iso9000:2015認(rèn)證顧客溝通的內(nèi)容和方式 4.1 溝通的內(nèi)容 4.1.1 外部信息 a) 與顧客有關(guān)的溝通（如合同、訂單等）； d) 與供應(yīng)商有關(guān)的溝通（如采購合同、訂單、進(jìn)貨不合格等）； c) 與其他相關(guān)方的溝通（如政府監(jiān)管部門等）； 4.1.2 內(nèi)部信息 a）公司質(zhì)量方針、質(zhì)量目標(biāo)的溝通； b) 公司領(lǐng)導(dǎo)層的決議，包含經(jīng)營管理目標(biāo)、公司戰(zhàn)略規(guī)劃及發(fā)展方向等； c) 各種會議精神的傳達(dá)； d) 本公司經(jīng)營、生產(chǎn)和管理過程中發(fā)現(xiàn)的異常信息，包括質(zhì)量、進(jìn)度、成本、員工意識等； e）有關(guān)經(jīng)營管理績效及改進(jìn)的溝通； f) 本公司重要事項(xiàng)的報告,重要事項(xiàng)主要指： 1）重大招、投標(biāo)事項(xiàng)和合同評審； 2）重大合同項(xiàng)目的技術(shù)交底； 3）公司新產(chǎn)品開發(fā)進(jìn)程、試驗(yàn)、確認(rèn)情況； 4）重要顧客對公司現(xiàn)場考評； 5）重大產(chǎn)品質(zhì)量事故； 6）重大人身傷亡和設(shè)備損壞事故； 7）重大生產(chǎn)或管理項(xiàng)目的整改結(jié)果。 g）其他需要溝通的日常工作 4.2 內(nèi)部溝通的主要方式 a) 口頭（含電話）方式溝通──適用于需立即溝通或不需要留有證據(jù)的溝通事項(xiàng)； b) 書面方式溝通（含電子信息溝通）──包括：郵件、企業(yè)、通知/通報、會議紀(jì)要、溝通聯(lián)絡(luò)函、書面報告、公告欄以及各程序文件中規(guī)定的用于相互傳遞的記錄； c) 會議方式溝通──公司需要定期召開或者臨時召開的會議 d) 其他方式溝通──如員工關(guān)愛訪談、員工績效面談、員工的合理化建議等。 4.3 外部溝通 4.3.1銷售部和成套綜合辦負(fù)責(zé)與客戶有關(guān)的溝通，詳見《與顧客有關(guān)的過程控制程序》； 4.3.2采購部負(fù)責(zé)與供應(yīng)商有關(guān)的溝通，詳見《供應(yīng)商管理控制程序》； 4.3.3 其他相關(guān)方的溝通職責(zé)詳見《組織環(huán)境及相關(guān)方需求控制程序》； 4.3.4 以上部門負(fù)責(zé)相關(guān)信息的接收，并將接收到的信息進(jìn)行處理和報告，必要時應(yīng)保留書面材料，需要內(nèi)部其他部門協(xié)助進(jìn)行完成的，由信息接收部分負(fù)責(zé)組織協(xié)調(diào)。 4.4內(nèi)部溝通 4.4.1會議溝通 4.4.1.1公司級例會：對于公司系統(tǒng)性工作采用例會的形式進(jìn)行溝通，公司確定的例會內(nèi)容及召開頻次要求如下： 例會名稱 會議主題 會議時間 負(fù)責(zé)人 參加人員 經(jīng)營管理例會 經(jīng)營管理工作總結(jié)、改進(jìn)及下一步方向及計劃 每月一次 總經(jīng)理 經(jīng)理班子成員 管理 例會 對近一個月的管理工作進(jìn)行總結(jié)、下一步工作部署、管理案例分享等 每月一次 管理/副總總監(jiān) 中高層管理者及后備管理干部 質(zhì)量 例會 討論近一個月的質(zhì)量情況、顧客投訴、質(zhì)量案例等（成套和元件分開召開） 每月一次 管理者代表 技術(shù)副總 中高層管理者、車間/技術(shù)/質(zhì)檢相關(guān)人員 生產(chǎn) 調(diào)度會 生產(chǎn)進(jìn)度管理情況 每月一次 生產(chǎn)副總/總監(jiān) 生產(chǎn)管理中心相關(guān)管理人員以及采購、質(zhì)檢、技術(shù)部門或其他相關(guān)部門人員 4.4.1.2部門級例會：部門級例會應(yīng)保證每月至少召開一次，部門例會由部門經(jīng)理主持，并留有《會議紀(jì)要》。 