ISO標準基本框架高層次結構

...wd......wd......wd...ISO標準基本框架高層次構造引言起草指南對應具體的領域。范圍起草指南對應具體的領域。標準性引用文件起草指南應使用本條款標題。對應具體的領域。術語和定義起草指南1應使用本條款標題。術語和定義可能在同一個標準中也有可能在單獨文件中。參考通用術語和核心定義＋特定管理體系標準領域的術語和定義。術語和定義的安排應與每個管理體系標準相適應。支持指南2如下術語和定義是管理體系標準“通用版本〞的必不可少的一局部。需要時，可以增加術語和定義。注解的增加和修改為標準的目的服務。支持指南3定義中的斜體字局部指的是參考該條款的另一個術語。術語的參考號在括號中列出。支持指南4在文件中xxx貫穿于整個條款，按照術語和定義發(fā)熱應用環(huán)境，插入適宜的內容。如：“xxx目標〞可以用“信息安全目標〞來啊代替。3.01組織：具有自身的職責、權限和相互關系等功能，能實現其目標〔3.08〕的個人和群體。注1：組織的概念包括但不限于獨資經營者、公司、集團公司、商行、企事業(yè)單位、政府機構、合營公司、慈善機構、社會事業(yè)機構，或上述組織的局部或結合體，無論是否具有法人資格，公營或私營。3.02相關方〔利益相關方〕：可能影響或被影響、或者覺察自己受到某決定或活動影響的個人或組織〔3.1〕。3.03要求：明示的、通常隱含的或必須履行的需求或期望。注1：“通常隱含〞是指組織和其他相關方的慣例或一般做法，所考慮的需求或期望是不言而喻的。注2：規(guī)定的要求是經明示的要求。如在文件化信息中說明的要求。3.04管理體系：組織〔3.01〕記錄方針〔3.07〕、目標、過程〔3.12〕并實現這些目標的一組相互關系或相互作用的要素。注1：一個管理體系可包括一個或多個學科。注2：體系要素包括組織的構造、作用、職責、籌劃和運行。注3：管理體系的范圍可能包括整體組織、組織特定的和確定的職能的部門、或一群組織的一個或多個職能。3.05最高管理者：在最高層指揮與控制組織〔3.01〕的個人或群體注1：最高管理者有權在組織內部授權并提供資源。注2：如管理體系〔3.04〕的范圍僅涵蓋組織的一局部，最高管理者是指對組織該局部進展指揮與控制的人員。3.06有效性：完成籌劃的活動并取得籌劃結果的程度。3.07方針：有組織最高管理者正式發(fā)布的組織的宗旨和方向。3.08目標：需實現的結果注1：目標可以是戰(zhàn)略性的、戰(zhàn)術性的也可以是運營性的。注2：目標與不同的領域有關〔如財務、安康和安全、環(huán)境目標〕，并且能夠應用于不同的層次〔戰(zhàn)略、組織層面、工程、產品和過程〔3.12〕〕。注3：作為xxx目標，目標可以通過其他方式表達，如預期成果、目的、運行準則，或采用其他意思相近的詞語〔如：aim，goal，ortarget〕。注4：在xxx管理體系的環(huán)境下，為了實現其特定的結果，xxx目標由組織設置，與xxx方針保持一致。3.09風險：不確定的影響注1：背離期望的影響可能是正面的，也可能是負面。注2：不確定是對事件、事件的結果或可能性的認識或知識的相關信息缺乏或局部缺乏的狀態(tài)。注3：風險的特點通常涉及到潛在事件〔如ISO指南73：2009定義3.5.1.3〕及后果〔ISO73：2009定義3.6.1.3〕，或兩者的結合。注4：風險通常表示為一個事件的后果〔包括情況變化〕與事件發(fā)生的可能性〔ISO73：2009定義3.6.1.1〕的結合。.3.10能力,應用知識和技能實現預期結果的能力。3.11文件化信息 #組織〔3.01〕要求控制和保持的信息，及其保持的方法。注1：文件化信息可以是任何格式和媒介，且不限制來源。注2：文件化信息可能是：——管理體系〔3.04〕及其過程〔3.12〕。——為了組織的運行所創(chuàng)立的信息〔文件〕；——所實現結果的證據〔記錄〕。3.12過程：將輸入轉換為輸出的一組相互關聯、相互作用的活動。3.12績效：可測量的結果。注1：績效可以是定量的也可以是定性的結果。注2：績效可能與活動、過程〔3.12〕、產品〔包括服務〕、體系或組織〔3.01〕的管理相關。