发布令
本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT 服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:
a) 建立服务管理计划;
b) 向组织传达满足服务管理目标和持续改进的重要性;
e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;
1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。
总经理:
日期:
信息安全方针和信息安全目标
信息安全方针:信息安全人人有责
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织
2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全
6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。
7.对本公司的相关方,要明确安全要求和安全职责。
8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意识。
9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估
11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变
化。本公司或环境发生重大变化时,随时评估。
13.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
14.公司建立报告信息安全事件的渠道和相应的主管部门。
15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。
七、监督检查
17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性
18.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
19.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚
20.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标:
1.不可接受风险处理率:100% (所有不可接受风险应降低到可接受的程度)。
2.重大顾客因信息安全事件投诉为0次(重大顾客投诉是指直接经济损失金额达1万元以上)
公司IT服务策略:
客户至上、全员参与、创新高效、系统管理、追求卓越
公司IT服务目标:
公司通过服务质量改进程序确定年度服务质量目标
质量方针?
(我公司)合理承诺,超值服务,在执行成本领先的战略之下全力提升服务质量。
1信息安全管理手册说明
1.1公司简介
XX
1.1编制依据和目的
本手册在遵循ISO9001:2005 《信息安全管理体系要求》与ISO/IEC 20000 《信息技术服务管理-规范》的要求编制而成,包括了ISO27001:2005的全部要求,对附录A的删减见《适用性声明SoA》。
手册描述公司的信息安全管理体系的总要求,以确保公司的信息安全管理体系能够
达到ISO27001:2005信息安全管理标准的要求;满足本公司向客户提供IT服务所需的IT 基础设施和IT技术支持服务,适用于向客户或认证机构证实,本公司具备提供符合客户需求的IT服务能力和服务质量。
本公司的体系程序是手册的支持性文件,是对体系运作的具体描述。
1.2适用范围
信息安全管理&IT服务管理体系手册适用于本公司提供安全管理体系认证服务与IT 服务有关的所有部门和活动。
1.3术语和定义
1.3.1本手册应用ISO/IEC 20000中的术语及定义。
1.3.2本手册应用ISO/IEC27001中的术语及定义。
2 信息安全管理&IT服务管理手册的管理
2.1手册的编制、批准和发布
2.1.1按照公司业务发展战略和客户需求,经公司管理者代表批准,技术服务事业部组织相关人员,结合本公司业务特点,根据ISO/IEC 20000标准的要求编写。
2.1.2《IT服务管理手册》由公司管理者代表批准后发布。
2.2手册的分发
2.2.1技术服务事业部负责手册的发放、更新、管理与存档。
2.2.2公司各部门负责手册的使用和保管。
2.3手册的受控状态
2.3.1书面形式的手册分“有效文件”和“保留文件”两种形式。作为公司日常运营的依据及提供给外部认证机构的手册均为“有效文件”形式。
2.3.2当手册内容变更时,“有效文件”形式的手册应及时予以更新和发放。
2.3.3“有效文件”形式的文件在更新后,如需保存原来的版本,以便于追溯,则应当用“保留文件”的标识予以区分。
2.3.4电子形式的手册由技术服务事业部在工作流转系统中进行管理。
2.4手册的变更
2.4.1因公司战略调整、客户需求或改进活动等引起的手册内容的变更,按公司总经理指示,技术服务事业部组织相关部门对涉及变更的内容进行更新,并经公司总经理批准后发布。
2.4.2更新后的手册,应及时地发放给公司内部原手册持有者,并收回旧版的手册。对电子形式的手册,由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。
2.5公司内部手册持有者的责任
2.5.1与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。
2.5.2妥善保管,不得私自更改、曲解手册的内容。不得随意向其他与公司业务无关的第三方传播,如需提供公司以外的第三方参考,应经技术服务事业部提交公司主管副总经理审核后,报公司总经理批准。
3 公司架构和安全承诺3.1公司行政组织架构
3.2公司信息安全管理体系组织架构图
注:每个虚线框内为一个信息安全小组,部门的负责人为安全组长,各岗位负责人为该岗位的安全员。
3.3公司IT服务管理职能关系架构图
3.4信息安全承诺
◆公司成立安全管理委员会来领导信息安全工作,并确定相应的职责和作用。
◆制订信息安全方针和信息安全目标,建立和完善公司的信息安全管理体系。
◆提供充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改
善。
◆对公司信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用性,
防范对信息的未经授权访问。对公司信息资产进行风险评估,制定风险可接受标准,对公司不能接受的风险进行处置。
◆建立业务持续性管理流程。进行业务持续性风险评估,编写、测试并实施业务持
续性计划和灾难恢复计划,以保证公司关键业务的连续,不受重大故障和灾难的影响。
◆确保公司所有员工都接受信息安全的教育培训,提高信息安全意识。
◆保护公司、客户、相关合作方的信息安全。
◆建立公司信息安全组织架构,明确信息安全责任,确定报告可疑的和发生的信息
安全事故及事件的流程,对违反安全制度的人员进行惩罚。
◆建立物理安全和网络安全管理制度,以确保信息的安全性。
◆保护公司软件和信息的完整性,防止病毒与各种恶意软件的入侵。
◆任何人在未经审批的情况下,禁止将信息资产带离公司。
◆公司所有员工都要严格遵守公司的安全方针、程序和制度。
◆控制对内外部网络服务的访问,保护网络服务的安全性与可用性。
◆对用户账号、口令和权限进行严格管理,防止对信息系统的非授权访问。
◆对重要信息进行备份保护,以保证信息的可用性。
◆定期对信息安全管理体系进行内审和管理评审。
3.5信息安全管理委员会
为了加强对信息安全管理体系运作的管理,江苏金马扬名信息技术有限公司公司成立信息安全管理委员会,其职责见下列明细表。
信息安全管理职责明细表
备注:以上职能划分,适用所有信息安全管理体系文件。
3.6服务管理职能说明
3.6.1为保证IT服务管理体系的顺利实施,以及实施后得到持续的管理和维护,在现有的组织架构外建立服务管理职能关系架构。IT服务管理职能关系架构,并不替代现有的按技术类别进行的分工,现有的按技术类别进的分工,在将来的IT服务管理体系中仍将发挥其作用。服务部根据IT服务管理程序要求对所有服务合同按照项目进行管理与运行,由项目经理按照服务管理职能关系架构中的要求对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、供应商管理和IT财务管理。对于上图虚线框内的的问题管理、发布管理、配置管理、变更管理、可用性和连续性管理、容量管理、服务级别管理以及服务报告可由服务部经理依照与用户签署的服务合同进行选择裁剪。
3.6.2 角色分配说明
