DCMM认证审核不高

ISO10012认证涉及的测量设备和测量过程 组织中的哪些测量设备要纳入ISO10012测量管理体系进行管理,哪些测量过程应纳入ISO10012测量管理体系进行控制,可以根据以下不同情况: 1.纳入ISO10012测量管理体系的测量设备和测量过程应由组织根据风险和后果来决定 组织在进行决策时,要考虑没有纳入ISO10012测量管理体系的测量设备和测量过程会给组织带来多大的风险?这些风险应与组织可能要花费多少资源相比较?花费一定的资源,可以减少较大的风险,则应纳入ISO10012测量管理体系;如果某些测量设备和测量过程一旦失准而不会影响组织的经济效益和社会效益,不会造成顾客投诉,不会带来什么风险,这些测量设备和测量过程就不须纳入ISO10012测量管理体系?但是,这样的测量设备和测量过程是很少的,没有效益和作用的测量设备和测量过程,组织一般是不必购置和进行测量的?所以,从原则上讲,只要是组织购置和进行测量的所有测量设备和测量过程都应纳入ISO10012测量管理体系中,只是管理的严格程度不一样,花费的资源多少不一样?有的测量设备要经过全部确认过程,有的测量设备只需贴上不需确认的标志即可;有的测量过程要经过严格的控制,长期的监视,有的测量过程只需按一般对测量设备的计量确认过程管理就可以了? (1)确定哪些范围建立测量管理体系应当是组织的一项战略性决策? 随着世界经济的发展,组织之间的竞争日趋激烈,这就要求组织比以往更准确?更快地适应市场的变化,不断满足顾客的需求和期望?为此, 的途径是根据顾客的要求?市场的需要?产品质量的需要?物料?能源??环保等各方面需要并根据ISO10012:2003标准的要求,建立组织的ISO10012测量管理体系?要打破传统的理念,从眼前花费资源转向长远的效益;从狭义的组织需要转向以“顾客”和“市场”为导向,观念实施转变,资源重新配置,是组织的一项战略性决策? (2)组织的追求?组织的目标?组织的产品?组织所采用的战略?组织的规模和结构的不同, ISO10012测量管理体系的设计和实施也是不同的?因此,不可能统一规定组织应建立哪些测量设备和测量过程,哪些应纳入ISO10012测量管理体系? 2.凡申请ISO10012认证或注册的组织,应按认证或注册标准要求的范围来确定ISO10012测量管理体系的范围 建立ISO10012测量管理体系,可能出于各种不同的认证和注册目标?一般有以下几种情况: (1)组织申请其他标准的认证或注册,如ISO9001标准或ISO14000标准中对测量设备和测量过程控制有要求时,也可以按ISO10012建立测量管理体系,其纳入测量管理体系范围的测量设备和测量过程应该是与ISO9001标准或ISO14000标准的范围相一致? (2)检测实验室和校准实验室申请ISO/IEC17025的认证或注册的,也可以按ISO10012建立测量管理体系,其纳入测量管理体系的范围应与申请ISO/IEC17025的范围相一致? (3)如果按不同的行业的认证标准,如船舶认证?卫生认证?建筑业认证的认证标准等建立测量体系的,其测量体系的范围应与其行业认证或注册标准的范围相一致? (4) 质量监督检验检疫总局提出依据ISO10012帮助企业建立完善的计量检测体系,ISO10012可作为使用的标准或依据,其纳入测量管理体系的范围应按 质检总局的规定:“包括质量监控?能源计量?环境检测?防护检测?经营管理检测等方面?”因此,凡申请建立完善ISO10012计量检测体系的企业,建立ISO10012测量管理体系的范围应该不但包括与质量有关的测量设备和测量过程,还应包括能源?环境??经营(含物料)等所有检测范围?

