• 资深专家解析ISO20000最新版本标准

  发布时间： 2019 - 09 - 18

  ISO 20000，即'信息技术服务管理体系标准'，是面向组织机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系（ITSMS）的模型。自ISO/IEC 20000-1:2011上次审查和修订该标准至今已有8年。新版标准已于2018年9月15日发布，转换期为标准发布后的3年。转换期截止后，依据ISO/IEC 20000-1:2011版标准的认证证书将作废或撤销，这也就意味着已获证企业需要在2021年9月15日之前完成转版审核。为什么需要通过ISO20000认证?在当今全球信息化快速发展下，IT业界也由当初的以技术为主导的粗放型规模扩张阶段，转向如今的依靠科学管理实现效率提升和风险、成本控制的精细化管理阶段。伴随着企业IT 规模的扩大和IT 成熟度的提高，各类企业的成本管理、效率管理意识普遍增强。这时，向IT 管理要效益，要求更高的IT 服务水平，更强的运营管理能力迫在眉睫。对IT 内部运营组织来说，IT 部门在企业的生产、管理环节发挥着重要作用。例如在银行、电信、政府、物流仓储，以及其他生产型企业当中，IT 运营管理成为核心业务运作依托的根本手段，也成为企业成本控制和效率提升的关键部分。在这种情形下，提升组织内部的IT 服务水平和建立基于流程的高效率运作机制，可以为企业业务部门提供性价比更高的IT 服务支持，从而确保业务的高效运转，缩减运营成本、提高业务盈利能力。ISO20000可以帮助企业实现：1. 建立IT保障部门一整套行之有效的持续改善机制和内控机制；2. 就服务品质和服务承诺与客户寄供应商达成一致，建立和客户及供应商统一的沟通平台，达到相关利益方均满意的IT服务管理目标3. 提高IT服务的可用性，可靠性和安全性，为业务用户提供高品质的服务；4. 持续优化服务流程，提升服务水准，提高业务满意度；5. 从总体上提高企...

  More

• IATF16949体系认证审核方式和步骤

  发布时间： 2020 - 01 - 17

  IATF16949认证准备阶段：1.1 领导决策，统一思想公司最高领导作出IATF16949贯标和认证的决策，任命管理者代表，授权其按IATF16949推行小组。1.2 设立IATF16949推行小组小组成员须懂专业技术、质量管理，具有较强的分析能力及文字能力，一般为各部门的骨干。应为小组配备辅助人员，进行打字、文件传递等工作。1.3 编制工作计划应包含宣传教育、培训人员、体系分析、标准条款的选择、过程展开、责任分派、文件编制和体系建立等方面。计划中应明确各工作项目的承担部门和完成期限。1.4 学习培训a.管理人员应了解标准的由来、掌握标准的主要内容和用途、理解贯标的意义。b.IATF16949推行小组应对系列标准有较全面的掌握，掌握标准的选择、剪裁和应用方法。c.普通员工学习IATF16949基础知识。2 质量体系设计2.1 制定质量方针，确定质量目标。2.2 确定质量管理体系应包含的IATF16949条款。根据产品的特点和客户要求对IATF16949的条款进行取舍必要时做必要的补充。2.3 公司现状诊断。将公司现有质量体系的要求与选取的IATF16949的有关要求进行对照，找出它们之间的差距，进而确定需进行修改的内容。2.4 质量责任分配及资源配备。a.根据需要对组织结构进行调整；b.将各项质量活动责任分配落实到各职能部门，编制职能分配矩阵表。c.识别资源要求，配置必需的资源。为了实现IATF16949标准要求，应确保质量体系拥有必需的资源，对短缺的资源应及时地进行补充。3 确定要编制的文件清单3.1 整理现有的各类质量体系文件，并与IATF16949的条款进行对照，以确定要新编与修订的文件清单。3.2 编写指导性文件。就质量体系文件的要求、内容、格式作出规定。3.3 制定文件编写计划针对需要编写的文件，制定编写计划、规定：a.编写、讨论、审核、批准的人员b.编写、讨论...

  More
• 实施IATF16949认证对于企业的好处

  发布时间： 2020 - 01 - 17

  IATF16949是基于ISO9001为基础，针对汽车供应链行业特点制定出来的国际标准，它是一套有效的质量管理体系，它也是全球汽车行业最新的质量管理标准。越来越多的汽车整机厂明确要求其配套厂导入该标准！归纳起来，企业施行IATF16949汽车工业质量管理体系认证有以下几方面的好处：  1.改进、提高产品质量和过程质量，减少变差、浪费，提高效率；  2.融进了国际汽车行业的管理经验，可信度增加；  3.为供应商、分包商供应链的开发和一致性提供了一套方法；  4.为全球质量体系要求提供了共同语言；  5.减少顾客对企业体系审核的次数，减少重复的第三方认证。  6、有利于企业成为汽车顾客的供方，特别是为主机厂配套；  7、提高企业的工作效率；  8、有利于企业全员以顾客为关注焦点，满足顾客要求质量意识的形成；  9、能不断提高顾客对企业提供的产品和服务的满意程度； 10、预防产品缺陷，减少不合格品； 11、IATF16949有助于企业建立自我检查、发现问题，寻求改进，自我完善的管理机制； 12、确保在供应链中的供方/分供方服务的质量体系的全球一致性； 13、减少变化和浪费，并全面提高生产效率； 14、为全世界的质量体系需求提供一个通用平台。

  More
• IATF16949认证的十二条必备条件

  发布时间： 2020 - 01 - 16

  以下的清单为颐卓咨询整理出关于企业在IATF16949认证前需要准备的流程和条件，大家不妨来学习了解一下！1、企业法律地位的证明：确认营业执照的范围，是否与IATF16949汽车工业质量管理体系 标准申请审核范围冲突，同时确认是否进行了年检2、汽车产品供应链证明 ：指导企业找到汽车产品供应链的证据或客户出具的证明3、汽车顾客特殊要求清单：指导企业找到汽车顾客特殊要求，如客户没有特殊要求，指导企业要求提供客户无要求的证明4、具备资格的内审员清单：建立IATF16949内审员资格评估标准并按照要求进行培训和考核一批合格的内审员5、认证范围内的汽车产品APQP 一套（含PPAP批准）：同企业高层沟通，确定认证范围，并根据公司产品特点，选择产品完成1-2套完整的APQP及PPAP提交客户批准。6、质量体系运行12个月，过去12个月的关键指标和绩效趋势：按照IATF16949要求。建立企业的关键指标，并引用原ISO9001:2015体系运行数据进行统计分析，如没有证据，认证时只能出具符合性证明7、IATF16949体系运行12个月的证据：建立IATF16949后运行12个月后才申请认证，如没有证据，认证时只能出具符合性证明8、建立公司的过程关系图、过程分析表，且有IATF16949所有要求均被过程覆盖到的证据：根据企业实际情况，建立IATF16949过程关系图（必要时用章鱼图），过程分析表（必要时用乌龟图），且得到企业高层的认同9、过去12个月的内审结果：整理审核前12月进行的内审资料，包括审核计划，审核发现，纠正措施等，同时确认要一次完整根据IATF16949要求进行审核，采用过程方法10、过去12个月的管理评审结果：整理审核前12月进行的管理评审资料，包括会议日程，会议记录，纠正措施等，同时确认IATF16949内审后的一次完整管理评审11、目前的顾客满意和抱怨状态，包...

