ISMS内审员课程幻灯新(v1.0)

1、信息安全管理体系审核知识信息安全管理体系审核知识 Rev.1.0内审培训-目录u标准复习u第五章 信息安全管理体系审核概论u第六章 审核的策划和准备u第七章 现场审核实施和报告u第八章 审核后续活动的实施u第九章 内审员 Rev.1.0第五章第五章 信息安全管理体系审核概论信息安全管理体系审核概论本章目标审核和信息安全管理体系审核信息安全管理体系审核的类型及特点内审的特点与比较审内审的一般步骤审核方案管理 Rev.1.0审核和信息安全管理体系审核审核和信息安全管理体系审核u审核（GB/T 19011-2003/ISO19011:2002 3.1) 为获得审核证据并对其进行客观的评价，以确定满足

2、审核准则的程度所进行的系统的、独立的兵形成文件的过程。u审核证据（GB/T 19011-2003/ISO19011:2002 3.3) 与审核准则有关的并且能够证实的记录、事实陈述或其他信息。 Rev.1.0审核和信息安全管理体系审核审核和信息安全管理体系审核u审核准则（GB/T 19011-2003/ISO19011:2002 3.2) 一组方针、程序或要求u审核发现（GB/T 19011-2003/ISO19011:2002 3.4) 将收集到的审核证据对照审核准则进行评价的结果。u审核结论（GB/T 19011-2003/ISO19011:2002 3.5) 审核组考虑了审核目的和所有审

3、核发现后得出的审核结果 Rev.1.0审核的类型（1）体系审核可分为pa内部ISMS审核第一方审核；pb外部ISMS审核第二方或第三方审核；（2）第一方审核（内部审核）（3）第二方审核（外部审核）（4）第三方审核（外部审核） Rev.1.0审核的目的第一方审核的目的：纠正改进第一方审核的目的：纠正改进第二方审核的目的：选择供方第二方审核的目的：选择供方第三方审核的目的：认证注册第三方审核的目的：认证注册 Rev.1.0体系审核范围u一般有三种界定方式：以活动/过程界定以区域/部门界定以产品界定 Rev.1.0审核准则（审核依据）体系审核准则，通常是按审核目的以及对组织自身的重要程度来确定。可以

4、概括为信息安全管理体系标准如IS027001信息安全管理体系，文件顾客要求和期望法律、法规和强制性标准（产品、设备、材料、环境、方法、人员等产品资源性标准）社会要求（如社会惯例、与社区的约定等）责任人叙述的责任范围内的规定 Rev.1.0审核的原则 u审核的三项核心要求： 客观性、独立性、系统方法u审核原则 有道德的行为：职业的基础 公平的表达：真实和准确地进行报告 尽责的 职业奉献：在审核中勤奋 和判断的应用 独立性：审核的公正性和审核结论的客观性的基础 基于证据的方法：在一个系统审核过程中，得出可靠的和可重现的审核结论的合理方法u审核有效性实现 Rev.1.0信息安全管理体系必须是规范的

5、u必须具有完整的体系文件u文件控制、文件更改应符合标准的要求；u实际运作符合体系文件规定；u必要的运作情况有可追溯的记录。 Rev.1.0信息安全审核是正式的活动u依据正式程序和书面文件进行a明确审核目的、范围b策划审核大纲（审核方案）c制定实施审核计划的检查表d依据计划和检查表进行审核u审核结果形成正式文件a审核结果以正式的报告（包括不合格报告）形式提交委托方或受审核方b审核报告和记录作为正式文件留存到规定期限 Rev.1.0信息安全审核是正式的活动u审核过程是依据客观事实，作出客观判断a判断体系的总体运行水平b寻找符合/不符合的客观证据（正面证实，负面报告）c审核证据应是：不受情绪或偏见左