3.6.2.1针对服务部当前组织架构及人员状况,将不再为每一具体流程分配流程经理。为此将13个流程,按其必要程度分成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实施、管理和控制。对项目组成员主要是组织、协调、安排相应工作任务的完成,可能并不是由自己去完成。
3.6.2.1.1 项目经理
职责说明:
1)、负责IT服务项目的立项工作,按照服务合同要求负责相应流程的实施、管理和控制。组织、协调、安排项目组成员完成相应工作任务。
2)、负责从服务台接受事件报告开始,分配相应的职能小组进行事件处理,直至找到问题的根本原因的整个过程的管理和协调。
3)、负责各系统的配置管理、变更和发布控制。
4)、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练,并负责系统容量的规划和监控。
5)、主要负责与用户的沟通,对供应商的管理,以及项目的预/决算的管理。
3.6.2.1.2能力要求:
熟悉服务部的各种服务管理流程,具有较强的内部协调能力。
由管理者代表授权技术服务事业部总监,按ISO/IEC 20000的要求,负责协调和组织所有与IT服务有关的活动,通过管理和实施各项活动,使IT服务业务的质量得到有效的保持和维护。
技术服务事业部组织制订、批准和发布公司IT服务策略、服务目标,并使其成为公司关注的焦点,成为公司协调、统一、凝聚公司的所有活动和资源的准则,成为建立、实施、保持并改进IT 服务管理体系的宗旨。
3.6.3公司IT服务策略:
客户至上、全员参与、创新高效、系统管理、追求卓越
公司IT服务目标:
公司通过服务质量改进程序确定年度服务质量目标
公司的IT服务目标按ISO/IEC 20000的要求,与公司的业务相结合,并通过流程绩效不断提高和改进。
技术服务事业部负责组织相关部门,通过会议、评审、书面报告、培训等方式,及时有效沟通工作,达到IT服务管理目标和持续改进的需求,并在公司中积极贯彻实施IT服务管理的重要性。技术服务事业部负责组织相关部门按照PDCA的要求,通过对所属业务的规划,适时优化和提供资源以计划、实施、监控、评审和改进IT服务的交付和管理。
管理者代表按照《服务质量改进管理程序》中的计划间隔,由技术服务事业
部负责组织相关部门实施IT服务管理体系的内部审核,确保IT服务管体系的有效性与符合性。管理者代表按照《服务质量改进管理程序》中的计划间隔,组织相关部门执行IT服务管理体系的管理评审,确保IT服务管理体系持续的稳定、充分和有效。
3.6.4文件要求
3.6.4.1公司的文件管理体系分为A、B、C、D四层,即A层为管理手册、B层为程序文件、C 层为工作流程或规定、D层为记录。
3.6.4.2管理手册—描述IT服务管理体系的文件,是全体员工必须长期遵循的法规性文件。3.6.4.3程序文件—覆盖公司主要业务过程的流程文件,是管理手册的支撑性文件。3.6.4.4工作流程或规定—是开展具体业务工作的规范类、指导性文件,是程序文件的支持性文件。
3.6.4.5记录—在开展具体业务工作过程中产生的记录类文件,主要是为具体工作结果提供各种可追溯性证据。
3.6.4.6技术服务事业部负责组织制订《文件和记录管理程序》,明确文件的拟制、批准、发放、变更、存档等管理要求,并监控实施。
3.6.4.7技术服务事业部负责组织相关部门,根据公司的业务特点及标准的要求,制订相关的程序文件,经公司管理者代表批准后实施。
3.6.4.8技术服务事业部负责组织拟制与本部门业务相关的各类C层文件,并按《文件和记录管理程序》的要求对文件和记录的有效性进行管理。
4信息安全管
4.1总要求
4.1.1 公司根据整体业务活动(软件开发、经营、服务和日常管理活动)和所面临的风险,按ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定,参照ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》标准,建立、实施、运作、监控、维护并改进文件化的信息安全管理体系。
4.1.2本手册使用的过程基于PDCA模式。
相关文件:
《信息安全方针及目标》
4.2建立和管理信息安全管理体系(ISMS)
4.2.1建立ISMS
4.2.1.1 信息安全管理体系的范围和边界
本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:
a) 本公司涉及软件开发、营销、服务和日常管理的业务系统;
b) 与所述信息系统有关的活动;
c) 与所述信息系统有关的部门和所有员工;
d) 所述活动、系统及支持性系统包含的全部信息资产。
组织范围:
本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册JIN/QM—3.2《公司信息安全管理体系组织架构》。
物理范围:
本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
本公司ISMS的物理范围为本公司位于常州市常州市鹂欣丽都2幢乙单元503室的办公场所,安全边界详见附录A(规范性附录)《办公场所平面图》。
4.2.1.2 信息安全管理体系的方针
为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.3条款。
该信息安全方针符合以下要求:
a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;
b) 考虑业务及法律或法规的要求,及合同的安全义务;
c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;
d) 建立了风险评价的准则;
e) 经最高管理者批准。
为实现信息安全管理体系方针,本公司承诺:
a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确信息安全的管理职责,见本信息安全管理手册第3.4条款。;
b) 识别并满足适用法律、法规和相关方信息安全要求;
c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;
d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
f) 制定并保持完善的业务连续性计划,实现可持续发展。
4.2.1.3 风险评估的方法
生技部负责制定《信息安全风险管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。信息安全风险评估采用信息安全风险管理软件
(Info-riskmanager)进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
4.2.1.4 识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险管理程序》,采用Info-riskmanager风险管理软件,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,根据重要资产判断依据确定是否为重要资产,形成了《重要资产清单》。
同时,根据《信息安全风险管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。
4.2.1.5 分析和评价风险
本公司按《信息安全风险管理程序》,采用信息安全风险管理软件,分析和评价风险:
a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c) 根据《信息安全风险管理程序》计算风险等级;
d) 根据《信息安全风险管理程序》及风险接受准则,判断风险为可接受或需要处理。
4.2.1.6 识别和评价风险处理的选择
网络管理部组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a) 控制风险,采用适当的内部控制措施;
b) 接受风险(不可能将所有风险降低为零);
c) 避免风险(如物理隔离);
d) 转移风险(如将风险转移给保险者、供方、分包商)。
4.2.1.7选择控制目标与控制措施
网络管理部根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见《信息安全适用性声明》):
a)信息安全控制目标获得了信息安全最高责任者的批准。
b)控制目标及控制措施的选择原则来源于ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参考ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》。
