格式的数据(如,计算机辅助设计。电子数据交换)。8.2.1.2顾客沟通-培训组织应确保负责完成顾客沟通的人员,能完成沟通要求相关的顾客指定的培训,包括但不仅限于产能报告、纠正措施报告、物流信息以及顾客门户平台。8.2.2产品和服务要求的确定在确定向顾客提供的产品和服务要求时,组织应确保:a)产品和服务的要求得到规定,包括:1)适用的法律法规要求;2)组织认为的必要要求;b)对其所提供产品和服务,能够满足组织声称的要求。8.2.2.1产品和服务要求的确定-补充这些要求应包括已识别的回收利用、 52、环境影响及特性,作为组织的产品及制造过程的知识。要符合8.2.2,应包括但不限于以下:与材料获取、储存、搬运、回收、销毁、处置有关的所有适用的政府、、环境规定。8.2.3产品和服务要求的评审8.2.3.1组织应确保其有能力满足向顾客提供的产品和服务的要求。在承诺向顾客提供产品和服务之前,组织应对以下各项要求进行评审:a)顾客规定的要求,包括对交付及交付后活动的要求;b)顾客虽然没有明示,但规定的用途或已知的预期用途所必需的要求;c)组织规定的要求;d)适用产品和服务的法律法规要求;e)与先前表述存在差异的合同或订单的要求。若与先前合同或订单的要求存在差异,组织应确保有关事项已得到解决。 53、若顾客没有提供形成文件的要求,组织在接受顾客要求前应对顾客要求进行确认。注:在某些情况下,如网上销售,对每一个订单进行正式的评审可能是不实际的,作为替代的方法,可对有关的产品信息,如产品目录内容进行评审。8.2.3.1.1产品和服务要求的评审-补充对8.2.3.1中正式评审(见上面的注)要求的放弃应得到顾客书面授权。8.2.3.1.2顾客指定的特殊特性组织应在特殊特性的指定、批准文件及控制方面符合顾客要求。8.2.3.1.3组织制造可行性组织应采用跨职能小组的方法来评估、确认和文件化所提出产品的制造可行性,包括风险分析和能力分析。这些方法也同样适用于评估现有运行的有效性。优先风险和相关的缓 54、解措施应被识别并传达给顾客。8.2.3.2适用时,组织应保留下列形成文件的信息:a)评审结果;b)针对产品和服务的新要求。8.2.4产品和服务要求的更改若产品和服务的要求发生变更,组织应确保相关形成文件的信息得到修改,并确保相关人员知道已更改的要求。8.3产品和服务的设计和开发8.3.1总则组织应建立、实施和保持设计和开发过程,以确保后续的产品和服务的提供。8.3.1.1产品和服务的设计和开发-补充8.3.1的要求应应用于产品和制造过程的设计和开发并应聚焦于防错而不是探测。组织应将设计和开发过程文件化。8.3.2设计和开发策划在确定设计和开发的各个阶段及其控制时,组织应考虑:a)设计和开发 55、活动的性质、持续时间和复杂程度;b)所要求的过程阶段,包括适用的设计和开发评审;c)所要求的设计和开发验证和确认活动;d)设计和开发过程涉及的职责与权限;e)产品和服务的设计和开发所需的内部和外部资源;f)设计和开发过程参与人员之间接口的控制需求;g)顾客和使用者参与设计和开发过程中的需求;h)后续产品和服务提供的要求;i)顾客和其他相关方期望的设计和开发过程的控制水平;j)证实已经满足设计和开发要求所需的形成文件的信息。8.321多方论证方法组织应在所有设计阶段,使用多方论证方法,即跨职能团队,为产品实现做好准备,包括:a)项目管理;b)制造可行性评估的开发(见第8.2.3.1.3);c)协 56、同设计活动,如采用替代设计的比较研究;d)开发、定型、监视和控制产品以及对产品和生产过程的特殊特性的控制战略;e)设计FMEA的开发和评审,包括采取降低潜在风险的措施;f)过程FMEA、过程流程图、控制计划和标准作业指导书的开发和评审(特殊特性采用特定的标识在这些文件中始终得到识别。)。(见附录D)注:多方论证方法通常包括组织的设计、制造、工程、质量、生产、采购、供方、维护和其他适当人员。8.3.2.2设计和开发策划-培训组织应确定过程,以确定在报价阶段、项目开发阶段、生产阶段与顾客接触的人员的培训需求。适当时,应对人员进行产品质量先期策划(或同等)和相关顾客特殊要求(CSR)方面 57、的培训。这种培训的记录应可以提供。培训应包括,但不限于以下内容:FMEA、制造过程控制和控制计划。在每一组织中能支持顾客的制造或设计中心场所的人员,应能通过顾客的门户平台访问并有能力使用必要的可用的计算机软件。按照要求对组织的人员提供顾客特殊要求、纠正(或)措施、计算机应用软件有关的培训。8.3.2.3产品设计技能组织应确保有设计职责的人员有能力实现设计要求,并熟悉应用工具和技术,适用的工具和技术应得到组织的识别。注:产品设计技能的一个示例就是基于数学的数字化数据的应用。