哪些項(xiàng)目需要形成過(guò)程，哪些項(xiàng)目只需要有文件即可？（IATF16949的理解） 在IATF16949中，這些項(xiàng)目需要形成過(guò)程： 1、產(chǎn)品的管理 2、管理校準(zhǔn)/驗(yàn)證記錄 3、人員培訓(xùn)需求、質(zhì)量意識(shí)的管理 4、內(nèi)部審核人員的能力 5、員工授權(quán)和激勵(lì)過(guò)程 6、記錄的保存管理 7、顧客工程規(guī)范的管理 8、特殊特性的識(shí)別和管控 9、供應(yīng)商的選擇過(guò)程 10、供應(yīng)商的控制類(lèi)型和程度 11、采購(gòu)品的法律法規(guī)的符合性 12、供應(yīng)商的監(jiān)視 13、二方審核 14、生產(chǎn)維護(hù) 15、認(rèn)證標(biāo)識(shí)和可追溯性管理 16、產(chǎn)品和生產(chǎn)過(guò)程更改的控制 17、過(guò)程控制臨時(shí)更改的管理 18、返工產(chǎn)品的控制，驗(yàn)證對(duì)原規(guī)范的符合性 19、返修產(chǎn)品的控制，驗(yàn)證對(duì)規(guī)范的符合性 20、不合格品的處置過(guò)程 21、內(nèi)部審核過(guò)程（方案、計(jì)劃、實(shí)施記錄、糾正措施） 22、問(wèn)題解決過(guò)程 23、適當(dāng)防錯(cuò)方法的使用。 24、持續(xù)改進(jìn)過(guò)程

　ISO27001認(rèn)證體系建設(shè)分為四個(gè)階段：實(shí)施風(fēng)險(xiǎn)評(píng)估、規(guī)劃體系建設(shè)方案、建立信息管理 體系、體系運(yùn)行及改進(jìn)。也符合信息管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保護(hù)企業(yè)信息系統(tǒng)的，確保信息的持續(xù)發(fā)展。 　　1、確立范圍 　　首先是確立項(xiàng)目范圍，從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上，可以考慮 內(nèi)部機(jī)構(gòu)：需要覆蓋公司的各個(gè)部門(mén)，其包括總部、事業(yè)部、制造本部、技術(shù)本部等;外部機(jī)構(gòu)：則包括 公司信息系統(tǒng)相連的外部機(jī)構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。 　　從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī) 系統(tǒng)正常運(yùn)行的設(shè)施。包括機(jī)房環(huán)境、門(mén)禁、監(jiān)控等;網(wǎng)絡(luò)系統(tǒng)：構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線(xiàn)路介質(zhì) ，設(shè)備和軟件;服務(wù)器平臺(tái)系統(tǒng)：支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶(hù)機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫(kù) 、中間件和Web系統(tǒng)等軟件平臺(tái)系統(tǒng);應(yīng)用系統(tǒng)：支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng);數(shù)據(jù)：整個(gè)信息 系統(tǒng)中傳輸以及存儲(chǔ)的數(shù)據(jù);管理：包括策略、規(guī)章制度、人員組織、開(kāi)發(fā)、項(xiàng)目管理 和系統(tǒng)管理人員在日常運(yùn)維過(guò)程中的合規(guī)、審計(jì)等。 　　2、風(fēng)險(xiǎn)評(píng)估 　　企業(yè)信息是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪(fǎng)問(wèn)、利用和篡改，為企業(yè)員工提供、可信的服 務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。 　　本次進(jìn)行的評(píng)估，主要包括兩方面的內(nèi)容： 　　2.1、企業(yè)管理類(lèi)的評(píng)估 　　通過(guò)企業(yè)的控制現(xiàn)狀調(diào)查、訪(fǎng)談、文檔研讀和ISO27001的 實(shí)踐比對(duì)，以及在行業(yè)的經(jīng)驗(yàn)上 進(jìn)行“差距分析”，檢查企業(yè)在控制層面上存在的弱點(diǎn)，從而為措施的選擇提供依據(jù)。 　　評(píng)估內(nèi)容包括ISO27001所涵蓋的與信息管理體系相關(guān)的11個(gè)方面，包括信息策略、組 織、資產(chǎn)分類(lèi)與控制、人員、物理和環(huán)境、通信和操作管理、訪(fǎng)問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、安 全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。 　　2.2、企業(yè)技術(shù)類(lèi)評(píng)估 　　基于資產(chǎn)等級(jí)的分類(lèi)，通過(guò)對(duì)信息設(shè)備進(jìn)行的掃描、設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò) 設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)架構(gòu)的現(xiàn)狀和存在的弱點(diǎn)，為加固提供依據(jù)。 　　針對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行評(píng)估。關(guān)鍵應(yīng)用的評(píng)估方式采用滲透測(cè)試的方法，在應(yīng)用 評(píng)估中將對(duì)應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識(shí)別，分析其和應(yīng)用系統(tǒng)的目標(biāo)之間的差距，為后期改造提 供依據(jù)。 　　提到評(píng)估，一定要有方法論。