c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。
4.2.1.8 对风险处理后的剩余风险,得到了公司最高管理者的批准。
4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。
4.2.1.10 适用性声明
生技部负责编制《信息安全适用性声明》(SoA)。该声明包括以下方面的内容:
a)所选择控制目标与控制措施的概要描述,以及选择的原因;
b)对ISO/IEC 27001:2005附录A中未选用的控制目标及控制措施理由的说明。
4.2.2实施和运行ISMS
4.2.2.1为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a)形成《风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;
b)为实现已确定的安全目标、实施《风险处理计划》,明确各岗位的信息安全职责;
c)实施所选择的控制措施,以实现控制目标的要求;
d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;
e)进行信息安全培训,提高全员信息安全意识和能力;
f)对信息安全体系的运作进行管理;
g)对信息安全所需资源进行管理;
h)实施控制程序,对信息安全事件(或征兆)进行迅速反应。
4.2.2.2 信息安全组织机构
本公司成立了的信息安全领导机构-信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺。具体职责是:研究决定贯标工作涉及到的重大事项;审定公司信息安全方针、目标、工作计划和重要文件;为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。
本公司由相关部门代表组成信息安全管理网络,采用联席会议(协调会)的方式,进行信息安全协调和协作,以:
a) 确保安全活动的执行符合信息安全方针;
b) 确定怎样处理不符合;
c) 批准信息安全的方法和过程,如风险评估、信息分类;
d) 识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露;
e) 评估信息安全控制措施实施的充分性和协调性;
f) 有效的推动组织内信息安全教育、培训和意识;
g) 评价根据信息安全事件监控和评审得出的信息,并根据识别的信息安全事件推荐适当的措施。
4.2.2.3信息安全职责和权限
本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责:
a) 建立并实施信息安全管理体系必要的程序并维持其有效运行;
b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全领导小组或最高责任者报告。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门、人员有关信息安全职责分配见本信息安全管理手册第3.4条款《信息安全管理职责明细表》和相应的程序文件。
4.2.2.4 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
4.2.3监控和评审ISMS
4.2.3.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
c)使管理者确认人工或自动执行的安全活动达到预期的结果;
d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;
e)积累信息安全方面的经验;
4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。
4.2.3.3 网络管理部应组织有关部门按照《信息安全风险管理程序》的要求,采用信息安全风险管理软件,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织;
b) 技术;
c) 业务目标和过程;
d) 已识别的威胁;
e) 实施控制的有效性;
f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。
4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体要求,见本手册第6章。
4.2.3.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第7章。
4.2.3.6考虑监视和评审活动的发现,更新安全计划。
4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
4.2.4保持与持续改进ISMS
我公司开展以下活动,以确保信息安全管理体系的持续改进:
a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;
b) 按照《内部审核管理程序》、《纠正措施管理程序》、《预防措施管理程序》的要求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故(事件)的经验教训,不断改进安全措施的有效性;
c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;
d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。
相关文件:
《系统风险评估方法》
《适用性声明》
《管理评审程序》
《内部审核控制程序》
《纠正措施控制程序》
《预防措施控制程序》
4.3文件要求
4.3.1总则
ISMS文件应包括:
a) 形成文件的ISMS方针和控制目标;
b) ISMS范围
c) ISMS的支持性程序和控制措施;
d) 风险评估方法的描述;
e) 风险评估报告;
f) 风险处置计划;
g) 公司为确保其信息安全过程的有效策划、运行和控制以及规定如何测量控制措施有效性所需的程序文件;
h) 标准所要求的记录;
i) 适用性声明。
所有文件应按ISMS方针要求在需要时可获得。
4.3.2文件控制
ISMS所要求的文件应予以保护和控制,应编制形成文件的程序以规定以下方面所需的管理措施:
a) 文件发布前得到批准以确保文件是充分的;
b) 必要时对文件进行评审与更新并再次批准;
c) 确保文件的更改和现行修订状态得到识别;
d) 确保在使用处可获得适用文件的适用版本;
e) 确保文件保持合法并易于识别;
f) 确保外来文件得到识别;
g) 确保文件的分发是受控的;
h) 防止作废文件的非预期使用;
i) 若因任何原因而保留作废文件时对这些文件进行适当的标识;
4.3.3记录控制
应建立并保持记录,以提供符合要求和ISMS有效运行的证据。记录应得到保护并且受控。ISMS应考虑相关法律要求,记录应易于识别和检索。应编制形成文件的程序,以规定记录的识别、贮存、保护、检索、保存期限和处置所需的控制,确定记录需要和程度的管理过程。
保持过程业绩的记录以及与ISMS有关的安全事件的记录。例如,记录包括访问者登记审核记录和访问授权。
相关文件:
《文件控制程序》
《记录控制程序》
5 管理职责
5.1管理承诺
管理层应通过以下措施对其建立、实施、运行、监控、评审、维护和改进ISMS的承诺提供证据。
a) 建立信息安全方针;
b) 确保信息安全目标和计划的建立;
c) 为信息安全分配角色和职责;
d) 向公司传达满足信息安全目标、符合信息安全方针、法律责任和持续改进的重要性;
e) 提供足够的资源以建立、实施、运行、监控、评审、维护和改进ISMS;
f) 决定可接受风险的标准和可接受风险的等级;
g) 确保ISMS内部审核的执行;
h) 进行ISMS管理评审。
相关文件:
《信息安全方针和目标》
《部门职责》
《管理评审程序》
《系统风险评估方法》
5.2 资源管理
5.2.1资源提供
公司应确定和提供以下方面所需的资源
a) 建立建立、实施、运行、监控、维护和改进ISMS
b) 确保信息安全程序支持业务需求;
c) 识别并确定法律法规要求和合同安全责任;
d) 通过正确应用所有实施的控制措施的来维持足够的安全;
e) 必要时进行评估,并对评估结果采取适当的对应措施;
f) 必要时改进ISMS的有效性。
5.2.2培训、意识和能力
公司应确保在ISMS中任命职责的人员应能够胜任要求的任务
a) 确定从事影响信息安全工作的人员所必需的能力;
b) 提供足够的能力培训或其它措施,必要时聘用有能力的人员满足这些要求;
c) 评估所提供的培训和采取措施的有效性;
d) 保持教育、培训、技能、经验和资质的适当记录。
