ISO標準基本框架高層次結(jié)構(gòu)

...wd......wd......wd...ISO標準基本框架高層次構(gòu)造引言起草指南對應具體的領(lǐng)域。范圍起草指南對應具體的領(lǐng)域。標準性引用文件起草指南應使用本條款標題。對應具體的領(lǐng)域。術(shù)語和定義起草指南1應使用本條款標題。術(shù)語和定義可能在同一個標準中也有可能在單獨文件中。參考通用術(shù)語和核心定義＋特定管理體系標準領(lǐng)域的術(shù)語和定義。術(shù)語和定義的安排應與每個管理體系標準相適應。支持指南2如下術(shù)語和定義是管理體系標準“通用版本〞的必不可少的一局部。需要時，可以增加術(shù)語和定義。注解的增加和修改為標準的目的服務。支持指南3定義中的斜體字局部指的是參考該條款的另一個術(shù)語。術(shù)語的參考號在括號中列出。支持指南4在文件中xxx貫穿于整個條款，按照術(shù)語和定義發(fā)熱應用環(huán)境，插入適宜的內(nèi)容。如：“xxx目標〞可以用“信息安全目標〞來啊代替。3.01組織：具有自身的職責、權(quán)限和相互關(guān)系等功能，能實現(xiàn)其目標〔3.08〕的個人和群體。注1：組織的概念包括但不限于獨資經(jīng)營者、公司、集團公司、商行、企事業(yè)單位、政府機構(gòu)、合營公司、慈善機構(gòu)、社會事業(yè)機構(gòu)，或上述組織的局部或結(jié)合體，無論是否具有法人資格，公營或私營。3.02相關(guān)方〔利益相關(guān)方〕：可能影響或被影響、或者覺察自己受到某決定或活動影響的個人或組織〔3.1〕。3.03要求：明示的、通常隱含的或必須履行的需求或期望。注1：“通常隱含〞是指組織和其他相關(guān)方的慣例或一般做法，所考慮的需求或期望是不言而喻的。注2：規(guī)定的要求是經(jīng)明示的要求。如在文件化信息中說明的要求。3.04管理體系：組織〔3.01〕記錄方針〔3.07〕、目標、過程〔3.12〕并實現(xiàn)這些目標的一組相互關(guān)系或相互作用的要素。注1：一個管理體系可包括一個或多個學科。注2：體系要素包括組織的構(gòu)造、作用、職責、籌劃和運行。注3：管理體系的范圍可能包括整體組織、組織特定的和確定的職能的部門、或一群組織的一個或多個職能。3.05最高管理者：在最高層指揮與控制組織〔3.01〕的個人或群體注1：最高管理者有權(quán)在組織內(nèi)部授權(quán)并提供資源。注2：如管理體系〔3.04〕的范圍僅涵蓋組織的一局部，最高管理者是指對組織該局部進展指揮與控制的人員。3.06有效性：完成籌劃的活動并取得籌劃結(jié)果的程度。3.07方針：有組織最高管理者正式發(fā)布的組織的宗旨和方向。3.08目標：需實現(xiàn)的結(jié)果注1：目標可以是戰(zhàn)略性的、戰(zhàn)術(shù)性的也可以是運營性的。注2：目標與不同的領(lǐng)域有關(guān)〔如財務、安康和安全、環(huán)境目標〕，并且能夠應用于不同的層次〔戰(zhàn)略、組織層面、工程、產(chǎn)品和過程〔3.12〕〕。注3：作為xxx目標，目標可以通過其他方式表達，如預期成果、目的、運行準則，或采用其他意思相近的詞語〔如：aim，goal，ortarget〕。注4：在xxx管理體系的環(huán)境下，為了實現(xiàn)其特定的結(jié)果，xxx目標由組織設(shè)置，與xxx方針保持一致。3.09風險：不確定的影響注1：背離期望的影響可能是正面的，也可能是負面。