ISO27001认证体系信息业务连续性审核示便供参考。
ISO27001认证体系业务连续性审核目的
1)组织是否进行了关键业务分析;
2)组织是否分析了关键业务对信息资产的依赖程度;
3)组织是否建立了业务连续性框架;
4)组织确定的业务连续性信息管理方面的管理流程是否完整;
5)组织是否针对关键业务分别制定了业务连续性计划;
6)组织是否针对与关键业务密切相关的高风险信息资产制定了完整的信息业务连续性计划;
7)组织是否针对业务连续性计划制定了演练计划;
8)组织是否针对信息业务连续性计划制定了演练计划;
9)组织是否组织了业务连续性演练;
10)组织是否组织了信息业务连续性演练;
11)组织进行的信息业务连续性演练是否满足三年全覆盖要求;
12)组织是否进行了业务连续性演练分析;
13)组织是否进行了信息业务连续性分析;
14)组织是否依据信息业务连续性分析结果,对信息业务连续性演练计划、信息业务连续性计划、业务连续性信息管理方面的管理流程进行适当的调整;
15)组织是杏出现过引起关键业务中断的信息事件;如出现,是否依据信息、业务连续性计划实现了关键业务的恢复目标,特别是有没有关联信息资产影响恢复目标实现
上述内容既是ISO27001认证机构审核的目的,也应是企业实施ISO27001认证体系及内审参考。以下审核步骤
1.ISO27001认证体系业务连续性程序检查
a) 业务连续性管理程序完整性;
b) 关键业务分析报告、业务连续性计划、业务连续性演练计划等的发布与控制
2.ISO27001认证体系业务连续性报告检查
a) 关键业务进行了分析;
b) 关键业务对信息与信息系统的依赖程度分析;
c) 信息对关键业务的连续性影响因素分析;
d) 对所有影响因素制定了可操作的具体业务连续性保证计划;
c)各种演练记录完整性;
f) 各种演练分析报告完整性合理抽样审
3.ISO27001认证体系业务连续性演练检查
a) 演练计划;
b) 演练方式;
c) 演练内容;
d) 演练记录;
e) 演练分析
4.ISO27001认证体系业务连续性事件检查
a) 事件记录;
b) 事件处理方式;
c)事件影响分析:
d) 业务连续性恢复记录
目前,施工组织设计中普遍存在可操作性差、缺乏理论依据等问题。目前施工组织设计主要存在以下问题:
①施工组织设计的编制缺乏理论指导和依据标准,对施工组织设计的重要性认识不足,编制的施工组织设计内容不、不规范、不系统、可操作性不强;
②工程项目质量目标及保证措施的制定缺乏理论依据,忽视职业和环境目标指标及保证措施的制定,在编制施工组织设计过程中,重视工程项目的技术性,轻视其经济性;
③没有引入先进的管理模式,管理施工组织设计的编制和实施过程,施工组织设计的修改完善不及时,贯彻实施不到位,施工人员往往脱离施工组织设计,凭经施工,按习惯操作。
ISO9001认证要求对具体产品、项目或合同的实现过程进行策划,策划内容应包括:
①产品的质量目标和要求;
②针对产品确定过程、文件和资源的需求;
③产品所要求的验证、确认、监视、检验和试验活动,以及产品验收准则;
④为实现过程及其产品满足要求提供证据所需的记录。
ISO14001认证要求组织制定环境目标指标,识别适用的法律法规,对组织活动、产品或服务的全过程,在考虑3种状态(正常、异常、紧急)和3种时态(过去、现在、将来)下,识别和判定对环境具有影响的因素,尤其是重要环境因素,对其进行控制或施加影响,并把重大环境因素的改进作为环境目标指标加以考虑,制定相应的管理方案,或减少环境污染和资源浪费。
ISO45001认证要求组织制定职业目标,识别适用的法律法规,根据行业特点,针对具体工程项目,对所有进入作业场所人员的活动、常规和非常规的活动、正常和非正常状态下的活动、作业场所内的所有设施、人为可预见的职业潜在事件或紧急情况等加以考虑,充分、地识别工程项目寿命周期内各过程的危险源,并对风险进行正确的评估与分级,确定不可容许的风险,确定重大危险源,并把重大危险源的改进作为职业目标加以考虑,制定相应的管理方案,明确控制危险源措施,事故和职业病的发生。上述三标准的要求可作为施工组织设计的理论依据。
ISO10012认证涉及的测量设备和测量过程
组织中的哪些测量设备要纳入ISO10012测量管理体系进行管理哪些测量过程应纳入ISO10012测量管理体系进行控制可以根据以下不同情况:
1.纳入ISO10012测量管理体系的测量设备和测量过程应由组织根据风险和后果来决定
组织在进行决策时要考虑没有纳入ISO10012测量管理体系的测量设备和测量过程会给组织带来多大的风险?这些风险应与组织可能要花费多少资源相比较?花费一定的资源可以减少较大的风险则应纳入ISO10012测量管理体系;如果某些测量设备和测量过程一旦失准而不会影响组织的经济效益和社会效益不会造成顾客投诉不会带来什么风险这些测量设备和测量过程就不须纳入ISO10012测量管理体系?但是这样的测量设备和测量过程是很少的没有效益和作用的测量设备和测量过程组织一般是不必购置和进行测量的?所以从原则上讲只要是组织购置和进行测量的所有测量设备和测量过程都应纳入ISO10012测量管理体系中只是管理的严格程度不一样花费的资源多少不一样?有的测量设备要经过全部确认过程有的测量设备只需贴上不需确认的标志即可;有的测量过程要经过严格的控制长期的监视有的测量过程只需按一般对测量设备的计量确认过程管理就可以了?