6、右的事实；可陈述、可验证的事实；可定性或定量的事实；可形成文件的陈述d审核过程应：客观、公正，正面地证实和判定；以事实为依据，以标准为准绳 Rev.1.0审核人员资格要求 u外审人员u内审员 Rev.1.0审核是个抽样过程 u审核发现建立在对获得信息的抽样基础上 u审核抽样 Rev.1.0内审的特点u目的在于改进 u企业内部的信息安全管理活动 u得到管理者的全面支持 u内部审核的难度比外部审核高 Rev.1.0内部审核和外部审核的比较 审核方式审核依据次序提建议能力影响力审核时间第一方审核（内部审核）1组织体系文件2顾客合同3行业标准4通用标准很大（永远有提建议的权力！）表面上较小，实际上很大

7、自己掌握，较充足第二方审核（外部审核）1顾客合同2通用标准3行业法规4组织体系文件取决于顾客的方针及合同的大小取决于合同的大小及顾客的管理水平事先已约定，取决于供需双方的协议第三方审核（外部审核）1通用标准2行业法规3组织体系文件4顾客合同不提是一种外部压力和推动，宏观上的监控按照有关规定执行，通常只有几天 Rev.1.0第一、二、三方审核的异同点区别区别第一方审核第一方审核第二方审核第二方审核第三方审核第三方审核主要目的纠正，改进合格供方认定管理体系认证/注册审核范围所以产品、过程和场所采购产品及其相关过程和场所申请的产品及其相关过程和场所主要依据信息安全管理体系文件（标准、法律法规）合同（

8、标准、法律法规）信息安全管理体系文件（标准、法律法规）受审核方所有部门（车间）供方组织审核方内审组顾客或其他相关方认证、审核机构审核计划年度审核计划（集中或滚动）短期内集中审核计划短期内集中审核计划收、末次会议内容可简化正规的全部内容正规的全部内容抽样数相对多一点相对少一点相对少一点不合格项分类体系性、实施性、效果性（也可严重、一般）严重、一般严重、一般争执处理管代或最高管理者仲裁按合同规定仲裁认可委员会或国家主管部门仲裁第一、二、三方审核的异同点 Rev.1.0u相同点被审核的信息安全管理体系都必须是正规的都应正式有序的进行（系统性）都应由有资格、授权、不审核自己的工作的人员进行（独立性）都

9、是形成文件的过程都是一种抽样过程（随即抽样）发现问题都要采取纠正措施审核的一般步骤 审核的两个阶段u信息安全管理体系文件审查 审查受审核方是否建立了规范的、文件化的信息安全管理体系文件的内容是否正确、充分满足标准要求了解受审核方的基本情况u现场审查 检查受审核方的现场运作是否符合特定要求（合同、质量手册、质量管理标准等评价受审方信息安全管理体系满足要求和持续改进的能力 Rev.1.0内部审核的步骤 （1）审核策划p制定全年的内部审核工作计划p确定审核范围p确定审核频次p明确各次审核的目的（2）审核准备p指定审核员和组成审核组，分配工作p收集有关文件p文件审查p制定审核计划p准备工作文件（检查表

10、、记录等） Rev.1.0内部审核的步骤 Rev.1.0（3）现场审核p首次会议p现场检查（收集客观证据，记录观察结果）p末次会议（4）审核报告p编制审核报告p报告分发、存档（5）纠正措施的跟踪p向受审核方提出纠正要求和必要的建议p受审核方制定并实施纠正措施p验证纠正措施有效性并记录 审核方案的管理审核方案的管理 Rev.1.0实施 策划审核方案的授权(5.1)审核方案的制定（5.2、5.3）目的和内容职责资源程序审核方案的改进(5.6)审核员的能力和评价(7)审核方案的实施（5.4、5.5）安排审核日程评价审核员选择审核组指导审核活动保持记录审核活动(6)审核方案的监视和评审（5.6）监视和

11、评审识别纠正和预防措施的需求识别改进的机会检查处置审核方案类型示例 u在一年内进行一系列覆盖本组织所有过程和所有部门的内部信息安全管理体系审核活动的审核方案，即年度内部信息安全管理体系审核方案，也可以称为年度内部信息安全管理体系审核工作计划u在6个月内对关键活动的相关方进行信息安全管理体系审核的审核方案，也可以成为某一时间段对提供关键配套产品供方的审核工作计划；u根据认证委托方（申请认证的组织）与认证机构签订的协议，在3年内，由认证机构对申请认证的组织的信息安全管理体系进行认证审核及证后监督审核的审核方案。 Rev.1.0内审审核方案的目标内审审核方案的目标u确定内审审核方案的目标的考虑因素

