www.searchextensions.com
深耕 IATF16949认证行业十年,一直坚持对 IATF16949认证产品质量的严格把控,售前售中售后的全面服务。 十年耕耘,让社会各界看到了我们,阿坝博慧达ISO9000认证将继续努力,在 IATF16949认证领域发光发热!
ISO27001认证体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理 体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求, 即有效地保护企业信息系统的安全,确保信息安全的持续发展。 1、确立范围 首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑 内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括 公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。 从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机 系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质 ,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库 、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息 系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理 和系统管理人员在日常运维过程中的安全合规、安全审计等。 2、安全风险评估 企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服 务,保证信息系统的可用性、完整性和保密性。 本次进行的安全评估,主要包括两方面的内容: 2.1、企业安全管理类的评估 通过企业的安全控制现状调查、访谈、文档研读和ISO27001的 实践比对,以及在行业的经验上 进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。 评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组 织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安 全事件管理、业务连续性管理、符合性。 2.2、企业安全技术类评估 基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络 设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。 针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用 评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提 供依据。 提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点 ,同时结合企业自身的特点,建立风险评估模型: 在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信 息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威 胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属 性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。 3、规划体系建设方案 企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系 ,并终落实到管理措施和技术措施,才能确保信息安全。 规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安 全性和抗攻击性。 在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔 离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系 和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合 的先进型企业。 4、企业信息安全体系建设 企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更 好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复 (Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。 安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制 度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针 涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉 及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互 联、容灾备份、集中监控等方面的要求。 其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技 术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检 测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全 技术包括:
9绩效评价 9.1监视、测量、分析和评价9.1.1总则 9.1.1.1制造过程的监视和测量9.1.1.2统计工具的确定9.1.1.3统计概念的应用9.1.2顾客满意9.1.2.1顾客满意-补充9.1.3分析与评价9.1.3.1优先级9.2内部审核9.2.1和9.2.29.2.2.1内部审核方案9.2.2.2质量管理体系审核9.2.2.3制造过程审核9.2.2.4产品审核9.3管理评审9.3.1总则 9.3.1.1管理评审-补充9.3.2管理评审输入9.3.2.1管理评审输入-补充9.3.3管理评审输出9.3.3.1管理评审输出-补充10改进10.1总则 10.2不合格和纠正措施(不符合和纠正措施)10.2.1和10.2.210.2.3问题解决10.2.4防错 10.2.5保修管理体系 10.2.6顾客投诉和使用现场失效试验分析10.3持续改进10.3.1持续改进-补充 附录A(资料性附录)新结构、术语和概念说明A.1结构和术语A.2产品和服务 A.3理解相关方的需求和期望A.4基于风险的思维A.5适用性A.6成文信息A.7组织的知识 A.8外部提供过程、产品和服务的控制 附录B(资料性附录)SAC/TC151制定的其他质量管理和质量管理体系标准 6 参考文献 附录A控制计划A.1控制计划的阶段A.2控制计划的要素 附录B参考书目-汽车行业补充 7 前言——汽车质量管理体系标准 本汽车质量管理体系标准(本文中简称为“汽车QMS标准”或“IATF16949”),连同适用的汽车顾客特定要求,ISO9001:2015要求以及ISO9000:2015一起定义了对汽车生产件及相关服务件组织的基本质量管理体系要求。