ISO27000認證信息風險評估FAQ 深圳ISO27000認證為什么要進行信息風險評估？ 　　通過風險評估，你可以知道組織范圍內存在哪些重要的信息資產、信息處理設施及其面臨的威脅，發現技術和管理上的脆弱點，綜合評估現有綜合資產的風險狀況。 什么是信息風險評估？ 　　風險評估：對信息及信息載體、應用環境等各方面風險進行辨識和分析的過程，是對威脅、影響、脆弱性及三者發生的可能性的評估。它是確認風險及其大小的過程。 　　風險評估為管理層確定具體的策略，以及在“成本-效益”平衡基礎上做決策服務；風險控制措施為組織實施信息的改進提供指導。 信息風險評估的實施的主體是什么？ 　　風險評估可分為自評估和檢查評估兩大類。自評估是由被評估信息系統的擁有者依靠自身的力量，對其自身的信息系統進行的風險評估活動。檢查評估則通常是被評估信息系統的擁有者的上級主管或業務主管發起的，旨在依據已經頒布的法規或標準進行的，具有強制意味的檢查活動，是通過行政手段加強信息的重要措施。 　　檢查評估應該是具有一定資質的風險評估服務機構實施的。自評估可以在信息風險評估服務機構的咨詢、服務、培訓下，由系統所有者和評估服務機構共同完成。 信息風險評估的政策依據及標準依據？ 　　 信息化領導小組《關于加強信息保障工作的意見》(中辦發[2003]27號文件)將信息風險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務、電力三個行業進行試點，根據試點經驗，各省市建立信息風險評估管理制度。 　　 國信辦標準草案《信息風險評估指南》、《信息風險管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風險評估包括哪幾個主要實施階段？ 　　風險評估可以分為資產識別、重要資產賦值、威脅分析、脆弱性識別、風險計算、風險控制措施提出等實施階段。 信息風險評估的主要內容及方法？ 　　信息風險評估的實施主要有以下內容： 　　 （1）資產識別 　　 （2）資產的屬性賦值及權重計算 　　 （3）威脅分析 　　 （4）薄弱點分析 　　 （5）威脅發生可能性及影響分析 　　 （6）風險計算 　　 （7）風險處理計劃制定 　　 風險評估是一項綜合的系統工程，既涉及到技術，又涉及到管理。風險評估過程中既需要采用技術的檢測手段，又需要進行綜合的歸納、總結和分析方法。 　　 風險評估中資產價值的判斷、威脅判斷、事件造成影響的判斷標準都需要根據被評估實際情況，與被評估方共同確定。 信息風險評估是否會影響系統的業務正常運行？ 　　除針對服務器的漏洞掃描、診斷及滲透性測試外，風險評估不會對系統的業務運行造成影響。即使是滲透性測試，也僅僅是為了驗證漏洞存在給系統可能造成的后果（如文件竊取、控制修改關鍵程序/進程等），而不是以破壞系統為目的。評估人員在執行滲透性測試前，會將詳細的滲透測試方案與用戶交流，包括滲透測試對象、測試強度、可能后果、提前備份等要求，并經用戶認可后方能實施。 信息風險評估的結果形式是什么？ 　　信息風險評估在評估過程中將生成一系列的風險評估操作記錄，包括：重要資產列表、脆弱性匯總表、資產威脅識別表、資產威脅風險系數表、信息資產綜合風險值表等， 將生成三份評估結果： 　　 脆弱性評估報告：以資產為核心，描述該資產存在的薄弱點。 　　 風險評估報告：反映了風險評估整個過程、方法、內容及風險結果。 　　 風險處理計劃：針對識別的風險，提出具體的控制目標和控制措施。 信息風險評估的周期有多長　 　　信息風險評估沒有確定的時間周期，一般兩年一次進行定期的評估，但當組織新增信息資產、系統發生重大變更、業務流程發生重大變化、發生嚴重信息事故等情況下應進行風險評估。 　　 此外，對系統規劃、擴建時也需要進行風險評估，為需求、策略的制定提供依據。 信息風險評估的收費標準　 　　根據評估對象的不同而不同。風險評估的對象可以是：單個獨立的信息系統、支持組織業務的整體信息處理環境、整個組織范圍。信息風險評估的費用主要依據以下幾個方面進行核算： 　　 網絡規模 　　 聯網單位或客戶端抽樣比例 　　 被評估系統的多少 　　 被評估信息設備的多少 　　 被評估的組織范圍大小