4.4.1.3 其他臨時性會議：臨時性會議由發(fā)起部門組織并通知會議議題內(nèi)容、地點(diǎn)、時間、參加人員及會議主持人。根據(jù)會議內(nèi)容及性質(zhì)確定是否出具《會議紀(jì)要》。 4.4.1.4對于公司級例會，會后兩日內(nèi)，由會議負(fù)責(zé)人安排人員將會議簡況、主要內(nèi)容和會議精神進(jìn)行整理，形成《會議紀(jì)要》，向會議負(fù)責(zé)人匯報后，將《會議紀(jì)要》或者相關(guān)的會議PPT上傳至OA，相關(guān)人員應(yīng)及時查看，了解會議精神，執(zhí)行會議決定，會議負(fù)責(zé)人應(yīng)對會議上做出決定的工作進(jìn)行檢查，保證會議各項(xiàng)工作落實(shí)。有特殊要求的會議按照要求執(zhí)行。 4.4.2公司重要事項(xiàng)的溝通 公司重要事項(xiàng)應(yīng)及時通過書面文件、公告、會議等形式溝通。 重要事項(xiàng) 提出報告部門 提出報告時間 報告上至人 報告下至人 報告方式 重要客戶參觀 接到通知部門 接到通知后及工作開展前1天 總經(jīng)理 相關(guān)部門和人員 報告/通知 上級工作檢查及項(xiàng)目驗(yàn)收 接到通知部門 接到通知后及工作開展前1天 總經(jīng)理 相關(guān)部門和人員 報告/通知 重大合同 銷售部 成套綜合辦 得到可靠信息1個工作日內(nèi) 總經(jīng)理 合同評審的相關(guān)人員 報告/通知 重大項(xiàng)目技術(shù)交底 技術(shù)部 交底前 技術(shù)副總/總工 相關(guān)部門 報告 新產(chǎn)品 開發(fā)進(jìn)度 技術(shù)部 重要節(jié)點(diǎn) 總經(jīng)理及有關(guān) 副總經(jīng)理 相關(guān)部門、車間 報告 重大質(zhì)量事故 技術(shù)部/質(zhì)檢部 當(dāng)下口頭報告，三日內(nèi)出書面報告 總經(jīng)理 管理者代表 有關(guān)人員 分析報告 重大事故 生產(chǎn)部 當(dāng)下口頭報告，三日內(nèi)出書面報告 總經(jīng)理/負(fù)責(zé)人/人事負(fù)責(zé)人 相關(guān)人員 調(diào)查報告 重大設(shè)備事故 生產(chǎn)部 當(dāng)下口頭報告，三日內(nèi)出書面報告 總經(jīng)理 及生產(chǎn)副總 相關(guān)人員 調(diào)查報告 重大生產(chǎn)、 管理項(xiàng)目整改 主管部門 事前請示，整改完畢后書面報告 總經(jīng)理 生產(chǎn)/管理副總 相關(guān)人員 工作總結(jié) 4.4.3員工意見和投訴溝通 4.4.3.1員工意見和投訴主要包含兩方面的內(nèi)容： a）一是合理化建議。合理化建議是指任何員工個人或集體針對公司生產(chǎn)、經(jīng)營或管理的任何環(huán)節(jié)所提出的具有可操作性的改進(jìn)方法和措施。 b）二是員工投訴。員工投訴主要是指任何員工個人或集體針對公司生產(chǎn)、經(jīng)營或管理的任何環(huán)節(jié)所提出的抱怨和不滿以及改進(jìn)建議。 4.4.3.2針對合理化建議 公司合理化建議貫徹“全員參與” 的基本原則，以確保公司的持續(xù)改進(jìn)，并對提出合理化建議的員工實(shí)施獎勵。 4.4.3.3針對員工投訴： 員工投訴的方式可以采用：直接投訴、電話/短信投訴、郵件投訴、意見箱投訴等，企管部負(fù)責(zé)員工投訴的處理，并根據(jù)員工投訴的情況進(jìn)行調(diào)查，結(jié)合事件的影響程度以及公司的現(xiàn)狀作出是否需要改進(jìn)的決定。所有員工投訴的內(nèi)容應(yīng)登記公司投訴臺賬，并上報公司總經(jīng)理。