  More
• IATF16949：2016新增要求内容

  发布时间： 2020 - 01 - 15

  IATF16949：2016版标准较ISO/TS16949：2009版标准有许多重大变化，如采用新的高级结构、引入风险管理的意识、强化业务持续性管理（BCM）等，IATF16949：2016标准较ISO9001：2015版标准也有许多不同，如：保留了质量手册、程序文件和外包方的内容。以下就IATF16949：2016中增加的内容做简要介绍：4.2.1 理解相关方的需求和期望-补充组织应对各相关方及其有关要求的评审过程在建立质量管理体系的年度绩效目标（内、外）时予以考虑。4.3.2 顾客特殊要求必须对顾客特殊要求进行评估和确定并包含在质量管理体系范围内。4.4.1.1 产品安全组织应为产品安全相关的产品和制造过程的管理形成文件化的过程，包括但不限于：a）识别法定和监管有关的产品安全要求；b）通知顾客上述要求；c）顾客要求的识别d）设计FMEA的特殊审批；e）识别产品安全特性；f）从产品生产和制造的角度识别和控制与安全相关的特性；g）特别批准的控制计划和过程FMEA；h）定义反应计划；i）定义职责，定义升级过程和信息流，包括最高管理层和顾客通知；j）有关人员参与产品安全相关程序的具体培训；k）产品或过程的变化，应在实施前予以批准，包括对产品安全性的潜在影响进行评估和产品更改；l）关于产品安全性的要求，包括顾客指定的来源；m）至少：在整个供应链的可追溯性；n）针对新产品介绍的经验教训。5.1.1.1 企业责任组织应制定并实施员工行为规范的行为准则和道德提升方针（“whistle－blowerpolicy”），目的是保证供应链的社会和环境绩效。5.1.1.3 过程所有者最高管理者应确定过程所有者，并确定他们的职责，并确保他们有能力执行过程。6.1.2.1 风险分析组织应持续的进行风险分析，至少包括：潜在的和实际的反馈、现场返回及修理、投诉、报废以及任何返工。注：风险分析应根据对顾客...

  More
• 企业为什么要做IATF16949认证？（汽车行业供应链的特征）

  发布时间： 2018 - 10 - 25

  汽车产业供应链是以汽车制造企业为核心，由各级供应商、物流服务供应商、制造商、销售商和终端顾客等构成的供应网络，涵盖从原材料供应商到消费者获取最终产品的整个过程，包括原材料采购、存货管理、装配、订单处理、销售、成品运输和入库等。           汽车是一种典型的工业制造品，是由成千上万的零部件组成的。产品的技术含量高，工艺复杂，整个制造过程中分工极其细致、专业性极强。为了完成一辆高品质汽车的制造，制造商往往需要从分布在世界各地的成百上千的供货商那里采购零部件。归纳起来汽车行业供应链的特征有下列几个：      供应链条长：主机厂下面有一级供应商。一级供应商上游还有二级、三级甚至四级供应商。     一级供应商在链条中起到枢纽作用。一级供应商直接向整车厂配套零部件产品。它们往往跟整车厂关系非常紧密，跟整车厂一般都是战略合作伙伴关系，参与主机厂的新车型的开发。同时，一级供应商的上游供应商往往数量众多，需要一级供应商进行管理。一级供应商，在新车型开发和量产后，往往起着在物流、信息流、商流和资金流的枢纽作用。很多一级供应商与整车厂颇有渊源，合作时间非常长。比如，德尔福原来就是通用汽车的一个子公司，1999年脱离出来后独立上市。因此，德尔福就跟通用汽车有非常紧密的合作关系。类似的，伟世通是从福特脱离出来的。同样他们与福特有非常好的合作关系。     模块化采购：现在整车厂越来越倾向于模块化采购，也就是将新车型中的某个部分，交给某一级供应商负责设计、生产。汽车通常是由发动机、底盘、车身、电气设备四部分组成。这时，往往需要一级供应商及其上游供应商的早...

  More

• ISO27001手册程序文件参考目录

  发布时间： 2020 - 01 - 16

  ISO27001信息安全管理体系手册程序文件参考目录ISMS方针、手册、程序文件参考目录文件应符合BS7799-2和 ISO17799标准的要求，应包含：l  信息安全管理体系（ISMS）手册l  程序文件l  作业指导和规定l  记录和表格《ISMS方针、手册、程序文件》参考目录各类机构可以参考该目录，按照标准的要求，结合自身的实际状况，建立符合自己特点的信息安全管理体系。1、 信息安全管理体系手册2 、信息安全管理体系程序文件ISMS-业务持续性管理程序ISMS-事故、薄弱点与故障管理程序ISMS-企业商业技术秘密管理程序ISMS-信息处理设施引进实施管理程序ISMS-信息处理设施维护管理程序ISMS-信息安全人员考察与保密管理程序ISMS-信息安全奖励、惩戒管理规定ISMS-信息安全适用性声明ISMS-信息安全风险评估管理程序ISMS-内部审核管理程序ISMS-恶意软件控制程序ISMS-更改控制程序ISMS-物理访问程序ISMS-用户访问控制程序ISMS-管理评审控制程序ISMS-系统开发与维护控制程序ISMS-系统访问与使用监控管理程序ISMS-计算机应用管理岗位工作标准ISMS-计算机管理程序ISMS-记录控制程序ISMS-重要信息备份管理程序ISMS-预防措施程序3、 信息安全管理体系作业文件Token管理规定产品运输保密方法管理规定介质销毁办法保安业务管理规定信息中心主机房管理制度信息中心信息安全处罚规定信息中心密码管理规定信息安全人员考察与保密管理程序信息开发岗位工作标准信息系统访问权限说明信息销毁制度(档案室）可移动媒体使用与处置管理规定各部门微机专责人工作标准复印室管理规定工程师室和电子间管理规定数据加密管理规定文件审批表机房安全管理规定档案室信息安全职责法律法规与符合性评估程序生产经营持续性管...

  More
• 信息安全ISO27001体系建设指导

  发布时间： 2020 - 01 - 13

  ISO27001作为信息安全管理领域的权威标准，经过多年的实践和优化改进，目前已是全球业界一致公认的辅助信息安全治理的手段和最佳指导。这是一个通用型的国际标准，在金融行业、制造业、航空运输、互联网行业等等各个领域都有良好的最佳实践成功案例。组织或企业或机构，都可以参考此标准构建符合组织自身环境和需求的信息安全管理体系。第一，ISO27001体系建设实施方法下图是九脑汇学院输出的ISO27001项目实施最佳方法论：项目的目标达成和预期收益，是项目核心关注点。上图示例的项目方法论，是一套全面、系统化的实施方法论。从策略、结构、流程、人员、技术五个维度，导入标准，实施优化和变革。之后，以运维变更管理为主轴，实现持续运营。我们都知道，信息安全不是一次标准导入、一次评估审计整改，就能达到预期目标和目的的。信息安全的建设，需要一个良好的运作机制，实现持续运营，持续改进，以推进信息安全治理不断达到新高度。第二，ISO27001信息安全管理体系的框架ISO组织于2013年9月26日，推出了最新的版本ISO/IEC27001:2013信息安全管理体系标准，其框架图如下：以上的框架，有详细的标准解读，这里不多做介绍了。标准的体系框架，几乎可以涵盖目前所有的组织管理领域，即使是互联网企业，仍然适用。只不过，部分域在某些组织或机构中，比较薄弱而已，例如：供应关系管理。当然，云计算时代，标准中的众多管理已经由云服务商实施落地了，这种情况，我们更多关注的是检查或审计云服务商的信息安全符合性。第三，ISO27001导入及认证步骤整体过程从战略确定，到现状评估和差异分析，再到体系设计与建立，之后实施体系运行发布，接着实行内部审核和改进，最后获取认证。需要特别说明一点的是，ISO27001信息安全管理体系认证，每年都需要进行审核，三年重新认证。下图为ISO27001认证步骤示例：以上参考的标准和监管要求，各...

