IATF16949：2016认证审核攻略 1、顾客特殊要求和体系关系矩阵必须建立，顾客特殊要求不是技术和图纸要求；如果没有，审核时企业需提供顾客出具的书面证据； 2、产品安全满足13项要求，如，作业指导书有安全标识，追溯性必须100%有批次号，FMEA和CP必须有顾客的特殊批准，变更需经顾客批准等； 3、员工举报电话必须建立，邮箱不接受； 4、应急计划含常发自然灾害， 管理者每年评审； 5、风险分析不能按部门来做，必须按照过程，按照事件分析，风险需建立等级，制定预防措施； 6、基础设施评价，须体现精益的原则； 7、内部实验室，必须形成范围清单，标准清单和实验设备清单； 8、内审员能力满足5项要求，包含培训老师资格（IATF授权机构的培训合格证明）必须保留； 9、SQE除满足内审员5项要求，还需满足FMEA和CP的能力要求； 10、记录保存：生产件批准文件、工装记录（包括维护和所有权）、产品和过程设计记录、采购订单（如适用）或者合同和修正，保存时间为产品在现行生产和服务中要求的有效期，再加一个日历年； 11、软件开发应有质量保证过程，并纳入内审方案； 12、供应商必须爬坡提升，审核计划形成文件； 13、TPM形成文件化的目标，如：OEE\MTBF\MTTR; 14、返工和返修必须有作业指导书，FMEA的分析； 15、不合格品报废前，确保其丧失物理上的使用价值； 16、控制计划必须结合FMEA更新； 17、审核前须按照IATF16949标准要求，进行一次完整的内审和管理评审； 18、转版审核须提供按新版运行的至少3个月的绩效指标。 各个章节容易发生的问题 IATF16949标准第四章容易发生的问题 1.有些外部支持场所认证机构纳入了审核的范围，但在组织的质量体系的范围里没有描述； 2.对于一些集团审核的案子，特别是有多个支持场所的，由于在质量体系范围没有清晰的定义清楚，导致有些支持场所没有覆盖； 3.未识别产品安全的要求； 4.顾客特殊要求识别不充分。 IATF16949标准第五章容易发生的问题 1.管理者的职责、权限和责任没有形成书面声明； 2.管理者没有执行其职责和权限； 3.应用组织结构图的地方，没有体系或接口支持信息； 4.人员和部门之间的接口和联系不存在或没有定义； 5.不存在方针声明； 6.方针声明书面化，但没有在所有层次被理解或实施，尤其在车间现场。 IATF16949标准第六章容易发生的问题 1.没有清晰定义目标； 2.质量目标控制系统实际不存在； 3.目标未层层分解，没有分配人员职责； 4.应急计划未定期评审。 IATF16949标准第七章容易发生的问题 1.缺少足够资源； 2.缺少经过培训的人员。（组织制定了需要的培训，但没有执行）； 3.对执行”影响产品要求符合性工作”人员的定义过于狭窄； 4.临时工没有受到足够培训； 5.没有培训记录，或记录不充分； 6.员工缺少适当的教育、培训或经验； 7.对培训需求没有进行评估； 8.培训计划不充分； 9.没有考虑培训在工作执行中的效果； 10.企业环境不鼓励创新和改进； 11.没有人负责操作监视和测量系统； 12.应该包含在监视和测量系统中的设备没有在系统中（尤其在研究和开发领域）； 13.监视和测量无法溯源到国际或内部标准； 14.无法确保可调试设备没有被改为无效校准； 15.当设备没有校准时，没有评估之前结果的影响； 16.内部实验室没有被正确阐明并设立； 17.外部实验室不符合ISO/IEC17025或 等同标准。 IATF16949标准第八章容易发生的问题 8.1章节容易发生的问题 1.对5M1E缺少证实的策划； 2.没有设立产品或项目目标； 3.确认和验证策划不充分。 8.2章节容易发生的问题 1.不存在合同程序； 2.程序不全面或错误理解（经常是故意的），或相互矛盾（如：设计、销售和生产之间）； 3.记录不充分或不存在； 4.顾客的要求未完全考虑； 5.没有处理订单的文件化程序； 6.顾客经验的反馈不充分； 7.没有考虑交付和交付后活动的要求。 