ISO28000内部审核检查表含检查记录1.docx
《ISO28000内部审核检查表含检查记录1.docx》由会员分享,可在线阅读,更多相关《ISO28000内部审核检查表含检查记录1.docx(23页珍藏版)》请在冰点文库上搜索。
ISO28000内部审核检查表含检查记录1
内部审核检查表
标准条款
检查项目
审核记录
符合ok不合格
4.1
1.组织是否有建立、实施、保持和持续该井管理体系,识别安全威胁,控制风险,减轻风险的后果,并形成文件。
2.针对所选择的任何影响符合性要求的外包过程,是否对其实施了控制?
如何控制的?
3.确定管理体系的范围
1、建立了《供应链安全威胁的识别和风险评价的控制程序》,对安全威胁进行了识别,并对识别结果造成的风险进行了有效的控制,
2、经识别,本公司无外包活动。
3、公司明确了供应链安全管理体系的边界和范围,并在管理手册中予以明确。
符合
4.2
最高管理者应确定公司的安全管理方针,方针应:
a)与组织的其他方针保持一致;
b)提供建立和评审安全管理目标、指标和方案的框架;
c)与组织总体安全威胁和风险管理框架一致;
d)与组织的特性及受威胁的程度所采取的行动相适宜;
e)清楚地陈述总体安全管理目标;
f)包括持续改进安全管理过程的承诺;
g)包括对遵守与安全威胁有关的现行适用的法律法规及其他组织认同的要求的承诺;
h)应由最高管理者明确签署;
i)形成文件化,付诸实施,并予以保持;
j)传达到所有相关的雇员和第三方包括合同方和参观人员,确保这些人树立与个人安全管理相关的责任和意识;
k)可为相关方所获取;
l)当出现被其他组织收购、合并或组织的经营范围变更时,提供这些可能影响安全管理体系连续性或相关性的评审。
本公司安全管理方针该方针在《管理手册》中发布,总经理审批,安全管理方针为:
预防为主、规范管理、持续改进,安全准确
本公司通过手册发放、培训、简报、广播、宣传牌等方式让各级人员理解并贯彻实施公司的供应链安全管理方针。
每年的管理评审对供应链安全管理方针持续适宜性进行评审。
需要时,供应链安全管理方针可为公众所获取。
符合
4.3.1安全风险评价
组织建立和保持程序,以识别和评价安全威胁和与安全管理相关的威胁和风险,识别和实施必要的管理控制措施。
至少,安全威胁和风险识别、评价和控制方法应与组织的特性、运行规模相适宜。
评价应考虑到某个事件及其所有后果的可能性,包括:
a)客观失效的威胁与风险,如功能失效、附带损坏、恶意伤害、恐怖分子或犯罪行为;
b)作业的威胁和风险,包括安全控制、人为因素和其他影响组织绩效、条件或安全性的活动;
c)自然环境事件(风暴、洪水等)致使安全措施和设备失效;
d)超出组织控制的因素,如外部供应的设备和服务失效;
e)相关方的威胁和风险,如未能满足法规要求或对名誉、品牌的影响;
f)安全设备的设计和安装包括更新、维护保养等;
g)信息、数据管理和沟通;
h)对运行持续性的某种威胁。
组织应确保考虑到这些评价结果和控制的效果,适宜时,提供并输入到:
a)安全管理目标和指标;
b)安全管理方案;
c)设计、规范和安装要求中的规定;
d)识别足够的资源,包括全员的水平;
e)识别培训需求和技巧(见4.4.2);
f)强化运行控制(见4.4.6);
g)组织总体的威胁和风险管理框架;
组织应记录并保持以上信息的更新。
组织对威胁和风险识别和评价的方法,应:
a)依据风险的范围、性质和时限进行确定,以确保该方法是主动性而不是被动性的;
b)包括收集与安全威胁和风险相关的信息;
c)提供威胁、风险和识别的分类,使之能被规避、消除和控制;
d)规定对所要求的活动进行监视,以确保其及时有效的实施(见4.5.1)
建立了《供应链安全威胁的识别和风险评价的控制程序》,对安全威胁进行了识别,并对识别结果造成的风险进行了有效的控制,
符合
4.3.2法律法规和其他安全规章的要求
组织应建立,实施和保持程序:
a)识别适用于安全威胁和风险相关的法律法规及其他应遵守的要求;
b)确定这些要求如何应用于组织的安全和风险识别评价中;
组织应保持信息的更新,应就符合法律和其他要求的相关信息与其雇员和其他的相关方包括合同方进行沟通。