公司应确保员工认识到所从事信息安全活动的相关性和重要性,以及如何为实现ISMS 目标作出贡献。
相关文件:
《人力资源管理控制程序》
6 ISMS内部审核
目录
文件与记录管理程序 1、目的 通过对管理体系文件的严格控制管理,确保其文件使用的有效性、保管和更改的规定。并对质量记录其完整性、准确性、清晰、保管等予以控制。以证明产品三体系满足规定要求、管理体系有效运行,并为实现可追溯性、证实作用以及采取纠正和预防措施提供依据。 2、适用范围 适用于本公司所有管理体系文件及相关资料记录的管理与控制。 3、职责与权限 ISO综管部负责公司管理体系文件的收集、分类编号、整理、存档保管、发放及与管理和 控制有关的其他工作。 各部门负责本部门在用文件的管理和控制。 4、程序内容 管理体系文件的分类、编制、审核、审批按下列规定执行: 管理体系文件的编号、归口、分类、 4.2.1 公司编制的各级管理体系文件均由综管部归口、分类并统一编号,其文件编号规定。 4.2.2 文件受控分类 管理体系文件分为受控原版、受控副本、非受控副本: 1)受控原版是不须加盖受控文件印章,由综管部保存,仅作为复制用途。 2)受控副本为受控原版的复印件,其上加盖红色“受控本”印章发放,作为公司内使用的合法文件,公司内不允许使用“受控本”变黑的非法复印文件,以确保文件更新时能够从发放或使用场所撤出失效或作废的文件。 3)非受控副本为受控原版的复印件,其上加盖红色本公司名印章作为提供给客户或公司以外的人员使用的合法文件。公司内部不允许使用加盖红色本公司印章名的体系受控文件。 4.2.3 文件版次规定 为确保公司管理体系文件的有效性能够得到控制,对其采用版次来控制最新有效版次。版次采用“A”+第几次版本,文件经过一次修改后进行换版,版本号增高一位(如:A0首次发行版本、A1第一次修改、A...n第n次修改 文件的发放与记录 4.3.1 综管部根据管理手册、程序文件、效率记录制定并及时登录《受控文件总表》;根据质量记录表格制定并及时登录《质量记录总表》,确保各部门使用最新有效的文件。根据统一分发号加盖红色“受控”印章发放,收件人应当场核对页数,页码和分发号无误后,在《文件发放与回收记录》上签收。 4.3.2用部门的体系文件破损或遗失时,须填写《文件领用申请表》经体系负责人批准补发。破损文件及时交还综管部,遗失文件须追究相关人员责任。 4.3.3 非发放范围人员需领用文件时,须填写《文件领用申请表》经该文件的批准人同意后,按本节第条办理手续。 4.3.4 三体系记录空白表格的发放由综管部根据《质量记录总表》发放三体系记录空白表格,不需要加盖蓝色“受控本”印章,接收人在表格原件背面签字,作为发放记录(注:综管部只控制质量记录空白表格的格式、编号和版次)。 文件的更改
质量管理体系策划控制程序 (IATF16949-2016 / ISO9001-2015) 1.0目的 为确保公司质量管理体系得到有效运行及实施,使其符合IATF16949-2016 / ISO9001-2015质量管理体系要求,公司在实施和执行质量管理体系之前,需要对其进行策划。 2.0范围 适用于本公司质量管理体系覆盖产品所涉及到的所有过程和环节。 3.0引用文件 《文件化信息管理管理程序》 4.0术语和定义 质量管理体系:指为实施质量管理所需的组织结构、程序、过程和资源,建立质量方针和质量目标,并实现这些目标的一组相互关联的或相互作用的要素的集合。 质量策划:指一种确定生产某具体产品或系列产品(如:零件、材料等)所用方法(如:测量和试验等)的结构化的过程,是质量管理的一部分,致力于设定质量目标并规定必要的作业过程和相关资源以实现其质量目标;与缺陷探测大不相同,质量策划包括防错和持续改进的思想。 质量计划:指质量管理体系要素被应用于一个特定情况的规范,是描述与特殊产品或合同相关的具体质量规程、资源和系列活动的文件。当控制计划作为质量计划时,质量计划便成为一种广义的概念。
管理手册:指依据公司质量方针而拟定和执行质量方针为达成质量目标的要求,并明确其途经和职责及有效地执行质量管理体系所使用之原则性的基本质量管理活动,为保证满足顾客的要求和需求及期望而描述质量管理体系要素的原则性管理的书面化文件;其目的在于提供一套执行与维持质量管理体系正常运作之有效性和适切性的基本指导纲要原则和与程序文件的衔接桥梁,是质量管理体系的第一层次文件。 程序文件:指为维持质量管理体系的运作,当工作涉及到组织内多种职能和部门时将其形成文件的过程,使其作业的目的、范围、权责部门和作业内容透过流程步骤和先后顺序以流程图式地加以说明,以利便于各项工作的实施和管理;其目的在于规范管理性的质量管理活动,促使企业内所有与产品质量、交付和服务有关的过程得到明确规定,并延伸到管理手册使所有活动更具体表现,是质量管理体系的第二层次文件。 作业标准书:指在质量管理体系中为有效地实施和执行及完成某一功能所进行的工作(如:生产准备工作、检验和试验、返工和返修、设置、人员等),将每一项动作的基准加以详细地说明,包括适用范围、机器设备、测量设备和监控装置、使用工装/工具/模具/夹具/刀具和方法或方式及人员、时间、地点等详细说明的步骤,便于第一线的作业者或操作者或检验者参考使用,以免发生错误或因人的理解能力不同而有所差异,造成质量管理体系运作之有效性和适宜性有所偏差而未能达成质量经营管理目标和质量方针;其目的在于规范作业的质量管理活动,并具体指出与质量有关的作业指导和要求,将程序文件中未述明的部分详加说明,是质量管理体系的第三层次文件。 表单/表格和记录:指为记录有关质量管理体系实施和执行及维持体系运作的见
程序文件汇编 (第1 版) 编制: 审核: 批准: 2017-10-01 发布 2017-10-01 实施 GGGGGGG 有限公司 目录 文件控制程序 (3) 记录控制程序 (7) 环境因素识别与评价控制程序 (10) 危险源辨识和风险评价控制程序 (2) 信息交流控制程序 (8) 相关方管理控制程序 (11) 运行控制程序 (15) 污染物管理控制程序 (18) 生产和服务提供控制程序 (21) 内部审核控制程序 (26) 合规性义务和评价控制程序 (29)
产品的监视和测量控制程序 (31) 绩效测量与监视控制程序 (35) 不符合与纠正措施控制程序 (38) 应急准备与响应控制程序 (42) 事件调查控制程序 (47) 设计和开发控制程序 (51) 知识管理控制程序 (54) 变更管理控制程序 (58) 组织的环境、相关方分析及风险控制程序 (62) 文件控制程序 1. 目的 对管理体系所要求的文件进行控制,确保各部门使用文件的适宜性、充分性和有效性。 2. 适用范围 适用于公司质量/环境/职业健康安全文件和资料的控制。 3. 职责 3.1办公室负责管理体系文件的归口管理; 3.2技术部负责技术文件的管理和控制; 3.3研发部负责设计研发和技术协议等文件的控制管理; 3.4各部门负责归口外来文件的控制管理。 4. 工作程序 4.1管理体系文件分为三个层次,分别是 A层文件《管理手册》;B层文件《程序文件》; C层文件有:作业指导书、操作规程、管理制度、国家 /行业标准等。 4.2文件的审批流程 4.2.1A层文件:《管理手册》由综治办编写、常务副总审核,总经理批准。 4.2.2B层文件:《程序文件》由编写小组负责编制,管理者代表审核,总经理批准。 4.2.3C层文件:由管理部门编写,部门负责人审核,分管副总批准。 4.2.4公司行政文件
1目的 规定对公司已定案的各类职能、过程、关键人员、关键设施/设备、供方等发生变更时控制的程序,以保证对质量管理体系有影响的过程始终处于受控制的状态。 2 适用围 适用于公司所有对质量管理体系有影响的各类管理、过程方面的变更。 3职责 3.1 各个部门或个人可根据工作职责提出变更申请。 3.2 受变更影响的各部门对变更申请进行评估、审核、列出相关的实施计划。并对经批准的变更申请和行动计划负责实施,负责将实施情况书面报告给质量管理部门。 3.3 管理者代表负责变更的管理,指定专人负责变更控制工作,界定变更分类,组织变更评估和审核,制订变更实施计划,跟踪变更的实施,对变更效果进行评价,及时反馈变更信息。 3.4总经理对重大的变更申请和实施计划进行批准以及对变更进行批准。 4 管理程序 4.1 变更类型 4.1.1 组织机构及职能、管理流程变更 4.1.2 制造场所的变更 4.1.3 管理体系相关标准的变更 4.1.4 重要人员的变更 4.1.5 关键设备、设施的变更 4.1.6 关键原材料供方和外包方的变更
