齊ISO50001認(rèn)證信息交流? ISO50001認(rèn)證信息交流包括內(nèi)部溝通與外部溝通，企業(yè)應(yīng)根據(jù)不同的溝通對象采取不同的溝通方式，保障信息傳遞的順利、暢通。 一、信息交流的內(nèi)容 內(nèi)部交流的信息主要包括：各部門的職能； 管理者和管理層的節(jié)能決策；能源管理手冊、程序文件及作業(yè)指導(dǎo)書；適用的法律法規(guī)、政策標(biāo)準(zhǔn)及其他要求；能源方針、能源目標(biāo)指標(biāo)實現(xiàn)情況；能源基準(zhǔn)、能源績效參數(shù)；識別評價出的能源使用及主要能源使用；節(jié)能技術(shù)或管理經(jīng)驗；對影響能源績效的關(guān)鍵特性定期監(jiān)視、測量和分析的結(jié)果；能源管理實施方案的實施情況及效果；能源評審、內(nèi)部審核、管理評審及外部評價的結(jié)果；不符合及糾正措施；體系運行的信息，如生產(chǎn)運行調(diào)度信息、能源績效參數(shù)及時反饋信息。 外部交流的信息主要包括：企業(yè)的概況；企業(yè)能源管理手冊、能源方針、能源目標(biāo)指標(biāo)；法律法規(guī)、政策標(biāo)準(zhǔn)和其他要求的更新；節(jié)能主管部門及有關(guān)部門對能源利用的要求及發(fā)布的政策，如節(jié)能監(jiān)察機構(gòu)出具的節(jié)能監(jiān)察報告；外部機構(gòu)對于企業(yè)能源利用效率的反饋，如能源利用檢測報告、能源審計報告、熱工測試報告等；與產(chǎn)品、能源利用有關(guān)的信息；能源基準(zhǔn)、能源標(biāo)桿的信息；與企業(yè)能源績效有關(guān)的信息，包括發(fā)展趨勢；可供采用的改進(jìn)能源績效的信息；財務(wù)信息，如成本節(jié)約或能源項目投資；成熟先進(jìn)的管理方法和節(jié)能技術(shù)；其它需要與外部溝通的信息。 二、信息交流的方式 1.內(nèi)部交流的方式 如運行調(diào)度指揮系統(tǒng)、文件、會議紀(jì)要、公告欄、意見箱、網(wǎng)站、電子郵件、日常生產(chǎn)高度會議、內(nèi)部談話、ERP辦公系統(tǒng)等。 2.外部交流的方式 三、信息交流的原則 1.準(zhǔn)確原則 2.及時原則 3.優(yōu)先原則 四、建立信息交流機制 應(yīng)做好以下幾個方面的工作： 1.明確部門和職責(zé) 2.確定方式和內(nèi)容 3.制定制度和措施

《IATF16949-2016標(biāo)準(zhǔn)完整版》由會員分享，可在線閱讀，更多相關(guān)《IATF16949-2016標(biāo)準(zhǔn)完整版（47頁珍藏版）》請在人人文庫網(wǎng)上搜索。1、汽車質(zhì)量管理體系標(biāo)準(zhǔn)IATF16949汽車生產(chǎn)件及相關(guān)服務(wù)件組織的質(zhì)量管理體系要求國際汽車行動小組版2016年10月1日1/46目錄引言71范圍111.1范圍-汽車行業(yè)對ISO9001:2015的補充2規(guī)范性引用文件112.1規(guī)范性引用標(biāo)準(zhǔn)和參考性引用標(biāo)準(zhǔn)3術(shù)語和定義113.1汽車行業(yè)的術(shù)語和定義4組織環(huán)境144.1理解組織及其環(huán)境144.2理解相關(guān)方的需求和期望144.3確定質(zhì)量管理體系的范圍144.3.1確定質(zhì)量管理體系的范圍補充4.3.2顧客特殊要求4.4質(zhì)量管理體系及其過程154.4.1154.4.1.1產(chǎn)品和過程的符合性4.42、.1.2產(chǎn)品5領(lǐng)導(dǎo)作用165.1領(lǐng)導(dǎo)作用和承諾165.1.1總則165.1.1.1公司責(zé)任5.1.1.2過程有效性和效率5.1.1.3過程擁有者5.1.2以顧客為關(guān)注焦點165.2方針165.2.1制定質(zhì)量方針165.2.2溝通質(zhì)量方針165.3組織的崗位、職責(zé)和權(quán)限175.3.1組織的崗位、職責(zé)和權(quán)限補充5.3.2產(chǎn)品要求和糾正措施的出現(xiàn)和權(quán)限6策劃176.1應(yīng)對風(fēng)險和機遇的措施176.1.1和6.1.2176.1.2.1風(fēng)險分析6.1.2.2措施6.1.2.3應(yīng)急計劃6.2質(zhì)量目標(biāo)及其實現(xiàn)的策劃186.2.1和6.2.2193、6.2.2.1質(zhì)量目標(biāo)及實施的策劃補充6.3變更的策劃192/467支持197.1資源197.1.1總則197.1.2人員197.1.3基礎(chǔ)設(shè)施197.1.3.1工廠、設(shè)施及設(shè)備策劃7.1.4過程運行環(huán)境207.1.4.1過程操作的環(huán)境補充7.1.5監(jiān)視和測量資源207.1.5.1總則207.1.5.1.1測量系統(tǒng)分析7.1.5.2測量可追溯性207.1.5.2.1校準(zhǔn)/驗證記錄7.1.5.3實驗室要求7.1.5.3.1內(nèi)部實驗室7.1.5.3.2外部實驗室7.1.6組織的知識227.2能力227.2.1能力補充7.2.2能力在職培訓(xùn)7.24、.3內(nèi)部審核員能力7.2.4第二方審核員能力7.3意識237.3.1意識補充7.3.2員工激勵和授權(quán)7.4溝通237.5成文信息237.5.1總則237.5.1.1質(zhì)量管理體系文件7.5.2創(chuàng)建和更新247.5.3成文信息的控制247.5.3.1和7.5.3.27.5.3.2.1記錄保留7.5.3.2.2工程規(guī)范8運行248.1運行的策劃和控制248.1.1運行策劃和控制補充8.1.2保密8.2產(chǎn)品和服務(wù)的要求258.2.1顧客溝通258.2.1.1顧客溝通補充8.2.2產(chǎn)品和服務(wù)要求的確定268.2.2.1產(chǎn)品和服務(wù)要求的確定補充3/468.5、2.3產(chǎn)品和服務(wù)要求的評審268.2.3.1268.2.3.1.1產(chǎn)品和服務(wù)要求的評審補充8.2.3.1.2顧客指定的特殊特性8.2.3.1.3組織制造可行性8.2.3.2268.2.4產(chǎn)品和服務(wù)要求的更改268.3產(chǎn)品和服務(wù)的設(shè)計和開發(fā)268.3.1總則268.3.1.1產(chǎn)品和服務(wù)的設(shè)計和開發(fā)補充8.3.2設(shè)計和開發(fā)策劃278.3.2.1設(shè)計和開發(fā)策劃補充8.3.2.2產(chǎn)品設(shè)計技能8.3.2.3帶有嵌入式軟件的產(chǎn)品開發(fā)8.3.3設(shè)計和開發(fā)輸入278.3.3.1產(chǎn)品設(shè)計輸入8.3.3.2制造過程設(shè)計輸入8.3.3.3特殊特性8.3.4設(shè)計和開發(fā)控制288.6、3.4.1監(jiān)視8.3.4.2設(shè)計和開發(fā)確認(rèn)8.3.4.3原型樣件方案8.3.4.4產(chǎn)品批準(zhǔn)過程8.3.5設(shè)計和開發(fā)輸出288.3.5.1設(shè)計和開發(fā)輸出補充8.3.5.2制造過程設(shè)計輸出8.3.6設(shè)計和開發(fā)更改308.3.6.1設(shè)計和開發(fā)更改補充8.4外部提供的過程、產(chǎn)品和服務(wù)的控制318.4.1總則318.4.1.1總則補充8.4.1.2供應(yīng)商選擇過程8.4.1.3顧客指定的貨源（也稱“指向性購買”)8.4.2控制類型和程度318.4.2.1控制的類型和程度補充8.4.2.2法律法規(guī)要求8.4.2.3供應(yīng)商質(zhì)量管理體系開發(fā)8.4.2.3.1汽車產(chǎn)品相關(guān)軟件或帶有嵌7、入式軟件的汽車產(chǎn)品8.4.2.4供應(yīng)商監(jiān)視8.4.2.4.1第二方審核8.4.2.5供應(yīng)商開發(fā)8.4.3外部供應(yīng)商的信息338.4.3.1外部供應(yīng)商的信息補充4/468.5生產(chǎn)和服務(wù)提供348.5.1生產(chǎn)和服務(wù)提供的控制348.5.1.1控制計劃8.5.1.2標(biāo)準(zhǔn)化作業(yè)作業(yè)指導(dǎo)書和目視標(biāo)準(zhǔn)8.5.1.3作業(yè)準(zhǔn)備驗證8.5.1.4停工后的驗證8.5.1.5生產(chǎn)維護(hù)8.5.1.6生產(chǎn)工裝及制造、試驗、檢驗工裝和設(shè)備的管理8.5.1.7生產(chǎn)排程8.5.2標(biāo)識和可追溯性368.5.2.1標(biāo)識和可追溯性補充8.5.3顧客或外部供應(yīng)商的財產(chǎn)368.5.4防護(hù)368.5.8、4.1防護(hù)補充8.5.5交付后活動378.5.5.1服務(wù)信息的反饋8.5.5.2與顧客的服務(wù)協(xié)議8.5.6更改控制378.5.6.1更改控制補充8.5.6.1.1過程控制的臨時更改8.6產(chǎn)品和服務(wù)的放行388.6.1產(chǎn)品和服務(wù)的放行補充8.6.2全尺寸檢驗和功能試驗8.6.3外觀項目8.6.4外部提供的產(chǎn)品和服務(wù)符合要求的驗證和接受8.6.5法律法規(guī)的符合性8.6.6接收準(zhǔn)則8.7不合格輸出的控制388.7.1388.7.1.1顧客的讓步授權(quán)8.7.1.2不合格的控制顧客規(guī)定的過程8.7.1.3可疑產(chǎn)品的控制8.7.1.4返工產(chǎn)品的控制8.7.1.5返9、修產(chǎn)品的控制8.7.1.6顧客通知8.7.1.7不合格品的處置8.7.2409績效評價409.1監(jiān)視、測量、分析和評價409.1.1總則409.1.1.1制造過程的監(jiān)視和測量9.1.1.2統(tǒng)計工具的確定9.1.1.3統(tǒng)計概念的應(yīng)用5/469.1.2顧客滿意419.1.2.1顧客滿意補充9.1.3分析與評價419.1.3.1優(yōu)先級9.2內(nèi)部審核429.2.1和9.2.2429.2.2.1內(nèi)部審核方案9.2.2.2質(zhì)量管理體系審核9.2.2.3制造過程審核9.2.2.4產(chǎn)品審核9.3管理評審429.3.1總則429.3.1.1管理評審補充9.3.210、管理評審輸入439.3.2.1管理評審輸入補充9.3.3管理評審輸出439.3.3.1管理評審輸出補充10改進(jìn)4310.1總則4310.2不合格和糾正措施4410.2.1和10.2.24410.2.3問題解決10.2.4防錯10.2.5保修管理體系10.2.6顧客投訴和使用現(xiàn)場失效試驗分析10.3持續(xù)改進(jìn)4510.3.1持續(xù)改進(jìn)補充附錄A：控制計劃A.1控制計劃的階段A.2控制計劃的要素附錄B：參考書目汽車行業(yè)補充（略）特別說明：本標(biāo)準(zhǔn)正文中，方框內(nèi)的內(nèi)容為汽車行業(yè)QMS的特定要求。