注2：不確定是對事件、事件的結(jié)果或可能性的認識或知識的相關(guān)信息缺乏或局部缺乏的狀態(tài)。注3：風險的特點通常涉及到潛在事件〔如ISO指南73：2009定義3.5.1.3〕及后果〔ISO73：2009定義3.6.1.3〕，或兩者的結(jié)合。注4：風險通常表示為一個事件的后果〔包括情況變化〕與事件發(fā)生的可能性〔ISO73：2009定義3.6.1.1〕的結(jié)合。.3.10能力,應用知識和技能實現(xiàn)預期結(jié)果的能力。3.11文件化信息 #組織〔3.01〕要求控制和保持的信息，及其保持的方法。注1：文件化信息可以是任何格式和媒介，且不限制來源。注2：文件化信息可能是：——管理體系〔3.04〕及其過程〔3.12〕。——為了組織的運行所創(chuàng)立的信息〔文件〕；——所實現(xiàn)結(jié)果的證據(jù)〔記錄〕。3.12過程：將輸入轉(zhuǎn)換為輸出的一組相互關(guān)聯(lián)、相互作用的活動。3.12績效：可測量的結(jié)果。注1：績效可以是定量的也可以是定性的結(jié)果。注2：績效可能與活動、過程〔3.12〕、產(chǎn)品〔包括服務〕、體系或組織〔3.01〕的管理相關(guān)。3.14外包：安排外部組織執(zhí)行組織的局部職能或過程〔3.12〕注1：外部組織在管理體系范圍之外〔3.04〕，盡管外包的職能或過程在范圍之內(nèi)。3.15監(jiān)視:確定體系、過程〔3.12〕或活動的狀態(tài)。注1：為確定狀態(tài)，可能需要檢查、監(jiān)視或必要的觀察。3.16測量：確定計量數(shù)值的過程〔3.12〕3.17為獲得審核證據(jù)并對其進展客觀的評價，以確定滿足審核準則的程度所進展的系統(tǒng)的、獨立的并形成文件的過程〔3.12)。注1：審核可以是內(nèi)部審核〔第一方審核〕或外部審核〔第二方審核或第三方審核〉也可以是結(jié)合審核〔結(jié)合兩個或多個學科〉。注2：內(nèi)審可以由組織自己實施或以由外部組織代表其實施。注3：審核證據(jù)和審核準則在ISO19011中有規(guī)定。3.18符合〔合格〕：滿足要求〔3.03〕3.19不符合〔不合格〕：未滿足要求〔3.03〕3.20糾正措施：消除不符合〔3.15〕原因、防止其再發(fā)生所釆取的措施。3.21持續(xù)改良：為提高績效〔3.13〕所反復從事的活動。組織環(huán)境4.1了解組織及其環(huán)境組織應確定與其目的相關(guān)的、影響其實現(xiàn)其XXX管理體系既定結(jié)果的能力的內(nèi)部和外部問題。4.2了解相關(guān)方的需求和期望組織應確定：——與XXX管理體系有關(guān)的相關(guān)方；——這些相關(guān)方的相關(guān)要求；4.3確定xxx管理體系的范圍組織應確定xxx管理體系的邊界和適用性，以確定其范圍，確定范圍時，組織應考慮：——4.1中提及的外部和內(nèi)部問題；——4.2中提及的要求；范圍應保持文件化信息。4.4xxx管理體系組織應根據(jù)本國際標準〔或ISOxxxx標準的本局部，或本技術(shù)標準〉的要求建設(shè)、實施、保持并持續(xù)改良xxx〕管理體系，包括所需的過程及其相互作用。