ISO標(biāo)準(zhǔn)基本框架高層次結(jié)構(gòu)

...wd......wd......wd...ISO標(biāo)準(zhǔn)基本框架高層次構(gòu)造引言起草指南對(duì)應(yīng)具體的領(lǐng)域。范圍起草指南對(duì)應(yīng)具體的領(lǐng)域。標(biāo)準(zhǔn)性引用文件起草指南應(yīng)使用本條款標(biāo)題。對(duì)應(yīng)具體的領(lǐng)域。術(shù)語(yǔ)和定義起草指南1應(yīng)使用本條款標(biāo)題。術(shù)語(yǔ)和定義可能在同一個(gè)標(biāo)準(zhǔn)中也有可能在單獨(dú)文件中。參考通用術(shù)語(yǔ)和核心定義＋特定管理體系標(biāo)準(zhǔn)領(lǐng)域的術(shù)語(yǔ)和定義。術(shù)語(yǔ)和定義的安排應(yīng)與每個(gè)管理體系標(biāo)準(zhǔn)相適應(yīng)。支持指南2如下術(shù)語(yǔ)和定義是管理體系標(biāo)準(zhǔn)“通用版本〞的必不可少的一局部。需要時(shí)，可以增加術(shù)語(yǔ)和定義。注解的增加和修改為標(biāo)準(zhǔn)的目的服務(wù)。支持指南3定義中的斜體字局部指的是參考該條款的另一個(gè)術(shù)語(yǔ)。術(shù)語(yǔ)的參考號(hào)在括號(hào)中列出。支持指南4在文件中xxx貫穿于整個(gè)條款，按照術(shù)語(yǔ)和定義發(fā)熱應(yīng)用環(huán)境，插入適宜的內(nèi)容。如：“xxx目標(biāo)〞可以用“信息安全目標(biāo)〞來(lái)啊代替。3.01組織：具有自身的職責(zé)、權(quán)限和相互關(guān)系等功能，能實(shí)現(xiàn)其目標(biāo)〔3.08〕的個(gè)人和群體。注1：組織的概念包括但不限于獨(dú)資經(jīng)營(yíng)者、公司、集團(tuán)公司、商行、企事業(yè)單位、政府機(jī)構(gòu)、合營(yíng)公司、慈善機(jī)構(gòu)、社會(huì)事業(yè)機(jī)構(gòu)，或上述組織的局部或結(jié)合體，無(wú)論是否具有法人資格，公營(yíng)或私營(yíng)。3.02相關(guān)方〔利益相關(guān)方〕：可能影響或被影響、或者覺(jué)察自己受到某決定或活動(dòng)影響的個(gè)人或組織〔3.1〕。3.03要求：明示的、通常隱含的或必須履行的需求或期望。注1：“通常隱含〞是指組織和其他相關(guān)方的慣例或一般做法，所考慮的需求或期望是不言而喻的。注2：規(guī)定的要求是經(jīng)明示的要求。如在文件化信息中說(shuō)明的要求。3.04管理體系：組織〔3.01〕記錄方針〔3.07〕、目標(biāo)、過(guò)程〔3.12〕并實(shí)現(xiàn)這些目標(biāo)的一組相互關(guān)系或相互作用的要素。注1：一個(gè)管理體系可包括一個(gè)或多個(gè)學(xué)科。注2：體系要素包括組織的構(gòu)造、作用、職責(zé)、籌劃和運(yùn)行。注3：管理體系的范圍可能包括整體組織、組織特定的和確定的職能的部門(mén)、或一群組織的一個(gè)或多個(gè)職能。3.05最高管理者：在最高層指揮與控制組織〔3.01〕的個(gè)人或群體注1：最高管理者有權(quán)在組織內(nèi)部授權(quán)并提供資源。注2：如管理體系〔3.04〕的范圍僅涵蓋組織的一局部，最高管理者是指對(duì)組織該局部進(jìn)展指揮與控制的人員。3.06有效性：完成籌劃的活動(dòng)并取得籌劃結(jié)果的程度。3.07方針：有組織最高管理者正式發(fā)布的組織的宗旨和方向。3.08目標(biāo)：需實(shí)現(xiàn)的結(jié)果注1：目標(biāo)可以是戰(zhàn)略性的、戰(zhàn)術(shù)性的也可以是運(yùn)營(yíng)性的。