8.3.3设计和开发输入组织应针对具体类型产品和服务,确定设计和开发的基本要求。组织应考虑:a)功能和性能的要求 58、;b)来源于以前类似设计和开发活动的信息;c)法律法规要求;d)组织承诺实施的标准或行业规范;e)由产品和服务性质所决定的、失效的潜在后果。设计和开发输入应完整、清楚,满足设计和开发的目的。应解决相互冲突的设计和开发输入。组织应保留有关设计和开发输入的形成文件的信息。8.3.3.1产品设计输入组织应确识别、文件化和评审产品设计输入要求,以作为合同评审的结果。产品设计输入要求包括,但不限于以下:产品规范,包括但不限于,特殊特性(见第8.3.2.1);a)边界和接口要求;b)标识,可追溯性和包装;c)对设计替代的考虑;d)包括从可行性分析角度对输入要求的风险以及组织减轻/管理风险的能力的评估e 59、)符合产品要求的目标,包括防护、可靠性、耐久性、适用性、、、环境、开发进度和成本;f)顾客识别的目的国的适用法律法规要求,如提供;g)嵌入式软件要求。组织应有一个过程,将从以往设计项目、竞争产品分析(标杆)、供方反馈、内部输入、现场数据及其他相关来源获取的信息推广应用于当前或未来有相似性质的项目。注:考虑设计替代的方法之一就是使用比较曲线(即菲利普斯曲线)8.3.3.2制造过程设计输入组织应识别、文件化并评审制造过程设计输入要求,包括并不限于以下:a)包括特殊特性在内的产品设计输出数据;b)产能、过程能力、进度和成本的目标;c)可替代的制造技术;d)顾客要求,如有;e)以往开发的经 60、验;f)新材料;g)产品搬运及人体工学要求,和h)制造设计和装配设计。制造过程设计应包括与问题的程度相适宜的防错方法的使用,并与遇到的风险相适应(参见附录D)8.333特殊特性组织应建立、文件化和实施一个或多个识别特殊特性的过程,包括由顾客以及由组织风险分析所确定的特殊特性,并包括以下:a)在图纸、FMEA、控制计划、标准作业/操作指导书中将特殊特性文件化;b)顾客指定的批准,当要求时;c)符合顾客指定的定义和符号或如果该组织的顾客认可的在符号转换表中定义的等效符号或标记。8.3.4设计和开发控制组织应对设计和开发过程进行控制,以确保:a)规定拟获得的结果;b)实施评审活动,以评价设计和开发的结果满足要求的能力;c)实施验证活动,以确保设计和开发输出满足输入的要求;d)实施确认活动,以确保产品和服务能够满足规定的使用要求或预期用途的要求;e)针对评审、验证和确认过程中确定的问题采取必要的措施;f)保留这些活动的形成文件的信息。注:设计和开发的评审、验证和确认具




ISO27001认证控制要求 文章导读:表 A.1 控制目标和控制措施 A.5 方针 A.5.1 信息方针 目标:依据业务要求和相关法律法规提供管理指导并支 持信息。 A.5.1.1 信 息 方针 文件 信 息 方针 的评审 控制... 表 A.1 控制目标和控制措施 A.5 方针 A.5.1 信息方针 目标:依据业务要求和相关法律法规提供管理指导并支持信息。 A.5.1.1 信 息 方针 文件 信 息 方针 的评审 控制措施 信息方针文件应由管理者批准、发布并传达给所有员工和外部相 关方。 A.5.1.2 控制措施 应按计划的时间间隔或当重大变化发生时进行信息方针评审,以 确保它持续的适宜性、充分性和有效性。 A.6 信息组织 A.6.1 内部组织 目标:在组织内管理信息 A.6.1.1 信息的管 理承诺 信息协调 控制措施 管理者应通过清晰的说明、可证实的承诺、明确的信息职责分配 及确认,来积极支持组织内的。 A.6.1.2 控制措施 信息活动应由来自组织不同部门并具备相关角色和工作职责的 代表进行协调。 A.6.1.3 A.6.1.4 A.6.1.5 信息职责 的分配 信息处理设施 的授权过程 保密性协议 控制措施 所有的信息职责应予以清晰地定义。 控制措施 新信息处理设施应定义和实施一个管理授权过程。 控制措施 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的 要求。 A.6.1.6 A.6.1.7 A.6.1.8 与政府部门的 联系 与特定利益团 体的联系 信息的独 立评审 控制措施 应保持与政府相关部门的适当联系。 控制措施 应保持与特定利益团体、其他专家组和专业协会的适当联系。 控制措施 组织管理信息的方法及其实施(例如信息的控制目标、控制 措施、策略、过程和程序)应按计划的时间间隔进行独立评审, 当安 全实施发生重大变化时,也要进行独立评审。 A.6.2 外部各方 目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的。 