ISO9001和ISO27001品質管理體系
目錄
背景
ISO9001
4 組織環境
4.1 了解組織及其環境
4.2 了解相關方的需求和期望
4.3 确定品質管理體系(QMS,quality management system)的範圍
4.4 品質管理體系及其過程
5 上司作用
5.1 上司作用和承諾
5.2 方針
6 策劃
7 支援
7.1 資源
7.2 能力
7.3 意識
7.4 溝通
7.5 檔案化資訊
8 運作
8.1 運作策劃和控制
8.2 産品和服務要求
8.3 産品和服務的設計與開發
8.4 外部提供的過程、産品和服務的控制
8.5 生産和服務提供
8.6 産品和服務的放行
8.7 不合格輸出的控制
9 績效評價
9.1 監視、測量、分析和評價
9.2 内部稽核
9.3 管理稽核
10 改進
ISO27001标準體系
背景
為什麼要做品質稽核?
品質管理體系稽核用于确定組織符合品質\資訊安全管理體系要求的程度,它是管理體系标準的基本内容之一;用于推動組織品質\資訊安全管理體系持續改進
管理體系稽核的基本原則?
客觀性:稽核隻能使用客觀證據,即那些支援事務存在或其真實性的資料。客觀證據可通過觀察、測量、試驗或其他手段獲得。
獨立性:稽核機構以及稽核員應保持獨立性,并避免利益沖突
系統方法:應用系統方法,識别、了解和管理稽核活動的互相關聯的過程,準備評審/a稽核時間表。
稽核準則?
指确定為稽核依據的一組方針、程式或要求。通常又稱為稽核依據。
稽核類型?
品質/資訊安全管理體系稽核可分為三種基本類型:第一方、第二方、第三方稽核
第一方稽核:用于内部目的,由組織自己或以組織的名義進行,可作為組織聲明自身合格的基礎,“第一方稽核“通常稱為“内部稽核”。
第二方稽核:由組織的顧客或由其他人以顧客的名義進行的稽核。稽核依據更注重雙方簽訂的合同要求。稽核的結果通常作為顧客決定購買的因素。
第三方稽核:由外部獨立的稽核服務組織進行,這類組織通常是經認可的,提供符合(如ISO 9001、ISO14001、ISO45001)要求的認證或注冊。
ISO9001
主要分為以下幾個要求:
1.範圍;2.引用标準;3.術語和定義;4.組織環境;5.上司作用;6.策劃;7.支援;8.運作;9.績效評價;10.改進
PDCA循環能夠應用于所有過程以及整個品質管理體系
-------策劃(Plan):根據顧客的要求群組織的方針,建立體系的目标及其過程,确定實作結果所需的資源,并識别和應對風險和機遇;
-------實施(Do):執行所做的策劃;
-------檢查(Check):根據方針、目标、要求和所策劃的活動,對過程以及形成的産品和服務進行監視和測量,并報告結果;
-------處置(Act):必要時,采取措施提高績效;
4 組織環境
4.1 了解組織及其環境
組織應确定與其宗旨和戰略方向相關并影響其實作品質管理體系預期結果的能力的各種内部和外部因素。
4.2 了解相關方的需求和期望
由于相關方對組織穩定提供符合顧客要求及适用法律法規要求的産品和服務的能力具有影響或潛在影響,是以,組織應确定:
a) 與品質管理體系有關的相關方;
b) 與品質管理體系有關的相關方的要求;
組織應監視和評審這些相關方的資訊及其相關要求。
4.3 确定品質管理體系(QMS,quality management system)的範圍
應界定QMS的邊界和适用性,以确定其範圍:
a) 内部和外部因素
b)相關方的要求
c)産品和服務
4.4 品質管理體系及其過程
組織應按照本标準的要求,建立、實施、保持和持續改進品質管理體系,包括所需過程及其互相作用。
5 上司作用
5.1 上司作用和承諾
最高管理者應通過以下方面,證明其對品質管理體系的上司作用和承諾:
a)對品質管理體系的有效性負責;
b)確定制定品質管理體系的品質方針和品質目标,并與組織環境相适應,與戰略方向相一緻;
c)確定品質管理體系實作其預期結果;