8.3章节容易发生的问题 1.设计职责/权限/接口没有以书面形式指定或执行； 2.团队没有协调，尤其在产品责任和过程责任之间； 3.图纸没有控制，因为：公差不合理；图纸没有被检查或验证；图纸未经认可，或者没有使用更改控制系统；图纸出现主观描述。 4.缺少实际设计评审，例如个人（自愿选择伙伴的人）操作的一个系统； 5.一个系统出现在书面文件中，但未使用； 6.指定的公差不可能实现（如：缺少生产介入）； 7.原型样件不符合关键检查项目； 8.用户手册的要求，设计几乎完成时才开始； 9.用于实验工作的量具和试验设备没有校准； 10.抽样系统有缺陷或没有被客户同意； 11.一个具体产品或项目缺少质量计划，该产品或项目要求质量手册中的标准程序发生偏差或增加。 12.太多的设计没有被生产介入，这导致生产不能执行这些无法实现的规范。 8.4章节容易发生的问题： 1.缺少或没有证据显示外部提供方得到控制； 2.没有可接受外部提供方的记录； 3.违背了“仅从批准的供应商采购”的规则； 4.采购文件里没有足够的数据； 5.签订合同时，没有通知供应商质量管理体系要求； 6.没有执行自己的体系（如，电话订单没有确认）。 8.5章节容易发生的问题 1.满足顾客要求的要素被忽略，例如足够的设备和人员培训要求，被忽略； 2.对人员、机器、材料、工作方法、环境等的控制，缺少可证实的策划； 3.产品或项目的目标没有设立； 4.确认和验证策划不够充足； 5.书面的工作/职位指导书或程序不够充分，缺少该指导书或程序会影响质量； 6.零部件、原材料，或产品没有标记； 7.批次标识有要求时，批次零件彼此叠加； 8.在追溯性必要时，缺少一个阶段或操作。 9.顾客/外部供方财产项目被损坏或没有被正确存放； 10.顾客/外部供方财产没有被充分识别； 11.顾客/外部供方已经提供材料、设备等，但是对此没有验证。 8.6章节容易发生的问题 1.物料接收缺少控制（如，要求试验/检验的材料直接转到存货）； 2.分配给生产的材料没有标识，也没有被完全控制； 3.指定的检验或试验没有执行； 4.检验或试验记录丢失； 5.终检验或试验被绕过，或者公司产品批准程序没有执行； 6.返工产品没有完全重新检查。 8.7章节容易发生的问题 1.不合格材料未被识别或放置在未指定的地方； 2.没有定义返工的评审和处理职责； 3.没有规定返工要求； 4.返修或返工没有重新检查。 IATF16949标准第九章容易发生的问题 1.内审按要素审核，而不是按过程方法审核； 2.企业不存在审核系统； 3.对审核发现没有采取纠正措施； 4.使用审核员没有充分培训； 5.没有独立的人员执行审核； 6.内审文件和记录不完整； 7.不存在管理评审系统； 8.内部审核结果的纠正措施没有执行； 9.评审作为一个“事件”而不是作为一个持续过程； 10.不能保证定期评审整个体系。持续的绩效和体系评审是管理评审过程的一部分。 IATF16949标准第十章容易发生的问题 1.书面纠正措施计划没有被执行； 2.纠正措施的职责没有被指派； 3.强调“问题解答”胜于预防和持续改进； 4.预防产品失效重复发生的能力不充足； 5.只有应用预防失效再发生的纠正措施，没有应用防止问题不发生的实际预防措施（如，未正确应用FMEA)。 需提供审核证据清单 4.1 组织环境，4.2理解相关方需求 证据：环境因素识别清单、组织发展规划、内外部环境变化对质量体系的影响分析报告、组织宏观分析报告、SWOT矩阵分析报告、组织内外部环境定期监视、评审报告、应对措施，相关方清单，相关方需求分析。 4.3确定质量体系的范围： 证据：组织简介与产品简介、体系范围（如橡胶管、油封、密封条的设计、制造及销售所包含的人员、场所及班次）、不适用条款说明、公司确认的所有过程的清单、文件化信息清单、顾客要求及特殊要求清单、顾客特殊要求评审记录。 4.4质量管理体系及其过程： 证据： 1.公司组织机构图/管理体系机构图。 2.公司各过程职能分配表。 3.公司顾客导向过程与支持过程相互关系矩阵图。 