发布时间:2024-07-30 11:57:25 浏览次数:1 公司名称:[文昌市]博慧达ISO9000认证
| 产品参数 | |
|---|---|
| 产品价格 | 电联/套 |
| 发货期限 | 当天 |
| 供货总量 | 999 |
| 运费说明 | 面议 |
iso14001认证内审要点
深圳iso14001认证条款审核要点如下:
4.2环境方针
☆ 是否由高层主管参与界定承诺签署
☆ 是否包括对持续改善和污染预防之承诺
☆ 是否包括对符合相关环保法令规章及其它要求作出承诺
☆ 环境方针是否对外公开相关途径如何?环境方针是否有考虑,环境目标、指标,并有再评评
价的途径?
☆ 员工是否了解公司环境方针
4.3.1环境因素
☆ 是否建立环境因素清单
☆ 环境因素是否考虑过去现在将来这三个时态
☆ 环境因素有否考虑正常异常紧急的情况
☆ 环境因素是否包含所设定的范围和所有区域/产品/活动/服务
☆ 环境因素是否传达到各相关部门/人员,环境因素清单是否为
☆ 环境因素是否包含新开发项目及新的或已更正的项目
4.3.2法规与其他环境要求
☆ 组织是否建立并维持一程序用来鉴别法规及其他要求
☆ 是否鉴别组织适宜的一切法令及其他要求
☆ 是否有对法令及其他要求进行更新
☆ 组织是否符合相关法令的要求
☆ 法规鉴别结果是否保存,是否有关联之法规,要求事项一览表?必要的人员是否有阅读或易于
取得
4.3.3目标、指标和方案
☆ 是否建立文件化的环境目标与指标
☆ 建立之目标是否明确
☆ 建立之指标是否量化
☆ 建立之目标和指标的执行是否有效
☆ 相关人员是否清楚了解目标和指标,目标和指标是否与环境方针整合
☆ 是否制订管理方案以达成相联之环境目标和指标
☆ 是否建立环境管理方案之程序及相关办法
☆ 是否明确环境管理方案的相关权责分工
☆ 是否包含为达成目标和指标的详细方法
☆ 是否包含为达成目标和指标的期限和时程
☆ 当环境管理方案进度无法达成或其他原因是否修订环境管理方案或替代方案?
4.4.1资源、作用、职责与权责
☆ 是否明确界定相关权责,并且文书化,公告周知
☆ 管理阶层有否提供实施与管制环境管理体系所需要的资源包括人力物力财力资源
☆ 组织的高层主管是否委任管理代表是否有证据查访
☆ 环境管理代表是否向高层主管报告环境管理体系的绩效以审查并作为环境管理体系改进的依
据
☆ 管理代表及相关人员是否有其责任与义务?是否与定义相符
4.4.2能力 培训和意识
☆ 工作上可能会对环境产生重大冲击的每位员工是否规范训练需求及记录
☆ 相关人员是否经过培训及资格认可
4.4.3沟通
☆ 是否建立对各内部部门与阶层之间的沟通程序
☆ 是否有内部沟通之内容及记录
☆ 是否建立外部沟通的管道及方法
☆ 是否有外部沟通之内容及记录
☆ 外部之利害相关者传达的讯息的回应是否依文件规定处理
4.4.4文件
☆ 有否建立说明管理体系的核心要素的相关规定的文件
4.4.5文件控制
☆ 是否建立并维持适当的程序和责任以供制作及修改各种类型的文件
☆ 文件管制是否依文件规定作业
☆ 是否有证据显示文件的 版本状态
☆ 是否使用已失效的文件
☆ 相关文件是否由相关权责人员审核
☆ 文件的修订是否依标准作业
☆ 文件的回收是否妥当
☆ 文件是否能清楚识别
☆ 必要文件是否发行至必要场所
4.4.6运行控制
☆ 组织是否以方针、目的、目标所订定的事项,对影响环境的活动加以明确
☆ 污水废气噪音废弃物毒性物质化学品土壤污染资能源管制是否依文件作业
☆ 相关过程是否建立作业指导书
4.4.7应急准备与反应
☆ 是否建立紧急事件准备与应变之程序书及相关办法
☆ 紧急应变程序是否界定相关权责,事故发生后是否有再评估
☆ 是否界定紧急应变类别
☆ 是否进行相关紧急应变演习
☆ 相关应变设施是否按规定要求维护
4.5.1监测与量测
☆ 是否建立并维持文件化程序以定期监测与量测会支环境产生重大冲击的作业或活动
☆ 文件化程序是否包括界定监测与量测之对象频率权责部门及符合度判定
☆ 是否建立程序以定期监测与量测目标和指标及管理方案的达成状况
☆ 是否定期评估组织与相关环境法令规章之符合性法令有关要求事项是否有进行监测与量测
☆ 监测与量测结果之记录是否按规定保存
☆ 是否规定监测与量测设备校正与维修
4.5.2符合性评价
☆ 是否定期对适用的法律法规要求的符合性进行评价
☆ 是否对其他适用环境的要求的符合性进行评价
☆ 是否具有评价的方法
4.5.3不符合纠正与预防措施
☆ 是否建立文件化的不符合纠正与预防措施的规定
☆ 是否涵括法规管理方案审核之不符合判定
☆ 实际之不符合是否按文件要求进行纠正与预防
