ISO9001和ISO27001质量管理体系
目录
背景
ISO9001
4 组织环境
4.1 理解组织及其环境
4.2 理解相关方的需求和期望
4.3 确定质量管理体系(QMS,quality management system)的范围
4.4 质量管理体系及其过程
5 领导作用
5.1 领导作用和承诺
5.2 方针
6 策划
7 支持
7.1 资源
7.2 能力
7.3 意识
7.4 沟通
7.5 文件化信息
8 运行
8.1 运行策划和控制
8.2 产品和服务要求
8.3 产品和服务的设计与开发
8.4 外部提供的过程、产品和服务的控制
8.5 生产和服务提供
8.6 产品和服务的放行
8.7 不合格输出的控制
9 绩效评价
9.1 监视、测量、分析和评价
9.2 内部审核
9.3 管理审核
10 改进
ISO27001标准体系
背景
为什么要做质量审核?
质量管理体系审核用于确定组织符合质量\信息安全管理体系要求的程度,它是管理体系标准的基本内容之一;用于推动组织质量\信息安全管理体系持续改进
管理体系审核的基本原则?
客观性:审核只能使用客观证据,即那些支持事务存在或其真实性的数据。客观证据可通过观察、测量、试验或其他手段获得。
独立性:审核机构以及审核员应保持独立性,并避免利益冲突
系统方法:应用系统方法,识别、理解和管理审核活动的相互关联的过程,准备评审/a审核时间表。
审核准则?
指确定为审核依据的一组方针、程序或要求。通常又称为审核依据。
审核类型?
质量/信息安全管理体系审核可分为三种基本类型:第一方、第二方、第三方审核
第一方审核:用于内部目的,由组织自己或以组织的名义进行,可作为组织声明自身合格的基础,“第一方审核“通常称为“内部审核”。
第二方审核:由组织的顾客或由其他人以顾客的名义进行的审核。审核依据更注重双方签订的合同要求。审核的结果通常作为顾客决定购买的因素。
第三方审核:由外部独立的审核服务组织进行,这类组织通常是经认可的,提供符合(如ISO 9001、ISO14001、ISO45001)要求的认证或注册。
ISO9001
主要分为以下几个要求:
1.范围;2.引用标准;3.术语和定义;4.组织环境;5.领导作用;6.策划;7.支持;8.运行;9.绩效评价;10.改进
PDCA循环能够应用于所有过程以及整个质量管理体系
-------策划(Plan):根据顾客的要求和组织的方针,建立体系的目标及其过程,确定实现结果所需的资源,并识别和应对风险和机遇;
-------实施(Do):执行所做的策划;
-------检查(Check):根据方针、目标、要求和所策划的活动,对过程以及形成的产品和服务进行监视和测量,并报告结果;
-------处置(Act):必要时,采取措施提高绩效;
4 组织环境
4.1 理解组织及其环境
组织应确定与其宗旨和战略方向相关并影响其实现质量管理体系预期结果的能力的各种内部和外部因素。
4.2 理解相关方的需求和期望
由于相关方对组织稳定提供符合顾客要求及适用法律法规要求的产品和服务的能力具有影响或潜在影响,因此,组织应确定:
a) 与质量管理体系有关的相关方;
b) 与质量管理体系有关的相关方的要求;
组织应监视和评审这些相关方的信息及其相关要求。
4.3 确定质量管理体系(QMS,quality management system)的范围
应界定QMS的边界和适用性,以确定其范围:
a) 内部和外部因素
b)相关方的要求
c)产品和服务
4.4 质量管理体系及其过程
组织应按照本标准的要求,建立、实施、保持和持续改进质量管理体系,包括所需过程及其相互作用。
5 领导作用
5.1 领导作用和承诺
最高管理者应通过以下方面,证实其对质量管理体系的领导作用和承诺:
a)对质量管理体系的有效性负责;
b)确保制定质量管理体系的质量方针和质量目标,并与组织环境相适应,与战略方向相一致;
c)确保质量管理体系实现其预期结果;
