(完整word版)ISO27000体系现场审核注意事项

ISO9000质量审核注意事项(2008-11-03 12:51:58)转载标签：分类：随笔感悟iso9000质量审核认证内审杂谈一、审核要求：1、各部门办公区域、工作现场须保持整洁、安静，勿喧哗，给审核组以良好的第一印象。

2、各岗位人员须在岗，审核时不能出现岗位代理、临时代理等现象。

3、受审人员回答问题时言辞清晰，行动沉稳，动作熟练，能显示出良好的精神风貌。

4、审核过程中，请勿接听电话或是被其它工作所打扰，避免造成审核员心理上的不良影响。

5、当有不在现场的文件、记录或人员等而需时间寻找时，一定要向审核人员说明情况，听候审核人员的意见。

6、对审核过程中已感觉到存有问题的地方必须及早告诉部门主管或经理、陪审人员。

7、对于既成的问题证据（例如文件的规定的确没有执行的），切勿再辨解和争论、强词夺理，而应将其事实及时告知部门主管或经理、陪审员，以寻求解决的方法。

8、各部门经理对本部门的审核全程陪同。

9、各部门经理准时参加首末次会议。

二、审核应答技巧提示：1、保持冷静，勿紧张，勿多讲话。

2、勿急着说话，回答问题前明确对方问什么、对方想知道的是什么。

3、问什么答什么，禁止问一而答十、和盘托出。

4、不懂的问题、不是你熟悉的工作、不是你的职权工作请勿作答。

5、未听懂的问题在回答前一定要向对方确认，以明确对方想问的是什么。

6、不能明确或无法肯定的问题必须征询部门主管或经理、陪审人员的意见。

7、如果你无法肯定的事情但必须由你回答的，尽量说得委婉，留有回旋余地（不要太绝对的下结论）（例如：这个问题我可以想一想再回答你吗？又例如：这个问题我再与具体执行人员确认后再回答可以吗？）。

8、当因审核员的提问而陷僵局、无法有效解释和处理时，应及时将问题的症结转告给主管或经理、陪审人员。

9、审核过程中，切勿与审核员发生言辞尖锐的争论，确实需要适当的解释，语气应和缓。

10、审核现场气氛应保持严肃而轻松，勿使现场审核的气氛过于沉闷。

11、当审核人员陷入了行业专业知识的困境或误区时，请及时给予合适的解释和说明，同时切忌好为人师，或显示出贬低对方的情绪。

ISO审核的要点4.2.1A确定描述和控制本组织的质量管理体系的文件类型以及文件结构和层次是本条款的要求。

B根据组织实际运行经验，文件数目应适宜，文件过多导致灵活性差，文件过少则可能导致活动失控。

C 审核员会查质量手册中规定的构成质量体系的文件。

D 审查用于过程控制的有关文件。

4.2.2 A质量手册在内容上是否描述了其适用的范围，质量手册引用的程序文件，作业文件，记录与质量内容的一致性，协调性，何时，何地等引用文件的条件。

B 审核质量手册是否描述了删减的细节和合理性，是否覆盖本标准的全部要求C 审查质量手册的批准及控制的证据4.2.3 A 是否编制《文件控制程序》B《文件控制程序》的内容是否涉及文件的识别，获得，状态标识以及批准，评审和更新等。