坚持机构认可原则 针对申请认证组织的审核范围，首先确认是否在本机构的认可范围内，如果在机构认可范围内，可予以受理；如果不在机构认可范 围内，则不予以受理，本着对机构负责的原则，不越红线并坚守认证底线来初步确定能否受理申请认证组织的审核范围为首要原则 。 坚持法人实体原则 基于上述审核范围的表述，且在认证机构认可的范围内，同时申请认证组织还必须是一个能够承担法律责任的实体，即具有法人资 格的企事业单位。 坚持许可资质原则 结合申请认证组织提供的营业执照或许可资质/环评验收材料/相关职业危险性评价等有效资质，来确定申请认证组织的审 核范围，即以申请认证组织的营业执照给予的业务范围为前提条件，当涉及资质时，结合资质与申请组织的实际运行情况进行确定 审核范围，但一定不能超过营业执照/许可资质的范围，根据申请认证组织提供的相应产品/服务范围所执行的标准，特别是对其工 艺流程进根据行判断，据此分析申请认证组织的产品或服务是什么；与其进行必要的沟通达成一致后，终确定申请认证组织的审 核范围，并为专业小类代码的给定和专业技术人员的支持提供依据和参考。 坚持先“评”后“签”原则 即受理评审后才能签订认证合同的原则：审核范围一经确定并完成合同评审的流程后，才能与申请认证组织签订认证合同，并为后 续审核策划、审核委派以及后续审核提供中心线索，并奠定良好的审核基础。 坚持关系证明原则 关系说明主要是指建立一套管理体系的多名称、多场所的评审界定，包括但不限于出资情况说明、公司章程、验资报告、法人及管 理层等具体相互关联的证明性的文件说明，以确认实施合同评审相关工作，并按《多场所认证机构认可规则》的相关规定进行受理 评审。 对申请认证组织审核范围的界定示例 示例1：聚乙烯吹塑薄膜包装袋的生产（产品仅限出口） 此申请认证组织实际生产的产品不在国内进行销售，也就是说在国内进行生产，而此组织执行的是出口国的相关法律法规及顾客要 求及相关标准，直接定向销往国外。这种情况下，企业不需要国内的相关资质，同时在审核范围的后面加上限定（产品仅限出 口），也就是说，企业按这个范围内生产的产品不能在国内进行销售；同时，申请认证组织还应提供《对外贸易经营者备案登记表 》。 示例2：电线电缆（涉及许可要求的按全国工业产品生产许可证、 强制性产品认证为准）的生产 此申请认证组织实际生产的电线电缆产品品种较多，且也都取得了相应的许可证和CCC，那么在这种情况下，考虑到后续认证证 书的打印，在无法全部列明的条件下，应采用限定的条件进行审核范围内的界定，同时规避机构的风险。 示例3：汽车零部件（涉及 生产许可要求及CCC认证要求的产品除外）的生产 申请认证组织生产的汽车零部件不在CCC认证范围内，且也不生产CCC认证范围内的汽车零部件的产品，不涉及许可证的产品，为规 避认证风险，故进行此范围的限定。 示例4：石油化工产品（不含危险化学品、易燃易爆品及剧毒品）的生产 申请认证组织生产的化工产品主要应用在石油行业且不在危险化学品名录，同时也不需要取得危险化学品生产许可证的，以此方法 来进行明示告知；由于化工产品本身具有危险性，或与其他物质组合具有燃爆的风险，为避免发生危险，需要采取明示的方式对审 核范围进行限定，以控制机构的风险。 示例5：电梯的安装和维修（特种设备许可资质范围内） 企业的特种设备许可证资质中给定的范围为：乘客电梯、载货电梯、杂物电梯、自动扶梯、观光电梯、自动人行道、无机房电梯； 之所以加括号范围内的限定，是因为企业的营业执照上比资质上的范围要大，如：比资质中多了液压电梯，故对申请认证组织的审 核范围进行限定。 图片 审核范围确定好后为后续认证流程中的各阶段提供方向 图片 从审核方案策划及审核委派活动来看，以确定好的审核范围为出发点，策划此申请认证组织周期内的具有特定目标的一组（一次或 多次）审核的安排。根据此审核策划方案确定每一次的审核委派具有专业性，特别是对多名称、多场所的申请认证组织的审核方案 的策划过程中，要结合申请认证组织的审核范围情况策划出初审/再认证、监督审核的抽样方案进行一一策划，以满足多场所组织审 核策划的实施相关要求。 从现场审核活动看，专业审核员对现场审核范围进行审核把控，并从其专业性的角度，结合标准条款进行专业过程的审核，可 做到审核、专业、有效。 从认证评定角度来看，相关专业的审定评议老师对审核案卷进行审定，并围绕审核范围以及专业过程，对审核范围的审核是否 进行回卷后的把控， 从专业评议老师的角度，根据已审核的范围及审核结论确定并批准终的认证范围，即能否授予 认证的过程。由此可以看出，虽然审核范围和认证范围是不同的两个概念，但是两者具有密切的联系，审核范围是依据认证机 构的认证范围来确定的，而认证范围又是根据审核范围和终的认证结论而确定的。 可以说，审核范围终要转化为认证范围，认证范围是申请认证组织持续改进的方向。申请认证组织所设过程或者部门职责都是以 此为主旨的认证范围中的产品或者服务进行服务的。如以下图所示QMS标准条款，来分析申请认证组织的审核范围，申请认证组织所 设的各部门都是围绕审核范围且与标准条款完全融合来进行的。 图片 获取充分、有效的审核证据可以得出合理的审核结论，并终来支撑此审核范围的适宜、充分、有效。 管理体系是一个持续发展的动态系统。申请认证组织即使通过合同评审，可能还会在现场审核过程以及监督、再认证审核过程中都 会发生变化，如：申请范围调整描述，或扩大、缩小、变更等情况的发生，这就要求重新进行审核范围的评审界定，或者在审核前 调整合同评审及审核策划方案，以保证以审核范围为主线的审核案卷符合认证审核的相关要求。