6/46引言0.1總則采用質(zhì)量管理體系是組織的一項戰(zhàn)略決策，11、能夠幫助其提高整體績效，為推動可持續(xù)發(fā)展奠定良好基礎(chǔ)。組織根據(jù)本標(biāo)準(zhǔn)實施質(zhì)量管理體系的潛在益處是：a)穩(wěn)定提供滿足顧客要求以及適用的法律法規(guī)要求的產(chǎn)品和服務(wù)的能力；b)促成增強顧客滿意的機會；c)應(yīng)對與組織環(huán)境和目標(biāo)相關(guān)的風(fēng)險和機遇；d)證實符合規(guī)定的質(zhì)量管理體系要求的能力。本標(biāo)準(zhǔn)可用于內(nèi)部和外部各方。實施本標(biāo)準(zhǔn)并非需要：統(tǒng)一不同質(zhì)量管理體系的架構(gòu)；形成與本標(biāo)準(zhǔn)條款結(jié)構(gòu)相一致的文件；在組織內(nèi)使用本標(biāo)準(zhǔn)的特定術(shù)語。本標(biāo)準(zhǔn)規(guī)定的質(zhì)量管理體系要求是對產(chǎn)品和服務(wù)要求的補充。本標(biāo)準(zhǔn)采用過程方法，該方法結(jié)合了“策劃實施檢查處置”（PDCA)循環(huán)和基于風(fēng)險的思維。過程方法使組織能夠策劃過程及其相互作12、用。PDCA循環(huán)使組織能夠確保其過程得到充分的資源和管理，確定改進(jìn)機會并采取行動?；陲L(fēng)險的思維使組織能夠確定可能導(dǎo)致其過程和質(zhì)量管理體系偏離策劃結(jié)果的各種因素，采取控制，限度地降低不利影響，并限度地利用出現(xiàn)的機遇（見附錄A.4)。在日益復(fù)雜的動態(tài)環(huán)境中持續(xù)滿足要求，并針對未來需求和期望采取適當(dāng)行動，這無疑是組織面臨的一項挑戰(zhàn)。為了實現(xiàn)這一目標(biāo)，組織可能會發(fā)現(xiàn)，除了糾正和持續(xù)改進(jìn)，還有必要采取各種形式的改進(jìn)，如突破性變革、創(chuàng)新和重組。在本標(biāo)準(zhǔn)中使用如下助動詞：“應(yīng)”表示要求；“宜”表示建議；“可”表示允許；“能”表示可能或能夠?！白ⅰ钡膬?nèi)容是理解和說明有關(guān)要求的指南。0.2質(zhì)13、量管理原則本標(biāo)準(zhǔn)是在GB/T19000所闡述的質(zhì)量管理原則基礎(chǔ)上制定的。每項原則的介紹均包含概述、該原則對組織的重要性的依據(jù)、應(yīng)用該原則的主要益處示例以及應(yīng)用該原則提高組織績效的典型措施示例。質(zhì)量管理原則是：以顧客為關(guān)注焦點；領(lǐng)導(dǎo)作用；全員積極參與；過程方法；改進(jìn)；循證決策；關(guān)系管理。7/460.3過程方法0.3.1總則本標(biāo)準(zhǔn)倡導(dǎo)在建立、實施質(zhì)量管理體系以及提高其有效性時采用過程方法，通過滿足顧客要求增強顧客滿意。采用過程方法所需考慮的具體要求見4.4。將相互關(guān)聯(lián)的過程作為一個體系加以理解和管理，有助于組織有效和地實現(xiàn)其預(yù)期結(jié)果。這種方法使組織能夠?qū)ζ潴w系的過程之間相互關(guān)聯(lián)和相14、互依賴的關(guān)系進(jìn)行有效控制，以提高組織整體績效。過程方法包括按照組織的質(zhì)量方針和戰(zhàn)略方向，對各過程及其相互作用進(jìn)行系統(tǒng)的規(guī)定和管理，從而實現(xiàn)預(yù)期結(jié)果?？赏ㄟ^采用PDCA循環(huán)（見0.3.2)以及始終基于風(fēng)險的思維（見0.3.3)對過程和整個體系進(jìn)行管理，旨在有效利用機遇并防止發(fā)生不良結(jié)果。在質(zhì)量管理體系中應(yīng)用過程方法能夠：a)理解并持續(xù)滿足要求；b)從增值的角度考慮過程；c)獲得有效的過程績效；d)在評價數(shù)據(jù)和信息的基礎(chǔ)上改進(jìn)過程。單一過程的各要素及其相互作用如圖1所示。每一過程均有特定的監(jiān)視和測量檢查點以用于控制，這些檢查點根據(jù)相關(guān)的風(fēng)險有所不同。輸入源前序過程例如內(nèi)部或外部15、供方、顧客或其他有關(guān)相關(guān)方的過程輸入物質(zhì)能量信息例如以材料、資源或要求的形式存在起點終點活動活動輸出物質(zhì)能量信息例如以產(chǎn)品、服務(wù)或決策的形式存在可能用于監(jiān)視和測量績效的可能控制和檢查點輸出接收方后續(xù)過程例如內(nèi)部或外部顧客或其他有關(guān)相關(guān)方的過程圖1單一過程要素示意圖8/460.3.2PDCA循環(huán)PDCA循環(huán)能夠應(yīng)用于所有過程以及整個質(zhì)量管理體系。圖2表明了本標(biāo)準(zhǔn)第4章至第10章是如何構(gòu)成PDCA循環(huán)的。質(zhì)量管理體系（4）組織及其環(huán)境（4）支持（7）運行（8）策劃實施顧客要求策劃（6）領(lǐng)導(dǎo)作用績效評價（5）（9）處置檢查有關(guān)相關(guān)方的需求和期望改進(jìn)（10）（4）注：括號中的數(shù)字表示本標(biāo)準(zhǔn)的相應(yīng)16、章節(jié)。圖2本標(biāo)準(zhǔn)的結(jié)構(gòu)在PDCA循環(huán)中的展示PDCA循環(huán)可以簡要描述如下：顧客滿意質(zhì)量管理體系的結(jié)果產(chǎn)品和服務(wù)策劃（Plan)：根據(jù)顧客的要求和組織的方針，建立體系的目標(biāo)及其過程，確定實現(xiàn)結(jié)果所需的資源，并識別和應(yīng)對風(fēng)險和機遇。實施（Do)：執(zhí)行所做的策劃；檢查（Check)：根據(jù)方針、目標(biāo)、要求和所策劃的活動，對過程以及形成的產(chǎn)品和服務(wù)進(jìn)行監(jiān)視和測量（適用時)，并報告結(jié)果；處置（Act)：必要時，采取措施提高績效。0.3.3基于風(fēng)險的思維基于風(fēng)險的思維（見A.4)是實現(xiàn)質(zhì)量管理體系有效性的基礎(chǔ)。本標(biāo)準(zhǔn)以前的版本已經(jīng)隱含基于風(fēng)險思維的概念，例如：采取措施潛在的不合格，對發(fā)生的不合17、格進(jìn)行分析，并采取與不合格的影響相適應(yīng)的措施，防止其再發(fā)生。為了滿足本標(biāo)準(zhǔn)的要求，組織需策劃和實施應(yīng)對風(fēng)險和機遇的措施。應(yīng)對風(fēng)險和機遇，為提高質(zhì)量管理體系有效性、獲得改進(jìn)結(jié)果以及防止不利影響奠定基礎(chǔ)。某些有利于實現(xiàn)預(yù)期結(jié)果的情況可能導(dǎo)致機遇的出現(xiàn)，例如：有利于組織吸引顧客、開發(fā)新產(chǎn)品和服務(wù)、9/46減少浪費或提高生產(chǎn)率的一系列情形。利用機遇所采取的措施也可能包括考慮相關(guān)風(fēng)險。風(fēng)險是不確定性的影響，不確定性可能有正面的影響，也可能有負(fù)面的影響。風(fēng)險的正面影響可能提供機遇，但并非所有的正面影響均可提供機遇。0.4與其他管理體系標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)采用ISO制定的管理體系標(biāo)準(zhǔn)框架，以提高與其他管理18、體系標(biāo)準(zhǔn)的協(xié)調(diào)一致性（見A.1)。本標(biāo)準(zhǔn)使組織能夠使用過程方法，并結(jié)合PDCA循環(huán)和基于風(fēng)險的思維，將其質(zhì)量管理體系與其他管理體系標(biāo)準(zhǔn)要求進(jìn)行協(xié)調(diào)或一體化。本標(biāo)準(zhǔn)與GB/T19000和GB/T19004存在如下關(guān)系：GB/T19000質(zhì)量管理體系基礎(chǔ)和術(shù)語為正確理解和實施本標(biāo)準(zhǔn)提供必要基礎(chǔ)；GB/T19004追求組織的持續(xù)成功質(zhì)量管理方法為選擇超出本標(biāo)準(zhǔn)要求的組織提供指南。附錄B給出了SAC/TC151制定的其他質(zhì)量管理和質(zhì)量管理體系標(biāo)準(zhǔn)（等同采用ISO/TC176質(zhì)量管理和質(zhì)量保證技術(shù)委員會制定的國際標(biāo)準(zhǔn))的詳細(xì)信息。本標(biāo)準(zhǔn)不包括針對環(huán)境管理、職業(yè)健19、康和管理或財務(wù)管理等其他管理體系的特定要求。