A.6.2.1 与外部 各方相 关风险的识别 处理与顾客有 关的问题 控制措施 应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险, 并在允许访问前实施适当的控制措施。 A.6.2.2 控制措施 应在允许顾客访问组织信息或资产之前处理所有确定的要求。 A.6.2.3 处理第三方协 议中的问 题 控制措施 涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第 三方协议,或在信息处理设施中增加产品或服务的第三方协议, 应涵 盖所有相关的要求。 A.7 资产管理 A.7.1 对资产负责 目标:实现和保持对组织资产的适当保护。 A.7.1.1 A.7.1.2 资产清单 资产责任人 控制措施 应清晰的识别所有资产,编制并维护所有重要资产的清单。 控制措施 与信息处理设施有关的所有信息和资产应由组织的指定部门或人员 1 承担责任 。 A.7.1.3 资 产 的 合 格 使 控制措施 用 与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件 并加以实施。 A.7.2 信息分类 目标:确保信息受到适当级别的保护。 A.7.2.1 A.7.2.2 分类指南 信息的标记和 处理 控制措施 信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。 控制措施 应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处 理程序。 A.8 人力资源 2 A.8.1 任用 之前 目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降 低设 施被窃、欺诈和误用的风险。 A.8.1.1 角色和职责 控制措施 雇员、承包方人员和第三方人员的角色和职责应按照组织的信息 方针定义并形成文件。 A.8.1.2 审查 控制措施 关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应 按照相关法律法规、道德规范和对应的业务要求、被访问信息的 类别 和察觉的风险来执行。 A.8.1.3 任用条款和条 件 控制措施 作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意 并签署他们的任用合同的条款和条件,这些条款和条件要声明他 们和 组织的信息职责。 A.8.2 任用中 目标:确保所有的雇员、承包方人员和第三方人员知悉信息威胁和利害关系、他们的职责和义 务、并准备好在其 正常工作过程中支持组织的方针,以减少人为过失的风险。 1 解释:术语“责任人”是被认可,具有控制生产、开发、保持、使用和资产的个人或实体。术语“责 任人”不指实际上对资产具 有财产权的人。 2 解释:这里的“任用”意指以下不同的情形:人员任用(暂时的或长期的) 、工作角色的指定、工作角色 的变化 、合同的分配及所有这些安排的终止。 A.8.2.1 管理职责 控制措施 管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针 策略和程序对尽心尽力。 A.8.2.2 信息意识、 控制措施 教育和培训 组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与 其工作职能相关的适当 的意识培训和组织方针策略及程序的定期更 新培训。 纪律处理过程 A.8.2.3 控制措施 对于违规的雇员,应有一个正式的纪律处理过程。 A.8.3 任用的终止或变化 目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。 A.8.3.1 A.8.3.2 终止职责 资产的归还 控制措施 任用终止或任用变化的职责应清晰的定义和分配。 控制措施 所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时, 应归还他们使用的所有组织资产。 A.8.3.3 撤销访问权 控制措施 所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权 应在任用、合同或协议终止时删除,或在变化时调整。 A.9 物理和环境 A.9.1 区域 目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。 