注2：目標(biāo)與不同的領(lǐng)域有關(guān)〔如財(cái)務(wù)、安康和安全、環(huán)境目標(biāo)〕，并且能夠應(yīng)用于不同的層次〔戰(zhàn)略、組織層面、工程、產(chǎn)品和過(guò)程〔3.12〕〕。注3：作為xxx目標(biāo)，目標(biāo)可以通過(guò)其他方式表達(dá)，如預(yù)期成果、目的、運(yùn)行準(zhǔn)則，或采用其他意思相近的詞語(yǔ)〔如：aim，goal，ortarget〕。注4：在xxx管理體系的環(huán)境下，為了實(shí)現(xiàn)其特定的結(jié)果，xxx目標(biāo)由組織設(shè)置，與xxx方針保持一致。3.09風(fēng)險(xiǎn)：不確定的影響注1：背離期望的影響可能是正面的，也可能是負(fù)面。注2：不確定是對(duì)事件、事件的結(jié)果或可能性的認(rèn)識(shí)或知識(shí)的相關(guān)信息缺乏或局部缺乏的狀態(tài)。注3：風(fēng)險(xiǎn)的特點(diǎn)通常涉及到潛在事件〔如ISO指南73：2009定義3.5.1.3〕及后果〔ISO73：2009定義3.6.1.3〕，或兩者的結(jié)合。注4：風(fēng)險(xiǎn)通常表示為一個(gè)事件的后果〔包括情況變化〕與事件發(fā)生的可能性〔ISO73：2009定義3.6.1.1〕的結(jié)合。.3.10能力,應(yīng)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的能力。3.11文件化信息 #組織〔3.01〕要求控制和保持的信息，及其保持的方法。注1：文件化信息可以是任何格式和媒介，且不限制來(lái)源。注2：文件化信息可能是：——管理體系〔3.04〕及其過(guò)程〔3.12〕?！獮榱私M織的運(yùn)行所創(chuàng)立的信息〔文件〕；——所實(shí)現(xiàn)結(jié)果的證據(jù)〔記錄〕。3.12過(guò)程：將輸入轉(zhuǎn)換為輸出的一組相互關(guān)聯(lián)、相互作用的活動(dòng)。3.12績(jī)效：可測(cè)量的結(jié)果。注1：績(jī)效可以是定量的也可以是定性的結(jié)果。注2：績(jī)效可能與活動(dòng)、過(guò)程〔3.12〕、產(chǎn)品〔包括服務(wù)〕、體系或組織〔3.01〕的管理相關(guān)。3.14外包：安排外部組織執(zhí)行組織的局部職能或過(guò)程〔3.12〕注1：外部組織在管理體系范圍之外〔3.04〕，盡管外包的職能或過(guò)程在范圍之內(nèi)。3.15監(jiān)視:確定體系、過(guò)程〔3.12〕或活動(dòng)的狀態(tài)。注1：為確定狀態(tài)，可能需要檢查、監(jiān)視或必要的觀察。3.16測(cè)量：確定計(jì)量數(shù)值的過(guò)程〔3.12〕3.17為獲得審核證據(jù)并對(duì)其進(jìn)展客觀的評(píng)價(jià)，以確定滿(mǎn)足審核準(zhǔn)則的程度所進(jìn)展的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程〔3.12)。注1：審核可以是內(nèi)部審核〔第一方審核〕或外部審核〔第二方審核或第三方審核〉也可以是結(jié)合審核〔結(jié)合兩個(gè)或多個(gè)學(xué)科〉。注2：內(nèi)審可以由組織自己實(shí)施或以由外部組織代表其實(shí)施。注3：審核證據(jù)和審核準(zhǔn)則在ISO19011中有規(guī)定。3.18符合〔合格〕：滿(mǎn)足要求〔3.03〕3.19不符合〔不合格〕：未滿(mǎn)足要求〔3.03〕3.20糾正措施：消除不符合〔3.15〕原因、防止其再發(fā)生所釆取的措施。