正因为如此,汽车QMS标推不能被视为—部独立的质量管理体系标准,而是必须当作ISO9001:2015的补充进行理解,并与ISO9001:2015结合使用。ISO9001:2015是—部单独出版的ISO标准。 IATF16949:2016(版)是一份创新文件,着重考虑了顾客导向性,综合了许多以前的顾客特定要求。附录B供实施IATF16949要求时参考使用,除非顾客特定要求另有规定。历史 IS0/TS16949(版)初由国际汽车推动小组(InternationalAutomotiveTaskForce,IATF)创建于1999年,旨在协调全球汽车行业供应链中的不同评估与认证体系。其后,因汽车行业增强或ISO9001修订的需要,创建了其它版本(2002年的第二版和2009年的第三版)。ISO/TS16949(连同原始设备制造商【本文中简称为OEM】和各汽车行业协会开发的支持性技术出版物)引入了一套适用于全球汽车制造业的共同产品和过程开发的常见技术和方法。 在准备从ISO/TS16949:2009(第三版)迁移至本汽车QMS标准——IATF16949过程中,征求了认证机构、审核员、供应商和OEM的反馈意见:IATF16949:2016(版)的创建注销并取代ISO/TS16949:2009(第三版)。IATF通过延续联络委员会的身份,与国际标准化组织(InternationalStandardizationOrganization,ISO)保持着强有力的合作,确保持续与ISO9001保持一致。目标 本汽车QMS标准的目标是在供应链中开发提供持续改进、强调缺陷预防,以及减少变差和浪费的质量管理体系。有关认证的说明 获得并保持IATF认可的规则中规定了根据本汽车QMS标准进行认证的要求,详细情况可从国际汽车推动小组的当地监督办公室处获得。前言 本标准按照GB/T1.1—2009给出的规则起草。本标准是GB/T19000族的核心标准之一。 本标准代替GB/T19001—2008《质量管理体系要求》。 本标准与GB/T19001—2008相比,除编辑性修改外,主要技术变化如下:——采用ISO/IEC导则第1部分ISO补充规定的附件SL中给出的高层结构;——采用基于风险的思维;——更少的规定性要求;——对成文信息的要求更加灵活;——提高了服务行业的适用性;——更加强调组织环境;——增强对领导作用的要求; ——更加注重实现预期的过程结果以增强顾客满意。 附录A给出了相对于GB/T19001—2008的更加详细的变化说明。 本标准使用翻译法等同采用ISO9001:2015《质量管理体系要求》(英文版)本标准由全国质量管理和质量保证标准化技术委员会(SAC/TC151)提出并归口。 本标准起草单位:中国标准化研究院、认证认可监督管理委员会、中国认证认可协会、中国合格评定认可中心、中国质量认证中心、天津华诚认证中心、中国船级社质量认证公司、深圳市环通认证中心有限公司、中国新时代认证中心、方圆标志认证集团有限公司、北京新世纪检验认证有限公司、国培认证培训(北京)中心、华夏认证中心有限公司、上海质量体系审核中心、中质协质量保证中心、上汽通用五菱汽车股份有限公司、内蒙古北方重型汽车股份有限公司、泰兴龙溢端子有限公司、上海建科工程咨询公司、内蒙古伊利实业集团股份有限 8 公司、天津天地伟业科技有限公司、重庆长安汽车股份有限公司、内蒙古和信园蒙草抗旱绿化股份有限公司、南京造币有限公司、中国铁建股份有限公司、中国建材检验认证集团股份有限公司、北京东方易初标准技术有限公司。 本标准主要起草人:田武、康键、张惠才、李强、任青钺、李明、郑元辉、黄学良、曲辛田、郑燕、梁平、王梅、李平、夏芳、王金德、曹华、邓湘宁、裴洁、林创、周红波、李晔秋、李辰暄、范叶娟、解辉、朱江涛、魏向阳、柳叶、董晓红。 本标准所代替标准的历次版本发布情况为:——GB/T10300.2—1988——GB/T19001—1992——GB/T19001—1994——GB/T19001—2000——GB/T19001—2008。引言0.1总则 见ISO9001:2015的要求。0.1总则 采用质量管理体系是组织的一项战略决策,能够帮助其提高整体绩效,为推动可持续发展奠定良好基础。组织根据本标准实施质量管理体系的潜在益处是: a)稳定提供满足顾客要求以及适用的法律法规要求的产品和服务的能力;b)促成增强顾客满意的机会; c)应对与组织环境和目标相关的风险和机遇;d)证实符合规定的质量管理体系要求的能力。本标准可用于内部和外部各方。实施本标准并非需要: ——统一不同质量管理体系的架构;——形成与本标准条款结构相一致的文件;——在组织内使用本标准的特定术语。 本标准规定的质量管理体系要求是对产品和服务要求的补充。 本标准采用过程方法,该方法结合了“策划—实施—检查—处置”(PDCA)循环和基于风险的思维。过程方法使组织能够策划过程及其相互作用。 PDCA循环使组织能够确保其过程得到充分的资源和管理,确定改进机会并采取行动。 基于风险的思维使组织能够确定可能导致其过程和质量管理体系偏离策划结果的各种因素,采取预防控制,限度地降低不利影响,并限度地利用出现的机遇(见A.4)。 在日益复杂的动态环境中持续满足要求,并针对未来需求和期望采取适当行动,这无疑是组织面临的一项挑战。为了实现这一目标,组织可能会发现,除了纠正和持续改进,还有必要采取各种形式的改进,如突破性变革、创新和重组。 在本标准中使用如下助动词:“应”表示要求;“宜”表示建议;“可”表示允许;“能”表示可能或能够。 “注”的内容是理解和说明有关要求的指南。0.2质量管理原则 9 见ISO9001:2015的要求。0.2质量管理原则 本标准是在GB/T19000所阐述的质量管理原则基础上制定的。每项原则的介绍均包含概述、该原则对组织的重要性的依据,应用该原则的主要益处示例以及应用该原则提高组织绩效的典型措施示例。质量管理原则是:——以顾客为关注焦点;——领导作用;——全员积极参与;——过程方法;——改进;——循证决策;——关系管理。0.3过程方法0.3.1总则 见ISO9001:2015的要求。 0.3过程方法 0.3.1总则 本标准倡导在建立、实施质量管理体系以及提高其有效性时采用过程方法,通过满足顾客要求增强顾客满意。采用过程方法所需考虑的具体要求见4.4。 将相互关联的过程作为一个体系加以理解和管理,有助于组织有效和高效地实现其预期结果。这种方法使组织能够对其体系的过程之间相互关联和相互依赖的关系进行有效控制,以提高组织整体绩效。 过程方法包括按照组织的质量方针和战略方向,对各过程及其相互作用进行系统的规定和管理,从而实现预期结果。可通过采用PDCA循环(见0.3.2)以及始终基于风险的思维(见0.3.3)对过程和整个体系进行管理,旨在有效利用机遇并防止发生不良结果。在质量管理体系中应用过程方法能够:a)理解并持续满足要求;b)从增值的角度考虑过程;c)获得有效的过程绩效; d)在评价数据和信息的基础上改进过程。 单一过程的各要素及其相互作用如图1所示。每一过程均有特定的监视和和测量检查点,以用于控制,这些检查点根据相关的风险有所不同。 图1:单一过程要素示意图 10