12、管理的重点项目管理体系要求法律法规及合同要求对供方评价要求顾客要求其它相关方要求组织的风险 Rev.1.0内审审核方案的内容内审审核方案的内容u每次内审的审核范围、目保和持续时间u进行内部审核的频次 u内部审核活动的数量、重要性和相似性以及场所大小与数量 u标准、法律法规及合同要求 u认证/注册的要求 u前几次审核结果和结论以及上一次审核方案评审结果 u相关方关心的问题 u组织及其运行的重大变化 Rev.1.0内审审核方案的管理内审审核方案的管理 u内审审核方案管理人员应具备的条件 对审核原则、信息安全管理体系标准有充分的理解有一定的专业管理技术经验了解本组织的技术业务特点对ISO19011：

13、2002质量和（或）环境管理体系审核指南标准规定的审核要求与程序有充分的理解，熟悉审核管理工作具有一定的组织管理能力 Rev.1.0内审审核方案的管理内审审核方案的管理u内审审核方案管理人员的职责 确定内审审核方案的目标和范围确定内审审核实施的职责和程序，确保提供资源确保内审审核方案的实施保持适当的内审方案记录监视、评审、改进内审审核方案 Rev.1.0内审审核方案的资源 u为策划、实施、管理和改进内审活动所需的经费u审核技术，包括制定与提供内审管理文件、技术文件等u培养、保持、提高内审员能力和改进内审员审核工作业绩的活动u配备适合于专门项目和内审审核方案的专业内审员及技术专家，这是每个开展内

14、部信息安全管理体系审核的组织必备的审核资源的提供u内审审核方案内容中规定的活动所必须配备的审核资源的提供 Rev.1.0内审审核方案的管理程序 u内审审核方案、审核的策划、审核时间的安排、即内审方案即某一阶段审核工作计划的制定和管理 u确保内审员和审核组长具有满足实施内审活动要求的能力 u明确审核组的职责和分工，按规定选派审核组 u实施内部审核 u必要时，进行审核跟踪 u保持审核方案的记录 u监视审核方案的业绩及有效性 u向最高管理者报告审核方案的总体情况 Rev.1.0内审审核方案的实施内审审核方案的实施 u向与审核活动有关的各部门及有关人员沟通审核方案。作为一个要开展内审活动的组织，应向组

15、织内接受审核的部门、内审员、管理层的人员沟通内审审核方案，使各方面人员都能充分理解内审审核方案，都能知道内审活动中自己应该如何做，便于组织内审活动的有效实施u协调并安排审核日期以及其他与内审审核方案有关的活动u结合内审审核方案的特点，建立对内审员能力进行评价和促使其能力保持和改进的管理程序并予以实施。一个组织要注意开展对内审员的审核能力的评价管理，通过评价和管理，不断提高和改进内审员的审核能力，确保审核结果的有效 Rev.1.0内审审核方案的实施内审审核方案的实施 u确保对审核组合理选择。针对每次内审活动的审核目标和审核范围的特点，选择合适的，能胜任工作的内审员。如某次审核活动是审核设计部门，

16、选派的内审员除了应具有审核能力，还应具有相应的专业基础，必要时，可以配备技术专家u向审核组提供审核必需的资源。内审审核方案管理者应向审核组提供审核需要的工作文件、记录用表格及临时办公条件等审核必需的资源u确保按内审审核方案实施审核活动u确保对审核活动实施记录的控制u确保对审核报告的评审和批准，并确保将审核报告分发给有关各方 Rev.1.0内审审核方案的记录管理内审审核方案的记录管理 u每次内审活动的记录通常应包括 审核计划审核报告不符合项报告纠正措施和预防措施报告有不符合项时，责任部门制定实施纠正措施的报告，以及审核组对纠正措施进行跟踪验证报告 Rev.1.0内审审核方案的记录管理内审审核方案