审核员可能会审查组织部门的《文件清单》，文件的审批（再审批）、收发，回收记录等。

C文件控制程序》中是否明确了外来文件和记录表格的控制以及外来文件在组织体系文件中的应用。

D 现场检查使用的文件是否为有效版本，作废文件是否得到标识，以防止误用，文件是否清晰可辨。

4.2.4 A 是否编制控制记录的程序B“记录控制程序”内容是否涉及记录的标识、贮存、保护、检索、保存期限和处置C 对记录的管理是否满足程序的要求并能到达对记录控制的目的。

审核员会在现场观察记录是否填写完整、使用正确、标识清晰、防潮防损、检索方便、保存期限及处置等5.1 A最高管理者是否已按要求对建立、实施和改进QMS作出恰当的承诺B 是否能在组织内部及时传达满足顾客和法律法规要求的重要性C 制定质量方针和策划质量目标的活动及证据D 管理评审实施的证据可通过满足管理评审策划要求来证实E 已获得为提供满足顾客和法律法规要求产品的必需资源，一般通过其他过程运行状况反映资源的配置问题，当然这需要在必要分析的基础上才能获悉5.2 A 以顾客为关注焦点是八项质量管理原则之首，该原则反映的是组织的质量管理意识和理念，这种理念应广泛体现在组织的产品和活动之中，单独审核该条款是不确切的B 该条款的审核应是建立在组织产品和过程运作的基础上，是对组织质量管理意识和；理念判断和评价C 通常是组织的质量意识和理念的反映，广泛渗透在组织的管理、服务、意识及产品中，可通过其他条款的相应证据加以证实5.3 A审核员会让组织出示形成文件的质量方针，审核其是否得到最高管理者批准发布，其内容能否持续反映组织的质量宗旨，是否满足两个承诺、提供一个框架等要求B 通过询问，了解组织内部对质量方针的认识和理解，是否在生产和服务提供过程中得到贯彻和体现C 审核对质量方针是否进行了持续性评审记录5.4.5.4.1 A是否在组织的相关职能和层次上建立了质量目标。

ISO外部审核注意事项
ISO审核的相关事项：
首次会议
一、审核组长作审核组成员介绍；
二、介绍审核的方式是抽样，抽样有一定的科学性，但也有风险性（比如，一个部门整体工作做得很好，但抽样的时候，恰恰抽到不了符合的样本，并不代表这个部门的工作做得不好，反之亦同），因此在审核的过程中要注重沟通；
三、审核的方法：查、看、问
根据审核会收集到大量的证据：与审核准则对比，形成审核发现：审核发现有正面的，当然也有负面的
负面：
严重不符合项：
1、策划方面：标准条款及法律法规有要求的，但是未策划进体系中
2、某一程序、条款完全未执行，处于瘫痪状态
3、多个部门同样的条款或程序，或标准未执行
4、重大的质量事故
5、重大的环境因素没有识别出来，并去改进
6、环境等目标长期未达成，未形成分析对策并改进
7、上次外审轻微不符合项在本次审核时没有改进形成关闭也会记作严重不符合顶
严重不符合项，经过三个月的改进，经外审审核合格后，审核公司可以推荐，发证。

轻微不符合项：
偶然性的
对质量，环境管理不会造成重大事故的
观察项：
可能会造成质量，环境管理的问题的，一般也叫建议项
四、提出审核需要的资源需要
审核的地方、需要一位老师跟一位陪审员；陪审员不要代表审核单位回答被审核的问题
打印，复印，安全提醒等需要
五、作出保密承诺
六、开始按计划审核
七、召开末次会议后结束
八、不符合性整改资料完成后，交认证机构通过评定后，获得认证证书。

生产部1、提供各类出入库报表、生产报表、不合格品处理记录（异常单、返工单等）、设备日常保养卡等相关质量记录。

2、现场能有效获取作业指导书，产品参数、图纸、配方、首件、样品、标准等指导类相关资料；3、现场产品状态得到有效识别，不合格品与良品严格区分，有设置不合格品区域；4、产品、工装、治具标识得到有效标识，切忌同类产品混装、产品无标识等现象。

5、现场5S搞好，切忌现场有漏油、漏水、脏乱差等现象。

6、垃圾分类严格按《废弃物清单一览表》投放。

7、现场化学品存放处有张贴MSDS。

8、易溢漏化学品有采取二次防泄漏措施。

9、所有化学品有中文标识。

10、杜绝现场跑冒滴漏现象。

（如：停产后机器忘关，水龙头忘关、漏气等）11、需戴劳保用品的地方，必须戴上。

（如移印车间要戴口罩、机房要戴耳塞、修模要戴手套等）12、现场产品得到有效防护，如：有采取防尘措施、防压措施、防潮措施（印刷车间要有温湿度点检）。

13、熟悉本部门环境因素及公司重大环境因素，确保本部门的垃圾分类投放正确，员工知晓质量和环境方针及目标；计划部1、对于客供物品要有登记；2、订单有评审并提供相关记录；3、有对顾客的满意度进行调查，提供相关记灵；4、熟悉本部门环境因素及公司重大环境因素，确保本部门的垃圾分类投放正确，员工知晓质量和环境方针及目标；品管部1、提供各类品质报表（品质异单、QC报表、返工记录、特采申请等）、包括每月的目标量化统计；2、提供客诉处理记录、品质异常追踪、纠正预防措施；3、提供测量仪器校验清单、测量仪器履历表、测试仪器保养记录、内校记录、内校员资格证书；4、内校员熟悉校验作业，熟悉校验作业指导文件。