領(lǐng)導力5.1領(lǐng)導力及其承諾最高管理者應通過以下方式證明其在xxx管理體系方面的領(lǐng)導力和承諾：——確保建設(shè)XXX方針及XXX目標，且XXX方針及XXX目標適合于組織的戰(zhàn)略方向；——確保將XXX管理體系要求融入組織的業(yè)務流程；——確保為XXX管理體系提供所需的資源；——傳達有效的XXX管理以及符合XXX管理體系要求的重要性；——確保XXX管理體系能實現(xiàn)其預期成果；——指導并支持員工為XXX管理體系實施的有效性作出奉獻；——推動持續(xù)改良；——支持其他相關(guān)管理者證明其領(lǐng)導力適用于其責任領(lǐng)域。注：本國際標準〔或ISOXXX標準的本局部，或本技術(shù)標準〉中的“業(yè)務〞一詞從廣義上可理解為對組織的生存具有核心作用的活動。5.2方針最高管理者應建設(shè)其XXX方針：a〕適合于本組織的目的；b〕提供建設(shè)XXX目標的框架；c〕包括滿足適用性要求的承諾；d〕包括關(guān)于持續(xù)改良XXX管理體系的承諾。XXX方針應：——保持文件化信息；——在組織內(nèi)部進展信息交流；——適當時，可為相關(guān)方所獲取。5.3組織的作用、職責及權(quán)限最高管理者應確保在組織內(nèi)局部配相關(guān)角色的職責和權(quán)限，并在組織內(nèi)部傳達。最高管理者應分配職責及權(quán)限，以：a)確保XXX管理體系符合本國際標準〔或ISOXXX標準的本局部，或本技術(shù)標準〕的要求；b〕向最高管理者匯報XXX管理體系的績效?；I劃6.1處理風險和機遇的措施籌劃XXX管理體系時，組織應考慮到4.1所提及的問題和4.2所談及的要求，確定需處理的風險和機遇：——確保XXX管理體系能夠?qū)崿F(xiàn)預期的結(jié)果；——防止、減少不期望的結(jié)果；——實現(xiàn)持續(xù)改良。組織應籌劃：a〕處理與風險和機遇相關(guān)的措施；b〕若何：——將措施融入其XXX管理體系過程并予以實施；——評價措施的有效性。6.2XXX目標及其實現(xiàn)的籌劃組織應在其相關(guān)的職能和層次建設(shè)XXX目標。XXX目標應：a〕符合XXX方針；b〕可測量〔如可行〕c〕考慮適用的要求；d〕可監(jiān)視；e〕得以傳達；f〕適當時更新。組織應當保持XXX目標的文件化信息。當籌劃若何實現(xiàn)其XXX目標時，組織應確定：——要做什么；——需要哪些資源；——由誰負責；——何時完成；——若何評價結(jié)果支持組織應確定并提供建設(shè)、實施、保持和持續(xù)改良XXX管理體系所需的資源。7.1資源7.2能力組織應：——確定在其控制下、對其XXX績效產(chǎn)生影響的工作人員應具備的能力；——基于適當?shù)慕逃?、培訓或?jīng)歷，確保這些人員具備所需要的能力；——適用時，采取措施獲取必要的能力，并評價所采取措施的有效性；注：適用的措施可包括提供培訓、指導或調(diào)動當前從業(yè)人員；或另聘用或簽約有能力的人員等。7.3意識在組織控制下的工作人員應了解：―XXX方針；―其對XXX管理體系有效性的奉獻，包括提高XXX績效的益處等；―不符合XXX管理體系要求的后果。7.4信息交流組織應確定與其XXX管理體系有關(guān)的內(nèi)部和外部信息交流，包括：―交流什么信息；―何時進展交流；―與誰進展信息交流；―若何進展信息交流。7.5文件化信息7.5.1概述組織的XXX管理體系應包括：a〕本國際標準〔或ISOXXXV標準的本局部，或本技術(shù)標準〉所要求的文件化信息；b〕組織確定的、為確保XXX管理體系有效性所必需的文件化信息。注：不同組織的XXX管理體系文件化信息的詳略程度可以不同，取決于：——組織的規(guī)模及其活動、過程、產(chǎn)品和服務的類型；——過程的復雜程度及其相互作用；——員工的能力。