• 资深专家解析ISO20000最新版本标准

  发布时间： 2019 - 09 - 18

  ISO 20000，即'信息技术服务管理体系标准'，是面向组织机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系（ITSMS）的模型。自ISO/IEC 20000-1:2011上次审查和修订该标准至今已有8年。新版标准已于2018年9月15日发布，转换期为标准发布后的3年。转换期截止后，依据ISO/IEC 20000-1:2011版标准的认证证书将作废或撤销，这也就意味着已获证企业需要在2021年9月15日之前完成转版审核。为什么需要通过ISO20000认证?在当今全球信息化快速发展下，IT业界也由当初的以技术为主导的粗放型规模扩张阶段，转向如今的依靠科学管理实现效率提升和风险、成本控制的精细化管理阶段。伴随着企业IT 规模的扩大和IT 成熟度的提高，各类企业的成本管理、效率管理意识普遍增强。这时，向IT 管理要效益，要求更高的IT 服务水平，更强的运营管理能力迫在眉睫。对IT 内部运营组织来说，IT 部门在企业的生产、管理环节发挥着重要作用。例如在银行、电信、政府、物流仓储，以及其他生产型企业当中，IT 运营管理成为核心业务运作依托的根本手段，也成为企业成本控制和效率提升的关键部分。在这种情形下，提升组织内部的IT 服务水平和建立基于流程的高效率运作机制，可以为企业业务部门提供性价比更高的IT 服务支持，从而确保业务的高效运转，缩减运营成本、提高业务盈利能力。ISO20000可以帮助企业实现：1. 建立IT保障部门一整套行之有效的持续改善机制和内控机制；2. 就服务品质和服务承诺与客户寄供应商达成一致，建立和客户及供应商统一的沟通平台，达到相关利益方均满意的IT服务管理目标3. 提高IT服务的可用性，可靠性和安全性，为业务用户提供高品质的服务；4. 持续优化服务流程，提升服务水准，提高业务满意度；5. 从总体上提高企...

  More

• 
  实施ISO9001质量管理体系都有哪些好处

  发布时间： 2020 - 01 - 10

  1、满足顾客的要求 顾客为了确保得到的产品长期稳定地满足质量要求，纷纷要求供方按ISO9001族标准建立质量体系并通过认证，要求供方用健全的质量体系来保证供货产品满足要求且质量稳定，因为单纯靠成品抽样检验不可能有稳定的产品质量。 2、 企业降低产品成本，提高经济效益的需要 由于贯彻实施ISO9001标准，能够完善和健全企业的质量管理体系，因此将大大减少或消除不合格品，从而明显地降低产品成本，提高经济效益。 3、 提高工作效率 贯彻实施ISO9001族标准，规范企业质量管理，各项质量工作职责分明，消除扯皮现象，大大提高工作效率，同时可使企业最高管理者从琐碎的事物中解脱出来，有更多的精力策划企业的大事。 4、 提高企业的声誉、扩大企业知名度 企业通过质量体系认证，证明企业已按ISO9001族中质量保证标准建立并有效实施了质量体系，实现了与国际接轨，企业具备了满足顾客质量要求的充足的质量保证能力，从而取得顾客的信任，扩大了企业的知名度，促进了业务的发展，大幅度地提高产品的销售额。 5、 开拓国内外市场的需要 通过ISO9001族标准，一方面企业具备了满足顾客要求的质量保证能力，取得顾客的信任，知名度提高了，从而可大大扩大国内市场占有率，同时由于我国ISO9001认证已取得了国际互认，因此也就为通过认证企业的产品打入国际市场开辟了通道。现在大多数国外厂商和在国内企业进行业务洽商时，明确要求供方要通过ISO9001认证。随着中国加入WTO，各行各业将进一步推进国际标准化进程，ISO9000认证工作会变得十分迫切。 总之，贯彻ISO9001族标准并通过认证是企业生存发展的需要，也是顾客的要求和产品顺利进入国际市场的需要。

  More
• 
  在获ISO9001证书之后何处去

  发布时间： 2018 - 04 - 19

  经常在不同场合听到来自获证组织的抱怨，说认证没有给自身带来实质性的变化，管理文件有了厚厚一叠，实际工作却仍在走老路子，认证和实际“两层皮”；同时为应对认证机构的年度审核，完善相应的工作记录，徒添了不少工作量。上述现象很普遍，解决此问题需要重申另一个老生常谈的话题：组织为什么要取证？此话题尤其值得组织管理者深究。组织获证的驱动力，不外乎有三种：外部驱动、内部驱动和内外部双重驱动，因有驱动而生认证需求。其中内部管理驱动最好，外部驱动无论因上级单位的要求也好，抑或商业因素所致也罢，如果能得到组织内部的真正响应，并转化为内部管理的驱动，则也是殊道同归。我们关注组织认证的内部管理原动力，认为基于此探讨后续的解决之道才会更有意义。回到开篇提及的问题，根源在于对认证的管理体系的态度和看法。认证的管理体系，无论质量管理体系，还是环境管理体系，抑或职业健康安全管理，首先它是一种管理工具，与公司战略、绩效管理、经营计划、全面预算管理等体系有着类似的管理功能；其次，要明了各管理体系间的相互关联和作用，不能孤立地理解和应用。譬如，质量管理体系的质量方针和质量目标，是基于包含公司远景、使命、战略目标的公司战略进行确定的；质量目标的分解和考核可纳入公司绩效管理体系；公司经营计划应包含质量方面的指标；管理基础好的组织可在全面预算管理过程中并入质量成本进行统一管理等。同时，组织也可以企业标准化作为管理的“纲”，统领相关管理体系的“目”。如此把管理体系予以融入，组织也能顺应地提高自身的综合管理水平。组织管理者还应该意识到，认证机构进行的第三方审核只是符合性审核，组织经过认证的管理体系充其量只能算是达到一般水平，离优秀、卓越还差很远，有志于追求卓越的组织还应该通过持续改进，向更高的标准（如质量的ISO9004标准）看齐。旨在为国内外客户提供最优质的管理咨询服务的广州颐卓，一直在密切关注着客户的潜在需求，在做好...