4.过程顺序及相互作用图。 5.顾客导向过程－COP清单。 6.支持过程－SP清单。 7.管理过程－MP)清单 。 8.外包过程清单。 9.外包风险可行性分析报告。 10.过程绩效指标一览表。 11.程序文件及管理文件清单。 12.章鱼图/乌龟图 证据： 新旧版本标准差距分析报告、换版行动计划、过程清单、乌龟图、过程分析清单及措施、过程绩效一览表及其过程绩效统计表、过程相互作用图、内外部环境对质量管理体系的影响分析报告。 证据： 质量体系过程网络图、乌龟图、 管理者对过程效率的思路与要求、程序文件、作业文件、检验文件、操作规程、产品标准管理制度、过程流程图、样本、绩效指标统计表、纠正措施/8D报告 组织是否确定过程所需的资源并确保其可用性？ 证据： 员工花名册、设备、工装清单、监视测量设备清单、厂区平面布置图、知识清单、员工素质矩阵表。 组织是否分派过程的职责和权限？ 证据：部门职责、岗位说明书、组织机构图、部门结构图、组织部门任命书、部门绩效考核标准。 组织如何应对确定的风险和机遇？ 证据：风险与机遇措施控制流程、风险与机遇清单、风险与机遇分析矩阵、风险与机遇的措施。 组织如何改进过程和质量管理体系？ 证据：数据分析报告、内部审核、过程审核、管理评审、纠正措施、8D报告、合理化建议方案、持续改进记录、过程变更信息。 组织是否保留文件化信息？ 证据：文件清单、记录清单、文件发放记录、文件更改记录。 管理者应如何确保以顾客为关注焦点的领导作用和承诺？ 证据：顾要求清单 、顾客特殊要求客清单、顾客合同、顾客质量协议/技术协议/保密协议、顾客图纸 、法律法规、顾客满意度分析报告、顾客要求评审记录。 组织如何确定和应对影响产品符合性以及增强顾客满意度的能力的风险和机遇？ 证据：与外部供方签订的供货合同、质量协议、外部供方业绩监控记录、第二方审核计划及记录、产品设计输入、输出的评审记录、设备能力计算、过程能力指数、过程风险辨识清单、信息反馈与纠正措施、产品放行制度、质量职责。 组织如何始终致力于增强顾客满意度？ 证据：持续改进方案、培训记录与评估、设备改进和先进设备引进清单、顾客满意度测量与分析报告、顾客业绩监控记录、顾客信息反馈与纠正措施。 管理者如何制定、实施和和保持质量方针？ 证据：质量方针及含义解释、质量目标、质量方针的宣贯记录。 组织如何沟通质量方针？ 证据：质量方针宣贯记录、宣贯方式、总经理办公会议记录、现场提问3-5名员工回答质量方针、官方网站宣传质量方针的信息或宣传资料。 管理者如何确保组织内部岗位的职责和权限得到分派、沟通和理解？ 证据：公司组织机构图、公司质量管理体系组织机构图、各部门组织机构图、各部门人员工作岗位职责/权限/资格说明书、 质量体系运行报告、 影响管理体系的变更报告、 总经理办公会议记录 、抽查现场员工理解职责的理解程度。 管理者如何分派组织权限，以确保质量管理体系符合标准要求，并确保各过程获得其预期输出？ 证据：岗位考核标准、绩效指标一览和统计表、公司各过程职能分配表。 管理者如何在分派职责和权限过程中，以规定报告质量管理体系的绩效及其改进机会，特别是 管理者的报告？ 证据：管理评审会议记录、沟通记录、授权书、体系变报告、 管理者的批复。 管理者如何在分派职责和权限，以确保组织内推动以顾客为关注焦点？ 证据：以顾客为关注焦点意识的培训记录、顾客信息传递记录。 管理者如何在分派职责和权限，以确保在策划和实施质量管理体系变更时保持其完整性？ 证据：变更通知单、结构、流程、规范、产品和交付方式变更时的风险评估报告及措施。 组织在策划管理体系时如何考虑风险与机遇，以满足体系要求的? 证据：环境因素清单、风险与机遇分析和措施。 组织策划的风险与机遇措施是否进行评价其有效性？是否对产品的符合性影响相适应？ 证据：风险改善计划（包括风险描述、风险区域、改善目标、改善周期、改善步骤、责任担当、资源需求、检查担当、检查结果）、风险措施（包括规避风险、承担风险、消除风险源、改变风险的可能性和后果、分担风险）、风险与机遇控制的绩效指标及评价报告、风险与机遇措施对产品影响分析。 