三亞ISO45001認證2018審核要點 一）文件審核或一階段非現場審核： 體系文件是否已經描述必要的運行準則（是否覆蓋與以下因素相關的過程）： 1）危險源辨識結果（包括變更）； 2）與OHS績效有關的風險； 3）合規義務； 4）相關方。 二）一階段現場審核： 收集并評價組織必要的運行準則文件： 1）與危險源辨識結果相對應的措施清單； 2）與組織責任有關的場所、設施、過程的控制措施，如危化品倉庫的管理制度、噴涂車間現場管理制度等； 3）與方針目標、危害因素檢測、工傷事故、員工福利等有關的運行程序或管理制度。 4）與相關方（供應商、承包方、外包方或受OHS影響的人員或區域）有關的管理措施。 配合合規性評價結論、監測結果等績效來評價這些運行準則策劃的充分性和運行控制的有效性，并對關鍵場所進行現場觀察。 三）二階段現場審核： OHS主管部門： 1）抽查與危險源辨識結果有關的控制措施，收集與重要風險有關的運行準則和控制證據； 2）抽查與關鍵場所、特種設施、設施等有關的運行準則和運行控制證據； 3）與重要相關方（如承包、外包、外來人員等）等有關的契約、協調、監視、施加影響等證據。 各職能部門、產品和服務提供的現場，采用過程方法，重點觀察并記錄下列因素有關的控制措施的現場實施狀態，包括資源的充分性、措施的適宜性和有效性，特別是個人防護狀態； 1）與產品（原輔材料、半成品）和服務、活動、設施有關的危險源； 2）關鍵場所（服務現場、職業危害因素工序、危化品倉庫、食堂等）； 3）特種設備、設施。 4）相關方人員。

ISO27000認證體系建立和運行步驟 ISO27001標準要求組織建立并保持一個文件化的信息管理體系，其中應闡述需要保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的保證程度。 不同的組織在建立與完善信息管理體系時，可根據自己的特點和具體情況，采取不同的步驟和方法。但總體來說，建立信息管理體系一般要經過下列四個基本步驟：信息管理體系的策劃與準備；信息管理體系文件的編制；信息管理體系運行；信息管理體系審核與評審。 如果考慮認證過程其詳細的步驟如下： 1. 現場診斷； 2. 確定信息管理體系的方針、目標； 3. 明確信息管理體系的范圍，根據組織的特性、地理位置、資產和技術來確定界限； 4. 對管理層進行信息管理體系基本知識培訓； 5. 信息體系內部審核員培訓； 6. 建立信息管理組織機構； 7. 實施信息資產評估和分類，識別資產所受到的威脅、薄弱環節和對組織的影響，并確定風險程度； 8. 根據組織的信息方針和需要的保證程度通過風險評估來確定應實施管理的風險，確定風險控制手段； 9. 制定信息管理手冊和各類必要的控制程序 ； 10. 制定適用性聲明； 11. 制定商業可持續性發展計劃； 12. 審核文件、發布實施； 13. 體系運行，有效的實施選定的控制目標和控制方式； 14. 內部審核； 15. 外部 階段認證審核； 16. 外部第二階段認證審核； 17. 頒發； 18. 體系持續運行/年度監督審核； 19. 復評審核（三年有效）。 至于應采取哪些控制方式則需要周密計劃，并注意控制細節。信息管理需要組織中的所有雇員的參與，比如為了防止組織外的第三方人員非法進入組織的辦公區域獲取組織的技術機密，除物理控制外，還需要組織全體人員參與，加強控制。此外還需要供應商，顧客或股東的參與，需要組織以外的專家建議。信息、信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。 當前，越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的威脅，諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到威脅的破壞，公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度。 許多信息系統本身就不是按照系統的要求來設計的，所以僅依靠技術手段來實現信息有其局限性，所以信息的實現必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃，并注意細節。信息管理至少需要組織中的所有雇員的參與，此外還需要供應商、顧客或股東的參與和信息的專家建議。

