企业什为么要实施ISO27001和ISO20000认证,企业审核IATF16949,审核时容易发生问题总结

企业什为么要实施ISO27001和ISO20000认证

企业什为么要实施ISO27001和ISO20000认证

纵观国际IT服务市场发展历程，整个IT服务业的变革正以面向顾客为中心，朝着规范化、个性化、绩效化、标准化的方向发展。随 着IT服务逐渐走向标准化进程，使越来越多的企事业单位针对组织的IT服务能力做出战略性的规划与调整，希望借助标准化流程体系来规范组织的业务运作模 式，在符合成本效益原则的条件下建立符合高质量、低风险、高标准的IT运营管理体系，使其组织在服务提供、服务支持、风险控制、战略发展规划及流程设计等方面 有良好的参照依据。针对于上述观点，怎样控制IT服务的整体风险(无论是内部还是外部)，提高IT整体服务水平成为服务提供商亟待解决的问题。能够通过借 鉴国际化标准的ISO/IEC20000&ISO27001体系规范，结合组织服务现状，采用综合管理的方法与整合实施的方案，能够顺当的解决服务提供商所面临的困惑。

ISO27001是什么？

ISO27001是用于建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。

ISO27001标准能够作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都能够采用，也能够用作独立第三方认可的证据。

ISO20000标准包含了5大过程及13个管理面：服务级别管理、服务报告、能力管理、服务持续性与可用性管理、信息安全管理、IT服务预算编制与会计核算、配置管理、变更管理、发布管理、事故管理、问题管理、业务关系管理、供应商管理。

建立信息安全管理体系通常要经过以下几个主要步骤：

1、信息安全管理体系策划和准备策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包含教育培训、拟定计划、安全管理发展情况调研，以及相关资源的配置与管理。

2、 明确信息安全管理体系适用的范围信息安全管理体系的范围就是必须重点进行管理的安全领域。组织必须根据自己的具体情况，能够在整个组织范围内、也能够在个 别重要部门或领域内实施。在本阶段的工作，应将组织区划成不同的信息安全控制领域，这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用 范围时，应重点考虑组织的适用环境、适用人员、现有信息系统、现有信息资产及它们之间相互关系等。

3、现状调查与风险评估依据有关信息安全技术与管理标准，对信息系统及由其生成、处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评 价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。

4、建立信息安全管理框架建立信息安全管理体系要规划和建立1个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设， 从信息系统本身出发，根据业务性质、组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明等步 骤，从而建立安全体系并提出安全解决方案。

5、信息安全管理文件体系编写建立并保持1个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求，编写信息安全管理体系文件是 建立信息安全管理体系的基础工作，也是1个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应 该包含有：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。

6、信息安全管理体系的运行与改进信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入 运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序 要求对体系予以更改，以达到进1步完善信息安全管理体系的目的。

7、信息安全管理体系审核体系审核是为获得审核证据，对体系进行客观的评价，以明确满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系 审核包含内部审核和外部审核(第三方审核)。内部审核通常以组织名义进行，可作为组织自我合格检查的基础；外部审核由外部独立的组织进行，能够提供符合要 求（如 ISO/IEC27001）的认证或申请注册。

信息安全管理体系的建立是1个目标叠加的过程，是在不断发展转变的技术环境中进行的，是1个动态的、闭环的风险管理过程，要想获得有效的成果，必须从评 估、防护、监督、响应和恢复，这些都必须从上到下的参与和重视，否则只能是流于形式与过程，起不到真正有效的安全控制的目的和作用。

企业实施ISO27001认证的六大原因：

第一是规范内部信息安全管理，提升信息安全水平。

第二是满足监管机构、顾客、上级单位的安全要求。

第三是更好应对来自第二方、第三方信息安全审计。

第四是推动信息安全标准化工作，提升顾客的信心。

第五是强化信息安全宣传，提升全员信息安全认识。

第六是获得资质证书，加强企业的市场、品牌宣传。

ISO27001管理体系的建设，正确的项目实施顺序是什么？持续改进，项目启动，内部审核，体系设计，安全调研、差距分析，风险评估，管理评审，体系运行。实施顺序如下：项目启动-安全调研、差距分析-风险评估-体系设计-体系运行-内部审核-管理平审-持续改进。