组织是否在相关职能、层次和质量管理体系所需过程建立质量目标？ 注：按质量方针所确定的目标框架制定质量目标 证据：公司级目标、部门级目标、过程目标、质量目标实施统计表、质量目标的更新记录、目标未达成的措施 组织是否保持有关质量目标文件化信息？ 证据：质量目标文件、质量目标实现的方案与计划、质量目标实现的评价记录。 当组织确定需要质量管理体系进行变更时，变更是否按策划的方式实施？ 证据：变更信息清单、 政策的变更对质量管理体系的影响分析（企管部）、组织的变更对质量管理体系的影响分析(企管部)、设备和工艺变更对质量管理体系影响预测分析（技术、质管部)、供应变更对质量管理体系的影响分析(采购部)、 市场的变更对质量管理体系影响预测分析(销售部)。 组织是否确定并提供为建立、实施。保持和持续改进质量管理体系所需资源? 证据：1.资源清单（人力资源、基础设施资源、过程运行环境资源、监视和测量资源、组织的知识资源等）；2.资源年度预算。 组织如何确保并配备所需的人员，以有效实施质量管理体系并运行和控制其过程？ 证据：年度招聘计划、部门人员需求报告、培训计划、培训记录、岗位说明书（学历、技能、培训、经验）、人力资源规划、员工名册、特殊工序及特殊特性人员、特种岗位人员持证率（天车司机、电工、电焊工、机动车司机、叉车司机、电梯工、压力容器）、工程技术人员资格、内审员和质检员资格。 组织如何确定、提供并维护所需基础设施，以及运行过程并获得合格产品？ 证据：设备申请购置单、设备台帐及档案、设备工装定期保养维护计划与记录、设备维修单、主要设备日常点检、运转情况记录、设备履历表、设备工装处置申请单、设备验收报告、设备工装易损件 库存定额、设备效率统计表、设备完好率统计表、特种设备准用证及检定合格证和上岗证（如行车/叉车/压力容器/锅炉等）、组织发展规划。 组织如何确定、提供并维护其所需的环境，以运行过程并获得合格产品？ 证据：过程环境清单及管理方案、作业文件 、设备操作规程、工艺流程卡 、产品、状态标识、现场定置图及安全制度 、通道及区域线、员工应知应会内容 、5S检查记录、应急计划、危险源、污染源识别清单及管理方案。 审核各阶段需准备材料 一阶段审核 顾客资料 包括汽车顾客清单、汽车顾客特殊要求清单、与顾客签订的合同/协议等以及合同或协议的评审、连续12个月的订单。 体系策划 过程控制清单、过程矩阵图、过程关系图、风险控制方案、程序文件清单、手册、记录清单。 内部审核 包括体系审核、所有涉及到汽车产品制造的过程审核、所有汽车产品的产品审核；如年度计划、审核计划、审核报告等。 管理评审 评审计划、评审报告等。 过程绩效指标 连续12个月的绩效指标统计及趋势，包括业务计划中规定内容、质量目标、质量成本分析、过程指标。 与顾客有关的绩效 顾客抱怨/投诉/退货处理资料（汇总表、登记表、8D报告/PPM指标及趋势、超额运费等）、顾客满意度评价。 与供方有关的绩效 供方的PPM指标及趋势、超额运费等。 汽车产品标准、顾客图纸、APQP资料、对产品的顾客确认记录/第三方检测报告等。 二阶段审核 管理层 公司内外部环境因素分析：SWOT分析（竞争对手、行业标杆等）、宏观因素分析（政治、经济、文化等）、微观分析（行业、产品结构/定位、发展趋势等）； 企业风险分析：产品安全、生产安全、环保、财务、设计、制造、供应、行业等； 公司战略：未来3~5年的公司总体战略规划及目标，战略展开（职能战略）及战略目标展开； 年度业务计划/经营计划制订及统计：按照公司总体战略目标制订本年度公司级业务计划并落实到各部门，建立公司各部门的KPI指标，按规定周期收集和统计目标达成结果并进行趋势分析，提出改进措施。需提交连续12个月的统计结果。