IATF16949：2016認(rèn)證審核攻略 1、顧客特殊要求和體系關(guān)系矩陣必須建立，顧客特殊要求不是技術(shù)和圖紙要求；如果沒有，審核時(shí)企業(yè)需提供顧客出具的書面證據(jù)； 2、產(chǎn)品滿足13項(xiàng)要求，如，作業(yè)指導(dǎo)書有標(biāo)識(shí)，追溯性必須有批次號(hào)，F(xiàn)MEA和CP必須有顧客的特殊批準(zhǔn)，變更需經(jīng)顧客批準(zhǔn)等； 3、員工舉報(bào)電話必須建立，郵箱不接受； 4、應(yīng)急計(jì)劃含常發(fā)自然災(zāi)害， 管理者每年評(píng)審； 5、風(fēng)險(xiǎn)分析不能按部門來(lái)做，必須按照過程，按照事件分析，風(fēng)險(xiǎn)需建立等級(jí)，制定措施； 6、基礎(chǔ)設(shè)施評(píng)價(jià)，須體現(xiàn)精益的原則； 7、內(nèi)部實(shí)驗(yàn)室，必須形成范圍清單，標(biāo)準(zhǔn)清單和實(shí)驗(yàn)設(shè)備清單； 8、內(nèi)審員能力滿足5項(xiàng)要求，包含培訓(xùn)老師資格（IATF授權(quán)機(jī)構(gòu)的培訓(xùn)合格證明）必須保留； 9、SQE除滿足內(nèi)審員5項(xiàng)要求，還需滿足FMEA和CP的能力要求； 10、記錄保存：生產(chǎn)件批準(zhǔn)文件、工裝記錄（包括維護(hù)和所有權(quán)）、產(chǎn)品和過程設(shè)計(jì)記錄、采購(gòu)訂單（如適用）或者合同和修正，保存時(shí)間為產(chǎn)品在現(xiàn)行生產(chǎn)和服務(wù)中要求的有效期，再加一個(gè)日歷年； 11、軟件開發(fā)應(yīng)有質(zhì)量保證過程，并納入內(nèi)審方案； 12、供應(yīng)商必須爬坡，審核計(jì)劃形成文件； 13、TPM形成文件化的目標(biāo)，如：OEE\MTBF\MTTR; 14、返工和返修必須有作業(yè)指導(dǎo)書，F(xiàn)MEA的分析； 15、不合格品報(bào)廢前，確保其喪失物理上的使用價(jià)值； 16、控制計(jì)劃必須結(jié)合FMEA更新； 17、審核前須按照IATF16949標(biāo)準(zhǔn)要求，進(jìn)行一次完整的內(nèi)審和管理評(píng)審； 18、轉(zhuǎn)版審核須提供按新版運(yùn)行的至少3個(gè)月的績(jī)效指標(biāo)。 各個(gè)章節(jié)容易發(fā)生的問題 IATF16949標(biāo)準(zhǔn)第四章容易發(fā)生的問題 1.有些外部支持場(chǎng)所認(rèn)證機(jī)構(gòu)納入了審核的范圍，但在組織的質(zhì)量體系的范圍里沒有描述； 2.對(duì)于一些集團(tuán)審核的案子，特別是有多個(gè)支持場(chǎng)所的，由于在質(zhì)量體系范圍沒有清晰的定義清楚，導(dǎo)致有些支持場(chǎng)所沒有覆蓋； 3.未識(shí)別產(chǎn)品的要求； 4.顧客特殊要求識(shí)別不充分。 IATF16949標(biāo)準(zhǔn)第五章容易發(fā)生的問題 1.管理者的職責(zé)、權(quán)限和責(zé)任沒有形成書面聲明； 2.管理者沒有執(zhí)行其職責(zé)和權(quán)限； 3.應(yīng)用組織結(jié)構(gòu)圖的地方，沒有體系或接口支持信息； 4.人員和部門之間的接口和聯(lián)系不存在或沒有定義； 5.不存在方針聲明； 6.方針聲明書面化，但沒有在所有層次被理解或?qū)嵤?，尤其在車間現(xiàn)場(chǎng)。 IATF16949標(biāo)準(zhǔn)第六章容易發(fā)生的問題 1.沒有清晰定義目標(biāo)； 2.質(zhì)量目標(biāo)控制系統(tǒng)實(shí)際不存在； 3.目標(biāo)未層層分解，沒有分配人員職責(zé)； 4.應(yīng)急計(jì)劃未定期評(píng)審。 IATF16949標(biāo)準(zhǔn)第七章容易發(fā)生的問題 1.缺少足夠資源； 2.缺少經(jīng)過培訓(xùn)的人員。（組織制定了需要的培訓(xùn)，但沒有執(zhí)行）； 3.對(duì)執(zhí)行”影響產(chǎn)品要求符合性工作”人員的定義過于狹窄； 4.臨時(shí)工沒有受到足夠培訓(xùn)； 5.沒有培訓(xùn)記錄，或記錄不充分； 6.員工缺少適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)； 7.對(duì)培訓(xùn)需求沒有進(jìn)行評(píng)估； 8.培訓(xùn)計(jì)劃不充分； 9.沒有考慮培訓(xùn)在工作執(zhí)行中的效果； 10.企業(yè)環(huán)境不鼓勵(lì)創(chuàng)新和改進(jìn)； 11.沒有人負(fù)責(zé)操作監(jiān)視和測(cè)量系統(tǒng)； 12.應(yīng)該包含在監(jiān)視和測(cè)量系統(tǒng)中的設(shè)備沒有在系統(tǒng)中（尤其在研究和開發(fā)領(lǐng)域）； 13.監(jiān)視和測(cè)量無(wú)法溯源到國(guó)際或內(nèi)部標(biāo)準(zhǔn)； 14.無(wú)法確?？烧{(diào)試設(shè)備沒有被改為無(wú)效校準(zhǔn)； 15.當(dāng)設(shè)備沒有校準(zhǔn)時(shí)，沒有評(píng)估之前結(jié)果的影響； 16.內(nèi)部實(shí)驗(yàn)室沒有被正確闡明并設(shè)立； 17.外部實(shí)驗(yàn)室不符合ISO/IEC17025或 等同標(biāo)準(zhǔn)。 IATF16949標(biāo)準(zhǔn)第八章容易發(fā)生的問題 8.1章節(jié)容易發(fā)生的問題 1.對(duì)5M1E缺少證實(shí)的策劃； 2.沒有設(shè)立產(chǎn)品或項(xiàng)目目標(biāo)； 3.確認(rèn)和驗(yàn)證策劃不充分。 8.2章節(jié)容易發(fā)生的問題 1.不存在合同程序； 2.程序不或錯(cuò)誤理解（經(jīng)常是故意的），或相互矛盾（如：設(shè)計(jì)、銷售和生產(chǎn)之間）； 3.記錄不充分或不存在； 4.顧客的要求未完全考慮； 5.沒有處理訂單的文件化程序； 6.顧客經(jīng)驗(yàn)的反饋不充分； 7.沒有考慮交付和交付后活動(dòng)的要求。 8.3章節(jié)容易發(fā)生的問題 1.設(shè)計(jì)職責(zé)/權(quán)限/接口沒有以書面形式指定或執(zhí)行； 2.團(tuán)隊(duì)沒有協(xié)調(diào)，尤其在產(chǎn)品責(zé)任和過程責(zé)任之間； 3.圖紙沒有控制，因?yàn)椋汗畈缓侠?；圖紙沒有被檢查或驗(yàn)證；圖紙未經(jīng)認(rèn)可，或者沒有使用更改控制系統(tǒng)；圖紙出現(xiàn)主觀描述。 4.缺少實(shí)際設(shè)計(jì)評(píng)審，例如個(gè)人（自愿選擇伙伴的人）操作的一個(gè)系統(tǒng)； 5.一個(gè)系統(tǒng)出現(xiàn)在書面文件中，但未使用； 6.指定的公差不可能實(shí)現(xiàn)（如：缺少生產(chǎn)介入）； 7.原型樣件不符合關(guān)鍵檢查項(xiàng)目； 8.用戶手冊(cè)的要求，設(shè)計(jì)幾乎完成時(shí)才開始； 9.用于實(shí)驗(yàn)工作的量具和試驗(yàn)設(shè)備沒有校準(zhǔn)； 10.抽樣系統(tǒng)有缺陷或沒有被客戶同意； 11.一個(gè)具體產(chǎn)品或項(xiàng)目缺少質(zhì)量計(jì)劃，該產(chǎn)品或項(xiàng)目要求質(zhì)量手冊(cè)中的標(biāo)準(zhǔn)程序發(fā)生偏差或增加。 12.太多的設(shè)計(jì)沒有被生產(chǎn)介入，這導(dǎo)致生產(chǎn)不能執(zhí)行這些無(wú)法實(shí)現(xiàn)的規(guī)范。 8.4章節(jié)容易發(fā)生的問題： 1.缺少或沒有證據(jù)顯示外部提供方得到控制； 2.沒有可接受外部提供方的記錄； 3.違背了“僅從批準(zhǔn)的供應(yīng)商采購(gòu)”的規(guī)則； 4.采購(gòu)文件里沒有足夠的數(shù)據(jù)； 5.簽訂合同時(shí)，沒有通知供應(yīng)商質(zhì)量管理體系要求； 6.沒有執(zhí)行自己的體系（如，電話訂單沒有確認(rèn)）。 8.5章節(jié)容易發(fā)生的問題 1.滿足顧客要求的要素被忽略，例如足夠的設(shè)備和人員培訓(xùn)要求，被忽略； 2.對(duì)人員、機(jī)器、材料、工作方法、環(huán)境等的控制，缺少可證實(shí)的策劃； 3.產(chǎn)品或項(xiàng)目的目標(biāo)沒有設(shè)立； 4.確認(rèn)和驗(yàn)證策劃不夠充足； 5.書面的工作/職位指導(dǎo)書或程序不夠充分，缺少該指導(dǎo)書或程序會(huì)影響質(zhì)量； 6.零部件、原材料，或產(chǎn)品沒有標(biāo)記； 7.批次標(biāo)識(shí)有要求時(shí)，批次零件彼此疊加； 8.在追溯性必要時(shí)，缺少一個(gè)階段或操作。 9.顧客/外部供方財(cái)產(chǎn)項(xiàng)目被損壞或沒有被正確存放； 10.顧客/外部供方財(cái)產(chǎn)沒有被充分識(shí)別； 11.顧客/外部供方已經(jīng)提供材料、設(shè)備等，但是對(duì)此沒有驗(yàn)證。 8.6章節(jié)容易發(fā)生的問題 1.物料接收缺少控制（如，要求試驗(yàn)/檢驗(yàn)的材料直接轉(zhuǎn)到存貨）； 2.分配給生產(chǎn)的材料沒有標(biāo)識(shí)，也沒有被完全控制； 3.指定的檢驗(yàn)或試驗(yàn)沒有執(zhí)行； 4.檢驗(yàn)或試驗(yàn)記錄丟失； 5.