在本標(biāo)準(zhǔn)的基礎(chǔ)上，已經(jīng)制定了若干行業(yè)特定要求的質(zhì)量管理體系標(biāo)準(zhǔn)。其中的某些標(biāo)準(zhǔn)規(guī)定了質(zhì)量管理體系的附加要求，而另一些標(biāo)準(zhǔn)則僅限于提供在特定行業(yè)應(yīng)用本標(biāo)準(zhǔn)的指南。本標(biāo)準(zhǔn)的章條內(nèi)容與之前版本（GB/T8/ISO9001:2008)章條內(nèi)容之間的對應(yīng)關(guān)系見ISO/TC176/SC2（國際標(biāo)準(zhǔn)化組織/質(zhì)量管理和質(zhì)量保證技術(shù)委員會/質(zhì)量體系分委員會)的公開網(wǎng)站：www.iso.org/tc176/sc02/public。10/46質(zhì)量管理體系要求1.范圍本標(biāo)準(zhǔn)為下列組織規(guī)定了質(zhì)量管理體系要求：a)需要證實其具有穩(wěn)定提供滿足顧20、客要求及適用法律法規(guī)要求的產(chǎn)品和服務(wù)的能力；b)通過體系的有效應(yīng)用，包括體系改進(jìn)的過程，以及保證符合顧客要求和適用的法律法規(guī)要求，旨在增強顧客滿意。本標(biāo)準(zhǔn)規(guī)定的所有要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品和服務(wù)的組織。注1：本標(biāo)準(zhǔn)中的術(shù)語“產(chǎn)品”或“服務(wù)”僅適用于預(yù)期提供給顧客或顧客所要求的產(chǎn)品和服務(wù)。注2：法律法規(guī)要求可稱作法定要求。1.1范圍-汽車行業(yè)對ISO9001:2015的補充本汽車QMS標(biāo)準(zhǔn)規(guī)定了用于汽車相關(guān)產(chǎn)品（包括裝有嵌入式軟件的產(chǎn)品)的設(shè)計和開發(fā)、生產(chǎn)，以及（相關(guān)時)裝配、安裝和服務(wù)的質(zhì)量管理體系要求。本汽車QMS標(biāo)準(zhǔn)適用于制造顧客指定生產(chǎn)件21、、服務(wù)件和/或配件的組織的現(xiàn)場。應(yīng)當(dāng)在整個汽車供應(yīng)鏈中實施本汽車QMS標(biāo)準(zhǔn)。2.規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其版本（包括所有的修改單)適用于本文件。GB/T6質(zhì)量管理體系基礎(chǔ)和術(shù)語(ISO9000:2015，IDT)2.1規(guī)范性引用標(biāo)準(zhǔn)和參考性引用標(biāo)準(zhǔn)附錄A：（控制計劃)為本汽車QMS標(biāo)準(zhǔn)的規(guī)范性部分附錄B：（參考書目汽車行業(yè)補充)為參考性部分，提供了有助于理解或使用本汽車QMS標(biāo)準(zhǔn)的附加信息。3.術(shù)語和定義GB/T6界定的術(shù)語和22、定義適用于本文件。3.1汽車行業(yè)的術(shù)語和定義配件在交付給終顧客之前（或之后)，與車輛或動力總成以機械或電子方式相連的顧客指定的附加部件(如：定制地墊、車廂襯、輪罩、音響系統(tǒng)加強件、天窗、尾翼、增壓器等等)。產(chǎn)品質(zhì)量先期策劃（APQP)對開發(fā)某一滿足顧客要求的產(chǎn)品或服務(wù)提供支持的產(chǎn)品質(zhì)量策劃過程；APQP對開發(fā)過程具有指導(dǎo)意義，并且是組織與其顧客之間共享結(jié)果的標(biāo)準(zhǔn)方式；APQP涵蓋的項目包括設(shè)計穩(wěn)健性，設(shè)計試驗和規(guī)范符合性，生產(chǎn)過程設(shè)計，質(zhì)量檢驗標(biāo)準(zhǔn)，過程能力，生產(chǎn)能力，產(chǎn)品包裝，產(chǎn)品試驗和操作員培訓(xùn)計劃。售后市場零件并非由OEM為服務(wù)件應(yīng)用而采購或放行的替換零件，可能按照或未按照原23、始設(shè)備規(guī)范進(jìn)行生產(chǎn)。授權(quán)對某（些)人的成文許可，規(guī)定了其在組織內(nèi)部授予或拒絕權(quán)限或制裁有關(guān)的權(quán)利和責(zé)任。挑戰(zhàn)（原版)件具有已知規(guī)范、經(jīng)校準(zhǔn)并且可追溯到標(biāo)準(zhǔn)的零件，其預(yù)期結(jié)果（通過或不通過)用于確認(rèn)防錯裝置或檢具（如通止規(guī))的功能性。控制計劃11/46對控制產(chǎn)品制造所要求的系統(tǒng)及過程的成文描述（見附錄A)。顧客要求顧客規(guī)定的一切要求（如：技術(shù)、商業(yè)、產(chǎn)品及制造過程相關(guān)要求；一般條款與條件；顧客特殊要求等等)。顧客特殊要求(CSR)對本汽車QMS標(biāo)準(zhǔn)特定條款的解釋或與該條款有關(guān)的補充要求。裝配的設(shè)計(DFA)出于便于裝配的考慮設(shè)計產(chǎn)品的過程。（例如，若產(chǎn)品含有較少零件，產(chǎn)品的裝配時間則較短，24、從而減少裝配成本。)制造的設(shè)計(DFM)產(chǎn)品設(shè)計和過程策劃的整合，用于設(shè)計出可簡單經(jīng)濟(jì)地制造的產(chǎn)品。制造和裝配的設(shè)計(DFMA)兩種方法的結(jié)合：制造的設(shè)計（DFM)-為更易生產(chǎn)，更高產(chǎn)量及改進(jìn)的質(zhì)量的優(yōu)化設(shè)計的過程，裝配的設(shè)計（DFA)為減少出錯風(fēng)險、降低成本并更易裝配的設(shè)計優(yōu)化。六西格瑪設(shè)計(DFSS)系統(tǒng)化的方法、工具和技術(shù)，旨在穩(wěn)健設(shè)計滿足顧客期望并且能夠在六西格瑪質(zhì)量水平生產(chǎn)的產(chǎn)品或過程。具有設(shè)計責(zé)任的組織有權(quán)制定一個新的或更改現(xiàn)有的產(chǎn)品規(guī)范的組織。注：該職責(zé)包括在顧客指定的應(yīng)用范圍內(nèi)，試驗并驗證設(shè)計性能。防錯為防止制造不合格產(chǎn)品而進(jìn)行的產(chǎn)品和制造過程的設(shè)計及開發(fā)。升級過程用于在組織內(nèi)25、部強調(diào)或觸發(fā)特定問題的過程，以便適當(dāng)人員可對這些情況作出響應(yīng)并監(jiān)控其解決。故障樹分析法(FTA)分析系統(tǒng)非理想狀態(tài)的演繹故障分析法。通過創(chuàng)建整個系統(tǒng)的邏輯框圖，故障樹分析法顯示出各故障、子系統(tǒng)及冗余設(shè)計要素之間的關(guān)系。實驗室用于檢驗、試驗或校準(zhǔn)的設(shè)施，可能包括但不限于化學(xué)、冶金、尺寸、物理、電性能或可靠性試驗。試驗室范圍包含下列內(nèi)容的受控文件：*試驗室有資格進(jìn)行的特定試驗、評價或校準(zhǔn)；*用來進(jìn)行上述活動的設(shè)備的清單；以及*用來進(jìn)行上述活動的方法和標(biāo)準(zhǔn)的清單。制造制作或加工的過程*生產(chǎn)原材料；*生產(chǎn)件或服務(wù)件；*裝配；或*熱處理、焊接、涂漆、電鍍或其他表面處理服務(wù)。制造可行性對擬建項目的分析和評26、價，以確定該項目是否在技術(shù)上是可行的，能夠制造出符合顧客要求的產(chǎn)品。這包括12/46但不限于以下方面（如適用)：在預(yù)計成本范圍內(nèi)；是否必要的資源、設(shè)施、工裝、產(chǎn)能、軟件及具有所需技能的人員，包括支持功能，是或者計劃是可用的。制造服務(wù)試驗、制造、分銷部件和組件并為其提供維修服務(wù)的公司。多方論證方法從可能會影響一個團(tuán)隊如何管理過程的所有相關(guān)方獲取輸入信息的方法，團(tuán)隊成員包括來自組織的人員,也可能包括顧客代表和供應(yīng)商代表；團(tuán)隊成員可能來自組織內(nèi)部或外部；若情況許可，可采用現(xiàn)有團(tuán)隊或特設(shè)團(tuán)隊；對團(tuán)隊的輸入可能同時包含組織輸入和顧客輸入。未發(fā)現(xiàn)故障（NTF)表示針對服務(wù)期間被替換的零件，經(jīng)車輛或零件制造27、商分析，滿足“合格品”的全部要求（亦稱為“未發(fā)現(xiàn)錯誤或“故障未發(fā)現(xiàn)”)。外程由外部組織履行的一部分組織功能（或過程)。周期性檢修用于防止發(fā)生重大意外故障的維護(hù)方法，此方法根據(jù)故障或中斷歷史，主動停止使用某一設(shè)備或設(shè)備子系統(tǒng)，然后對其進(jìn)行拆卸、修理、更換零件、重新裝配并恢復(fù)使用。預(yù)測性維護(hù)通過對設(shè)備狀況實施周期性或持續(xù)監(jiān)視來評價在役設(shè)備狀況的一種方法或一套技術(shù)，以便預(yù)測應(yīng)當(dāng)進(jìn)行維護(hù)的具體時間。超額運費合同交付之外發(fā)生的超出成本或費用。注：它可能是由于方法、數(shù)量、未按計劃或延遲交付等原因引起的。性維護(hù)為了設(shè)備失效和非計劃性生產(chǎn)中斷的原因而策劃的定期活動（基于時間的周期性檢驗和檢修),它28、是制造過程設(shè)計的一項輸出。產(chǎn)品適用于產(chǎn)品實現(xiàn)過程產(chǎn)生的任何預(yù)期輸出。產(chǎn)品與產(chǎn)品設(shè)計和制造有關(guān)的標(biāo)準(zhǔn)，確保產(chǎn)品不會對顧客造成傷害或危害。生產(chǎn)停工制造過程空閑的情況，時間跨度可從幾個小時到幾個月不等。反應(yīng)計劃檢測到異?；虿缓细袷录r，控制計劃中規(guī)定的行動或一系列步驟。外部場所支持現(xiàn)場并且為非生產(chǎn)過程發(fā)生的場所。