(1)确定哪些范围建立测量管理体系应当是组织的一项战略性决策?
随着世界经济的发展组织之间的竞争日趋激烈这就要求组织比以往更准确?更快地适应市场的变化不断满足顾客的需求和期望?为此 的途径是根据顾客的要求?市场的需要?产品质量的需要?物料?能源??环保等各方面需要并根据ISO10012:2003标准的要求建立组织的ISO10012测量管理体系?要打破传统的理念从眼前花费资源转向长远的效益;从狭义的组织需要转向以“顾客”和“市场”为导向观念实施转变资源重新配置是组织的一项战略性决策?
(2)组织的追求?组织的目标?组织的产品?组织所采用的战略?组织的规模和结构的不同 ISO10012测量管理体系的设计和实施也是不同的?因此不可能统一规定组织应建立哪些测量设备和测量过程哪些应纳入ISO10012测量管理体系?
2.凡申请ISO10012认证或注册的组织应按认证或注册标准要求的范围来确定ISO10012测量管理体系的范围
建立ISO10012测量管理体系可能出于各种不同的认证和注册目标?一般有以下几种情况:
(1)组织申请其他标准的认证或注册如ISO9001标准或ISO14000标准中对测量设备和测量过程控制有要求时也可以按ISO10012建立测量管理体系其纳入测量管理体系范围的测量设备和测量过程应该是与ISO9001标准或ISO14000标准的范围相一致?
(2)检测实验室和校准实验室申请ISO/IEC17025的认证或注册的也可以按ISO10012建立测量管理体系其纳入测量管理体系的范围应与申请ISO/IEC17025的范围相一致?
(3)如果按不同的行业的认证标准如船舶认证?卫生认证?建筑业认证的认证标准等建立测量体系的其测量体系的范围应与其行业认证或注册标准的范围相一致?
(4) 质量监督检验检疫总局提出依据ISO10012帮助企业建立完善的计量检测体系ISO10012可作为使用的标准或依据其纳入测量管理体系的范围应按 质检总局的规定:“包括质量监控?能源计量?环境检测?防护检测?经营管理检测等方面?”因此凡申请建立完善ISO10012计量检测体系的企业建立ISO10012测量管理体系的范围应该不但包括与质量有关的测量设备和测量过程还应包括能源?环境??经营(含物料)等所有检测范围?
ISO9000质量管理体系标准是由国际标准化组织(The International Organization For Standardization简称ISO,成立于1947年2月23日,是世界上的具有民间性质的标准化机构)在1987年提出的 概念,由ISO/TC176(国际标准化组织质量管理和质量保证技术委员会)工作组制定的国际通用标准。它总结、提炼了世界各国质量管 理理论及实践经验的精华,是一套先进的管理标准。并在其意义在于证实组织具有提供满足顾客(上级政府、广大市民)要求和适用 法规要求的产品(服务)的能力,目的在于不断增进顾客(上级政府、广大市民)满意。
作为世界各国质量管理先进 经验的科学总结,英国、美国、加拿大、新加坡等国的政府行政部门近年纷纷推行ISO认证标准。政府导入ISO质量管理体系,是借 用ISO的语言、方法和理念规范日常工作,实现政府管理化、运行规范化、服务标准化。