CNAS-GC01
管理体系认证机构认证
业务范围能力管理实施指南Guidance on management system certification b ody’s competence management with respect to its certification
business scopes
中国合格评定国家认可委员会
目次
前言 (2)
1 范围 (3)
2 规范性引用文件 (3)
3 术语和定义 (3)
4 总则 (3)
5 认证业务范围内的能力管理 (4)
5.1 认证业务范围分类 (4)
5.2 认证业务范围风险分级 (4)
5.3 认证人员的能力管理 (4)
5.4 认证实施过程中的专业技术能力管理 (10)
5.5 审核指导性文件的编制 (10)
前言
本文件由中国合格评定国家认可委员会(CNAS)制定。
作为认可指南性质的文件,它为CNAS-CC01《管理体系认证机构要求》的第7章要求提供说明或解释,旨在确保各方对CNAS-CC01理解或实施的一致性。
本文件中,术语“应”表示相应的CNAS-GC01条款是强制性的,这些条款反映了CNAS-CC01的要求。术语“宜”表示相应的CNAS-GC01条款提供了满足CNAS-CC01相应要求的适宜方法,如果认证机构采用与CNAS-GC01等效的方法来满足CNAS-CC01的要求,需要向CNAS证实该方法确实能达到这一目的。
本文件中有关认证机构业务范围能力管理的指南和建议,旨在促进认证机构提高业务范围能力管理的有效性。这些指南和建议在保持与现行认可规范要求一致的基础上,参考了原CNAS-GC11:2011、CNAS-GC12:2013及CNAS-GC13:2011的部分内容,并根据近年来认证客户及社会各方反馈的审核员工作表现、对审核员的能力需求、审核效果等信息以及评审实践中获得的信息进行了统一整理。
本文件2018年第一次修订的主要内容变化:针对健康安全管理体系的能力管理增加对CNAS-CC125的引用。
本文件2017年首次发布。
管理体系认证机构认证
业务范围能力管理实施指南
1 范围
本文件适用于质量、环境及职业健康安全管理体系认证机构在其认证业务范围内实施能力管理。其他管理体系认证需满足相应专用认可规范中的专门要求,本文件内容中适用部分对其他管理体系认证工作可供参考。
2 规范性引用文件
下列文件对本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
CNAS-RC01 《认证机构认可规则》
CNAS-CC01 《管理体系认证机构要求》(GB/T 27021.1/ISO/IEC 17021-1)CNAS-CC121 《环境管理体系审核及认证的能力要求》(ISO/IEC 17021-2)CNAS-CC131 《质量管理体系审核及认证的能力要求》(ISO/IEC 17021-3)CNAS-CC125 《职业健康安全管理体系审核及认证的能力要求》(ISO/IEC TS 17021-10)
GB/T 27000 《合格评定词汇和通用原则》(ISO/IEC 17000,IDT)
GB/T 19000 《质量管理体系基础和术语》(ISO 9000,IDT)
GB/T 19011 《管理体系审核指南》(ISO 19011,IDT)
3 术语和定义
规范性引用文件中界定的术语和定义适用于本文件。
4 总则
4.1 在管理体系认证业务范围内实施能力管理是认证机构的责任。为了实现管理体系认证业务范围内的能力管理,认证机构应建立和实施能力分析和评价系统,并为其配备相应的资源。
4.2 认证机构的能力分析和评价系统至少包括以下活动:
4.2.1 根据在特定管理体系中开展和拟开展的认证活动,认证机构结合认证业务范围识别技术领域,并进行技术领域特征分析与风险级别划分。
4.2.2 针对特定管理体系的不同技术领域,分析认证人员能力的需求和确定人员能力准则(包括管理能力和技术能力两个方面)。CNAS-CC01附录C给出认证人员能力
确定和保持过程的示例。
4.2.3 针对特定管理体系的不同技术领域,分析相关认证人员能力的培训需求。
4.2.4 针对特定管理体系的不同技术领域,分析审核指导性文件的编制需求,并编制必要的文件。
4.2.5 实施相关认证人员能力的初始评价和持续监督,并实施必要的培训。
4.2.6 在管理体系认证实施过程中,进行能力的管理。
4.2.7 对管理体系认证业务范围的扩大和缩小实施管理。
4.3 认证机构应对能力分析和评价系统制定相应文件,并保持充分的能力分析和评价记录。
4.4 认证机构宜有过程对获认可的管理体系认证业务范围的控制进行管理。
5 认证业务范围内的能力管理
认证机构宜根据各类管理体系认证活动的特点,进行管理体系认证业务范围分类与风险分级,并对其管理。
5.1 认证业务范围分类
5.1.1 CNAS有关认可规范文件中提供了CNAS认可时对某特定认可制度的认证业务范围分类方法或指南。若认证机构采用与CNAS不同的分类方法,宜建立其分类方法与CNAS分类方法的对应关系,以便CNAS认可活动的顺利实施。
注1:CNAS-RC01附录A提供了质量管理体系(以下简称QMS)、环境管理体系(以下简称EMS)和职业健康安全管理体系(以下简称OHSMS)认证业务范围的分类方法;其他管理体系的业务范围分类方法在CNAS相关认可规范文件中做出了规定。
注2:CNAS-TRC-012《管理体系认证机构认证业务范围分类指南》为QMS、EMS和OHSMS认证业务范围的详细分类提供了参考。
5.1.2从事特定行业的QMS认证活动(如TL9000认证制度等)的认证机构,在对认证业务范围进行分类管理时,可参照CNAS发布的相应文件实施管理,还宜考虑有关认证制度发布部门的规定和行业特点。
5.2 认证业务范围风险分级
针对认证业务范围的风险分级,CNAS-TRC-012《管理体系认证机构认证业务范围分类指南》提供了初步的指南;CNAS-TRC-012表3中带星号或标注风险较高的信息供CNAS在评审策划、选取评审样本或见证样本时参考。认证机构可根据CNAS-CC105等认可规范的指导,就不同认证制度(QMS、EMS、OHSMS等)对认证业务范围的管理可以区分为多个控制水平(例如:高风险、中风险、低风险;或一级风险、二级风险、三级风险、有限风险、特殊风险等)并采取相应的控制措施。
5.3 认证人员的能力管理
认证机构对人员能力的管理以技术领域分析为基础,结合开展或拟开展认证的业
务范围识别技术领域,根据特定管理体系中某技术领域的特征(如:过程和控制措施复杂程度、法规要求等)分析并划定技术领域的风险等级,技术领域的风险等级宜至少区分为高风险和一般风险。针对该技术领域确定实施每项职能(至少包括CNAS-CC01《管理体系认证机构要求》附录A中所阐述的认证职能)的人员能力要求,制定其人员能力评价准则,并进行初始能力评价和持续监督,以及进行必要的知识与技能的培训。