4.1.7 应急计划的变更 4.1.8 产品相关的标准/规变更引起的变更 4.1.9 检测方法和程序变更 4.1.10 在日常运行过程中发生的非计划性重要变更(如来自于客户要求) 4.2变更流程 4.2.1 组织机构及职能、管理流程变更:由提出部门申请,经高层领导交换统一意见,总经理批准后方可实施变更。 4.2.2 管理体系相关标准、制造场所的变更,如果涉及第三方认证,则需重新进行质量策划,变更后应通知认证机构对新的制造场所进行审核。 4.2.3 重要人员的变更:由使用部门的负责人提出,综合办按《人力资源控制程序》的相关规定,进行招聘/换岗和培训,确保变更的人员满足能力要求。 4.2.4关键设备、设施和公用工程的变更:按《工程变更控制程序》相关规定执行。 4.2.5原材料供方和外包方的变更:由采购部提出申请,并按《采购控制程序》相关规定对供方和外包方进行调查和评价合格,总经理批准后方可进行变更。 4.2.6 应急计划的变更:管理者代表组织对应急计划的变更或修订进行评估,确认变更能够满足应急要求,方可进行变更。 4.2.7产品相关的标准/规变更引起的变更。由技术部组织评审规,涉及到相关要求的变更,执行《文件控制程序》的相关规定,对相关的工艺技术文件及时修订,并重新发放。 4.2.8检测方法和程序变更。质保部应对新的检测方法和程序进行适用性和有效性验证,确认不会对产品的符合性评价造成影响后,方可进行变更。 4.2.9 非计划性变更:在日常工作中,如发现生产工艺、指令、记录、设备参数、方法等的书面规定与实际操作不符需要变更时,应执行《工程变更控制程序》的相关规定。
生产过程控制程序 1目的 本程序规定了在生产运作的全过程中人员、设备、工艺、环境等方面控制的职责、内容和方法措施。 2适用范围 本程序适用于公司电线电缆产品的制造过程,并对产品质量形成的每一个过程及阶段进行确认和控制的要求、内容及方法形成本程序。 3职责 3.1质量部负责产品实现策划的落实、控制工作,合理利用资源,不断提高生产效率; 3.2生产部负责生产和技术服务质量的控制和作业环境、安全的管理工作;负责设备设施设施的维护保养工作。 3.3营销总部负责按照销售合同或客户要求,负责产品的核价、商务标书的制作,下达采购计划并安排仓库。 3.3采购部负责按生产需求采购合格的原料及设备;负责产品的出入库装缷、储存和发运。负责产品的防护和 标识及可追溯性控制; 3.4质量部负责作业文件的编制;技术标的制作。 3.5各部门对管辖范围内的环境进行管理,确保工作环境符合有关条件和要求。 4生产前准备 4.1生产提供过程控制 4.1.1生产部根据营销总部提供的《生产通知单》、技术协议等,在充分考虑本公司生产能力及库存情况下,编 制《生产任务通知单》并向各生产过程相关下达。 4.1.2采购部根据《生产通知单》》分解定额,准备生产所需原辅材料。 4.1.3生产部根据机台剩余存料情况和《生产任务通知单》,开具《领料单》或《出库单》领取原辅助材料或半 成品。 4.1.4生产机台按《生产任务通知单》和工艺文件要求,执行生产任务和生产过程的自检、互检,并做好自检互
检记录,填写《工序工艺操作台账及交接班运行记录》。 4.1.5质量部检验员对各生产机台生产内容进行巡检,并形成记录,对不合格半成品按《不合格品控制程序》处 理。 4.1.6质量部制定各生产机台的作业指导书和工艺文件,并按《文件控制程序》进行受控并下发各分厂,4.1.7半成品下盘后,操作者详细填写《产品制造流程卡》或《产品制造卡》并口头向质量部检验员交检,检验员根 据巡检情况在《产品制造流程卡》或《产品制造卡》上签章并对检验状态进行标识。 《产品制造流程卡》,交检人员填4.1.8成品线下盘后,生产设备部向质量部检验员办理交检手续,交检时盘上必须随带 写《成品检验通知及反馈单》一式两份,一份交质量部,一份生产设备部留存。 4.1.9质量部检验员对交检成品进行出厂检验、试验,并形成记录,合格后签发《合格证》和公司质量证明书, 不合格的成品按《不合格品控制程序》处理。 4.1.10生产设备部根据《合格证》内容及《生产通知单》,对成品线规格型号、数量、工号、状态、出 厂编号等全面核对后,填写《入库单》,向综合管理部办理入库手续。 4.1.11入库后的成品应及时登记、建账,做到证、账、物相符,并妥善做好成品的标识、贮存、包装、 防护和交付使用前的管理。具体依据《产品防护控制程序》处理。 4.2生产现场用原辅材料、半成品的控制 4.2.1进入生产现场的原辅材料为采购部根据《采购控制程序》向供方采购并经公司检验确认的合格原辅材料。 4.2.2质量部根据《产品的监视和测量控制程序》对进厂原辅材料进行检验和试验。 4.2.3生产部根据《产品防护控制程序》对进入现场物资进行储存、防护、发放管理。 4.2.4对于因进厂检验、验证抽样而不能判断物资的全部质量特性,但在投入使用后,出现质量问题的原辅材料 应立即退出生产现场,生产操作者及时根据现场实际情况填写《原辅材料使用意见反馈单》,由生产设备部、质量部、综合管理部部填写意见后,按《不合格品控制程序》进行处理。 4.2.5生产设备部中间库对所有入库的半成品按《半成品管理办法》进行管理。 4.3关键和特殊过程的控制 4.3.1关键过程:
文件名称:文件控制管理程序
1.0 目的 对公司环境、质量管理体系以及管理标准、工作标准中的各类文件进行管理,确保各部门使用文件的适宜性及充分性, 防止误用作废文件。 2.0 范围 适用于本公司所有环境、质量管理体系文件以及管理标准、工作标准的(电子档)的编制、审核、批准、发放、评审和变更。 3.0 职责 3.2 文控中心 对公司环境、质量管理系统中各阶文件的合理管控以及文件的分类、编号、保管、发放、回收、销毁及审查等工作。 3.3 相关单位 3.3.1 各部门须遵守本程序,并配合文控中心一同做好文件的更新及维护;其部门主管 需对文件资料进行审签,对所发行的文件负责保管与执行之责。 3.3.2 各部门需负责文件的使用和保管,确保文件的整洁、完整,不得在受控的文件上 随意书写涂改,也不得丢失。版本更新时,配合文控中心及旧版资料及时回收作 业,防止误用。 4.0 定义 4.1 文件与资料 公司环境和质量文件所包含有:手册、程序、作业规范/指导书、表单;技术类文件、测试检验数据报告、各种变更文件以及公司各类经营管理标准、工作标准等。 4.2 第一阶文件-—手册
环境管理手册:环境管理系统最高指导原则,规定其核心内容的整体方向、结构和相互作用。 质量管理手册:质量管理系统最高指导原则,规定其核心内容的整体方向、结构和相互作用。 4.3 二阶文件-—程序 4.3.1 环境、质量管理程序:环境、质量作业运作过程的整体流程。 4.4 三阶文件-—作业规范、指导书、管理标准及工作标准。 4.4.1作业指导书: 指不涉及具体型号产品技术细节的作业指导书。如技术文件编号方 法、作业指导书,设备操作维护规程等。 4.4.2 技术性作业指导书:指涉及具体型号产品技术细节的作业指导书, 如技术图纸 /BOM、工艺文件、产品检验文件等。 4.4.3管理标准:指各类管理规定、管理制度、管理办法等用于规范管理及人员行为的 法规性文件。 4.4.4工作标准:指各类岗位职责及职务说明书等文件。 4.5 四阶文件-—表单 使用固定格式的单据,有表单编号及版本管控,用以质量、环境及环境的数据收集、传递资讯,控制作业流程或证明作业已符合要求的资料记录。 4.6 外来文件与资料。 各单位因业务需求所使用的各类法律法规、国家标准、行业标准、地方标准及行业各类技术资料等。 4.7 文件标准用纸 各单位送至文控中心所有需要发行的文件标准型一般为A4纸张,禁止用“二手纸”。 5.0 工作程序 5.1 文件的编制 5.1.1 书写规定 5.1.1.1 二、三阶文件需依照(1)目的(2)范围(3)权责(4)定义[无定义时填 写“无”](5)工作程序(6)相关文件(7)相关表单(8)附录(必要 时)。 注:二阶文件需另制作封面,由相关人员签核,三阶文件不需要封面,相关人员签核栏在页尾处。 5.1.1.2 文件页次格式:第*页,共*页代表,以此类推。 5.1.1.3 各标题内的小标题顺序如下格式: 1→1.1→1.1.1→1.1.1.1 以此类推。 2→2.1→2.1.1→2.1.1.1 以此类推。 5.1.2 文件经3.1权责主管核准后方可制订,以确保文件的充分、完整并适用。
主题】管理体系策划控制程序 页码第1页共3页 1目的 管理体系策划和变更时,确保管理体系的完整性和运行有效性。 2适用范围 本程序适用于对中心管理体系的策划、变更、建立和保持,贯穿于整个管理体系策划和实施的过程。 3职责 3.1中心主任负责管理体系的整体运行。 3.2质量负责人组织管理体系策划、变更的实施。 4工作程序 4.1管理体系的策划 质量负责人负责组织管理体系的策划和变更,中心主任负责对策划内容的审批。 4.1.1 管理体系策划的时机: 1 中心按照评审准则的要求建立管理体系; 2中心的质量方针、质量目标、组织机构发生重大变化时; 3中心的资源配置发生重大变化时; 4所依据的政策、法规发生重大变化时; 5管理体系不适应政策、法规要求时;