終檢驗(yàn)或試驗(yàn)被繞過，或者公司產(chǎn)品批準(zhǔn)程序沒有執(zhí)行； 6.返工產(chǎn)品沒有完全重新檢查。 8.7章節(jié)容易發(fā)生的問題 1.不合格材料未被識(shí)別或放置在未指定的地方； 2.沒有定義返工的評(píng)審和處理職責(zé)； 3.沒有規(guī)定返工要求； 4.返修或返工沒有重新檢查。 IATF16949標(biāo)準(zhǔn)第九章容易發(fā)生的問題 1.內(nèi)審按要素審核，而不是按過程方法審核； 2.企業(yè)不存在審核系統(tǒng)； 3.對(duì)審核發(fā)現(xiàn)沒有采取糾正措施； 4.使用審核員沒有充分培訓(xùn)； 5.沒有獨(dú)立的人員執(zhí)行審核； 6.內(nèi)審文件和記錄不完整； 7.不存在管理評(píng)審系統(tǒng)； 8.內(nèi)部審核結(jié)果的糾正措施沒有執(zhí)行； 9.評(píng)審作為一個(gè)“事件”而不是作為一個(gè)持續(xù)過程； 10.不能保證定期評(píng)審整個(gè)體系。持續(xù)的績(jī)效和體系評(píng)審是管理評(píng)審過程的一部分。 IATF16949標(biāo)準(zhǔn)第十章容易發(fā)生的問題 1.書面糾正措施計(jì)劃沒有被執(zhí)行； 2.糾正措施的職責(zé)沒有被指派； 3.強(qiáng)調(diào)“問題解答”勝于和持續(xù)改進(jìn)； 4.產(chǎn)品失效重復(fù)發(fā)生的能力不充足； 5.只有應(yīng)用失效再發(fā)生的糾正措施，沒有應(yīng)用防止問題不發(fā)生的實(shí)際措施（如，未正確應(yīng)用FMEA)。 需提供審核證據(jù)清單 4.1 組織環(huán)境，4.2理解相關(guān)方需求 證據(jù)：環(huán)境因素識(shí)別清單、組織發(fā)展規(guī)劃、內(nèi)外部環(huán)境變化對(duì)質(zhì)量體系的影響分析報(bào)告、組織宏觀分析報(bào)告、SWOT矩陣分析報(bào)告、組織內(nèi)外部環(huán)境定期監(jiān)視、評(píng)審報(bào)告、應(yīng)對(duì)措施，相關(guān)方清單，相關(guān)方需求分析。 4.3確定質(zhì)量體系的范圍： 證據(jù)：組織簡(jiǎn)介與產(chǎn)品簡(jiǎn)介、體系范圍（如橡膠管、油封、密封條的設(shè)計(jì)、制造及銷售所包含的人員、場(chǎng)所及班次）、不適用條款說(shuō)明、公司確認(rèn)的所有過程的清單、文件化信息清單、顧客要求及特殊要求清單、顧客特殊要求評(píng)審記錄。 4.4質(zhì)量管理體系及其過程： 證據(jù)： 1.公司組織機(jī)構(gòu)圖/管理體系機(jī)構(gòu)圖。 2.公司各過程職能分配表。 3.公司顧客導(dǎo)向過程與支持過程相互關(guān)系矩陣圖。 4.過程順序及相互作用圖。 5.顧客導(dǎo)向過程－COP清單。 6.支持過程－SP清單。 7.管理過程－MP)清單 。 8.外程清單。 9.外包風(fēng)險(xiǎn)可行性分析報(bào)告。 10.過程績(jī)效指標(biāo)一覽表。 11.程序文件及管理文件清單。 12.章魚圖/烏龜圖 證據(jù)： 新舊版本標(biāo)準(zhǔn)差距分析報(bào)告、換版行動(dòng)計(jì)劃、過程清單、烏龜圖、過程分析清單及措施、過程績(jī)效一覽表及其過程績(jī)效統(tǒng)計(jì)表、過程相互作用圖、內(nèi)外部環(huán)境對(duì)質(zhì)量管理體系的影響分析報(bào)告。 證據(jù)： 質(zhì)量體系過程網(wǎng)絡(luò)圖、烏龜圖、 管理者對(duì)過程效率的思路與要求、程序文件、作業(yè)文件、檢驗(yàn)文件、操作規(guī)程、產(chǎn)品標(biāo)準(zhǔn)管理制度、過程流程圖、樣本、績(jī)效指標(biāo)統(tǒng)計(jì)表、糾正措施/8D報(bào)告 組織是否確定過程所需的資源并確保其可用性？ 證據(jù)： 員工花名冊(cè)、設(shè)備、工裝清單、監(jiān)視測(cè)量設(shè)備清單、廠區(qū)平面布置圖、知識(shí)清單、員工素質(zhì)矩陣表。 組織是否分派過程的職責(zé)和權(quán)限？ 證據(jù)：部門職責(zé)、崗位說(shuō)明書、組織機(jī)構(gòu)圖、部門結(jié)構(gòu)圖、組織部門任命書、部門績(jī)效考核標(biāo)準(zhǔn)。 組織如何應(yīng)對(duì)確定的風(fēng)險(xiǎn)和機(jī)遇？ 證據(jù)：風(fēng)險(xiǎn)與機(jī)遇措施控制流程、風(fēng)險(xiǎn)與機(jī)遇清單、風(fēng)險(xiǎn)與機(jī)遇分析矩陣、風(fēng)險(xiǎn)與機(jī)遇的措施。 組織如何改進(jìn)過程和質(zhì)量管理體系？ 證據(jù)：數(shù)據(jù)分析報(bào)告、內(nèi)部審核、過程審核、管理評(píng)審、糾正措施、8D報(bào)告、合理化建議方案、持續(xù)改進(jìn)記錄、過程變更信息。 組織是否保留文件化信息？ 證據(jù)：文件清單、記錄清單、文件發(fā)放記錄、文件更改記錄。 管理者應(yīng)如何確保以顧客為關(guān)注焦點(diǎn)的領(lǐng)導(dǎo)作用和承諾？ 證據(jù)：顧要求清單 、顧客特殊要求客清單、顧客合同、顧客質(zhì)量協(xié)議/技術(shù)協(xié)議/保密協(xié)議、顧客圖紙 、法律法規(guī)、顧客滿意度分析報(bào)告、顧客要求評(píng)審記錄。 組織如何確定和應(yīng)對(duì)影響產(chǎn)品符合性以及增強(qiáng)顧客滿意度的能力的風(fēng)險(xiǎn)和機(jī)遇？ 證據(jù)：與外部供方簽訂的供貨合同、質(zhì)量協(xié)議、外部供方業(yè)績(jī)監(jiān)控記錄、第二方審核計(jì)劃及記錄、產(chǎn)品設(shè)計(jì)輸入、輸出的評(píng)審記錄、設(shè)備能力計(jì)算、過程能力指數(shù)、過程風(fēng)險(xiǎn)辨識(shí)清單、信息反饋與糾正措施、產(chǎn)品放行制度、質(zhì)量職責(zé)。 組織如何始終致力于增強(qiáng)顧客滿意度？ 證據(jù)：持續(xù)改進(jìn)方案、培訓(xùn)記錄與評(píng)估、設(shè)備改進(jìn)和先進(jìn)設(shè)備引進(jìn)清單、顧客滿意度測(cè)量與分析報(bào)告、顧客業(yè)績(jī)監(jiān)控記錄、顧客信息反饋與糾正措施。 管理者如何制定、實(shí)施和和保持質(zhì)量方針？ 證據(jù)：質(zhì)量方針及含義解釋、質(zhì)量目標(biāo)、質(zhì)量方針的宣貫記錄。 組織如何溝通質(zhì)量方針？ 證據(jù)：質(zhì)量方針宣貫記錄、宣貫方式、總經(jīng)理辦公會(huì)議記錄、現(xiàn)場(chǎng)提問3-5名員工回答質(zhì)量方針、官方網(wǎng)站宣傳質(zhì)量方針的信息或宣傳資料。 管理者如何確保組織內(nèi)部崗位的職責(zé)和權(quán)限得到分派、溝通和理解？ 證據(jù)：公司組織機(jī)構(gòu)圖、公司質(zhì)量管理體系組織機(jī)構(gòu)圖、各部門組織機(jī)構(gòu)圖、各部門人員工作崗位職責(zé)/權(quán)限/資格說(shuō)明書、 質(zhì)量體系運(yùn)行報(bào)告、 影響管理體系的變更報(bào)告、 總經(jīng)理辦公會(huì)議記錄 、抽查現(xiàn)場(chǎng)員工理解職責(zé)的理解程度。 管理者如何分派組織權(quán)限，以確保質(zhì)量管理體系符合標(biāo)準(zhǔn)要求，并確保各過程獲得其預(yù)期輸出？ 證據(jù)：崗位考核標(biāo)準(zhǔn)、績(jī)效指標(biāo)一覽和統(tǒng)計(jì)表、公司各過程職能分配表。 管理者如何在分派職責(zé)和權(quán)限過程中，以規(guī)定報(bào)告質(zhì)量管理體系的績(jī)效及其改進(jìn)機(jī)會(huì)，特別是 管理者的報(bào)告？ 證據(jù)：管理評(píng)審會(huì)議記錄、溝通記錄、授權(quán)書、體系變報(bào)告、 管理者的批復(fù)。 管理者如何在分派職責(zé)和權(quán)限，以確保組織內(nèi)推動(dòng)以顧客為關(guān)注焦點(diǎn)？ 證據(jù)：以顧客為關(guān)注焦點(diǎn)意識(shí)的培訓(xùn)記錄、顧客信息傳遞記錄。 管理者如何在分派職責(zé)和權(quán)限，以確保在策劃和實(shí)施質(zhì)量管理體系變更時(shí)保持其完整性？ 證據(jù)：變更通知單、結(jié)構(gòu)、流程、規(guī)范、產(chǎn)品和交付方式變更時(shí)的風(fēng)險(xiǎn)評(píng)估報(bào)告及措施。 組織在策劃管理體系時(shí)如何考慮風(fēng)險(xiǎn)與機(jī)遇，以滿足體系要求的? 證據(jù)：環(huán)境因素清單、風(fēng)險(xiǎn)與機(jī)遇分析和措施。 組織策劃的風(fēng)險(xiǎn)與機(jī)遇措施是否進(jìn)行評(píng)價(jià)其有效性？是否對(duì)產(chǎn)品的符合性影響相適應(yīng)？ 證據(jù)：風(fēng)險(xiǎn)改善計(jì)劃（包括風(fēng)險(xiǎn)描述、風(fēng)險(xiǎn)區(qū)域、改善目標(biāo)、改善周期、改善步驟、責(zé)任擔(dān)當(dāng)、資源需求、檢查擔(dān)當(dāng)、檢查結(jié)果）、風(fēng)險(xiǎn)措施（包括規(guī)避風(fēng)險(xiǎn)、承擔(dān)風(fēng)險(xiǎn)、風(fēng)險(xiǎn)源、改變風(fēng)險(xiǎn)的可能性和后果、分擔(dān)風(fēng)險(xiǎn)）、風(fēng)險(xiǎn)與機(jī)遇控制的績(jī)效指標(biāo)及評(píng)價(jià)報(bào)告、風(fēng)險(xiǎn)與機(jī)遇措施對(duì)產(chǎn)品影響分析。 