认证机构就管理能力和专业技术能力两个方面定义能力准则,本文件仅就审核员专业技术方面的能力准则提出指导性意见。
为评价管理体系审核员是否具备特定管理体系中某一技术领域的专业知识和技能,认证机构宜定义初始资格准则,用以作为对特定管理体系中某一技术领域的专业知识和技能评价的基本内容。这些知识和技能可通过教育、工作经历、审核员培训和审核经历等方式获得的(GB/T 19011的7.1),并在此基础上采用适当的方法进一步证实其具备该技术领域的特定专业技术能力。
认证机构宜注意:学历教育、工作经历、审核员培训和审核经历仅是审核员获取所需知识和技能的途径,审核员具有相关的经历并不等于一定具备从事某项具体审核所需的能力。因此,认证机构宜按照其能力分析和评价系统的相关规定,对满足上述条件的审核员实际所具有的能力进行评价和证实,而不能仅用对初始资格准则中的某一项或几项条件的审查代替能力的评价和证实。
5.3.1 审核员的初始资格准则(专业技术方面)
通常情况下,认证机构宜将满足以下一项或几项条件作为审核员专业技术能力的初始资格准则。其中,对QMS/EMS/OHSMS的某一技术领域,认证机构宜将与特定管理体系的某一技术领域相应专业的学历或专业技术工作经历作为初始资格的必备条件。
1) 具有相应专业大专以上学历,并且,对于一般风险技术领域,具有至少1年以上该专业的专业技术工作经历或该专业中级技术职称;对于高风险技术领域,具有3年(含3年,本科以上2年)以上该专业的专业技术工作经历或该专业高级技术职称。或
2) 具有相关专业大专以上学历,并且,对于一般风险技术领域,具有至少2年以上该专业的专业技术工作经历或该技术领域对应专业中级技术职称;对于高风险技术领域,具有4年(含4年,本科以上3年)以上该专业的专业技术工作经历或该技术领域对应专业高级技术职称。或
3) 具有非相应专业、非相关专业大专以上学历,并且,对于一般风险技术领域,具有3年以上相应专业的技术工作经历或该技术领域对应专业中级技术职称;对于高风险技术领域,具有5年(含5年,本科以上4年)以上相应专业的技术工作经历或该技术领域对应专业高级技术职称。或
4) 参加相应的专业技术培训且考核合格,该培训宜针对审核员的教育和工作背
景而设定的;并且在具有专业技术能力的审核员或技术专家的指导下完成相应技术领域一定数量的专业审核活动,如:在一般风险技术领域不少于4次10个现场审核工作日,在高风险技术领域不少于6次20个现场审核工作日,而且审核活动覆盖了特定管理体系的认证标准以及CNAS–CC01第9章中与审核专业技术内容有关的要求,且经能力评价符合相应的专业技术能力要求。对高风险技术领域,认证机构不宜将不具备相关或相应专业专科以上教育经历、且不具备一定专业技术工作经历的审核员,仅以参加过一定数量的现场审核活动作为基本资格要求,评价为具备能力。或
5) 作为项目主要参加人,在特定管理体系相应技术领域完成一定数量的专业技术工作:对于高风险技术领域至少为2项;对于一般风险的技术领域至少为1项。如:参加质量管理体系相应技术领域的质量标准(如应用于某行业、某过程的质量控制标准)的制定、科研开发和项目设计等;参加环境管理体系相应技术领域的环境影响评价并编制环境影响评价报告书,参加污染防治和环境管理等科研项目和标准制定等;参加职业健康管理体系相应技术领域的安全/职业病危害评价并编制安全/职业病危害评价报告书,参加职业病防治、危险源控制以及职业健康安全管理等科研项目和标准制定等。在认证机构内部负责编写特定管理体系相应技术领域审核作业指导文件等工作不作为本条所述的专业技术工作。
5.3.2 在认证机构管理实践中,会出现相应专业(或“对应专业”)与相关专业的概念,这里以机械制造业为例,就二者的区别以示例形式加以说明,但不仅限于示例内容。
示例1:
1. 质量管理体系
相应专业指:机械设备制造专业、机电一体化专业,以及各相应行业中设备制造专业(化工机械、冶金机械、矿山机械、煤炭机械、纺织机械等专业)。
相关专业指在获取教育经历的过程中,所学课程涉及到机械专业的相关课程,比如金属表面处理专业通常会涉及机械零件制图、金属加工工艺、金属热处理等课程,经评审属于机械设备制造的相关专业。
2. 环境管理体系
相应专业指:环境保护专业,包括环境工程、环境科学、环境监测等专业,供排水工程、暖通工程等。
相关专业指:由于设备制造、金属压力加工、铸造、锻造、焊接、热处理、金属表面处理等机械设备制造过程的相应专业,其专业的课程中均包括环境保护的相关内容,可作为该技术领域的相关专业;其他相关专业如化学工程、生态科学、水资源科学、大气科学、植物保护、水土保持工程、野生动物与资源保护、劳动保护、核安全技术等专业均涉及环境保护的通用知识和技术。
3. 职业健康安全管理体系
相应专业指:安全技术及工程、职业卫生与职业病防治、劳动保护、消防工程、
工业卫生、爆破工程、武器弹药制造、核安全技术、化工安全技术等专业。
相关专业指:机械工程、矿业工程、地质工程、冶金工程、化学工程、石油化工、航空航天工程、建筑工程、船舶制造、环境工程、检测与测试技术等具有较强的工程技术背景的专业。
5.3.3 在以往的认证机构的管理实践中,认证机构通常用工作经历表的形式说明审核员在某些方面的背景。以下内容宜是专业工作经历的一种较为适当的描述方式:审核员专业技术工作经历是指对其工作的组织、部门、岗位及职责的描述,通常包括所在组织涉及的产品、活动和服务,所属相应部门及相关职责,所担任的职务以及所从事的该技术领域的具体工作内容。
示例2:
1. 质量管理体系专业技术工作经历通常是指:在质量管理部门、设计部门、生产部门从事质量管理、产品设计、生产过程控制、质量控制等工作的经历。
2. 环境管理体系专业技术工作经历通常是指:在国家或地方环境管理部门或相应行业的环境主管部门从事环境科研、环境治理、环境工程设计、环境影响评价、环境监测和环境规划等工作的经历;或在该技术领域所属组织中具有环境管理职能部门或其他职能部门从事环境管理、环保设施运行、环境监测等具体工作。
3. 职业健康安全管理体系专业技术工作经历通常指:在国家或地方职业健康安全管理部门或相应行业的职业健康安全主管部门从事职业健康安全管理、监测、工程、科研、安全评价等方面的经历;或在该技术领域所属组织的安全和/或劳动保护主管部门、或生产部门或生产车间从事生产过程的安全和劳动保护等具体工作。
5.3.4 审核员的能力评价准则(专业技术方面)
5.3.4.1 根据CNAS-CC01的要求,为评价审核员是否具备能力,认证机构应对特定管理体系的某一技术领域制定能力评价准则。能力评价准则应能够确保管理体系审核员具有应用通用和/或特定知识与技能的能力,来收集与验证审核证据,并通过评价审核证据形成审核发现,确定审核结论。
下列文件为认证机构制定审核员能力评价准则提出要求或指南:
1)CNAS-CC01附录A对管理体系审核员知识与技能的要求;
2)GB/T 19011《管理体系审核指南》中管理体系审核员在特定领域和专业的知识与技能的指南。