A.9.1.1 物理边界 控制措施 应使用边界 (诸如墙、 卡控制的入口或有人管理的接待台等屏障) 来保护包含信息和信息处理设施的区域。 A.9.1.2 物理入口控制 控制措施 区域应由适合的入口控制所保护,以确保只有授权的人员才允许 访问。 A.9.1.3 办公室、 房间和 控制措施 设 施 的 安 全 保 应为办公室、房间和设施设计并采取物理措施。 护 外部和环境威 胁的防 护 在区域工 作 A.9.1.4 控制措施 为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为 灾难引起的破坏,应设计和采取物理保护措施。 A.9.1.5 A.9.1.6 控制措施 应设计和运用用于区域工作的物理保护和指南。 公共访问、 交接 控制措施 区 访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以 控制,如果可能,要与信息 处理设施隔离,以避免未授权访问。 A.9.2 设备 目标:防止资产的丢失、损坏、失窃或危及资产以及组织活动的中断。 A.9.2.1 设备安置和保 护 控制措施 应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及 未授权访问的机会。 A.9.2.2 支持性设施 控制措施 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他 中断。 A.9.2.3 布缆 控制措施 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或 损坏。 A.9.2.4 A.9.2.5 设备维护 控制措施 设备应予以正确地维护,以确保其持续的可用性和完整性。 组 织 场 所 外 的 控制措施 设备 应对组织场所的设备采取措施,要考虑工作在组织场所以外的不 同风险。 设备的 处 置或再利用 资产的移动 A.9.2.6 控制措施 包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任 何敏感信息和注册软件已被删除或重写。 A.9.2.7 控制措施 设备、信息或软件在授权之前不应带出组织场所。 A.10 通信和操作管理 A.10.1 操作程序和职责 目标:确保正确、的操作信息处理设施。 A.10.1.1 A.10.1.2 A.10.1.3 文件化 的操作 程序 变更管理 责任分割 控制措施 操作程序应形成文件、保持并对所有需要的用户可用。 控制措施 对信息处理设施和系统的变更应加以控制。 控制措施 各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者 不当使用组织资产的机会。 A.10.1.4 开发、测试和 运行设施分离 控制措施 开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的 风险。 A.10.2 第三方服务交付管理 目标:实施和保持符合第三方服务交付协议的信息和服务交付的适当水准。 A.10.2.1 服务交付 控制措施 应确保第三方实施、运行和保持包含在第三方服务交付协议中的 控制措施、服务定义和交付水准。 A.10.2.2 第三方服务的 监视和评审 第三方服务的 变更管理 控制措施 应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期 执行。 A.10.2.3 控制措施 应管理服务提供的变更,包括保持和改进现有的信息方针策略、 程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险 的再 评估。 A.10.3 系统规划和验收 目标:将系统失效的风险降至小。 A.10.3.1 容量管理 控制措施 资源的使用应加以监视、调整,并应作出对于未来容量要求的预测, 以确保拥有所需的系统性能。 A.10.3.2 系统验收 控制措施 应建立对新信息系统、升级及新版本的验收准则,并且在开发中和验 收前对系统进行适当的测试。 A.10.4 防范恶意和移动代码 目标:保护软件和信息的完整性。 A.10.4.1 控制恶意代码 控制措施 应实施恶意代码的监测、和恢复的控制措施,以及适当的提高用 户意识的程序。 A.10.4.2 控制移动代码 控制措施 当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义 的策略运行,应阻止执行未授权的移动代码。 A.10.5 备份 目标:保持信息和信息处理设施的完整性及可用性。 A.10.5.1 信息备份 控制措施 应按照已设的备份策略,定期备份和测试信息和软件。 