d)以顧客為關注焦點;
5.2 方針
最高管理者應指定、實施和保持品質方針,并溝通品質方針(方針應成文可擷取),應確定組織相關崗位的職責、權限得到配置設定、溝通和了解
6 策劃
在策劃品質管理體系時,組織應考慮4.1和4.2提及的要求,并确定需要應對的風險和機遇;
并針對相關職能、層次和品質管理體系所需的過程建立品質目标;
當組織确定需要對品質管理體系進行變更時,變更應按所策劃的方式實施;
7 支援
7.1 資源
組織應考慮:
a)現有内部資源的能力和局限;
b)需要從外部供方獲得的資源;
7.2 能力
主要指人員的能力,組織應審視現有的知識,确定如何擷取或接觸更多必要的知識和知識更新。
7.3 意識
應確定在組織控制範圍内的從業人員意識到:
a)品質方針
b)相關的品質目标
c)他們對QMS有效性的貢獻,包括改進品質績效的益處
d)不符合品質管理體系要求的後果
7.4 溝通
有效溝通
7.5 檔案化資訊
組織的品質管理體系應包括:
a)本标準要求的成文資訊;
b)組織所确定的、為確定品質管理體系有效性所需的成文資訊;
c)檔案不适用時要更新;
8 運作
8.1 運作策劃和控制
應策劃、實施和控制滿足産品和服務提供要求所需的過程,策劃的輸出應适合于組織的運作;
組織應控制策劃的變更,評審非預期變更的後果,必要時,采取措施減輕不利影響。
8.2 産品和服務要求
包括與顧客溝通;産品和服務要求的确定;産品和服務要求的評審;産品和服務要求的更改
8.3 産品和服務的設計與開發
組織應建立、實施和保持适當的設計和開發過程,以確定後續的産品和服務的提供;
包括設計和開發策劃;設計和開發輸入;設計和開發控制;設計和開發輸出;設計和開發更改;
8.4 外部提供的過程、産品和服務的控制
組織應確定外部提供的過程、産品和服務符合要求。
包括控制類型和程度、提供給外部供方的資訊等
8.5 生産和服務提供
包括生産和服務提供的控制,辨別和可追溯性、顧客或外部供方的财産以及防護、傳遞後的活動、變更控制等
8.6 産品和服務的放行
應按策劃的安排,在适當的階段驗證産品和服務是否已滿足要求。
除非得到有關授權人員的準許,适用時得到顧客的準許,否則在策劃的安排已圓滿完成之前,不應向顧客放行産品和服務。
8.7 不合格輸出的控制
應確定不符合要求的輸出得到識别和控制,以防止其非預期的使用或傳遞;保留記錄不合格描述的檔案化資訊;
9 績效評價
9.1 監視、測量、分析和評價
組織應确定:
a)需要監視和測量什麼;
b)需要用什麼方法進行監視、測量、分析和評價,以確定結果有效
c)何時實施監視和測量
d)何時對監視和測量的結果進行分析和評價
應監視顧客對其需求和期望得到滿足程度地感受,應确定擷取、監視和評審的方法。
應分析、評價來自監視和測量的相關資料和資訊;
9.2 内部稽核
應按照策劃的時間間隔進行内部稽核。
9.3 管理稽核
最高管理者應按策劃的時間間隔評審QMS,以確定其持續的适宜性、充分性和有效性,并與組織的戰略方向保持一緻。
策劃和實施時應考慮:
a)以往管理評審所采取措施的實施狀況;
b)與QMS有關的外部或内部因素的變化;
c)QMS績效和有效性的資訊,包括如下趨勢性資訊:
① 顧客滿意和相關方的回報;
② 品質目标的實作程度;
③ 過程績效及産品和服務的符合性;
④ 不符合與糾正措施;
⑤ 監視和測量的結果;
⑥ 稽核結果;
⑦ 外部供方的績效
d)資源的充分性;
e)應對風險和機會的應對措施的有效性;
f)改進的機會
10 改進
應确定和選擇改進機會,采取任何必要的措施以滿足顧客要求并增強顧客滿意
發生不符合時,應做出響應;保留檔案化的資訊。
ISO27001标準體系
資訊安全管理服務根據組織的不同需求為其量身定制适合自己的資訊安全管理體系,幫助企業更好的加強自身資訊安全管理水準,降低企業業務運作過程中的風險。并采用可信任的控制措施,提供行業解決方案,滿足客戶的不同需求。