17、的记录管理u审核方案评审结果的记录一般包括：审核方案评审计划;审核方案评审报告;审核方案改进措施与计划。u与审核人员有关的记录一般包括：对内审员能力及审核表现与业绩评价记录; Rev.1.0内审审核方案的监视与评审内审审核方案的监视与评审u组织应对内审审核方案实施的业绩指标及特性进行定期或不定期的检查和评价，内容一般包括：审核组实施和完成审核计划的能力审核活动和结果与内审审核方案和审核计划的符合性受审核部门、审核管理部门、内审员的反馈意见u检查和评价的方式可以采用审核、现场见证审核活动、评审审核结果以及向与内审活动有关各方发放调查表等方式进行 Rev.1.0内审审核方案的监视与评审内审审核方案

18、的监视与评审u对内审审核方案进行检查和评价时应考虑以下内容检查和评价的结果及发展趋势内审的实施及效果与内审管理程序的符合性相关方对组织的更高的期望与要求的识别和确定情况可以采纳的新的审核做法在类似审核的情况下，审核组之间审核结果的一致性 Rev.1.0内审审核方案的改进内审审核方案的改进u方案的监视与评审u发现问题u识别和确定改进的机会u制定并实施改进内审审核方案的纠正措施和预防措施 Rev.1.0第六章第六章 内审策划与准备内审策划与准备本章目标内审策划的概念 内审计划 审核准备 Rev.1.0内审策划的概念内审策划的概念 u最高领导提高认识，重视内审是关键u管理者代表应亲自主持内审策划工作

19、u确定职能部门管理内审工作u组建一支合格的内审员队伍u建立文件化的内审程序u内审计划 Rev.1.0内审计划内审计划 u审核计划包括如下三个层次年度内审计划项目审核计划审核检查表 Rev.1.0年度内审计划年度内审计划 u制定年度审核工作计划的目的 保证内部审核的实施能有计划地进行；便于管理、监督和控制内部审核工作。u年度审核工作计划应考虑的因素明确顾客、认证机构及有关法规的要求；确定审核目的、范围；按文件规定确定审核组织、职责、资源和程序；确定审核频次等。 Rev.1.0集中式年度审核工作计划集中式年度审核工作计划 u在某计划时间内安排的集中式审核u每次审核可针对全部适用要求及相关场所，也可

20、针对某些要求或场所u审核后的纠正行动及跟踪安排 Rev.1.0滚动式年度审核工作计划滚动式年度审核工作计划 u审核持续时间较长u审核和审核后的纠正行动及其跟踪陆续展开u在一个审核周期内应保证所有适用要求及相关场所得到审核u重要的要求和场所可安排多频次审核u滚动式审核更适用于大、中型企业，设有专门内部审核机构或专职人员的情况 Rev.1.0审核方案与审核计划的区别审核方案与审核计划的区别u审核方案 是一个特定的时间段内（如一年，或3年等），对一系列审核内容和活动的安排u审核计划 是对一次审核内容和活动的安排 Rev.1.0审核准备审核准备 u内审准备工作内容一、制订项目审核计划二、组成审核组三、

21、文件审核 四、编制核查表 五、通知 Rev.1.0审核准备之一：审核准备之一： 制定审核实施计划制定审核实施计划u编制要求 坚持独立性：审核员不能审核自己的工作 完整性：ISMS覆盖的部门、过程 参照信息安全职能分配表 充分性：关注作业现场审核时间的安排u审核实施计划的内容目的组织日程（含时间）安排 审核准备之二审核准备之二 成立审核组成立审核组u审核组的成员u审核组的规模u技术专家p注意：避免利益冲突 Rev.1.0审核准备之三：审核准备之三： 文件审核文件审核文件审核目的：识别过程、确定审核重点内容审查： p信息安全手册 p程序文件 p形式审查文件审核记录：无固定格式审核准备之四：审核准备