  More
• 
  ISO9000质量管理体系标准实施中常见问题

  发布时间： 2018 - 04 - 19

  实施ISO9000标准体系过程中，经常会遇到问题，现将各条款中容易出现 的问题列出如下：4.2.1a.没有将质量方针、质量目标、质量记录做为文件来控制。b.文件范围太大，数量太多，使体系运作效率降低。c.组织的规模大，过程复杂，员工的 能力一般，但文件数量过于少，描述也过于简单，不能有效地指导质量管理体系的运作。4.2.2a.对质量管理体系的描述不清晰，所做的裁剪没有充分的依据或没有将依据明确地描述。b.由于法律法规及顾客要求的改变，原来所做的裁剪已不适宜或不合理，但没有及时纠正。c.质量手册对质量体系所包含的过程顺序和相互作用的表述不清楚，所引用的程序过于散乱，与手册条款的对应关系不清晰。4.2.3a.没有对文件是否持续适用进行审核、更新和重新批准，文 件的规定与现实的运作有出入。b.由于节省资源或也于保密的考虑，在文件使用场所没有适用的文件。c.文件内容不清晰或文件使用者所不能理解的语言（如外国语）写成。d.由于存在一个以 上的体系，所以针对某项要求而检索文件变得非常困难。e.外来文件没有得到控制。f.由 于没有适当的标识而使用了作废文件。4.2.4a.记录贮存条件不良 。b.记录不清晰、不完整。c.电子媒体或其他媒体记录没有得到符合其技术特点要求的控制。d.记录不易查阅。e.记录的失效处置不及时，且处理方式与文件化的规定不符。5.1a.最高管理者把做出承诺的工作交给其他人，自己不能清楚地 说明这些承诺是何种方式体现的。b.没有明确的证据证明最高管理者已在组织内部传达了满足顾客以及法律法规 要求的重要性（如会议、MEMO、板报、宣传品、广播等）。c.最高管理者不清楚自己在管理评审活动中应担负的 职责和应做的事情。d.最高管理者不能说明具有识别所需资源的机制或方式。5.3a.质量方针与质量目标的关系不清晰。b. 员工不知道质量方针或虽能够背诵质量方针，但却不理解质量方针的...

  More
• 
  ISO9001标准7.5.1条款产品放行、交付和交付后的活动理解

  发布时间： 2018 - 04 - 19

  ISO9001标准7.5.1 条款中的“放行、交付和交付后活动的实施”是组织产品实现过程中对生产和服务的提供进行控制的重要内容，但其实施往往被一些组织忽视，从而影响质量管理体系运行的有效性。对此，笔者谈几点看法，以期对组织有所启发。一、放行控制放行往往在两个过程之间（即“接口”处）进行。在生产和服务提供过程中，对产品的放行应按规定的程序实施，可从以下几个方面进行控制。1.明确放行条件，如检验合格、有标识、有记录、得到指定人员的认可。2.放行人自检，接受人复检，并有交接手续或规定。3.产品放行应保持过程之间、生产线之间、车间之间的均衡和同步。二、交付控制交付包括发运期间和交付的其他阶段。在这些过程中，均应采取措施保护产品，提高交付效率，直至交付的目的地。所采取的措施，应考虑可能遇到的各种交付方式和环境条件的变化。交付过程中，可应顾客要求提供相应服务，尽量使顾客感到方便、快捷、准确。交付产品时，可从以下几个方面进行控制。1.明确交付条件：根据不同顾客的资信情况和要求明确交付条件，既满足顾客提出的交付要求，又承担较小的交付风险。2.确定交付方式：对于不同的交付方式（如自提、送货、委托、现场交付等），组织应与顾客明确各自承担的责任，这些责任应事先得到沟通井获得一致的意见，对于长期委托交付的供方应对其定期进行合格供方的评定。3.交付过程：交付前应确认产品交付的范围 其些产品除硬件的交付外，还可能有软件（应提供完整的使用说明书、产品维护说明书）的交付，应按交付清单办理交付手续，交付凭证应有接受方签字；交付后，交付人应向组织内有关人员反馈信息并得到确认，以采取下一步的措施，如建立顾客档案等。4.交付记录：所有产品的交付均应建立和保存记录，以便于追溯。三、交付后的活动与控制交付后的活动是指生产和服务提供后的服务活动，通常称为售后服务。许多组织的产品在交付后（即进人流通或使用阶段），仍需进行...

  More
• 
  质量管理体系的管理评审如何进行

  发布时间： 2018 - 04 - 19

  管理评审是一个过程，像其他过程一样。它也是“一个将输人转化为输出的相互关联或相互作用的活动”。如何对这个过程进行策划并使其在受控条件下进行，即如何做好管理评审，没有一个固定的套路，各组织应按ISO9000族标准的要求和自己的实际情况进行。一些组织成功的作法是把握住了管理评审的以下几个环节。        1、缜密策划　　管理评审之前，最高管理者应策划评审的目的、内容、时间、重点、方法、安排以及评审的输入和输出要求，并以书面形式将评审计划发至各部门和相关人员。评审计划应有利于为组织的战略改进策划方案提供确实的输入数据和信息。        2、精心准备　　管理者代表应组织各部门和相关人员按评审计划作好充分准备，根据评审输入的要求对产品实现和支持过程的业绩和薄弱环节分别进行切实可信的汇总分析。各部门准备的文件资料应突出重点，注重事实和数据。对存在的问题应有分析，并提出切实可行的改进建议。管理者代表或归口管理部门对各职能部门的准备工作应做到有布置、有检查，对达不到要求者应提出继续完善的要求，并应负责对整个质量管理体系的运行情况作出初步的综合分析和评价。最高管理者应认真分析管理者代表或各部门的汇总材料，找出体系运行中存在的主要问题，与管理者代表共同研究并确定管理评审的议题。        3、认真评审　　管理评审的实施常以最高管理者和各部门负责人的联席会议形式进行。在评审会议中，最高管理者应引导与会人员深人讨论，广开言路、兼收并蓄、因势利导、择善而从、取得共识、当机立断，明确改进的方向和办法。力求把管理评审会议开成生动、活泼、民主的讨论会、总结会。最高管理者应验证体系的适宜性、充分性和有效性，评价实现质量方针和质量目标的情况，对体系运行中的一些重大问题作出决定，并...