ISO27000认证信息风险评估FAQ 深圳ISO27000认证为什么要进行信息风险评估？ 　　通过风险评估，你可以知道组织范围内存在哪些重要的信息资产、信息处理设施及其面临的威胁，发现技术和管理上的脆弱点，综合评估现有综合资产的风险状况。 什么是信息风险评估？ 　　风险评估：对信息及信息载体、应用环境等各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认风险及其大小的过程。 　　风险评估为管理层确定具体的策略，以及在“成本-效益”平衡基础上做决策服务；风险控制措施为组织实施信息的改进提供指导。 信息风险评估的实施的主体是什么？ 　　风险评估可分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管或业务主管发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息的重要措施。 　　检查评估应该是具有一定资质的风险评估服务机构实施的。自评估可以在信息风险评估服务机构的咨询、服务、培训下，由系统所有者和评估服务机构共同完成。 信息风险评估的政策依据及标准依据？ 　　 信息化领导小组《关于加强信息保障工作的意见》(中办发[2003]27号文件)将信息风险评估作为一项重要的举措。国信办2005年5号文率先在北京、上海、黑龙江、云南等地，以及银行、税务、电力三个行业进行试点，根据试点经验，各省市建立信息风险评估管理制度。 　　 国信办标准草案《信息风险评估指南》、《信息风险管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息风险评估包括哪几个主要实施阶段？ 　　风险评估可以分为资产识别、重要资产赋值、威胁分析、脆弱性识别、风险计算、风险控制措施提出等实施阶段。 信息风险评估的主要内容及方法？ 　　信息风险评估的实施主要有以下内容： 　　 （1）资产识别 　　 （2）资产的属性赋值及权重计算 　　 （3）威胁分析 　　 （4）薄弱点分析 　　 （5）威胁发生可能性及影响分析 　　 （6）风险计算 　　 （7）风险处理计划制定 　　 风险评估是一项综合的系统工程，既涉及到技术，又涉及到管理。风险评估过程中既需要采用技术的检测手段，又需要进行综合的归纳、总结和分析方法。 　　 风险评估中资产价值的判断、威胁判断、事件造成影响的判断标准都需要根据被评估实际情况，与被评估方共同确定。 信息风险评估是否会影响系统的业务正常运行？ 　　除针对服务器的漏洞扫描、诊断及渗透性测试外，风险评估不会对系统的业务运行造成影响。即使是渗透性测试，也仅仅是为了验证漏洞存在给系统可能造成的后果（如文件窃取、控制修改关键程序/进程等），而不是以破坏系统为目的。评估人员在执行渗透性测试前，会将详细的渗透测试方案与用户交流，包括渗透测试对象、测试强度、可能后果、提前备份等要求，并经用户认可后方能实施。 信息风险评估的结果形式是什么？ 　　信息风险评估在评估过程中将生成一系列的风险评估操作记录，包括：重要资产列表、脆弱性汇总表、资产威胁识别表、资产威胁风险系数表、信息资产综合风险值表等， 将生成三份评估结果： 　　 脆弱性评估报告：以资产为核心，描述该资产存在的薄弱点。 　　 风险评估报告：反映了风险评估整个过程、方法、内容及风险结果。 　　 风险处理计划：针对识别的风险，提出具体的控制目标和控制措施。 信息风险评估的周期有多长　 　　信息风险评估没有确定的时间周期，一般两年一次进行定期的评估，但当组织新增信息资产、系统发生重大变更、业务流程发生重大变化、发生严重信息事故等情况下应进行风险评估。 　　 此外，对系统规划、扩建时也需要进行风险评估，为需求、策略的制定提供依据。 信息风险评估的收费标准　 　　根据评估对象的不同而不同。风险评估的对象可以是：单个独立的信息系统、支持组织业务的整体信息处理环境、整个组织范围。信息风险评估的费用主要依据以下几个方面进行核算： 　　 网络规模 　　 联网单位或客户端抽样比例 　　 被评估系统的多少 　　 被评估信息设备的多少 　　 被评估的组织范围大小