  More
• ISO27001信息安全管理过程中的问题解决思路

  发布时间： 2020 - 01 - 09

  ISO27001信息安全管理本质就是人与事的关系，是人根据制度和流程，采用适宜的方法、工具和手段去降低风险。风险是安全管理的对象，人员、流程、手段是安全管理基本要素，其中人员是根本，流程是核心，手段是支撑。培养和建立一支高效干练的人员队伍参与ISO27001信息安全管理的人员应组成一个强有力的管理组织，分工明确、沟通顺畅、协调有力，运作高效。通常安全管理组织应是扁平化的，以便发现问题，及时响应，能够根据外部威胁的形势，快速进行适应性变化。参与安全管理的人员的知识、技能应适用其岗位要求，并不断的学习成长，适用信息安全快速变化的时代要求。建立科学、合理、易于落地的管理体系ISO27001信息安全管理体系构建应采用科学的方法，即按照ISO27001的要求，采用过程方法，通过过程的控制来为结果提供一种可持续的保证。信息安全管理体系建设不是编制几个制度，它的目的是推动公司行动起来，发生变化，不断提升其安全管控能力。要使安全管理体系有效发挥作用、起到实效，还必须：全面化：要针对评估中发现的问题，与最佳实践相比较所存在的差距，应覆盖人员和组织、制度和流程、技术手段等所有要素，覆盖信息系统的整个生命周期，覆盖管理的整个过程。系统化：管理体系应符合PDCA（规划、实施、检查、改进）思想，必须要有测量、反馈机制，能够进行内部监督、审计，形成正向的内部激励机制，不断进行改进和完善。流程化：制度是有益的、必须的，但还必须贯穿部门间藩篱的、目标可控、易于落地的流程。流程使人员不需要关注过多的制度，只需按照流程工作即可，减轻了人员负担。规范化：对于具体工作，必须给出明确的工作指导和表单，规范人员的操作行为。融合化：安全管理不是一个独立的体系，应与现运维管理、内部控制等现有制度和流程相融合，借鉴Cobit、ITIL、CMMI、PMP/PRINCE2、隐私数据保护等管理思想或方法的长处。当然，每个公司都具...

  More
• ISO27001推进和落实步骤

  发布时间： 2020 - 01 - 09

  ISO27001信息安全管理体系的建设需要并非一日之功，需要进行长期的有序建设和完善。从国外的建设经验看，一般要经过3-5年的逐步推进，且还需要长期维护和调整。根据经验，信息安全体系的建设可按照如下顺序有序建设：（1）省公司某IT部门ISO27001信息安全管理体系建设（2）其他部门及下属分公司技术部门ISO27001安全管理体系建设（3）省公司某业务部门试点（4）其他业务部门及下属分公司业务部门ISO27001安全管理体系建设（5）ISO27001信息安全管理体系整体改进和完善成功的关键因素根据对行业现状的理解，在信息安全管理体系咨询方面的经验，公司成功落实安全管理体系的关键因素为：（1）强有力的管理领导组织安全管理体系的落实必然后会对现有的管理职责、权力分布带来变化，必然会对公司的人员产生营销，也会受到一些阻力和营销。必须高层领导的支持，强力的推进安全管理体系的落实。（2）有效的激励措施采取有效的激励措施，调动员工的积极性、主动性，并与其工作绩效挂钩。当然，这一些都离不开人的参与。一支对ISO27001标准有着透彻理解、对相关标准能够融会贯通和利用运用、对问题能够深入洞察和分析、有着丰富的管理经验的人员队伍对成功至关重要，这离不开培训和教育。

  More
• ISO27001&ISO27002&ISO27017&ISO27018之间的关系与区别

  发布时间： 2020 - 01 - 09

  ISO 27001 信息安全管理体系—要求ISO 27002 信息技术—安全技术—信息安全管理实践规范ISO 27017 针对云服务的信息安全控制提供了实施指导。ISO 27018 是首个专注于云中个人数据保护的国际行为准则。 ISO 27017和ISO 27018都是基于ISO 27002标准，并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。两个标准都是基于ISO 27001延伸。ISO 27017 提出比较多的改变安全控制。ISO 27018 则是提出比较多新增安全控制。 什么是 ISO 27017？ISO 27017是基于ISO 27002延伸的标准。 主要目的在于提供云端服务厂商一个云端建置与维运的安全规范。ISO 27017与ISO27002主要的差异在于：ISO27017额外规范云端安全的建置与维护。ISO 27017于2015-12-15官方正式公布。ISO 27017认证的方式有可能会与ISO 27001认证审核一并进行。ISO 27001/ISO 27002与ISO 27017 标准的差异部分：ISO 27001/ISO 27002 标准ISO 27017 标准额外增加的差异A5 信息安全方针中A6 信息安全组织中A7 人力资源安全中低A8 资产管理中低A9 访问控制高A10 密码学中A11 物理和环境安全中低A12 操作安全中高A13 通信安全中高A14 信息系统获取、开发和维护中A15 供应商关系中高A16 信息安全事件管理中A17 信息安全方面业务连续性管理低A18 符合性中高什么是 ISO 27018?ISO 27018更着重于个人隐私数据保护，基于ISO 27002的基础上，延伸定义新增个人资料的隐私保护。ISO 27018于2014-8-1正式公布。ISO 27001/ISO 27002与...

  More

• 
  实施ISO9001质量管理体系都有哪些好处

  发布时间： 2020 - 01 - 10

  1、满足顾客的要求 顾客为了确保得到的产品长期稳定地满足质量要求，纷纷要求供方按ISO9001族标准建立质量体系并通过认证，要求供方用健全的质量体系来保证供货产品满足要求且质量稳定，因为单纯靠成品抽样检验不可能有稳定的产品质量。 2、 企业降低产品成本，提高经济效益的需要 由于贯彻实施ISO9001标准，能够完善和健全企业的质量管理体系，因此将大大减少或消除不合格品，从而明显地降低产品成本，提高经济效益。 3、 提高工作效率 贯彻实施ISO9001族标准，规范企业质量管理，各项质量工作职责分明，消除扯皮现象，大大提高工作效率，同时可使企业最高管理者从琐碎的事物中解脱出来，有更多的精力策划企业的大事。 4、 提高企业的声誉、扩大企业知名度 企业通过质量体系认证，证明企业已按ISO9001族中质量保证标准建立并有效实施了质量体系，实现了与国际接轨，企业具备了满足顾客质量要求的充足的质量保证能力，从而取得顾客的信任，扩大了企业的知名度，促进了业务的发展，大幅度地提高产品的销售额。 5、 开拓国内外市场的需要 通过ISO9001族标准，一方面企业具备了满足顾客要求的质量保证能力，取得顾客的信任，知名度提高了，从而可大大扩大国内市场占有率，同时由于我国ISO9001认证已取得了国际互认，因此也就为通过认证企业的产品打入国际市场开辟了通道。现在大多数国外厂商和在国内企业进行业务洽商时，明确要求供方要通过ISO9001认证。随着中国加入WTO，各行各业将进一步推进国际标准化进程，ISO9000认证工作会变得十分迫切。 总之，贯彻ISO9001族标准并通过认证是企业生存发展的需要，也是顾客的要求和产品顺利进入国际市场的需要。