22、之四： 编制检查表编制检查表检查表作用：审核提纲、进度、确保审核有序检查表的内容 含：项目、条款、方法、抽样样本、时间安排检查表分类: p 按标准条款p 按部门p 按过程检查表格式：按组织需求编排，不要求固定格式审核准备之五：审核准备之五： 通知审核通知审核通知方式 ： 电话方式 无必要发文件通知第七章第七章 现场现场ISMS审核实施和报告审核实施和报告 本章目标审核实施阶段的主要工作审核实施阶段的主要工作首次会议首次会议现场核查现场核查不合格项及审核结论不合格项及审核结论末次会议末次会议 Rev.1.0审核实施阶段的主要工作审核实施阶段的主要工作 u完成文件审核u进行审核准备u现场审核阶段：

23、p首次会议p现场核查p审核组会议p末次会议p审核报告 Rev.1.0审核实施工作的主要要求审核实施工作的主要要求 u掌握审核准则u按计划控制审核审核过程应按计划实施以达到预定目标。u客观、准确对于体系运行过程中的客观事实，审核员负责举证。认真寻找客观证据；依据审核准则作出准确判定。u以促进改进为目的 Rev.1.0首次会议的目的首次会议的目的确认审核的范围和目的澄清审核计划中不明确的内容简要介绍审核采用的方法和程序建立审核组与被审核方的正式联系落实审核组需要的资源和设施确认审核组和被审核方领导参加的末次会议的日期和时间，以及审核过程中各次会议的日期和时间 Rev.1.0首次会议的要求首次会议的

24、要求 u建立审核活动的风格u准时、简短、明了，会议以不超过半小时为宜u获得被审核方的理解并给与支持u由审核组长主持会议 Rev.1.0参加首次会议的人员参加首次会议的人员u审核组全体成员u高层的管理者u被审核部门代表及主要工作人员u来自其他部门的观察员一应征得被审核方同意u陪同人员一起向导作用、沟通的桥梁作用和审核见证作用 Rev.1.0会议主要内容和程序会议主要内容和程序 u参加会议人员签到u审核组长主持会议，申明审核目的，通报审核安排u审核组长介绍审核组成员；u明确审核的目的和范围、审核依据的准则、审核将涉及的产品/部门；u审核方法介绍说明审核是抽样过程，具体方法包括交谈、查阅、观察、验证

25、；u介绍审核计划，并征得被审方确认；u确定陪同人员，并说明其作用； Rev.1.0会议主要内容和程序会议主要内容和程序 u确认审核所需的资源办公场所/交通工具/通讯设备等；u提出不合格的报告形式。u明确其它的重要问题u明确限制的范围和事项，如防静电等；u保密声明等。u被审方代表作必要的说明u会议结束，审核组长致谢 Rev.1.0重头戏：现场审核重头戏：现场审核 u目的：收集客观证据。 客观证据客观证据的三种形式（见下页）u方法：与受审核方人员交谈；查阅文件和记录；对现场的观察；对实际活动及结果验证 u原则：以事实为依据，“无罪推定”u记录：具有可追溯性，准确、明确u审核追踪：深入收集证据u要点

26、控制：氛围、进度、不合格审定、协调客观证据客观证据客观证据的三种形式客观证据的三种形式存在的客观事实存在的客观事实责任人叙述的责任范围内活动责任人叙述的责任范围内活动现存的文件记录等现存的文件记录等 现场核查现场核查 审核过程的主要控制环节审核过程的主要控制环节u现场审核计划的控制及调整；u审核进度的控制与调整；u审核氛气控制；u审核范围的控制一般仅限于计划内的区域；u不合格的审定及审核报告的签署；u就其他有关方面与被审核方联系协调。 Rev.1.0现场核查现场核查 现场审核计划的控制要点现场审核计划的控制要点 u按照计划和检查表进行审核；u为达审核目的需改变计划时应与被审核方协商；u当有可能

27、发现严重问题时经审核组长同意可超出审核范围审查 Rev.1.0现场核查现场核查 审核进度的控制要点审核进度的控制要点 u应按计划预定的时间完成u出现需延长审核时间的情况应取得审核组长同意u审核组长可通过审核组成员的调整控制进度u对需追踪的重要线索可由组长决定延长审核时间直至得到可信的检查结果 Rev.1.0现场核查现场核查 审核证据的收集审核证据的收集 u收集审核证据的四种方式与受审核方人员交谈；查阅文件和记录；对现场的观察；对实际活动及结果验证 Rev.1.0现场核查现场核查 检查追踪检查追踪 u检查追踪的作用准确确定审核发现，尤其不合格证据引导审核的深入，不流于表面u检查追踪的方式分析审核