d)以顾客为关注焦点;
5.2 方针
最高管理者应指定、实施和保持质量方针,并沟通质量方针(方针应成文可获取),应确保组织相关岗位的职责、权限得到分配、沟通和理解
6 策划
在策划质量管理体系时,组织应考虑4.1和4.2提及的要求,并确定需要应对的风险和机遇;
并针对相关职能、层次和质量管理体系所需的过程建立质量目标;
当组织确定需要对质量管理体系进行变更时,变更应按所策划的方式实施;
7 支持
7.1 资源
组织应考虑:
a)现有内部资源的能力和局限;
b)需要从外部供方获得的资源;
7.2 能力
主要指人员的能力,组织应审视现有的知识,确定如何获取或接触更多必要的知识和知识更新。
7.3 意识
应确保在组织控制范围内的工作人员意识到:
a)质量方针
b)相关的质量目标
c)他们对QMS有效性的贡献,包括改进质量绩效的益处
d)不符合质量管理体系要求的后果
7.4 沟通
有效沟通
7.5 文件化信息
组织的质量管理体系应包括:
a)本标准要求的成文信息;
b)组织所确定的、为确保质量管理体系有效性所需的成文信息;
c)文件不适用时要更新;
8 运行
8.1 运行策划和控制
应策划、实施和控制满足产品和服务提供要求所需的过程,策划的输出应适合于组织的运行;
组织应控制策划的变更,评审非预期变更的后果,必要时,采取措施减轻不利影响。
8.2 产品和服务要求
包括与顾客沟通;产品和服务要求的确定;产品和服务要求的评审;产品和服务要求的更改
8.3 产品和服务的设计与开发
组织应建立、实施和保持适当的设计和开发过程,以确保后续的产品和服务的提供;
包括设计和开发策划;设计和开发输入;设计和开发控制;设计和开发输出;设计和开发更改;
8.4 外部提供的过程、产品和服务的控制
组织应确保外部提供的过程、产品和服务符合要求。
包括控制类型和程度、提供给外部供方的信息等
8.5 生产和服务提供
包括生产和服务提供的控制,标识和可追溯性、顾客或外部供方的财产以及防护、交付后的活动、变更控制等
8.6 产品和服务的放行
应按策划的安排,在适当的阶段验证产品和服务是否已满足要求。
除非得到有关授权人员的批准,适用时得到顾客的批准,否则在策划的安排已圆满完成之前,不应向顾客放行产品和服务。
8.7 不合格输出的控制
应确保不符合要求的输出得到识别和控制,以防止其非预期的使用或交付;保留记录不合格描述的文件化信息;
9 绩效评价
9.1 监视、测量、分析和评价
组织应确定:
a)需要监视和测量什么;
b)需要用什么方法进行监视、测量、分析和评价,以确保结果有效
c)何时实施监视和测量
d)何时对监视和测量的结果进行分析和评价
应监视顾客对其需求和期望得到满足程度地感受,应确定获取、监视和评审的方法。
应分析、评价来自监视和测量的相关数据和信息;
9.2 内部审核
应按照策划的时间间隔进行内部审核。
9.3 管理审核
最高管理者应按策划的时间间隔评审QMS,以确保其持续的适宜性、充分性和有效性,并与组织的战略方向保持一致。
策划和实施时应考虑:
a)以往管理评审所采取措施的实施状况;
b)与QMS有关的外部或内部因素的变化;
c)QMS绩效和有效性的信息,包括如下趋势性信息:
① 顾客满意和相关方的反馈;
② 质量目标的实现程度;
③ 过程绩效及产品和服务的符合性;
④ 不符合与纠正措施;
⑤ 监视和测量的结果;
⑥ 审核结果;
⑦ 外部供方的绩效
d)资源的充分性;
e)应对风险和机会的应对措施的有效性;
f)改进的机会
10 改进
应确定和选择改进机会,采取任何必要的措施以满足顾客要求并增强顾客满意
发生不符合时,应做出响应;保留文件化的信息。
ISO27001标准体系
信息安全管理服务根据组织的不同需求为其量身定制适合自己的信息安全管理体系,帮助企业更好的加强自身信息安全管理水平,降低企业业务运作过程中的风险。并采用可信任的控制措施,提供行业解决方案,满足客户的不同需求。