6其他需要变更的事项 4.1.2策划的原则: (1与管理体系协调:策划和变更应以已建立的管理体系为基础,符合中心的质量方针和质量目标,并与已有的管理体系文件相协调。 (2 确保过程受控: 策划和变更活动应确保当中心的组织结构、工作条件变化时,所有活动过程仍然受控,并使中心的管理体系得到正常运行,以保持管理体系的完整性。 4.2管理体系建立流程 4.2.1确定方案 中心主任依据评审准则对管理体系的要求,结合本中心所制定颁布的质量方针、 【主题】管理体系策划控制程序 页码第2 页共3 页 目标和检验工作,组织制定管理体系策划实施方案,规划和建立管理体系结构,确定需要需要形成的体系文件清单,明确分工。 4.2.2形成文件 本中心的管理体系文件结构由质量手册、程序文件、作业指导书、相关表格等共四个层次文件组成。这些文件的所有规定,各管理层及全体员工必须配合执行。 (1(第一层次文件:质量手册。是质量体系运行的纲领性文件,阐明质量方针和目标,描述全部质量活动的要素,规定质量活动人员的责任、权限和相互之间的关系,明确质量手册的使用、修改和控制的规定等。其阐述了本中心质量管理
1 目的 有效控制各类变更,以保持体系的完整性、充分性、有效性。 2范围 适用于质量体系、产品、过程的变更 3职责 3.1涉及到技术、工程类的变更由工程部门归口管理; 3.2 涉及到体系、过程的变更由质量部负责归口管理; 3.3 其它管理变更由人力资源部门负责落实管理;具体分工见本规范 4.2条。 4工作内容和要求 4.1影响质量管理体系的变动因素 包括“人机料法环测”六要素。 人:一切过程中的员工,比如新员工上岗、员工转岗、新培训员工上岗、岗位人数变化(增加或减少)等因素会造成员工岗位技能或岗位要求变化; 机:泛指用于生产的所有机器设备、工装夹具等,比如新增、维修、保养等会改变机器状态,需点检确认; 料:用于生产的物料(原材料和辅料),比如变更供应商、供应商工程变更、储存期、本公司物料变更等引起物料状态变化; 法:生产工艺方法,比如工艺流程变更、工艺要求变更等引起工艺方法变化; 环:环境,比如由于气候变化引起环境的温度、湿度、洁净度、静电等状态变化;由于灯光、、噪音、工作时间引起员工工作状态变化等; 测:测量,即对生产的工艺、质量的检验检测状态,比如电子组装生产中的在线测试、功能测试、目视检查等工艺检验和IPQC的抽检巡检等状态改变。 4.2变更策划-- (IATF16949--6.3 变更策划) 各部门按系统化的方式及时进行策划变更,并充分考虑: a 变更的目的及其后果 b质量管理体系的完整性 c资源的获得 d职责权限的分配与再分配
b)格式(如语言、软件版本、图示)和媒介(如:纸质、电子) c)评审和批准以确保适宜性和充分性) 具体填写《文件制/修/废申请通知单》执行。 4.4 产品和服务要求的变更 (IATF16949-8.2 产品和服务要求的变更) 无论售前还是售后,若产品和服务要求发生变更,组织应确保相关文件得到修改,并确保相关人员了解更改的要求。 产品和服务要求变更时,应确保相关文件(如合同、产品标准、技术和工艺规范、采购规范、检验规范等)得到修改,确保与变更相关的人员知道已变更的要求。产品要求变更时的处理要注意: a)顾客提出更改时,组织宜请顾客出具书面凭证,并评审。 b)组织提出更改时,应根据需要及时评审并通知顾客,得到顾客确认(如签字确认)后执行。对已实现的部分产品,应与顾客协商,妥善处理。 所有的更改,由相关部门负责填写《工程变更申请单》、《工程变更通知单》进行办理更改手续。 4.5 设计和开发变更(IATF16949-8.3.6 设计和开发的更改): 应识别评审产品和服务的设计和开发期间或后续过程中的更改进行必要的控制,以确保对符合要求没有负面影响;按《工程规范及变更控制规范》进行控制,并保持以下方面的文件信息: a)设计开发的变更-《工程变更申请单》、《工程变更通知单》 b)评审的结果-(设计和开发评审单》 c)变更的授权-《工程变更通知单》 d)所采取的预防负面影响的措施-《纠正(预防)措施表》 在适当时,应对设计和开发的更改进行验证和确认,并在实施前得到批准,具体按《产品设计开发规范》执行。设计和开发更改的评审应包括评价更改对产品组成部分和已交付产品的影响。 更改评审结果及任何必要措施的记录应予以保持。 注:设计和开发更改包括产品项目生命周期内的所有技术性更改。 4.6 产品实现变更(IATF169498. 5.6 更改控制) 按《产品实现更改控制规范》对以下产品实现管理过程的更改进行控制:
文件控制程序 1.目的 确保本公司的有效文件得到有效的控制,所有相关场所均能得到有效版本文件。 2.范围 本程序适用于本公司质量环境职业健康安全管理体系文件、技术性文件、适当的外来文件的控制。 3.职责 3.1行政与人力资源部负责公司行政类文件及上级文件、劳动合同的统一管理; 3.2品质管理部负责工程施工标准、法律规范的收集,统一标识、分发、归档,负责组织有关人员修订、换版质量环境职业健康安全管理手册和程序文件; 3.3 商务管理部负责公司对业主承包合同及工程对外分包合同的管理; 3.4项目部负责图纸资料的控制管理; 3.5总经理负责质量环境职业健康安全管理手册和程序文件、管理制度的批准、发布; 3.6各职能部门负责对所收到文件的使用及控制管理。 4.工作程序 4.1管控范围 内部文件:质量环境职业健康安全管理手册、程序文件、管理制度、图纸资料等; 外来文件:公司收集的法律、法规、行业标准、上级发文。 4.2文件编号及标识
4.2.1质量环境职业健康安全管理手册、程序文件编号规定 QES/YJX - ** - **** 文件修订年号 管理手册01,程序文件02 标准代号 4.2.2现行国家标准、行业标准、企业标准以原标准号为准。 4.3文件编写、审核、批准、发布 4.3.1质量环境职业健康安全管理手册和程序文件、各类管理制度由品质管理部组织相关职能部门人员编写,管理者代表审核,总经理批准发布。 4.3.2技术文件由相关职能部门编写,主管领导审核,总经理批准发布。 4.4文件版本、受控标识 4.4.1管理手册、程序文件、企业管理制度的版本以“……版”表示。 4.4.2管理手册、程序文件的受控状态分“受控” 和“非受控”两种状态,受控文件封面标记“受控”文字,“非受控”文件不做任何标记。来确保使用场所得到相应文件的有效版本,以防止使用失效或作废文件。 4.4.3管理制度(含作业指导书)、图纸资料均为受控文件。 4.5文件发放、保存、更换 4.5.1管理制度、行政类文件的发放管理由行政与人力资源部负责,确定数量和发放范围,经主管领导同意实施发放,收文人签名领取。 4.5.2管理手册、程序文件、施工标准、规范的发放管理由品质管理部负责,确定数量和发放范围,经管理者代表同意实施发放,收文人
企业管理体系建立方案 一、建立体系管理所要解决的问题 1、管理大杂烩现象 管理一个企业,就像管理一支军队,必须成系统、成建制,必须有清晰的战略目标,有严密的组织结构,有明确的奖惩机制,一个接一个战役地打,一个接一个山头地攻,来不得半点虚假和花俏,这样企业才能够令行禁止、攻无不克、战无不胜。 随着市场经济的发展,很多企业领导越来越重视企业管理,为了加强企业管理,不惜投资大量的费用进行CI形象策划、广告宣传、产品促销、IS9000认证、5S、绩效考核、甚至建立ERP系统,东一榔头,西一棒子,投入越来越多,花费越来越高,拼凑了一盘“管理大杂烩”,结果企业的管理仍然是危机重重,这里的关键问题是,企业管理缺乏“目标”,企业管理不成“体系”,虽然搞了那么多的办法、制度,但由于没有考虑整个企业各条块之间管理上的互相支持、互相依赖和互相关联!其“事与愿违、成效甚微”,自然也就是情理之中,毫不奇怪了。缺乏系统的管理体系,企业依然缺乏发展后劲。 2、老总文化就是企业文化? 据管理学家统计,中国企业平均寿命只有4.5年,民营企业则更短,只有2.5年。创业者辛苦成立一个企业,历经千难万险,企业却突然之间轰然倒塌,在给公司造成巨大经济损失的同时,对社会也产生极大的负面影响。所以中国企业普遍面临的严峻问题就是如何做强、做大、做长? 企业只靠一两个人的聪明或勤奋是远远不够的,没有一个不断完善的管理体系,企业依然不能持续发展。因此,建立健全管理体系,对企业来说是至关重要的。 3、制度难以执行问题 好的制度总是无法实施。原因在什么地方呢?就在于我们许多公司总是在“人治人”、“人斗人”