  More

• ISO27001手册程序文件参考目录

  发布时间： 2020 - 01 - 16

  ISO27001信息安全管理体系手册程序文件参考目录ISMS方针、手册、程序文件参考目录文件应符合BS7799-2和 ISO17799标准的要求，应包含：l  信息安全管理体系（ISMS）手册l  程序文件l  作业指导和规定l  记录和表格《ISMS方针、手册、程序文件》参考目录各类机构可以参考该目录，按照标准的要求，结合自身的实际状况，建立符合自己特点的信息安全管理体系。1、 信息安全管理体系手册2 、信息安全管理体系程序文件ISMS-业务持续性管理程序ISMS-事故、薄弱点与故障管理程序ISMS-企业商业技术秘密管理程序ISMS-信息处理设施引进实施管理程序ISMS-信息处理设施维护管理程序ISMS-信息安全人员考察与保密管理程序ISMS-信息安全奖励、惩戒管理规定ISMS-信息安全适用性声明ISMS-信息安全风险评估管理程序ISMS-内部审核管理程序ISMS-恶意软件控制程序ISMS-更改控制程序ISMS-物理访问程序ISMS-用户访问控制程序ISMS-管理评审控制程序ISMS-系统开发与维护控制程序ISMS-系统访问与使用监控管理程序ISMS-计算机应用管理岗位工作标准ISMS-计算机管理程序ISMS-记录控制程序ISMS-重要信息备份管理程序ISMS-预防措施程序3、 信息安全管理体系作业文件Token管理规定产品运输保密方法管理规定介质销毁办法保安业务管理规定信息中心主机房管理制度信息中心信息安全处罚规定信息中心密码管理规定信息安全人员考察与保密管理程序信息开发岗位工作标准信息系统访问权限说明信息销毁制度(档案室）可移动媒体使用与处置管理规定各部门微机专责人工作标准复印室管理规定工程师室和电子间管理规定数据加密管理规定文件审批表机房安全管理规定档案室信息安全职责法律法规与符合性评估程序生产经营持续性管...

  More
• 信息安全ISO27001体系建设指导

  发布时间： 2020 - 01 - 13

  ISO27001作为信息安全管理领域的权威标准，经过多年的实践和优化改进，目前已是全球业界一致公认的辅助信息安全治理的手段和最佳指导。这是一个通用型的国际标准，在金融行业、制造业、航空运输、互联网行业等等各个领域都有良好的最佳实践成功案例。组织或企业或机构，都可以参考此标准构建符合组织自身环境和需求的信息安全管理体系。第一，ISO27001体系建设实施方法下图是九脑汇学院输出的ISO27001项目实施最佳方法论：项目的目标达成和预期收益，是项目核心关注点。上图示例的项目方法论，是一套全面、系统化的实施方法论。从策略、结构、流程、人员、技术五个维度，导入标准，实施优化和变革。之后，以运维变更管理为主轴，实现持续运营。我们都知道，信息安全不是一次标准导入、一次评估审计整改，就能达到预期目标和目的的。信息安全的建设，需要一个良好的运作机制，实现持续运营，持续改进，以推进信息安全治理不断达到新高度。第二，ISO27001信息安全管理体系的框架ISO组织于2013年9月26日，推出了最新的版本ISO/IEC27001:2013信息安全管理体系标准，其框架图如下：以上的框架，有详细的标准解读，这里不多做介绍了。标准的体系框架，几乎可以涵盖目前所有的组织管理领域，即使是互联网企业，仍然适用。只不过，部分域在某些组织或机构中，比较薄弱而已，例如：供应关系管理。当然，云计算时代，标准中的众多管理已经由云服务商实施落地了，这种情况，我们更多关注的是检查或审计云服务商的信息安全符合性。第三，ISO27001导入及认证步骤整体过程从战略确定，到现状评估和差异分析，再到体系设计与建立，之后实施体系运行发布，接着实行内部审核和改进，最后获取认证。需要特别说明一点的是，ISO27001信息安全管理体系认证，每年都需要进行审核，三年重新认证。下图为ISO27001认证步骤示例：以上参考的标准和监管要求，各...

  More
• ISO27001信息安全管理过程中的问题解决思路

  发布时间： 2020 - 01 - 09

  ISO27001信息安全管理本质就是人与事的关系，是人根据制度和流程，采用适宜的方法、工具和手段去降低风险。风险是安全管理的对象，人员、流程、手段是安全管理基本要素，其中人员是根本，流程是核心，手段是支撑。培养和建立一支高效干练的人员队伍参与ISO27001信息安全管理的人员应组成一个强有力的管理组织，分工明确、沟通顺畅、协调有力，运作高效。通常安全管理组织应是扁平化的，以便发现问题，及时响应，能够根据外部威胁的形势，快速进行适应性变化。参与安全管理的人员的知识、技能应适用其岗位要求，并不断的学习成长，适用信息安全快速变化的时代要求。建立科学、合理、易于落地的管理体系ISO27001信息安全管理体系构建应采用科学的方法，即按照ISO27001的要求，采用过程方法，通过过程的控制来为结果提供一种可持续的保证。信息安全管理体系建设不是编制几个制度，它的目的是推动公司行动起来，发生变化，不断提升其安全管控能力。要使安全管理体系有效发挥作用、起到实效，还必须：全面化：要针对评估中发现的问题，与最佳实践相比较所存在的差距，应覆盖人员和组织、制度和流程、技术手段等所有要素，覆盖信息系统的整个生命周期，覆盖管理的整个过程。系统化：管理体系应符合PDCA（规划、实施、检查、改进）思想，必须要有测量、反馈机制，能够进行内部监督、审计，形成正向的内部激励机制，不断进行改进和完善。流程化：制度是有益的、必须的，但还必须贯穿部门间藩篱的、目标可控、易于落地的流程。流程使人员不需要关注过多的制度，只需按照流程工作即可，减轻了人员负担。规范化：对于具体工作，必须给出明确的工作指导和表单，规范人员的操作行为。融合化：安全管理不是一个独立的体系，应与现运维管理、内部控制等现有制度和流程相融合，借鉴Cobit、ITIL、CMMI、PMP/PRINCE2、隐私数据保护等管理思想或方法的长处。当然，每个公司都具...