3.21持續(xù)改良：為提高績(jī)效〔3.13〕所反復(fù)從事的活動(dòng)。組織環(huán)境4.1了解組織及其環(huán)境組織應(yīng)確定與其目的相關(guān)的、影響其實(shí)現(xiàn)其XXX管理體系既定結(jié)果的能力的內(nèi)部和外部問(wèn)題。4.2了解相關(guān)方的需求和期望組織應(yīng)確定：——與XXX管理體系有關(guān)的相關(guān)方；——這些相關(guān)方的相關(guān)要求；4.3確定xxx管理體系的范圍組織應(yīng)確定xxx管理體系的邊界和適用性，以確定其范圍，確定范圍時(shí)，組織應(yīng)考慮：——4.1中提及的外部和內(nèi)部問(wèn)題；——4.2中提及的要求；范圍應(yīng)保持文件化信息。4.4xxx管理體系組織應(yīng)根據(jù)本國(guó)際標(biāo)準(zhǔn)〔或ISOxxxx標(biāo)準(zhǔn)的本局部，或本技術(shù)標(biāo)準(zhǔn)〉的要求建設(shè)、實(shí)施、保持并持續(xù)改良xxx〕管理體系，包括所需的過(guò)程及其相互作用。領(lǐng)導(dǎo)力5.1領(lǐng)導(dǎo)力及其承諾最高管理者應(yīng)通過(guò)以下方式證明其在xxx管理體系方面的領(lǐng)導(dǎo)力和承諾：——確保建設(shè)XXX方針及XXX目標(biāo)，且XXX方針及XXX目標(biāo)適合于組織的戰(zhàn)略方向；——確保將XXX管理體系要求融入組織的業(yè)務(wù)流程；——確保為XXX管理體系提供所需的資源；——傳達(dá)有效的XXX管理以及符合XXX管理體系要求的重要性；——確保XXX管理體系能實(shí)現(xiàn)其預(yù)期成果；——指導(dǎo)并支持員工為XXX管理體系實(shí)施的有效性作出奉獻(xiàn)；——推動(dòng)持續(xù)改良；——支持其他相關(guān)管理者證明其領(lǐng)導(dǎo)力適用于其責(zé)任領(lǐng)域。注：本國(guó)際標(biāo)準(zhǔn)〔或ISOXXX標(biāo)準(zhǔn)的本局部，或本技術(shù)標(biāo)準(zhǔn)〉中的“業(yè)務(wù)〞一詞從廣義上可理解為對(duì)組織的生存具有核心作用的活動(dòng)。5.2方針最高管理者應(yīng)建設(shè)其XXX方針：a〕適合于本組織的目的；b〕提供建設(shè)XXX目標(biāo)的框架；c〕包括滿(mǎn)足適用性要求的承諾；d〕包括關(guān)于持續(xù)改良XXX管理體系的承諾。XXX方針應(yīng)：——保持文件化信息；——在組織內(nèi)部進(jìn)展信息交流；——適當(dāng)時(shí)，可為相關(guān)方所獲取。5.3組織的作用、職責(zé)及權(quán)限最高管理者應(yīng)確保在組織內(nèi)局部配相關(guān)角色的職責(zé)和權(quán)限，并在組織內(nèi)部傳達(dá)。最高管理者應(yīng)分配職責(zé)及權(quán)限，以：a)確保XXX管理體系符合本國(guó)際標(biāo)準(zhǔn)〔或ISOXXX標(biāo)準(zhǔn)的本局部，或本技術(shù)標(biāo)準(zhǔn)〕的要求；b〕向最高管理者匯報(bào)XXX管理體系的績(jī)效?；I劃6.1處理風(fēng)險(xiǎn)和機(jī)遇的措施籌劃XXX管理體系時(shí)，組織應(yīng)考慮到4.1所提及的問(wèn)題和4.2所談及的要求，確定需處理的風(fēng)險(xiǎn)和機(jī)遇：——確保XXX管理體系能夠?qū)崿F(xiàn)預(yù)期的結(jié)果；——防止、減少不期望的結(jié)果；——實(shí)現(xiàn)持續(xù)改良。組織應(yīng)籌劃：a〕處理與風(fēng)險(xiǎn)和機(jī)遇相關(guān)的措施；b〕若何：——將措施融入其XXX管理體系過(guò)程并予以實(shí)施；——評(píng)價(jià)措施的有效性。