ISO标准基本框架高层次结构
ISO标准基本框架高层次结构
引言
起草指南对应具体的领域。
1.围
起草指南对应具体的领域。
2.规性引用文件
起草指南应使用本条款标题。对应具体的领域。
3.术语和定义
起草指南1 应使用本条款标题。术语和定义可能在同一个标准中也有可能在单独文件中。参考通用术语和核心定义+特定管理体系标准领域的术语和定义。术语和定义的安排应与每个管理体系标准相适应。
支持指南2 如下术语和定义是管理体系标准“通用版本”的必不可少的一部分。需要时,可以增加术语和定义。注解的增加和修改为标准的目的服务。
支持指南3 定义中的斜体字部分指的是参考该条款的另一个术语。术语的参考号在括号中列出。
支持指南4 在文件中xxx贯穿于整个条款,按照术语和定义发热应用环境,插入适宜的容。如:“xxx 目标”可以用“信息安全目标”来啊代替。
3.01组织:
具有自身的职责、权限和相互关系等功能,能实现其目标(3.08)的个人和群体。
注1:组织的概念包括但不限于独资经营者、公司、集团公司、商行、企事业单位、政府机构、合营公司、慈善机构、社会事业机构,或上述组织的部分或结合体,无论是否具有法人资格,公营或私营。
3.02相关方(利益相关方):
可能影响或被影响、或者发觉自己受到某决定或活动影响的个人或组织(3.1)。
3.03要求:
明示的、通常隐含的或必须履行的需求或期望。
注1:“通常隐含”是指组织和其他相关方的惯例或一般做法,所考虑的需求或期望是不言而喻的。
注2:规定的要经明示的要求。如在文件化信息中阐明的要求。
3.04管理体系:
组织(3.01)记录方针(3.07)、目标、过程(3.12)并实现这些目标的一组相互关系或相互作用的要素。
注1:一个管理体系可包括一个或多个学科。
注2:体系要素包括组织的结构、作用、职责、策划和运行。
注3:管理体系的围可能包括整体组织、组织特定的和确定的职能的部门、或一群组织的一个或多个职能。
3.05最高管理者:
在最高层指挥与控制组织(3.01)的个人或群体
注1:最高管理者有权在组织部授权并提供资源。
注2:如管理体系(3.04)的围仅涵盖组织的一部分,最高管理者是指对组织该部分进行指挥与控制的人员。
3.06有效性:
完成策划的活动并取得策划结果的程度。
3.07方针:
有组织最高管理者正式发布的组织的宗旨和方向。
3.08目标:
需实现的结果
注1:目标可以是战略性的、战术性的也可以是运营性的。
注2:目标与不同的领域有关(如财务、健康和安全、环境目标),并且能够应用于不同的层次(战略、组织层面、项目、产品和过程(3.12))。
注3:作为xxx目标,目标可以通过其他方式表达,如预期成果、目的、运行准则,或采用其他意思相近的词语(如:aim,goal,or target)。
注4:在xxx管理体系的环境下,为了实现其特定的结果,xxx目标由组织设置,与xxx方针保持一致。
3.09风险:
不确定的影响
注1:背离期望的影响可能是正面的,也可能是负面。
注2:不确定是对事件、事件的结果或可能性的认识或知识的相关信息缺乏或部分缺乏的状态。
注3:风险的特点通常涉及到潜在事件(如ISO指南73:2009定义3.5.1.3)及后果(ISO73:2009定义3.6.1.3),或两者的结合。
注4:风险通常表示为一个事件的后果(包括情况变化)与事件发生的可能性(ISO73:2009定义3.6.1.1)的结合。.