IATF16949認證審核各部門所需文件清單 一、管理層 ?? 公司內外部環境因素分析：SWOT分析（競爭對手、行業標桿等）、宏觀因素分析（政治、經濟、文化等）、微觀分析（行業、產品結構/定位、發展趨勢等）； ?? 企業風險分析：產品、生產、環保、財務、設計、制造、供應、行業等； ?? 公司戰略：未來3~5年的公司總體戰略規劃及目標，戰略展開（職能戰略）及戰略目標展開； ?? 年度業務計劃/經營計劃制訂及統計：按照公司總體戰略目標制訂本年度公司級業務計劃并落實到各部門，建立公司各部門的KPI指標，按規定周期收集和統計目標達成結果并進行趨勢分析，提出改進措施。需提交連續12個月的統計結果。業務計劃包括每個顧客及供應商的業績監控、質量成本、質量目標、經營性指標、管理性指標、過程指標等。 ?? 管理評審：管理評審計劃→各部門匯報資料匯總→管理評審會議簽到→管理評審報告→持續改進計劃→實施結果； ?? 內部審核： ?? 體系審核：內部審核實施計劃→審核實施記錄→體系審核報告→不符合項報告（含原因分析、糾正措施及驗證）→不符合項分布表→首/末次會議簽到表； ?? 過程審核：過程審核年度計劃→過程審核實施計劃→審核實施記錄→過程審核報告→不符合項報告（含原因分析、糾正措施及驗證）→不符合匯總表→首/末次會議簽到表； ?? 產品審核：產品審核年度計劃→產品審核實施計劃→實施記錄（含：全尺寸報告、各項功能和性能實驗報告、材料報告）→產品審核報告； 二、質量 ???新的原料或新零件→樣品報告（公司的檢驗和試驗記錄、生產試用報告等；供方提供的材料報告、功能性能報告、可靠性試驗報告及第三方的檢測報告等）； ???常規采購的產品→報檢單→進貨檢驗記錄； ???生產過程：工藝參數監控記錄（如質量不負責則由生產負責）、產品檢驗報告書、過程質量記錄（自檢、首件檢驗、巡檢、轉序檢、入庫檢、現場控制圖、定期Cpk分析報告等）、成品檢驗記錄（檢驗記錄單、報告書）、標識（現場要有即可）、顧客來料檢驗記錄； ???退貨或顧客抱怨：顧客投訴登記表→匯總→8D報告→變更通知單+文件更改通知單→相關文件修訂（控制計劃、FMEAs、工藝、檢驗規程等）；該項由營銷或質量提供！ ???不合格控制：不合格處置單、如報廢則有報廢通知單、返工有返工復檢記錄、不合格匯總表→定期的不合格優先減免計劃→糾正/措施驗證記錄→變更通知單+文件更改通知單→相關文件修訂（控制計劃、FMEAs、工藝、檢驗規程等） ； ???針對重大不合格項目→糾正/措施驗證記錄 →變更通知單+文件更改通知單→相關文件修訂（控制計劃、FMEAs、工藝、檢驗規程等）； ???監視和測量裝置：臺帳→校準/檢定計劃→校準/檢定記錄（內外部的校準記錄、偏離記錄、校準履歷等）→有效期標識→試用前的校正記錄→試驗設備的日常點檢記錄→定期巡查記錄；該類裝置包含產品的檢驗和試驗設備/儀器儀表/檢具和監控過程參數的儀器儀表（如壓力表、溫控器、電壓表、電流表、流量計、時間繼電器、熱電偶等）等；定期的MSA分析報告； ???實驗室：標準樣品一覽表→樣品標識卡；實驗室環境條件監控記錄（溫濕度、清潔度等）； ???試驗樣品登記→試驗原始記錄→試驗報告→試驗樣品處理記錄等； 三、技術 ???新品開發：每個系列產品至少一套完整的APQP資料；關注產品標準、顧客要求、開發目標、產品設計驗證/評審/確認記錄、階段性驗證報告等； ???所有汽車產品的PPAP資料，包括所有產品的圖紙、控制計劃、工藝文件。 ???過程驗證：工藝驗證記錄（PPK、MSA、特殊過程、產能、成本、合格率等）； ???設計更改：申請單→變更前的評審→變更方案→變更記錄→變更后的評審→技術通知單/文件更改通知單→ 相關文件修訂（圖紙、標準、FMEAs、控制計劃、工藝、檢驗規程等）→變更履歷； ???技術文件管理：技術文件清單→文件歸檔記錄→復印分發記錄→修訂記錄→修訂后的收發記錄→借閱記錄；外來文件清單（與產品有關的標準）→文件歸檔記錄→復印分發記錄→有效性檢查及更新記錄→借閱記錄； 四、生產 ?? 生產計劃：客戶訂單/銷售計劃→制造可行性評審→生產計劃→生產指令→生產統計；包括產能分析； ?? 生產工藝管理：作業準備驗證（首檢）、工藝參數監控記錄（如生產不負責則由質量負責）； ???