iso45001與ISO14001體系的一體化及其審核 iso45001和ISO14001體系有從標(biāo)準(zhǔn)上看很多共同點(diǎn)，能夠互相兼容，有效地實(shí)現(xiàn)體系的一體化。 一、ISO14001與OHSAS18001體系的共同性 1、兩個體系均屬于規(guī)范化、文件化、系統(tǒng)化的管理體系：ISO14001環(huán)境管理體系是國際標(biāo)準(zhǔn)化組織（ISO）在1996年9月發(fā)布的認(rèn)證標(biāo)準(zhǔn)，后經(jīng)我國有關(guān)部門等同轉(zhuǎn)化為我國 標(biāo)準(zhǔn)。OHSAS18001是英國標(biāo)準(zhǔn)協(xié)會（BS1）等12個組織在1999年發(fā)布的職業(yè)管理體系規(guī)范。也經(jīng)我國有關(guān)部門轉(zhuǎn)化成相應(yīng)的認(rèn)證試行標(biāo)準(zhǔn)。兩個標(biāo)準(zhǔn)均為規(guī)范化的管理體系，由17個管理要素構(gòu)成，并對各管理要素提出了明確的要求。這些要求絕大部分也是相似的。由于這二個體系從形式到內(nèi)容均有非常多的共同性，對實(shí)現(xiàn)體系的一體化具有很好的基礎(chǔ)。 2、兩個體系都遵循相同的管理模式：兩個體系都共同遵循策劃（P）—實(shí)施（D）—檢查與糾正（C）—評審改進(jìn)（A）的管理模式，通過PDCA的循環(huán)，實(shí)現(xiàn)管理體系和績效的持續(xù)改進(jìn)。 3、兩個體系均強(qiáng)調(diào)方針、目標(biāo)、運(yùn)行控制與環(huán)境因素（或危險源）的一致性。即方針要符合環(huán)境影響（或風(fēng)險）的性質(zhì)與規(guī)模，而所評價出的重要環(huán)境因素（或重大風(fēng)險）均應(yīng)通過目標(biāo)、管理方案及運(yùn)行控制程序進(jìn)行控制。 4、兩個體系的管理要素極為相似：兩個體系均包括五個部分、共17個管理要素，從方針到管理評審要素的設(shè)置完全相同。雖然個別要素的名稱略有差別，但管理功能基本相同。兩個體系的17個管理要素的對照見下表。 要素號 ISO14001 iso45001 4.2 環(huán)境方針 職業(yè)方針 4.3.1 環(huán)境因素 危險源辨識、風(fēng)險評價和風(fēng)險控制、策劃 4.3.2 法律及其他要求 法律及其他要求 4.3.3 目標(biāo)和指標(biāo) 目標(biāo) 4.3.4 環(huán)境管理方案 職業(yè)管理方案 4.4.1 組織結(jié)構(gòu)和職責(zé) 機(jī)構(gòu)和職責(zé) 4.4.2 培訓(xùn)、意識和能力 培訓(xùn)、意識與能力 4.4.3 信息交流 協(xié)商與交流 4.4.4 環(huán)境管理體系文件 文件 4.4.5 文件控制 文件與資料控制 4.4.6 運(yùn)行控制 運(yùn)行控制 4.4.7 應(yīng)急準(zhǔn)備和響應(yīng) 應(yīng)急準(zhǔn)備與響應(yīng) 4.5.1 監(jiān)測和測量 績效測量與監(jiān)測 4.5.2 不符合、糾正與措施 事故、事件、不符合、糾正與措施 4.5.3 記錄 記錄及記錄管理 4.5.4 環(huán)境管理體系審核 審核 4.6 管理評審 管理評審 體系的共同性為實(shí)現(xiàn)二個體系的一體化提供了基本條件。 另外從企業(yè)實(shí)際管理中，環(huán)境管理和職業(yè)管理也存在著很多共通性，例如：①環(huán)境管理和管理的任務(wù)相似，即改善環(huán)境或績效以及環(huán)境或事故；②環(huán)境管理和管理涉及到企業(yè)中所有部門和活動并與全體員工有關(guān)；③在相當(dāng)多的企業(yè)中，將環(huán)境與管理設(shè)在同一個部門（例如：環(huán)保處），這些均能體現(xiàn)出這二種管理的共通性。 由于上述管理和環(huán)境管理的共通性，以致很多企業(yè)在建立上述兩個體系時，就把建立、推進(jìn)體系的任務(wù)放在了同一個部門；又由于ISO14001和OHSAS18001兩個管理體系的共同性，很多企業(yè)在建立體系時就把兩個體系整合為一個體系（例如：稱為環(huán)境與管理體系）。