本公司建立了《供应链安全法规和其他要求控制程序》,由行政人事部负责组织相关的适用的法律、法规、标准和其他要求的识别、获取、更新及汇总、归档并传递到各相关部门。
各相关职能部门负责收集并遵守供应链安全相关的法律法规和其他要求。
管理者代表负责供应链安全威胁和风险相关的适用的法律、法规和其他要求的审批。
行政人事部采用电话、网络或其他方法,经常与相关部门保持联系(至少每季度一次),获取国家及地方相关供应链安全的法律、法规和其他要求,还可通过政府、行业协会、图书馆、报刊杂志等渠道补充,以保持对供应链安全的法律法规和其他要求变化的及时跟踪,以保持有效性和适用性。
符合
4.3.3安全管理目标
组织应在组织的相关职能和层次上建立、实施和保持形成文件的安全管理目标。
目标应符合安全方针并与之保持一致。
在建立和评审目标时,组织应考虑:
a)符合法律法规和其他安全规章的要求;
b)评价出的与安全相关的威胁和风险;
c)可选择的技术方案;
d)财务、运行和经营要求;
e)合理的相关方的观点;
安全管理目标应:
a)与组织持续改进的承诺相一致;
b)可行时,宜予以量化;
c)与所有相关的员工和第三方沟通,包括合同方,所有关注的人员都要树立供应链安全责任意识;
d)定期评审,确保安全管理目标持续有效并与安全管理方针相一致。
必要时对安全管理目标进行修订。
本公司根据安全方针及法律法规和其他安全规章要求,相关威胁和风险等多方面考虑在公司各层次和职能上建立安全管理目标,本公司的安全管理目标为:
1、订单管理准确完成率达到100%;
2、减少因索赔造成的公司直接经济损失;
3、提高员工安全意识。
本公司建立《供应链安全沟通控制程序》,以确保公司有关的安全管理信息在相关的员工、合同方和其他相关方之间得到及时沟通,促进安全管理体系的适用性和有效性,寻求持续改进机会。
审核时产品中心未能提供与供应商之间的安全管理方针和目标的沟通记录。
不符合
4.3.4安全管理指标
组织应建立、实施和保持适合组织需要的形成文件的安全管理指标,指标应来源于安全管理目标并与之保持一致。
指标应:
a)适合于具体的层次;
b)应考虑与目标相关和时限性。
可测量,可行时,指标宜予以量化。
c)与所有相关的雇员和相关方包括合同方进行沟通,使他们树立个人供应链安全责任意识;
d)定期评审,确保指标持续有效并与安全管理目标相一致。
必要时对安全管理指标进行修订
本公司建立了《供应链安全管理指标》并定期对目标、指标完成情况进行了检查,详见《目标、指标完成情况统计表》,
符合
4.3.5安全管理方案
组织应建立、实施和保持安全管理方案,以实现其目标和指标。
组织应优先采用合理化方案,并高效率、低成本地实施这些方案。
方案中应包括:
a)确定实现安全管理目标和指标的职责和权限;
b)实现安全管理目标和指标的方法和时间表。
应定期评审安全管理方案,以确保它们持续有效和与目标指标保持一致。
必要时对这些方案进行相应的修订。
针对安全管理目标制定了《供应链安全管理方案》,管理方案由管理者代表审核,总经理批准后形成文件,传递到实施和考核部门进行沟通与落实;管理方案的实施和有效性的验证,以实现目标指标为基础;同时,可利用管理评审会进行更新,确保其适宜性;行政人事部负责相关的供应链安全管理方案的制订、实施,并且在计划的时间间隔内负责组织对方案进行评审或实施绩效的检查,并作为年度管理评审的输入。
符合
4.4实施和运行
组织应建立和保持组织的职能机构、职责和权限,与其安全管理方针、目标指标和方案相一致。
应对职能机构、职责和权限作出明确规定,形成文件,并就此与负有供应链安全管理体系实施和保持职责的个人进行沟通。
最高管理者应通过以下活动证实实施和持续改进安全管理体系的有效性的承诺:
a)最高管理者应指定一名成员,无论其是否还负有其他方面的职责,应规定其为改进组织安全管理体系总体策划、保持、形成文件所负有的职责;
b)对指定管理人员进行必要的授权,确保目标指标的实施;
c)识别和关注相关方的要求和期望,并采取适当和及时的措施对这些要求和期望进行管理;
d)确保提供充足资源;
e)考虑安全管理方针、目标、指标、方案等可能对组织的其他方面造成的负面影响;