生產過程控制：交接班記錄、生產動態記錄（設備維修、模具/工裝維修、刀具/工具更換、產品更換、物料更換等）； ?現場管理：區域劃分（生產區、合格區、來料放置區、待檢區、不合格區、發貨區、通道等）、產品標識、現場應保持干凈整潔； 五、設備 ???臺帳→設備卡→年度保養計劃→保養記錄→日常點檢記錄→維修記錄→績效指標統計；滿足預測性維修要求； ???新設備或大修后→設備驗收記錄→臺賬→設備履歷； ???設備標識：環境保護設備/防護設備/關鍵設備的標識及狀態標識（待修、停用、正常等）； ???特種設備管理：清單、備案資料、年檢記錄；包括：行車、叉車、電梯、壓力容器、鍋爐等。 六、工裝 ???新工裝：開發計劃→工裝設計（圖紙、標準等）→采購訂單/自制計劃→驗收單（檢驗記錄等）→臺帳 ???日常管理：臺帳→庫存定期檢查記錄→維修記錄→定期精度檢查報告報→工裝履歷→廢申請單（要填上處置記錄） ???工裝標識：編號、產權及狀態標識（待修、停用、正常、報廢等）； 注：工裝包括工具、專用檢具、模具、夾具、刀具（含磨具）、可重復利用的物流器具等。 七、營銷 ???市場營銷：市場分析、行業分析、市場定位、業務分析、競爭對手與行業標桿分析、SOWT分析、營銷策略、營銷規劃等； ???顧客檔案：顧客清單→顧客特殊要求清單； ???合同管理（包括銷售合同、技術協議、質量協議、圖紙等）→合同評審表； ???訂單管理：顧客訂單/銷售計劃→可制造性評審記錄→月度訂單登記→發貨計劃→訂單執行跟蹤記錄→發貨記錄→銷售業績統計； ???退貨或顧客抱怨：顧客投訴登記表→匯總→8D報告→變更通知單+文件更改通知單→相關文件修訂（控制計劃、FMEAs、工藝、檢驗規程等）；該項由質量或營銷提供！ ???滿意度管理：顧客滿意度調查表（發給客戶）/顧客滿意度測評（內部評價）→顧客滿意度評價報告； ???顧客文件管理：顧客文件清單（顧客標準、圖紙、合同、技術要求、相關協議等）→文件歸檔記錄→復印分發記錄→更新記錄→修訂后的收發記錄→借閱記錄； 八、采購 ???供應商資料：可接受供應商清單→供應商資料（基本信息調查表、營業執照復印件、機構代碼證復印件、體系復印件（含質量體系、環境體系等）、特殊行業生產許可證/運輸證復印件、危險廢棄物處理資質等）； ???供方評價：供方開發計劃→資料收集→潛在供方清單→評審計劃→供應商評審記錄→可接受供應商清單→采購協議（新品開發協議、技術協議、質量協議、保密協議、價格協議、框架采購合同、物流/包裝協議、環保協議等）； ???樣件管理：新品開發→技術文件簽訂和發放（各類協議、圖紙、標準等）→OTS送樣→樣件認可→PPAP提交（必要時）→PPAP認可（必要時）→量采； ???變更管理：更新后的文件→文件收發記錄（舊文件回收、新文件發放）→零件更改后送樣送樣→樣件認可→PPAP提交→PPAP認可→量采切換； ???采購管理：物料需求計劃→采購計劃→采購訂單→報檢單→進貨檢驗記錄→入庫單→供應商業績評定 ???不合格控制：不合格處置單→處置記錄（退貨、挑選等）→供方整改→整改驗證記錄→供應商業績考核 供方文件管理：與供方有關的文件清單（標準、圖紙、合同、技術要求、相關協議等）→文件歸檔記錄→復印分發記錄→更新記錄→修訂后的收發記錄 九、人力資源 ???培訓：培訓需求（各部門提出、公司戰略、崗位能力評價、新員工/轉崗員工、/環保、新品開發等）→年度培訓計劃→月度培訓計劃→培訓記錄（簽到表、培訓記錄）→培訓效果評價； ???人力資源管理：員工名冊、新員工試用考核、特殊工種人員情況表、技能矩陣及能力評價、員工績效考核、頂崗計劃、職業規劃及晉升通道、合理化建議/自主改善/QC小組活動。 ???滿意度評價：員工滿意度調查→員工滿意度調查匯總分析→改進措施及驗證； 十、文控/記錄 ???受控文件清單（管理性清單）→文件審批→分發記錄→修訂記錄→修訂后的收發記錄→借閱記錄； ???記錄清單（含規定的保存周期）→分發記錄→修訂記錄→修訂后的收發記錄； 說明： 1、管理性文件包括手冊、方針目標、年度經營計劃、程序文件、記錄格式、管理制度、操作規程、作業指導書等。 2、操作規程及作業指導書不包括產品制造工藝類文件。 十一、財務 ???成本核算：至少核算到各工序產品成本； ???