的怪圈里运转,靠个人的行为去维系企业的生存,并没有真正建立一套法制的系统来管理我们的企业。 讲到规范化管理,人们会想到:管理规范化就是制度管理,于是就开始定规章制度,公司的制度越定越多,就能说明公司的管理越规范。许多企业导入一个IS9000就认为自己公司的管理已经规范了,但实际情况绝不仅仅只是制定规章制度这么简单。规范化管理就是给企业的管理打好地基。企业规范化管理系统应该包含七个子系统,这是企业管理的六根地基桩:(1)企业发展战略规划系统;(2)企业流程设计系统;(3)组织结构系统;(4)部门及岗位描述系统;(5)规章制度设计系统;(6)企业管理控制系统;(7)企业文化系统;(8)考核系统。要把八根桩深深打入企业地基,在八根桩的基础上经营管理企业,企业大厦就稳了。企业要想做大做强,战略与执行力缺一不可。企业虽有好的战略,会因缺乏执行力而最终失败,因此,很多企业已经认识到执行的重要性。而规范、健全的管理体系正是企业高效执行的关键。相反,管理基础薄弱、管理系统不规范只能造成执行力缺失,使企业腾飞的“翅膀”脆弱不堪。 这就要求企业在重视制度规范的同时,通过建立、健全企业管理体系,不断提升管理系统的水平来完善、发展自己,惟有这样,企业才有能力持续发展、长久生存。 4、没有明确的目标,“摸着石头过河” 无明确工作目标,无明确工作计划,无明确工作程序,无明确工作标准。许多企业的每一个层级的管理人员和基层员工并不明白,也不会制定自己的工作计划,因为总是习惯于等待由上级来下达任务,制定计划。更为严重的是,一些企业的中层管理人员工作几年甚至十几年,却从来不会写自己的工作计划和工作总结。 企业的管理必须要明确的目标,必须配合公司整体战略目标去逐步实施。如果没有互相的支持与联系,企业的管理系统最终还是会瘫痪的。无论是管理人员,还是操作人员,必须在事
2008版ISO 9001颁布后的体系工作建议 ISO, 建议, 颁布 本帖最后由 hnwang 于 2009-5-4 08:58 编辑 ISO 9001:2008版英文标准已经在2008年11月15日正式颁布了。已经建立符合2000版ISO 9001质量管理体系的组织应当如何做。这里给大家提出一些建议,供参考。 1、预先学习。 如果手头没有标准,可以从从本网站上下载。我们国家中文版本还没有颁布,如果不能看英文版本的话,可以从本网站下载有些翻译版本参考,已经足够了。 由于这次2008版相对2000版标准要求只是在文字上做了修饰和统一的协调更改,没有提出新的要求,如果原来对2000版标准理解
正确,体系建立得比较好的话,这些修改的工作量应当不会很大,甚至没有什么需要修改的。 2、组织学习。然后,组织ISO小组成员和内审员共同学习新版标准。如果原来没有建立ISO小组的。可以利用这个机会成立。 3、文件评审。ISO小组组织文件的主管人员(通常每份质量管理体系文件应当指定负责的部门,该部门应当指定负责人。一般这次体系要求变更对技术性文件不会有什么影响的),根据新版标准对每份文件,包括质量手册、程序文件,作业指导书和记录用的空白表单,结合实际执行情况,做一次评审。把结果分成以下各类: 情况现有文件内容实际执行、记 录工作量 a)符合新版标准不符合新版标准纠正措施 b)需修改或者补充符合新版标准文件修改 c)需修改或者补充不符合新版标准纠正措施 d)现没有但实际需要文件不符合新版标 准纠正措施
注:尽管这次2008版相对2000版标准的意图没有变化,仍然用于合同和认证。没有增加新的要求。仅仅对标准的文字做了一些统一、修饰和注解。如果过去对2000版标准理解有偏差的话,讲会发现,似乎2008版要求扩大了,内容增加了。所以,建议认真阅读2008版标准和2000版标准的差别。有条件的话,建议您阅读英文原文,加以对比。有助于对标准的正确理解。利用这次转版机会,提升自己的质量管理体系有效性和效率。 4、编写升版工作计划。ISO小组汇总以上情况,编制一份书面升版工作计划,经过总经理批准后,由管理者代表具体组织实施。 几点说明: a)文件修改要符合标准4.2.3条要求。各种质量管理体系文件的修改必须按照自己的程序文件规定执行,该程序文件必须满足标准第4.2.3条要求。 b)为了便于工作,文件数量可以调整。新版标准容许一个标准要求分散在几个文件中。譬如,不合格品处理8.3条,可以分别用进货、在制和交付后发现不合格品的三份处理程序来规定;也可以用一份文件来满足标准几条要求,甚至标准的几个要求。譬如,质量、环境保护、
QES程序文件文件号:********-QES-QP-2017标题:0.0 目录版本号/修订次:2017版/0共1 页第1 页 实施日期:2017年01月01日 序号文件编号文件名称 01 文件控制程序 02 记录控制程序 03 ********- QES 环境因素识别与重要程度控制程序 04 ********- QES 危险源辨识、风险评价与控制程序 05 适用法律与其它要求控制程序 06 信息交流控制程序 07 ********-QES-QP-5.6-2017 管理评审控制程序 08 ********-QES-QP-6.2-2017 人力资源管理控制程序 09 ********-QES-QP-6.3-2017 基础设施和工作环境控制程序 10 ********-QES-QP-7.1-2017 产品实现的策划控制程序 11 ********-QES-QP-7.2-2017 与顾客有关过程控制程序 12 ********-QES-QP-7.4-2017 采购控制程序 13 ********-QES-QP-7.5-2017 产品标识和可追溯性程序 14 ********-QES-QP-7.6-2017 监视和测量资源的控制程序 15 环境/安全控制程序 16 应急准备与响应控制程序 17 顾客满意度和服务控制程序 18 内部审核控制程序 19 生产和配送服务的监视与测量控制程 20 环境/职业健康安全监视和测量控制程 21 ********-QES 合规性评价控制程序 22 ********-QES-QP-8.3-2017 不合格控制程序 23 组织环境与相关方要求管理程序 24 风险和机遇的应对措施控制程序 25 组织变更管理控制程序 26 知识管理控制程序 27 ******** 目标、指标及管理方案控制程序 28 ********-QES-QP-8.5-2017 改进控制程序 29 ********-QES-QP-8.6-2017 环境/职业健康安全运作控制程序 30 ********-QES-QP-8.7-2017 纠正与预防措施管理程序
质量管理体系 策划方案 编制: 审核: 批准: 日期: XXXX咨询有限责任公司
目录 一、建立质量管理体系的原则 二、计划编制的体系文件清单 三、体系要素及质量活动展开表 四、质量管理体系认证计划安排 五、保密承诺及其他
质量管理体系策划方案 一、建立质量管理体系的原则 1.系统优化 研究体系的方法是系统工程,系统工程的核心是整体优化。组织在建立、保持和改进质量体系的各个过程,包括质量体系文件的编制、协调各部门各要素之间的接口,都必须树立总体优化的思想,力争质量管理体系与企业管理体系有机融合,杜绝质量管理与其它专项管理脱节、文件规定和实际动作不符的现象。 2.强调预防为主 预防为主就是将质量管理的重点从管理结果向管理过程转移,不是等出不合格品、出现顾客投诉才去采取措施,而是使质量问题消灭在形成过程中,做到防患于未然。因此要遵循质量管理原则,使对产品质量有影响的服务、管理人员及各个过程因素处于受控状态。 3.全面满足顾客对产品的需求 建立有效识别顾客现实需求和潜在需求的机制,并将这些需求完全体现在与顾客有关的过程、产品供应商评价、顾客需求分析中,向顾客提供周到、放心、增值的产品。 4.质量与效益统一 建立既要满足顾客的需求又能保护公司利益的质量体系,即在考虑利益、成本和风险的基础上使质量最佳,以及对质量加以控制的有价值的管理资源,而不是制订大量的不切实际的文件或建立无真实价值的记录。 5.立足现状,持续改进 由于组织在实施ISO9001:2008标准之前,还不同程度的受到现有机制和传统观念的束缚,管理上还没走上科学化、规范化、法制化和标准化的轨道。因
********技术有限公司程序文件 ***/**-20** 质量管理体系程序文件 第一版 文件编号: 受控状态: ****年1月1日发布 ****年1月1日实施
********有限公司质量管理体系程序文件 ****/***-X 程序名称:文件控制程序 编制单位:*** 编制:*** 时间:****. 审批:*** 时间:****. 评审会签表
1. 目的与适用范围 1.1目的 为了充分发挥文件在质量管理体系运行中所起的沟通意图、统一行动的作用,确保体系运行有效,特制定本程序。 1.2适用范围 本程序适用于本公司质量管理体系运行(包括产品实现)所需的第一层次、第二层次、第三层次文件的控制。外来文件的控制参照使用本程序。 2. 引用文件 本程序引用以下文件: ****/QP4-2 记录控制程序 3. 职责 ***是本程序归口管理单位,负责全公司第一、二、三层次文件的管理,包括文件分发、登记、修改、回收、换版、标识和处理。 ***是本程序责任单位,负责全公司技术性文件的管理。 4 控制要点 文件审批控制 本公司文件由总经理授权***、***、***起草编制。所有文件在发布前均由具备资格的人员进行评审、批准,以确保文件是充分与适宜的。 4.1.1 第一层次文件——质量手册由管理者代表组织起草,各职能部门评审,由总经理审批。 4.1.2 第二层次文件——程序文件由主管部门组织起草,相关部门参与评审会签,由管理者代表审批。 4.1.3 第三层次文件由主管部门起草,管理者代表审批,若其不在公司可由其授权的部门领导代批,其中管理性文件可由负责起草的部门