服務(wù)件按照OEM規(guī)范制造的，由OEM為服務(wù)件應(yīng)用而采購或放行的替換件，包括再制造件?，F(xiàn)場發(fā)生增值制造過程的場所。13/46特殊特性可能影響性或產(chǎn)品法規(guī)符合性、可裝配性、功能、性能、要求或產(chǎn)品的后續(xù)處理的產(chǎn)品特性或制造過程參數(shù)。特殊狀態(tài)一種顧客識別分類的通知，分配給由于重大質(zhì)量29、或交付問題，未能滿足一項或多項顧客要求的組織。支持功能對同一組織的一個（或多個)制造現(xiàn)場提供支持的（在現(xiàn)場或外部場所進(jìn)行的)非生產(chǎn)活動。生產(chǎn)維護(hù)一個通過為組織增值的機器、設(shè)備、過程和員工，維護(hù)并改善生產(chǎn)及質(zhì)量體系完整性的系統(tǒng)。權(quán)衡曲線用于理解產(chǎn)品各設(shè)計特性的關(guān)系并使其相互溝通的一種工具。產(chǎn)品一個特性的性能映像于Y軸，另一特性的性能映像于x軸，然后可繪制出一條曲線，顯示產(chǎn)品相對于這兩個特性的性能。權(quán)衡過程繪制并使用產(chǎn)品及其性能特性的權(quán)衡曲線的一種方法，這些特性確立了設(shè)計替代方案之間的顧客、技術(shù)及經(jīng)濟(jì)關(guān)系。4.組織環(huán)境4.1理解組織及其環(huán)境組織應(yīng)確定與其宗旨和戰(zhàn)略方向相關(guān)并影響其實現(xiàn)30、質(zhì)量管理體系預(yù)期結(jié)果的能力的各種外部和內(nèi)部因素。組織應(yīng)對這些外部和內(nèi)部因素的相關(guān)信息進(jìn)行監(jiān)視和評審。注1：這些因素可能包括需要考慮的正面和負(fù)面要素或條件。注2：考慮來自于國際、國內(nèi)、地區(qū)或當(dāng)?shù)氐母鞣N法律法規(guī)、技術(shù)、競爭、市場、文化、社會和經(jīng)濟(jì)環(huán)境的因素，有助于理解外部環(huán)境。注3：考慮與組織的價值觀、文化、知識和績效等有關(guān)的因素，有助于理解內(nèi)部環(huán)境。4.2理解相關(guān)方的需求和期望由于相關(guān)方對組織穩(wěn)定提供符合顧客要求及適用法律法規(guī)要求的產(chǎn)品和服務(wù)的能力具有影響或潛在影響，因此，組織應(yīng)確定：a)與質(zhì)量管理體系有關(guān)的相關(guān)方；b)與質(zhì)量管理體系有關(guān)的相關(guān)方的要求。組織應(yīng)監(jiān)視和評審這些相關(guān)方的信息31、及其相關(guān)要求。4.3確定質(zhì)量管理體系的范圍組織應(yīng)確定質(zhì)量管理體系的邊界和適用性，以確定其范圍。在確定范圍時，組織應(yīng)考慮：a)4.1中提及的各種外部和內(nèi)部因素；b)4.2中提及的相關(guān)方的要求；c)組織的產(chǎn)品和服務(wù)。如果本標(biāo)準(zhǔn)的全部要求適用于組織確定的質(zhì)量管理體系范圍，組織應(yīng)實施本標(biāo)準(zhǔn)的全部要求。組織的質(zhì)量管理體系范圍應(yīng)作為成文信息，可獲得并得到保持。該范圍應(yīng)描述所覆蓋的產(chǎn)品和服務(wù)類型，如果組織確定本標(biāo)準(zhǔn)的某些要求不適用于其質(zhì)量管理體系范圍，應(yīng)說明理由。只有當(dāng)所確定的不適用的要求不影響組織確保其產(chǎn)品和服務(wù)合格的能力或責(zé)任，對增強顧客滿意也不會產(chǎn)14/46生影響時，方可聲稱符合本標(biāo)準(zhǔn)的要求。4.332、.1確定質(zhì)量管理體系的范圍-補充支持功能，無論其在現(xiàn)場或外部場所（如設(shè)計中心，公司總部和配送中心)，應(yīng)包含在質(zhì)量管理體系（QMS)范圍內(nèi)。本汽車標(biāo)準(zhǔn)允許的刪減是ISO9001第8.3條款中的產(chǎn)品設(shè)計和開發(fā)要求。刪除應(yīng)以文件的信息的形式進(jìn)行證明和保持。4.3.2顧客特殊要求應(yīng)對顧客特殊要求進(jìn)行評價，并將其包含在組織的質(zhì)量管理體系范圍內(nèi)。4.4質(zhì)量管理體系及其過程4.4.1組織應(yīng)按照本標(biāo)準(zhǔn)的要求，建立、實施、保持和持續(xù)改進(jìn)質(zhì)量管理體系，包括所需過程及其相互作用。組織應(yīng)確定質(zhì)量管理體系所需的過程及其在整個組織中的應(yīng)用，且應(yīng)：a)確定這些過程所需的輸入和期望的輸出；b)確定這些過程的順序和相33、互作用；c)確定和應(yīng)用所需的準(zhǔn)則和方法（包括監(jiān)視、測量和相關(guān)績效指標(biāo))，以確保這些過程的有效運行和控制；d)確定這些過程所需的資源并確保其可獲得；e)分配這些過程的職責(zé)和權(quán)限；f)按照6.1的要求應(yīng)對風(fēng)險和機遇；g)評價這些過程，實施所需的變更，以確保實現(xiàn)這些過程的預(yù)期結(jié)果；h)改進(jìn)過程和質(zhì)量管理體系。4.4.1.1產(chǎn)品和過程的符合性組織應(yīng)確保所有的產(chǎn)品和過程，包括服務(wù)件及其外包的產(chǎn)品和過程，符合所有適用的顧客和法律法規(guī)要求（見第8.4.2.2)。4.4.1.2產(chǎn)品組織應(yīng)為產(chǎn)品相關(guān)的產(chǎn)品和制造過程的管理形成文件化的過程，包括但不限于：a)產(chǎn)品法律法規(guī)要求的識別；b)通知顧客a)項中34、的要求；c)設(shè)計FMEA的特殊審批；d)識別產(chǎn)品特性；e)制造過程中相關(guān)產(chǎn)品特性的識別和控制；f)特別批準(zhǔn)的控制計劃和過程FMEA；g)反應(yīng)計劃（見9.1.1.1)；h)明確職責(zé)，定義升級過程和信息流，包括管理層和顧客通知；i)組織或顧客為與產(chǎn)品有關(guān)的產(chǎn)品和制造過程中涉及的人員確定的培訓(xùn)；j)產(chǎn)品或過程的更改在實施前應(yīng)獲得批準(zhǔn)，包括對產(chǎn)品或過程的更改帶給產(chǎn)品的潛在影響進(jìn)行評估（見ISO9001，8.3.6)；k)整個供應(yīng)鏈中關(guān)于產(chǎn)品的要求轉(zhuǎn)移，包括顧客指定的貨源（見8.4.3.1)；l)整個供應(yīng)鏈中按生產(chǎn)批次（至少)的產(chǎn)品可追溯性（見8.5.2.1)；m)為新產(chǎn)品導(dǎo)入35、的經(jīng)驗教訓(xùn)。注：特殊批準(zhǔn)是指負(fù)責(zé)批準(zhǔn)包含相關(guān)內(nèi)容文件的職能機構(gòu)（通常為顧客)所作的額外批準(zhǔn)。15/465.領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾5.1.1總則管理者應(yīng)通過以下方面，證實其對質(zhì)量管理體系的領(lǐng)導(dǎo)作用和承諾：a)對質(zhì)量管理體系的有效性負(fù)責(zé)；b)確保制定質(zhì)量管理體系的質(zhì)量方針和質(zhì)量目標(biāo)，并與組織環(huán)境相適應(yīng)，與戰(zhàn)略方向相一致；c)確保質(zhì)量管理體系要求融入組織的業(yè)務(wù)過程；d)促進(jìn)使用過程方法和基于風(fēng)險的思維；e)確保質(zhì)量管理體系所需的資源是可獲得的；f)溝通有效的質(zhì)量管理和符合質(zhì)量管理體系要求的重要性；g)確保質(zhì)量管理體系實現(xiàn)其預(yù)期結(jié)果；h)促使人員積極參與，指導(dǎo)和支持他們?yōu)橘|(zhì)量管理體系36、的有效性作出貢獻(xiàn)；i)推動改進(jìn)；j)支持其他相關(guān)管理者在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用。注：本標(biāo)準(zhǔn)使用的“業(yè)務(wù)”一詞可廣義地理解為涉及組織存在目的的核心活動，無論是公有、私有、營利或非營利組織。5.1.1.1公司責(zé)任組織應(yīng)明確并實施公司責(zé)任方針，至少應(yīng)包括反賄賂方針、員工行為準(zhǔn)則以及道德準(zhǔn)則升級政策（“舉報政策”)。5.1.1.2過程有效性和效率管理者應(yīng)評審產(chǎn)品實現(xiàn)過程和支持過程，以評價并改進(jìn)其有效性和效率。過程評審活動及的結(jié)果應(yīng)作為管理評審的輸入（見9.3.2.1)5.1.1.3過程擁有者管理者應(yīng)確定過程擁有者，由其負(fù)責(zé)組織的各過程和相關(guān)輸出的結(jié)果。過程擁有者應(yīng)了解他們的角色，并且具備勝37、任其角色的能力（見ISO9001,7.2)。5.1.2以顧客為關(guān)注焦點管理者應(yīng)通過確保以下方面，證實其以顧客為關(guān)注焦點的領(lǐng)導(dǎo)作用和承諾：a)確定、理解并持續(xù)地滿足顧客要求以及適用的法律法規(guī)要求；b)確定和應(yīng)對風(fēng)險和機遇，這些風(fēng)險和機遇可能影響產(chǎn)品和服務(wù)合格以及增強顧客滿意的能力；c)始終致力于增強顧客滿意。5.2方針5.2.1制定質(zhì)量方針管理者應(yīng)制定、實施和保持質(zhì)量方針，質(zhì)量方針應(yīng)：a)適應(yīng)組織的宗旨和環(huán)境并支持其戰(zhàn)略方向；b)為建立質(zhì)量目標(biāo)提供框架；c)包括滿足適用要求的承諾；d)包括持續(xù)改進(jìn)質(zhì)量管理體系的承諾。