  More
• 
  在获ISO9001证书之后何处去

  发布时间： 2018 - 04 - 19

  经常在不同场合听到来自获证组织的抱怨，说认证没有给自身带来实质性的变化，管理文件有了厚厚一叠，实际工作却仍在走老路子，认证和实际“两层皮”；同时为应对认证机构的年度审核，完善相应的工作记录，徒添了不少工作量。上述现象很普遍，解决此问题需要重申另一个老生常谈的话题：组织为什么要取证？此话题尤其值得组织管理者深究。组织获证的驱动力，不外乎有三种：外部驱动、内部驱动和内外部双重驱动，因有驱动而生认证需求。其中内部管理驱动最好，外部驱动无论因上级单位的要求也好，抑或商业因素所致也罢，如果能得到组织内部的真正响应，并转化为内部管理的驱动，则也是殊道同归。我们关注组织认证的内部管理原动力，认为基于此探讨后续的解决之道才会更有意义。回到开篇提及的问题，根源在于对认证的管理体系的态度和看法。认证的管理体系，无论质量管理体系，还是环境管理体系，抑或职业健康安全管理，首先它是一种管理工具，与公司战略、绩效管理、经营计划、全面预算管理等体系有着类似的管理功能；其次，要明了各管理体系间的相互关联和作用，不能孤立地理解和应用。譬如，质量管理体系的质量方针和质量目标，是基于包含公司远景、使命、战略目标的公司战略进行确定的；质量目标的分解和考核可纳入公司绩效管理体系；公司经营计划应包含质量方面的指标；管理基础好的组织可在全面预算管理过程中并入质量成本进行统一管理等。同时，组织也可以企业标准化作为管理的“纲”，统领相关管理体系的“目”。如此把管理体系予以融入，组织也能顺应地提高自身的综合管理水平。组织管理者还应该意识到，认证机构进行的第三方审核只是符合性审核，组织经过认证的管理体系充其量只能算是达到一般水平，离优秀、卓越还差很远，有志于追求卓越的组织还应该通过持续改进，向更高的标准（如质量的ISO9004标准）看齐。旨在为国内外客户提供最优质的管理咨询服务的广州颐卓，一直在密切关注着客户的潜在需求，在做好...

  More
• 
  ISO9000质量管理体系标准实施中常见问题

  发布时间： 2018 - 04 - 19

  实施ISO9000标准体系过程中，经常会遇到问题，现将各条款中容易出现 的问题列出如下：4.2.1a.没有将质量方针、质量目标、质量记录做为文件来控制。b.文件范围太大，数量太多，使体系运作效率降低。c.组织的规模大，过程复杂，员工的 能力一般，但文件数量过于少，描述也过于简单，不能有效地指导质量管理体系的运作。4.2.2a.对质量管理体系的描述不清晰，所做的裁剪没有充分的依据或没有将依据明确地描述。b.由于法律法规及顾客要求的改变，原来所做的裁剪已不适宜或不合理，但没有及时纠正。c.质量手册对质量体系所包含的过程顺序和相互作用的表述不清楚，所引用的程序过于散乱，与手册条款的对应关系不清晰。4.2.3a.没有对文件是否持续适用进行审核、更新和重新批准，文 件的规定与现实的运作有出入。b.由于节省资源或也于保密的考虑，在文件使用场所没有适用的文件。c.文件内容不清晰或文件使用者所不能理解的语言（如外国语）写成。d.由于存在一个以 上的体系，所以针对某项要求而检索文件变得非常困难。e.外来文件没有得到控制。f.由 于没有适当的标识而使用了作废文件。4.2.4a.记录贮存条件不良 。b.记录不清晰、不完整。c.电子媒体或其他媒体记录没有得到符合其技术特点要求的控制。d.记录不易查阅。e.记录的失效处置不及时，且处理方式与文件化的规定不符。5.1a.最高管理者把做出承诺的工作交给其他人，自己不能清楚地 说明这些承诺是何种方式体现的。b.没有明确的证据证明最高管理者已在组织内部传达了满足顾客以及法律法规 要求的重要性（如会议、MEMO、板报、宣传品、广播等）。c.最高管理者不清楚自己在管理评审活动中应担负的 职责和应做的事情。d.最高管理者不能说明具有识别所需资源的机制或方式。5.3a.质量方针与质量目标的关系不清晰。b. 员工不知道质量方针或虽能够背诵质量方针，但却不理解质量方针的...

  More
• 
  ISO9001标准7.5.1条款产品放行、交付和交付后的活动理解

  发布时间： 2018 - 04 - 19

  ISO9001标准7.5.1 条款中的“放行、交付和交付后活动的实施”是组织产品实现过程中对生产和服务的提供进行控制的重要内容，但其实施往往被一些组织忽视，从而影响质量管理体系运行的有效性。对此，笔者谈几点看法，以期对组织有所启发。一、放行控制放行往往在两个过程之间（即“接口”处）进行。在生产和服务提供过程中，对产品的放行应按规定的程序实施，可从以下几个方面进行控制。1.明确放行条件，如检验合格、有标识、有记录、得到指定人员的认可。2.放行人自检，接受人复检，并有交接手续或规定。3.产品放行应保持过程之间、生产线之间、车间之间的均衡和同步。二、交付控制交付包括发运期间和交付的其他阶段。在这些过程中，均应采取措施保护产品，提高交付效率，直至交付的目的地。所采取的措施，应考虑可能遇到的各种交付方式和环境条件的变化。交付过程中，可应顾客要求提供相应服务，尽量使顾客感到方便、快捷、准确。交付产品时，可从以下几个方面进行控制。1.明确交付条件：根据不同顾客的资信情况和要求明确交付条件，既满足顾客提出的交付要求，又承担较小的交付风险。2.确定交付方式：对于不同的交付方式（如自提、送货、委托、现场交付等），组织应与顾客明确各自承担的责任，这些责任应事先得到沟通井获得一致的意见，对于长期委托交付的供方应对其定期进行合格供方的评定。3.交付过程：交付前应确认产品交付的范围 其些产品除硬件的交付外，还可能有软件（应提供完整的使用说明书、产品维护说明书）的交付，应按交付清单办理交付手续，交付凭证应有接受方签字；交付后，交付人应向组织内有关人员反馈信息并得到确认，以采取下一步的措施，如建立顾客档案等。4.交付记录：所有产品的交付均应建立和保存记录，以便于追溯。三、交付后的活动与控制交付后的活动是指生产和服务提供后的服务活动，通常称为售后服务。许多组织的产品在交付后（即进人流通或使用阶段），仍需进行...