建立了一套體系文件，同時實(shí)施運(yùn)行，完全實(shí)現(xiàn)了二種體系的一體化。這樣就對認(rèn)證機(jī)構(gòu)提出了ISO14001環(huán)境管理體系和OHSAS18001職業(yè)管理體系實(shí)施一體化審核的要求。 二、體系文件的一體化 OHSAS18001職業(yè)管理體系ISO14001環(huán)境管理體系的文件體系相同，一般都由手冊、程序文件和作業(yè)指導(dǎo)書（或操作規(guī)程）三級文件所構(gòu)成。在建立一體化的管理體系時，能否將兩個體系的文件融合成一套體系文件，是大家比較關(guān)心的問題。在我們審核的企業(yè)中，不少均已成功地實(shí)現(xiàn)了兩個體系文件的整合。取得了成功的經(jīng)驗(yàn)。現(xiàn)將一體化文件的主要結(jié)構(gòu)和編寫時的注意事項(xiàng)分述如下： 1、管理手冊 二個體系的管理手冊可以編成一本手冊（例如稱為：環(huán)境與管理手冊）。實(shí)現(xiàn)文件的一體化。只是在每個要素的描述中，要注意覆蓋18001和14001兩個體系的要求，二個體系的要求有的是相同的，但也有不少不同點(diǎn)，編寫時不能忽視。例如： （1）在4.2職業(yè)方針中，就有“傳達(dá)到全體員工，使其每個人都認(rèn)識到其在職業(yè)方面的義務(wù)”和“定期進(jìn)行評審，確保其適宜性”等規(guī)定，這在環(huán)境方針中是沒有的。 （2）在4.3.1中，兩個體系的描述有很大區(qū)別，應(yīng)分別寫成二個部分以覆蓋二個體系的不同要求。例如：對識別范圍的要求，對評價結(jié)果分級的要求和對控制策劃的要求都很難用同一段文字覆蓋二個體系的不同要求。 （3）在4.4.1中，增加了對管理者代表的職務(wù)級別的規(guī)定；并規(guī)定：對組織的活動、設(shè)施和過程實(shí)施管理，操作和驗(yàn)證的人員均要規(guī)定作用職責(zé)和權(quán)限；所有承擔(dān)管理職責(zé)的人員都應(yīng)實(shí)現(xiàn)其對職業(yè)績效持續(xù)改進(jìn)的承諾。 （4）在4.4.3中，OHSAS18001增加了員工（或員工代表）在體系建立和實(shí)施中應(yīng)參與的活動。 另外在4.3.2、4.3.4、4.4.6、4.5.1和4.5.2中，iso45001和ISO14001也有很多不同的要求。所以在編制一本“一體化”的管理手冊時，除了要在不同的要素中對兩個體系共同的部分進(jìn)行描述外，還應(yīng)該體現(xiàn)出兩個體系的不同要求。 2、程序文件 （1）對于標(biāo)準(zhǔn)中要求建立程序的多數(shù)要素，可以編成一體化的程序。例如：4.3.2、4.4.2、4.4.3、4.4.5、4.4.7、4.5.1、4.5.2、4.5.3和 4.5.4等要素。與手冊編寫一樣，在程序中也要注意覆蓋兩個體系的所有要求。 （2）對于4.3.1“環(huán)境因素識別和評價”與“危險源辨識，風(fēng)險評價和風(fēng)險控制策劃”應(yīng)該分別編寫二個程序文件，以使其具有較好的可操作性。 （3）對于4.4.6運(yùn)行控制程序 A) ISO14001環(huán)境管理體系中要求，對與所認(rèn)定的重要環(huán)境因素相 關(guān)的運(yùn)行與活動，制定運(yùn)行控制程序。對一個生產(chǎn)型企業(yè)來說， 一般應(yīng)包括下列運(yùn)行控制程序。 a. 水污染控制程序 b. 大氣污染控制程序 c. 噪聲控制程序 d. 固體廢棄物管理程序 e. 能源管理程序 f. 原材料管理程序 g. 油品、化學(xué)品管理程序 h. 環(huán)保設(shè)施管理程序 i. 新建、改建、擴(kuò)建項(xiàng)目環(huán)境保護(hù)管理程序 j. 供方、承包方管理程序 k. 新產(chǎn)品開發(fā)設(shè)計管理程序，等。 B) OHSAS18001職業(yè)管理體系在4.4.6運(yùn)行控制中則要求，對所認(rèn)定的風(fēng)險有關(guān)的、需要采取控制措施的運(yùn)行與活動，制定運(yùn)行控制文件。