f)确保通过任何由组织其他部分形成的安全管理方案完善安全管理体系;
g)组织在满足其安全管理要求的重要性、符合方针方面进行沟通;
h)适宜时,确保评价与安全相关的威胁和风险并将其纳入组织的威胁和风险评价中;
i)确保安全管理目标、指标和方案的可行性。
本公司供应链安全管理体系主要职能部门为:
管理层、行政人事部、财务部、业务部、采购部。
在手册中对各部门职责做出了明确规定,公司最高管理者任命一名管理者代表全权负责安全管理体系工作,全力支持提供安全管理体系所需资源,从多方面考虑安全管理方针、目标、指标、方案等可能对公司的其他方面造成负面影响。
符合
4.4.1安全管理的机构、职责和权限
1、公司供应链安全管理体系机构设置情况
2、各部门的职责和权限
本公司供应链安全管理体系主要职能部门为:
管理层、行政人事部、财务部、业务部、采购部。
在手册中对各部门职责做出了明确规定,公司最高管理者任命一名管理者代表全权负责安全管理体系工作,
符合
4.4.2能力、培训和意识
组织应确保在安全设备和过程的策划、运行和管理方面负有责任的每个人具备相应的教育、培训和(或)经验。
组织应建立和保持程序使为它工作或代表它工作的人员都意识到:
a)符合安全管理方针、程序与符合和安全管理体系要求的重要性;
b)他们在实现安全管理方针、程序和安全管理体系要求符合性方面的作用与职责,包括应急准备和响应方面的要求;
c)偏离规定的运行程序的潜在后果。
保持能力和培训的记录
公司通过建立并有效实施《供应链安全能力、培训和意识控制程序》,以确保个人能胜任履行公司指定供应链安全给他们的供应链安全职能和对供应链安全风险的意识,行政人事部负责对公司人员进行安全管理方针、目标及管理方案的培训,通过培训使员工意识到符合安全管理方针、程序和安全管理体系要求的重要性,偏离规定的运行程序的潜在后果。
符合
4.4.3沟通
组织应制定程序以确保有关的安全管理信息在相关的员工、合同方和其他相关方中得到沟通。
因为某些安全相关信息敏感的特性,对敏感信息应在发布之前进行充分的考虑。
本公司制定了《供应链安全能力、培训和意识控制程序》以确保有关的安全管理信息在相关的员工、合同方和其他相关方中得到沟通。
符合
4.4.4文件
组织应建立和保持安全管理体系文件,包括但不限于以下内容:
a)安全管理方针、目标和指标;
b)对安全管理体系覆盖范围的描述;
c)对安全管理体系主要要素及其相互作用的描述,以及相关文件的查询途径;
d)本标准要求的文件,包括记录;
e)组织为确保对涉及重要的安全威胁和风险相关的过程得到有效策划、运行和控制所需的文件和记录。
组织应决定安全信息的敏感性,并应采取措施防止未授权侵入
通过建立并实施《供应链安全记录控制程序》,对供应链安全需要,建立并保持必要的记录的标识、贮存、保护、检索、保存期限和处置进行控制,用来证实对公司管理体系及ISO28000:
2007《供应链安全管理体系规范》标准要求的符合,以及所实现的结果。
符合
4.4.5文件和数据控制
组织应按照ISO28000:
2007要求,对所有文件、数据和信息的控制建立和保持程序,确保:
a)这些文件、数据和信息只能由授权人查找和访问;
b)定期评审这些文件、数据和信息,必要时修订,并由相应的授权人批准;
c)在使用处能得到相关文件、数据和信息的现行版本,使对于安全管理体系有关键作用的操作得以执行;
d)作废文件、数据和信息应尽快从所有发布点和使用点上去除,防止非预期使用;
e)出于与法律有关或(和)查阅保存目的,需要保留某些文件、数据和信息时,应作出适当标识;
f)这些文件、数据和信息应是安全的,如果是电子形式的文件应进行充分备份和能够得到恢复。
本公司通过建立并实施《供应链安全文件和数据控制程序》,以控制所有文件、数据和信息,确保这些文件、数据和信息只能由授权人查找和访问,在使用处能得到相关文件、数据和信息的现行版本,使对于供应链安全管理体系有关键作用的操作得以执行。
符合
4.4.6运行控制
组织应识别那些必要的运行和活动,以实现:
a)安全管理方针;
b)控制已识别的安全威胁和风险;(控制和降低识别出的重大威胁的风险)
c)符合法律、法规和其他安全要求;