  More
• 
  质量管理体系的管理评审如何进行

  发布时间： 2018 - 04 - 19

  管理评审是一个过程，像其他过程一样。它也是“一个将输人转化为输出的相互关联或相互作用的活动”。如何对这个过程进行策划并使其在受控条件下进行，即如何做好管理评审，没有一个固定的套路，各组织应按ISO9000族标准的要求和自己的实际情况进行。一些组织成功的作法是把握住了管理评审的以下几个环节。        1、缜密策划　　管理评审之前，最高管理者应策划评审的目的、内容、时间、重点、方法、安排以及评审的输入和输出要求，并以书面形式将评审计划发至各部门和相关人员。评审计划应有利于为组织的战略改进策划方案提供确实的输入数据和信息。        2、精心准备　　管理者代表应组织各部门和相关人员按评审计划作好充分准备，根据评审输入的要求对产品实现和支持过程的业绩和薄弱环节分别进行切实可信的汇总分析。各部门准备的文件资料应突出重点，注重事实和数据。对存在的问题应有分析，并提出切实可行的改进建议。管理者代表或归口管理部门对各职能部门的准备工作应做到有布置、有检查，对达不到要求者应提出继续完善的要求，并应负责对整个质量管理体系的运行情况作出初步的综合分析和评价。最高管理者应认真分析管理者代表或各部门的汇总材料，找出体系运行中存在的主要问题，与管理者代表共同研究并确定管理评审的议题。        3、认真评审　　管理评审的实施常以最高管理者和各部门负责人的联席会议形式进行。在评审会议中，最高管理者应引导与会人员深人讨论，广开言路、兼收并蓄、因势利导、择善而从、取得共识、当机立断，明确改进的方向和办法。力求把管理评审会议开成生动、活泼、民主的讨论会、总结会。最高管理者应验证体系的适宜性、充分性和有效性，评价实现质量方针和质量目标的情况，对体系运行中的一些重大问题作出决定，并...

  More

• 什么是CMMI资质认证?

  发布时间： 2020 - 01 - 15

  CMMI官方为美国CMMI Institute(http://www.cmmiinstitute.com)。CMMI资质主要包括三种：研发模型CMMI for Development资质,服务模型 CMMI for Serivce资质, 采购模型 CMMI for Acquisition资质。在所有已过级企业中有99.5%以上的企业为研发模型CMMI for Development资质，0.5%以下的企业为服务模型 CMMI for Serivce资质，采购模型 模型 CMMI for Acquisition资质几乎为零。CMMI研发模型CMMI for Development是目前在全球范围内唯一获得广泛认可的企业研发管理水平资质证明。CMMI是企业管理的资质认证，它将企业的管理水平划分为五个级别，一级为最低级，五级为最高级别。目前在国内在所有已过级企业中，95%以上的企业为三级资质，全国只有数十家企业达到四级或五级。 其主要原因是因为高等级别企业投入较大，而且官方审查更加严苛，所以第一次申请的企业一般选择申请三级资质。CMMI Institute在全球范围内授权了一些机构为企业提供评估认证服务（http://http://partners.clearmodel.com），负责执行评估工作的必须是经过官方培训和考核的主任评估师Lead Appraiser，全球所有的主任评估师中99.9%以上的评估师为外籍专家。评估师必须严格按照官方所规定的评估流程规范（SCAMPI A）到企业内部驻场审核一周的时间，通过文件检查和员工访谈的方式审查企业日常研发流程，对照CMMI模型中数百条检查项逐一评价企业的研发流程是否满足CMMI-DEV模型要求。官方通过其在线的评估系统（https://sas.cmmiinstitute.com）对全球每场评估进行监控，主任评估师在整个评估期间都要在...

  More
• CMMI资质申请条件及资质维护

  发布时间： 2020 - 01 - 15

  官方对于申请资质认证的企业没有任何“硬性”条件，任何企业都可以申请CMMI认证。不像国内的一些认证要求营业额、注册资金、人数、办公场地等等要求。CMMI认证是一个企业管理认证，检查的是企业日常管理流程是否规范，类似于ISO是检查企业日常开展工作的方式。因此理论上任何研发型的企业都可以申请CMMI for Development 资质认证。但是因为评估流程需要抽取企业几个项目，并对项目成员进行访谈，接受访谈的人员包括各项目的项目经理、需求调研人员、设计人员、开发人员、测试人员、质量管理人员等等。涉及的人员较多，所以一般而言，如果企业少于10人是难以通过CMMI资质认证的。CMMI并非只支持纯软件企业或团队，CMMI支持所有研发型的组织，既可以针对软件研发型的团队进行评估，也可以针对硬件研发的团队进行评估。通常所说的CMMI评估指的是使用CMMI的阶梯型表达方式Staged Representation，这种表达方式是针对一个组织（Organization）进行评估的，并非一定要是一个企业。即被审对象可以是一个企业，也可以是一个部门、一个研究机构或者一个小的团队、工作室等。大多数CMMI评估都是针对一个或多个研发相关的部门进行评估，如果企业有多个分公司以及分布在不同城市，可以选择一次性进行评估也可以分开为多次进行评估，但如果评估工作量过大，必须分开成次进行。企业最终是否获取到CMMI资质，不是以纸质证书为标准，而是以在官方网站上的全球过级企业名单网页（https://sas.cmmiinstitute.com/pars/pars.aspx）上能够查询到企业过级信息为准。纸质证书由官方授权评估机构制作、由主任评估师签字，并非由官方直接提供。企业在评估通过之后，官方CMMI Institute会发送一个包含本次评估的编号和有效日期的官方Logo给企业负责人（Sponsor）以及主任...

  More
• CMMI资质认证流程

  发布时间： 2020 - 01 - 15

  官方制定了一套评估流程规范（SCAMPI A）来规范全球授权评估师的行为。所有授权主任评估师（Lead Appraiser）都必须严格遵守评估流程规范SCAMPI A的要求，SCAMPI A针对评估流程做了非常细致和全面的规定。CMMI Institute根据SCAMPI A评估流程规范，建立了一个在线的评估系统（http://sas.cmmiinstitute.com）。官方授权的主任评估师在整个评估过程中都要在该系统上操作并提交相关记录和工作产物。 根据官方评估流程规范（SCAMPI A）的要求，官方授权评估师必须到被审企业驻场审查一周（On-site Appraisal）。评估师带领几位评估小组成员（ATMs）通过审阅企业日常项目中产生的文件记录以及进行员工访谈来了解企业日常的研发管理流程，将企业日常研发管理流程，结合CMMI数百条检查项逐一进行检查。　　Step1：信息收集SCAMPI A对企业的人员覆盖率、项目覆盖率、项目类型覆盖率、业务类型覆盖率、地域覆盖率等等都有严格的要求。在拟订评估计划之前，需要先收集企业相关的具体信息。包括商业目标、评估目标、项目信息、人员信息等等。Step2：评估计划主任评估师根据收集到的信息集合SCAMPI A的要求，拟订评估初始计划，并与企业的评估发起人（Sponsor）沟通评估计划，形成正式的评估计划。包括时间、人员、风险、覆盖率等内容。Step3：在线注册首先由主任评估师在线（http://sas.cmmiinstitute.com）注册本次评估，然后企业的评估发起人（Sponsor）和评估小组成员（ATMs）都需要在线注册。由于SCAMPI A规定和评估系统的限制，评估注册时能够选择的最早的现场审核日期是一个月之后。Step4：准备度检查主任评估师通过远程或者现场的方式，检查企业对于现场审核的准备情况，包括相关文件的收集、计划...

