关于信息安全服务资质认证.docx
《关于信息安全服务资质认证.docx》由会员分享,可在线阅读,更多相关《关于信息安全服务资质认证.docx(32页珍藏版)》请在冰点文库上搜索。
关于信息安全服务资质认证
一体化认证审核/评价记录表
自评价及评审表-QMS
项目编号
受审核/评价方名称
审核/评价类别
☐信息安全☐信息技术服务☐业务连续性☐质量☐工程建设施工企业质量☐数据中心服务能力成熟度评价☐管理评价
审核/评价类型
☐预审核☐初次认证(☐第一阶段☐第二阶段)☐监督☐再认证☐变更☐其他
审核地点
审核范围
组织范围:
物理范围:
业务范围:
填表信息
填表人:
填表部门:
取证时间:
评审信息
评审人
评审时间:
填表说明:
1、规范化方式为组织为规范条款相关活动而采取的具体行动的方式,如果通过制度文件提出要求规范化方式为“文件规定”,如果没有制度文件采用工具进行约束规范化方式为“工具实现”,组织可以同时采用两种方式。
如果组织未针对标准要求建立任务规范要求,则选无,但需注意没有进行规范并不意味组织未执行相关活动,组织可能采用约定俗成的方式开展活动,这可能与组织的文档化粗细程度有关。
确定了规范化方式要记录原因、文件名称或工具名称。
2、“规范关键要求”为组织文件关键要求或工具的规范方式,“资源要求”是执行该活动需要的资源,包括人、财、技术和信息。
3、“规范执行证据”要填写活动执行的证据,如果为文档证据,需要填写抽样的文档的名称和或编号,如果是工具实现,可通过记录或图片的方式。
本文件可以附证据附件,需要在证据内容一栏填写附件名称。
资源保障证据类似。
4、“执行绩效评价”为活动设定的绩效目标与实际执行结果。
5、如果相关条款即存在不符合也存在观察项,评价一栏可以多选。
6、请在“证据内容”中体现审核范围的相关信息,例如物理环境审核应体现地址,抽样记录应体现涉及的业务和部门。
7、评审一栏由审核方填写,其他栏由受审核方填写,如果选择补充证据,请在评审栏说明需要补充的证据。
章节
标准要求
证据提供人员/部门
规范化方式
证据内容
评价
评审
8运行
8.2产品和服务的要求
8.2.1顾客沟通
与顾客沟通的内容应包括:
a)提供有关产品和服务的信息;
b)处理问询、合同或订单,包括更改;
c)获取有关产品和服务的顾客反馈,包括顾客投诉;
d)处置或控制顾客财产;
e)关系重大时,制定应急措施的特定要求。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.2.2产品和服务要求的确定
在确定向顾客提供的产品和服务的要求时,组织应确保:
a)产品和服务的要求得到规定,包括:
1)适用的法律法规要求:
2)组织认为的必要要求。
b)提供的产品和服务能够满足所声明的要求。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.2.3产品和服务要求的评审
8.2.3.1组织应确保有能力向顾客提供满足要求的产品和服务。
在承诺向顾客提供产品和服务之前,组织应对如下各项要求进行评审:
a)顾客规定的要求,包括对交付及交付后活动的要求;
b)顾客虽然没有明示,但规定的用途或已知的预期用途所必需的要求;
c)组织规定的要求;
d)适用于产品和服务的法律法规要求;
e)与以前表述不一致的合同或订单要求。
组织应确保与以前规定不一致的合同或订单要求已得到解决。
若顾客没有提供成文的要求,组织在接受顾客要求前应对顾客要求进行确认。
注:
在某些情况下,如网上销售,对每一个订单进行正式的评审可能是不实际的,作为替代方法,可评审有关的产品信息,如产品目录.