5.2.2溝通質(zhì)量方針質(zhì)量方針應(yīng)：16/46a)可獲取并保持成文信38、息；b)在組織內(nèi)得到溝通、理解和應(yīng)用；c)適宜時，可為有關(guān)相關(guān)方所獲取。5.3組織的崗位、職責(zé)和權(quán)限管理者應(yīng)確保組織相關(guān)崗位的職責(zé)、權(quán)限得到分配、溝通和理解。管理者應(yīng)分配職責(zé)和權(quán)限，以：a)確保質(zhì)量管理體系符合本標(biāo)準(zhǔn)的要求；b)確保各過程獲得其預(yù)期輸出；c)報告質(zhì)量管理體系的績效以及改進(jìn)機會（見10.1)，特別是向管理者報告；d)確保在整個組織推動以顧客為關(guān)注焦點；e)確保在策劃和實施質(zhì)量管理體系變更時保持其完整性。5.3.1組織的崗位、職責(zé)和權(quán)限補充管理者應(yīng)指定人員，賦予其職責(zé)和權(quán)限，以確保顧客的要求得到滿足。這些應(yīng)形成文件。這包但不限于：特殊特性的選擇、設(shè)置質(zhì)量目標(biāo)和39、相關(guān)的培訓(xùn)、糾正和措施，產(chǎn)品設(shè)計和開發(fā)，產(chǎn)能分析，物流信息，顧客計分卡及顧客對接。5.3.2產(chǎn)品要求和糾正措施的提出和權(quán)限管理者應(yīng)確保：a)負(fù)責(zé)產(chǎn)品符合性要求的人員有權(quán)停止裝運并停止生產(chǎn)，以糾正質(zhì)量問題；注：由于一些行業(yè)中的過程設(shè)計，并非總是能立即停止生產(chǎn)。在這種情況下，必須對受影響批次進(jìn)行控制，以防將其發(fā)運給顧客。b)立即把不符合要求的產(chǎn)品或過程通報給負(fù)有糾正措施職責(zé)和權(quán)限的人員，以確保避免將不合格產(chǎn)品發(fā)運給顧客。并確保所有潛在不合格產(chǎn)品得到識別與控制；c)所有班次的生產(chǎn)作業(yè)都安排有負(fù)責(zé)確保產(chǎn)品要求符合性的負(fù)責(zé)人或代理職責(zé)人員。6.策劃6.1應(yīng)對風(fēng)險和機遇的措施6.1.1在策劃質(zhì)40、量管理體系時，組織應(yīng)考慮到4.1所提及的因素和4.2所提及的要求，并確定需要應(yīng)對的風(fēng)險和機遇，以：a)確保質(zhì)量管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果；b)增強有利影響；c)或減少不利影響；d)實現(xiàn)改進(jìn)。6.1.2組織應(yīng)策劃：a)應(yīng)對這些風(fēng)險和機遇的措施；b)如：1)在質(zhì)量管理體系過程中整合并實施這些措施（見4.4)；2)評價這些措施的有效性。應(yīng)對措施應(yīng)與風(fēng)險和機遇對產(chǎn)品和服務(wù)符合性的潛在影響相適應(yīng)。注1：應(yīng)對風(fēng)險可選擇規(guī)避風(fēng)險，為尋求機遇承擔(dān)風(fēng)險，風(fēng)險源，改變風(fēng)險的可能性或后果，分擔(dān)風(fēng)險，或通過信息充分的決策而保留風(fēng)險。17/46注2：機遇可能導(dǎo)致采用新實踐、推出新產(chǎn)品、開辟新市場、贏得新顧客、41、建立合作伙伴關(guān)系、利用新技術(shù)和其他可行之處，以應(yīng)對組織或其顧客的需求。6.1.2.1風(fēng)險分析組織應(yīng)在風(fēng)險分析中至少包括從產(chǎn)品召回、產(chǎn)品審核、使用現(xiàn)場的退貨和維修、投訴、報廢及返工中吸取的經(jīng)驗教訓(xùn)。組織應(yīng)保留形成文件的信息，作為風(fēng)險分析的結(jié)果的證據(jù)。6.1.2.2措施組織應(yīng)確定并實施措施，以潛在不合格的原因，防止不合格發(fā)生。措施應(yīng)與潛在問題的嚴(yán)重程度相適應(yīng)。組織應(yīng)建立一個用于減輕風(fēng)險負(fù)面影響的過程，過程包括以下方面：a)確定潛在不合格及其原因；b)評價防止不合格發(fā)生的措施的需求；c)確定并實施所需的措施；d)所采取措施的成文信息；e)評審所采取的措施的有效性；f)利用取得的經(jīng)驗教訓(xùn)類似過

ISO27001認(rèn)證控制要求 文章導(dǎo)讀：表 A.1 控制目標(biāo)和控制措施 A.5 方針 A.5.1 信息方針 目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支 持信息。 A.5.1.1 信 息 方針 文件 信 息 方針 的評審 控制... 表 A.1 控制目標(biāo)和控制措施 A.5 方針 A.5.1 信息方針 目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息。 A.5.1.1 信 息 方針 文件 信 息 方針 的評審 控制措施 信息方針文件應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相 關(guān)方。 A.5.1.2 控制措施 應(yīng)按計劃的時間間隔或當(dāng)重大變化發(fā)生時進(jìn)行信息方針評審，以 確保它持續(xù)的適宜性、充分性和有效性。 A.6 信息組織 A.6.1 內(nèi)部組織 目標(biāo)：在組織內(nèi)管理信息 A.6.1.1 信息的管 理承諾 信息協(xié)調(diào) 控制措施 管理者應(yīng)通過清晰的說明、可證實的承諾、明確的信息職責(zé)分配 及確認(rèn)，來積極支持組織內(nèi)的。 A.6.1.2 控制措施 信息活動應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的 代表進(jìn)行協(xié)調(diào)。 A.6.1.3 A.6.1.4 A.6.1.5 信息職責(zé) 的分配 信息處理設(shè)施 的授權(quán)過程 保密性協(xié)議 控制措施 所有的信息職責(zé)應(yīng)予以清晰地定義。 控制措施 新信息處理設(shè)施應(yīng)定義和實施一個管理授權(quán)過程。 控制措施 應(yīng)識別并定期評審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的 要求。 A.6.1.6 A.6.1.7 A.6.1.8 與政府部門的 聯(lián)系 與特定利益團(tuán) 體的聯(lián)系 信息的獨 立評審 控制措施 應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系。 控制措施 應(yīng)保持與特定利益團(tuán)體、其他專家組和專業(yè)協(xié)會的適當(dāng)聯(lián)系。 控制措施 組織管理信息的方法及其實施（例如信息的控制目標(biāo)、控制 措施、策略、過程和程序）應(yīng)按計劃的時間間隔進(jìn)行獨立評審， 當(dāng)安 全實施發(fā)生重大變化時，也要進(jìn)行獨立評審。 A.6.2 外部各方 目標(biāo)：保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的。 A.6.2.1 與外部 各方相 關(guān)風(fēng)險的識別 處理與顧客有 關(guān)的問題 控制措施 應(yīng)識別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風(fēng)險， 并在允許訪問前實施適當(dāng)?shù)目刂拼胧? A.6.2.2 控制措施 應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的要求。 A.6.2.3 處理第三方協(xié) 議中的問 題 控制措施 涉及訪問、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第 三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議， 應(yīng)涵 蓋所有相關(guān)的要求。 A.7 資產(chǎn)管理 A.7.1 對資產(chǎn)負(fù)責(zé) 目標(biāo)：實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)。 A.7.1.1 A.7.1.2 資產(chǎn)清單 資產(chǎn)責(zé)任人 控制措施 應(yīng)清晰的識別所有資產(chǎn)，編制并維護(hù)所有重要資產(chǎn)的清單。 控制措施 與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員 1 承擔(dān)責(zé)任 。 A.7.1.3 資 產(chǎn) 的 合 格 使 控制措施 用 與信息處理設(shè)施有關(guān)的信息和資產(chǎn)使用允許規(guī)則應(yīng)被確定、形成文件 并加以實施。 A.7.2 信息分類 目標(biāo)：確保信息受到適當(dāng)級別的保護(hù)。 A.7.2.1 A.7.2.2 分類指南 信息的標(biāo)記和 處理 控制措施 信息應(yīng)按照它對組織的價值、法律要求、敏感性和關(guān)鍵性予以分類。 控制措施 應(yīng)按照組織所采納的分類機制建立和實施一組合適的信息標(biāo)記和處 理程序。 A.8 人力資源 2 A.8.1 任用 之前 目標(biāo)：確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對其承擔(dān)的角色是適合的，以降 低設(shè) 施被竊、欺詐和誤用的風(fēng)險。 A.8.1.1 角色和職責(zé) 控制措施 雇員、承包方人員和第三方人員的角色和職責(zé)應(yīng)按照組織的信息 方針定義并形成文件。 