  More
• CMMI知识精讲，经过的朋友可不要错过啰！

  发布时间： 2020 - 01 - 13

  如今，越来越多的软件公司都会去申请获得 CMMI 认证，也会以通过认证为荣，那么 CMMI 认证的意义和目的是什么？怎样可以拿到 CMMI 认证呢？下面由颐卓咨询专家给大家好好讲解一下CMMI基础知识，经过的朋友可不要错过啰！CMMI 的定义CMMI全称是Capability Maturity Model Integration, 即软件能力成熟度模型集成（也有称为：软件能力成熟度集成模型），于2002年正式发布。其目的是帮助软件企业对软件工程过程进行管理和改进，增强开发与改进能力，从而能按时地、不超预算地开发出高质量的软件。CMMI是世界公认的软件产品进入国际市场的通行证，不仅是对产品质量的认证，更是一种软件过程改善的途径。如果一家公司最终通过CMMI的评估认证，标志着该公司在质量管理的能力已经上升到一个新的高度。而认证的等级越高，意味着公司质量管理能力成熟度越高，做的越好。一、CMMI 的来源1994年由美国国防部（United States Department of Defense）与卡内基-梅隆大学（Carnegie-Mellon University）下的软件工程研究中心（Software Engineering Institute，SEISM）以及美国国防工业协会（National Defense Industrial Association）共同开发和研制的。CMMI主要关注点就是成本效益、明确重点、过程集中和灵活性四个方面。这些都可以不用关注。只要知道它是一项国际认可的认证标准即可。二、CMMI 的价值CMMI为企业带来价值主要体现在以下几方面：1） 对开发流程进行标准化和规范化，保证项目进度和质量。2） 有利于成本控制，缩减不必要的项目开支。3） 建立完备的知识库，不畏惧人才流失。4） 持续改善流程，提高质量和效率。5） 在一些投标项目竞争中，更具有优势...

  More
• 软件系统集成企业如何实施CMMI认证，业务流程梳理

  发布时间： 2020 - 01 - 13

  一、什么是CMMI？CMMI（Capability Maturity Model Integration）即能力成熟度模型集成。CMMI是美国产业界、政府和卡内基梅隆大学软件工程研究所（CMU/SEI）于2002年1月推出的集 成了软件工程（SW）、系统工程（SE）、集成化产品和过程开发（IPPD）的集成成熟度模型。二、CMMI级别介绍1、初始级（Initial）软件过程是无序的，有时甚至是混乱的，对过程几乎没有定义，成功取决于个人努力。管理是反应式的。2、可重复级/受管理级（Repeatable）建立了基本的项目管理过程来跟踪费用、进度和功能特性。制定了必要的过程纪律，能重复早先类似应用项目取得的成功经验。共7个过程域：1）需求管理 Requrements Management2）项目规划 Project Planing3）项目跟踪和控制 Project Monitoring and Control4）供应商协议管理 Supplier Agreement Management5）度量与分析 Measurement and Analysis6）过程与产品质量保证 Process and Product Quality Assurance7）配置管理 Configuration Management3、已定义级（Defined）已将软件管理和工程两方面的过程文档化、标准化，并综合成该组织的标准软件过程。所有项目均使用经批准、剪裁的标准软件过程来开发和维护软件，软件产品的生产在整个软件过程是可见的。共14个过程域：1）需求开发 Requirements Development2）技术解决方案 Techical Solution3）产品集成 Product Integration4）验证 Verification5）确认 Validation6）组织过程焦点 Organizati...

  More

• ISO14001环境管理系列标准部分术语和定义

  发布时间： 2020 - 01 - 15

  持续改进和污染预防 　　对于已成功建立起环境管理体系的组织而言，仅仅维护和保持现状还不能满足ISO14001标准的要求，还必须不断进行改进和完善。持续改进强调的不仅是对组织最终的环境行为，同时也强调对体系自身的改进完善。例如，调整改善组织机构，强化内部、外部信息沟通，改进环境因素识别和评价程序，改进运行控制程序等。持续改进不必同时发生在组织活动的所有方面。预防污染是环境管理体系处理和解决环境问题的基本原则。这一原则要求组织首先应考虑如何能使其活动不产生或尽可能少产生污染，其次才是采用治理和控制技术。组织可通过环境管理体系运行模式过对产品、原材料采购到最终废弃和回收利用的生命周期的全过程加以控制，尽可能减少每一个环节污染的产生，以达到污染预防的目的。 　  环境-环境因素-环境影响 　　环境的概念包含的范围很广泛，不仅包括大气，水，土地，自然和生物资源以及生活在其中的人，同时也包括它们之间的相互关系-即自然和生态平衡。环境因素是造成环境变化的原因，环境影响是环境变化的结果。例如：COD的排放可引起水体的富营养化，并导致鱼类的死亡。因此组织活动中的COD排放就是环境因素，而水体的富营养化和鱼类的死亡则是环境影响。环境因素不仅存在于组织的活动中，也存在于产品和服务中。产品，例如冰箱中氟里昂潜在的泄漏是环境因素，而氟里昂导致地球臭氧层的破坏则是环境影响。组织提供的服务也能造成环境影响。例如，运输公司在提供运输服务的过程中，车辆产生尾气排放即是环境因素，而造成的空气污染则是环境影响。一种活动(产品或服务)可能含有许多环境因素，一种环境因素也可能造成多种环境影响.例如，锅炉燃煤是活动，其环境因素可包括排放烟尘、SO2、氮氧化物、及引起热辐射等。其中SO2可造成的环境影响不仅包括直接对人和动、植物造成伤害，还可以引起酸雨，同时也是造成...

  More
• ISO14001环境管理体系认证审核重点

  发布时间： 2018 - 04 - 26

  ISO14001审核过程中，根据导则62及EA110的规定分第一阶段和第二阶段，两个阶段审核侧重点的准确把握是ISO14001审核的有效性的重要保证之一。两个阶段在ISO14001审核过程中体现不同的层次和不同的侧重点，一阶段审核是二阶段审核的基础，通过一阶段的审核明确二阶段审核的重点的方向；二阶段审核是在一阶段审核基础上对 体系运行所作出的全面、系统的评价。通过一阶段的审核，指出体系在策划方面、体系的基础性工作方面以及控制对象方面存在的不足之处，推动受审核方把握环境 管理体系实施不偏离重点，为体系有效运行提供准确方向，同时也为审核机构进行第二阶段审核提供可行的条件。    第一阶段审核是二阶段审核的基础，通过一阶段的审核明确二阶段审核的重点和方向；二阶段审核是在一阶段审核基础上对体系运行所作出的全面、系统的评价。 通过一阶段的审核，指出体系在策划方面、体系的基础性工作方面以及控制对象方面存在的不足之处，推动受审核方把握环境管理体系实施不偏离重点，为体系有效 运行提供准确方向，同时也为审核机构进行第二阶段审核提供可行的条件。    第一阶段审核侧重点的把握是审核实践过程中的难点，常见的不足之处有：一阶段审核不充分，该阶段发现的不符合却在第二阶段开出；或者一、二阶段重复审核某些要素。笔者就第一阶段审核侧重点把握作以下一些粗浅的分析。    一、 第一阶段审核的目的：    1、收集充分的信息，了解组织产品、活动、服务以及辅助设施包括动力（锅炉、发电机、空调、空压机等），能源（水、气、热、电等）的情况并通过对体系文件以及若干重点要素，特别是环境方针、环境因素、法律法规、组织机构和职责、环境管理体系审核、管理评审...