28、的来源，确认相关责任部门或相关要素分析不合格原因检查相关要素的活动，确认审核发现的客观性 Rev.1.0现场核查现场核查 现场审核记录现场审核记录 u审核记录的作用u便于以后需要时查阅u便于核实客观证据时查阅u便于同事进行调查时参阅u便于有连续性线索审核 Rev.1.0现场核查现场核查 审核员记录的要求审核员记录的要求 u记录应清楚、全面、易懂、便于查阅u记录应准确，例如什么文件、什么物资标识、产品批号、设备编号、记录编号、合同号码、陈述人职位和工作岗位等u记录的格式无统一规定，一般各组织自定 Rev.1.0现场核查现场核查 审核方法和技巧审核方法和技巧 u交谈u查阅u观察u验证 Rev.1.

29、0不合格项及报告不合格项及报告u不合格定义:不满足要求 u要求包括明确规定的、习惯上隐含的、强制性的要求可来自不同的受益者，如组织、客户、社会。 Rev.1.0不合格项及报告不合格项及报告u不合格产生原因文件不符合，往往由此产生体系系统不符合实施不符合，未按文件规定实施效果不符合，实施后未达到预期效果或无效 Rev.1.0不合格项及报告不合格项及报告u不合格类型严重不合格项:p系统性失效要素失效；p区域性严重失效职能/过程失效；p可能产生严重的信息安全后果。 Rev.1.0不合格项及报告不合格项及报告一般不合格项p轻微不符合要求；p轻微影响到有效性，不会产生严重质量后果；p不会导致顾客或社会不

30、满意。p可能构成不合格项或潜在不合格项，但未收集到足够|证据；p可能会导致一般不合格项产生； Rev.1.0不合格项及报告不合格项及报告观察性 p偶然的、孤立的不足构成一般不合格的；p尚未造成不良后果的；p超出审核范围的。 Rev.1.0不符合报告内容不符合报告内容 u被审部门和人员、审核员、陪同人员、日期；u不符合事实描述；u不合格结论（违反标准、文件的条文）；u不合格类型；u被审方的签字确认；u报告形式还可以与后续措施记录合并，即含纠正措施要求和纠正措施完成情况及验证记录。 Rev.1.0审核组内部会审核组内部会 u内部会任务 交流内审情况；确认不合格项，并汇总分析；研究审核结果和结论。

31、Rev.1.0确认不合格项确认不合格项 u不合格证据是否确切u是否能构成不合格项或是否能构成一般，严重项如果属合理的体系偏差可考虑不开不合格报告或开具观察项报告u是否包括所有必要的细节u违反的规定要求是否确切u不合格性质条款，判定是否准确u是否简明扼要，容易理解u是否便于被审核方采取纠正措施u发生争议时，由审核组长确认、决定 Rev.1.0不合格项汇总分析不合格项汇总分析 u追溯不合格的来源，分析不合格原因u不合格项与其它管理要求的关系及影响u不合格项对产品/服务或过程的影响程度u后续纠正措施的切入点和措施实施带来的影响，应重视措施的积极作用的程度u被审方的看法，尤其是可能的不同看法 Rev.

32、1.0研究审核结论研究审核结论 u分析质量体系的符合性、有效性审核发现汇总，符合性判定审核发现的体系缺失对体系的影响程度体系结果的有效性评价u确定纠正措施重点u信息安全管理体系总体评价意见和审核结论u本次内审过程的策划、组织，以及高层管理者支持力度和被审方配合情况分祈，总体评价内审实施的有效性，提出确保审核可信性的措施u审核组长准备未次会上的总结性发言 Rev.1.0末次会议（总结会）末次会议（总结会）u会议任务通报审渎情况和结论，便于体系改进提出后笑工作要求 Rev.1.0会议主要内容和程序会议主要内容和程序 u双方人员签到。u审核组长主持，通报审核过程，宣读审核报告u重申审核的目的、范围、