3)CNAS-CC121、CNAS-CC131以及CNAS-CC125文件中对质量管理体系、环境管理体系和职业健康安全管理体系审核员的能力要求。
4)除上述特定管理体系外,CNAS认可规范中对其他特定管理体系审核员的能力要求。
5.3.4.2 针对特定管理体系的某一技术领域,认证机构宜考虑技术领域所覆盖的产品(服务)实现过程的特点、技术难度、适用的法律法规情况、风险程度和组织特点等因素,制定审核员的相应能力评价准则。以下内容提供了示例,对CNAS-CC01附
录A技术要求部分给出进一步说明和解释,可供制定能力评价准则时考虑。如:
1) 具有特定管理体系相应技术领域的基本理论知识和一定的实践经验;
2) 熟悉该技术领域相关的组织的设计、生产、安装和服务的过程;
3) 能识别QMS方面有关组织影响质量的关键活动,或EMS方面有关活动、产品和服务中环境因素识别及评价,或OHSMS方面有关场所、设备设施和人员的危险源识别和风险评价,并能对其控制的有效性进行评价;
4) 熟悉特定管理体系相应技术领域的有关法律、法规、技术标准及其他要求;
5) 适用时,具有特定的资格证书。
5.3.4.3 现以机械制造过程为主的技术领域为例,给出制定特定管理体系的能力要求的示例。
示例3:
1. 质量管理体系:
(1)掌握机械制造过程、典型工艺、基础知识:
热加工过程包括金属铸造、热轧、锻造、焊接和金属热处理等工艺。
冷加工过程包括冷轧、冷拔、冷锻、冷挤压、冲压、车铣刨磨等机械加工过程。
表面处理过程及其他过程,包括前处理(含喷砂、抛光)、电镀、涂装、化学氧化、热喷涂等。
某具体机械制造过程可为上述过程的一部分或组合。
掌握机械制造过程使用的各种计量器具(卡尺、千分尺、塞规等)及使用方法。
(2)熟悉机械制造的设计、生产、装配过程:
熟悉机械制图原理、机械设备设计过程,会看图;
熟悉机械制造各单元过程(铸造、锻造、热处理、冲压、表面处理、焊接等)工艺要求、生产过程控制要点等。
(3)能识别影响机械制造各单元过程中哪些是需要确认的过程,哪些是影响质量的关键活动,如热处理过程为需要确认过程,影响热处理质量的关键活动包括制定工艺曲线,控制装炉温度、升温速度、炉内气氛、加热温度、加热时间、保温时间、冷却方式、出炉温度等。
(4)熟悉机械行业的有关法律、法规、产品的技术标准及其他要求。
(5)适当时,了解生产许可证制度管理的产品,如制冷设备、港口装卸机、轻小型起重运输设备、空气压缩机等。
2. 环境管理体系:
(1) 具有机械制造过程和环境管理的基本理论知识和一定的实践经验,了解机械的制造过程包括铸造、锻造、热处理、冲压、表面处理、焊接、机械加工、装配等。
(2) 熟悉铸造、锻造、热处理、冲压、表面处理、焊接、机械加工、装配等过程活动、产品和服务中环境因素识别及评价,主要污染物种类及治理技术。
掌握机械制造过程热加工过程粉尘和有害气体的排放、抛丸喷砂过程粉尘排放、
喷漆过程挥发性有机物的排放等及其治理技术和设备;
掌握前处理废水排放、表面处理过程污水排放、电镀废水排放、机械含油废水排放等及其治理技术和设备;
掌握机械噪声排放,如空压机、砂轮机、冲压机械间歇噪声排放等;
掌握机械制造过程可能产生的危险废物,如电镀污泥、废乳化液、废油、废油漆及涂料等。
(3) 熟悉机械行业的有关环保法律、法规、排放标准及其他要求。
(4) 适用时,熟悉特定的环境要求,如排污许可证、行业能耗限值等。
3. 职业健康安全管理体系:
(1) 具有机械制造过程和职业健康安全管理的基本理论知识和一定的实践经验,了解机械的制造过程包括铸造、锻造、热处理、冲压、表面处理、焊接、机械加工、装配、维护保养、检修等;机械制造过程涉及机械伤害、化学伤害、电伤害、粉尘和有害气体伤害、热辐射、噪声、高空作业及受限空间等机械行业的危险源和风险及控制技术和管理要求。
(2) 熟悉铸造、锻造、热处理、冲压、表面处理、焊接、机械加工、装配、化学品安全等每个过程职业健康安全管理及风险特点,能识别组织机械制造过程的场所、设备设施及人员涉及的危险源,进行风险评价,并能对其控制的有效性进行评价。
(3) 熟悉机械行业的有关职业健康安全法律、法规、标准及其他要求。
(4) 适用时,熟悉特定的职业健康安全要求,如安全生产许可证要求。
注1:能力评价准则的制定来自于对技术领域的分析。
注2:机构制定的能力评价准则是对审核员的专业要求,而不是审核员专业工作经历的内容。认证机构可以采用记录审查、见证、考试、面谈、技术成果审查等方法证实审核员掌握并具备运用这些知识和技能的本领,以实施有效的认证管理和审核。
5.3.5 审核员的专业技术能力评价
认证机构对照其制定的初始资格准则和能力评价准则,对审核员的专业技术能力进行初始评价和持续监督与评价(包括表现与提高)。
5.3.5.1能力评价包括获取被评价人能力的证据,并将这些证据与能力准则进行比较,以确定被评价人是否满足能力准则。宜保留能力证据、评价活动和评价结论的记录。
5.3.5.2 能力的证据宜与能力准则的内容相关,并且能够为评价结论提供支持。因此,认证机构宜通过适宜的评价方法获取充分的能力证据。评价方法的选择宜考虑:
1) 评价所依据的能力准则的具体内容;
2) 评价的目的,例如:初次聘用、持续监视、扩大能力范围、能力要求更新后
的补充评价等;
3) 基于对被评价人能力的了解所建立的信任。
评价方法可参考CNAS-CC01附录B。这些方法宜组合使用,以获得关于被评价人员能力的充分证据和全面评价;通常,仅采用其中某一种方法不足以对被评价人的
能力做出全面评价。
5.3.6 技术专家的专业技术能力
技术专家的专业技术能力要求不宜低于审核员的专业技术能力要求。
5.4 认证实施过程中的专业技术能力管理
认证机构在以下认证阶段对每个认证项目的实施过程进行适宜的专业技术能力管理:
5.4.1 申请评审阶段
根据申请人申请认证的管理体系所覆盖的产品和活动范围的专业技术特点进行申请评审,确定申请项目的认证范围,确定认证机构是否具备相应专业技术能力,并对审核组提出相应的专业技术能力要求。
5.4.2 审核准备阶段
确认审核组的专业技术能力是否满足具体认证项目的需求,确认审核员的专业技术能力是否与其在审核过程中实际所承担的审核任务相适应。
5.4.3 审核阶段
确保审核组的认证审核专业技术能力满足具体认证项目的需求;
5.4.4 审核后续活动阶段
必要时,确保不符合报告及纠正措施的验证和审核报告审查过程有具备相应专业技术能力的人员参加。
5.4.5 认证决定阶段
确保认证决定过程有具备相应专业技术能力的人员参加。
5.5 审核指导性文件的编制
认证机构宜根据其能力分析评价结果确定编制审核指导性文件的必要性,编制相应的审核指导性文件并适时进行更新,以保证审核的一致性和有效性。
——