d)安全管理目标;
e)相应的安全管理方案;
f)供应链安全要求的程度;
组织应确保这些运行和活动在规定的条件下得到执行:
a)建立、实施和保持形成文件的程序,以控制因缺乏程序文件而导致不能实现4.4.6a)-f)的情况;
b)评价任何来自上游供应链活动的威胁,采取控制措施以减少对组织和其他下游供应链作业者的影响;
c)对影响安全的产品和服务建立和保持要求,并就此与供应商和合同方进行沟通。
适当时,这些程序应包括为设计、安装、运行、返工和更改与安全相关的设备、仪表等的控制。
当修改现有安排或引入新安排会影响安全管理运行和活动时,组织应在实施前考虑相关的安全威胁和风险,需考虑新的或修改的安排,包括:
a)组织机构、作用和职责的变化;
b)安全管理方针、目标、指标或方案的更改;
c)过程和程序的修订;
d)引入新的基础设施、安全设备或技术,包括硬件和软件;
本公司在手册中对安全管理方针予以明确,通过有效的方式告知员工、合同方及相关方,建立了《供应链安全威胁的识别和风险评价的控制程序》对安全威胁和风险进行控制,按照《供应链安全法规和其他要求控制程序》确保符合法律法规和其他安全要求,根据安全管理方针建立安全管理目标,并对目标进行分解考核。
符合
4.4.7应急准备、响应和安全恢复
组织应建立、实施和保持适宜的计划和程序,以识别潜在的安全事件或紧急情况,并作出响应,以便预防和减少可能随之引发的后果。
计划和程序应包括设备、设施的提供、维护和保养以及服务的信息,尤其是在事件或紧急情况发生时和发生后的信息。
组织应定期评审其应急准备、响应、安全恢复计划和程序的有效性,特别在由安全违章和由威胁而引发的事件或紧急情况之后。
如果可行,组织还应定期测试这些程序。
本公司通过建立并实施《供应链安全应急准备、响应和安全恢复控制程序》,以识别潜在的供应链安全事件或紧急情况,并作出响应,以便预防和减少可能随之引发的后果。
定期由行政人事部组织对应急预案进行演练。
符合
4.5.1安全绩效的监测与测量
组织应建立并保持程序,对安全管理绩效进行监视和测量。
组织应设定监测和测量关键特性参数的频次,考虑相关的安全威胁和风险,包括潜在的恶化过程及其后果。
这些程序包括:
a)适合组织需要的定性和定量测量;
b)对组织的安全管理方针和目标、指标满足程度的监测;
c)主动性的绩效测量,即监视是否符合安全管理方案、运行准则、适用的法规和其他安全要求;
d)被动性的绩效测量,即监视与安全相关的恶化、失效、事件、不符合(包括未遂事件和假警报)和其他不良安全管理体系绩效的历史证据;
e)记录充分的监视和测量的数据和结果,以便于后面的纠正和预防措施的分析。
如果绩效的监视和测量需要使用设备,组织应建立和保持程序,对此类设备进行校准和维护,并保存校准和维护活动及其结果的记录。
保留时间应满足法律和组织方针要求的足够长的时间。
公司制定了供应链安全管理方面的相关文件
由行政人事部负责组织实施。
查绩效监测情况:
--已进行合规性评价见上述合规性评价的记录。
--公司对质安全管理目标完成情况组织进行了统计,抽查上述目标指标考核表,目标指标均已完成。
符合
4.5.2体系评价
组织应通过定期的评审、测试、事后报告、已学课程(培训实施)、绩效评估和演习来评价安全管理策划、程序和能力。
这些因素中的重大变更必须及时地在程序中得到反映。
组织应定期对适用法律、法规、行业最佳实践的遵守情况及方针和目标指标的符合情况进行评价。
组织应保存对上述定期评价结果的记录。
本公司通过建立并实施《供应链安全体系评价控制程序》,以确保公司供应链安全有关的管理信息在相关的员工、合同方和其他相关方之间得到及时沟通,促进安全管理体系的适用性和有效性,寻求持续改进机会。
评价公司供应链安全管理体系策划、程序和能力。
符合
4.5.3与安全相关的失效、事件、不符合及纠正和预防措施
组织应建立、实施并保持安全相关的失效、事件、不符合及纠正和预防措施的程序,在程序中规定职责和权限:
a)评价和实施预防措施以识别潜在的安全失效,预防其发生;
b)进行安全相关调查,包括:
1)未遂事件和假警报的失效;
2)事件和紧急情况;
3)不符合;
c)采取措施减小因失效、事件和不符合产生的后果;