A.8.1.2 審查 控制措施 關(guān)于所有任用的候選者、承包方人員和第三方人員的背景驗證檢查應(yīng) 按照相關(guān)法律法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要求、被訪問信息的 類別 和察覺的風(fēng)險來執(zhí)行。 A.8.1.3 任用條款和條 件 控制措施 作為他們合同義務(wù)的一部分，雇員、承包方人員和第三方人員應(yīng)同意 并簽署他們的任用合同的條款和條件，這些條款和條件要聲明他 們和 組織的信息職責(zé)。 A.8.2 任用中 目標(biāo)：確保所有的雇員、承包方人員和第三方人員知悉信息威脅和利害關(guān)系、他們的職責(zé)和義 務(wù)、并準(zhǔn)備好在其 正常工作過程中支持組織的方針，以減少人為過失的風(fēng)險。 1 解釋：術(shù)語“責(zé)任人”是被認(rèn)可，具有控制生產(chǎn)、開發(fā)、保持、使用和資產(chǎn)的個人或?qū)嶓w。術(shù)語“責(zé) 任人”不指實際上對資產(chǎn)具 有財產(chǎn)權(quán)的人。 2 解釋：這里的“任用”意指以下不同的情形：人員任用（暫時的或長期的） 、工作角色的指定、工作角色 的變化 、合同的分配及所有這些安排的終止。 A.8.2.1 管理職責(zé) 控制措施 管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針 策略和程序?qū)ΡM心盡力。 A.8.2.2 信息意識、 控制措施 教育和培訓(xùn) 組織的所有雇員，適當(dāng)時，包括承包方人員和第三方人員，應(yīng)受到與 其工作職能相關(guān)的適當(dāng) 的意識培訓(xùn)和組織方針策略及程序的定期更 新培訓(xùn)。 紀(jì)律處理過程 A.8.2.3 控制措施 對于違規(guī)的雇員，應(yīng)有一個正式的紀(jì)律處理過程。 A.8.3 任用的終止或變化 目標(biāo)：確保雇員、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關(guān)系。 A.8.3.1 A.8.3.2 終止職責(zé) 資產(chǎn)的歸還 控制措施 任用終止或任用變化的職責(zé)應(yīng)清晰的定義和分配。 控制措施 所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時， 應(yīng)歸還他們使用的所有組織資產(chǎn)。 A.8.3.3 撤銷訪問權(quán) 控制措施 所有雇員、承包方人員和第三方人員對信息和信息處理設(shè)施的訪問權(quán) 應(yīng)在任用、合同或協(xié)議終止時刪除，或在變化時調(diào)整。 A.9 物理和環(huán)境 A.9.1 區(qū)域 目標(biāo)：防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。 A.9.1.1 物理邊界 控制措施 應(yīng)使用邊界 （諸如墻、 卡控制的入口或有人管理的接待臺等屏障） 來保護(hù)包含信息和信息處理設(shè)施的區(qū)域。 A.9.1.2 物理入口控制 控制措施 區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許 訪問。 A.9.1.3 辦公室、 房間和 控制措施 設(shè) 施 的 安 全 保 應(yīng)為辦公室、房間和設(shè)施設(shè)計并采取物理措施。 護(hù) 外部和環(huán)境威 脅的防 護(hù) 在區(qū)域工 作 A.9.1.4 控制措施 為防止火災(zāi)、洪水、地震、爆炸、社會動蕩和其他形式的自然或人為 災(zāi)難引起的破壞，應(yīng)設(shè)計和采取物理保護(hù)措施。 A.9.1.5 A.9.1.6 控制措施 應(yīng)設(shè)計和運用用于區(qū)域工作的物理保護(hù)和指南。 公共訪問、 交接 控制措施 區(qū) 訪問點（例如交接區(qū)）和未授權(quán)人員可進(jìn)入辦公場所的其他點應(yīng)加以 控制，如果可能，要與信息 處理設(shè)施隔離，以避免未授權(quán)訪問。 A.9.2 設(shè)備 目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)以及組織活動的中斷。 A.9.2.1 設(shè)備安置和保 護(hù) 控制措施 應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險所造成的各種風(fēng)險以及 未授權(quán)訪問的機會。 A.9.2.2 支持性設(shè)施 控制措施 應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他 中斷。 A.9.2.3 布纜 控制措施 應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或 損壞。 A.9.2.4 A.9.2.5 設(shè)備維護(hù) 控制措施 設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。 組 織 場 所 外 的 控制措施 設(shè)備 應(yīng)對組織場所的設(shè)備采取措施，要考慮工作在組織場所以外的不 同風(fēng)險。 設(shè)備的 處 置或再利用 資產(chǎn)的移動 A.9.2.6 控制措施 包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任 何敏感信息和注冊軟件已被刪除或重寫。 A.9.2.7 控制措施 設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。 A.10 通信和操作管理 A.10.1 操作程序和職責(zé) 目標(biāo)：確保正確、的操作信息處理設(shè)施。 A.10.1.1 A.10.1.2 A.10.1.3 文件化 的操作 程序 變更管理 責(zé)任分割 控制措施 操作程序應(yīng)形成文件、保持并對所有需要的用戶可用。 控制措施 對信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制。 控制措施 各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以降低未授權(quán)或無意識的修改或者 不當(dāng)使用組織資產(chǎn)的機會。 A.10.1.4 開發(fā)、測試和 運行設(shè)施分離 控制措施 開發(fā)、測試和運行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的 風(fēng)險。 A.10.2 第三方服務(wù)交付管理 目標(biāo)：實施和保持符合第三方服務(wù)交付協(xié)議的信息和服務(wù)交付的適當(dāng)水準(zhǔn)。 A.10.2.1 服務(wù)交付 控制措施 應(yīng)確保第三方實施、運行和保持包含在第三方服務(wù)交付協(xié)議中的 控制措施、服務(wù)定義和交付水準(zhǔn)。 A.10.2.2 第三方服務(wù)的 監(jiān)視和評審 第三方服務(wù)的 變更管理 控制措施 應(yīng)定期監(jiān)視和評審由第三方提供的服務(wù)、報告和記錄，審核也應(yīng)定期 執(zhí)行。 A.10.2.3 控制措施 應(yīng)管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息方針策略、 程序和控制措施，要考慮業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險 的再 評估。 A.10.3 系統(tǒng)規(guī)劃和驗收 目標(biāo)：將系統(tǒng)失效的風(fēng)險降至小。 A.10.3.1 容量管理 控制措施 資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對于未來容量要求的預(yù)測， 以確保擁有所需的系統(tǒng)性能。 A.10.3.2 系統(tǒng)驗收 控制措施 應(yīng)建立對新信息系統(tǒng)、升級及新版本的驗收準(zhǔn)則，并且在開發(fā)中和驗 收前對系統(tǒng)進(jìn)行適當(dāng)?shù)臏y試。 A.10.4 防范惡意和移動代碼 目標(biāo)：保護(hù)軟件和信息的完整性。 A.10.4.1 控制惡意代碼 控制措施 應(yīng)實施惡意代碼的監(jiān)測、和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂?戶意識的程序。 A.10.4.2 控制移動代碼 控制措施 當(dāng)授權(quán)使用移動代碼時，其配置應(yīng)確保授權(quán)的移動代碼按照清晰定義 的策略運行，應(yīng)阻止執(zhí)行未授權(quán)的移動代碼。 A.10.5 備份 目標(biāo)：保持信息和信息處理設(shè)施的完整性及可用性。 A.10.5.1 信息備份 控制措施 應(yīng)按照已設(shè)的備份策略，定期備份和測試信息和軟件。 A.10.6 網(wǎng)絡(luò)管理 目標(biāo)：確保網(wǎng)絡(luò)中信息的性并保護(hù)支持性的基礎(chǔ)設(shè) 施。 A.10.6.1 網(wǎng)絡(luò)控制 控制措施 應(yīng)充分管理和控制網(wǎng)絡(luò)，以防止威脅的發(fā)生，維護(hù)系統(tǒng)和使用網(wǎng)絡(luò)的 應(yīng)用程序的，包括傳輸中的信息。 A.10.6.2 網(wǎng)絡(luò)服務(wù)的安 全 控制措施 特性、服務(wù)級別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括 在所有網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是由內(nèi)部提供的還是外包 的。 