ISO9001:2015 1. 范围 本标准为有下列需求的组织规定了质量管理体系要求: 质量管理体系要求 a)需要证实其具有稳定地提供满足顾客要求和适用法律法规要求的产品和服务的 能力; b)通过体系的有效应用,包括体系持续改进的过程以及保证符合顾客和适用的法律 法规要求,旨在增强顾客满意。 注1:在本标准一中,术语“产品”仅适用于: a)预期提供给顾客或顾客所要求的商品和服务; b)运行过程所产生的任何预期输出。 注2:法律法规要求可称作为法定要求。 2. 规范性引用文件 下列文件中的条款通过本标准的引用而构成本标准的条款。凡是注日期的引用文件,只有引用的版本适用。凡是不注日期的引用文件,其最新版本(包括任何修订)适用 于本标准。 ISO 9000:2015 质量管理体系基础和术语 3. 术语和定义 本标准采用GB/T 19000 中所确立的术语和定义。 4. 组织的背景环境 4.1 理解组织及其背景环境 组织应确定外部和内部那些与组织的宗旨、战略方向有关、影响质量管理体系实现预期结果的能力的事务。需要时,组织应更新这些信息。 在确定这些相关的内部和外部事宜时,组织应考虑以下方面: a)可能对组织的目标造成影响的变更和趋势;
b)与相关方的关系,以及相关方的理念、价值观; c)组织管理、战略优先、内部政策和承诺; d)资源的获得和优先供给、技术变更。 注1:外部的环境,可以考虑法律、技术、竞争、文化、社会、经济和自然环境方面,不管是国际、国家、地区或本地。 注2:内部环境,可以组织的理念、价值观和文化。 4.2 理解相关方的需求和期望组织应确定: a)与质量管理体系有关的相关方; b)相关方的要求。 组织应更新以上确定的结果,以便于理解和满足影响顾客要求和顾客满意度的需求和期望。组织应考虑以下相关方: a)直接顾客 b)最终使用者 c)供应链中的供方、分销商、零售商及其他 d)立法机构 e)其他 注:应对当前的和预期的未来需求可导致改进和变革机会的识别。 4.3 确定质量管理体系的范围 组织应界定质量管理体系的边界和应用,以确定其范围。在确定质量管理体系范围时,组织应考虑: a)标准4.1条款中提到的内部和外部事宜 b)标准4.2条款的要求 质量管理体系的范围应描述为组织所包含的产品、服务、主要过程和地点。
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.doczj.com/doc/9912792018.html, email:pcc@https://www.doczj.com/doc/9912792018.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
质量管理体系的基本要求 A对质量管理体系的总要求 制造单位应该按照本要求的规定建立质量管理体系(形成文件),加以实施和保持,并持续改进其有效性。制造单位应该做到: 1,识别质量管理体系所需的过程极其在制造单位中的应用 2,确定这些过程的顺序和相互作用 3,确定为确保这些过程的有效运行和控制所需的准则和方法 4,监视、测量和分析这些过程 5,确保可以获得必要的资源和信息,以支持这些过程的运行和对这些过程的监视6,实施必要的措施,以实现这些过程策划的结果和对这些过程的持续改进 7,对外包过程加以识别,确保对其实施控制 8,按本要求管理这些过程 B 质量管理体系文件的要求 B1,质量体系文件的编制 1、质量方针和质量目标 2、质量手册 3、本要求规定的程序文件 4、质量计划 5、本要求所规定的记录 C 质量手册 质量手册的内容应当符合下列要求: 1、规定制造单位的压力管道元件制造质量管理体系 2、概述质量管理体系的各个过程的控制内容、控制方法,规定程序文件 3、表述质量管理体系过程时间的相互作用 D 文件控制 制造单位应当建立文件控制程序(形成文件),并加以实施和保持,对质量管理体系所要求的文件予以控制 D1、规定控制要求内容 文件程序控制应当规定一下控制内容 1、明确受控文件类型 2、文件的编制、审核、批准方法 3、文件的修改和更新方法 D2 控制应当达到的要求 1、确保文件是充分适宜的 2、确保文件的更改和现行修订状态得到识别
3、确保在使用处可获得使用文件的有关版本 4、确保文件保持清晰、易于识别 5、确保外来文件得到识别,并控制其分发 6、防止作废文件的非预期使用 7、文件的发放、回收、保管及建立现行有效文件清单等管理要求 E 记录控制 E1记录保持 1、制造单位应建立并保持产品记录和质量管理体系运行的记录,以提供产品符合要求 和质量管理体系有效运行的证据。记录应优质清晰、易于识别和检索 2、制造单位应当建立记录控制程序(形成文件),并加以实施和保持 E2 记录的控制 记录的控制应做到以下要求: 1、明确产品记录和质量管理体系记录所需的表格,并做到表格的标准化、文件化 2、产品记录表格的内容应当满足压力管道元件产品安全性能的控制要求 3、记录的标识、储存、保护、检索、保存期限和处置得到所需的控制
信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心
目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A:审核时间 (11)
1.适用范围 本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息: 1)认证服务项目; 2)认证工作程序; 3)认证依据; 4)证书有效期; 5)认证收费标准。 7.认证程序 7.1.初次认证
质量管理体系认证完全指南 质量管理体系认证 百科名片 质量管理体系认证-简称"ISO9001"。ISO9001:2008标准是根据世界上170个国家大约100万个通过IS O9001认证的组织的8年实践,更清晰、明确地表达ISO9001:2000的要求,并增强与ISO14001:2004的兼容性。 目录[隐藏] 简介 特点 优点 内涵 策划设计 文件编制 试运行 审核评审 简介 特点
优点 内涵 策划设计 1. 教育培训,统一认识 2. 组织落实,拟定计划 3. 确定质量方针,制定质量目标 4. 现状调查和分析 5. 调整组织结构,配备资源 文件编制 试运行 审核评审 [编辑本段] 简介 目前,2008 版ISO9001《质量管理体系认证要求》国际标准计划于2008 质量管理体系认证证书 年底发布GB/T 19001-2008《质量管理体系认证要求》。ISO9001:2008标准发布1年后,所有经认可的认证机构所发放的认证证书均为ISO9001:2008认证证书;为贯彻实施ISO9001:2008标准的需要,帮助企业进行国际标准转换工作特举办此次管理体系内审员培训班。内审员全称叫内部质量体系审核员,通常由既精通ISO9001:2008国际标准又熟悉本企业管理状况的人员担任。按照IS O9001:2008新标准的要求,凡是推行ISO9001:2008新标准的组织每年至少需进行一次内部质量审核,所以,凡是推行ISO9001:2008的组织,通常都需要培养一批内审员。内审员可以由各部门人员兼职担任,因此内审员在一个组织内对质量体系的正常运行和改进起着重要的作用。 [编辑本段] 特点 (一)它代表现代企业或政府机构思考如何真正发挥质量的作用和如何最优地作出质量决策的一种观点。 (二)它是深入细致的质量文件的基础。