對一個生產(chǎn)型企業(yè)而言，大體包括： a. 工藝管理程序； b. 設(shè)備與設(shè)施管理程序； c. 化學(xué)品、油品管理程序； d. 員工管理程序； e. 女工保護(hù)管理程序； f. 勞動防護(hù)用品管理程序； g. 供方和承包方管理程序； h. 特殊工種管理程序； i. 危險作業(yè)管理程序； j. 新、改、擴(kuò)建工程管理程序； k. 檢修維護(hù)工作管理程序； l. 電氣管理程序； m. 管網(wǎng)管理程序； n. 廠內(nèi)交通運(yùn)輸管理程序； o. 管理或作業(yè)變更管理程序等。 從上述兩份典型的運(yùn)行控制程序目錄可以看出：兩個體系能共用的程序只有3-4個，其余大多數(shù)程序所管理的內(nèi)容不同。所以對二個體系的運(yùn)行控制程序而言不要勉強(qiáng)合并。要根據(jù)二個體系的要求，編制具有可操作性的控制文件。這對于實(shí)現(xiàn)重要環(huán)境因素與風(fēng)險的有效控制是必需的。 3、作業(yè)指導(dǎo)書（或操作規(guī)程） 作業(yè)指導(dǎo)書（或操作規(guī)程）是指操作崗位所執(zhí)行的作業(yè)文件。對一個具體的崗位而言，文件應(yīng)盡量統(tǒng)一， 能實(shí)現(xiàn)文件的單一化。對于環(huán)境和兩方面是如此，甚至包括質(zhì)量方面的要求都可以變成一份作業(yè)指導(dǎo)書，使操作者一目了然。例如：對于一個電子工廠的波峰焊接機(jī)操作崗位，在一份作業(yè)指導(dǎo)書上可以先寫如何啟動運(yùn)行設(shè)備，保障波峰焊的質(zhì)量；又可寫明如何避免燙傷等事故；還可寫明如何控制含鉛煙塵的排放和妥善處理含鉛廢物等，一個文件覆蓋三個體系的管理內(nèi)容。所以對于第三級文件，完全可以實(shí)現(xiàn)整合，即對同一崗位整合成為一份單一的文件。 綜上所述，實(shí)現(xiàn)二個體系文件的一體化是完全可行的。但要注意既要分別滿足二個體系的要求，又要適合實(shí)際管理和操作的需要。在這個前提下使文件盡量簡化。 三、一體化審核 兩個體系的審核也具有很多共同性。例如： 1、采用同樣的審核程序 ISO14001環(huán)境管理體系審核的審核程序是按照ISO14011《環(huán)境審核指南—審核程序—環(huán)境管理體系審核》進(jìn)行的。在OHSAS18001職業(yè)管理體系的審核中，同樣遵循了類似的程序。并且在審核的策劃和準(zhǔn)備、審核的實(shí)施、糾正措施的跟蹤等，都規(guī)定了基本相同的要求。兩個體系審核采用同樣程序，是實(shí)現(xiàn)二個體系審核一體化的基礎(chǔ)。 這里需要指出的是：根據(jù) 環(huán)認(rèn)委發(fā)布的環(huán)境管理體系認(rèn)證機(jī)構(gòu)認(rèn)可基本要求（CACEB：EA-110）的規(guī)定：環(huán)境管理體系的審核分為二個階段進(jìn)行。即： 階段審核和第二階段審核。而 職業(yè)衛(wèi)生管理體系認(rèn)證指導(dǎo)委員會規(guī)定的職業(yè)管理體系的審核分為：初始審核和正式審核二個階段。二個體系審核所采用的名稱不同。但仔細(xì)研究每個階段的審核任務(wù)和審核內(nèi)容后則不難發(fā)現(xiàn)，職業(yè)管理體系審核中的初始審核和正式審核，分別與環(huán)境管理體系的 階段審核和第二階段審核是基本相同的。下面以初始審核為例加以說明。 初始審核的目的為： （1）收集組織職業(yè)狀況及與體系有關(guān)的必要的信息； （2）確定正式審核的可行性及條件； （3）確定審核范圍。 初始審核的內(nèi)容：包括： （1）文件審核； （2）危險源的識別、風(fēng)險評價及基本控制情況； （3）法律法規(guī)的獲取和相關(guān)法規(guī)的符合情況； （4）方針、目標(biāo)和管理方案的合理性； （5）機(jī)構(gòu)和職責(zé)的設(shè)置； （6）內(nèi)審和管理評審的有效性。 