A.10.7 介質(zhì)處置 目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動或銷毀以及業(yè)務(wù)活動的中斷。 A.10.7.1 A.10.7.2 A.10.7.3 可移動 介質(zhì)的 管理 介質(zhì)的處置 信息處理程序 控制措施 應(yīng)有適當(dāng)?shù)目梢苿咏橘|(zhì)的管理程序。 控制措施 不再需要的介質(zhì)，應(yīng)使用正式的程序可靠并地處置。 控制措施 應(yīng)建立信息的處理及存儲程序，以防止信息的未授權(quán)的泄漏或不當(dāng)使 用。 A.10.7.4 系統(tǒng)文件 控制措施 應(yīng)保護(hù)系統(tǒng)文件以防止未授權(quán)的訪問。 A.10.8 信息的交換 目標(biāo)：保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的。 A.10.8.1 信息交換策略 和程序 控制措施 應(yīng)有正式的交換策略、程序和控制措施，以保護(hù)通過使用各種類型通 信設(shè)施的信息交換。 A.10.8.2 A.10.8.3 交換協(xié)議 運輸中的物理 介質(zhì) 電子消息發(fā)送 業(yè)務(wù)信息系統(tǒng) 控制措施 應(yīng)建立組織與外部團(tuán)體交換信息和軟件的協(xié)議。 控制措施 包含信息的介質(zhì)在組織的物理邊界以外運送時，應(yīng)防止未授權(quán)的訪 問、不當(dāng)使用或毀壞。 A.10.8.4 A.10.8.5 控制措施 包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Ｗo(hù)。 控制措施 應(yīng)建立并實施策略和程序，以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信息。 A.10.9 電子商務(wù)服務(wù) 目標(biāo)：確保電子商務(wù)服務(wù)的及其使用。 A.10.9.1 電子商務(wù) 控制措施 包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)受保護(hù)，以防止欺詐活 動、合同爭議和未授權(quán)的泄露和修改。 A.10.9.2 在線交易 控制措施 包含在在線交易中的信息應(yīng)受保護(hù)，以防止不完全傳輸、錯誤路由、 未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。 A.10.9.3 公共可用信息 控制措施 在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修 改。 A.10.10 監(jiān)視 目標(biāo)：檢測未經(jīng)授權(quán)的信息處理活動。 A.10.10.1 審核日志 控制措施 應(yīng)產(chǎn)生記錄用戶活動、異常和信息事態(tài)的審核日志，并要保持一 個已設(shè)的周期以支持將來的調(diào)查和訪問控制監(jiān)視。 A.10.10.2 A.10.10.3 監(jiān)視系統(tǒng)的使 用 日志信息的保 護(hù) 管理員和操作 員日志 故障日志 時鐘同步 控制措施 應(yīng)建立信息處理設(shè)施的監(jiān)視使用程序，監(jiān)視活動的結(jié)果要經(jīng)常評審。 控制措施 記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪 問。 A.10.10.4 A.10.10.5 A.10.10.6 控制措施 系統(tǒng)管理員和系統(tǒng)操作員活動應(yīng)記入日志。 控制措施 故障應(yīng)被記錄、分析，并采取適當(dāng)?shù)拇胧? 控制措施 一個組織或域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)使用已設(shè)的 時間源進(jìn)行同步。 A.11 訪問控制 A.11.1 訪問控制的業(yè)務(wù)要求 目標(biāo)：控制對信息的訪問。 A.11.1.1 訪問控制策略 控制措施 訪問控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和訪問的要求進(jìn)行 評審。 A.11.2 用戶訪問管理 目標(biāo)：確保授權(quán)用戶訪問信息系統(tǒng)，并防止未授權(quán)的訪問。 A.11.2.1 用戶注冊 控制措施 應(yīng)有正式的用戶注冊及注銷程序，來授權(quán)和撤銷對所有信息系統(tǒng)及服 務(wù)的訪問。 A.11.2.2 A.11.2.3 A.11.2.4 特殊權(quán)限管理 用戶口令管理 用戶訪問權(quán)的 復(fù)查 控制措施 應(yīng)限制和控制特殊權(quán)限的分配及使用。 控制措施 應(yīng)通過正式的管理過程控制口令的分配。 控制措施 管理者應(yīng)定期使用正式過程對用戶的訪問權(quán)進(jìn)行復(fù)查。 A.11.3 用戶職責(zé) 目標(biāo)：防止未授權(quán)用戶對信息和信息處理設(shè)施的訪問、危害或竊取。 A.11.3.1 A.11.3.2 A.11.3.3 口令使用 無人 值守的用 戶設(shè)備 清空桌面和屏 幕策略 控制措施 應(yīng)要求用戶在選擇及使用口令時，遵循良好的習(xí)慣。 控制措施 用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。 控制措施 應(yīng)采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設(shè)施 屏幕的策略。 A.11.4 網(wǎng)絡(luò)訪問控制 目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問。 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 使用網(wǎng)絡(luò) 服務(wù) 的策略 外部連接的用 戶鑒別 網(wǎng)絡(luò)上的設(shè)備 標(biāo)識 遠(yuǎn)程診斷和配 置端口的保護(hù) 網(wǎng)絡(luò)隔離 網(wǎng)絡(luò)連接控制 控制措施 用戶應(yīng)僅能訪問已獲專門授權(quán)使用的服務(wù)。 控制措施 應(yīng)使用適當(dāng)?shù)蔫b別方法以控制遠(yuǎn)程用戶的訪問。 控制措施 應(yīng)考慮自動設(shè)備標(biāo)識，將其作為鑒別特定位置和設(shè)備連接的方法。 控制措施 對于診斷和配置端口的物理和邏輯訪問應(yīng)加以控制。 控制措施 應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)。 控制措施 對于共享的網(wǎng)絡(luò)，特別是越過組織邊界的網(wǎng)絡(luò)，用戶的聯(lián)網(wǎng)能力應(yīng)按 照訪問控制策略和業(yè)務(wù)應(yīng)用要求加以限制（見 11.1）。 A.11.4.7 網(wǎng)絡(luò)路由控制 控制措施 應(yīng)在網(wǎng)絡(luò)中實施路由控制，以確保計算機連接和信息流不違反業(yè)務(wù)應(yīng) 用的訪問控制策略。 A.11.5 操作系統(tǒng)訪問控制 目標(biāo)：防止對操作系統(tǒng)的未授權(quán)訪問。 A.11.5.1 A.11.5.2 登錄程序 用戶標(biāo)識和鑒 別 控制措施 訪問操作系統(tǒng)應(yīng)通過登錄程序加以控制。 控制措施 所有用戶應(yīng)有 的、 其個人使用的標(biāo)識符（用戶 ID），應(yīng)選擇 一種適當(dāng)?shù)蔫b別技術(shù)證實用戶所宣稱的身份。 A.11.5.3 A.11.5.4 口令管理系統(tǒng) 系統(tǒng)實用工具 的使用 會話超時 聯(lián)機時間的限 定 控制措施 口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令。 控制措施 可能超越系統(tǒng)和應(yīng)用程序控制的實用工具的使用應(yīng)加以限制并嚴(yán)格 控制。 A.11.5.5 A.11.5.6 控制措施 不活動會話應(yīng)在一個設(shè)定的休止期后關(guān)閉。 控制措施 應(yīng)使用聯(lián)機時間的限制，為高風(fēng)險應(yīng)用程序提供額外的。 A.11.6 應(yīng)用和信息訪問控制 目標(biāo)：防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問。 A.11.6.1 信息訪問限制 控制措施 用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問 控制策略加以限制。 A.11.6.2 敏感系統(tǒng)隔離 控制措施 敏感系統(tǒng)應(yīng)有專用的（隔離的）運算環(huán)境。 A.11.7 移動計算和遠(yuǎn)程工作 目標(biāo)：確保使用可移動計算和遠(yuǎn)程工作設(shè)施時的信息。 A.11.7.1 移動計算和通 信 遠(yuǎn)程工作 控制措施 應(yīng)有正式策略并且采用適當(dāng)?shù)拇胧?，以防范使用移動計算和通?設(shè)施時所造成的風(fēng)險。 A.11.7.2 控制措施 應(yīng)為遠(yuǎn)程工作活動開發(fā)和實施策略、操作計劃和程序。 A.12 信息系統(tǒng)獲取、開發(fā)和維護(hù) A.12.1 信息系統(tǒng)的要求 目標(biāo)：確保是信息系統(tǒng)的一個有機組成部分。 