☆ 实际之纠正与预防措施是否有效
☆ 纠正与预防措施结果是否追踪
4.5.4记录
☆ 是否建立记录管理之程序及相关办法
☆ 记录是否清楚易读可识别可追溯易检索
☆ 是否建立记录保存之期限
☆ 相关记录的管制是否依文件标准作业
4.5.5环境管理体系内部审核
☆ 是否建立文件化环境管理体系内部审核的方案/计划程序
☆ 是否规定稽查的频率范围目的
☆ 内部稽查人员是否进行相关培训并考核合格
☆ 审核人员是否被审核单位无关以确保其独立性
4.6管理评审
☆ 是否建立文件化管理评审程序
☆ 管理评审内容是否包括审核结果
☆ 管理评审内容是否包括环境目标、指标和方案的符合程度
☆ 管理评审内容是否包括利害相关者所关切的事项
☆ 管理评审内容是否包括随着情势与资讯的变化环境管理体系的持续适用性
☆ 管理评审结果记录结论是否保存相关结论有否追踪确认
☆ 管理评审是否有高层主管的参与
制定和实施食品安全管理体系和提高其有效性时鼓励采用过程方法,以获得安全食品和服务的活动得以加强,并满足适用的要
求。过程方法包括按照组织的食品安全方针和战略方向,对各过程及其相互作用,系统地进行规定和管理,从而实现预期结果。可
通过采用 PDCA 循环以及基于风险的思维对过程和体系进行整体管理,从而有效利用机遇并防止发生非预期结果。
一、策划过程
策划过程可分成若干个子过程,这些子过程是建立食品安全管理体系必须要加以识别和管理的,可分为以下七点。
一是,组织环境的识别和评审过程,其包括组织内外部环境和相关方需求识别与评审过程,食品安全管理体系范围的确定过程。
二是,管理体系策划过程,包括方针、目标、组织框架及职责权限、应对风险的措施等。
三是,人力资源管理过程。食品行业的人力资源管理有别于其他行业,注重员工健康管理,食品安全意识及食品安全小组的能力要
求。
四是,基础设施和工作环境管理过程。根据食品行业类别,按不同的食品法规要求,对基础设施和工作环境加以管理。
五是,外部提供的过程、产品和服务控制过程。供方的考核评价及原辅料进厂验收要求,包括对外部供方许可资质管理等内容。
六是,内外部信息沟通过程。着重食品链上下游组织在食品安全方面的信息沟通,包括与监管部门、供方、顾客等相关组织的信息
沟通。
七是,成文信息控制过程。关注记录保存期限与法律法规要求的符合性。
二、运行过程
运行过程该本标准的核心过程,存在另一个PDCA循环,包含了标准第8章所述的FSMS内的各种运行过程,可分为以下若干个子过程。
前提方案建立实施过程,依据组织所处的食品链的位置,确定相应的前提方案,如良好操作规范、良好兽医规范、良好分销规范可
追溯性过程。根据标准要求,追溯系统应能够 地识别供应商来料和终产品的初始分配路线应急准备与响应过程,组织首先应识
别出那些与食品安全相关的潜在的紧急情况,并制订出相应的应急方案,并要求对方案进行测试危害分析与评价及控制计划的建立
过程,根据HACCP七个基本原理的要求建立实施该过程。值得特别关注的是,新标准要求关键限值应可测量,操作性前提方案(OPRP
)的行动标准可测量或可观察。另外还包括控制措施确认过程、危害控制计划的实施与监视过程、验证过程、不合格产品控制过程
(包括产品撤回),这些过程与旧标准要求无太多变化。
三、食品安全管理体系的绩效评价过程
食品安全管理体系的绩效评价过程包括对监视和测量、验证活动结果所获取的数据和信息,以及对前提方案和危害控制计划实施情
况的监测结果的分析与评价,同时包括内部审核和管理评审活动,以确定FSMS的绩效情况。该过程可分为:分析与评价过程、内部
审核过程、管理评审过程。
四、改进过程
组织应持续改进食品安全管理体系的适宜性、充分性和有效性,并根据与相关方沟通的结果、验证活动结果分析的输出以及管理评
审的输出更新FSMS,该过程可分为持续改进过程、食品安全管理体系更新过程。综合上述分析,基本已识别食品安全管理体系的主
要过程,组织可以按过程方法的要求,形成过程清单,如附表所示,以便管理食品安全管理体系。
除上述过程外,组织还应考虑基于风险的思维,识别食品安全管理体系其他过程。基于风险的思维也分为两个层次,组织层面的和
运行层面的。运行层面的过程识别已包含上述第二大过程(运行过程)中。组织层面的过程识别,可参照标准6.1.1条款之规定:“
策划食品安全管理体系时,组织应考虑到4.1中涉及的事项”。同时,标准4.1指出:“考虑各种内外部因素,包括但不限于国际、
国内、地区和当地的各种法律法规、技术、竞争、市场、文化、社会、经济因素、网络安全和食品掺假、食品防护和故意污染”。
因此,还需识别非传统食品安全危害控制过程认证:食品防欺诈过程、预防人为破坏和蓄意污染过程。
?