业务计划包括每个顾客及供应商的业绩监控、质量成本、质量目标、经营性指标、管理性指标、过程指标等； 管理评审：管理评审计划→各部门汇报资料汇总→管理评审会议签到→管理评审报告→持续改进计划→实施结果； 内部审核： 体系审核：内部审核实施计划→审核实施记录→体系审核报告→不符合项报告（含原因分析、纠正措施及验证）→不符合项分布表→首/末次会议签到表； 过程审核：过程审核年度计划→过程审核实施计划→审核实施记录→过程审核报告→不符合项报告（含原因分析、纠正措施及验证）→不符合汇总表→首/末次会议签到表； 产品审核：产品审核年度计划→产品审核实施计划→实施记录（含：全尺寸报告、各项功能和性能实验报告、材料报告）→产品审核报告。 生产 生产计划：客户订单/销售计划→制造可行性评审→生产计划→生产指令→生产统计；包括产能分析； 生产工艺管理：作业准备验证（首检）、工艺参数监控记录（如生产不负责则由质量负责）； 生产过程控制：交接班记录、生产动态记录（设备维修、模具/工装维修、刀具/工具更换、产品更换、物料更换等）； 现场管理：区域划分（生产区、合格区、来料放置区、待检区、不合格区、发货区、通道等）、产品标识、现场应保持干净整洁。 设备 台帐→设备卡→年度保养计划→保养记录→日常点检记录→维修记录→绩效指标统计；满足预测性维修要求； 新设备或大修后→设备验收记录→台账→设备履历； 设备标识：环境保护设备/安全防护设备/关键设备的标识及状态标识（待修、停用、正常等）； 特种设备管理：清单、备案资料、年检记录；包括：行车、叉车、电梯、压力容器、锅炉等。 工装 新工装：开发计划→工装设计（图纸、标准等）→采购订单/自制计划→验收单（检验记录等）→台帐 日常管理：台帐→库存定期检查记录→维修记录→定期精度检查报告报→工装履历→废申请单（要填上处置记录） 工装标识：编号、产权及状态标识（待修、停用、正常、报废等）； 注：工装包括工具、专用检具、模具、夹具、刀具（含磨具）、可重复利用的物流器具等。 质量 新的原料或新零件→样品报告（公司的检验和试验记录、生产试用报告等；供方提供的材料报告、功能性能报告、可靠性试验报告及第三方的检测报告等）； 常规采购的产品→报检单→进货检验记录； 生产过程：工艺参数监控记录（如质量不负责则由生产负责）、产品检验报告书、过程质量记录（自检、首件检验、巡检、转序检、入库检、现场控制图、定期Cpk分析报告等）、成品检验记录（检验记录单、报告书）、标识（现场要有即可）、顾客来料检验记录； 退货或顾客抱怨：顾客投诉登记表→汇总→8D报告→变更通知单+文件更改通知单→相关文件修订（控制计划、FMEAs、工艺、检验规程等）；该项由营销或质量提供； 不合格控制：不合格处置单、如报废则有报废通知单、返工有返工复检记录、不合格汇总表→定期的不合格优先减免计划→纠正/预防措施验证记录→变更通知单+文件更改通知单→相关文件修订（控制计划、FMEAs、工艺、检验规程等） ； 针对重大不合格项目→纠正/预防措施验证记录 →变更通知单+文件更改通知单→相关文件修订（控制计划、FMEAs、工艺、检验规程等）； 监视和测量装置：台帐→校准/检定计划→校准/检定记录（内外部的校准记录、偏离记录、校准履历等）→有效期标识→试用前的校正记录→试验设备的日常点检记录→定期巡查记录；该类装置包含产品的检验和试验设备/仪器仪表/检具和监控过程参数的仪器仪表（如压力表、温控器、电压表、电流表、流量计、时间继电器、热电偶等）等；定期的MSA分析报告； 实验室：标准样品一览表→样品标识卡；实验室环境条件监控记录（温湿度、清洁度等）； 试验样品登记→试验原始记录→试验报告→试验样品处理记录等。 技术 新品开发：每个系列产品至少一套完整的APQP资料；关注产品标准、顾客要求、开发目标、产品设计验证/评审/确认记录、阶段性验证报告等； 所有汽车产品的PPAP资料，包括所有产品的图纸、控制计划、工艺文件； 过程验证：工艺验证记录（PPK、MSA、特殊过程、产能、成本、合格率等）； 设计更改：申请单→变更前的评审→变更方案→变更记录→变更后的评审→技术通知单/文件更改通知单→ 相关文件修订（图纸、标准、FMEAs、控制计划、工艺、检验规程等）→变更履历； 技术文件管理：技术文件清单→文件归档记录→复印分发记录→修订记录→修订后的收发记录→借阅记录；外来文件清单（与产品有关的标准）→文件归档记录→复印分发记录→有效性检查及更新记录→借阅记录。 