8.2.3.2适用时,组织应保留与下列方面有关的成文信息:
a)评审结果;
b)产品和服务的新要求。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.2.4产品和服务要求的更改
若产品和服务要求发生更改,组织应确保相关的成文信息得到修改,并确保相关人员知道己更改的要求。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.3产品和服务的设计和开发
8.3.1总则
组织应建立、实施和保持适当的设计和开发过程,以确保后续的产品和服务的提供。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.3.2设计和开发策划
在确定设计和开发的各个阶段和控制时,组织应考虑:
a)设计和开发活动的性质、持续时间和复杂程度;
b)所需的过程阶段,包括适用的设计和开发评审;
c)所需的设计和开发验证、确认活动;
d)设计和开发过程涉及的职责和权限;
e)产品和服务的设计和开发所需的内部、外部资源:
f)设计和开发过程参与人员之间接口的控制需求:
g)顾客及使用者参与设计和开发过程的需求;
h)对后续产品和服务提供的要求;
i)顾客和其他有关相关方所期望的对设计和开发过程的控制水平;
j)证实已经满足设计和开发要求所需的成文信息。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.3.3设计和开发输入
组织应针对所设计和开发的具体类型的产品和服务,确定必需的要求。
组织应考虑:
a)功能和性能要求;
b)来源于以前类似设计和开发活动的信息;
c)法律法规要求;
d)组织承诺实施的标准或行业规范;
e)由产品和服务性质所导致的潜在的失效后果。
针对设计和开发的目的,输入应是充分和适宜的,且应完整、清楚。
相互矛盾的设计和开发输入应得到解决。
组织应保留有关设计和开发输入的成文信息。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.3.4设计和开发控制
组织应对设计和开发过程进行控制,以确保:
a)规定拟获得的结果;
b)实施评审活动,以评价设计和开发的结果满足要求的能力z
c)实施验证活动,以确保设计和开发输出满足输人的要求:
d)实施确认活动,以确保形成的产品和服务能够满足规定的使用要求或预期用途;
e)针对评审、验证和确认过程中确定的问题采取必要措施;
f)保留这些活动的成文信息。
注=设计和开发的评审、验证和确认具有不同目的.根据组织的产品和服务的具体情况,可单独或以任意组合的方式进行.
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.3.5设计和开发输出
组织应确保设计和开发输出:
a)满足输人的要求;
b)满足后续产品和服务提供过程的需要;
c)包括或引用监视和测量的要求,适当时,包括接收准则;
d)规定产品和服务特性,这些特性对于预期目的、安全和正常提供是必需的。
组织应保留有关设计和开发输出的成文信息。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.3.6设计和开发更改
组织应对产品和服务在设计和开发期间以及后续所做的更改进行适当的识别、评审和控制,以确保这些更改对满足要求不会产生不利影响。
组织应保留下列方面的成文信息:
a)设计和开发更改;
b)评审的结果;
c)更改的授权z
d)为防止不利影响而采取的措施。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.4外部提供的过程、产品和服务的控制
8.4.1总则
组织应确保外部提供的过程、产品和服务符合要求。
在下列情况下,组织应确定对外部提供的过程、产品和服务实施的控制:
a)外部供方的产品和服务将构成组织自身的产品和服务的一部分;
b)外部供方代表组织直接将产品和服务提供给顾客;
c)组织决定由外部供方提供过程或部分过程。
组织应基于外部供方按照要求提供过程、产品和服务的能力,确定并实施对外部供方的评价、选择、绩效监视以及再评价的准则。
对于这些活动和由评价引发的任何必要的措施,组织应保留成文信息。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.4.2控制类型和程度
组织应确保外部提供的过程、产品和服务不会对组织稳定地向顾客交付合格产品和服务的能力产生不利影响。
组织应:
a)确保外部提供的过程保持在其质量管理体系的控制之中;
b)规定对外部供方的控制及其输出结果的控制;
c)考虑:
1)外部提供的过程、产品和服务对组织稳定地满足顾客要求和适用的法律法规要求的能力的潜在影响;
2)由外部供方实施控制的有效性;
d)确定必要的验证或其他活动,以确保外部提供的过程、产品和服务满足要求。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.4.3提供给外部供方的信息