1. 由于外包是由外部组织完成的,对外包组织的控制相对于组织内部,较为困难。这些控制包括资源保障(包括设备、人力资源、信息等)、过程策划、过程控制、监视和测量、产品标识和可追溯性等。
2. 外包方作为一种资源,受限于地理区域或其它原因,有时是稀缺的,如电镀厂。一个区域可能仅存在一家电镀厂,产品需要电镀只能选择这一家,电镀厂就缺乏动力来迎合组织提出的管理或协作要求。组织很难通过自身努力来改善这些现状。
3. 外包的过程、产品和服务虽然对组织很重要,但外包费用不高,无法引起外包方的重视。如快递一台仪器,虽然运输过程中的产品防护非常重要,但由于快递费用有限,承运方对产品防护的要求仅能按其快递规范来执行,企业很难对承运方施加足够的控制。这一现象在中小企业当中更为明显。
4. 现代经济是分工和协作的经济,一个组织的外包活动通常非常多。认证审核组在有限的工作时间内对挑出的重要外包过程中进行检查,通常只能查个皮毛,仅对控制的形式和结果作评价,对有效性和适宜性无法深入检查。
5. 外包的运作和控制有时分布在采购部门之外,在其它部门检查时容易忽视对外包的审核。
6. 认证准则中关于外包的要求描述的很抽象,审核组很难作出外包过程控制是否适宜、有效的结论。
四)常见的外包形式和控制方法。
1)常见的外包过程及存在形式:
过程外包:设计外包、生产外包、工序(加工)外包、运输外包、售后外包等;
职能外包:培训外包、食堂管理外包、计量管理外包、设备维保外包、厂区物业外包等;
2)外包活动控制的方法及分析:
A)控制外包方整个管理体系的控制,参与外包方管理体系的策划和监视,如PPAP。
相关概念:
Production Part Approval Process 生产件批准程序,即生产件认可过程要求按照事先批准的程序生产制造出的样件用于验证生产能力。
需要提交的保证材料主要有生产件尺寸检验报告外观检验报告功能检验报告 材料检验报告;还包括零件控制方法和供应商控制方法;
主要是制造型企业要求供应商在提交产品时做PPAP文件及首件,只有当ppap文件全部合格后才能提交;当工程变更后还须提交报告。
B)组织二方审核。以组织的名义对其供方实施现场审核并出具审核结论,审核准则由组织策划决定。外包方需对审核出具的不符合实施整改,并获得组织的认可。审核组可以由组织直接派出,也可以外聘审核员或外包。
C)体系或产品要求通过第三方认证或检测。要求外包方在承包前需获得指定或不指定认证机构的第三方管理体系认证,或要求外包方的产品通过第三方检测机构的委托试验或产品认证,如RoHS认证。
D)合同,质量保证和附加义务约定。一般情况下,组织均会与外包方签订有法律约束力的经济合同。通过合同来约束外包方的责任和义务。关键是看这些合同的条款,是否能保护组织的预期和利益。如果仅仅是外包方的格式合同,通常不能满足体系有效性的要求。
E)驻厂监造/质检/工程师。在外包过程非常重要,而外包方没有能力保证绩效时,可采用这种比较实用的措施。组织派出的人员,在现场参与策划,批准工艺,参与监视和测量等等,能有力保证外包方的外包过程满足预期的要求。
F)供应商调查、评价和业绩监视。外包方在承接外包业务之前,需要获得组织的认可。这个认可活动包括外包方的资质能力调查和评价、产品试制或试用,以及持续的外包绩效监视等。必要时,由组织委派审查组对外包方现场实施审查或(专业的、系统的、独立的)二方审核。这些是质量管理体系标准所要求的。环境管理体系则要求组织考虑将外包方的环境义务列入评价准则之中,对确保对外包方实施足够的影响。
G)检验和验证。无论是外包还是采购,检验和验证是有保证力的手段。检验需要投入检验所需资源,涉及管理成本,是组织考虑采用检验还是验证的主要因素。