組織是否在相關(guān)職能、層次和質(zhì)量管理體系所需過程建立質(zhì)量目標(biāo)？ 注：按質(zhì)量方針?biāo)_定的目標(biāo)框架制定質(zhì)量目標(biāo) 證據(jù)：公司級(jí)目標(biāo)、部門級(jí)目標(biāo)、過程目標(biāo)、質(zhì)量目標(biāo)實(shí)施統(tǒng)計(jì)表、質(zhì)量目標(biāo)的更新記錄、目標(biāo)未達(dá)成的措施 組織是否保持有關(guān)質(zhì)量目標(biāo)文件化信息？ 證據(jù)：質(zhì)量目標(biāo)文件、質(zhì)量目標(biāo)實(shí)現(xiàn)的方案與計(jì)劃、質(zhì)量目標(biāo)實(shí)現(xiàn)的評(píng)價(jià)記錄。 當(dāng)組織確定需要質(zhì)量管理體系進(jìn)行變更時(shí)，變更是否按策劃的方式實(shí)施？ 證據(jù)：變更信息清單、 政策的變更對(duì)質(zhì)量管理體系的影響分析（企管部）、組織的變更對(duì)質(zhì)量管理體系的影響分析(企管部)、設(shè)備和工藝變更對(duì)質(zhì)量管理體系影響預(yù)測(cè)分析（技術(shù)、質(zhì)管部)、供應(yīng)變更對(duì)質(zhì)量管理體系的影響分析(采購(gòu)部)、 市場(chǎng)的變更對(duì)質(zhì)量管理體系影響預(yù)測(cè)分析(銷售部)。 組織是否確定并提供為建立、實(shí)施。保持和持續(xù)改進(jìn)質(zhì)量管理體系所需資源? 證據(jù)：1.資源清單（人力資源、基礎(chǔ)設(shè)施資源、過程運(yùn)行環(huán)境資源、監(jiān)視和測(cè)量資源、組織的知識(shí)資源等）；2.資源年度預(yù)算。 組織如何確保并配備所需的人員，以有效實(shí)施質(zhì)量管理體系并運(yùn)行和控制其過程？ 證據(jù)：年度招聘計(jì)劃、部門人員需求報(bào)告、培訓(xùn)計(jì)劃、培訓(xùn)記錄、崗位說(shuō)明書（學(xué)歷、技能、培訓(xùn)、經(jīng)驗(yàn)）、人力資源規(guī)劃、員工名冊(cè)、特殊工序及特殊特性人員、特種崗位人員持證率（天車司機(jī)、電工、電焊工、機(jī)動(dòng)車司機(jī)、叉車司機(jī)、電梯工、壓力容器）、工程技術(shù)人員資格、內(nèi)審員和質(zhì)檢員資格。 組織如何確定、提供并維護(hù)所需基礎(chǔ)設(shè)施，以及運(yùn)行過程并獲得合格產(chǎn)品？ 證據(jù)：設(shè)備申請(qǐng)購(gòu)置單、設(shè)備臺(tái)帳及檔案、設(shè)備工裝定期保養(yǎng)維護(hù)計(jì)劃與記錄、設(shè)備維修單、主要設(shè)備日常點(diǎn)檢、運(yùn)轉(zhuǎn)情況記錄、設(shè)備履歷表、設(shè)備工裝處置申請(qǐng)單、設(shè)備驗(yàn)收?qǐng)?bào)告、設(shè)備工裝易損件 庫(kù)存定額、設(shè)備效率統(tǒng)計(jì)表、設(shè)備完好率統(tǒng)計(jì)表、特種設(shè)備準(zhǔn)用證及檢定合格證和上崗證（如行車/叉車/壓力容器/鍋爐等）、組織發(fā)展規(guī)劃。 組織如何確定、提供并維護(hù)其所需的環(huán)境，以運(yùn)行過程并獲得合格產(chǎn)品？ 證據(jù)：過程環(huán)境清單及管理方案、作業(yè)文件 、設(shè)備操作規(guī)程、工藝流程卡 、產(chǎn)品、狀態(tài)標(biāo)識(shí)、現(xiàn)場(chǎng)定置圖及制度 、通道及區(qū)域線、員工應(yīng)知應(yīng)會(huì)內(nèi)容 、5S檢查記錄、應(yīng)急計(jì)劃、危險(xiǎn)源、污染源識(shí)別清單及管理方案。 審核各階段需準(zhǔn)備材料 一階段審核 顧客資料 包括汽車顧客清單、汽車顧客特殊要求清單、與顧客簽訂的合同/協(xié)議等以及合同或協(xié)議的評(píng)審、連續(xù)12個(gè)月的訂單。 體系策劃 過程控制清單、過程矩陣圖、過程關(guān)系圖、風(fēng)險(xiǎn)控制方案、程序文件清單、手冊(cè)、記錄清單。 內(nèi)部審核 包括體系審核、所有涉及到汽車產(chǎn)品制造的過程審核、所有汽車產(chǎn)品的產(chǎn)品審核；如年度計(jì)劃、審核計(jì)劃、審核報(bào)告等。 管理評(píng)審 評(píng)審計(jì)劃、評(píng)審報(bào)告等。 過程績(jī)效指標(biāo) 連續(xù)12個(gè)月的績(jī)效指標(biāo)統(tǒng)計(jì)及趨勢(shì)，包括業(yè)務(wù)計(jì)劃中規(guī)定內(nèi)容、質(zhì)量目標(biāo)、質(zhì)量成本分析、過程指標(biāo)。 與顧客有關(guān)的績(jī)效 顧客抱怨/投訴/退貨處理資料（匯總表、登記表、8D報(bào)告/PPM指標(biāo)及趨勢(shì)、超額運(yùn)費(fèi)等）、顧客滿意度評(píng)價(jià)。 與供方有關(guān)的績(jī)效 供方的PPM指標(biāo)及趨勢(shì)、超額運(yùn)費(fèi)等。 汽車產(chǎn)品標(biāo)準(zhǔn)、顧客圖紙、APQP資料、對(duì)產(chǎn)品的顧客確認(rèn)記錄/第三方檢測(cè)報(bào)告等。 二階段審核 管理層 公司內(nèi)外部環(huán)境因素分析：SWOT分析（競(jìng)爭(zhēng)對(duì)手、行業(yè)標(biāo)桿等）、宏觀因素分析（政治、經(jīng)濟(jì)、文化等）、微觀分析（行業(yè)、產(chǎn)品結(jié)構(gòu)/定位、發(fā)展趨勢(shì)等）； 企業(yè)風(fēng)險(xiǎn)分析：產(chǎn)品、生產(chǎn)、環(huán)保、財(cái)務(wù)、設(shè)計(jì)、制造、供應(yīng)、行業(yè)等； 公司戰(zhàn)略：未來(lái)3~5年的公司總體戰(zhàn)略規(guī)劃及目標(biāo)，戰(zhàn)略展開（職能戰(zhàn)略）及戰(zhàn)略目標(biāo)展開； 年度業(yè)務(wù)計(jì)劃/經(jīng)營(yíng)計(jì)劃制訂及統(tǒng)計(jì)：按照公司總體戰(zhàn)略目標(biāo)制訂本年度公司級(jí)業(yè)務(wù)計(jì)劃并落實(shí)到各部門，建立公司各部門的KPI指標(biāo)，按規(guī)定周期收集和統(tǒng)計(jì)目標(biāo)達(dá)成結(jié)果并進(jìn)行趨勢(shì)分析，提出改進(jìn)措施。需提交連續(xù)12個(gè)月的統(tǒng)計(jì)結(jié)果。業(yè)務(wù)計(jì)劃包括每個(gè)顧客及供應(yīng)商的業(yè)績(jī)監(jiān)控、質(zhì)量成本、質(zhì)量目標(biāo)、經(jīng)營(yíng)性指標(biāo)、管理性指標(biāo)、過程指標(biāo)等； 管理評(píng)審：管理評(píng)審計(jì)劃→各部門匯報(bào)資料匯總→管理評(píng)審會(huì)議簽到→管理評(píng)審報(bào)告→持續(xù)改進(jìn)計(jì)劃→實(shí)施結(jié)果； 內(nèi)部審核： 體系審核：內(nèi)部審核實(shí)施計(jì)劃→審核實(shí)施記錄→體系審核報(bào)告→不符合項(xiàng)報(bào)告（含原因分析、糾正措施及驗(yàn)證）→不符合項(xiàng)分布表→首/末次會(huì)議簽到表； 過程審核：過程審核年度計(jì)劃→過程審核實(shí)施計(jì)劃→審核實(shí)施記錄→過程審核報(bào)告→不符合項(xiàng)報(bào)告（含原因分析、糾正措施及驗(yàn)證）→不符合匯總表→首/末次會(huì)議簽到表； 產(chǎn)品審核：產(chǎn)品審核年度計(jì)劃→產(chǎn)品審核實(shí)施計(jì)劃→實(shí)施記錄（含：全尺寸報(bào)告、各項(xiàng)功能和性能實(shí)驗(yàn)報(bào)告、材料報(bào)告）→產(chǎn)品審核報(bào)告。 生產(chǎn) 生產(chǎn)計(jì)劃：客戶訂單/銷售計(jì)劃→制造可行性評(píng)審→生產(chǎn)計(jì)劃→生產(chǎn)指令→生產(chǎn)統(tǒng)計(jì)；包括產(chǎn)能分析； 生產(chǎn)工藝管理：作業(yè)準(zhǔn)備驗(yàn)證（首檢）、工藝參數(shù)監(jiān)控記錄（如生產(chǎn)不負(fù)責(zé)則由質(zhì)量負(fù)責(zé)）； 生產(chǎn)過程控制：交接班記錄、生產(chǎn)動(dòng)態(tài)記錄（設(shè)備維修、模具/工裝維修、刀具/工具更換、產(chǎn)品更換、物料更換等）； 現(xiàn)場(chǎng)管理：區(qū)域劃分（生產(chǎn)區(qū)、合格區(qū)、來(lái)料放置區(qū)、待檢區(qū)、不合格區(qū)、發(fā)貨區(qū)、通道等）、產(chǎn)品標(biāo)識(shí)、現(xiàn)場(chǎng)應(yīng)保持干凈整潔。 設(shè)備 臺(tái)帳→設(shè)備卡→年度保養(yǎng)計(jì)劃→保養(yǎng)記錄→日常點(diǎn)檢記錄→維修記錄→績(jī)效指標(biāo)統(tǒng)計(jì)；滿足預(yù)測(cè)性維修要求； 新設(shè)備或大修后→設(shè)備驗(yàn)收記錄→臺(tái)賬→設(shè)備履歷； 設(shè)備標(biāo)識(shí)：環(huán)境保護(hù)設(shè)備/防護(hù)設(shè)備/關(guān)鍵設(shè)備的標(biāo)識(shí)及狀態(tài)標(biāo)識(shí)（待修、停用、正常等）； 特種設(shè)備管理：清單、備案資料、年檢記錄；包括：行車、叉車、電梯、壓力容器、鍋爐等。 