实战经验：

首先是领导认可并制定方针

组建队伍（总得有人倡导操作）

制定实施计划

--范围进1步明确

--风险评估的准则和方法确认

--执行风险评估

--评估结果沟通

--落实处置方案和控制措施（PPT三方面：技术方面、规章制度方面、人员训练方面）

--试运行

--内部审核（先检查充分性、再检查有效性、捎带手适宜性）

--管理评审（评价充分性、适宜性和有效性，从高度上评价改进的方向）

--申请外部审核、人证

--持续监控运行绩效，发现问题或差距，再进行改进，并落实到PPT3个方面（是为持续改进）

今日通过对《企业什为么要实施ISO27001和ISO20000认证》的学习，相信你对认证有更好的认识。假如要办理相关认证，请联络我们吧。

企业审核IATF16949,审核时容易发生问题总结

企业审核IATF16949，审核时容易发生问题总结

01 、IATF16949标准第四章容易发生的问题

1.有些外部支持场所认证公司纳入了审核的范围，但在组织的质量体系的范围里没有描述；

2.对于一些集团审核的案子，特别是有多个支持场所的，由于在质量体系范围没有清晰的定义清楚，导致有些支持场所没有覆盖；

3.未识别产品安全的要求；

4.顾客特殊要求识别不充分。

02 IATF16949标准第五章 容易发生的问题

1.管理者的职责、权限和责任没有形成书面声明；

2.管理者没有执行其职责和权限；

3.应用组织结构图的地方，没有体系或接口支持信息；

4.人员和部门之间的接口和联络不存在或没有定义；

5.不存在方针声明；

6.方针声明书面化，但没有在所有层次被理解或实施，尤其在车间现场。

03IATF16949第六章 容易发生的问题

1.没有清晰定义目标；

2.质量目标控制系统实际不存在；

3.目标未层层分解，没有分配人员职责；

4.应急计划未定期评审。

04、 IATF16949第七章容易发生的问题

1.缺少足够资源；

2.缺少经过培训的人员。（组织制定了必须的培训，但没有执行）；

3.对执行影响产品要求符合性工作人员的定义过于狭窄；

4.临时工没有受到足够培训；

5.没有培训记录，或记录不充分；

6.员工缺少适当的教育、培训或经验；

7.对培训需求没有进行评估；

8.培训计划不充分；

9.没有考虑培训在工作执行中的效果；

10.企业环境不鼓励创新和改进；

11.没有人负责操作监视和测量系统；

12.应该包含在监视和测量系统中的设备没有在系统中（尤其在研究和开发领域）；

13.监视和测量无法溯源到国际或内部标准；

14.无法确保可调试设备没有被改为无效校准；

15.当设备没有校准时，没有评估以前结果的影响；

16.内部实验室没有被正确阐明并设立；

17.外部实验室不符合ISO/IEC17025或国家等同标准。

05、 IATF16949第八章 容易发生的问题

8.1 章节 容易发生的问题

1.对5M1E缺少证实的策划；

2.没有设立产品或项目目标；

3.确认和验证策划不充分。

8.2 章节 容易发生的问题

1.不存在合同程序；

2.程序不全面或错误理解（经常是故意的），或相互分歧（如：设计、销售和生产之间）；

3.记录不充分或不存在；

4.顾客的要求未完全考虑；

5.没有处理订单的文件化程序；

6.顾客经验的反馈不充分；

7.没有考虑交付和交付后活动的要求。

8.3 章节 容易发生的问题

1.设计职责/权限/接口没有以书面形式指定或执行；

2.团队没有协调，尤其在产品责任和过程责任之间；

3.图纸没有控制，由于：公差不合理；图纸没有被检查或验证；图纸未经认可，或者没有使用更改控制系统；图纸出现主观描述。

4.缺少实际设计评审，例如个人（自愿选择伙伴的人）操作的1个系统；

5.1个系统出现在书面文件中，但未使用；

6.指定的公差不可能实现（如：缺少生产介入）；

7.原型样件不符合关键检查项目；

8.用户手册的要求，设计几乎完成时才开始；

9.用于实验工作的量具和试验设备没有校准；

10.抽样系统有缺陷或没有被顾客同意；

11.1个具体产品或项目缺少质量计划，该产品或项目要求质量手册中的标准程序发生偏差或增加。

12.太多的设计没有被生产介入，这导致生产不能执行这些无法实现的规范。

8.4 章节 容易发生的问题

1.缺少或没有证据显示外部提供方得到控制；

2.没有可接受外部提供方的记录；

3.违背了“仅从批准的供应商采购的规则；

4.采购文件里没有足够的数据；

5.签订合同时，没有通知供应商质量管理体系要求；

6.没有执行自己的体系（如，电话订单没有确认）。

8.5 章节 容易发生的问题

1.满足顾客要求的要素被忽略，例如足够的设备和人员培训要求，被忽略；

2.对人员、机器、资料、工作方法、环境等的控制，缺少可证实的策划；

3.产品或项目的目标没有设立；

4.确认和验证策划不够充足；

5.书面的工作/职位指导书或程序不够充分，缺少该指导书或程序会影响质量；

6.零部件、原资料，或产品没有标记；

7.批次标识有要求时，批次零件彼此叠加；

8.在追溯性必要时，缺少1个阶段或操作。

9.顾客/外部供方财产项目被损坏或没有被正确存放；

10.顾客/外部供方财产没有被充分识别；

11.顾客/外部供方已经提供资料、设备等，可是对此没有验证。

8.6 章节 容易发生的问题

1.物料接收缺少控制（如，要求试验/检验的资料直接转到存货）；

2.分配给生产的资料没有标识，也没有被完全控制；

3.指定的检验或试验没有执行；

4.检验或试验记录丢失；

5.最终检验或试验被绕过，或者公司产品批准程序没有执行；

6.返工产品没有完全重新检查。

8.7章节 容易发生的问题

1.不合格资料未被识别或放置在未指定的地方；

2.没有定义返工的评审和处理职责；

3.没有规定返工要求；

4.返修或返工没有重新检查。

06 、IATF16949第九章 容易发生的问题

1.内审按要素审核，而不是按过程方法审核；

2.企业不存在审核系统；

3.对审核发现没有采取纠正措施；

4.使用审核员没有充分培训；

5.没有独立的人员执行审核；

6.内审文件和记录不完整；

7.不存在管理评审系统；

8.内部审核结果的纠正措施没有执行；

9.评审作为1个“事件而不是作为1个持续过程；

10.不能保证定期评审整个体系。持续的绩效和体系评审是管理评审过程的一部分。

07、 IATF16949第十章 容易发生的问题

1.书面纠正措施计划没有被执行；

2.纠正措施的职责没有被指派；

3.强调“问题解答胜于预防和持续改进；

4.预防产品失效重复发生的能力不充足；

5.仅有应用预防失效再发生的纠正措施，没有应用防止问题不发生的实际预防措施（如，未正确应用FMEA)。