6.2XXX目標(biāo)及其實(shí)現(xiàn)的籌劃組織應(yīng)在其相關(guān)的職能和層次建設(shè)XXX目標(biāo)。XXX目標(biāo)應(yīng)：a〕符合XXX方針；b〕可測(cè)量〔如可行〕c〕考慮適用的要求；d〕可監(jiān)視；e〕得以傳達(dá)；f〕適當(dāng)時(shí)更新。組織應(yīng)當(dāng)保持XXX目標(biāo)的文件化信息。當(dāng)籌劃若何實(shí)現(xiàn)其XXX目標(biāo)時(shí)，組織應(yīng)確定：——要做什么；——需要哪些資源；——由誰(shuí)負(fù)責(zé)；——何時(shí)完成；——若何評(píng)價(jià)結(jié)果支持組織應(yīng)確定并提供建設(shè)、實(shí)施、保持和持續(xù)改良XXX管理體系所需的資源。7.1資源7.2能力組織應(yīng)：——確定在其控制下、對(duì)其XXX績(jī)效產(chǎn)生影響的工作人員應(yīng)具備的能力；——基于適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)歷，確保這些人員具備所需要的能力；——適用時(shí)，采取措施獲取必要的能力，并評(píng)價(jià)所采取措施的有效性；注：適用的措施可包括提供培訓(xùn)、指導(dǎo)或調(diào)動(dòng)當(dāng)前從業(yè)人員；或另聘用或簽約有能力的人員等。7.3意識(shí)在組織控制下的工作人員應(yīng)了解：―XXX方針；―其對(duì)XXX管理體系有效性的奉獻(xiàn)，包括提高XXX績(jī)效的益處等；―不符合XXX管理體系要求的后果。7.4信息交流組織應(yīng)確定與其XXX管理體系有關(guān)的內(nèi)部和外部信息交流，包括：―交流什么信息；―何時(shí)進(jìn)展交流；―與誰(shuí)進(jìn)展信息交流；―若何進(jìn)展信息交流。7.5文件化信息7.5.1概述組織的XXX管理體系應(yīng)包括：a〕本國(guó)際標(biāo)準(zhǔn)〔或ISOXXXV標(biāo)準(zhǔn)的本局部，或本技術(shù)標(biāo)準(zhǔn)〉所要求的文件化信息；b〕組織確定的、為確保XXX管理體系有效性所必需的文件化信息。注：不同組織的XXX管理體系文件化信息的詳略程度可以不同，取決于：——組織的規(guī)模及其活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的類(lèi)型；——過(guò)程的復(fù)雜程度及其相互作用；——員工的能力。7.5.2創(chuàng)立和更新創(chuàng)立和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模骸獦?biāo)識(shí)和描述〔如標(biāo)題、日期、作者或編號(hào)等〕——格式〔如語(yǔ)言、軟件版本、圖表〕和媒介〔如紙質(zhì)、電子版〕——為確保適宜性和充分性的審核與批準(zhǔn)。7.5.3文件化信息的控制XXX管理體系和本國(guó)際標(biāo)準(zhǔn)〔或150標(biāo)準(zhǔn)的本局部，或本技術(shù)標(biāo)準(zhǔn)〉所要求的文件化信息應(yīng)予以控制，以確保:a〕在所需的場(chǎng)所，當(dāng)需要時(shí)可提供適用版本；b〕文件化信息得到充分保護(hù)〔如，防止泄密、防止使用不當(dāng)或完整性受損\為控制文件化信息，適用時(shí)，組織應(yīng)對(duì)以下活動(dòng)做出規(guī)定：——分發(fā)、訪問(wèn)、檢索和使用；-——存儲(chǔ)和保護(hù)，包括易讀性保護(hù)；——變更控制〔比方，版本控制〕；——保存和處置。