工裝 新工裝：開發(fā)計(jì)劃→工裝設(shè)計(jì)（圖紙、標(biāo)準(zhǔn)等）→采購(gòu)訂單/自制計(jì)劃→驗(yàn)收單（檢驗(yàn)記錄等）→臺(tái)帳 日常管理：臺(tái)帳→庫(kù)存定期檢查記錄→維修記錄→定期精度檢查報(bào)告報(bào)→工裝履歷→廢申請(qǐng)單（要填上處置記錄） 工裝標(biāo)識(shí)：編號(hào)、產(chǎn)權(quán)及狀態(tài)標(biāo)識(shí)（待修、停用、正常、報(bào)廢等）； 注：工裝包括工具、專用檢具、模具、夾具、刀具（含磨具）、可重復(fù)利用的物流器具等。 質(zhì)量 新的原料或新零件→樣品報(bào)告（公司的檢驗(yàn)和試驗(yàn)記錄、生產(chǎn)試用報(bào)告等；供方提供的材料報(bào)告、功能性能報(bào)告、可靠性試驗(yàn)報(bào)告及第三方的檢測(cè)報(bào)告等）； 常規(guī)采購(gòu)的產(chǎn)品→報(bào)檢單→進(jìn)貨檢驗(yàn)記錄； 生產(chǎn)過程：工藝參數(shù)監(jiān)控記錄（如質(zhì)量不負(fù)責(zé)則由生產(chǎn)負(fù)責(zé)）、產(chǎn)品檢驗(yàn)報(bào)告書、過程質(zhì)量記錄（自檢、首件檢驗(yàn)、巡檢、轉(zhuǎn)序檢、入庫(kù)檢、現(xiàn)場(chǎng)控制圖、定期Cpk分析報(bào)告等）、成品檢驗(yàn)記錄（檢驗(yàn)記錄單、報(bào)告書）、標(biāo)識(shí)（現(xiàn)場(chǎng)要有即可）、顧客來(lái)料檢驗(yàn)記錄； 退貨或顧客抱怨：顧客投訴登記表→匯總→8D報(bào)告→變更通知單+文件更改通知單→相關(guān)文件修訂（控制計(jì)劃、FMEAs、工藝、檢驗(yàn)規(guī)程等）；該項(xiàng)由營(yíng)銷或質(zhì)量提供； 不合格控制：不合格處置單、如報(bào)廢則有報(bào)廢通知單、返工有返工復(fù)檢記錄、不合格匯總表→定期的不合格優(yōu)先減免計(jì)劃→糾正/措施驗(yàn)證記錄→變更通知單+文件更改通知單→相關(guān)文件修訂（控制計(jì)劃、FMEAs、工藝、檢驗(yàn)規(guī)程等） ； 針對(duì)重大不合格項(xiàng)目→糾正/措施驗(yàn)證記錄 →變更通知單+文件更改通知單→相關(guān)文件修訂（控制計(jì)劃、FMEAs、工藝、檢驗(yàn)規(guī)程等）； 監(jiān)視和測(cè)量裝置：臺(tái)帳→校準(zhǔn)/檢定計(jì)劃→校準(zhǔn)/檢定記錄（內(nèi)外部的校準(zhǔn)記錄、偏離記錄、校準(zhǔn)履歷等）→有效期標(biāo)識(shí)→試用前的校正記錄→試驗(yàn)設(shè)備的日常點(diǎn)檢記錄→定期巡查記錄；該類裝置包含產(chǎn)品的檢驗(yàn)和試驗(yàn)設(shè)備/儀器儀表/檢具和監(jiān)控過程參數(shù)的儀器儀表（如壓力表、溫控器、電壓表、電流表、流量計(jì)、時(shí)間繼電器、熱電偶等）等；定期的MSA分析報(bào)告； 實(shí)驗(yàn)室：標(biāo)準(zhǔn)樣品一覽表→樣品標(biāo)識(shí)卡；實(shí)驗(yàn)室環(huán)境條件監(jiān)控記錄（溫濕度、清潔度等）； 試驗(yàn)樣品登記→試驗(yàn)原始記錄→試驗(yàn)報(bào)告→試驗(yàn)樣品處理記錄等。 技術(shù) 新品開發(fā)：每個(gè)系列產(chǎn)品至少一套完整的APQP資料；關(guān)注產(chǎn)品標(biāo)準(zhǔn)、顧客要求、開發(fā)目標(biāo)、產(chǎn)品設(shè)計(jì)驗(yàn)證/評(píng)審/確認(rèn)記錄、階段性驗(yàn)證報(bào)告等； 所有汽車產(chǎn)品的PPAP資料，包括所有產(chǎn)品的圖紙、控制計(jì)劃、工藝文件； 過程驗(yàn)證：工藝驗(yàn)證記錄（PPK、MSA、特殊過程、產(chǎn)能、成本、合格率等）； 設(shè)計(jì)更改：申請(qǐng)單→變更前的評(píng)審→變更方案→變更記錄→變更后的評(píng)審→技術(shù)通知單/文件更改通知單→ 相關(guān)文件修訂（圖紙、標(biāo)準(zhǔn)、FMEAs、控制計(jì)劃、工藝、檢驗(yàn)規(guī)程等）→變更履歷； 技術(shù)文件管理：技術(shù)文件清單→文件歸檔記錄→復(fù)印分發(fā)記錄→修訂記錄→修訂后的收發(fā)記錄→借閱記錄；外來(lái)文件清單（與產(chǎn)品有關(guān)的標(biāo)準(zhǔn)）→文件歸檔記錄→復(fù)印分發(fā)記錄→有效性檢查及更新記錄→借閱記錄。 營(yíng)銷 市場(chǎng)營(yíng)銷：市場(chǎng)分析、行業(yè)分析、市場(chǎng)定位、業(yè)務(wù)分析、競(jìng)爭(zhēng)對(duì)手與行業(yè)標(biāo)桿分析、SOWT分析、營(yíng)銷策略、營(yíng)銷規(guī)劃等； 顧客檔案：顧客清單→顧客特殊要求清單； 合同管理（包括銷售合同、技術(shù)協(xié)議、質(zhì)量協(xié)議、圖紙等）→合同評(píng)審表； 訂單管理：顧客訂單/銷售計(jì)劃→可制造性評(píng)審記錄→月度訂單登記→發(fā)貨計(jì)劃→訂單執(zhí)行跟蹤記錄→發(fā)貨記錄→銷售業(yè)績(jī)統(tǒng)計(jì)； 退貨或顧客抱怨：顧客投訴登記表→匯總→8D報(bào)告→變更通知單+文件更改通知單→相關(guān)文件修訂（控制計(jì)劃、FMEAs、工藝、檢驗(yàn)規(guī)程等）；該項(xiàng)由質(zhì)量或營(yíng)銷提供； 滿意度管理：顧客滿意度調(diào)查表（發(fā)給客戶）/顧客滿意度測(cè)評(píng)（內(nèi)部評(píng)價(jià)）→顧客滿意度評(píng)價(jià)報(bào)告； 顧客文件管理：顧客文件清單（顧客標(biāo)準(zhǔn)、圖紙、合同、技術(shù)要求、相關(guān)協(xié)議等）→文件歸檔記錄→復(fù)印分發(fā)記錄→更新記錄→修訂后的收發(fā)記錄→借閱記錄。 采購(gòu) 供應(yīng)商資料：可接受供應(yīng)商清單→供應(yīng)商資料（基本信息調(diào)查表、營(yíng)業(yè)執(zhí)照復(fù)印件、機(jī)構(gòu)代碼證復(fù)印件、體系復(fù)印件（含質(zhì)量體系、環(huán)境體系等）、特殊行業(yè)生產(chǎn)許可證/運(yùn)輸證復(fù)印件、危險(xiǎn)廢棄物處理資質(zhì)等）； 供方評(píng)價(jià)：供方開發(fā)計(jì)劃→資料收集→潛在供方清單→評(píng)審計(jì)劃→供應(yīng)商評(píng)審記錄→可接受供應(yīng)商清單→采購(gòu)協(xié)議（新品開發(fā)協(xié)議、技術(shù)協(xié)議、質(zhì)量協(xié)議、保密協(xié)議、價(jià)格協(xié)議、框架采購(gòu)合同、物流/包裝協(xié)議、環(huán)保協(xié)議等）； 樣件管理：新品開發(fā)→技術(shù)文件簽訂和發(fā)放（各類協(xié)議、圖紙、標(biāo)準(zhǔn)等）→OTS送樣→樣件認(rèn)可→PPAP提交（必要時(shí)）→PPAP認(rèn)可（必要時(shí)）→量采； 變更管理：更新后的文件→文件收發(fā)記錄（舊文件回收、新文件發(fā)放）→零件更改后送樣送樣→樣件認(rèn)可→PPAP提交→PPAP認(rèn)可→量采切換； 采購(gòu)管理：物料需求計(jì)劃→采購(gòu)計(jì)劃→采購(gòu)訂單→報(bào)檢單→進(jìn)貨檢驗(yàn)記錄→入庫(kù)單→供應(yīng)商業(yè)績(jī)?cè)u(píng)定； 不合格控制：不合格處置單→處置記錄（退貨、挑選等）→供方整改→整改驗(yàn)證記錄→供應(yīng)商業(yè)績(jī)考核； 供方文件管理：與供方有關(guān)的文件清單（標(biāo)準(zhǔn)、圖紙、合同、技術(shù)要求、相關(guān)協(xié)議等）→文件歸檔記錄→復(fù)印分發(fā)記錄→更新記錄→修訂后的收發(fā)記錄。 倉(cāng)庫(kù) 賬卡物一致、標(biāo)識(shí)清楚、堆放整齊、防護(hù)符合環(huán)境要求、出入庫(kù)記錄齊全、先進(jìn)先出方式明確、庫(kù)房區(qū)域劃分/布局、出貨檢查記錄等； 相關(guān)方財(cái)產(chǎn)管理（硬件：設(shè)備、工裝/模具/檢具/物流器具、材料或零件等）：相關(guān)方財(cái)產(chǎn)清單→到貨通知→檢查記錄→產(chǎn)權(quán)標(biāo)識(shí)→入庫(kù)管理→出貨記錄/消耗記錄/周轉(zhuǎn)記錄→定期檢查/保養(yǎng)/維護(hù)或維修記錄→損壞記錄（如有）→報(bào)告相關(guān)方的記錄（如有）；具體管理按公司的設(shè)備、工裝/模具/檢具/物流器具、材料或零件等的管理要求進(jìn)行。 人力資源 培訓(xùn)：培訓(xùn)需求（各部門提出、公司戰(zhàn)略、崗位能力評(píng)價(jià)、新員工/轉(zhuǎn)崗員工、/環(huán)保、新品開發(fā)等）→年度培訓(xùn)計(jì)劃→月度培訓(xùn)計(jì)劃→培訓(xùn)記錄（簽到表、培訓(xùn)記錄）→培訓(xùn)效果評(píng)價(jià)； 人力資源管理：?jiǎn)T工名冊(cè)、新員工試用考核、特殊工種人員情況表、技能矩陣及能力評(píng)價(jià)、員工績(jī)效考核、頂崗計(jì)劃、職業(yè)規(guī)劃及晉升通道、合理化建議/自主改善/QC小組活動(dòng)。 滿意度評(píng)價(jià)：?jiǎn)T工滿意度調(diào)查→員工滿意度調(diào)查匯總分析→改進(jìn)措施及驗(yàn)證。 文控/記錄 受控文件清單（管理性清單）→文件審批→分發(fā)記錄→修訂記錄→修訂后的收發(fā)記錄→借閱記錄； 記錄清單（含規(guī)定的保存周期）→分發(fā)記錄→修訂記錄→修訂后的收發(fā)記錄； 說(shuō)明： 1、管理性文件包括手冊(cè)、方針目標(biāo)、年度經(jīng)營(yíng)計(jì)劃、程序文件、記錄格式、管理制度、操作規(guī)程、作業(yè)指導(dǎo)書等。 2、操作規(guī)程及作業(yè)指導(dǎo)書不包括產(chǎn)品制造工藝類文件。 財(cái)務(wù) 成本核算：至少核算到各工序產(chǎn)品成本； 收集生產(chǎn)過程的不合格品、廢品數(shù)據(jù)，核算內(nèi)部損失。 收集顧客退貨數(shù)據(jù)和索賠數(shù)據(jù)，核算外部損失。 終形成質(zhì)量成本分析報(bào)告，關(guān)注質(zhì)量損失的趨勢(shì)。