  More
• ISO27001推进和落实步骤

  发布时间： 2020 - 01 - 09

  ISO27001信息安全管理体系的建设需要并非一日之功，需要进行长期的有序建设和完善。从国外的建设经验看，一般要经过3-5年的逐步推进，且还需要长期维护和调整。根据经验，信息安全体系的建设可按照如下顺序有序建设：（1）省公司某IT部门ISO27001信息安全管理体系建设（2）其他部门及下属分公司技术部门ISO27001安全管理体系建设（3）省公司某业务部门试点（4）其他业务部门及下属分公司业务部门ISO27001安全管理体系建设（5）ISO27001信息安全管理体系整体改进和完善成功的关键因素根据对行业现状的理解，在信息安全管理体系咨询方面的经验，公司成功落实安全管理体系的关键因素为：（1）强有力的管理领导组织安全管理体系的落实必然后会对现有的管理职责、权力分布带来变化，必然会对公司的人员产生营销，也会受到一些阻力和营销。必须高层领导的支持，强力的推进安全管理体系的落实。（2）有效的激励措施采取有效的激励措施，调动员工的积极性、主动性，并与其工作绩效挂钩。当然，这一些都离不开人的参与。一支对ISO27001标准有着透彻理解、对相关标准能够融会贯通和利用运用、对问题能够深入洞察和分析、有着丰富的管理经验的人员队伍对成功至关重要，这离不开培训和教育。

  More
• ISO27001&ISO27002&ISO27017&ISO27018之间的关系与区别

  发布时间： 2020 - 01 - 09

  ISO 27001 信息安全管理体系—要求ISO 27002 信息技术—安全技术—信息安全管理实践规范ISO 27017 针对云服务的信息安全控制提供了实施指导。ISO 27018 是首个专注于云中个人数据保护的国际行为准则。 ISO 27017和ISO 27018都是基于ISO 27002标准，并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。两个标准都是基于ISO 27001延伸。ISO 27017 提出比较多的改变安全控制。ISO 27018 则是提出比较多新增安全控制。 什么是 ISO 27017？ISO 27017是基于ISO 27002延伸的标准。 主要目的在于提供云端服务厂商一个云端建置与维运的安全规范。ISO 27017与ISO27002主要的差异在于：ISO27017额外规范云端安全的建置与维护。ISO 27017于2015-12-15官方正式公布。ISO 27017认证的方式有可能会与ISO 27001认证审核一并进行。ISO 27001/ISO 27002与ISO 27017 标准的差异部分：ISO 27001/ISO 27002 标准ISO 27017 标准额外增加的差异A5 信息安全方针中A6 信息安全组织中A7 人力资源安全中低A8 资产管理中低A9 访问控制高A10 密码学中A11 物理和环境安全中低A12 操作安全中高A13 通信安全中高A14 信息系统获取、开发和维护中A15 供应商关系中高A16 信息安全事件管理中A17 信息安全方面业务连续性管理低A18 符合性中高什么是 ISO 27018?ISO 27018更着重于个人隐私数据保护，基于ISO 27002的基础上，延伸定义新增个人资料的隐私保护。ISO 27018于2014-8-1正式公布。ISO 27001/ISO 27002与...

  More

• 
  一篇文章全面了解ISO13485医疗器械质量管理体系认证

  发布时间： 2020 - 06 - 29

  一篇文章全面了解ISO13485医疗器械质量管理体系认证一、概述ISO13485标准是适用于医疗器械法规环境下的质量管理体系标准，其全称是《医疗器械 质量管理体系 用于法规的要求》。ISO13485认证主要涉及的组织类型包括：医疗器械设计和制造商、医疗器械经营商、医疗器械服务提供方、医疗器械软硬件开发商以及医疗器械零部件/材料供应商。二、什么是ISO13485标准？ISO13485标准是适用于医疗器械法规环境下的质量管理体系标准，其全称是《医疗器械 质量管理体系 用于法规的要求》。它采用了基于ISO9001标准中PDCA的相关理念，相较ISO9001标准适用于所有类型的组织，ISO13485更具有专业性，重点针对与医疗器械设计开发、生产、贮存和流通、安装、服务和最终停用及处置等相关行业的组织。目前组织可以依据ISO13485:2016版标准建立体系或者寻求认证。三、ISO13485:2016标准重点内容 1、 本标准以法规要求为主线，强化了企业满足法规要求的主体责任；2、 本标准强调基于风险的方法管理过程，强化组织应将基于风险的方法应用于控制质量管理体系所需的适当过程；3、 本标准重点强调与监管机构进行沟通和报告的要求。四、适用企业类型：ISO13485认证主要涉及的组织类型包括：医疗器械设计和制造商、医疗器械经营商、医疗器械服务提供方、医疗器械软硬件开发商以及医疗器械零部件/材料供应商。五、ISO13485认证所适用的相关产品范围：1、非有源医疗设备2、有源（非植入）医疗器械3、有源（植入）医疗器械4、体外诊断医疗器械5、对医疗器械的灭菌方法6、包含/使用特定物质/技术的医疗器械7、医疗器械有关服务分类小知识：13485认证技术领域的分类方法来源于IAF MD9: 2017 《ISO/IEC 17021在医疗器械质量管理体...