A.10.6 网络管理 目标:确保网络中信息的性并保护支持性的基础设 施。 A.10.6.1 网络控制 控制措施 应充分管理和控制网络,以防止威胁的发生,维护系统和使用网络的 应用程序的,包括传输中的信息。 A.10.6.2 网络服务的安 全 控制措施 特性、服务级别以及所有网络服务的管理要求应予以确定并包括 在所有网络服务协议中,无论这些服务是由内部提供的还是外包 的。 A.10.7 介质处置 目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。 A.10.7.1 A.10.7.2 A.10.7.3 可移动 介质的 管理 介质的处置 信息处理程序 控制措施 应有适当的可移动介质的管理程序。 控制措施 不再需要的介质,应使用正式的程序可靠并地处置。 控制措施 应建立信息的处理及存储程序,以防止信息的未授权的泄漏或不当使 用。 A.10.7.4 系统文件 控制措施 应保护系统文件以防止未授权的访问。 A.10.8 信息的交换 目标:保持组织内信息和软件交换及与外部组织信息和软件交换的。 A.10.8.1 信息交换策略 和程序 控制措施 应有正式的交换策略、程序和控制措施,以保护通过使用各种类型通 信设施的信息交换。 A.10.8.2 A.10.8.3 交换协议 运输中的物理 介质 电子消息发送 业务信息系统 控制措施 应建立组织与外部团体交换信息和软件的协议。 控制措施 包含信息的介质在组织的物理边界以外运送时,应防止未授权的访 问、不当使用或毁坏。 A.10.8.4 A.10.8.5 控制措施 包含在电子消息发送中的信息应给予适当的保护。 控制措施 应建立并实施策略和程序,以保护与业务信息系统互联相关的信息。 A.10.9 电子商务服务 目标:确保电子商务服务的及其使用。 A.10.9.1 电子商务 控制措施 包含在使用公共网络的电子商务中的信息应受保护,以防止欺诈活 动、合同争议和未授权的泄露和修改。 A.10.9.2 在线交易 控制措施 包含在在线交易中的信息应受保护,以防止不完全传输、错误路由、 未授权的消息篡改、未授权的泄露、未授权的消息复制或重放。 A.10.9.3 公共可用信息 控制措施 在公共可用系统中可用信息的完整性应受保护,以防止未授权的修 改。 A.10.10 监视 目标:检测未经授权的信息处理活动。 A.10.10.1 审核日志 控制措施 应产生记录用户活动、异常和信息事态的审核日志,并要保持一 个已设的周期以支持将来的调查和访问控制监视。 A.10.10.2 A.10.10.3 监视系统的使 用 日志信息的保 护 管理员和操作 员日志 故障日志 时钟同步 控制措施 应建立信息处理设施的监视使用程序,监视活动的结果要经常评审。 控制措施 记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访 问。 A.10.10.4 A.10.10.5 A.10.10.6 控制措施 系统管理员和系统操作员活动应记入日志。 控制措施 故障应被记录、分析,并采取适当的措施。 控制措施 一个组织或域内的所有相关信息处理设施的时钟应使用已设的 时间源进行同步。 A.11 访问控制 A.11.1 访问控制的业务要求 目标:控制对信息的访问。 A.11.1.1 访问控制策略 控制措施 访问控制策略应建立、形成文件,并基于业务和访问的要求进行 评审。 A.11.2 用户访问管理 目标:确保授权用户访问信息系统,并防止未授权的访问。 A.11.2.1 用户注册 控制措施 应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服 务的访问。 A.11.2.2 A.11.2.3 A.11.2.4 特殊权限管理 用户口令管理 用户访问权的 复查 控制措施 应限制和控制特殊权限的分配及使用。 控制措施 应通过正式的管理过程控制口令的分配。 控制措施 管理者应定期使用正式过程对用户的访问权进行复查。 A.11.3 用户职责 目标:防止未授权用户对信息和信息处理设施的访问、危害或窃取。 A.11.3.1 A.11.3.2 A.11.3.3 口令使用 无人 值守的用 户设备 清空桌面和屏 幕策略 控制措施 应要求用户在选择及使用口令时,遵循良好的习惯。 控制措施 用户应确保无人值守的用户设备有适当的保护。 控制措施 应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施 屏幕的策略。 A.11.4 网络访问控制 目标:防止对网络服务的未授权访问。 