ISO27001認(rèn)證控制要求 文章導(dǎo)讀：表 A.1 控制目標(biāo)和控制措施 A.5 方針 A.5.1 信息方針 目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支 持信息。 A.5.1.1 信 息 方針 文件 信 息 方針 的評(píng)審 控制... 表 A.1 控制目標(biāo)和控制措施 A.5 方針 A.5.1 信息方針 目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息。 A.5.1.1 信 息 方針 文件 信 息 方針 的評(píng)審 控制措施 信息方針文件應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相 關(guān)方。 A.5.1.2 控制措施 應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息方針評(píng)審，以 確保它持續(xù)的適宜性、充分性和有效性。 A.6 信息組織 A.6.1 內(nèi)部組織 目標(biāo)：在組織內(nèi)管理信息 A.6.1.1 信息的管 理承諾 信息協(xié)調(diào) 控制措施 管理者應(yīng)通過清晰的說(shuō)明、可證實(shí)的承諾、明確的信息職責(zé)分配 及確認(rèn)，來(lái)積極支持組織內(nèi)的。 A.6.1.2 控制措施 信息活動(dòng)應(yīng)由來(lái)自組織不同部門并具備相關(guān)角色和工作職責(zé)的 代表進(jìn)行協(xié)調(diào)。 A.6.1.3 A.6.1.4 A.6.1.5 信息職責(zé) 的分配 信息處理設(shè)施 的授權(quán)過程 保密性協(xié)議 控制措施 所有的信息職責(zé)應(yīng)予以清晰地定義。 控制措施 新信息處理設(shè)施應(yīng)定義和實(shí)施一個(gè)管理授權(quán)過程。 控制措施 應(yīng)識(shí)別并定期評(píng)審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的 要求。 A.6.1.6 A.6.1.7 A.6.1.8 與政府部門的 聯(lián)系 與特定利益團(tuán) 體的聯(lián)系 信息的獨(dú) 立評(píng)審 控制措施 應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系。 控制措施 應(yīng)保持與特定利益團(tuán)體、其他專家組和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。 控制措施 組織管理信息的方法及其實(shí)施（例如信息的控制目標(biāo)、控制 措施、策略、過程和程序）應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評(píng)審， 當(dāng)安 全實(shí)施發(fā)生重大變化時(shí)，也要進(jìn)行獨(dú)立評(píng)審。 A.6.2 外部各方 目標(biāo)：保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的。 A.6.2.1 與外部 各方相 關(guān)風(fēng)險(xiǎn)的識(shí)別 處理與顧客有 關(guān)的問題 控制措施 應(yīng)識(shí)別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)， 并在允許訪問前實(shí)施適當(dāng)?shù)目刂拼胧? A.6.2.2 控制措施 應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的要求。 A.6.2.3 處理第三方協(xié) 議中的問 題 控制措施 涉及訪問、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第 三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議， 應(yīng)涵 蓋所有相關(guān)的要求。 A.7 資產(chǎn)管理 A.7.1 對(duì)資產(chǎn)負(fù)責(zé) 目標(biāo)：實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)。 A.7.1.1 A.7.1.2 資產(chǎn)清單 資產(chǎn)責(zé)任人 控制措施 應(yīng)清晰的識(shí)別所有資產(chǎn)，編制并維護(hù)所有重要資產(chǎn)的清單。 控制措施 與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員 1 承擔(dān)責(zé)任 。 A.7.1.3 資 產(chǎn) 的 合 格 使 控制措施 用 與信息處理設(shè)施有關(guān)的信息和資產(chǎn)使用允許規(guī)則應(yīng)被確定、形成文件 并加以實(shí)施。 A.7.2 信息分類 目標(biāo)：確保信息受到適當(dāng)級(jí)別的保護(hù)。 A.7.2.1 A.7.2.2 分類指南 信息的標(biāo)記和 處理 控制措施 信息應(yīng)按照它對(duì)組織的價(jià)值、法律要求、敏感性和關(guān)鍵性予以分類。 控制措施 應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記和處 理程序。 A.8 人力資源 2 A.8.1 任用 之前 目標(biāo)：確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的，以降 低設(shè) 施被竊、欺詐和誤用的風(fēng)險(xiǎn)。 A.8.1.1 角色和職責(zé) 控制措施 雇員、承包方人員和第三方人員的角色和職責(zé)應(yīng)按照組織的信息 方針定義并形成文件。 A.8.1.2 審查 控制措施 關(guān)于所有任用的候選者、承包方人員和第三方人員的背景驗(yàn)證檢查應(yīng) 按照相關(guān)法律法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求、被訪問信息的 類別 和察覺的風(fēng)險(xiǎn)來(lái)執(zhí)行。 A.8.1.3 任用條款和條 件 控制措施 作為他們合同義務(wù)的一部分，雇員、承包方人員和第三方人員應(yīng)同意 并簽署他們的任用合同的條款和條件，這些條款和條件要聲明他 們和 組織的信息職責(zé)。 A.8.2 任用中 目標(biāo)：確保所有的雇員、承包方人員和第三方人員知悉信息威脅和利害關(guān)系、他們的職責(zé)和義 務(wù)、并準(zhǔn)備好在其 正常工作過程中支持組織的方針，以減少人為過失的風(fēng)險(xiǎn)。 1 解釋：術(shù)語(yǔ)“責(zé)任人”是被認(rèn)可，具有控制生產(chǎn)、開發(fā)、保持、使用和資產(chǎn)的個(gè)人或?qū)嶓w。術(shù)語(yǔ)“責(zé) 任人”不指實(shí)際上對(duì)資產(chǎn)具 有財(cái)產(chǎn)權(quán)的人。 2 解釋：這里的“任用”意指以下不同的情形：人員任用（暫時(shí)的或長(zhǎng)期的） 、工作角色的指定、工作角色 的變化 、合同的分配及所有這些安排的終止。 A.8.2.1 管理職責(zé) 控制措施 管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針 策略和程序?qū)ΡM心盡力。 A.8.2.2 信息意識(shí)、 控制措施 教育和培訓(xùn) 組織的所有雇員，適當(dāng)時(shí)，包括承包方人員和第三方人員，應(yīng)受到與 其工作職能相關(guān)的適當(dāng) 的意識(shí)培訓(xùn)和組織方針策略及程序的定期更 新培訓(xùn)。 紀(jì)律處理過程 A.8.2.3 控制措施 對(duì)于違規(guī)的雇員，應(yīng)有一個(gè)正式的紀(jì)律處理過程。 A.8.3 任用的終止或變化 目標(biāo)：確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系。 A.8.3.1 A.8.3.2 終止職責(zé) 資產(chǎn)的歸還 控制措施 任用終止或任用變化的職責(zé)應(yīng)清晰的定義和分配。 控制措施 所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時(shí)， 應(yīng)歸還他們使用的所有組織資產(chǎn)。 A.8.3.3 撤銷訪問權(quán) 控制措施 所有雇員、承包方人員和第三方人員對(duì)信息和信息處理設(shè)施的訪問權(quán) 應(yīng)在任用、合同或協(xié)議終止時(shí)刪除，或在變化時(shí)調(diào)整。 