营销 市场营销：市场分析、行业分析、市场定位、业务分析、竞争对手与行业标杆分析、SOWT分析、营销策略、营销规划等； 顾客档案：顾客清单→顾客特殊要求清单； 合同管理（包括销售合同、技术协议、质量协议、图纸等）→合同评审表； 订单管理：顾客订单/销售计划→可制造性评审记录→月度订单登记→发货计划→订单执行跟踪记录→发货记录→销售业绩统计； 退货或顾客抱怨：顾客投诉登记表→汇总→8D报告→变更通知单+文件更改通知单→相关文件修订（控制计划、FMEAs、工艺、检验规程等）；该项由质量或营销提供； 满意度管理：顾客满意度调查表（发给客户）/顾客满意度测评（内部评价）→顾客满意度评价报告； 顾客文件管理：顾客文件清单（顾客标准、图纸、合同、技术要求、相关协议等）→文件归档记录→复印分发记录→更新记录→修订后的收发记录→借阅记录。 采购 供应商资料：可接受供应商清单→供应商资料（基本信息调查表、营业执照复印件、机构代码证复印件、体系复印件（含质量体系、环境体系等）、特殊行业生产许可证/运输证复印件、危险废弃物处理资质等）； 供方评价：供方开发计划→资料收集→潜在供方清单→评审计划→供应商评审记录→可接受供应商清单→采购协议（新品开发协议、技术协议、质量协议、保密协议、价格协议、框架采购合同、物流/包装协议、环保协议等）； 样件管理：新品开发→技术文件签订和发放（各类协议、图纸、标准等）→OTS送样→样件认可→PPAP提交（必要时）→PPAP认可（必要时）→量采； 变更管理：更新后的文件→文件收发记录（旧文件回收、新文件发放）→零件更改后送样送样→样件认可→PPAP提交→PPAP认可→量采切换； 采购管理：物料需求计划→采购计划→采购订单→报检单→进货检验记录→入库单→供应商业绩评定； 不合格控制：不合格处置单→处置记录（退货、挑选等）→供方整改→整改验证记录→供应商业绩考核； 供方文件管理：与供方有关的文件清单（标准、图纸、合同、技术要求、相关协议等）→文件归档记录→复印分发记录→更新记录→修订后的收发记录。 仓库 账卡物一致、标识清楚、堆放整齐、防护符合环境要求、出入库记录齐全、先进先出方式明确、库房区域划分/布局、出货检查记录等； 相关方财产管理（硬件：设备、工装/模具/检具/物流器具、材料或零件等）：相关方财产清单→到货通知→检查记录→产权标识→入库管理→出货记录/消耗记录/周转记录→定期检查/保养/维护或维修记录→损坏记录（如有）→报告相关方的记录（如有）；具体管理按公司的设备、工装/模具/检具/物流器具、材料或零件等的管理要求进行。 人力资源 培训：培训需求（各部门提出、公司战略、岗位能力评价、新员工/转岗员工、安全/环保、新品开发等）→年度培训计划→月度培训计划→培训记录（签到表、培训记录）→培训效果评价； 人力资源管理：员工名册、新员工试用考核、特殊工种人员情况表、技能矩阵及能力评价、员工绩效考核、顶岗计划、职业规划及晋升通道、合理化建议/自主改善/QC小组活动。 满意度评价：员工满意度调查→员工满意度调查汇总分析→改进措施及验证。 文控/记录 受控文件清单（管理性清单）→文件审批→分发记录→修订记录→修订后的收发记录→借阅记录； 记录清单（含规定的保存周期）→分发记录→修订记录→修订后的收发记录； 说明： 1、管理性文件包括手册、方针目标、年度经营计划、程序文件、记录格式、管理制度、操作规程、作业指导书等。 2、操作规程及作业指导书不包括产品制造工艺类文件。 财务 成本核算：至少核算到各工序产品成本； 收集生产过程的不合格品、废品数据，核算内部损失。 收集顾客退货数据和索赔数据，核算外部损失。 终形成质量成本分析报告，关注质量损失的趋势。