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 使用网络 服务 的策略 外部连接的用 户鉴别 网络上的设备 标识 远程诊断和配 置端口的保护 网络隔离 网络连接控制 控制措施 用户应仅能访问已获专门授权使用的服务。 控制措施 应使用适当的鉴别方法以控制远程用户的访问。 控制措施 应考虑自动设备标识,将其作为鉴别特定位置和设备连接的方法。 控制措施 对于诊断和配置端口的物理和逻辑访问应加以控制。 控制措施 应在网络中隔离信息服务、用户及信息系统。 控制措施 对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按 照访问控制策略和业务应用要求加以限制(见 11.1)。 A.11.4.7 网络路由控制 控制措施 应在网络中实施路由控制,以确保计算机连接和信息流不违反业务应 用的访问控制策略。 A.11.5 操作系统访问控制 目标:防止对操作系统的未授权访问。 A.11.5.1 A.11.5.2 登录程序 用户标识和鉴 别 控制措施 访问操作系统应通过登录程序加以控制。 控制措施 所有用户应有 的、 其个人使用的标识符(用户 ID),应选择 一种适当的鉴别技术证实用户所宣称的身份。 A.11.5.3 A.11.5.4 口令管理系统 系统实用工具 的使用 会话超时 联机时间的限 定 控制措施 口令管理系统应是交互式的,并应确保优质的口令。 控制措施 可能超越系统和应用程序控制的实用工具的使用应加以限制并严格 控制。 A.11.5.5 A.11.5.6 控制措施 不活动会话应在一个设定的休止期后关闭。 控制措施 应使用联机时间的限制,为高风险应用程序提供额外的。 A.11.6 应用和信息访问控制 目标:防止对应用系统中信息的未授权访问。 A.11.6.1 信息访问限制 控制措施 用户和支持人员对信息和应用系统功能的访问应依照已确定的访问 控制策略加以限制。 A.11.6.2 敏感系统隔离 控制措施 敏感系统应有专用的(隔离的)运算环境。 A.11.7 移动计算和远程工作 目标:确保使用可移动计算和远程工作设施时的信息。 A.11.7.1 移动计算和通 信 远程工作 控制措施 应有正式策略并且采用适当的措施,以防范使用移动计算和通信 设施时所造成的风险。 A.11.7.2 控制措施 应为远程工作活动开发和实施策略、操作计划和程序。 A.12 信息系统获取、开发和维护 A.12.1 信息系统的要求 目标:确保是信息系统的一个有机组成部分。 A.12.1.1 要 求分析 和说明 控制措施 在新的信息系统或增强已有信息系统的业务要求陈述中,应规定对安 全控制措施的要求。 A.12.2 应用中的正确处理 目标:防止应用系统中的信息的错误、遗失、未授权的修改及误用。 A.12.2.1 A.12.2.2 输入数据验证 内部处理的控 制 消息完整性 控制措施 输入应用系统的数据应加以验证,以确保数据是正确且恰当的。 控制措施 验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成 的信息的讹误。 A.12.2.3 控制措施 应用中的确保真实性和保护消息完整性的要求应得到识别,适当的控 制措施也应得到识别并实施。 A.12.2.4 输出数据验证 控制措施 从应用系统输出的数据应加以验证,以确保对所存储信息的处理是正 确的且适于环境的。 A.12.3 密码控制 目标:通过密码方法保护信息的保密性、真实性或完整性。 A.12.3.1 A.12.3.2 使用密码控制 的策略 密钥管理 控制措施 应开发和实施使用密码控制措施来保护信息的策略。 控制措施 应有密钥管理以支持组织使用密码技术。 A.12.4 系统文件的 目标:确保系统文件的 A.12.4.1 A.12.4.2 A.12.4.3 运行软件的控 制 系统测试数据 的保护 控制措施 应有程序来控制在运行系统上安装软件。 控制措施 测试数据应认真地加以选择、保护和控制。 对 程 序 源 代 码 控制措施 的访问控制 应限制访问程序源代码。 A.12.5 开发和支持过程中的 目标:维护应用系统软件和信 息的。 A.12.5.1 变更控制程序 控制措施 应使用正式的变更控制程序控制变更的实施。 A.12.5.2 操作系统变更 后应用的技术 评审 软件包变更的 限制 信息泄露 外包软件开发 控制措施 当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确 保对组织的运行和没有负面影响。 A.12.5.3 控制措施 应对软件包的修改进行劝阻,限制必要的变更,且对所有的变更加以 严格控制。 