A.9 物理和環(huán)境 A.9.1 區(qū)域 目標(biāo)：防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問、損壞和干擾。 A.9.1.1 物理邊界 控制措施 應(yīng)使用邊界 （諸如墻、 卡控制的入口或有人管理的接待臺(tái)等屏障） 來(lái)保護(hù)包含信息和信息處理設(shè)施的區(qū)域。 A.9.1.2 物理入口控制 控制措施 區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許 訪問。 A.9.1.3 辦公室、 房間和 控制措施 設(shè) 施 的 安 全 保 應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理措施。 護(hù) 外部和環(huán)境威 脅的防 護(hù) 在區(qū)域工 作 A.9.1.4 控制措施 為防止火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然或人為 災(zāi)難引起的破壞，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。 A.9.1.5 A.9.1.6 控制措施 應(yīng)設(shè)計(jì)和運(yùn)用用于區(qū)域工作的物理保護(hù)和指南。 公共訪問、 交接 控制措施 區(qū) 訪問點(diǎn)（例如交接區(qū)）和未授權(quán)人員可進(jìn)入辦公場(chǎng)所的其他點(diǎn)應(yīng)加以 控制，如果可能，要與信息 處理設(shè)施隔離，以避免未授權(quán)訪問。 A.9.2 設(shè)備 目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)以及組織活動(dòng)的中斷。 A.9.2.1 設(shè)備安置和保 護(hù) 控制措施 應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及 未授權(quán)訪問的機(jī)會(huì)。 A.9.2.2 支持性設(shè)施 控制措施 應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他 中斷。 A.9.2.3 布纜 控制措施 應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或 損壞。 A.9.2.4 A.9.2.5 設(shè)備維護(hù) 控制措施 設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。 組 織 場(chǎng) 所 外 的 控制措施 設(shè)備 應(yīng)對(duì)組織場(chǎng)所的設(shè)備采取措施，要考慮工作在組織場(chǎng)所以外的不 同風(fēng)險(xiǎn)。 設(shè)備的 處 置或再利用 資產(chǎn)的移動(dòng) A.9.2.6 控制措施 包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任 何敏感信息和注冊(cè)軟件已被刪除或重寫。 A.9.2.7 控制措施 設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所。 A.10 通信和操作管理 A.10.1 操作程序和職責(zé) 目標(biāo)：確保正確、的操作信息處理設(shè)施。 A.10.1.1 A.10.1.2 A.10.1.3 文件化 的操作 程序 變更管理 責(zé)任分割 控制措施 操作程序應(yīng)形成文件、保持并對(duì)所有需要的用戶可用。 控制措施 對(duì)信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制。 控制措施 各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以降低未授權(quán)或無(wú)意識(shí)的修改或者 不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。 A.10.1.4 開發(fā)、測(cè)試和 運(yùn)行設(shè)施分離 控制措施 開發(fā)、測(cè)試和運(yùn)行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運(yùn)行系統(tǒng)的 風(fēng)險(xiǎn)。 A.10.2 第三方服務(wù)交付管理 目標(biāo)：實(shí)施和保持符合第三方服務(wù)交付協(xié)議的信息和服務(wù)交付的適當(dāng)水準(zhǔn)。 A.10.2.1 服務(wù)交付 控制措施 應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付協(xié)議中的 控制措施、服務(wù)定義和交付水準(zhǔn)。 A.10.2.2 第三方服務(wù)的 監(jiān)視和評(píng)審 第三方服務(wù)的 變更管理 控制措施 應(yīng)定期監(jiān)視和評(píng)審由第三方提供的服務(wù)、報(bào)告和記錄，審核也應(yīng)定期 執(zhí)行。 A.10.2.3 控制措施 應(yīng)管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息方針策略、 程序和控制措施，要考慮業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險(xiǎn) 的再 評(píng)估。 A.10.3 系統(tǒng)規(guī)劃和驗(yàn)收 目標(biāo)：將系統(tǒng)失效的風(fēng)險(xiǎn)降至小。 A.10.3.1 容量管理 控制措施 資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對(duì)于未來(lái)容量要求的預(yù)測(cè)， 以確保擁有所需的系統(tǒng)性能。 A.10.3.2 系統(tǒng)驗(yàn)收 控制措施 應(yīng)建立對(duì)新信息系統(tǒng)、升級(jí)及新版本的驗(yàn)收準(zhǔn)則，并且在開發(fā)中和驗(yàn) 收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試。 A.10.4 防范惡意和移動(dòng)代碼 目標(biāo)：保護(hù)軟件和信息的完整性。 A.10.4.1 控制惡意代碼 控制措施 應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂?戶意識(shí)的程序。 A.10.4.2 控制移動(dòng)代碼 控制措施 當(dāng)授權(quán)使用移動(dòng)代碼時(shí)，其配置應(yīng)確保授權(quán)的移動(dòng)代碼按照清晰定義 的策略運(yùn)行，應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。 A.10.5 備份 目標(biāo)：保持信息和信息處理設(shè)施的完整性及可用性。 A.10.5.1 信息備份 控制措施 應(yīng)按照已設(shè)的備份策略，定期備份和測(cè)試信息和軟件。 A.10.6 網(wǎng)絡(luò)管理 目標(biāo)：確保網(wǎng)絡(luò)中信息的性并保護(hù)支持性的基礎(chǔ)設(shè) 施。 A.10.6.1 網(wǎng)絡(luò)控制 控制措施 應(yīng)充分管理和控制網(wǎng)絡(luò)，以防止威脅的發(fā)生，維護(hù)系統(tǒng)和使用網(wǎng)絡(luò)的 應(yīng)用程序的，包括傳輸中的信息。 A.10.6.2 網(wǎng)絡(luò)服務(wù)的安 全 控制措施 特性、服務(wù)級(jí)別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括 在所有網(wǎng)絡(luò)服務(wù)協(xié)議中，無(wú)論這些服務(wù)是由內(nèi)部提供的還是外包 的。 A.10.7 介質(zhì)處置 目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)的中斷。 A.10.7.1 A.10.7.2 A.10.7.3 可移動(dòng) 介質(zhì)的 管理 介質(zhì)的處置 信息處理程序 控制措施 應(yīng)有適當(dāng)?shù)目梢苿?dòng)介質(zhì)的管理程序。 控制措施 不再需要的介質(zhì)，應(yīng)使用正式的程序可靠并地處置。 控制措施 應(yīng)建立信息的處理及存儲(chǔ)程序，以防止信息的未授權(quán)的泄漏或不當(dāng)使 用。 A.10.7.4 系統(tǒng)文件 控制措施 應(yīng)保護(hù)系統(tǒng)文件以防止未授權(quán)的訪問。 A.10.8 信息的交換 目標(biāo)：保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的。 A.10.8.1 信息交換策略 和程序 控制措施 應(yīng)有正式的交換策略、程序和控制措施，以保護(hù)通過使用各種類型通 信設(shè)施的信息交換。 A.10.8.2 A.10.8.3 交換協(xié)議 運(yùn)輸中的物理 介質(zhì) 電子消息發(fā)送 業(yè)務(wù)信息系統(tǒng) 控制措施 應(yīng)建立組織與外部團(tuán)體交換信息和軟件的協(xié)議。 控制措施 包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪 問、不當(dāng)使用或毀壞。 A.10.8.4 A.10.8.5 控制措施 包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Ｗo(hù)。 