10,认证机构的管理体系要求 10点1,可选方式 认证机构应建立、实施和保持一个文件化的、能够支撑并证实其始终满足本文件要求的管理体系。认证机构除了满足第5章至第9章的要求外,还应按照下列要求之一建立管理体系: A1),通用的管理体系要求(见10点2); B2),与GB/T19001一致的管理体系要求(见10点3)。 10点2,方式A:通用的管理体系要求 10点2点1,总则 认证机构应建立、实施和保持一个能够支撑并证实其始终满足本文件要求的管理体系并形成文件。 认证机构最高管理层应为认证机构的活动制定政策和目标,并形成文件。最高管理层应提供证据,以证实其对按本文件要求建立和实施管理体系的承诺。最高管理层应确保认证机构的政策在组织的各个层次上得到理解、实施和保持。认证机构最高管理层应分派下列职责和权力: A1),确保管理体系所需的过程和程序得到建立、实施和保持; B2),向最高管理层报告管理体系的绩效及任何改进需求。 10点2点2管理体系手册 认证机构应在管理体系手册或其关联文件中反映本文件的所有适用要求。认证机构应确保所有相关人员可以获取手册和相关的关联文件。 10点2点3,文件控制 认证机构应建立程序以控制与本文件实施有关的文件(内部和外部的)。该程序应规定下列方面所需的控制: A1),文件发布前,对其充分性与适宜性进行批准; B2),对文件进行复审,必要时予以更新,并再次批准; C3),确保文件的更改和现行修订状态得到识别; D4),确保在使用场所可以获得适用文件的相关版本; E5),确保文件保持清晰并易于识别: F6),确保外来文件得到识别,并控制其分发; G7),防止作废文件的非预期使用,并在因故保留作废文件时,对其做出适当的标识。 注:文件可以使用任何形式或类型的介质。 10点2点4,记录控制 认证机构应建立程序,以对识别、贮存、保护、检索和处置与本文件实施有关的记录以及记录保存期限规定所需的控制。 认证机构应建立程序以明确与其合同、法律责任相一致的记录保存期限。对这些记录的查阅应与保密安排相一致。 注:获证客户记录的要求见9点9。 10点2点5,管理评审
GB/T19001:2000 质量管理体系 - 要求 1. 范围 1.1 总则 本标准为有下列需求的组织规定了质量管理体系要求: a:需要证实其有能力稳定地提供满足顾客和适用的法律法规要求的产品; b:通过体系的有效应用,包括体系持续改进的过程以及保证符合顾客与适用的法律法规要求,旨在增强顾客满意。 注:在本标准中,术语“产品”仅适用于预期提供给顾客或顾客所要求的产品。 1.2 应用 本标准规定的所有要求是通用的,旨在适用于各种类型、不同规模和提供不同产品的组织。 当本标准的任何要求因组织及其产品的特点而不适用时,可以考虑对其进行删减。 除非删减仅限于本标准第7章中那些不影响组织提供满足顾客和适用法律法规要求的产品的能力或责任的要求,否则不能声称符合本标准。 2. 引用标准 下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性. GB/T19000-2000质量管理体系基础和术语。(idt ISO9000:2000) 3. 术语和定义 本标准采用GB/T19000中的术语和定义。 本标准表述供应链所使用的以下术语经过了更改,以反映当前的使用情况: 供方——>组织——>顾客 本标准中的术语“组织”用以取代GB/T19001-1994所使用的术语“供方”,术语“供方”
本标准中所出现的术语“产品”也可指“服务”。 4. 质量管理体系 4.1总要求 组织应按本标准的要求建立质量管理体系,形成文件,加以实施和保持,并持续改进其有效性。 组织应: a)识别质量管理体系所需的过程及其在组织中的应用(见1.2); b)确定这些过程的顺序和相互作用; c)确定为确保这些过程的有效运行和控制所需的准则和方法; d)确保可以获得必要的资源和信息,以支持这些过程的运作和对这些过程的监视; e)监视、测量和分析这些过程 f)实施必要的措施,以实现对这些过程策划的结果和对这些过程的持续改进。 组织应按本标准的要求管理这些过程。 针对组织所选择的任何影响到产品符合要求的外包过程,组织应确保对其实施控制。对此类外包过程的控制应在质量管理体系中加以识别。 注:上述质量管理体系所需的过程应当包括与管理活动、资源提供、产品实现和测量有关的过程。 4.2 文件的要求 4.2.1 总则 质量管理体系文件应包括: a) 形成文件的质量方针和质量目标; b) 质量手册; c)本标准所要求的形成文件的程序; d) 组织为确保其过程有效策划、运作和控制所需的文件;
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
随着经济的快速发展,人们的生活水平也是越来越高,进而,在购买产品时也不在单一局限于价格方面, 而是对于质量方面也有着很高的要求, 因此,对于企业来说也让客户、消费者相信你公司的产品质量, 如何让消费者安心、放心的购买成了关键,所以,认证质量管理体系就显得尤为重要。那么,在国内哪家质量管理体系认证公司比较好呢? 1、看认证公司的认证资质 首先我们可以在中国认监委官网,查询该认证机构是否有相关的备案,尤其是国外的机构,哪怕的确是真的机构,但是没有在国内备案,也是不被认可的。不管是国内外的机构,只要是正规的,且不论实力大小,在认监委都是必须可查的。查认证公司营业执照,认监委批准的证书和国家认可委的认可证书,认证机构是否是合法运营。 2、看认证公司的经营状况 认证公司是否有正规的办公场所,审核专家数量的多少。认证公司成立以来
的发证数量是否稳步增长。看认证公司的经营时长,认监委对认证公司可是一年三检查,你能通过一次两次,那是运气,如果一个认证公司能够长期通过认监委的检查,而屹然不倒,说明认证公司自身是没有什么问题的。 3、看认证公司的认证流程 认证公司做认证,根据一个企业的审核人数,审核范围等,都是有严格的认证流程,审核人以及日期的具体安排,是否有一审和二审,询问认证公司是否会安排专家现场审核。对于企业来说,直接的办法就是看审核计划,正规的认证公司都会在专家入场审核之前,将审核计划发送给企业。审核计划中就包含了一审和二审的审核时间安排、审核专家的安排、以及审核专家的联系方式等。不正规的认证公司多数都是低价认证,既然是非正规机构,自然不是来搞慈善的为了节约成本,自然在审核计划上做手脚。 4、看认证的价格 在互联网的模式下,几乎所有行业的价格都是透明的,随着市场的波动,认证价格都只是在一个很小的区间内。如果认证公司给出的价格明显低于正常的市场价格,企业就得要好好考虑了。从最近几个月被撤销的大部分认证机构来看,都具备这样的一个特点,低价吸引客户,大势敛财而后被撤销跑路,完全不管曾