以上職業(yè)管理體系初始審核的目的和內(nèi)容與環(huán)境管理體系 階段審核的目的和內(nèi)容幾乎是完全相同的。所以在實(shí)施審核時，完全可以實(shí)現(xiàn)二個體系審核的一體化。 2、采用同樣的審核方法 職業(yè)管理體系審核的審核方式和審核方法與環(huán)境管理體系也是相同的。均采取以部門審核為主線、結(jié)合要素審核的方式；現(xiàn)場審核則同樣采用詢問交談，查閱文件和記錄，以及現(xiàn)場查證的方法。因此在審核員實(shí)施審核時也很容易地將二個體系的審核融合在一起。 3、一體化審核的實(shí)施 （1）審核員的配置 實(shí)施一體化審核的審核員應(yīng)同時具備二個體系注冊審核員的資格。即同一個審核員既是環(huán)境管理體系 注冊審核員，又是職業(yè)管理體系的 注冊審核員。 （2）審核計劃的編制 二個體系的一體化審核應(yīng)該編制同一的審核計劃，即同一個審核員在審核每個部門時，同時審核二個體系。 在確定每個部門所需的審核時間時，既要考慮到該部門的環(huán)境影響的大小，也要考慮到重大風(fēng)險的多少。對于審核員任務(wù)的分配也要同時考慮到二個體系的需要； （3）現(xiàn)場審核檢查表的編制 審核員所準(zhǔn)備的現(xiàn)場檢查表應(yīng)覆蓋兩個體系的要求。在17個要素中雖然大部分要求是相同的，但在審核時也有不少區(qū)別。例如：對要素4.3.1環(huán)境因素（危險源辨識、風(fēng)險評價與風(fēng)險控制策劃）審核時，既要審核環(huán)境因素的識別評價又要審核危險源的識別評價；又如：在對4.4.6審核時，既要審核有關(guān)環(huán)境方面的運(yùn)行控制程序的執(zhí)行，又要審核職業(yè)方面的運(yùn)行控制的情況，不能有任何偏廢。 （4）不符合項(xiàng)的確定 審核員應(yīng)充分理解ISO14001和OHSAS18001兩個體系在各個要素上的要求，要根據(jù)兩個體系的要求，分別確定不符合項(xiàng)。如果一個事實(shí)僅不符合14001（或18001）某條款的要求，則開14001（或18001）的不符合項(xiàng)；如果同一事實(shí)既不符合14001的要求又不符合18001的要求，也可以開為一個共用的不符合項(xiàng)。分別注明不符合兩個標(biāo)準(zhǔn)的要素號。 （5）審核報告 由于目前我國對于二個管理體系的認(rèn)證的管理分屬于二個認(rèn)可委員會。所以審核組長在編寫體系的審核報告時，應(yīng)根據(jù)二個認(rèn)可委員會的要求，分別編寫環(huán)境管理體系審核報告和職業(yè)管理體系審核報告。 四、OHSAS18001與ISO14001審核中的區(qū)別 由于OHSAS18001與ISO14001體系具有很多共同性，而且審核程序也相同，因此可以實(shí)現(xiàn)兩個體系的一體系化審核。但在實(shí)施一體化審核時也不能忽視兩個體系在審核中的區(qū)別。 首先我們應(yīng)該充分重視兩個體系各個管理要素要求的區(qū)別。雖然兩個體系要素的設(shè)置是相同的，每個要素的功能也基本相同。但仔細(xì)研究后，你會發(fā)現(xiàn)，在一部分要素中仍然存在著差別，有的差別甚至還比較大。關(guān)于這方面的內(nèi)容，準(zhǔn)備在另外的文章中討論。 在這里，我們僅討論在一體化體系審核中有關(guān)職業(yè)審核方面應(yīng)注意的問題。 1、要更加重視對現(xiàn)場狀況的審核 由于職業(yè)管理體系中的重大風(fēng)險分布面廣，可能分布在很多作業(yè)場所，所以審核中要更加重視現(xiàn)場的審核，在現(xiàn)場審核中應(yīng)充分重視以下幾方面的狀況： （1）各類危險源是否已被辨識出來，是否有遺漏；重大風(fēng)險的評價結(jié)果是否合理； （2）高風(fēng)險場所的設(shè)施是否妥善，例如：防火、防爆、防化學(xué)傷害，防機(jī)械傷害的設(shè)施、設(shè)備是否完善；管理程序和作業(yè)文件是否健全，檢測、報警、消防以及其他應(yīng)急措施是否處在正常狀態(tài)； （3）危險作業(yè)及其相關(guān)的控制是否有效，例如：對高空作業(yè)的管理，對動火作業(yè)的管理等； （4）作業(yè)環(huán)境與個人防護(hù)是否符合法規(guī)或程序文件的要求。 