控制措施 應(yīng)建立并實(shí)施策略和程序，以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信息。 A.10.9 電子商務(wù)服務(wù) 目標(biāo)：確保電子商務(wù)服務(wù)的及其使用。 A.10.9.1 電子商務(wù) 控制措施 包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)受保護(hù)，以防止欺詐活 動(dòng)、合同爭(zhēng)議和未授權(quán)的泄露和修改。 A.10.9.2 在線交易 控制措施 包含在在線交易中的信息應(yīng)受保護(hù)，以防止不完全傳輸、錯(cuò)誤路由、 未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。 A.10.9.3 公共可用信息 控制措施 在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修 改。 A.10.10 監(jiān)視 目標(biāo)：檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。 A.10.10.1 審核日志 控制措施 應(yīng)產(chǎn)生記錄用戶活動(dòng)、異常和信息事態(tài)的審核日志，并要保持一 個(gè)已設(shè)的周期以支持將來(lái)的調(diào)查和訪問控制監(jiān)視。 A.10.10.2 A.10.10.3 監(jiān)視系統(tǒng)的使 用 日志信息的保 護(hù) 管理員和操作 員日志 故障日志 時(shí)鐘同步 控制措施 應(yīng)建立信息處理設(shè)施的監(jiān)視使用程序，監(jiān)視活動(dòng)的結(jié)果要經(jīng)常評(píng)審。 控制措施 記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪 問。 A.10.10.4 A.10.10.5 A.10.10.6 控制措施 系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志。 控制措施 故障應(yīng)被記錄、分析，并采取適當(dāng)?shù)拇胧? 控制措施 一個(gè)組織或域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的 時(shí)間源進(jìn)行同步。 A.11 訪問控制 A.11.1 訪問控制的業(yè)務(wù)要求 目標(biāo)：控制對(duì)信息的訪問。 A.11.1.1 訪問控制策略 控制措施 訪問控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和訪問的要求進(jìn)行 評(píng)審。 A.11.2 用戶訪問管理 目標(biāo)：確保授權(quán)用戶訪問信息系統(tǒng)，并防止未授權(quán)的訪問。 A.11.2.1 用戶注冊(cè) 控制措施 應(yīng)有正式的用戶注冊(cè)及注銷程序，來(lái)授權(quán)和撤銷對(duì)所有信息系統(tǒng)及服 務(wù)的訪問。 A.11.2.2 A.11.2.3 A.11.2.4 特殊權(quán)限管理 用戶口令管理 用戶訪問權(quán)的 復(fù)查 控制措施 應(yīng)限制和控制特殊權(quán)限的分配及使用。 控制措施 應(yīng)通過正式的管理過程控制口令的分配。 控制措施 管理者應(yīng)定期使用正式過程對(duì)用戶的訪問權(quán)進(jìn)行復(fù)查。 A.11.3 用戶職責(zé) 目標(biāo)：防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪問、危害或竊取。 A.11.3.1 A.11.3.2 A.11.3.3 口令使用 無(wú)人 值守的用 戶設(shè)備 清空桌面和屏 幕策略 控制措施 應(yīng)要求用戶在選擇及使用口令時(shí)，遵循良好的習(xí)慣。 控制措施 用戶應(yīng)確保無(wú)人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。 控制措施 應(yīng)采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施 屏幕的策略。 A.11.4 網(wǎng)絡(luò)訪問控制 目標(biāo)：防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問。 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 使用網(wǎng)絡(luò) 服務(wù) 的策略 外部連接的用 戶鑒別 網(wǎng)絡(luò)上的設(shè)備 標(biāo)識(shí) 遠(yuǎn)程診斷和配 置端口的保護(hù) 網(wǎng)絡(luò)隔離 網(wǎng)絡(luò)連接控制 控制措施 用戶應(yīng)僅能訪問已獲專門授權(quán)使用的服務(wù)。 控制措施 應(yīng)使用適當(dāng)?shù)蔫b別方法以控制遠(yuǎn)程用戶的訪問。 控制措施 應(yīng)考慮自動(dòng)設(shè)備標(biāo)識(shí)，將其作為鑒別特定位置和設(shè)備連接的方法。 控制措施 對(duì)于診斷和配置端口的物理和邏輯訪問應(yīng)加以控制。 控制措施 應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)。 控制措施 對(duì)于共享的網(wǎng)絡(luò)，特別是越過組織邊界的網(wǎng)絡(luò)，用戶的聯(lián)網(wǎng)能力應(yīng)按 照訪問控制策略和業(yè)務(wù)應(yīng)用要求加以限制（見 11.1）。 A.11.4.7 網(wǎng)絡(luò)路由控制 控制措施 應(yīng)在網(wǎng)絡(luò)中實(shí)施路由控制，以確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng) 用的訪問控制策略。 A.11.5 操作系統(tǒng)訪問控制 目標(biāo)：防止對(duì)操作系統(tǒng)的未授權(quán)訪問。 A.11.5.1 A.11.5.2 登錄程序 用戶標(biāo)識(shí)和鑒 別 控制措施 訪問操作系統(tǒng)應(yīng)通過登錄程序加以控制。 控制措施 所有用戶應(yīng)有 的、 其個(gè)人使用的標(biāo)識(shí)符（用戶 ID），應(yīng)選擇 一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份。 A.11.5.3 A.11.5.4 口令管理系統(tǒng) 系統(tǒng)實(shí)用工具 的使用 會(huì)話超時(shí) 聯(lián)機(jī)時(shí)間的限 定 控制措施 口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令。 控制措施 可能超越系統(tǒng)和應(yīng)用程序控制的實(shí)用工具的使用應(yīng)加以限制并嚴(yán)格 控制。 A.11.5.5 A.11.5.6 控制措施 不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉。 控制措施 應(yīng)使用聯(lián)機(jī)時(shí)間的限制，為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的。 A.11.6 應(yīng)用和信息訪問控制 目標(biāo)：防止對(duì)應(yīng)用系統(tǒng)中信息的未授權(quán)訪問。 A.11.6.1 信息訪問限制 控制措施 用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問 控制策略加以限制。 A.11.6.2 敏感系統(tǒng)隔離 控制措施 敏感系統(tǒng)應(yīng)有專用的（隔離的）運(yùn)算環(huán)境。 A.11.7 移動(dòng)計(jì)算和遠(yuǎn)程工作 目標(biāo)：確保使用可移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息。 A.11.7.1 移動(dòng)計(jì)算和通 信 遠(yuǎn)程工作 控制措施 應(yīng)有正式策略并且采用適當(dāng)?shù)拇胧?，以防范使用移?dòng)計(jì)算和通信 設(shè)施時(shí)所造成的風(fēng)險(xiǎn)。 A.11.7.2 控制措施 應(yīng)為遠(yuǎn)程工作活動(dòng)開發(fā)和實(shí)施策略、操作計(jì)劃和程序。 A.12 信息系統(tǒng)獲取、開發(fā)和維護(hù) A.12.1 信息系統(tǒng)的要求 目標(biāo)：確保是信息系統(tǒng)的一個(gè)有機(jī)組成部分。 A.12.1.1 要 求分析 和說(shuō)明 控制措施 在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對(duì)安 全控制措施的要求。 A.12.2 應(yīng)用中的正確處理 目標(biāo)：防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤、遺失、未授權(quán)的修改及誤用。 A.12.2.1 A.12.2.2 輸入數(shù)據(jù)驗(yàn)證 內(nèi)部處理的控 制 消息完整性 控制措施 輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗(yàn)證，以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹? 