组织应确保在与外部供方沟通之前所确定的要求是充分和造宜的。
组织应与外部供方沟通以下要求:
a)需提供的过程、产品和服务z
b)对下列内容的批准:
1)产品和服务;
2)方法、过程和设备;
3)产品和服务的放行;
c)能力,包括所要求的人员资格E
d)外部供方与组织的互动;
e)组织使用的对外部供方绩效的控制和监视;
f)组织或其顾客拟在外部供方现场实施的验证或确认活动。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.5生产和服务提供
8.5.1生产和服务提供的控制
组织应在受控条件下进行生产和服务提供。
适用时,受控条件应包括:
a)可获得成文信息,以规定以下内容:
1)拟生产的产品、提供的服务或进行的活动的特性5
2)拟获得的结果。
b)可获得和使用适宜的监视和测量资源;
c)在适当阶段实施监视和测量活动,以验证是否符合过程或输出的控制准则以及产品和服务的
接收准则z
d)为过程的运行使用适宜的基础设施,并保持适宜的环境;
e)配备胜任的人员,包括所要求的资格;
f)若输出结果不能由后续的监视或测量加以验证,应对生产和服务提供过程实现策划结果的能力进行确认,并定期再确认;
g)采取措施防止人为错误;
h)实施放行、交付和交付后的活动。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.5.2标识和可追溯性
需要时,组织应采用适当的方法识别输出,以确保产品和服务合格。
组织应在生产和服务提供的整个过程中按照监视和测量要求识别输出状态。
当有可追溯要求时,组织应控制输出的唯一性标识,并应保留所需的成文信息以实现可追溯。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.5.3顾客或外部供方的财产
组织应爱护在组织控制下或组织使用的顾客或外部供方的财产。
对组织使用的或构成产品和服务一部分的顾客和外部供方财产,组织应予以识别、验证、保护和防护。
若顾客或外部供方的财产发生丢失、损坏或发现不适用情况,组织应向顾客或外部供方报告,并保留所发生情况的成文信息。
注:
顾客或外部供方的财产可能包括材料、零部件、工具和设备以及场所、知识产权和个人资料。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.5.4防护
组织应在生产和服务提供期间对输出进行必要的防护,以确保符合要求。
注:
防护可包括标识、处置、污染控制、包装、储存、传输或运输以及保护。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.5.5交付后活动
组织应满足与产品和服务相关的交付后活动的要求。
在确定所要求的交付后活动的覆盖范围和程度时,组织应考虑:
a)法律法规要求;
b)与产品和服务相关的潜在不良的后果;
c)产品和服务的性质、使用和预期寿命;
d)顾客要求;
的顾客反馈。
注2交付后活动可包括保证条款所规定的措施、合同义务(如维护服务等〉、附加服务〈如回收或最终处置等).
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.5.6更改控制
组织应对生产或服务提供的更改进行必要的评审和控制,以确保持续地符合要求。
组织应保留成文信息,包括有关更改评审的结果、授权进行更改的人员以及根据评审所采取的必要措施。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.6产品和服务的放行
8.6产品和服务的放行
组织应在适当阶段实施策划的安排,以验证产品和服务的要求已得到满足。
除非得到有关授权人员的批准,适用时得到顾客的批准,否则在策划的安排已圆满完成之前,不应
向顾客放行产品和交付服务。
组织应保留有关产品和服务放行的成文信息。
成文信息应包括:
a)符合接收准则的证据;
b)可追溯到授权放行人员的信息。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.7不合格输出的控制
8.7不合格输出的控制
8工1组织应确保对不符合要求的输出进行识别和控制,以防止非预期的使用或交付。
组织应根据不合格的性质及其对产品和服务符合性的影响采取适当措施。
这也适用于在产品交付
之后,以及在服务提供期间或之后发现的不合格产品和服务。
组织应通过下列一种或几种途径处置不合格输出z
a)纠正;
b)隔离、限制、退货或暂停对产品和服务的提供;
c)告知顾客;
d)获得让步接收的授权。
对不合格输出进行纠正之后应验证其是否符合要求。
8.7.2组织应保留下列成文信息:
a)描述不合格;
b)描述所采取的措施;
c)描述获得的让步;
d)识别处置不合格的授权。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
升级会员 