收集生產過程的不合格品、廢品數據，核算內部損失。 ???收集顧客退貨數據和索賠數據，核算外部損失。 形成質量成本分析報告，關注質量損失的趨勢 十二、倉庫 ???賬卡物一致、標識清楚、堆放整齊、防護符合環境要求、出入庫記錄齊全、先進先出方式明確、庫房區域劃分/布局、出貨檢查記錄等 ???相關方財產管理（硬件：設備、工裝/模具/檢具/物流器具、材料或零件等）：相關方財產清單→到貨通知→檢查記錄→產權標識→入庫管理→出貨記錄/消耗記錄/周轉記錄→定期檢查/保養/維護或維修記錄→損壞記錄（如有）→報告相關方的記錄（如有）；具體管理按公司的設備、工裝/模具/檢具/物流器具、材料或零件等的管理要求進行；

質量管理體系的設計 質量管理體系策劃的重點是提出質量管理體系的方案，也就是對質量管理體系進行設計 。設計質量的高低，在很大程度上決定了質量管理體系的運行結果。 （1）質量管理體系設計的原則 ①必須滿足“要求”； ②必須符合組織的實際情況； ③要充分考慮利益、成本和風險； ④要盡量利用現有的資源； ⑤要使質量管理體系有廣泛的適應性； ⑥要使設計過程成為一個“增值”的過程。 （2）質量管理體系設計的基本程序 ①深刻理解質量管理體系策劃的輸入 參與設計的人員特別是外聘的專家顧問，應通過學習、討論、調查、研 究、訪談等多種 形式，、深刻地理解“要求”、“情況”、“利益、成本和風險”等策劃的輸入。 ②選擇標準 1994版GB/T 19000 — ISO 9000族標準提供了三種質量保證模式。2000版將三種模式進 行了合并，但依然有GB/T 19001 — 2000和GB/T 19004 — 2000供組織選用。此外，還有QS 9000等專業性質量管理體系標準可供組織選擇。 ③決定必要的刪減 GB/T19001 — 2008規定：“當本標準的任何要求因組織及其產品的特點而不適用時， 可以考慮對其進行刪減。”標準規定，刪減只限于“產品實現”這一“板塊”要素中的要素 或子要素。在設計時，對刪減一定要慎重。 ④提出質量方針草案 質量方針是由 管理者制定的。策劃人員可為 管理者提供質量方針草案，以供 其選擇或參考。質量方針要根據組織的總方針、“要求”和“情況”等來制定。在策劃中， 應由 管理者召開專門會議，對組織的發展戰略和現狀進行分析和反思，有針對性地提出 來。 ⑤提出質量目標草案 質量目標也是由 管理者制定的。策劃人員可根據質量方針草案提 供質量目標方案 ，以供 管理者選擇或參考。質量目標與質量方針保持一致。 ⑥確定質量職能 根據選擇的標準（經過允許的刪減）和組織的實際情況，確定質量職能，提出質量職能 的清單。 ⑧確定質量手冊的框架結構 質量手冊是規定組織質量管理體系的文件。質量管理體系策劃至少要確定質量手冊的框 架結構，也就是說，要確定其所包含的全部內容，包括質量管理體系的范圍（要素和子要素 ）。 ⑨確定所需的程序文件目錄 GB/T19001 — 2000雖然只規定了必須建立的六個程序文件，但絕大多數組織所必需的 程序文件遠不止于此。策劃時，應根據組織的實際情況，確定所需的程序文件。凡那些對產 品、過程、體系有重大影響的過程或質量管理活動，都應當建立程序文件。 ⑦進行質量職能分配 這是質量管理體系策劃中重要又困難的工作。質量職能分配不下去，下一步建立或 改進 質量管理體系的工作就無法開展。而要合理分配質量職能又相當困難，很可能涉及組織機構 和人員調配等多種問題。為使質量職能分配真正落到實處，必要時可以調整組織的組織機構 和相關人員。 ⑩編制質量管理體系策劃方案 內容包括： a.為什么要建立或改進質量管理體系（主要闡述“要求”和“情況”）； b.質量管理體系方案的概述（選擇什么標準以及策劃所遵循的原則）； c.質量方針和質量目標草案； d.質量職能分配（可以將分配結果作為附件列在方案之中）； e.質量手冊框架（如果已編制了質量手冊草案，可附在方案之后）； f.程序文件目錄； g.對質量管理體系方案的有關說明； 11對方案和計劃進行評審和修改 方案和計劃都應提交給質量管理體系策劃領導小組進行評審， 管理者要親自主持評審會 議。對評審中提出的意見和建議，合理的應當接納，以對方案和計劃進行修改；不合理的則 應做好解釋工作；爭執不下的，則由 管理者裁決認證。