曾審核過一家大企業的機修車間，有一項目標：設備完好率，很好。但審核時卻發現，該車間主任不知道前幾個月全廠各車間設備完好率是多少。當然也不能通過目標及其考核來發現問題改進工作了。這樣的質量目標又有何用？所以，我認為，審核員應關心質量目標統計結果以后報告給誰，即應有一個“目標報告系統”。除了公司領導層之外，該目標主責部門和數據分析部門都應得到目標統計結果，這才能通過質量目標及時發現問題改進工作。 建立質量目標並統計完成情況，不應該僅僅留給外審員看的。而是組織發現問題尋找改進機會的一項質量活動。通過對質量目標完成情況的數據分析，可持續改進QMS(標準8.5.1條)。對于某些企業不關心目標，經常達不到目標也無動于衷的情況，我認為審核員有責任提醒領導層，這不是標準5.4.1條的立意。認證 另外有一種極端的案例，個別企業為了不讓審核員提“麻煩”，目標定得很低，結果當然“超額”完成。對此，審核員也要提醒領導層，此做法非常不妥。同樣不滿足標準的持續改進要求。

ISO9000認證質量計劃與組織結構 深圳ISO9000認證質量計劃： a.對產品的保護性； b.對產品操作（手工、機械、自動化）的適應性； c.與 的有關，環保衛生法規和運輸、儲運部門有關規定的符合性； d.對裝卸、開啟操作和包裝處理的便利性； e. 對所需的事項（如品名、數量、質量、標簽和裝卸、儲運指示標志等）的表示性； f.經濟性等。 30.jpg 深圳ISO9000認證 質量計劃是有關部門和車間班組工作的質量行為標準。質量計劃一般應包括以下內容。 a.包裝產品質量趕超目標。根據市場需求和技術發展趨向，結合本企業現有水平，瞄準國內外同類包裝的先進水平，決定產品包裝所要達到的目標，包括以上所述的對產品的保護性、經濟性等方面。 b.質量升級計劃。根據所執行的技術標準（國際標準、 標準、行業標準、企業標準），規定升級目標和達到期限。 c.包裝產品質量指標。根據企業生產計劃編制，它是考核包裝產品質量的依據。 d.包裝產品質量改進措施計劃。根據質量升級計劃和質量指標計劃的要求，確定年度的質量改進措施計劃，規定改進措施項目完成時間和負責單位。其中屬于需要進行技術攻關的改進措施，應納入質量管理小組活動計劃。 ISO9000認證與組織結構，——與組織相關的主要概念 組織與組織結構 1. 組織是指職責、權限和相互關系得到安排的一組人員及設施（GB/T19000—ISO9000：2000）組織意味著一個正式的有意形成的職務結構或職位結構。 2. 組織結構是指人員的職責、權限和相互關系的安排（GB/T11000—ISO9000：2000）將組織工作作為一種過程形式時，必須考慮下列的因素： a. 組織結構必須反映目標和計劃，目標和計劃是組織活動的目的 b. 組織結構必須反映出組織管理可使用的權力的范圍 c. 組織結構必須反映它的環境，并隨著環境的變化而變化 d. 組織中人員是基本要素，組織結構中業務活動的劃分和權限的設置必須考慮人員的數量和習慣，這不是說組織的結構的設計要圍繞著人，但配備什么樣的人是一個重要的考慮因素。 ISO9000認證分工 分工是指為達到所需的目標，劃分任務和勞動的各種方式，對組織結構設計時的分工形式，對工作效率及效果會產生影響，資本主義經濟制度的始祖亞當·斯密通過對大頭針制造過程的分工形象化地加以了說明：大頭針的制造過程包括下列步驟：金屬線拉長拉直 切斷 削尖 壓制標準頭做頭 擺放 拋亮 包裝 ，如果由一個人來完成所有工序每天多生產20多支，而如果10個人進行分工完成上述工作每天可以生產48000支，即每人每天生產4800支。 2. 工作、職位與部門 1. 工作（job）是由組織為達到目標必須完成的若干任務組成。 2. 職位（posting）是一個人完成的任務和職責的集合。 3. 部門（Department）是指在一個組織中，一個管理人員有權執行所規定的活動的一個明確區分的范圍、部分或分支機構，如XX部 XX科 XX組 XX 分部等 ISO9000認證組織的管理層次，組織的管理層次和管理幅度 1. 