  More

• ISO14001环境管理系列标准部分术语和定义

  发布时间： 2020 - 01 - 15

  持续改进和污染预防 　　对于已成功建立起环境管理体系的组织而言，仅仅维护和保持现状还不能满足ISO14001标准的要求，还必须不断进行改进和完善。持续改进强调的不仅是对组织最终的环境行为，同时也强调对体系自身的改进完善。例如，调整改善组织机构，强化内部、外部信息沟通，改进环境因素识别和评价程序，改进运行控制程序等。持续改进不必同时发生在组织活动的所有方面。预防污染是环境管理体系处理和解决环境问题的基本原则。这一原则要求组织首先应考虑如何能使其活动不产生或尽可能少产生污染，其次才是采用治理和控制技术。组织可通过环境管理体系运行模式过对产品、原材料采购到最终废弃和回收利用的生命周期的全过程加以控制，尽可能减少每一个环节污染的产生，以达到污染预防的目的。 　  环境-环境因素-环境影响 　　环境的概念包含的范围很广泛，不仅包括大气，水，土地，自然和生物资源以及生活在其中的人，同时也包括它们之间的相互关系-即自然和生态平衡。环境因素是造成环境变化的原因，环境影响是环境变化的结果。例如：COD的排放可引起水体的富营养化，并导致鱼类的死亡。因此组织活动中的COD排放就是环境因素，而水体的富营养化和鱼类的死亡则是环境影响。环境因素不仅存在于组织的活动中，也存在于产品和服务中。产品，例如冰箱中氟里昂潜在的泄漏是环境因素，而氟里昂导致地球臭氧层的破坏则是环境影响。组织提供的服务也能造成环境影响。例如，运输公司在提供运输服务的过程中，车辆产生尾气排放即是环境因素，而造成的空气污染则是环境影响。一种活动(产品或服务)可能含有许多环境因素，一种环境因素也可能造成多种环境影响.例如，锅炉燃煤是活动，其环境因素可包括排放烟尘、SO2、氮氧化物、及引起热辐射等。其中SO2可造成的环境影响不仅包括直接对人和动、植物造成伤害，还可以引起酸雨，同时也是造成...

  More
• ISO14001环境管理体系认证审核重点

  发布时间： 2018 - 04 - 26

  ISO14001审核过程中，根据导则62及EA110的规定分第一阶段和第二阶段，两个阶段审核侧重点的准确把握是ISO14001审核的有效性的重要保证之一。两个阶段在ISO14001审核过程中体现不同的层次和不同的侧重点，一阶段审核是二阶段审核的基础，通过一阶段的审核明确二阶段审核的重点的方向；二阶段审核是在一阶段审核基础上对 体系运行所作出的全面、系统的评价。通过一阶段的审核，指出体系在策划方面、体系的基础性工作方面以及控制对象方面存在的不足之处，推动受审核方把握环境 管理体系实施不偏离重点，为体系有效运行提供准确方向，同时也为审核机构进行第二阶段审核提供可行的条件。    第一阶段审核是二阶段审核的基础，通过一阶段的审核明确二阶段审核的重点和方向；二阶段审核是在一阶段审核基础上对体系运行所作出的全面、系统的评价。 通过一阶段的审核，指出体系在策划方面、体系的基础性工作方面以及控制对象方面存在的不足之处，推动受审核方把握环境管理体系实施不偏离重点，为体系有效 运行提供准确方向，同时也为审核机构进行第二阶段审核提供可行的条件。    第一阶段审核侧重点的把握是审核实践过程中的难点，常见的不足之处有：一阶段审核不充分，该阶段发现的不符合却在第二阶段开出；或者一、二阶段重复审核某些要素。笔者就第一阶段审核侧重点把握作以下一些粗浅的分析。    一、 第一阶段审核的目的：    1、收集充分的信息，了解组织产品、活动、服务以及辅助设施包括动力（锅炉、发电机、空调、空压机等），能源（水、气、热、电等）的情况并通过对体系文件以及若干重点要素，特别是环境方针、环境因素、法律法规、组织机构和职责、环境管理体系审核、管理评审...

  More
• ISO14001认证咨询介绍

  发布时间： 2018 - 04 - 19

  随着世界经济的高速增长，世界贸易的迅速发展，环境保护问题亦迫切地摆在我们面前，实施ISO14000系列标准的目的是为了保护环境,促进社会经济的可持续发展, 实施标准的另一目的在于提高企业形象,增强企业国际竟争能力。中国加入WTO已势在必行，参与国际竞争、融入国际大市场是企业所必将面临的，这对于企业来说，是机遇，更是挑战，环境问题法规化使得更多的国家和企业将环保问题作为选择和评价分供方的重要因素，而取得ISO14001环境管理体系认证，更已成为进入国际市场，特别是欧美市场的绿色通行证。    贵公司成功地将ISO14001管理思想和管理理念导入到日常管理工作、建立并实施符合该国际标准的环境管理体系并取认证后，根据我们先前的客户所提供的信息。贵公司将能更好地：消除贸易壁垒，进入国际市场。 提高环保意识，节约资源，预防污染。 提高公司形象，增加市场份额。 改进成本控制，节省材料和能源。 改进政府/行业关系，改进企业/公众关系。    颐卓公司凭借专业的人才优势，高效的服务质量，取得了客户的信任和支持，至令已协助超过100家不同类型的组织取得ISO9000，ISO14001，OHSAS18001等系列国际标准的认证。 　　    在以上认证咨询过程中，我们不仅向客户提供了满意的服务，更积累了我们咨询服务的丰富经验，我们的的咨询服务，客户不仅能高效地取得认证，更能改善和规范内部管理，提高员工素质，增强竞争力。

  More
• ISO14001标准认证审核过程

  发布时间： 2018 - 04 - 26

  ISO14000环境管理体系认证程序大致上分为以下四个阶段：一、受理申请方的申请    申请认证的组织首先要综合考虑各认证机构的权威性、信誉和费用等方面的因素，然后选择合适的认证机构，并与其取得联系，提出环境管理体系认证申请。认证机构接到申请方的正式申请书之后，将对申请方的申请文件进行初步的审查，如果符合申请要求，与其签订管理体系审核/注册合同，确定受理其申请。二、环境管理体系审核    在整个认证过程中，对申请方的环境管理体系的审核是最关键的环节。认证机构正式受理申请方的申请之后，迅速组成一个审核小组，并任命一个审核组长，审核组中至少有一名具有该审核范围专业项目种类的专业审核人员或技术专家，协助审核组进行审核工作。审核工作大致分为3步：    1.文件审核 对申请方提交的准备文件进行详细的审查，这是实施现场审核基础工作。申请方需要编写好其环境管理体系文件，在审核过程中，若发现申请方的EMS手册不符合要求，则由其采取有效纠正措施直至符合要求。认证机构对这些文件进行认真审核之后，如果认为合格，就准备进入现场审核阶段。    2.现场审核 在完成对申请方的文件审查和预审基础上，审核组长要制定一个审核计划，告知申请方并征求申请方的意见，申请方接到审核计划之后，如果对审核计划的某些条款或安排有不同意见，立即通知审核组长或认证机构，并在现场审核前解决好这些问题。解决好这些问题之后，审核组正式实施现场审核，主要目的就是通过对申请方进行现场实地考察，验证EMS手册、程序文件和作业指导书等一系列文件的实际执行情况，从而来评价该环境管理体系运行的有效性，判别申请方建立的环境管理体系和ISO14001标准是否相符合。    在实施现场审核过程中，...