SO20000認證實施 階段： ?管理現狀調查與差距分析 ?體系培訓與學習 ISO20000認證第二階段： ?規劃體系的基本架構 ?建立服務級別管理 ?建立服務臺管理體系 ?建立事件管理體系 ?建立問題管理體系 ?規范日常管理制度 ISO20000認證第三階段： ?建立配置管理體系 ?建立變更管理制度和發布管理制度 ISO20000認證第四階段： ?建立業務連續性管理框架，制定應用統的應急預案 ?建立系統規劃機制（可用性管理和容量管理），規劃系統的容量和可用性 ?建立系統運行的規定、管理制度（信息管理） ?建立系統運行監視和管理要求 ISO20000認證第五階段： ?建立供應商管理與考評機制 ?建立服務成本管理控制體系 ?建立業務關系管理框架 ?建立客戶溝通管理體系 ?收集和改進客戶的滿意度 ?關注客戶的投訴 ?關注服務體系和服務質量的改進 ISO20000認證第六階段： ?內部審核與優化改進 ?正式審核與體系維持 1.3ISO20000實施方法 1.3.1開展培訓、職能分工 ?學習培訓 A.全員培訓，掌握ISO20000基礎知識、標準的內容、基本要求、實施辦法、推行ISO20000意義和計劃； B.骨干培訓，了解ISO20000標準的基本內容、2)領導在體系中的作用，為什麼要推行及如何推行ISO20000； C.文件編寫技能培訓，IT服務管理體系文件總論、IT服務質量管理手冊編寫、程式文件編寫、工作文件編寫、管理計劃制定、管理記錄； ?建立組織職能 A.領導小組積極地帶頭叁加學習ISO20000認證基礎知識，提供給出人力和物力支援，成立領導小組，任命管理代表，負責標準中規定的職責并及時處理有關重大問題，組織管理評審。 B.為了推行ISO20000，公司應成立專門工作機構，負責全公司推行ISO20000組織協調工作，作爲一個辦事核心。應保證所有各有關部門都能叁與工作小組，有專職人員和骨干力量，骨干人員應對ISO20000有較系統的學習， 有一定相關工作經歷； C.公司應按標準要求任命管理者代表，確保按照標準規定建立、實施和維持IT服務管理體系要求，向管理者報告體系的執行情況，以便評審和改進管理體系，管理者代表的職責還可以包括就IT服務質量管理體系方面與外部機構的聯絡。 ?系統調查與診斷 A.診斷現有體系與標準的符合性，找出與標準之間差距和形成這些差距原因。識別確定對服務質量管理體系進行修改的內容； B.實施診斷員可以是公司內部的人員，也可以公司委托的外部機構，如咨詢機構的人員，因此實施診斷的人員可以有內部審核員、第三方審核機構的人員; C.確定診斷小組出具診斷依據和診斷物件，制訂診斷計劃，編制診斷工作文件，現場診斷檢查，提交診斷報告； ?體系設計 A.制訂IT服務質量管理方針； B.任命管理者代表主要責任，協助管理者確保按標準的要求建立IT服務質量管理體系，負責體系的實施和維護，負責組織內部管理體系審核，向 管理者報告體系執行情況，以便評審和改進； C.設計調整組織機構，明確各部門職責應覆蓋標準要求、職責、職能分工形成書面文件； D.確定新體系中文件結構、典型文件層次。 1.3.2編寫文件、試點運行 ?編寫文件 A.列出IT服務質量管理手冊 B.分配文件編寫任務 C.各部門叁與起草工作流程 D.文件批準發效 ?試點運行 A.體系交底 B.培訓、宣傳 C.試運行與完善 1.3.3內部審核、正式運行 ?內部審核、管理評審 A.至少進行一次內部審核，按ISO20000認證要求制訂審核計劃、審核清單、審核報告、不合格項的跟蹤和監督等有關活動記錄和文件應保存完好，以便以認證檢查。 B.至少安排一次管理評審，以評價新體系的有效性和適用性，同時積累一次管理評審活動記錄，評審按程式文件要求進行。 ?正式運行 通過內部審核、管理評審，對體系文件中不切合實際或規定不合適之處進行及時的修改，在一系列修改后，發布第二版質量手冊、程式文件進行正式運行。 1.3.4正式審核，體系維持 ?接受所選擇的認證機構的正式審核。 ?體系維持與提高 A.檢查現場中問題，不斷地改進和鞏固； B.進一步完善體系文件，加強協調監督工作； C.定期開展內部IT服務質量管理審核和管理評審