五)认证审核应考虑的风险和有效性评价准则。
认证机构对申请组织实施认证审核并且颁发认证,是一种信用担保行为。认证机构根据经营环境和自身定位,以及相关方的期望和要求,制定认证评定的准则,对申请组织质量和环境管理体系运行符合性和有效性实施审核和评价,终作出认证决定。也就是说,对于不同的认证机构,不同的申请组织,会有不同的认证评定准则。而不能仅仅是符合法定要求。
评价外包的风险和外包控制的有效性,可以考虑以下几个方面:
1)外包的产品、服务和过程,对组织质量和环境管理体系的影响有多大。
A)如果外包涉及相关方的强制性要求,如法律法规、与组织的顾客签订的合同等,当外包控制失效,就会涉及违法违规或违反合同等恶性事故发生。某些外包的产品、服务和过程涉及安全性要求,比如说危化品运输,一旦失控,会造成对相关方(包括认证机构)带来很大的风险。
上述这些外包如果失控,应该成为认证评定的否决项。
B)有些外包过程虽然不涉及强制性要求,但对其公开申明的方针目标有较大的影响,或无法履行对相关方(如顾客)的承诺,或显著影响组织的体系运行(如因外包方未按时交付而导致停产)。这些外包失控产生的风险,主要是会对相关方(顾客、员工、股东、社会等)的利益造成侵害。审核组应在现场评价其风险等级,并出具不符合报告或观察项。
C)实践中,有很多外包对管理体系的影响比较小。组织没有识别或没有实施严格的管理,并不会对管理体系的有效性带来比较大的影响。审核时应抓大放小,或仅与受审核方作适当的交流。
2)外包控制方法的选择。前文已经描述了外包的几种常见的控制方法。实践中,组织常常是根据需要综合利用其中方法。每一种方法,对外包控制均有一定的效果(收益),但同时也均需投入一定的资源(成本)。将收益与成本相比较,就是效率。
以下几种情况,可以认为外包的控制方法或控制效果未达到认证要求:
A)不符合GB/T19001-2016《质量管理体系 要求》和GB/T24001-2016《环境管理体系 要求及使用指南》二个标准关于外包控制的条款要求;
B)外包的控制程度无法保证产品(和服务)的质量符合规定的要求,如产品的质量特性无法得到验证,无法向相关方证明外包质量受控;
C)外包的实际控制效果影响了与相关方签订的合同(如销售订单或与社区签订的环保约定)的履行,如交付时间;
D)外包产生的经济损失和运营风险,使组织无法保证具备稳定地履行与相关方签订合同的能力;
E)外包的控制效果无法保证组织各层次目标指标的实现。
综上所述,认证审核组应在组织选择外包控制方法所考虑的效率,和认证风险之间取得一个适当的平衡。既不能片面强调组织的资源能力或经济效益,也不能妄顾认证机构的认证风险。
ISO27001认证信息安全风险评估
目的:实施风险评估,识别不可接受风险,明确管理目标。
内容:风险评估是整个风险管理的基础,本阶段将根据前期策划的风险评估方法。
包括:a. 根据业务要求及信息的密级划分,对信息资产的重要程度进行判定,识别对关键核心业务具有关键
作用的信息资产清单;对重要信息资产从内部及外部识别其所面临的威胁;
b. 根据威胁,从管理和技术两方面识别重要信息资产所存在的薄弱点;
c. 根据风险评估的方法指南,对威胁利用薄弱点对重要信息资产所产生的风险在保密性、完整性、可 用性三方面所造成的影响进行评价;评价威胁利用薄弱点引发安全风险事件的可能性;
d. 根据风险影响及发生的可能性评价风险等级;
e. 根据信息安全方针,各核心业务流程的安全要求,与管理层进行沟通,确定不可接受风险等级的标 准;
f. 针对不可接受的高风险,制定风险处理计划,从ISO27002及顾问的行业经验来选择适宜的风险管
控措施;实施所选择的控制措施,降低、转移或消除安全风险;
g. 编写风险评估报告。