7.5.2創(chuàng)立和更新創(chuàng)立和更新文件化信息時，組織應確保適當?shù)模骸獦俗R和描述〔如標題、日期、作者或編號等〕——格式〔如語言、軟件版本、圖表〕和媒介〔如紙質(zhì)、電子版〕——為確保適宜性和充分性的審核與批準。7.5.3文件化信息的控制XXX管理體系和本國際標準〔或150標準的本局部，或本技術(shù)標準〉所要求的文件化信息應予以控制，以確保:a〕在所需的場所，當需要時可提供適用版本；b〕文件化信息得到充分保護〔如，防止泄密、防止使用不當或完整性受損\為控制文件化信息，適用時，組織應對以下活動做出規(guī)定：——分發(fā)、訪問、檢索和使用；-——存儲和保護，包括易讀性保護；——變更控制〔比方，版本控制〕；——保存和處置。組織所確定的籌劃和運行XXX管理體系所需的外來的文件化信息應確保得到識別和控制。注：訪問權(quán)僅指允許審閱文件化信息的決定，或查看和變更文件化信息的允許和授權(quán)。運行8.1運行籌劃和控制起草指南如果條款8沒有增加分條款，8.1分條款的標題將被刪除。組織應籌劃、實施和控制為確保符合要求和6.1條款規(guī)定的措施得到實施所需的過程，具體如下：——為過程確定運行準則；——根據(jù)運行準則，實施對過程的控制；——保持必要的文件化信息以確保過程按籌劃實施。組織應控制方案變更并評審非方案變更的后果，必要時，采取措施減少負面影響。組織應確保外包過程受到控制?？冃гu價9.1監(jiān)視、測量、分析和評價組織應確定：——需要監(jiān)視和測量的內(nèi)容；——適用的監(jiān)視、測量、分析和評價的方法，以確保有效的結(jié)果；——實施監(jiān)視和測量的時間；以及間隔；——分析和評價監(jiān)視和測量結(jié)果的時間。組織應保存適宜的文件化信息作為結(jié)果證據(jù)。組織應評價XXX績效和XXX管理體系的有效性。9.2內(nèi)部審核9.2.1組織應按籌劃的時間間隔進展內(nèi)部審核，以確定XXX管理體系是否：a〕符合：——組織本身關(guān)于XXX管理體系的要求；——本國際標準〔或ISO標準的本局部，或本技術(shù)標準〉的要求；b〕是否得到了有效的實施和保持。9.2.2組織應：a〕籌劃、建設(shè)、實施和保持審核方案，包括審核頻次、方法、職責、籌劃要求和報告等，審核方案應考慮相關(guān)過程的重要性，以及以往的審核結(jié)果；b〕確定每次審核的審核準則和審核范圍；c〕審核人員的選擇和審核的實施，確保審核過程的客觀性和公正性；d〕確保向相關(guān)管理者報告審核結(jié)果；e〕組織應保存文件化信息作為審核方案實施和審核結(jié)果的證據(jù)。9.3管理評審最高管理者應按籌劃的時間間隔，對組織的XXX管理體系進展評審，以確保其持續(xù)適宜性、充分性和有效性。管理評審應包括如下內(nèi)容：以往管理評審措施的實施情況；b〕與XXX管理體系有關(guān)的外部和內(nèi)部問題的變更；c〕關(guān)于組織XXX績效的信息，包括以下方面的動態(tài)：——不符合和糾正措施；——監(jiān)視和測量結(jié)果，——審核結(jié)果；d〕持續(xù)改良的時機。管理評審的輸出應包括與持續(xù)改良時機相關(guān)的決策和XXX管理體系變更的需求。組織應保存文件化信息以作為管理評審結(jié)果的證據(jù)。10.改良10.1不符合與糾正措施當出現(xiàn)不符合時，組織應：a〕對不符合做出反響，適用時需，—