ISO27000认证信息安全风险评估FAQ 深圳ISO27000认证为什么要进行信息安全风险评估？ 　　通过风险评估，你可以知道组织范围内存在哪些重要的信息资产、信息处理设施及其面临的威胁，发现技术和管理上的脆弱点，综合评估现有综合资产的风险状况。 什么是信息安全风险评估？ 　　风险评估：对信息及信息载体、应用环境等各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。 　　风险评估为管理层确定具体的安全策略，以及在“成本-效益”平衡基础上做决策服务；风险控制措施为组织实施信息安全的改进提供指导。 信息安全风险评估的实施的主体是什么？ 　　风险评估可分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。 　　检查评估应该是具有一定资质的风险评估服务机构实施的。自评估可以在信息安全风险评估服务机构的咨询、服务、培训下，由系统所有者和评估服务机构共同完成。 信息安全风险评估的政策依据及标准依据？ 　　 信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号文件)将信息安全风险评估作为一项重要的举措。国信办2005年5号文率先在北京、上海、黑龙江、云南等地，以及银行、税务、电力三个行业进行试点，根据试点经验，各省市建立信息安全风险评估管理制度。 　　 国信办标准草案《信息安全风险评估指南》、《信息安全风险管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息安全风险评估包括哪几个主要实施阶段？ 　　风险评估可以分为资产识别、重要资产赋值、威胁分析、脆弱性识别、风险计算、风险控制措施提出等实施阶段。 信息安全风险评估的主要内容及方法？ 　　信息安全风险评估的实施主要有以下内容： 　　 （1）资产识别 　　 （2）资产的安全属性赋值及权重计算 　　 （3）威胁分析 　　 （4）薄弱点分析 　　 （5）威胁发生可能性及影响分析 　　 （6）风险计算 　　 （7）风险处理计划制定 　　 风险评估是一项综合的系统工程，既涉及到技术，又涉及到管理。风险评估过程中既需要采用技术的检测手段，又需要进行综合的归纳、总结和分析方法。 　　 风险评估中资产价值的判断、威胁判断、安全事件造成影响的判断标准都需要根据被评估实际情况，与被评估方共同确定。 信息安全风险评估是否会影响系统的业务正常运行？ 　　除针对服务器的漏洞扫描、诊断及渗透性测试外，风险评估不会对系统的业务运行造成影响。即使是渗透性测试，也仅仅是为了验证漏洞存在给系统可能造成的后果（如文件窃取、控制修改关键程序/进程等），而不是以破坏系统为目的。评估人员在执行渗透性测试前，会将详细的渗透测试方案与用户交流，包括渗透测试对象、测试强度、可能后果、提前备份等要求，并经用户认可后方能实施。 信息安全风险评估的结果形式是什么？ 　　信息安全风险评估在评估过程中将生成一系列的风险评估操作记录，包括：重要资产列表、脆弱性汇总表、资产威胁识别表、资产威胁风险系数表、信息资产综合风险值表等， 将生成三份评估结果： 　　 脆弱性评估报告：以资产为核心，描述该资产存在的薄弱点。 　　 风险评估报告：反映了风险评估整个过程、方法、内容及风险结果。 　　 风险处理计划：针对识别的风险，提出具体的控制目标和控制措施。 信息安全风险评估的周期有多长　 　　信息安全风险评估没有确定的时间周期，一般两年一次进行定期的评估，但当组织新增信息资产、系统发生重大变更、业务流程发生重大变化、发生严重信息安全事故等情况下应进行风险评估。 　　 此外，对系统规划、扩建时也需要进行风险评估，为安全需求、安全策略的制定提供依据。 信息安全风险评估的收费标准　 　　根据评估对象的不同而不同。风险评估的对象可以是：单个独立的信息系统、支持组织业务的整体信息处理环境、整个组织范围。信息安全风险评估的费用主要依据以下几个方面进行核算： 　　 网络规模 　　 联网单位或客户端抽样比例 　　 被评估系统的多少 　　 被评估信息设备的多少 　　 被评估的组织范围大小