  More
• ISO 14001:2015 DIS版正式发布

  发布时间： 2018 - 04 - 26

  负责ISO 14001：2015标准编制的是第207号技术委员会（简称 TC207），ISO14001环境管理体系在1996年发布了第一版、2004年发布了第二版，据ISO 官方消息称：此次2015版标准的最终确定版将会在2015年底出台。标准明确指出：本标准的目的是为组织提供一个系统的框架，以保护环境和应对不断变化的环境条件与社会经济平衡的需求。它是通过规范环境管理体系的要求，使组织能够提高环境绩效。　　行业资深技术专家解读 ISO 14001：2015 DIS 版对比 ISO 14001：2004主要有以下几个方面的变化：　　新增19个术语和定义；　　新增理解组织及其环境的条款；　　新增理解相关方的需求和期望的条款；　　特别强调体系成功的因素离不开最高管理层的领导，同时新增领导力的条款；　　强调确定与威胁和机会相关联的风险，并采取措施对风险进行管理；　　除了关注合规、目标达成，多处强调提高组织的环境绩效。　　另外值得关注的是，此次修订后的 ISO 14001:2015 DIS 版的标准架构与 ISO 9001：2015 DIS 版的架构完全一致：范围、引用标准、术语和定义、组织的环境 领导力、策划、支持、运作、绩效评估、改进。　　关于ISO标准制订过程五步骤：　　工作小组草案 Work Draft/WD；　　委员会草案 Committee Draft/CD；　　国际标准草案 Draft International Standard/DIS；　　最终国际标准版草案 Final Draft International Standard/FDIS ；　　正式发行国际标准 International Standard/IS。

  More

• 
  一篇文章系统了解ISO22301业务连续性管理体系认证

  发布时间： 2020 - 04 - 16

  一、什么是业务持续性管理？业务持续性管理（Business Continuity Management）即BCM，是一个整体的管理流程，将业务运作所面临的风险控制在最低水平，以及在业务运作中断后立即恢复业务运作的业务管理流程。它识别威胁一个组织的潜在影响，并提供一个构件恢复能力和有效的响应能力的框架，以保护关键利益、相关的利益、组织的声誉、品牌和价值创造活动。业务连续性管理一般包括启动、需求分析、战略规划和实施以及运作管理四阶段。二、ISO22301业务连续性管理体系发展过程BS25999标准已于2012年转换成ISO22301业务连续性管理体系标准，并于2012年5月由ISO国际标准组织正式公布。此国际标准主要参考BS25999 part-2进而建立出一套更完整更健全的业务连续性管理体系架构，并取代BS 25999成为全球公认的业务连续性管理体系标准。而BS 25999已于2012年11月1日正式撤销。三、ISO22301标准主要条款介绍ISO22301标准分为10个主要条款，前三款分别是范围、规范性文献、术语和定义，下面颐卓咨询介绍该标准的其他主要条款要求。4.1   第四款：组织首先，组织应了解内部和外部需求，对管理体系的范围划定明确的界线。这尤其要求组织了解利益相关方的需求，如立法部门、顾客和员工的需求。组织尤其必须了解适宜的法律法规要求，这将保证组织确定业务连续性管理体系的范围。4.2   第五款：领导ISO22301特别强调了对合格的业务持续性管理领导的需求。这使得最高管理者能保证提供合适的资源、制定政策并任命人员来实施和维护业务持续性管理体系。4.3   第六款：策划策划这一款要求组织识别业务持续性管理实施的风险,并制定明确的目标和标准用于测量其成效。4.4 &...

  More
• 企业为什么要重视业务连续性管理？

  发布时间： 2020 - 01 - 15

  ISO 22301是业务连续性管理体系的国际标准，由ISO于2012年5月15日正式发布。该体系能够帮助管理者识别对组织的潜在威胁，并确保具有资源、程序和培训来处理意外破坏。在中断期间，组织将能够保持运营持续，从竞争对手中脱颖而出，并且对品牌进行保护。问题：企业为什么要重视业务连续性管理？回答：这个问题的最初问法是：“我们已做过业务影响分析和风险评估，预案编了不少，也陆续在更新，还有做演练；但感觉领导对业务连续性重视不够，怎么才的企业重视业务连续性管理?”。类似的问题不少，其实，大部分问这个问题的朋友是希望让领导“更重视”业务连续性工作，同时，也很奇怪，“为什么对这么重要的事情重视度不够呢？”。再者，在几乎所有业务连续性管理实践中都将“取得管理层支持”作为业务连续性管理工作的第一步，更说明了这个问题的重要性。ISO22301《公共安全—业务连续性管理体系-要求》将帮助所有的组织，无论其规模大小、地域或开展的活动如何，在处理任何类型的风险时能更好地应对并更具信心。 在任何时候事故都能使组织的业务中断，采用ISO 22301标准将保证组织能够应对事故并保证其业务的持续运行。事故发生有多种类型，从严重的自然灾害和恐怖主义活动到与技术相关的事故和环境事故。然而，许多事故虽然小，但能产生严重的影响，这在任何时候都与业务连续性管理紧密相关。 目前，业务连续性管理已经引起全球的关注，无论是公共或私有部门的组织都必须了解如何准备和应对意外的破坏性的事故发生。ISO 22301标准为业务连续性管理体系(BCMS)的策划、建立、实施、运行、监视、评审、保持和持续改进提供了框架。当破坏性的事故发生时，该标准将有助于组织的防护、准备、响应和恢复。 实施ISO22301认证的组织将能够向立法部门、执法部门、消费者和潜在消费者以及其他的利益相关方证明，他们满足了BCM良好规范的要求。同时，该...