層次與幅度的關系 管理幅度是指管理人員負責管理人員的數目，組織的管理層次與管理幅度是密切相關的，管理幅度越寬，層次就相應減少，反之管理幅度越窄，層次會越多，管理幅度與層次要根據企業的規模，企業產品的性質及特點、工作的性質等來決定，通常規模越大，層次可能會越多，一般中層管理的幅度建立是4—8人，而對簡單重復性工作的人員其管理幅度可以多達數十人至數百人。 2. 窄幅度層級組織與寬幅度偏平型組織的優缺點 深圳? ISO9000認證生產和服務的運行策劃與控制 產品和服務的要求，運行的策劃與控制為保證向顧客提供滿足要求的產品和服務，組織應事先對顧客的規定、合同或訂單要求、適用于產品和服務的法律法規要求等予以評審。同時應通過以下措施對所需的過程進行策劃、實施和控制；確定產品和服務的要求及所需的資源；建立過程、產品和服務的接收準則；控制策劃的變更和外程；識別評估重要環境因素和危險因素；識別潛在的緊急情況并策劃應急響應措施。 2、產品和服務的設計與開發 組織應建立、實施和保持設計和開發的策劃、輸入、過程控制、輸出以及更改的過程，確保后續的產品和服務的提供。在設計和開發的各個控制階段，主要考慮設計和開發活動的性質、產品和服務的具體類型、輸出滿足輸入的要求、提供產品和服務過程的需求，設計和開發流程見附圖。 2021623 深圳? ISO9000認證 3、生產和服務提供的控制 組織應在一切資源（包括人員、設備、基礎設施、運行環境、可獲得的成文信息等）受控條件下進行生產和服務的提供。在生產和服務提供的整個過程中應按照監視和測量要求識別輸出狀態，實現可追溯性。在確定所要求的產品和服務交付后的覆蓋范圍及程度時，組織應考慮法律法規的要求、與產品和服務相關的潛在不良后果、產品和服務的性質及使用壽命、顧客要求與反饋。應對生產和服務提供的更改，進行必要的評審和控制，確保持續符合要求。當驗證產品和服務的要求已符合接收準則并得到有關授權人員的批準時，方可向顧客交付產品和服務。 深圳? ISO9000認證生產和服務的運行策劃與控制 產品和服務的要求，運行的策劃與控制為保證向顧客提供滿足要求的產品和服務，組織應事先對顧客的規定、合同或訂單要求、適用于產品和服務的法律法規要求等予以評審。同時應通過以下措施對所需的過程進行策劃、實施和控制；確定產品和服務的要求及所需的資源；建立過程、產品和服務的接收準則；控制策劃的變更和外程；識別評估重要環境因素和危險因素；識別潛在的緊急情況并策劃應急響應措施。 2、產品和服務的設計與開發 組織應建立、實施和保持設計和開發的策劃、輸入、過程控制、輸出以及更改的過程，確保后續的產品和服務的提供。在設計和開發的各個控制階段，主要考慮設計和開發活動的性質、產品和服務的具體類型、輸出滿足輸入的要求、提供產品和服務過程的需求，設計和開發流程見附圖。 3、生產和服務提供的控制 組織應在一切資源（包括人員、設備、基礎設施、運行環境、可獲得的成文信息等）受控條件下進行生產和服務的提供。在生產和服務提供的整個過程中應按照監視和測量要求識別輸出狀態，實現可追溯性。 在確定所要求的產品和服務交付后的覆蓋范圍及程度時，組織應考慮法律法規的要求、與產品和服務相關的潛在不良后果、產品和服務的性質及使用壽命、顧客要求與反饋。應對生產和服務提供的更改，進行必要的評審和控制，確保持續符合要求。當驗證產品和服務的要求已符合接收準則并得到有關授權人員的批準時，方可向顧客交付產品和服務。

　ISO27001認證體系建設分為四個階段：實施風險評估、規劃體系建設方案、建立信息管理 體系、體系運行及改進。也符合信息管理循環PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保護企業信息系統的，確保信息的持續發展。 　　1、確立范圍 　　首先是確立項目范圍，從機構層次及系統層次兩個維度進行范圍的劃分。從機構層次上，可以考慮 內部機構：需要覆蓋公司的各個部門，其包括總部、事業部、制造本部、技術本部等;外部機構：則包括 公司信息系統相連的外部機構，包括供應商、中間業務合作伙伴、及其他合作伙伴等。 　　