3.10能力,
应用知识和技能实现预期结果的能力。
3.11文件化信息#
组织(3.01)要求控制和保持的信息,及其保持的方法。
注1:文件化信息可以是任何格式和媒介,且不限制来源。
注2:文件化信息可能是:
——管理体系(3.04)及其过程(3.12)。
——为了组织的运行所创建的信息(文件);
——所实现结果的证据(记录)。
3.12过程:
将输入转换为输出的一组相互关联、相互作用的活动。
3.12绩效:
可测量的结果。
注1:绩效可以是定量的也可以是定性的结果。
注2:绩效可能与活动、过程(3.12)、产品(包括服务)、体系或组织(3.01)的管理相关。
3.14外包:
安排外部组织执行组织的部分职能或过程(3.12)
注1:外部组织在管理体系围之外(3.04),尽管外包的职能或过程在围之。
3.15监视:
确定体系、过程(3.12)或活动的状态。
注1:为确定状态,可能需要检查、监督或必要的观察。
3.16测量:
确定计量数值的过程(3.12)
3.17审核:
为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程(3.12)。
注1:审核可以是部审核(第一方审核〕或外部审核(第二方审核或第三方审核〉也可以是结合审核(结合两个或多个学科〉。
注2:审可以由组织自己实施或以由外部组织代表其实施。
注3:审核证据和审核准则在ISO19011中有规定。
3.18符合(合格):
满足要求(3.03)
3.19不符合(不合格):
未满足要求(3.03)
3.20纠正措施:
消除不符合(3.15)原因、防止其再发生所釆取的措施。
3.21持续改进:
为提高绩效(3.13)所反复从事的活动。
4.组织环境
4.1了解组织及其环境
组织应确定与其目的相关的、影响其实现其XXX管理体系既定结果的能力的部和外部问题。
4.2了解相关方的需求和期望
组织应确定:
——与XXX管理体系有关的相关方;
——这些相关方的相关要求;
4.3确定xxx管理体系的围
组织应确定xxx管理体系的边界和适用性,以确定其围,
确定围时,组织应考虑:
——4.1中提及的外部和部问题;
——4.2中提及的要求;
围应保持文件化信息。
4.4xxx管理体系
组织应根据本国际标准(或ISO xxxx标准的本部分,或本技术规〉的要求建立、实施、保持并持续改进xxx)管理体系,包括所需的过程及其相互作用。
5.领导力
5.1领导力及其承诺
最高管理者应通过以下方式证明其在xxx管理体系方面的领导力和承诺:
——确保建立XXX方针及XXX目标,且XXX方针及XXX目标适合于组织的战略方向;
——确保将XXX管理体系要求融入组织的业务流程;
——确保为XXX管理体系提供所需的资源;
——传达有效的XXX管理以及符合XXX管理体系要求的重要性;
——确保XXX管理体系能实现其预期成果;
——指导并支持员工为XXX管理体系实施的有效性作出贡献;
——推动持续改进;
——支持其他相关管理者证明其领导力适用于其责任领域。
注:本国际标准(或ISOXXX标准的本部分,或本技术规〉中的“业务”一词从广义上可理解为对组织的生存具有核心作用的活动。
5.2方针
最高管理者应建立其XXX方针:
a)适合于本组织的目的;
b)提供建立XXX目标的框架;
c)包括满足适用性要求的承诺;
d)包括关于持续改进XXX管理体系的承诺。
XXX方针应:
——保持文件化信息;
——在组织部进行信息交流;
——适当时,可为相关方所获取。
5.3组织的作用、职责及权限
最高管理者应确保在组织部分配相关角色的职责和权限,并在组织部传达。
最高管理者应分配职责及权限,以:
a)确保XXX管理体系符合本国际标准(或ISOXXX标准的本部分,或本技术规)的要求;
b)向最高管理者汇报XXX管理体系的绩效。
6.策划
6.1处理风险和机遇的措施
策划XXX管理体系时,组织应考虑到4.1所提及的问题和4.2所谈及的要求,确定需处理的风险和机遇:——确保XXX管理体系能够实现预期的结果;
——防止、减少不期望的结果;
——实现持续改进。
组织应策划:
a)处理与风险和机遇相关的措施;
b)如何:
——将措施融入其XXX管理体系过程并予以实施;
——评价措施的有效性。
6.2XXX目标及其实现的策划
组织应在其相关的职能和层次建立XXX目标。
XXX目标应:
a)符合XXX方针;
b)可测量(如可行)
c)考虑适用的要求;
d)可监视;
e)得以传达;
f)适当时更新。
组织应当保持XXX目标的文件化信息。
当策划如何实现其XXX目标时,组织应确定:
——要做什么;
——需要哪些资源;
——由谁负责;
——何时完成;
——如何评价结果
7.支持
组织应确定并提供建立、实施、保持和持续改进XXX管理体系所需的资源。
7.1资源
7.2能力
组织应:
——确定在其控制下、对其XXX绩效产生影响的工作人员应具备的能力;