5、确保现场使用的测量仪器的有效性及准确性；6、品管员熟悉检验规范及标准、按标准抽样、现场能获取首件、样板、标准、规范等指导性资料。

7、提供质量控制计划。

8、QC标签信息完整，便于追溯。

9、熟悉本部门环境因素及公司重大环境因素，确保本部门的垃圾分类投放正确，员工知晓质量和环境方针及目标；财务部1、提供用于环境治理、改造、能源消耗方面的相关费用清单。

体系外审迎审技巧及注意事项总的要求，迎审人员必须牢记的三各方面：1、现场审核过程中，要注意观察他们的提问以及我们提供证据与标准的差距，如果发现问题要马上和他们沟通，否则最后就来不及了。

一定要首先自己识别他们发现问题的重要程度。

2、在回答他们的提问是不要抢着说，先想清楚后再回答，不要让他们抓住把柄。

3、特别是在一些我们还做的不好的过程方面，告诉他们对标准的理解不深，目前也正在想办法进行改进等什么的，这样他们会宽容一些。

技巧方面：接受认证审核时，每一位员工必须要做到的是什么？一、自圆其说。

1. 知道应做什么事；2. 知道如何做事；3. 知道做事的依据；4. 用记录证实所做的事；5. 任何事都应形成循环（即PDCA模式）。

二、接受审核时应有的正常心态是什么？1. 不怕出现不合格，发挥出最佳水平；2. 尽可能减少不合格，以提高认证通过的可能性；3. 尽快纠正不合格。

三、接受审核方在审核中的角色是什么？1. 2:8规则；2. 20%听问题，听懂了才能回答对；3. 80%回答问题，回答时要谨慎。

四. 聆听时应注意哪些方面？1. 认真听，听不懂必然会回答不准确；2. 不懂就问，审核员会换一个角度询问；3. 一定搞清楚所问问题。

4. 接受审核时回答问题的基本原则是什么？5. 依据文件规定回答问题；6. 依据实际情况回答问题；7. 紧紧围绕提问，不要扯太远；8. 语言简单明了；9. 不要假设审核员不懂技术问题，审核员的视点是整个体系。

五. 回答问题时就注意哪些技巧？1. 只说自己的事，不说别人的事；2. 只说该说的事，该说的说足，不该说的不多说一句；3. 用证据说明问题；4. 自信而又不失谦虚；5. 多解释，不争论；6. 有误解时把解释权让给更明白的人（最好是上司）。

六. 回答问题时应避免出现哪些现象？1. 不懂装懂；2. 说别人的事；3. 所说的不符合事实；4. 谋求帮助；5. 对其他部门或人员进行诋毁；6. 争论不休不礼貌，可能会导致不好的结果。

ISO27001体系审核要点ISO 是国际上通用的信息安全管理体系标准，对于企业来说，进行ISO 体系审核是确保信息安全的关键步骤。

体系审核旨在评估企业是否符合ISO 标准要求，以及识别弱点并提出改进措施。

以下是ISO 体系审核的主要要点：1. 审核目标与范围确定在开始体系审核之前，明确审核的目标和范围非常重要。

确定期望的结果以及要审核的信息资产和相关业务流程，以便确保有效的审核过程。

2. 审核准备工作进行ISO 体系审核之前，需要进行一些准备工作。

收集必要的信息和文件，例如企业的信息安全政策、流程手册、安全控制措施等。

还需要与相关的部门和人员进行沟通，确保他们了解审核的目的和过程。

3. 审核计划制定制定详细的审核计划非常重要。

审核计划应包括审核的时间表、审核的内容和方式以及所需的资源和人员。

确保计划合理且可执行，以便顺利进行体系审核。

4. 审核执行在实际进行体系审核时，审核员需要按照审核计划进行审核工作。

审核员将对不同的信息安全控制措施进行检查，例如访问控制、数据备份、物理安全等。

通过文件审查、采访人员和现场观察等方式获取必要的审核证据。

5. 弱点识别和改进措施提出在审核过程中，审核员需要识别并记录发现的弱点和不符合要求的地方。

为每个弱点提出改进措施，并将其记录在审核报告中。

这些改进措施应该是可操作和可追踪的，以便企业能够采取适当的行动。

6. 审核报告编制在审核结束后，审核员需要编制审核报告。

该报告应包含对审核过程的总结、发现的弱点和改进措施的详细说明。

确保报告准确反映审核的结果，以便企业能够根据报告进行必要的改进。

7. 审核跟踪和持续改进体系审核不仅是一次性的活动，还应与企业的持续改进过程相结合。

跟踪已经提出的改进措施的实施情况，并对体系进行定期的内部审核和管理评审，以确保信息安全管理体系的有效性和持续改进。

通过遵循上述ISO 27001体系审核要点，企业可以确保其信息安全管理体系符合ISO 27001标准的要求，从而有效应对信息安全风险。

iso270001认证注意事项在进行ISO 27001认证时，以下是一些注意事项：1. 制定明确的目标和计划：在着手认证之前，组织应该制定明确的目标，并制定详细的计划来实现这些目标。