  More
• 《ISO 22301:2019》的新变化

  发布时间： 2020 - 01 - 15

  ISO22301是建立和维护业务连续性管理体系的标准，为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的业务连续性管理体系规定了要求，用以实施保护，减少中断事件发生的可能性，以及当中断事件发生时准备、响应并恢复。业务连续性管理体系是组织整体管理体系的一个部分，用于建立、实施、运行、监视、评审、保持和改进组织自身业务连续性，是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该认证的实施是基于国际标准GB/T30146/ISO22301。   国际标准化组织ISO在10月31日正式发布了业务连续性管理体系标准的第二版--《ISO 22301:2019 Security and Resilience — Business continuity management systems — Requirements》，新版本业务连续性管理体系的国际标准主要带来了3方面的变化：  * 术语  术语从55项调整为31项，反映了业界专家对业务连续性管理认识(理解)及使用上的变化；  * 结构  重新梳理了部分章节，重点调整了第8章，以更清晰地区分业务连续性能力的交付和管理体系的实施和维护；  * 简化  新版标准的文本更易读和易于使用。对认证组织而言，新版本更易使用(要求也从106项减少为91项)。ISO为《ISO 22301：2019》发布了新闻稿，还专门发布了一本小册子，主要内容包括：ISO 22301面向的对象、对业务的价值、有哪些改进，能否集成进现有的管理体系中，该从哪里开始，如何认证等。小册子下载地址如下：https://www.iso.org/files/live/sites/isoorg/files/store/en/PUB100442.pd...

  More

• 
  ISO22000食品安全管理体系认证条件及流程

  发布时间： 2020 - 04 - 08

  随着经济全球化的发展、社会文明程度的提高，人们越来越关注食品的安全问题；要求生产、操作和供应食品的组织，证明自己有能力控制食品安全危害和那些影响食品安全的因素。促使ISO22000食品安全管理体系要求标准的产生。ISO22000:2018标准既是描述食品安全管理体系要求的使用指导标准，又是可供食品生产、操作和供应的组织认证和注册的依据。ISO22000:2018采用了ISO9001标准体系结，ISO22000是一个国际标准，定义了食品安全管理体系的要求，适用于从“农场到餐桌”这个食品链中的所有组织。ISO22000食品安全管理体系认证条件：1. 产品生产企业应为有明确法人地位的实体，产品有注册商标，质量稳定且批量生产；2. 企业应按GMP和ISO22000管理体系的要求建立和实施了食品安全管理体系，并有效运行；3. 企业在申请认证前，ISO22000体系应至少有效运行三个月，至少做过一次内审，并对内审中发现的不合格实施了确认、整改和跟踪验证。ISO22000食品安全管理体系认证流程：前期准备：任命管理者代表、明确体系负责部门、建立质量管理体系咨询工作组、确定ISO22000内审员、拟定质量方、拟定质量目标、整理现有的文件、记录现场调研：了解贵公司质量管理的基本状况体系策划：确定人员职能职责、商定咨询工作计划。人员培训：提高管理意识；理解质量管理体系标准的内容及要求；掌握文件编写方法。文件编写/发布：建立文件化的质量管理体系，并确保管理体系的适宜性、符合性、可操作性；体系运行：贯彻落实管理体系的方针、目标、指标、管理方案、及管理职责等，使体系文件得到贯彻执行。第一次内部审核：培训内部审核组的实际审核能力；检查综合型管理体系的符合性和有效性，查找存在问题并进行整改。管理评审：对管理体系的充分性、适宜性和有效性做出评价。第二次内部审核（必要时）：检查质量管理体系的符合性和有效性，...

  More

• 汽车电子功能安全标准ISO26262常见答疑

  发布时间： 2019 - 12 - 06

  ISO 26262道路车辆安全管理体系适用于道路车辆上特定的由电子、电气和软件组成的安全相关系统在安全生命周期内的所有活动。 目前司机辅助设备领域、车辆动力控制领域、主动和被动安全系统的设计研发都需要遵循ISO 26262标准。如：汽车防抱死制动系统（ABS)；车身稳定控制系统；防撞系统；车道偏离报警系统；自适应助力转向；主动停车辅助系统；自适应悬架控制；安全气囊；司机瞌睡警示系统；自动巡航系统；胎压监控系统等。生产过程控制主要包含哪些？开发分析好，对过程开发输出的是什么？生产过程首先需要符合IATF 16949的规定，但另外需要考虑生产过程中哪些活动可能对功能安全产生负面影响，例如：校准，参数设置等。这些要求应以文件形式保存。 相较第一版，如何计算ISO 26262硬件故障率？   - 用于计算每个硬件组件/元件的故障率，与Ed.1相同   - 用于计算硬件架构度量SPFM/LFM，与Ed.1相同   - 对于PMHF的计算，计算公式与Ed.1略有不同。但影响不大。   如何评估编码指南？不符合MISRA C?  选择编码指南的原则如下：- 通常没有有效的编程标准。- 编程指南不应使过程复杂化。- 太多限制会适得其反。- 应根据开发过程调整 软件的安全措施设计和敏捷开发之间的冲突似乎不可避免？没错，但ISO26262-6：2018第5.2条规定了以下顶级要求/原则：注1：敏捷软件开发的开发途径或方法也适用于开发安全相关软件，但是，敏捷途径和方法不能用于省略安全措施。对于功能安全的分析，比如FMEA，做得好不好很大程度取决于功能安全工程师对产品设计的理解，对标准的理解。如何做，才能提高专业度？没错。最重要的就是在执行FMEA之前，需要对...