2、要更加重視員工意識和對作業(yè)規(guī)程掌握程度的審核 造成事故的原因有兩類：一是物的不狀態(tài)，二是人的不行為，所以既使設(shè)施、設(shè)備方面的不狀態(tài)被控制了，而人的不行為也常常會造成事故。例如：高空作業(yè)時不系帶，在有高空墜物的危險場所不戴帽，機(jī)動車輛的疲勞駕駛等。所以審核中要更加重視對作業(yè)人員的審核，特別是與高風(fēng)險作業(yè)有關(guān)的作業(yè)人員。 3、職業(yè)管理體系的適用范圍 ISO14001環(huán)境管理體系的范圍包括組織的活動、產(chǎn)品和服務(wù)；而在OHSAS18001職業(yè)管理體系的適用范圍中，明確規(guī)定“本標(biāo)準(zhǔn)僅適用于職業(yè)，而不適用于產(chǎn)品和服務(wù)?！彼栽趯徍藭r要注意：對于企業(yè)所生產(chǎn)的產(chǎn)品在使用中的性能，不包括在范圍之中。在審核時應(yīng)該注意這一要求。 OHSAS18001和ISO14001是完全能夠?qū)崿F(xiàn)一體化及一體化審核的。這樣做可以為組織節(jié)省管理資源和迎審工作量，對認(rèn)證機(jī)構(gòu)也可以節(jié)省審核工作量，降低審核費(fèi)用，并便于企業(yè)實(shí)現(xiàn)管理上的一體化。因此，推廣兩個體系的一體化審核有很重要的意義。

ISO27000認(rèn)證信息風(fēng)險評估FAQ 深圳ISO27000認(rèn)證為什么要進(jìn)行信息風(fēng)險評估？ 　　通過風(fēng)險評估，你可以知道組織范圍內(nèi)存在哪些重要的信息資產(chǎn)、信息處理設(shè)施及其面臨的威脅，發(fā)現(xiàn)技術(shù)和管理上的脆弱點(diǎn)，綜合評估現(xiàn)有綜合資產(chǎn)的風(fēng)險狀況。 什么是信息風(fēng)險評估？ 　　風(fēng)險評估：對信息及信息載體、應(yīng)用環(huán)境等各方面風(fēng)險進(jìn)行辨識和分析的過程，是對威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認(rèn)風(fēng)險及其大小的過程。 　　風(fēng)險評估為管理層確定具體的策略，以及在“成本-效益”平衡基礎(chǔ)上做決策服務(wù)；風(fēng)險控制措施為組織實(shí)施信息的改進(jìn)提供指導(dǎo)。 信息風(fēng)險評估的實(shí)施的主體是什么？ 　　風(fēng)險評估可分為自評估和檢查評估兩大類。自評估是由被評估信息系統(tǒng)的擁有者依靠自身的力量，對其自身的信息系統(tǒng)進(jìn)行的風(fēng)險評估活動。檢查評估則通常是被評估信息系統(tǒng)的擁有者的上級主管或業(yè)務(wù)主管發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強(qiáng)制意味的檢查活動，是通過行政手段加強(qiáng)信息的重要措施。 　　檢查評估應(yīng)該是具有一定資質(zhì)的風(fēng)險評估服務(wù)機(jī)構(gòu)實(shí)施的。自評估可以在信息風(fēng)險評估服務(wù)機(jī)構(gòu)的咨詢、服務(wù)、培訓(xùn)下，由系統(tǒng)所有者和評估服務(wù)機(jī)構(gòu)共同完成。 信息風(fēng)險評估的政策依據(jù)及標(biāo)準(zhǔn)依據(jù)？ 　　 信息化領(lǐng)導(dǎo)小組《關(guān)于加強(qiáng)信息保障工作的意見》(中辦發(fā)[2003]27號文件)將信息風(fēng)險評估作為一項(xiàng)重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務(wù)、電力三個行業(yè)進(jìn)行試點(diǎn)，根據(jù)試點(diǎn)經(jīng)驗(yàn)，各省市建立信息風(fēng)險評估管理制度。 　　 