3.14外包：安排外部組織執(zhí)行組織的局部職能或過程〔3.12〕注1：外部組織在管理體系范圍之外〔3.04〕，盡管外包的職能或過程在范圍之內。3.15監(jiān)視:確定體系、過程〔3.12〕或活動的狀態(tài)。注1：為確定狀態(tài)，可能需要檢查、監(jiān)視或必要的觀察。3.16測量：確定計量數值的過程〔3.12〕3.17為獲得審核證據并對其進展客觀的評價，以確定滿足審核準則的程度所進展的系統(tǒng)的、獨立的并形成文件的過程〔3.12)。注1：審核可以是內部審核〔第一方審核〕或外部審核〔第二方審核或第三方審核〉也可以是結合審核〔結合兩個或多個學科〉。注2：內審可以由組織自己實施或以由外部組織代表其實施。注3：審核證據和審核準則在ISO19011中有規(guī)定。3.18符合〔合格〕：滿足要求〔3.03〕3.19不符合〔不合格〕：未滿足要求〔3.03〕3.20糾正措施：消除不符合〔3.15〕原因、防止其再發(fā)生所釆取的措施。3.21持續(xù)改良：為提高績效〔3.13〕所反復從事的活動。組織環(huán)境4.1了解組織及其環(huán)境組織應確定與其目的相關的、影響其實現其XXX管理體系既定結果的能力的內部和外部問題。4.2了解相關方的需求和期望組織應確定：——與XXX管理體系有關的相關方；——這些相關方的相關要求；4.3確定xxx管理體系的范圍組織應確定xxx管理體系的邊界和適用性，以確定其范圍，確定范圍時，組織應考慮：——4.1中提及的外部和內部問題；——4.2中提及的要求；范圍應保持文件化信息。4.4xxx管理體系組織應根據本國際標準〔或ISOxxxx標準的本局部，或本技術標準〉的要求建設、實施、保持并持續(xù)改良xxx〕管理體系，包括所需的過程及其相互作用。領導力5.1領導力及其承諾最高管理者應通過以下方式證明其在xxx管理體系方面的領導力和承諾：——確保建設XXX方針及XXX目標，且XXX方針及XXX目標適合于組織的戰(zhàn)略方向；——確保將XXX管理體系要求融入組織的業(yè)務流程；——確保為XXX管理體系提供所需的資源；——傳達有效的XXX管理以及符合XXX管理體系要求的重要性；——確保XXX管理體系能實現其預期成果；——指導并支持員工為XXX管理體系實施的有效性作出奉獻；——推動持續(xù)改良；——支持其他相關管理者證明其領導力適用于其責任領域。注：本國際標準〔或ISOXXX標準的本局部，或本技術標準〉中的“業(yè)務〞一詞從廣義上可理解為對組織的生存具有核心作用的活動。5.2方針最高管理者應建設其XXX方針：a〕適合于本組織的目的；b〕提供建設XXX目標的框架；c〕包括滿足適用性要求的承諾；d〕包括關于持續(xù)改良XXX管理體系的承諾。XXX方針應：——保持文件化信息；——在組織內部進展信息交流；——適當時，可為相關方所獲取。5.3組織的作用、職責及權限最高管理者應確保在組織內局部配相關角色的職責和權限，并在組織內部傳達。最高管理者應分配職責及權限，以：a)確保XXX管理體系符合本國際標準〔或ISOXXX標準的本局部，或本技術標準〕的要求；b〕向最高管理者匯報XXX管理體系的績效。籌劃6.1處理風險和機遇的措施籌劃XXX管理體系時，組織應考慮到4.1所提及的問題和4.2所談及的要求，確定需處理的風險和機遇：——確保XXX管理體系能夠實現預期的結果；——防止、減少不期望的結果；——實現持續(xù)改良。組織應籌劃：a〕處理與風險和機遇相關的措施；b〕若何：——將措施融入其XXX管理體系過程并予以實施；——評價措施的有效性。6.2XXX目標及其實現的籌劃組織應在其相關的職能和層次建設XXX目標。XXX目標應：a〕符合XXX方針；b〕可測量〔如可行〕c〕考慮適用的要求；d〕可監(jiān)視；e〕得以傳達；f〕適當時更新。組織應當保持XXX目標的文件化信息。當籌劃若何實現其XXX目標時，組織應確定：——要做什么；——需要哪些資源；——由誰負責；——何時完成；——若何評價結果支持組織應確定并提供建設、實施、保持和持續(xù)改良XXX管理體系所需的資源。