代批,技术性文件只能由***负责技术文件领导代批。所有代批文件均应在公司***文件管理人员处登记备案。 文件的发放与收回控制 4.2.1 ***负责公司所有管理性文件发放与收回,文件主管人员建立“质量体系文件发放/收回登记台帐”。 4.2.2 每种文件发放前均注明名称、编号、总份数、分发去向,由文件使用人员在发放、回收登记上签字。 4.2.3 ***负责所有技术性文件的发放与回收,控制方法同上 文件的更改控制 4.3.1 手册、程序文件、技术性文件更改前需授权人员填写《质量体系文件更改通知》,经总经理/管理者代表审批后进行更改,其他文件更改由管理者代表审批即可进行,不必填写更改通知。 4.2.2 更改方式分换页更改和划改。当手册或程序文件出现了3处以上更改或重大更改时,进行换页更改,在更改页右上角修改号处标明更改次数,除此以外的更改由授权人员对需更改处划改,以更改人、更改时间等作更改标识。 4.3.3 换版 当文件的依据发生变化、产品和机构发生变化,或文件多次修改影响清晰度,文件的指导性不适时,文件进行换版性修改。换版修改应标明文件版本号。 作废文件控制 所有作废文件由归口管理部门收回,除留作参考的保留资料以“作废”标识外,其余由归口部门领导批准后销毁。 外来文件的控制 外来文件由***负责管理,建立外来文件管理台帐,设专门外来文
质量管理体系策划控制 程序 Document number:BGCG-0857-BTDO-0089-2022
1. 目的
为确保公司质量管理体系得到有效运行及实施,使其符合ISO9001:2015质量管理体系要求,公司在实施和执行质量管理体系之前,需要对其进行策划。 2. 范围 适用于本公司质量管理体系覆盖产品所涉及到的所有过程和环节。 3. 引用文件 《文件化信息管理管理程序》 4. 术语和定义 质量管理体系:指为实施质量管理所需的组织结构、程序、过程和资源,建立质量方针和质量目标,并实现这些目标的一组相互关联的或相互作用的要素的集合。 质量策划:指一种确定生产某具体产品或系列产品(如:零件、材料等)所用方法(如:测量和试验等)的结构化的过程,是质量管理的一部分,致力于设定质量目标并规定必要的作业过程和相关资源以实现其质量目标;与缺陷探测大不相同,质量策划包括防错和持续改进的思想。 质量计划:指质量管理体系要素被应用于一个特定情况的规范,是描述与特殊产品或合同相关的具体质量规程、资源和系列活动的文件。当控制计划作为质量计划时,质量计划便成为一种广义的概念。 管理手册:指依据公司质量方针而拟定和执行质量方针为达成质量目标的要求,并明确其途经和职责及有效地执行质量管理体系所使用之原则性的基本质量管理活动,为保证满足顾客的要求和需求及期望而描述质量管理体系要素的原则性管理的书面化文件;其目的在于提供一套执行与维持质量管理体系正常运作之有效性和适切性的基本指导纲要原则和与程序文件的衔接桥梁,是质量管理体系的第一层次文件。 程序文件:指为维持质量管理体系的运作,当工作涉及到组织内多种职能和部门时将其形成文件的过程,使其作业的目的、范围、权责部门和作业内容透过流程步骤和先后顺序以流程图式地加以说明,以利便于各项工作的实施和管
**建工有限公司 MCJG/ZP-00-2018 程序文件汇编 (根据ISO9001-2015;ISO14001-2015;GB/T28001-2011编写) 拟 制: 文件编制小组 审 核: ** 批 准: ** 版 号: B/0 受控状态: 2018年01月10日发布 2018年01月10日实施
程序文件目录
1 目的 确保文件使用部门、相关场所均使用有效版本,使一体化管理体系文件和资料处于恰当控制状态。 2 适用范围 本程序适用于与一体化管理体系运行有关的所有文件和资料的控制。 3 职责 3.1总经理: 负责一体化管理方针、目标的批准和发布;负责一体化管理手册、程序文件的批准和发布。 3.2管理者代表:
负责一体化管理手册和程序文件的审核,负责操作文件批准;负责文件更改的批准。 3.3办公室: 负责一体化管理手册、程序文件及其它一体化管理体系文件的发放,负责各种一体化管理体系文件的存档或备案等; 负责设立“受控文件清单”和“文件收发登记表”,负责相关外来文件的接收及存档,负责已经批准作废的文件、失效的文件统一销毁等文件日常管理工作。 3.4各职能部门: 负责本部门相关操作文件的编写、审核; 负责建立本部门使用的文件、资料清单。 4 工作程序 4.1文件分类 4.1.1文件:包括外来文件和内部文件。 4.1.1.1外来文件 外来文件是国家或上级主管部门下发的文件(除国家强制执行的文件外,其余都为参考文件),也可是顾客提供的技术、质量、环境和职业健康安全方面的标准,主要包括:
程序文件MCJG/ZP-01-2018 共4 页第 2 页 a) 有关质量、环境和职业健康安全方面的法令、法律、法规; b) 国家质量、环境和职业健康安全管理体系标准; c) 上级主管部门下发的行业技术标准和规范; d) 其他与质量、环境和职业健康有关的文件,如:顾客提供的技术、质量、 环境和职业健康安全方面的标准或规范。 4.1.1.2内部文件 内部文件是本单位为保证一体化管理体系有效运行必须执行的文件,主要 包括: a) 一体化管理体系方针、一体化管理体系目标; b) 一体化管理手册; c) 程序文件; d) 操作文件:各部门编写的与一体化管理体系运行有关的文件, 包括相关 的规章制度、检验规程、操作规程及补充文件,…等; e)记录。 4.2编写、审核、批准和发布 办公室应设立“受控文件清单”和“文件收发登记表”。 4.2.1内部文件的编写、审核、批准及发布 a) 一体化管理体系方针、一体化管理目标由总经理批准发布;一体化管理 手册由管理者代表审核,总经理批准发布; b) 程序文件由各相关责任部门编写、管理者代表审核,总经理批准发布;
策划管理规定 A版 文件编号:3 受控状态:|受控 分发号:版本:A版 策划管理规定 根据GB/T19001-2008版标准要求,本公司策划主要内容为质量管理体系的策划、质量方针和U标的策划、资源提供的策划、产品实现的策划、测量、分析和改进的策划, 分别作如下规定: 1.质量管理体系的策划
1.1职责: 曲办公室负责起草,管理者代表审核,总经理批准。 1.2策划内容: 1.2. 1确定质量管理体系的过程和涉及产品范围。 1.2. 2按标准要求对删减的过程予以说明。 1.2. 3根据组织结构确定质量管理体系结构图。 1.2. 4建立质量管理体系文件结构,编写质量手册、过程顺序和相互作用,确定程序文件和相关文件。 1.3策划结果: 1.3.1质量手册目录 1.3. 2删减说明 1.3.3质量管理体系结构图 1.3. 4质量管理体系过程之间的相互作用示意图 1.3. 5受控文件清单 2.质量方针、目标的策划 2.1职责: 办公室起草、管理层讨论,总经理批准。 2.2策划内容 2. 2. 1质量方针、方案及释义 2.2.2质量目标 a.在质量方针的框架内展开; b.确定顾客满意率; c.满足控制产品质量的要求。 2.2.3目标的分解 a.明确质量管理体系过程职责分配; b.明确各部门的职责、权限、沟通; c.明确每一质量目标在哪些相关部门展开; d.明确每一质量LI标落实到哪些层次,如何分解; e.明确每一质量目标如何测量。 2.3策划结果 2. 3. 1质量管理体系过程职责分配表; 2. 3. 2部门职责; 2. 3. 3质量L1标分解表。
3.资源提供的策划 3.1人力资源策划 3.1. 1职责: 办公室负责人力资源的策划,总经理审核。 3.1.2策划内容: 3.1. 2. 1确定各部门、各岗位人力需求; 3.1. 2. 2编制“人力资源控制程序”。 a.岗位职责和要求; b.培训计划; c.培训有效性评价。 3.1. 3策划结果 a.部门、车间、岗位设置的人力资源安排。 b.岗位职责和要求; c.人力资源控制程序。 3.2基础设施策划 3.2. 1职责: 基础设施由生产部策划,总经理审核。 3.2.2内容: a.所需的建筑物(办公用房、生产用房、仓库等) b.水、电的供应设施。 c.生产过程中用设施。 d.运输、通讯设施。 e.规定从设施提供验收、使用、维护和保养到报废全过程管理。 3.2. 3策划结果 a.固定资产(建筑物)台帐: b.设施台帐; c.水、电、交通、通讯设施登记表。 3.3工作环境策划 3.3. 1职责: 工作环境由生产部策划 3.3. 2策划内容: a.安全文明生产的要求 b.环境保护的要求 3.3. 3策划结果 安全文明生产管理制度; 4.产品实现的策划