組織所確定的籌劃和運(yùn)行XXX管理體系所需的外來(lái)的文件化信息應(yīng)確保得到識(shí)別和控制。注：訪問(wèn)權(quán)僅指允許審閱文件化信息的決定，或查看和變更文件化信息的允許和授權(quán)。運(yùn)行8.1運(yùn)行籌劃和控制起草指南如果條款8沒(méi)有增加分條款，8.1分條款的標(biāo)題將被刪除。組織應(yīng)籌劃、實(shí)施和控制為確保符合要求和6.1條款規(guī)定的措施得到實(shí)施所需的過(guò)程，具體如下：——為過(guò)程確定運(yùn)行準(zhǔn)則；——根據(jù)運(yùn)行準(zhǔn)則，實(shí)施對(duì)過(guò)程的控制；——保持必要的文件化信息以確保過(guò)程按籌劃實(shí)施。組織應(yīng)控制方案變更并評(píng)審非方案變更的后果，必要時(shí)，采取措施減少負(fù)面影響。組織應(yīng)確保外包過(guò)程受到控制?？?jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)組織應(yīng)確定：——需要監(jiān)視和測(cè)量的內(nèi)容；——適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法，以確保有效的結(jié)果；——實(shí)施監(jiān)視和測(cè)量的時(shí)間；以及間隔；——分析和評(píng)價(jià)監(jiān)視和測(cè)量結(jié)果的時(shí)間。組織應(yīng)保存適宜的文件化信息作為結(jié)果證據(jù)。組織應(yīng)評(píng)價(jià)XXX績(jī)效和XXX管理體系的有效性。9.2內(nèi)部審核9.2.1組織應(yīng)按籌劃的時(shí)間間隔進(jìn)展內(nèi)部審核，以確定XXX管理體系是否：a〕符合：——組織本身關(guān)于XXX管理體系的要求；——本國(guó)際標(biāo)準(zhǔn)〔或ISO標(biāo)準(zhǔn)的本局部，或本技術(shù)標(biāo)準(zhǔn)〉的要求；b〕是否得到了有效的實(shí)施和保持。9.2.2組織應(yīng)：a〕籌劃、建設(shè)、實(shí)施和保持審核方案，包括審核頻次、方法、職責(zé)、籌劃要求和報(bào)告等，審核方案應(yīng)考慮相關(guān)過(guò)程的重要性，以及以往的審核結(jié)果；b〕確定每次審核的審核準(zhǔn)則和審核范圍；c〕審核人員的選擇和審核的實(shí)施，確保審核過(guò)程的客觀性和公正性；d〕確保向相關(guān)管理者報(bào)告審核結(jié)果；e〕組織應(yīng)保存文件化信息作為審核方案實(shí)施和審核結(jié)果的證據(jù)。9.3管理評(píng)審最高管理者應(yīng)按籌劃的時(shí)間間隔，對(duì)組織的XXX管理體系進(jìn)展評(píng)審，以確保其持續(xù)適宜性、充分性和有效性。管理評(píng)審應(yīng)包括如下內(nèi)容：以往管理評(píng)審措施的實(shí)施情況；b〕與XXX管理體系有關(guān)的外部和內(nèi)部問(wèn)題的變更；c〕關(guān)于組織XXX績(jī)效的信息，包括以下方面的動(dòng)態(tài)：——不符合和糾正措施；——監(jiān)視和測(cè)量結(jié)果，——審核結(jié)果；d〕持續(xù)改良的時(shí)機(jī)。管理評(píng)審的輸出應(yīng)包括與持續(xù)改良時(shí)機(jī)相關(guān)的決策和XXX管理體系變更的需求。組織應(yīng)保存文件化信息以作為管理評(píng)審結(jié)果的證據(jù)。10.改良10.1不符合與糾正措施當(dāng)出現(xiàn)不符合時(shí)，組織應(yīng)：a〕對(duì)不符合做出反響，適用時(shí)需，—