A.12.1.1 要 求分析 和說明 控制措施 在新的信息系統(tǒng)或增強已有信息系統(tǒng)的業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對安 全控制措施的要求。 A.12.2 應(yīng)用中的正確處理 目標(biāo)：防止應(yīng)用系統(tǒng)中的信息的錯誤、遺失、未授權(quán)的修改及誤用。 A.12.2.1 A.12.2.2 輸入數(shù)據(jù)驗證 內(nèi)部處理的控 制 消息完整性 控制措施 輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗證，以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹? 控制措施 驗證檢查應(yīng)整合到應(yīng)用中，以檢查由于處理的錯誤或故意的行為造成 的信息的訛誤。 A.12.2.3 控制措施 應(yīng)用中的確保真實性和保護(hù)消息完整性的要求應(yīng)得到識別，適當(dāng)?shù)目?制措施也應(yīng)得到識別并實施。 A.12.2.4 輸出數(shù)據(jù)驗證 控制措施 從應(yīng)用系統(tǒng)輸出的數(shù)據(jù)應(yīng)加以驗證，以確保對所存儲信息的處理是正 確的且適于環(huán)境的。 A.12.3 密碼控制 目標(biāo)：通過密碼方法保護(hù)信息的保密性、真實性或完整性。 A.12.3.1 A.12.3.2 使用密碼控制 的策略 密鑰管理 控制措施 應(yīng)開發(fā)和實施使用密碼控制措施來保護(hù)信息的策略。 控制措施 應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。 A.12.4 系統(tǒng)文件的 目標(biāo)：確保系統(tǒng)文件的 A.12.4.1 A.12.4.2 A.12.4.3 運行軟件的控 制 系統(tǒng)測試數(shù)據(jù) 的保護(hù) 控制措施 應(yīng)有程序來控制在運行系統(tǒng)上安裝軟件。 控制措施 測試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。 對 程 序 源 代 碼 控制措施 的訪問控制 應(yīng)限制訪問程序源代碼。 A.12.5 開發(fā)和支持過程中的 目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信 息的。 A.12.5.1 變更控制程序 控制措施 應(yīng)使用正式的變更控制程序控制變更的實施。 A.12.5.2 操作系統(tǒng)變更 后應(yīng)用的技術(shù) 評審 軟件包變更的 限制 信息泄露 外包軟件開發(fā) 控制措施 當(dāng)操作系統(tǒng)發(fā)生變更后，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確 保對組織的運行和沒有負(fù)面影響。 A.12.5.3 控制措施 應(yīng)對軟件包的修改進(jìn)行勸阻，限制必要的變更，且對所有的變更加以 嚴(yán)格控制。 A.12.5.4 A.12.5.5 控制措施 應(yīng)防止信息泄露的可能性。 控制措施 組織應(yīng)管理和監(jiān)視外包軟件的開發(fā)。 A.12.6 技術(shù)脆弱性管理 目標(biāo)：降低利用公布的技術(shù)脆弱性導(dǎo)致的風(fēng)險。 A.12.6.1 技 術(shù) 脆 弱 性 的 控制措施 應(yīng)及時得到現(xiàn)用信 息系統(tǒng)技術(shù)脆弱性的信息，評價組織對這些脆弱性 控制 的暴露程度，并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險。 A.13 信息事件管 理 A.13.1 報告信息事態(tài)和弱點 目標(biāo)：確保與信息系統(tǒng)有關(guān)的信息事態(tài)和弱點能夠以某種方式傳達(dá)，以便及時采取糾正措施 。 A.13.1.1 A.13.1.2 報告信息 事態(tài) 報告弱點 控制措施 信息事態(tài)應(yīng)該盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報告。 控制措施 應(yīng)要求信息系統(tǒng)和服務(wù)的所有雇員、承包方人員和第三方人員記錄并 報告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的弱點。 A.13.2 信息事件和改進(jìn)的管理 目標(biāo)：確保采用一致和有效的方法對信息事件進(jìn)行管理。 A.13.2.1 職責(zé)和程序 控制措施 應(yīng)建立管理職責(zé)和程序，以確保能對信息事件做出快速、有效和 有序的響應(yīng)。 A.13.2.2 A.13.2.3 對信息事 件的總結(jié) 證據(jù)的收集 控制措施 應(yīng)有一套機制量化和監(jiān)視信息事件的類型、數(shù)量和代價。 控制措施 當(dāng)一個信息事件涉及到訴訟（民事的或刑事的），需要進(jìn)一步對 個人或組織進(jìn)行起訴時，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符 合相 關(guān)訴訟管轄權(quán)。 A.14 業(yè)務(wù)連續(xù)性管理 A.14.1 業(yè)務(wù)連續(xù)性管理的信息方面 目標(biāo)：防止業(yè)務(wù)活動中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤 或災(zāi)難的影響，并確保它們的 及時恢復(fù)。 A.14.1.1 業(yè)務(wù)連續(xù)性管 理過程中包含 的信息 業(yè)務(wù)連續(xù)性和 風(fēng)險評估 制定和實施 包 含信息的 連續(xù)性計劃 業(yè)務(wù)連續(xù)性計 劃框架 測試、維護(hù)和 再評估業(yè)務(wù)連 續(xù)性計劃 控制措施 應(yīng)為貫穿于組織的業(yè)務(wù)連續(xù)性開發(fā)和保持一個管理過程，以解決組織 的業(yè)務(wù)連續(xù)性所需的信息要求。 A.14.1.2 控制措施 應(yīng)識別能引起業(yè)務(wù)過程中斷的事態(tài)，這種中斷發(fā)生的概率和影響，以 及它們對信息所造成的后果。 A.14.1.3 控制措施 應(yīng)制定和實施計劃來保持或恢復(fù)運行，以在關(guān)鍵業(yè)務(wù)過程中斷或失敗 后能夠在要求的水平和時間內(nèi)確保信息的可用性。 A.14.1.4 控制措施 應(yīng)保持一個 的業(yè)務(wù)連續(xù)性計劃框架，以確保所有計劃是一致的， 能夠協(xié)調(diào)地解決信息要求，并為測試和維護(hù)確定優(yōu)先級。 A.14.1.5 控制措施 業(yè)務(wù)連續(xù)性計劃應(yīng)定期測試和更新，以確保其及時性和有效性。 A.15 符合性 A.15.1 符合法律要求 目標(biāo)：避免違反任何法律、法令、法規(guī)或合同義務(wù)，以及任何要求。 A.15.1.1 可用法律的 識 別 控制措施 對每一個信息系統(tǒng)和組織而言，所有相關(guān)的法令、法規(guī)和合同要求， 以及為滿足這些要求組織所采用的方法，應(yīng)加以明確地定義、形 成文 件并保持更新。 A.15.1.2 知 識 產(chǎn) 權(quán) （IPR） 保護(hù)組織的記 錄 數(shù)據(jù)保護(hù)和個 人信息的隱私 控制措施 應(yīng)實施適當(dāng)?shù)某绦颍源_保在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán) 的軟件產(chǎn)品時，符合法律、法規(guī)和合同的要求。 A.15.1.3 控制措施 應(yīng)防止重要的記錄遺失、毀壞和偽造，以滿足法令、法規(guī)、合同和業(yè) 務(wù)的要求。 A.15.1.4 控制措施 應(yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求，確保數(shù)據(jù)保護(hù)和隱私。 A.15.1.5 A.15.1.6 防止濫用信息 處理設(shè)施 密碼控制措施 的規(guī)則 控制措施 應(yīng)禁止用戶使用信息處理設(shè)施用于未授權(quán)的目的。 控制措施 使用密碼控制措施應(yīng)遵從相關(guān)的協(xié)議、法律和法規(guī)。 A.15.2 符合策略和標(biāo)準(zhǔn)以及技術(shù)符合性 目標(biāo)：確保系統(tǒng)符合組織的策略及標(biāo)準(zhǔn)。 A.15.2.1 符合策略 和標(biāo)準(zhǔn) 技術(shù)符 合性檢 查 控制措施 管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有程序被正確地執(zhí)行，以確 保符合策略及標(biāo)準(zhǔn)。 A.15.2.2 控制措施 信息系統(tǒng)應(yīng)被定期檢查是否符合實施標(biāo)準(zhǔn)。 A.15.3 信息系統(tǒng)審核考慮 目標(biāo)：將信息系統(tǒng)審核過程的有效性 化，干擾小化。 A.15.3.1 信息系統(tǒng)審核 控制措施 信息系統(tǒng) 審核 工具的保護(hù) 控 制措施 涉及對運行系統(tǒng)檢查的審核要求和活動，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批 準(zhǔn)，以便小化造成業(yè)務(wù)過程中斷的風(fēng)險。 A.15.3.2 控制措施 對于信息系統(tǒng)審核工具的訪問應(yīng)加以保護(hù)，以防止任何可能的濫用或 損害。