A.12.5.4 A.12.5.5 控制措施 应防止信息泄露的可能性。 控制措施 组织应管理和监视外包软件的开发。 A.12.6 技术脆弱性管理 目标:降低利用公布的技术脆弱性导致的风险。 A.12.6.1 技 术 脆 弱 性 的 控制措施 应及时得到现用信 息系统技术脆弱性的信息,评价组织对这些脆弱性 控制 的暴露程度,并采取适当的措施来处理相关的风险。 A.13 信息事件管 理 A.13.1 报告信息事态和弱点 目标:确保与信息系统有关的信息事态和弱点能够以某种方式传达,以便及时采取纠正措施 。 A.13.1.1 A.13.1.2 报告信息 事态 报告弱点 控制措施 信息事态应该尽可能快地通过适当的管理渠道进行报告。 控制措施 应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并 报告他们观察到的或怀疑的任何系统或服务的弱点。 A.13.2 信息事件和改进的管理 目标:确保采用一致和有效的方法对信息事件进行管理。 A.13.2.1 职责和程序 控制措施 应建立管理职责和程序,以确保能对信息事件做出快速、有效和 有序的响应。 A.13.2.2 A.13.2.3 对信息事 件的总结 证据的收集 控制措施 应有一套机制量化和监视信息事件的类型、数量和代价。 控制措施 当一个信息事件涉及到诉讼(民事的或刑事的),需要进一步对 个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符 合相 关诉讼管辖权。 A.14 业务连续性管理 A.14.1 业务连续性管理的信息方面 目标:防止业务活动中断,保护关键业务过程免受信息系统重大失误 或灾难的影响,并确保它们的 及时恢复。 A.14.1.1 业务连续性管 理过程中包含 的信息 业务连续性和 风险评估 制定和实施 包 含信息的 连续性计划 业务连续性计 划框架 测试、维护和 再评估业务连 续性计划 控制措施 应为贯穿于组织的业务连续性开发和保持一个管理过程,以解决组织 的业务连续性所需的信息要求。 A.14.1.2 控制措施 应识别能引起业务过程中断的事态,这种中断发生的概率和影响,以 及它们对信息所造成的后果。 A.14.1.3 控制措施 应制定和实施计划来保持或恢复运行,以在关键业务过程中断或失败 后能够在要求的水平和时间内确保信息的可用性。 A.14.1.4 控制措施 应保持一个 的业务连续性计划框架,以确保所有计划是一致的, 能够协调地解决信息要求,并为测试和维护确定优先级。 A.14.1.5 控制措施 业务连续性计划应定期测试和更新,以确保其及时性和有效性。 A.15 符合性 A.15.1 符合法律要求 目标:避免违反任何法律、法令、法规或合同义务,以及任何要求。 A.15.1.1 可用法律的 识 别 控制措施 对每一个信息系统和组织而言,所有相关的法令、法规和合同要求, 以及为满足这些要求组织所采用的方法,应加以明确地定义、形 成文 件并保持更新。 A.15.1.2 知 识 产 权 (IPR) 保护组织的记 录 数据保护和个 人信息的隐私 控制措施 应实施适当的程序,以确保在使用具有知识产权的材料和具有所有权 的软件产品时,符合法律、法规和合同的要求。 A.15.1.3 控制措施 应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业 务的要求。 A.15.1.4 控制措施 应依照相关的法律、法规和合同条款的要求,确保数据保护和隐私。 A.15.1.5 A.15.1.6 防止滥用信息 处理设施 密码控制措施 的规则 控制措施 应禁止用户使用信息处理设施用于未授权的目的。 控制措施 使用密码控制措施应遵从相关的协议、法律和法规。 A.15.2 符合策略和标准以及技术符合性 目标:确保系统符合组织的策略及标准。 A.15.2.1 符合策略 和标准 技术符 合性检 查 控制措施 管理人员应确保在其职责范围内的所有程序被正确地执行,以确 保符合策略及标准。 A.15.2.2 控制措施 信息系统应被定期检查是否符合实施标准。 A.15.3 信息系统审核考虑 目标:将信息系统审核过程的有效性 化,干扰小化。 A.15.3.1 信息系统审核 控制措施 信息系统 审核 工具的保护 控 制措施 涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批 准,以便小化造成业务过程中断的风险。 A.15.3.2 控制措施 对于信息系统审核工具的访问应加以保护,以防止任何可能的滥用或 损害。
点击查看博慧达ISO9000认证有限公司的【产品相册库】以及我们的【产品视频库】