这将确保认证过程的顺利进行。

2. 涉及所有相关方：ISO 27001认证是一个涉及到整个组织的过程，需要与各个部门和人员密切合作。

确保所有相关方都参与进来，并对认证过程有充分的了解。

3. 培训和意识提高：培训和意识提高是认证过程中不可或缺的步骤。

所有员工都应该接受适当的培训，了解信息安全的重要性，以及他们在保护组织信息资产方面的责任。

4. 文档化：ISO 27001认证需要组织对信息安全管理系统进行全面的文档化。

确保所有相关文件和记录得到正确地编写、存储和保护，并与ISO标准保持一致。

5. 保持持续改进：ISO 27001不是一次性的认证，而是一个需要持续改进的过程。

组织应该通过定期的内部审核和管理评审，跟踪和改进信息安全管理系统。

6. 与认证机构合作：选择一家可信赖的认证机构进行合作非常重要。

与认证机构建立良好的沟通和合作关系，确保认证过程能够顺利进行，同时也能够从认证机构那里获取有价值的支持和建议。

7. 预留足够的时间：ISO 27001认证是一个庞大的任务，需要花费相当长的时间和精力。

组织应该在认证之前预留足够的时间来准备和完成所有必要的步骤。

8. 管理风险：ISO 27001认证的目标之一是有效管理信息安全风险。

组织应该采取适当的措施来识别、评估和管理信息安全风险，并确保相关的控制措施得到有效实施。

9. 保持记录：认证过程中产生的所有相关文件和记录应该得到妥善保存和管理。

这些记录对于未来的内部审核和重新认证过程非常重要。

10. 实践并保持信息安全：最重要的是，组织应该实践并保持信息安全。

通过有效的控制措施和持续的监测，确保信息安全管理系统得到有效实施，以保护组织的信息资产。

iso27001信息安全管理体系年审ISO27001是一种国际标准，用于建立、实施、监控和改进信息安全管理体系。

每年都要对该体系进行年审，以确保其持续有效并按照最新的标准要求开展。

本文将介绍ISO27001信息安全管理体系年审的步骤和相关注意事项。

一、审查前准备工作在进行年审之前，首先要确保组织已经实施了ISO27001信息安全管理体系，并取得了相应的认证。

此外，还需要准备以下文件和记录：1. 信息安全管理体系文件，包括政策、程序、指导文件等；2. 审核计划和审查程序，明确年审的范围和目标；3. 内部审核报告和纠正措施的记录；4. 外部提供的监控记录和评估结果；5. 公司的风险评估和风险处理计划。

二、年审过程1. 计划审查：确定审查的时间、地点和参与人员，确保所有相关人员的参与和配合。

2. 文档审查：审查信息安全管理体系文件，包括政策、程序和指导文件等，确保其符合ISO27001的要求。

3. 沟通与访谈：与组织内的关键人员进行访谈，了解信息安全管理体系的实施情况、存在的问题和改进计划。

4. 实地考察：通过实地考察，验证组织内部的信息安全管理实践，例如数据中心的物理安全、设备的管理和访问控制等。

5. 报告撰写：根据审查结果，撰写审查报告，包括对体系的评价、存在的问题和改进建议等。

6. 决策和跟进：根据审查报告，组织内部进行决策，并制定改进计划和纠正措施，以提高信息安全管理体系的效果和效率。

三、注意事项1. 高度重视信息安全：在年审过程中，要高度重视信息安全的保护工作，注意保密审查过程中的信息和文件，避免泄露公司机密。

2. 合作交流：与审核人员进行积极的合作和信息交流，及时解答问题，并主动提供可能需要的文件或记录。

3. 持续改进：年审不仅仅是一个验证过程，更是一个推动持续改进的机会。

通过审查提出的问题和建议，不断完善信息安全管理体系，提高整体的信息安全水平。

四、总结ISO27001信息安全管理体系年审是保证信息安全的重要环节，通过年审可以发现体系中存在的问题，并及时进行改进和纠正。