7.1資源7.2能力組織應：——確定在其控制下、對其XXX績效產生影響的工作人員應具備的能力；——基于適當的教育、培訓或經歷，確保這些人員具備所需要的能力；——適用時，采取措施獲取必要的能力，并評價所采取措施的有效性；注：適用的措施可包括提供培訓、指導或調動當前從業(yè)人員；或另聘用或簽約有能力的人員等。7.3意識在組織控制下的工作人員應了解：―XXX方針；―其對XXX管理體系有效性的奉獻，包括提高XXX績效的益處等；―不符合XXX管理體系要求的后果。7.4信息交流組織應確定與其XXX管理體系有關的內部和外部信息交流，包括：―交流什么信息；―何時進展交流；―與誰進展信息交流；―若何進展信息交流。7.5文件化信息7.5.1概述組織的XXX管理體系應包括：a〕本國際標準〔或ISOXXXV標準的本局部，或本技術標準〉所要求的文件化信息；b〕組織確定的、為確保XXX管理體系有效性所必需的文件化信息。注：不同組織的XXX管理體系文件化信息的詳略程度可以不同，取決于：——組織的規(guī)模及其活動、過程、產品和服務的類型；——過程的復雜程度及其相互作用；——員工的能力。7.5.2創(chuàng)立和更新創(chuàng)立和更新文件化信息時，組織應確保適當的：——標識和描述〔如標題、日期、作者或編號等〕——格式〔如語言、軟件版本、圖表〕和媒介〔如紙質、電子版〕——為確保適宜性和充分性的審核與批準。7.5.3文件化信息的控制XXX管理體系和本國際標準〔或150標準的本局部，或本技術標準〉所要求的文件化信息應予以控制，以確保:a〕在所需的場所，當需要時可提供適用版本；b〕文件化信息得到充分保護〔如，防止泄密、防止使用不當或完整性受損\為控制文件化信息，適用時，組織應對以下活動做出規(guī)定：——分發(fā)、訪問、檢索和使用；-——存儲和保護，包括易讀性保護；——變更控制〔比方，版本控制〕；——保存和處置。組織所確定的籌劃和運行XXX管理體系所需的外來的文件化信息應確保得到識別和控制。注：訪問權僅指允許審閱文件化信息的決定，或查看和變更文件化信息的允許和授權。運行8.1運行籌劃和控制起草指南如果條款8沒有增加分條款，8.1分條款的標題將被刪除。組織應籌劃、實施和控制為確保符合要求和6.1條款規(guī)定的措施得到實施所需的過程，具體如下：——為過程確定運行準則；——根據運行準則，實施對過程的控制；——保持必要的文件化信息以確保過程按籌劃實施。組織應控制方案變更并評審非方案變更的后果，必要時，采取措施減少負面影響。組織應確保外包過程受到控制。績效評價9.1監(jiān)視、測量、分析和評價組織應確定：——需要監(jiān)視和測量的內容；——適用的監(jiān)視、測量、分析和評價的方法，以確保有效的結果；——實施監(jiān)視和測量的時間；以及間隔；——分析和評價監(jiān)視和測量結果的時間。組織應保存適宜的文件化信息作為結果證據。組織應評價XXX績效和XXX管理體系的有效性。9.2內部審核9.2.1組織應按籌劃的時間間隔進展內部審核，以確定XXX管理體系是否：a〕符合：——組織本身關于XXX管理體系的要求；——本國際標準〔或ISO標準的本局部，或本技術標準〉的要求；b〕是否得到了有效的實施和保持。9.2.2組織應：a〕籌劃、建設、實施和保持審核方案，包括審核頻次、方法、職責、籌劃要求和報告等，審核方案應考慮相關過程的重要性，以及以往的審核結果；b〕確定每次審核的審核準則和審核范圍；c〕審核人員的選擇和審核的實施，確保審核過程的客觀性和公正性；d〕確保向相關管理者報告審核結果；e〕組織應保存文件化信息作為審核方案實施和審核結果的證據。9.3管理評審最高管理者應按籌劃的時間間隔，對組織的XXX管理體系進展評審，以確保其持續(xù)適宜性、充分性和有效性。管理評審應包括如下內容：以往管理評審措施的實施情況；b〕與XXX管理體系有關的外部和內部問題的變更；c〕關于組織XXX績效的信息，包括以下方面的動態(tài)：——不符合和糾正措施；——監(jiān)視和測量結果，——審核結果；d〕持續(xù)改良的時機。管理評審的輸出應包括與持續(xù)改良時機相關的決策和XXX管理體系變更的需求。組織應保存文件化信息以作為管理評審結果的證據。10.改良10.1不符合與糾正措施當出現不符合時，組織應：a〕對不符合做出反響，適用時需，—