佛山ISO認證標準

組織是否為建立、實施、保持和改進職業健康安全管理體系確定所需的資源 查：組織的年度崗編計劃
查：組織基礎設施清單：環境改善設備清單、環境監視和測量裝置清單等
組織是否為實現職業健康安全目標確保組織控制下的人員具備所需的能力 查：組織的崗位說明書
查：組織為提高員工能力所采取的措施記錄，包括：培訓、教育、入職引導以及經歷等。
查：組織驗證措施有效的相關記錄，如：外部考試、內部技能考試等
組織是否為實現職業健康安全目標確保組織控制下的人員具備相關的職業健康安全意識 查：組織控制下的員工是否知曉和理解組織的職業健康安全方針
查：組織控制下的員工是否知曉其為實現職業健康安全績效所發揮的作用以及潛在的危險
查：組織控制下的員工是否知曉其工作環境下所處的危險源和風險
組織是否為實現職業健康安全目標和組織相關方采取必要的信息溝通 查：組織是否建立信息和溝通管理程序
查：組織與相關方關于目標的溝通及評價記錄
組織是否為實現職業健康安全目標和組織相關方采取必要的信息溝通 查：組織是否建立相關方的聯系方式
組織是否為確保文件信息得到有效管理實施相關的管理過程 查：組織的文件化信息清單，包括：內部體系文件清單、外來文件清單
查：組織定期對公司現有文件評審及*新記錄以確保能滿足職業健康安全管理體系的有效性、適宜性、充分性
查：組織是否建立有相關的文件化信息管理過程
查：文件變更記錄
查：文件發放、訪問、借閱、回收、處置等記錄
查：相關文件的保存期限清單
查：組織的文件在使用前是否進行審核和批準以確保其適宜性和充分性
公司確定有關信息安全管理體系在內部和外部進行溝通的需求，建立《信息安全溝通管理程序》，明確以下內容：
a) 什么需要溝通；
b) 什么時候溝通；
c) 跟誰進行溝通；
d) 由誰負責溝通；
e) 影響溝通的過程。

審核目的 確認體系的有效性、適宜性、是否符合標準要求及是否符合策劃的安排、是否得到了正確的實施和保持 審核范圍 本公司的管理體系所涉及到的所有范圍
審核類型 □定期                  ■不定期
審核依據 ISO22000：2018標準  公司管理體系文件  法律法規  顧客合同要求
審核日期 2019-11-25 通知日期 2019-11-10
審核組長 A 審核組成員 A
   B
審   核   日   程   安   排
日期 時間 被審核部門 審核組 主要審核內容及對照標準條款
    ISO22000：2018

現場監測
采購中的監測
a） 采購部門負責告知駕駛員在運輸過程中注意減少物料撒落，以減少損耗，降低對環境的污染。
b） 物料管理部門負責在原材料的搬運、貯存、發放過程中應遵守相關的安全規章規定，并告知材料使用人員有關注意事項，防止其對環境的不良影響，以及對員工造成各種傷害。
4.4.6.2承裝/修施工過程中的監測
a）項目部規定對污染源，危險源的產生進行監視和測量，特別是針對重要環境因素和重大危險源的控制做好監視和測量。
b）對于施工過程中的環境及職業健康安全狀況由專職安全員進行監視和測量。
體系檢查
公司各部門進行環境、職業健康安全體系檢查工作。
環境、職業健康安全監測內容除對重要環境因素及重大危險源的控制、管理方案的實施以及體系運行與活動的關鍵特性進行日常例行監測外，還應包括對目標、指標符合情況、管理體系運行績效和監測，對國家、地方及行業法律法規及其他要求執行情況進行監測．
對環境、安全監測中的監視和測量設備的管理執行《監視和測量資源管理制度》。
以上檢查過后，由檢查人員負責做檢查記錄，填報《環境、安全檢查記錄表》，對發現的問題下發《整改通知單》，限期整改，并對整改效果跟蹤驗證。

（   ）有限公司
不合格品通知單
NON-CONFORMANCE?NOTICE 編號
number 
 頁數page 
生產批號BP  產品名稱及型號規格Family?or?Mode  產生區域formation zone  
報告部門Reported by
 報告人reporter  日　期date 
不合格來源origin □進貨材料material□工序產品Process products□終成品final products　
□顧客退貨Customer returns
不合格性質nature □special□重大major□一般average 備　注remark 
不合格數量及不合格實事描述（由本公司質檢人員填寫write by Quality inspector）：
不合格品處置措施Disposition plan（由本公司質檢人員填寫write by Quality inspector）：
□挑選使用 Sorting  □返工或返修Rework?Or?Rework  □報廢  Scrap  □讓步**Concession
批準人Approver：　　　　　　　　日期date：
責任部門對不合格原因分析說明The responsible department analyzes and explains the cause of non-conformity：
確認人confirmer：　　　　　　　　　日期date：
是否需要要求責任部門采取糾正或預防措施
Is it necessary to ask the responsible department to take corrective or preventive measures：
□是  Y           □否  N
糾正或預防措施方案
Corrective or preventive plan（由責任部門負責填寫write by Responsible department）：
擬定人 drafter ：       日期date：
不合格采取糾正或糾正措施實施后重新驗證結果Take corrective action for nonconformity or re-verify the results after implementation（本公司生技部門填寫write by Department of Production Technology）：
驗證人verifier：　　　　日期date：
公司建立體系的過程如下：
1.  建立ISMS
公司從以下幾方面入手建立信息安全管理體系：
? 根據本公司所從事的業務、性質、辦公地點、各種信息資產、擁有技術的特點確定信息安全管理體系的范圍。
? 根據員工的信息安全意識和信息安全在本公司業務中的重要程度確定信息安全管理體系的方針。
? 定義了系統化的風險評估的方法。
1）識別風險
? 在信息安全管理體系范圍內，識別資產及其責任人；
? 識別資產面臨的威脅；
? 識別可能被威脅利用的脆弱性；
? 識別保密性、完整性和可用性對資產造成的影響程度；
? 識別資產面臨的風險。
2）分析和評估風險
? 評估安全故障對業務造成的損害，充分考慮資產失去保密性、完整性和可用性的潛在后果；
? 評估與這些資產相關的主要威脅、脆弱點和造成此類事故發生的現實可能性和現有的控制措施；
? 估算風險的等級；
? 決定風險的可接受程度，進而決定是否需要采取措施對風險進行控制。
3）識別和評價風險處理：
? 實施適當的控制措施；
? 風險，采取有效的控制措施避免風險的發生；
? 接受風險，在一定程度上有意識、有目的地接受風險；
? 風險轉移，轉移相關業務風險到其他方面。
4）選擇風險處理的控制目標和控制方式：從《ISO 27001:2011 信息安全管理體系-要求》的“附件A”中選擇合適的控制目標和控制措施，以滿足風險評估和風險處置過程所識別的要求，根據風險評估和風險處理過程的結果進行適當的調整。
5）適用性聲明：公司對所選擇的控制目標和控制措施以及被選擇的原因，在《適用性聲明》中進行描述。
6）對余風險獲得信息安全管理者代表批準。
http://www.fsthoughts.com