d)采取纠正和预防措施,并予以完成;
e)确认所采取的纠正和预防措施的有效性。
这些程序应要求,对于所有拟定的纠正和预防措施,在其实施前应先通过安全威胁和风险过程进行评审,除非处在生命或公共安全的紧要关头。
为消除实际和潜在的不符合而采取的任何纠正或预防措施,应与问题的严重性和面临的安全威胁和风险相适应。
组织应实施并记录因纠正和预防措施而引起的对形成文件的程序的任何更改,必要时,还应包括培训的要求。
查到《供应链安全失效、事件、不符合及纠正和预防措施控制程序》,规定符合要求。
目前公司未发生安全失效的情况,暂无不符合发生。
行政人事部主管介绍:
如发现不符合情况及时制定措施进行处理防止再次发生。
公司通过对供应链安全管理体系的监视、测量、分析和评价活动评价环境绩效,合规性评价、内部审核和管理评审的结果等方式对环境管理体系运行的有效性、符合性等进行改进。
符合
4.5.4记录控制
组织应根据需要,建立并保持必要的记录,用来证实对安全管理体系及本标准要求的符合,以及所实现的结果。
组织建立、实施和保持一个或多个程序,用于记录的标识、贮存、保护、检索、保存期限和处置。
记录应保持清晰、易于识别并具有可追溯性。
电子和数字文献记录应防止篡改,进行安全备份和仅允许由授权人员进入。
通过建立并实施《供应链安全记录控制程序》,对供应链安全需要,建立并保持必要的记录的标识、贮存、保护、检索、保存期限和处置进行控制,用来证实对公司管理体系及ISO28000:
2007《供应链安全管理体系规范》标准要求的符合,以及所实现的结果。
查相关记录,记录均保留清晰,每份记录都按照规定的编号规则进行编号,易于识别和查询。
符合
4.5.5审核
组织应建立、实施和保持安全管理审核方案,并应确保按照策划的时间间隔对安全管理体系进行内部审核。
目的是:
a)判定安全管理体系:
1)是否符合组织对安全管理的策划安排,包括满足本规范第4条的要求
2)是否得到了恰当的实施和保持;
3)是否有效地满足组织的安全管理方针和目标。
b)评审以往审核的结果和纠正措施的效果;
c)向管理者提供审核结果的信息
d)验证安全设备和人员已得到恰当配置。
审核方案,包括时间表,应基于组织活动的威胁和风险评估结果和以往的审核结果。
审核程序应既包括审核的范围、频次、方法和能力,又包括审核实施和报告审核结果的职责和要求。
如果可能,审核应由与被审核活动无直接责任的人员进行。
公司建立并实施《供应链安全内部审核控制程序》,规定每年内审一次,公司进行了管理体系的内部审核。
《内部审核计划》
审核计划明确了审核目的、审核范围、审核依据、审核时间、审核组成员。
各部门审核要素符合部门规定,内审计划安排合理,无审核员审核自己部门工作的情况。
由于本次审核为体系实施后在第一次内部审核,审核正在进行中。
符合
4.5.6管理评审和持续改进
最高管理者应按计划的时间间隔,对组织的安全管理体系进行评审,以确保其持续适宜性、充分性和有效性。
评审应包括评价改进的机会和对供应链安全管理体系进行修改的需求,包括安全管理方针和安全目标指标以及威胁与风险的修改需求。
应保存管理评审的记录。
管理评审的输入应包括:
a)内部审核及法律法规和其他要求的符合性评价的结果;
b)来自外部相关方的交流信息,包括抱怨;
c)组织的安全绩效;
d)目标和指标的实现程度;
e)纠正和预防措施的状况;
f)以往管理评审的后续措施的实施情况;
g)客观环境的变化,包括与组织安全相关的法律法规和其他要求的发展变化;
h)改进建议。
管理评审的输出应包括为实现持续改进的承诺而做出的,与安全方针、目标、指标以及其他供应链安全管理体系要素的修改有关的决策和行动。
公司制定《供应链安全管理评审控制程序》,按策划的时间间隔对公司供应链安全管理体系进行管理评审及持续改进,评审公司供应链安全管理体系其是否有效地保持、改进,以确保其持续的适宜性、充分性和有效性。
管理评审计划于2020年7月13进行管理评审。
暂未实施。
综合现场审核情况表明公司能利用安全管理方针、目标、审核结果、数据分析、纠正和预防措施以及管理评审持续改进质量管理体系有效性,并取得较好的业绩。
符合
升级会员 