國信辦標(biāo)準(zhǔn)草案《信息風(fēng)險評估指南》、《信息風(fēng)險管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風(fēng)險評估包括哪幾個主要實(shí)施階段？ 　　風(fēng)險評估可以分為資產(chǎn)識別、重要資產(chǎn)賦值、威脅分析、脆弱性識別、風(fēng)險計算、風(fēng)險控制措施提出等實(shí)施階段。 信息風(fēng)險評估的主要內(nèi)容及方法？ 　　信息風(fēng)險評估的實(shí)施主要有以下內(nèi)容： 　　 （1）資產(chǎn)識別 　　 （2）資產(chǎn)的屬性賦值及權(quán)重計算 　　 （3）威脅分析 　　 （4）薄弱點(diǎn)分析 　　 （5）威脅發(fā)生可能性及影響分析 　　 （6）風(fēng)險計算 　　 （7）風(fēng)險處理計劃制定 　　 風(fēng)險評估是一項(xiàng)綜合的系統(tǒng)工程，既涉及到技術(shù)，又涉及到管理。風(fēng)險評估過程中既需要采用技術(shù)的檢測手段，又需要進(jìn)行綜合的歸納、總結(jié)和分析方法。 　　 風(fēng)險評估中資產(chǎn)價值的判斷、威脅判斷、事件造成影響的判斷標(biāo)準(zhǔn)都需要根據(jù)被評估實(shí)際情況，與被評估方共同確定。 信息風(fēng)險評估是否會影響系統(tǒng)的業(yè)務(wù)正常運(yùn)行？ 　　除針對服務(wù)器的漏洞掃描、診斷及滲透性測試外，風(fēng)險評估不會對系統(tǒng)的業(yè)務(wù)運(yùn)行造成影響。即使是滲透性測試，也僅僅是為了驗(yàn)證漏洞存在給系統(tǒng)可能造成的后果（如文件竊取、控制修改關(guān)鍵程序/進(jìn)程等），而不是以破壞系統(tǒng)為目的。評估人員在執(zhí)行滲透性測試前，會將詳細(xì)的滲透測試方案與用戶交流，包括滲透測試對象、測試強(qiáng)度、可能后果、提前備份等要求，并經(jīng)用戶認(rèn)可后方能實(shí)施。 信息風(fēng)險評估的結(jié)果形式是什么？ 　　信息風(fēng)險評估在評估過程中將生成一系列的風(fēng)險評估操作記錄，包括：重要資產(chǎn)列表、脆弱性匯總表、資產(chǎn)威脅識別表、資產(chǎn)威脅風(fēng)險系數(shù)表、信息資產(chǎn)綜合風(fēng)險值表等， 將生成三份評估結(jié)果： 　　 脆弱性評估報告：以資產(chǎn)為核心，描述該資產(chǎn)存在的薄弱點(diǎn)。 　　 風(fēng)險評估報告：反映了風(fēng)險評估整個過程、方法、內(nèi)容及風(fēng)險結(jié)果。 　　 風(fēng)險處理計劃：針對識別的風(fēng)險，提出具體的控制目標(biāo)和控制措施。 信息風(fēng)險評估的周期有多長　 　　信息風(fēng)險評估沒有確定的時間周期，一般兩年一次進(jìn)行定期的評估，但當(dāng)組織新增信息資產(chǎn)、系統(tǒng)發(fā)生重大變更、業(yè)務(wù)流程發(fā)生重大變化、發(fā)生嚴(yán)重信息事故等情況下應(yīng)進(jìn)行風(fēng)險評估。 　　 此外，對系統(tǒng)規(guī)劃、擴(kuò)建時也需要進(jìn)行風(fēng)險評估，為需求、策略的制定提供依據(jù)。 信息風(fēng)險評估的收費(fèi)標(biāo)準(zhǔn)　 　　根據(jù)評估對象的不同而不同。風(fēng)險評估的對象可以是：單個獨(dú)立的信息系統(tǒng)、支持組織業(yè)務(wù)的整體信息處理環(huán)境、整個組織范圍。信息風(fēng)險評估的費(fèi)用主要依據(jù)以下幾個方面進(jìn)行核算： 　　 網(wǎng)絡(luò)規(guī)模 　　 聯(lián)網(wǎng)單位或客戶端抽樣比例 　　 被評估系統(tǒng)的多少 　　 被評估信息設(shè)備的多少 　　 被評估的組織范圍大小