控制措施 驗(yàn)證檢查應(yīng)整合到應(yīng)用中，以檢查由于處理的錯(cuò)誤或故意的行為造成 的信息的訛誤。 A.12.2.3 控制措施 應(yīng)用中的確保真實(shí)性和保護(hù)消息完整性的要求應(yīng)得到識(shí)別，適當(dāng)?shù)目?制措施也應(yīng)得到識(shí)別并實(shí)施。 A.12.2.4 輸出數(shù)據(jù)驗(yàn)證 控制措施 從應(yīng)用系統(tǒng)輸出的數(shù)據(jù)應(yīng)加以驗(yàn)證，以確保對(duì)所存儲(chǔ)信息的處理是正 確的且適于環(huán)境的。 A.12.3 密碼控制 目標(biāo)：通過密碼方法保護(hù)信息的保密性、真實(shí)性或完整性。 A.12.3.1 A.12.3.2 使用密碼控制 的策略 密鑰管理 控制措施 應(yīng)開發(fā)和實(shí)施使用密碼控制措施來(lái)保護(hù)信息的策略。 控制措施 應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。 A.12.4 系統(tǒng)文件的 目標(biāo)：確保系統(tǒng)文件的 A.12.4.1 A.12.4.2 A.12.4.3 運(yùn)行軟件的控 制 系統(tǒng)測(cè)試數(shù)據(jù) 的保護(hù) 控制措施 應(yīng)有程序來(lái)控制在運(yùn)行系統(tǒng)上安裝軟件。 控制措施 測(cè)試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。 對(duì) 程 序 源 代 碼 控制措施 的訪問控制 應(yīng)限制訪問程序源代碼。 A.12.5 開發(fā)和支持過程中的 目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信 息的。 A.12.5.1 變更控制程序 控制措施 應(yīng)使用正式的變更控制程序控制變更的實(shí)施。 A.12.5.2 操作系統(tǒng)變更 后應(yīng)用的技術(shù) 評(píng)審 軟件包變更的 限制 信息泄露 外包軟件開發(fā) 控制措施 當(dāng)操作系統(tǒng)發(fā)生變更后，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確 保對(duì)組織的運(yùn)行和沒有負(fù)面影響。 A.12.5.3 控制措施 應(yīng)對(duì)軟件包的修改進(jìn)行勸阻，限制必要的變更，且對(duì)所有的變更加以 嚴(yán)格控制。 A.12.5.4 A.12.5.5 控制措施 應(yīng)防止信息泄露的可能性。 控制措施 組織應(yīng)管理和監(jiān)視外包軟件的開發(fā)。 A.12.6 技術(shù)脆弱性管理 目標(biāo)：降低利用公布的技術(shù)脆弱性導(dǎo)致的風(fēng)險(xiǎn)。 A.12.6.1 技 術(shù) 脆 弱 性 的 控制措施 應(yīng)及時(shí)得到現(xiàn)用信 息系統(tǒng)技術(shù)脆弱性的信息，評(píng)價(jià)組織對(duì)這些脆弱性 控制 的暴露程度，并采取適當(dāng)?shù)拇胧﹣?lái)處理相關(guān)的風(fēng)險(xiǎn)。 A.13 信息事件管 理 A.13.1 報(bào)告信息事態(tài)和弱點(diǎn) 目標(biāo)：確保與信息系統(tǒng)有關(guān)的信息事態(tài)和弱點(diǎn)能夠以某種方式傳達(dá)，以便及時(shí)采取糾正措施 。 A.13.1.1 A.13.1.2 報(bào)告信息 事態(tài) 報(bào)告弱點(diǎn) 控制措施 信息事態(tài)應(yīng)該盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告。 控制措施 應(yīng)要求信息系統(tǒng)和服務(wù)的所有雇員、承包方人員和第三方人員記錄并 報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的弱點(diǎn)。 A.13.2 信息事件和改進(jìn)的管理 目標(biāo)：確保采用一致和有效的方法對(duì)信息事件進(jìn)行管理。 A.13.2.1 職責(zé)和程序 控制措施 應(yīng)建立管理職責(zé)和程序，以確保能對(duì)信息事件做出快速、有效和 有序的響應(yīng)。 A.13.2.2 A.13.2.3 對(duì)信息事 件的總結(jié) 證據(jù)的收集 控制措施 應(yīng)有一套機(jī)制量化和監(jiān)視信息事件的類型、數(shù)量和代價(jià)。 控制措施 當(dāng)一個(gè)信息事件涉及到訴訟（民事的或刑事的），需要進(jìn)一步對(duì) 個(gè)人或組織進(jìn)行起訴時(shí)，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符 合相 關(guān)訴訟管轄權(quán)。 A.14 業(yè)務(wù)連續(xù)性管理 A.14.1 業(yè)務(wù)連續(xù)性管理的信息方面 目標(biāo)：防止業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤 或?yàn)?zāi)難的影響，并確保它們的 及時(shí)恢復(fù)。 A.14.1.1 業(yè)務(wù)連續(xù)性管 理過程中包含 的信息 業(yè)務(wù)連續(xù)性和 風(fēng)險(xiǎn)評(píng)估 制定和實(shí)施 包 含信息的 連續(xù)性計(jì)劃 業(yè)務(wù)連續(xù)性計(jì) 劃框架 測(cè)試、維護(hù)和 再評(píng)估業(yè)務(wù)連 續(xù)性計(jì)劃 控制措施 應(yīng)為貫穿于組織的業(yè)務(wù)連續(xù)性開發(fā)和保持一個(gè)管理過程，以解決組織 的業(yè)務(wù)連續(xù)性所需的信息要求。 A.14.1.2 控制措施 應(yīng)識(shí)別能引起業(yè)務(wù)過程中斷的事態(tài)，這種中斷發(fā)生的概率和影響，以 及它們對(duì)信息所造成的后果。 A.14.1.3 控制措施 應(yīng)制定和實(shí)施計(jì)劃來(lái)保持或恢復(fù)運(yùn)行，以在關(guān)鍵業(yè)務(wù)過程中斷或失敗 后能夠在要求的水平和時(shí)間內(nèi)確保信息的可用性。 A.14.1.4 控制措施 應(yīng)保持一個(gè) 的業(yè)務(wù)連續(xù)性計(jì)劃框架，以確保所有計(jì)劃是一致的， 能夠協(xié)調(diào)地解決信息要求，并為測(cè)試和維護(hù)確定優(yōu)先級(jí)。 A.14.1.5 控制措施 業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)定期測(cè)試和更新，以確保其及時(shí)性和有效性。 A.15 符合性 A.15.1 符合法律要求 目標(biāo)：避免違反任何法律、法令、法規(guī)或合同義務(wù)，以及任何要求。 A.15.1.1 可用法律的 識(shí) 別 控制措施 對(duì)每一個(gè)信息系統(tǒng)和組織而言，所有相關(guān)的法令、法規(guī)和合同要求， 以及為滿足這些要求組織所采用的方法，應(yīng)加以明確地定義、形 成文 件并保持更新。 A.15.1.2 知 識(shí) 產(chǎn) 權(quán) （IPR） 保護(hù)組織的記 錄 數(shù)據(jù)保護(hù)和個(gè) 人信息的隱私 控制措施 應(yīng)實(shí)施適當(dāng)?shù)某绦?，以確保在使用具有知識(shí)產(chǎn)權(quán)的材料和具有所有權(quán) 的軟件產(chǎn)品時(shí)，符合法律、法規(guī)和合同的要求。 A.15.1.3 控制措施 應(yīng)防止重要的記錄遺失、毀壞和偽造，以滿足法令、法規(guī)、合同和業(yè) 務(wù)的要求。 A.15.1.4 控制措施 應(yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求，確保數(shù)據(jù)保護(hù)和隱私。 A.15.1.5 A.15.1.6 防止濫用信息 處理設(shè)施 密碼控制措施 的規(guī)則 控制措施 應(yīng)禁止用戶使用信息處理設(shè)施用于未授權(quán)的目的。 控制措施 使用密碼控制措施應(yīng)遵從相關(guān)的協(xié)議、法律和法規(guī)。 A.15.2 符合策略和標(biāo)準(zhǔn)以及技術(shù)符合性 目標(biāo)：確保系統(tǒng)符合組織的策略及標(biāo)準(zhǔn)。 A.15.2.1 符合策略 和標(biāo)準(zhǔn) 技術(shù)符 合性檢 查 控制措施 管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有程序被正確地執(zhí)行，以確 保符合策略及標(biāo)準(zhǔn)。 A.15.2.2 控制措施 信息系統(tǒng)應(yīng)被定期檢查是否符合實(shí)施標(biāo)準(zhǔn)。 A.15.3 信息系統(tǒng)審核考慮 目標(biāo)：將信息系統(tǒng)審核過程的有效性 化，干擾小化。 A.15.3.1 信息系統(tǒng)審核 控制措施 信息系統(tǒng) 審核 工具的保護(hù) 控 制措施 涉及對(duì)運(yùn)行系統(tǒng)檢查的審核要求和活動(dòng)，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批 準(zhǔn)，以便小化造成業(yè)務(wù)過程中斷的風(fēng)險(xiǎn)。 A.15.3.2 控制措施 對(duì)于信息系統(tǒng)審核工具的訪問應(yīng)加以保護(hù)，以防止任何可能的濫用或 損害。