ISO9001:2015标准 目录 1 范围 2 规范性引用文件 3 术语和定义 4 组织的背景 4.1 理解组织及其背景 4.2 理解相关方的需求和期望 4.3 质量管理体系范围的确定 4.4 质量管理体系 5 领导作用 5.1 领导作用和承诺 5.2 质量方针 5.3 组织的作用、职责和权限 6 策划 6.1 风险和机遇的应对措施 6.2 质量目标及其实施的策划 6.3 变更的策划 7 支持 7.1 资源 7.2 能力 7.3 意识 7.4 沟通 7.5 形成文件的信息 8 运行 8.1 运行的策划和控制 8.2 市场需求的确定和顾客沟通 8.3 运行策划过程 8.4 外部供应产品和服务的控制 8.5 产品和服务开发 8.6 产品生产和服务提供 8.7 产品和服务放行 8.8 不合格产品和服务 9 绩效评价 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 10 持续改进 10.1 不符合和纠正措施 10.2 改进
附录A 质量管理原则文献
ISO9001:2015标准 前言(略) 委员会征求意见稿说明(略) 质量管理体系-要求 1 范围 本标准为有下列需求的组织规定了质量管理体系要求: a)需要证实其具有稳定地提供满足顾客要求和适用法律法规要求的产品和服务的 能力; b)通过体系的的有效应用,包括体系持续改进的过程,以及保证符合顾客和适用 的法律法规要求,旨在增强顾客满意。 注1:在本标准一中,术语“产品”仅适用于: a) 预期提供给顾客或顾客所要求的商品和服务; b) 运行过程所产生的任何预期输出。 注2:法律法规要求可称作为法定要求。 2 规范性引用文件 下列文件中的条款通过本标准的引用而构成本标准的条款。凡是注日期的引用文件,只有引用的版本适用。 凡是不注日期的引用文件,其最新版本(包括任何修订)适用于本标准。 ISO9000:2015 质量管理体系基础和术语 3 术语和定义 本标准采用ISO9000:2015 中所确立的术语和定义。 4 组织的背景环境 4.1 理解组织及其背景环境 组织应确定外部和内部那些与组织的宗旨、战略方向有关、影响质量管理体系实现预期结果的能力的事务。 需要时,组织应更新这些信息。 在确定这些相关的内部和外部事宜时,组织应考虑以下方面: a) 可能对组织的目标造成影响的变更和趋势; b) 与相关方的关系,以及相关方的理念、价值观;
信息安全管理体系认证合同 1 甲方: 乙方:中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请,通过对甲方信息安全管理体系的审核,确认甲方的信息安全管理体系是否符合所选定的标准,从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准:ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动: 2.2.2 删减说明: 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点): 注:如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行,现场审核时间计划于年月进行,最终审核时间由双方具体商定。 2.5 认证证书有效期为三年,甲方获得认证注册资格后,在有效期,乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次,以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况,将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。
3 费用 3.1审核费用: □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费: 3.2 初访/预审费用¥元(整)。 3.3 证书副本费用:中文副本元(50元/);英文副本,元(50元/); 加印分、子证书套元(3000元/套)。 3.4 以上费用共计:¥(整)。 上述3.1和3.2费用自合同生效之日起10日先交纳30%,其余费用在现场审核后15日一次付清。3.5 监督审核费(在组织体系不发生重大变化的情况下)包括: □监督审核费(每次)¥元□年金(每年)2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因(不符合标准要求,严重不符合等)而导致的不能注册时,由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉,如对处理结果持有异议,可向乙方的管理委员会直至中国合格评定国家认可委员会(CNAS)提出申诉/投诉。 4.1.2 通过认证后,甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。
ZJQC-OD01:质量管理体系认证实施程序 质量管理体系认证的作用 公司实施质量管理体系:首先将公司原有的体系(包含工艺、流程、制度、管理模式等)进行清理,对符合质量管理体系认证的进行保留,不符合的经组织讨论进行删除,部分根据体系要求增加的经组织讨论进行增加,最终我们现有的体系融入整个质量管理体系中去,成为一个符合我公司基本情况的管理体系,从而更大发挥质量管理体系对企业的巨大作用。 实施质量管理体系认证可提高企业质量管理水平;提高企业信誉度和产品知名度;有利于产品顺利进入市场;降低成本,提高效益;享受国家的优惠政策及对获证单位的重点扶持. 具体如下: 一、适应国际化大趋势 1. 关税壁垒打破后,我国的产品直接面临国际市场的竞争; 2. 推行ISO 9000系列标准是在质量管理体系方面实现与国际接轨的有效途径; 3. 可消除国际贸易中由于质量管理体系方面要求不统一所造成的障碍; 4. 适合全球经济一体化的需要; 5. 适应国际范围内流行的管理趋同化趋势。 二、提高企业的管理水平 1. 建立深入细致的质量管理体系文件系统; 2. 确定对各项质量活动的控制原则和控制方法; 3. 认真执行文件,使质量管理体系有效运行; 4. 通过开展内部审核、管理评审、模拟审核,纠正和预防措施,持续改进、建立自我完善机制; 5. 第三方认证审核监督审核促进企业维持和改进质量管理体系。 三、产品质量的稳定与提高 1. 对所有影响质量的活动实施控制; 2. 对事先充分考虑到的各种风险,采取有效的预防措施; 3. 保证使用合适的设备和材料; 4. 及时针对不合格和不良趋势采取有效的纠正措施和预防措施; 5. 形成良性循环机制。 四、提高企业市场竞争力 1. 实施ISO 9000系列标准可提供优质产品、优质服务; 2. 满足用户规定的和潜在的需要; 3. 产品生产过程质量受控,得到不断改进; 4. 提高企业经济运行质量,增强综合实力; 5. 努力打造业内、国内、全球知名品牌。 因此,质量体系认证必须尽快实施,而且公司并不在于证书,而更重要的是通过质量体系认证而取得的一个综合效果。 页脚内容1