  More
• ISO14001认证咨询介绍

  发布时间： 2018 - 04 - 19

  随着世界经济的高速增长，世界贸易的迅速发展，环境保护问题亦迫切地摆在我们面前，实施ISO14000系列标准的目的是为了保护环境,促进社会经济的可持续发展, 实施标准的另一目的在于提高企业形象,增强企业国际竟争能力。中国加入WTO已势在必行，参与国际竞争、融入国际大市场是企业所必将面临的，这对于企业来说，是机遇，更是挑战，环境问题法规化使得更多的国家和企业将环保问题作为选择和评价分供方的重要因素，而取得ISO14001环境管理体系认证，更已成为进入国际市场，特别是欧美市场的绿色通行证。    贵公司成功地将ISO14001管理思想和管理理念导入到日常管理工作、建立并实施符合该国际标准的环境管理体系并取认证后，根据我们先前的客户所提供的信息。贵公司将能更好地：消除贸易壁垒，进入国际市场。 提高环保意识，节约资源，预防污染。 提高公司形象，增加市场份额。 改进成本控制，节省材料和能源。 改进政府/行业关系，改进企业/公众关系。    颐卓公司凭借专业的人才优势，高效的服务质量，取得了客户的信任和支持，至令已协助超过100家不同类型的组织取得ISO9000，ISO14001，OHSAS18001等系列国际标准的认证。 　　    在以上认证咨询过程中，我们不仅向客户提供了满意的服务，更积累了我们咨询服务的丰富经验，我们的的咨询服务，客户不仅能高效地取得认证，更能改善和规范内部管理，提高员工素质，增强竞争力。

  More
• ISO14001标准认证审核过程

  发布时间： 2018 - 04 - 26

  ISO14000环境管理体系认证程序大致上分为以下四个阶段：一、受理申请方的申请    申请认证的组织首先要综合考虑各认证机构的权威性、信誉和费用等方面的因素，然后选择合适的认证机构，并与其取得联系，提出环境管理体系认证申请。认证机构接到申请方的正式申请书之后，将对申请方的申请文件进行初步的审查，如果符合申请要求，与其签订管理体系审核/注册合同，确定受理其申请。二、环境管理体系审核    在整个认证过程中，对申请方的环境管理体系的审核是最关键的环节。认证机构正式受理申请方的申请之后，迅速组成一个审核小组，并任命一个审核组长，审核组中至少有一名具有该审核范围专业项目种类的专业审核人员或技术专家，协助审核组进行审核工作。审核工作大致分为3步：    1.文件审核 对申请方提交的准备文件进行详细的审查，这是实施现场审核基础工作。申请方需要编写好其环境管理体系文件，在审核过程中，若发现申请方的EMS手册不符合要求，则由其采取有效纠正措施直至符合要求。认证机构对这些文件进行认真审核之后，如果认为合格，就准备进入现场审核阶段。    2.现场审核 在完成对申请方的文件审查和预审基础上，审核组长要制定一个审核计划，告知申请方并征求申请方的意见，申请方接到审核计划之后，如果对审核计划的某些条款或安排有不同意见，立即通知审核组长或认证机构，并在现场审核前解决好这些问题。解决好这些问题之后，审核组正式实施现场审核，主要目的就是通过对申请方进行现场实地考察，验证EMS手册、程序文件和作业指导书等一系列文件的实际执行情况，从而来评价该环境管理体系运行的有效性，判别申请方建立的环境管理体系和ISO14001标准是否相符合。    在实施现场审核过程中，...

  More
• ISO 14001:2015 DIS版正式发布

  发布时间： 2018 - 04 - 26

  负责ISO 14001：2015标准编制的是第207号技术委员会（简称 TC207），ISO14001环境管理体系在1996年发布了第一版、2004年发布了第二版，据ISO 官方消息称：此次2015版标准的最终确定版将会在2015年底出台。标准明确指出：本标准的目的是为组织提供一个系统的框架，以保护环境和应对不断变化的环境条件与社会经济平衡的需求。它是通过规范环境管理体系的要求，使组织能够提高环境绩效。　　行业资深技术专家解读 ISO 14001：2015 DIS 版对比 ISO 14001：2004主要有以下几个方面的变化：　　新增19个术语和定义；　　新增理解组织及其环境的条款；　　新增理解相关方的需求和期望的条款；　　特别强调体系成功的因素离不开最高管理层的领导，同时新增领导力的条款；　　强调确定与威胁和机会相关联的风险，并采取措施对风险进行管理；　　除了关注合规、目标达成，多处强调提高组织的环境绩效。　　另外值得关注的是，此次修订后的 ISO 14001:2015 DIS 版的标准架构与 ISO 9001：2015 DIS 版的架构完全一致：范围、引用标准、术语和定义、组织的环境 领导力、策划、支持、运作、绩效评估、改进。　　关于ISO标准制订过程五步骤：　　工作小组草案 Work Draft/WD；　　委员会草案 Committee Draft/CD；　　国际标准草案 Draft International Standard/DIS；　　最终国际标准版草案 Final Draft International Standard/FDIS ；　　正式发行国际标准 International Standard/IS。

  More

• 汽车电子功能安全标准ISO26262常见答疑

  发布时间： 2019 - 12 - 06

  ISO 26262道路车辆安全管理体系适用于道路车辆上特定的由电子、电气和软件组成的安全相关系统在安全生命周期内的所有活动。 目前司机辅助设备领域、车辆动力控制领域、主动和被动安全系统的设计研发都需要遵循ISO 26262标准。如：汽车防抱死制动系统（ABS)；车身稳定控制系统；防撞系统；车道偏离报警系统；自适应助力转向；主动停车辅助系统；自适应悬架控制；安全气囊；司机瞌睡警示系统；自动巡航系统；胎压监控系统等。生产过程控制主要包含哪些？开发分析好，对过程开发输出的是什么？生产过程首先需要符合IATF 16949的规定，但另外需要考虑生产过程中哪些活动可能对功能安全产生负面影响，例如：校准，参数设置等。这些要求应以文件形式保存。 相较第一版，如何计算ISO 26262硬件故障率？   - 用于计算每个硬件组件/元件的故障率，与Ed.1相同   - 用于计算硬件架构度量SPFM/LFM，与Ed.1相同   - 对于PMHF的计算，计算公式与Ed.1略有不同。但影响不大。   如何评估编码指南？不符合MISRA C?  选择编码指南的原则如下：- 通常没有有效的编程标准。- 编程指南不应使过程复杂化。- 太多限制会适得其反。- 应根据开发过程调整 软件的安全措施设计和敏捷开发之间的冲突似乎不可避免？没错，但ISO26262-6：2018第5.2条规定了以下顶级要求/原则：注1：敏捷软件开发的开发途径或方法也适用于开发安全相关软件，但是，敏捷途径和方法不能用于省略安全措施。对于功能安全的分析，比如FMEA，做得好不好很大程度取决于功能安全工程师对产品设计的理解，对标准的理解。如何做，才能提高专业度？没错。最重要的就是在执行FMEA之前，需要对...