從系統層次上，可按照物理環境：即支撐信息系統的場所、所處的周邊環境以及場所內保障計算機 系統正常運行的設施。包括機房環境、門禁、監控等;網絡系統：構成信息系統網絡傳輸環境的線路介質 ，設備和軟件;服務器平臺系統：支撐所有信息系統的服務器、網絡設備、客戶機及其操作系統、數據庫 、中間件和Web系統等軟件平臺系統;應用系統：支撐業務、辦公和管理應用的應用系統;數據：整個信息 系統中傳輸以及存儲的數據;管理：包括策略、規章制度、人員組織、開發、項目管理 和系統管理人員在日常運維過程中的合規、審計等。 　　2、風險評估 　　企業信息是指保障企業業務系統不被非法訪問、利用和篡改，為企業員工提供、可信的服 務，保證信息系統的可用性、完整性和保密性。 　　本次進行的評估，主要包括兩方面的內容： 　　2.1、企業管理類的評估 　　通過企業的控制現狀調查、訪談、文檔研讀和ISO27001的 實踐比對，以及在行業的經驗上 進行“差距分析”，檢查企業在控制層面上存在的弱點，從而為措施的選擇提供依據。 　　評估內容包括ISO27001所涵蓋的與信息管理體系相關的11個方面，包括信息策略、組 織、資產分類與控制、人員、物理和環境、通信和操作管理、訪問控制、系統開發與維護、安 全事件管理、業務連續性管理、符合性。 　　2.2、企業技術類評估 　　基于資產等級的分類，通過對信息設備進行的掃描、設備的配置，檢查分析現有網絡 設備、服務器系統、終端、網絡架構的現狀和存在的弱點，為加固提供依據。 　　針對企業具有代表性的關鍵應用進行評估。關鍵應用的評估方式采用滲透測試的方法，在應用 評估中將對應用系統的威脅、弱點進行識別，分析其和應用系統的目標之間的差距，為后期改造提 供依據。 　　提到評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優點 ，同時結合企業自身的特點，建立風險評估模型： 　　在風險評估模型中，主要包含信息資產、弱點、威脅和風險四個要素。每個要素有各自的屬性，信 息資產的屬性是資產價值，弱點的屬性是弱點在現有控制措施的保護下，被威脅利用的可能性以及被威 脅利用后對資產帶來影響的嚴重程度，威脅的屬性是威脅發生的可能性及其危害的嚴重程度，風險的屬 性是風險級別的高低。風險評估采用定性的風險評估方法，通過分級別的方式進行賦值。 　　3、規劃體系建設方案 　　企業信息問題根源分布在技術、人員和管理等多個層面，須統一規劃并建立企業信息體系 ，并終落實到管理措施和技術措施，才能確保信息。 　　規劃體系建設方案是在風險評估的基礎上，對企業中存在的風險提出建議，增強系統的安 全性和抗攻擊性。 　　在未來1-2年內通過信息體系制的建立與實施，建立組織，技術上進行審計、內外網隔 離的改造、產品的部署，實現以流程為導向的轉型。在未來的 3-5 年內，通過完善的信息體系 和相應的物理環境改造和業務連續性項目的建設，將企業建設成為一個注重管理，為主，防治結合 的先進型企業。 　　4、企業信息體系建設 　　企業信息體系建立在信息模型與企業信息化的基礎上，建立信息管理體系核心可以更 好的發揮六方面的能力：即預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復 (Recover)和反擊(Counter-attack)，體系應該兼顧攘外和安內的功能。 　　體系的建設一是涉及管理制度建設完善;二是涉及到信息技術。首先，針對管理制 度涉及的主要內容包括企業信息系統的總體方針、技術策略和管理策略等。總體方針 涉及組織機構、管理制度、人員管理、運行維護等方面的制度。技術策略涉 及信息域的劃分、業務應用的等級、保護思路、說以及進一步的統一管理、系統分級、網絡互 聯、容災備份、集中監控等方面的要求。 　　其次，信息技術按其所在的信息系統層次可劃分為物理技術、網絡技術、系統技 術、應用技術，以及基礎設施平臺;同時按照技術所提供的功能又可劃分為保護類、檢 測跟蹤類和響應恢復類三大類技術。結合主流的技術以及未來信息系統發展的要求，規劃信息 技術包括：