33、简要介绍审核方法u重申审核是抽样进行的，强调审核的局限性u肯定被审核方的质量成绩u报告不合格项（也可选择重要的部分），不合格项分析u报告审核结果和结论u征求被审核方意见，必要的澄清和说明u说明审核报告的发布时间、方式u提出纠正措施要求 Rev.1.0审核报告审核报告 u审核报告的内容u审核目的、范围和准则u受审核部门的主要参与者姓名及职务（必要时）u不合格报告（作为附件）及不合格项分布表u审核概况、体系评价及审核结论u对纠正措施完成的要求u报告的发放范围u审核组长签字u其他内容（如报告编号、审核编号等） Rev.1.0审核报告的分发与存档审核报告的分发与存档 u分发范围u报告应经审核组长/管理

34、者代表批准后分发u分发范围为所有与审核有关的部门及组织的有关高层管理者、管理者代表等u存档u由规定的文件保管责任人负责存档u组长与文件保管人做好移交手续u注意后续工作（如纠正措施验证等）产生的相关文件的存档 Rev.1.0 Rev.1.0第八章第八章 审核后续活动的实施审核后续活动的实施 -纠正措施与跟踪验证纠正措施与跟踪验证本章目标本章目标纠正、纠正措施、预防措施纠正、纠正措施、预防措施跟踪验证跟踪验证纠正、纠正措施、预防措施纠正、纠正措施、预防措施 u纠正 消除已发现的不合格而采取的措施。 注1：纠正可能与纠正措施有关联，也可能不相关联。 注2：纠正可能包括返修返工或降级。u纠正措施 为消

35、除已发现的不合格或其它不希望情况的原因而采取的措施。u预防措施 为消除潜在不合格或其它不希望情况的原因而采取的措施。 Rev.1.0采取纠正和预防措施的目的 u消除实际或潜在不合格原因采取措施防止类似问题再发生或预防问题的发生不断改进质量体系提高产品/服务质量uISMS要求对于审核中发现的不合格项必须采取纠正措施 Rev.1.0采取纠正和预防措施的作用采取纠正和预防措施的作用 u满足质量管理和质量管理标准的要求u保证内部质量效果的重要手段u维护、改进质量和质量体系的手段 Rev.1.0不合格项纠正措施计划要点不合格项纠正措施计划要点u计划包括纠正、纠正措施和时限三部分u纠正: 如QMS：返工、

36、返修或让步接受、降级、报废、补救等 如EMS：停止破坏活动，采取弥补方式，补救 如：ISMS：停止相关活动，采取补救或弥补措施u纠正措施: 如程序文件修改、质量过程的某一阶段质量改进等u 时限:明确采取措施的责任部门/人员，明确纠正时限p 纠正措施计划应具有可操作性 p 计划应具体p 用“动作化”语言，要明确5W1H Rev.1.0u审核组职责u 向被审核方解释内部质量审核中出现的不合格项和需改进的方面；u 与被审核方协商纠正措施的完成期限，必要时提出纠正措施建议；u 对纠正措施的反馈进行管理。u 被审核方职责u 理解审核员指出的不合格项；u 制定纠正和预防措施的实施计划；u 执行纠正和预防措

37、施计划；u 及时反馈措施落实情况以便得到审核员验证认可。 Rev.1.0纠正措施程序 u调查判别不合格的原因u进行原因分析（如人、机器、材料、方法和环境等）u制定纠正措施的实施计划，落实职责u控制纠正措施按计划有效实施u检查纠正措施的效果u对效果的有效性进行验证u 巩固经验证有效的成果（更新文件）u 纠正措施的效果不明显的可进入下一个循环，采取更有效的措施 Rev.1.0跟踪验证的作用 u内容跟踪是审核的继续；对受审方的纠正措施进行评审验证并判断效果对验证的情况进行记录u跟踪的目的促使受审核方采取有效的纠正和预防措施验证纠正和预防措施的有效性向最高管理层报告u跟踪工作的作用督促实施纠正措施，促进体系的改进向最高管理层提供体系运作的情况报告向外部审核机构提供体系正常运行的证据 Rev.1.0跟踪形式和记录 u形式u书面/现场