——基于适当的教育、培训或经验,确保这些人员具备所需要的能力;
——适用时,采取措施获取必要的能力,并评价所采取措施的有效性;
注:适用的措施可包括提供培训、指导或调动当前从业人员;或另聘用或签约有能力的人员等。
7.3意识
在组织控制下的工作人员应了解:
―XXX方针;
―其对XXX管理体系有效性的贡献,包括提高XXX绩效的益处等;
―不符合XXX管理体系要求的后果。
7.4信息交流
组织应确定与其XXX管理体系有关的部和外部信息交流,包括:
―交流什么信息;
―何时进行交流;
―与谁进行信息交流;
―如何进行信息交流。
7.5文件化信息
7.5.1概述
组织的XXX管理体系应包括:
a)本国际标准(或ISOXXXV标准的本部分,或本技术规〉所要求的文件化信息;
b)组织确定的、为确保XXX管理体系有效性所必需的文件化信息。
注:不同组织的XXX管理体系文件化信息的详略程度可以不同,取决于:
——组织的规模及其活动、过程、产品和服务的类型;
——过程的复杂程度及其相互作用;
——员工的能力。
7.5.2创建和更新
创建和更新文件化信息时,组织应确保适当的:
——标识和描述(如标题、日期、作者或编号等)
——格式(如语言、软件版本、图表)和媒介(如纸质、电子版)
——为确保适宜性和充分性的审核与批准。
7.5.3文件化信息的控制
XXX管理体系和本国际标准(或150 标准的本部分,或本技术规〉所要求的文件化信息应予以控制,以确保:
a)在所需的场所,当需要时可提供适用版本;
b)文件化信息得到充分保护(如,防止泄密、防止使用不当或完整性受损\
为控制文件化信息,适用时,组织应对下列活动做出规定:
——分发、访问、检索和使用;
-——存储和保护,包括易读性保护;
——变更控制(比如,版本控制);
——保留和处置。
组织所确定的策划和运行XXX管理体系所需的外来的文件化信息应确保得到识别和控制。
注:访问权仅指允许审阅文件化信息的决定,或查看和变更文件化信息的允许和授权。
8.运行
8.1运行策划和控制
起草指南如果条款8没有增加分条款,8.1分条款的标题将被删除。
组织应策划、实施和控制为确保符合要求和6.1条款规定的措施得到实施所需的过程,具体如下:
——为过程确定运行准则;
——根据运行准则,实施对过程的控制;
——保持必要的文件化信息以确保过程按策划实施。
组织应控制计划变更并评审非计划变更的后果,必要时,采取措施减少负面影响。
组织应确保外包过程受到控制。
9.绩效评价
9.1监视、测量、分析和评价组织应确定:
——需要监视和测量的容;
——适用的监视、测量、分析和评价的方法,以确保有效的结果;
——实施监视和测量的时间;以及间隔;
——分析和评价监视和测量结果的时间。
组织应保留适宜的文件化信息作为结果证据。
组织应评价XXX绩效和XXX管理体系的有效性。
9.2部审核
9.2.1组织应按策划的时间间隔进行部审核,以确定XXX管理体系是否:
a)符合:
——组织本身关于XXX管理体系的要求;
——本国际标准(或ISO标准的本部分,或本技术规〉的要求;
b)是否得到了有效的实施和保持。
9.2.2组织应:
a)策划、建立、实施和保持审核方案,包括审核频次、方法、职责、策划要求和报告等,审核方案应考虑相关过程的重要性,以及以往的审核结果;
b)确定每次审核的审核准则和审核围;
c)审核人员的选择和审核的实施,确保审核过程的客观性和公正性;
d)确保向相关管理者报告审核结果;
e)组织应保留文件化信息作为审核方案实施和审核结果的证据。
9.3管理评审
最高管理者应按策划的时间间隔,对组织的XXX管理体系进行评审,以确保其持续适宜性、充分性和有效性。管理评审应包括如下容:
a)以往管理评审措施的实施情况;
b)与XXX管理体系有关的外部和部问题的变更;
c)关于组织XXX绩效的信息,包括以下方面的动态:
——不符合和纠正措施;
——监视和测量结果,
——审核结果;
d)持续改进的机会。
管理评审的输出应包括与持续改进机会相关的决策和XXX管理体系变更的需求。
组织应保留文件化信息以作为管理评审结果的证据。
10.改进
10.1不符合与纠正措施当出现不符合时,组织应:
a)对不符合做出反应,适用时需,
——采取措施控制和纠正不符合:
——处理其后果
b)通过以下方式,评价消除不符合原因的需求,防止不符合再次发生:——对不符合进行评审;
——确定产生不符合的原因;
——确定是否在其他地方存在类似的不符合,或可能发生潜在的类似不符合。c)确定并实施一切必要的纠正措施;
d)评审所采取的纠正措施的有效性;
e)必要时,对XXX管理体系进行更改。
纠正措施应与不符合所造成的影响重要程度相适应。
组织应保留文件化的信息作为证据,容如下:
——不符合的性质及所采取的任何后续措施;
——所采取的任何纠正措施的结果。
10.2持续改进
续改进XXX管理体系的适用性、充分性和有效性。