CNAS-CC01 管理体系认证机构要求Requirements for bodies providing audit and certification of management systems 中国合格评定国家认可委员会
CNAS-CC01:2015 第2 页共46 页 目次 目次 (2) 前言 (4) 引言 (5) 1 范围 (6) 2 规范性引用文件 (6) 3 术语和定义 (6) 4 原则 (8) 4.1 总则 (8) 4.2 公正性 (9) 4.3 能力 (9) 4.4 责任 (10) 4.5 公开性 (10) 4.6 保密性 (10) 4.7 对投诉的回应 (10) 4.8 基于风险的方法 (10) 5 通用要求 (11) 5.1 法律与合同事宜 (11) 5.2 公正性的管理 (11) 5.3 责任和财力 (13) 6 结构要求 (13) 6.1 组织结构和最高管理层 (13) 6.2 运行控制 (13) 7 资源要求 (14) 7.1 人员能力 (14) 7.2 参与认证活动的人员 (15) 7.3 外部审核员和外部技术专家的使用 (16) 7.4 人员记录 (16) 7.5 外包 (16) 8 信息要求 (16) 8.1 公开信息 (16) 8.2 认证文件 (17) 8.3 认证资格的引用和标志的使用 (17)
CNAS-CC01:2015 第3 页共46 页 8.4 保密 (18) 8.5 认证机构与其客户间的信息交换 (19) 9 过程要求 (20) 9.1 认证前的活动 (20) 9.2 策划审核 (22) 9.3 初次认证 (24) 9.4 实施审核 (26) 9.5 认证决定 (29) 9.6 保持认证 (30) 9.7 申诉 (33) 9.8 投诉 (33) 9.9 客户的记录 (34) 10 认证机构的管理体系要求 (35) 10.1 可选方式 (35) 10.2 方式A:通用的管理体系要求 (35) 10.3 方式B:与GB/T 19001 一致的管理体系要求 (37) 附录A (规范性附录)所要求的知识和技能 (38) 附录B (资料性附录)可能的评价方法 (41) 附录C (资料性附录)能力确定和保持过程的示例 (43) 附录D (资料性附录)期望的个人行为 (44) 附录E (资料性附录)审核和认证过程 (45) 参考文献 (46)
ISO9001:2000质量管理体系——要求引言 总则 过程方法 与ISO9004的关系 与其他管理体系的相容性 1 范围 1.1 总则 1.2 应用 2. 引用标准 3 术语与定义 4 质量管理体系 4.1总要求 4.2文件要求 4.2.1总则 4.2.2质量手册 4.2.3文件控制 4.2.4质量记录的控制 5 管理职责 5.1 管理承诺 5.2 以顾客为中心 5.3 质量方针 5.4 策划 5.4.1质量目标 5.4.2质量管理体系策划 5.5职责、权限和沟通 5.5.1 职责和权限 5.5.2管理者代表 5.5.3内部沟通 5.6 管理评审 5.6.1总则 5.6.2评审输入 5.6.3评审输出 6 资源管理 6.1 资源的提供 6.2 人力资源 6.2.1总则 6.2.2能力、培训和意识 6.3 基础设施 6.4 工作环境7 产品实现 7.1 产品实现的策划 7.2 与顾客有关的过程 7.2.1与产品有关的要求的确定 7.2.2与产品有关的要求的评审 7.2.3顾客沟通 7.3 设计和开发 7.3.1设计和开发策划 7.3.2设计和开发输入 7.3.3设计和开发输出 7.3.4设计和开发评审 7.3.5设计和开发验证 7.3.6设计和开发确认 7.3.7设计和开发更改的控制 7.4 采购 7.4.1采购过程 7.4.2采购信息 7.4.3采购产品的验证 7.5 生产和服务提供 7.5.1生产和服务提供的控制 7.5.2生产和服务提供过程的确认 7.5.3表示和可追溯性 7.5.4顾客财产 7.5.5产品防护 7.6 监视和测量装置的控制 8 测量、分析和改进 8.1总则划 8.2 测量和监控 8.2.1顾客满意 8.2.2内部审核 8.2.3过程的监视和测量 8.2.4产品的监视和测量 8.3 不合格品控制 8.4 数据分析 8.5 改进 8.5.1持续改进 8.5.2纠正措施 8.5.3预防措施
随着国际贸易发展的需要和标准实施中出现的问题,特别是服务业在世界经济的比重所占的比例越来越大,全球已有几十万家工厂企业、政府机构、服务组织及其它各类组织导入ISO9000并获得第三方认证,因此,ISO9000质量管理体系应运而生。下面就让安徽爱帮企业管理咨询有限公司为您简单介绍,希望可以帮助到您! 一、ISO9000质量管理体系介绍 ISO9000质量管理体系是由国际标准化组织制定,该组织是世界上最主要的非政府间国际标准化机构,成立于二次世界大战以后,总部位于瑞士日内瓦。该组织成立的目的是在世界范围内促进标准化及有关工作的发展,以利于国际贸易的交流和服务,并发展在知识、科学、技术和经济活动中的合作,以促进产品和服务贸易的全球化。ISO
组织制定的各项国际标准是在全球范围内得到该组织的100多个成员国家和地区的认可。 二、ISO9000质量管理体系认证机构申请条件 ISO 9000标准为企业申请认证的依据标准,在标准的适用范围中明确本标准是适用于各行各业,且不限制企业的规模大小。国际上通过认证的企业涉及到国民经济中的各行各业。组织申请认证须具备以下基本条件: (1)具备独立的法人资格或经独立的法人授权的组织; (2)按照ISO9000标准的要求建立文件化的质量管理体系; (3)已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。
安徽爱帮企业管理咨询有限公司位于安徽省安庆市,是一家专门为各级有志于提高自身管理水平、产品质量档次的企业提供多方面管理咨询和技术支持的咨询机构。公司自2013年成立以来,依托信息和技术优势,一直专注于从事企业认证咨询和相关资质咨询,以有机产品认证咨询、管理体系认证咨询为主业,为企业提供商标注册咨询、企业信用评级申报咨询、联络产品环境检测咨询等服务,打造企业资质、管理咨询顾问一站式综合服务机构。 安徽爱帮企业管理咨询有限公司以价格合理、效率保障、条目清晰的优势,专解各类疑难问题。公司汇聚了多个领域的技术人员、管理咨询人员,把行业先进的管理理论、咨询和实践与企业管理实际进行有力结合,坚持与客户、合作伙伴双赢的路线,爱客户之所爱,帮客户之所需,用负责的态度和敬业的精神为客户和合作伙伴提供优良的技术与服务,携手共创美好未来!