  More
• ISO26262汽车功能安全标准

  发布时间： 2019 - 12 - 06

  ISO26262标准的核心价值在于，它可以通过系统的功能安全研发管理流程，以及针对汽车电子控制系统硬件和软件的系统化验证和确认方法，保证电子系统的安全功能在面对各种严酷条件时不失效，从而保证驾乘人员以及路人的安全。对于汽车厂商而言，贯彻执行ISO26262认证不仅可以提高安全性能，也可以提升产品内在价值。关于ISO 26262:2018ISO（国际标准化组织）于 2018 年发布了 ISO 26262 标准的更新版本。其覆盖范围扩大至更重的道路车辆、卡车、公共汽车和摩托车。新版本还包括一个全新部分，该部分将重点关注当前和未来电气电子系统的有机组成部分 —— 半导体元器件。 ISO 26262适用于哪些方面？ISO26262道路车辆功能安全标准适用于道路车辆上特定的由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。安全是未来汽车发展的关键问题之一，不仅在驾驶员辅助和动力驱动领域，而且在车辆动态控制和主被动安全系统领域，新的功能越来越多地触及到系统安全工程领域。这些功能的开发和集成将强化对安全的系统开发流程的需求，及提供证据证明全部合理的系统安全目标得到满足的需求。ISO26262如何指导避免风险？目前司机辅助设备领域、车辆动力控制领域、主动和被动安全系统的设计研发都需要遵循ISO 26262。如：汽车防抱死制动系统（ABS)；车身稳定控制系统；电子刹车力分配系统；紧急制动辅助系统；防撞系统；车道偏离报警系统；自适应助力转向；主动停车辅助系统；自适应悬架控制；安全气囊；司机瞌睡警示系统；自动巡航系统；胎压监控系统等。  随着技术日益复杂、软件内容和机电一体化应用不断增加，来自系统性失效和随机硬件失效的风险逐渐增加。ISO 26262包含了通过提供适当的要求和流程来避免风险的指导。 系统安全是通过一系列安全措施实现的。安全措施通过各...

  More
• 汽车电子为什么要进行ISO26262认证?

  发布时间： 2019 - 12 - 06

  ISO 26262认证的基本原理，该认证涉及设计功能安全的汽车电子系统所涉及的人员，流程和产品。最终目标是让开发团队，管理人员和投资者更加了解遵守汽车安全标准细节所涉及的责任。反过来，这将提供有关合规性的工作和成本的更多信息，还将使供应链成员之间的沟通更加有效不断变化的汽车行业：新电子设备和新进入者所有乘用车电子系统在集成到汽车制造商的产品之前必须满足严格的安全要求。该行业的供应商已经建立了一个复杂的供应链，以提供这些系统，以及产品满足这些安全要求的能力的证明。这种信息共享系统需要IP供应商、半导体SoC开发人员、零组件供应商、软件提供商、电子系统设计师和许多其他相关人员之间的详细交流，以确保所有关键组件符合ISO 26262指南、程序、培训水平、审核和评估。最近进入者可能缺乏根据ISO 26262功能安全标准开发和交付产品的经验。虽然这些供应商可能声称其产品已准备好符合汽车安全标准，但供应链中的公司仍需要对产品开发过程中涉及的人员和程序进行广泛、仔细的审查和评估，然后才能将其集成到更大的系统中。汽车电子供应链参与者主动解决此问题的一种方法是从认可的评估机构获得ISO 26262认证。然而，大多数针对汽车用途的电子产品并非完整的独立系统，可以通过ISO 26262标准认证，并完全了解产品如何在车辆中集成和使用。因此，对于认真服务于该市场的任何开发团队而言，重要的是探索其供应商关于功能安全的声明，无论是否声明了认证。虽然第三方产品认证可以成为重要参考，但对任何组件的评估必须更深入，并且必须通过公司使用和集成产品来完成考察与认证。如果未能对供应商的人员，流程和产品进行评估，则可能导致客户拒绝。为什么选择ISO 26262？国际标准组织（ISO）声明如下：ISO 26262旨在应用于安全相关系统，其包括一个或多个电气或电子（E / E）系统并且安装在批量生产的乘用车中。ISO 2...

  More
• 道路车辆功能安全学习笔记

  发布时间： 2019 - 10 - 14

  功能安全是指避免由系统功能性故障导致的不可接受的风险。它关注的是系统发生故障之后的行为，而不是系统的原有功能或性能。因此功能安全的目的就是当系统发生故障后，将系统进入安全的可控模式，避免对人身、财产造成伤害。本质安全与功能安全为了了解功能安全的概念，先得熟悉下 和“本质安全”和“功能安全”的概念。假如以铁道的路口为例，比较一下基于两种安全概念的避免路口事故的方法。这里避免路口事故就是安全目标，为了实现这个目标，可进行如下操作：首先，如果把铁道路口撤掉，直接改造成立交桥的形式，让火车和汽车都走各自的路，这样就不会发生人或者车辆横穿铁道口的事故了。像这样，根据系统的特性把危险源直接除掉的方法是「本质安全」。其次，假如我们在铁道路口设置信号灯和道口自动栏杆，当火车来临时前闪红灯，同时将栏杆放下，避免行人或者车辆通过。像这样通过栏杆的拦截功能及预警灯来抑制事故风险的技术叫做「功能安全」。在这里信号灯和自动栏杆一种安全机制（Safety Mechanism）。理想的情况是不管什么场合都采用「本质安全」，但事实上，在很多场合里，由于系统自身的原因，不可能把危险源除掉。特别是像车载电控系统这样非常复杂的电子化系统，以上所述的本质安全很难被实现和应用。因此我们只能采用功能安全，它的目的就是在本质安全无法达到时，尽可能的通过增加安全机制去提高安全等级，实现安全目标。电子控制器的功能安全对于汽车而言，可将汽车看成一个“机器人”，驾驶员给这个“机器人”发送信号，比如踩踏板加油，汽车收到命令然后执行：电喷系统增加喷油，发动机输出扭矩增加，实现车辆加速。对于传统汽车而言，它的结构简单，且大多数命令都是通过机械方式来实现的，如老式汽车的机械式节气门等，其失效的可预见性大；而现在汽车，其电子电气化增强，驾驶员的指令会先转换成相关信号，然后这些信号传递给控制器的处理芯片，然后最终驱动相关的执行器...

  More

• 
  一篇文章全面了解ITSS国家信息技术服务标准

  发布时间： 2020 - 07 - 09

  ITSS（Information Technology Service Standards，信息技术服务标准ITSS）是一套成体系和综合配套的信息技术服务标准库，全面规范了IT服务产品及其组成要素，用于指导实施标准化和可信赖的服务。一、ITSS的来源ITSS是由国家信息技术服务标准工作组（以下简称：ITSS工作组）组织研究制定的，是我国IT服务行业最佳实践的总结和提升，也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。二、ITSS的原理ITSS充分借鉴了质量管理原理和过程改进方法的精髓，规定了IT服务的组成要素和生命周期，并对其进行标准化。1、组成要素：IT服务由人员（People）、流程（Process）、技术（Technology）和资源（Resource）组成，简称PPTR。其中：1.1、人员：指提供IT服务所需的人员及其知识、经验和技能要求；1.2、过程：指提供IT服务时，合理利用必要的资源，将输入转化为输出的一组相互关联和结构化的活动；1.3、技术：指交付满足质量要求的IT服务应使用的技术或应具备的技术能力；1.4、资源：指提供IT服务所依存和产生的有形及无形资产。2、生命周期：IT服务生命周期由规划设计（Planning & Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision）5个阶段组成，简称PIOIS。其中：2.1、规划设计：从客户业务战略出发，以需求为中心，参照ITSS对IT服务进行全面系统的战略规划和设计，为IT服务的部署实施做好准备，以确保提供满足客户需求的IT服务；2.2、部署实施：在规划设计基础上，依据TSS建立管理体系、部署专用工具及服务解决方案；2.3、服务运营：根据服务部署情况，依据ITSS，采用过程方法，全面...

  More