我們以ISO27001為核心，并借鑒國(guó)際常用的幾種評(píng)估模型的優(yōu)點(diǎn) ，同時(shí)結(jié)合企業(yè)自身的特點(diǎn)，建立風(fēng)險(xiǎn)評(píng)估模型： 　　在風(fēng)險(xiǎn)評(píng)估模型中，主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性，信 息資產(chǎn)的屬性是資產(chǎn)價(jià)值，弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下，被威脅利用的可能性以及被威 脅利用后對(duì)資產(chǎn)帶來(lái)影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度，風(fēng)險(xiǎn)的屬 性是風(fēng)險(xiǎn)級(jí)別的高低。風(fēng)險(xiǎn)評(píng)估采用定性的風(fēng)險(xiǎn)評(píng)估方法，通過(guò)分級(jí)別的方式進(jìn)行賦值。 　　3、規(guī)劃體系建設(shè)方案 　　企業(yè)信息問(wèn)題根源分布在技術(shù)、人員和管理等多個(gè)層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息體系 ，并終落實(shí)到管理措施和技術(shù)措施，才能確保信息。 　　規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)企業(yè)中存在的風(fēng)險(xiǎn)提出建議，增強(qiáng)系統(tǒng)的安 全性和抗攻擊性。 　　在未來(lái)1-2年內(nèi)通過(guò)信息體系制的建立與實(shí)施，建立組織，技術(shù)上進(jìn)行審計(jì)、內(nèi)外網(wǎng)隔 離的改造、產(chǎn)品的部署，實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來(lái)的 3-5 年內(nèi)，通過(guò)完善的信息體系 和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè)，將企業(yè)建設(shè)成為一個(gè)注重管理，為主，防治結(jié)合 的先進(jìn)型企業(yè)。 　　4、企業(yè)信息體系建設(shè) 　　企業(yè)信息體系建立在信息模型與企業(yè)信息化的基礎(chǔ)上，建立信息管理體系核心可以更 好的發(fā)揮六方面的能力：即預(yù)警(Warn)、保護(hù)(Protect)、檢測(cè)(Detect)、反應(yīng)(Response)、恢復(fù) (Recover)和反擊(Counter-attack)，體系應(yīng)該兼顧攘外和安內(nèi)的功能。 　　體系的建設(shè)一是涉及管理制度建設(shè)完善;二是涉及到信息技術(shù)。首先，針對(duì)管理制 度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體方針、技術(shù)策略和管理策略等?？傮w方針 涉及組織機(jī)構(gòu)、管理制度、人員管理、運(yùn)行維護(hù)等方面的制度。技術(shù)策略涉 及信息域的劃分、業(yè)務(wù)應(yīng)用的等級(jí)、保護(hù)思路、說(shuō)以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級(jí)、網(wǎng)絡(luò)互 聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。 　　其次，信息技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理技術(shù)、網(wǎng)絡(luò)技術(shù)、系統(tǒng)技 術(shù)、應(yīng)用技術(shù)，以及基礎(chǔ)設(shè)施平臺(tái);同時(shí)按照技術(shù)所提供的功能又可劃分為保護(hù)類(lèi)、檢 測(cè)跟蹤類(lèi)和響應(yīng)恢復(fù)類(lèi)三大類(lèi)技術(shù)。結(jié)合主流的技術(shù)以及未來(lái)信息系統(tǒng)發(fā)展的要求，規(guī)劃信息 技術(shù)包括：

ISO14001環(huán)境管理體系內(nèi)審員培訓(xùn)試卷（A） 姓名：?jiǎn)挝唬旱梅郑? 一、請(qǐng)?zhí)畛鯥SO14001標(biāo)準(zhǔn)有關(guān)條款的題目（共10分，每空1分） 4.1總要求 4.2環(huán)境方針 4.3規(guī)劃4.3.1環(huán)境因素4.3.2 4.3.3 4.4實(shí)施與運(yùn)行4.4.14.4.2 4.4.3信息交流4.4.4文件4.4.5文件管理 4.4.64.4.7 4.5檢查和糾正措施4. 5.14.5.2 4.5.34.5.4記錄控制4.5.5 4.6管理評(píng)審 二、單項(xiàng)選擇題（共20分，每題2分） （）1.ISO14000系列標(biāo)準(zhǔn)是 A.有關(guān)質(zhì)量管理體系的標(biāo)準(zhǔn) B.有關(guān)環(huán)境管理體系的標(biāo)準(zhǔn) C.有關(guān)企業(yè)污染物排放標(biāo)準(zhǔn) D.以上全部 （）2.組織制定的環(huán)境方針中應(yīng)包括 A．持續(xù)改進(jìn)和污染的承諾 B.遵守有關(guān)法律法規(guī)及其他要求的承諾 C.建立和評(píng)審環(huán)境目標(biāo)和指標(biāo)的框架 D.以上全部 （）3.制定環(huán)境管理方案的目的在于 A.組織的環(huán)境影響 B.滿(mǎn)足相關(guān)方的所有要求 C.實(shí)現(xiàn)組織的目標(biāo)和指標(biāo) D.所有上述答案 （）4.在 污染物排放標(biāo)準(zhǔn)和地方污染物排放標(biāo)準(zhǔn)并存的情況下： A.應(yīng)優(yōu)先執(zhí)行 標(biāo)準(zhǔn) B.應(yīng)優(yōu)先執(zhí)行地方標(biāo)準(zhǔn) C.隨便執(zhí)行哪個(gè)標(biāo)準(zhǔn)都可以 D.兩個(gè)標(biāo)準(zhǔn)都要執(zhí)行下載文檔原格式(Word原格式，共4頁(yè))