GB/T 19001—2016/ISO 9001:2015 代替GB/T 19001—2008 前言本标准按照GB/T1.1—2009给出的规则起草。本标准是GB/T 19000族的核心标准之一。本标准替代GB/T 19001一2008《质量管理体系要求》 本标准与GB/T 19001—2008相比,除编辑性修改外主要技术变化如下: ——采用ISO/IEC导则,第一部分ISO补充规定的附件SL中给出的高层结构; ——采用基于风险的思维;——更少的规定性要求;——对成文信息的要求更加灵活;——提高了服务行业的适用性;——更加强调组织环境;——增加对领导作用的要求;——更加注重实现预期的过程结果以增强顾客满意。 引言0.1总则采用质量管理体系是组织的一项战略决策,能帮助其提高整体绩效,为推动可持续发展奠定良好基础。组织根据本标准实施质量管理体系的潜在益处是: 1.稳定提供满足顾客要求以及适用的法律法规要求的产品和服务的能力; 2.促成增强顾客满意的机会;应对与组织环境和目标相关的风险和机遇; 3.证实符合规定的质量管理体系要求的能力。 本标准可用于内部和外部各方, 实施本标准并非需要:—统一不同质量管理体系的框架;—形成与本标准条款结构相一致的 文件;—在组织内使用本标准的特定术语。 本标准规定的质量管理体系要求是对产品和服务要求的补充。 本标准采用过程方法,该方法结合:P-C-C-A循环和基于风险的思维。 过程方法使组织能够策划过程及其相互作用。 PDCA循环使组织能够确保其过程得到充分额资源和管理,确定改进机会并采取行动。 基于风险的思维使组织能够确定可能导致其过程和质量管理体系偏离策划结果的各种因素, 采取预防控制,最大限度地降低不利影响,并最大限度地利用出现的机遇。 在日益复杂的动态环境中,持续满足要求,并针对未来需求和期望采取适当行动,这无疑是 组织面临的一项挑战。为了现实这一目标,组织可能会发现,除了纠正和持续改进,还有必 要采取各种形式的改进,如:突破性变革、创新和重组。 0.2质量管理原则 本标准是在GB/T19000所述的质量管理原则基础上制定的。每项原则的介绍均包含概述、该 原则对组织的重要性的依据、应用该原则的主要益处示例以及应用该原则提高组织绩效的典 型措施示例。质量管理原则: ——以顾客为关注焦点;——领导作用;——全员积极参与;——过程方法 ——改进——循证决策;——关系管理。 0.3 过程方法0.3.1 总则本标准倡导在建立、实施质量管理体系及提高其有效性时,采用过程 方法,通过满足顾客要求、增强顾客满意。采用过程方法所需的具体要求见4.4。 将相互关联的过程作为一个体系加以理解和管理,有助于组织有效和高效地实现其预期结果。这种方法使组织能够对其体系的过程之间相互关联和相互依赖的关系进行有效控制,以提高 组织整体绩效。 过程方法包括按照组织的质量方针和战略方向,对各过程及相互作用进行系统的规定和管理,从而实现预期结果。可通过采用PDCA循环以及始终基于风险的思维对过程和整个体系进行 管理,旨在有效利用机遇并防止发生不良结果。 在质量管理体系中应用过程方法能够: a)、理解并持续满足要求;b)、从增值的角度考虑过程; c)、获得有效的过程绩效;d)、在评价数据和信息的基础上改进过程。
如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS(Information Securitry Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它基于业务风险方法,用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合,涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型,按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点: 1.引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承
诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。 6.建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制成本与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的,欲速则不达,每家组织都是不同的,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤: 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围
设立认证机构申请材料要求 (2016年10月10日) 0.认证机构申请书(格式见附件1) 1.法人资格 1.1申请者的法人资格证明文件(《企业法人工商营业执照》/《事业单位法人证书》) 2.固定的场所和必要的设施 2.1办公场所使用证明 办公场所房产租赁合同(租赁合同期限长于一年)或自有房产证明 注:办公场所为符合登记管理部门规定的商业办公场所,不允许以民用住宅作为固定办公场所,办公场所的地址应当与法人资格证明文件中列明的地址相一致。 2.2必要的设施 硬件和软件以及支持性配置(通讯或信息系统),包括 档案保管设施、认证业务处理系统、证书印制设施、认证人员培训设施以及工作人员的桌椅、文件柜、电脑、电话等基本办公设施;属于产品认证机构需具备产品储存室,必要时还需具备检测产品的实验室; 2.3办公场所和设施与拟开展业务的规模相适宜的说明 3.符合认证认可要求的管理制度 3.1公司章程(事业单位法人申请者不适用)
3.2质量手册和程序文件(申请从事产品和服务认证资质的,申请者应符合国家标准GB/T27065《合格评定产品、过程、服务认证机构通用要求》;申请从事管理体系认证资质的,申请者应符合国家标准GB/T27021《合格评定管理体系审核认证机构的要求》),至少包括以下内容: 3.2.1组织结构及相应职责 3.2.2公正性的管理制度 3.2.3认证风险的管理制度 3.2.4认证人员管理制度 3.2.5高级管理人员管理制度 3.2.6认证过程的管理制度 3.2.7认证证书和认证标志的管理制度 3.2.8其他内部管理规定 3.3申请者高级管理人员 3.3.1申请者对具备履职能力的高级管理人员的选择、聘用、考核的管理要求 3.3.2申请者对高级管理人员评价的结果证实性资料(至少应包含评价过程),以及高级管理人员名单及身份证复印件(格式见附件2) 3.4拟签发认证证书的样本(未经认可不得带认可标志) 4.注册资本 4.1出资人的主体资格证明(《企业法人营业执照》/《事业单位法人证书》/自然人身份证明文件)(其中境外股东要提供所在国家或者地区政府颁发的商业登记证、税务登记证等
信息安全管理体系认证的基本 知识(通用版) Enterprises should establish and improve various safety production rules and regulations in accordance with national safety production laws and regulations. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0261
信息安全管理体系认证的基本知识(通用 版) 一、ISO27001认证的概况 ISO27001认证,即“信息安全管理体系”,是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证,即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。 信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益最大化。 二、ISO27001认证适用范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 三、ISO27001认证证书的有效期 ISO27001信息安全管理体系的认证证书有效期是三年。 期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。 四、信息安全管理体系认证的作用 1.符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。