  More
• ISO26262汽车功能安全标准

  发布时间： 2019 - 12 - 06

  ISO26262标准的核心价值在于，它可以通过系统的功能安全研发管理流程，以及针对汽车电子控制系统硬件和软件的系统化验证和确认方法，保证电子系统的安全功能在面对各种严酷条件时不失效，从而保证驾乘人员以及路人的安全。对于汽车厂商而言，贯彻执行ISO26262认证不仅可以提高安全性能，也可以提升产品内在价值。关于ISO 26262:2018ISO（国际标准化组织）于 2018 年发布了 ISO 26262 标准的更新版本。其覆盖范围扩大至更重的道路车辆、卡车、公共汽车和摩托车。新版本还包括一个全新部分，该部分将重点关注当前和未来电气电子系统的有机组成部分 —— 半导体元器件。 ISO 26262适用于哪些方面？ISO26262道路车辆功能安全标准适用于道路车辆上特定的由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。安全是未来汽车发展的关键问题之一，不仅在驾驶员辅助和动力驱动领域，而且在车辆动态控制和主被动安全系统领域，新的功能越来越多地触及到系统安全工程领域。这些功能的开发和集成将强化对安全的系统开发流程的需求，及提供证据证明全部合理的系统安全目标得到满足的需求。ISO26262如何指导避免风险？目前司机辅助设备领域、车辆动力控制领域、主动和被动安全系统的设计研发都需要遵循ISO 26262。如：汽车防抱死制动系统（ABS)；车身稳定控制系统；电子刹车力分配系统；紧急制动辅助系统；防撞系统；车道偏离报警系统；自适应助力转向；主动停车辅助系统；自适应悬架控制；安全气囊；司机瞌睡警示系统；自动巡航系统；胎压监控系统等。  随着技术日益复杂、软件内容和机电一体化应用不断增加，来自系统性失效和随机硬件失效的风险逐渐增加。ISO 26262包含了通过提供适当的要求和流程来避免风险的指导。 系统安全是通过一系列安全措施实现的。安全措施通过各...

  More
• 汽车电子为什么要进行ISO26262认证?

  发布时间： 2019 - 12 - 06

  ISO 26262认证的基本原理，该认证涉及设计功能安全的汽车电子系统所涉及的人员，流程和产品。最终目标是让开发团队，管理人员和投资者更加了解遵守汽车安全标准细节所涉及的责任。反过来，这将提供有关合规性的工作和成本的更多信息，还将使供应链成员之间的沟通更加有效不断变化的汽车行业：新电子设备和新进入者所有乘用车电子系统在集成到汽车制造商的产品之前必须满足严格的安全要求。该行业的供应商已经建立了一个复杂的供应链，以提供这些系统，以及产品满足这些安全要求的能力的证明。这种信息共享系统需要IP供应商、半导体SoC开发人员、零组件供应商、软件提供商、电子系统设计师和许多其他相关人员之间的详细交流，以确保所有关键组件符合ISO 26262指南、程序、培训水平、审核和评估。最近进入者可能缺乏根据ISO 26262功能安全标准开发和交付产品的经验。虽然这些供应商可能声称其产品已准备好符合汽车安全标准，但供应链中的公司仍需要对产品开发过程中涉及的人员和程序进行广泛、仔细的审查和评估，然后才能将其集成到更大的系统中。汽车电子供应链参与者主动解决此问题的一种方法是从认可的评估机构获得ISO 26262认证。然而，大多数针对汽车用途的电子产品并非完整的独立系统，可以通过ISO 26262标准认证，并完全了解产品如何在车辆中集成和使用。因此，对于认真服务于该市场的任何开发团队而言，重要的是探索其供应商关于功能安全的声明，无论是否声明了认证。虽然第三方产品认证可以成为重要参考，但对任何组件的评估必须更深入，并且必须通过公司使用和集成产品来完成考察与认证。如果未能对供应商的人员，流程和产品进行评估，则可能导致客户拒绝。为什么选择ISO 26262？国际标准组织（ISO）声明如下：ISO 26262旨在应用于安全相关系统，其包括一个或多个电气或电子（E / E）系统并且安装在批量生产的乘用车中。ISO 2...

  More
• 道路车辆功能安全学习笔记

  发布时间： 2019 - 10 - 14

  功能安全是指避免由系统功能性故障导致的不可接受的风险。它关注的是系统发生故障之后的行为，而不是系统的原有功能或性能。因此功能安全的目的就是当系统发生故障后，将系统进入安全的可控模式，避免对人身、财产造成伤害。本质安全与功能安全为了了解功能安全的概念，先得熟悉下 和“本质安全”和“功能安全”的概念。假如以铁道的路口为例，比较一下基于两种安全概念的避免路口事故的方法。这里避免路口事故就是安全目标，为了实现这个目标，可进行如下操作：首先，如果把铁道路口撤掉，直接改造成立交桥的形式，让火车和汽车都走各自的路，这样就不会发生人或者车辆横穿铁道口的事故了。像这样，根据系统的特性把危险源直接除掉的方法是「本质安全」。其次，假如我们在铁道路口设置信号灯和道口自动栏杆，当火车来临时前闪红灯，同时将栏杆放下，避免行人或者车辆通过。像这样通过栏杆的拦截功能及预警灯来抑制事故风险的技术叫做「功能安全」。在这里信号灯和自动栏杆一种安全机制（Safety Mechanism）。理想的情况是不管什么场合都采用「本质安全」，但事实上，在很多场合里，由于系统自身的原因，不可能把危险源除掉。特别是像车载电控系统这样非常复杂的电子化系统，以上所述的本质安全很难被实现和应用。因此我们只能采用功能安全，它的目的就是在本质安全无法达到时，尽可能的通过增加安全机制去提高安全等级，实现安全目标。电子控制器的功能安全对于汽车而言，可将汽车看成一个“机器人”，驾驶员给这个“机器人”发送信号，比如踩踏板加油，汽车收到命令然后执行：电喷系统增加喷油，发动机输出扭矩增加，实现车辆加速。对于传统汽车而言，它的结构简单，且大多数命令都是通过机械方式来实现的，如老式汽车的机械式节气门等，其失效的可预见性大；而现在汽车，其电子电气化增强，驾驶员的指令会先转换成相关信号，然后这些信号传递给控制器的处理芯片，然后最终驱动相关的执行器...

  More