ISO22000认证-资料协助 一站服务

厦门汉墨企业管理咨询有限公司

本总纲的制定参考并依据了下列文件资料。
1) 法律法规：是指我国颁布的、业务所能涉及到的国家，所有与安全相关且具有约束和作用的法律、法规；
2) 规定：是指互联网行业、及其分支机构颁布的具有约束和作用的所有文件、规定等；
3) 文件：公司下发的对安全业务管理和流程、信息安全和隐私管理等有约束力和作用的所有文件；
4) 国际惯例：是指开展业务以及提供信息安全建设过程中必须遵循的具有约束和作用的国际通用惯例；
5) 标准：
 《ISO/IEC 27000:2013信息技术 安全技术 信息管理体系 词汇和概述》；
 《GB/T 22080-2016/ISO/IEC 27001:2013信息技术 安全技术 信息管理体系要求》；
 《ISO/IEC 27002:2013信息技术 安全技术 信息管理体系实践》；
 《ISO/IEC 27701:2019  安全技术 27001和27002扩展的隐私信息管理 要求和指南》
 《ISO/IEC 27018 云隐私保护》
 《ISO/IEC 29151个人身份 信息保护实践指南》
 《ISO/IEC 29100 信息技术 安全技术 隐私保护框架》
总则
公司实施与客户沟通所需的过程，以确定顾客对产品和服务的要求。
与产品和服务有关要求的确定
（1）顾客的要求涉及产品的质量性能指标、产品的交付要求、产品的售后服务{合同约定}要求，包括顾客隐含和潜在的要求、产品安全性和环境保护等法律、法规有规定的义务和责任。
（2）合同签订前，业务部要充分了解顾客对产品的要求，识别顾客的潜在要求，包括相关法律、法规、标准的要求，产品本身的适用性要求，顾客对产品可靠性、运输、服务等方面的要求，以及本公司确定的附加要求。这些要求包括：
A. 明示的产品质量等级、数量、、交货期、相应的服务等；
B. 顾客没有明确的要求，但产品必须满足的适用性要求；
C. 顾客没有规定，标准或法律法规规定的及本公司确定的附加要求包括交付后合同规定的维修服务、相关的其他服务“回收或终处置”等。
（3）在样品制作前，业务部应在产品需求中明确表达顾客对新产品或有附加技术要求产品的潜在要求；
（4）与产品有关的要求识别后，公司要与顾客进行沟通。
与产品和服务有关要求的评审
业务部在合同或订单签订之前应进行评审，其相关要求与方式如下：
（1）评审的要求：产品名称/规格/颜色/数量/交货期/报价/质量/运输等
对库存产品能满足客户需求的，经批准，业务部可直接下单生产部生产；当客户下新产品订单或临时新量订单时，业务部须经相关部门（品技部、资材部、生产部）进行合同评审后，以确认能否按客户要求按时交货,并直接在订单上备注。
（2）在产品评审过程中，应确保：
产品要求得到规定/所有疑问已解决/ 公司有能力满足规定的要求
（3）顾客以电话、口头等方式进行下单生产时，市场部人员要作好记录，转化为书面形式，待对方进行确认后按以上方式组织评审。
（4）业务部人员应在顾客需求资料上直接进行评审、确认；
（5）顾客对产品要求发生变更时，公司须确保相关文件得到修改，并确保相关人员知道己变更的要求。
（6）合同评审记录和合同修改记录，评审中提出需要跟踪措施的记录，由业务部人员负责记录和保存。保存期根据规定期限保存。

QMS文件应包括：
a)质量方针和质量目标
b)质量手册
c)程序文件和记录
d)作业文件及记录
注c):本标准要求的形成文件的程序和记录(本公司自己规定的)
注d):为确程有效策划、运行和控制所需的文件


ISO9000系列(四个核心标准)
ISO9000    QMS基础和术语   是工具标准
ISO9004组织持续成功的管理—一种质量管理方法  是针对管理层的目标管理，对高层成熟度的考量
ISO19011 是QMS/EMS审核指南  是审核标准，非质量标准，针对质量与环境，也可以用于职业健康审核
ISO9001  QMS要求





环境管理体系 (Environment management system），简称EMS
ISO14000系列标准是由国际标准化组织制订的环境管理体系标准,其中ISO14001为环境管理体系认证主要依据标准，等同国家标准GB/T24001
职业健康安全管理体系的国际标准为OHSMS18000，职业健康安全评价系列标准（Occupational Health and Safety Assessment Series），简称为OHSMS，其中OHSMS18000为职业健康安全管理体系认证主要依据标准，等同国家标准GB/T28001。新版本ISO45001:2018
能源管理体系（ Management System for Energy ）简称为EnMS。能源管理体系的国际标准为ISO50000，其中ISO50001为能源管理体系认证主要依据标准，等同国家标准GB/T23331。
信息技术服务管理体系（Information Technology Service Management System，简称ITSMS）是国际上部针对信息技术服务管理领域的标准，ISO20000信息技术服务管理体系标准代表了被广泛认可的评估IT服务管理流程的原则的基础。此标准定义了全面的、紧密相关的服务管理流程。ISO20000信息技术服务管理体系认证是指组织依据ISO20000标准建立的能够提供IT服务系统管理的体系。
公司依据《ISO/IEC 27701:2019  安全技术 27001和27002扩展的隐私信息管理 要求和指南》的要求，同时考虑行业的特点，从业务需求出发，遵从风险管理的理念，注重过程管理，建立和实施隐私信息管理体系，确保与信息安全、安全相关的资源、技术、管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全事故或人为有意的破坏事件，**公司信息的保密性、完整性和可用性，确保各项业务的连续性。
公司依据整体业务活动和风险，按照ISO/IEC 27701:2019 标准的要求，建立、实施、运行、监视、评审、保持和改进隐私信息管理体系，将 PDCA（Plan、Do、Check 和 Act）持续改进模型作为贯穿整个信息安全和隐私管理的主要思想。