《ISO28000内部审核检查表(含检查记录)1.docx》由会员分享,可在线阅读,更多相关《ISO28000内部审核检查表(含检查记录)1.docx(11页珍藏版)》请在第壹文秘上搜索。
1、内部审核检查表标准条款检查项目审核记录符合ok不合格4.11 .组织是否有建立、实施、保持和持续该井管理体系,识别安全威胁,控制风险,减轻风险的后果,并形成文件。2 .针对所选择的任何影响符合性要求的外包过程,是否对其实施了控制?如何控制的?3 .确定管理体系的范围1、建立了供应链安全威胁的识别和风险评价的控制程序,对安全威胁进行了识别,并对识别结果造成的风险进行了有效的控制,2、经识别,本公司无外包活动。3、公司明确了供应链安全管理体系的边界和范围,并在管理手册中予以明确。符合4.2最高管理者应确定公司的安全管理方针,方针应:a)与组织的其他方针保持一致;b)提供建立和评审安全管理目标、指标
2、和方案的框架;c)与组织总体安全威胁和风险管理框架一致;d)与组织的特性及受威胁的程度所采取的行动相适宜;e)清楚地陈述总体安全管理目标;f)包括持续改进安全管理过程的承诺;g)包括对遵守与安全威胁有关的现行适用的法律法规及其他组织认同的要求的承诺;h)应由最高管理者明确签署;i)形成文件化,付诸实施,并予以保持;J)传达到所有相关的雇员和第三方包括合同方和参观人员,确保这些人树立与个人安全管理相关的责任和意识;k)可为相关方所获取;I)当出现被其他组织收购、合并或组织的经营范围变更时,提供这些可能影响安全管理体系连续性或相关性的评审。本公司安全管理方针该方针在管理手册中发布,总经理审批,安全
3、管理方针为:预防为主、规范管理、持续改进,安全准确本公司通过手册发放、培训、简报、广播、宣传牌等方式让各级人员理解并贯彻实施公司的供应链安全管理方针。每年的管理评审对供应链安全管理方针持续适宜性进行评审。需要时,供应链安全管理方针可为公众所获取。符合标准条款检查项目审核记录符合ok不合格4.3.1安全风险评价组织建立和保持程序,以识别和评价安全威胁和与安全管理相关的威胁和风险,识别和实施必要的管理控制措施。至少,安全威胁和风险识别、评价和控制方法应与组织的特性、运行规模相适宜。评价应考虑到某个事件及其所有后果的可能性,包括:a)客观失效的威胁与风险,如功能失效、附带损坏、恶意伤害、恐怖分子或犯
4、罪行为;b)作业的威胁和风险,包括安全控制、人为因素和其他影响组织绩效、条件或安全性的活动;C)自然环境事件(风暴、洪水等)致使安全措施和设备失效;d)超出组织控制的因素,如外部供应的设备和服务失效;e)相关方的威胁和风险,如未能满足法规要求或对名誉、品牌的影响;f)安全设备的设计和安装包括更新、维护保养等;g)信息、数据管理和沟通;h)对运行持续性的某种威胁。组织应确保考虑到这些评价结果和控制的效果,适宜时,提供并输入到:a)安全管理目标和指标;b)安全管理方案;C)设计、规范和安装要求中的规定;d)识别足够的资源,包括全员的水平;e)识别培训需求和技巧(见4.4.2);f)强化运行控制(见
5、4.4.6);g)组织总体的威胁和风险管理框架;组织应记录并保持以上信息的更新。组织对威胁和风险识别和评价的方法,应:a)依据风险的范围、性质和时限进行确定,以确保该方法是主动性而不是被动性的;b)包括收集与安全威胁和风险相关的信息;C)提供威胁、风险和识别的分类,使之能被规避、消除和控制;建立了供应链安全威胁的识别和风险评价的控制程序,对安全威胁进行了识别,并对识别结果造成的风险进行了有效的控制,符合标准条款检查项目审核记录符合ok不合格d)规定对所要求的活动进行监视,以确保其及时有效的实施(见4.5.1)4.3.2法律法规和其他安全规章的要求组织应建立,实施和保持程序:a)识别适用于安全威
6、胁和风险相关的法律法规及其他应遵守的要求;b)确定这些要求如何应用于组织的安全和风险识别评价中;组织应保持信息的更新,应就符合法律和其他要求的相关信息与其雇员和其他的相关方包括合同方进行沟通。本公司建立了供应链安全法规和其他要求控制程序,由行政人事部负责组织相关的适用的法律、法规、标准和其他要求的识别、获取、更新及汇总、归档并传递到各相关部门。各相关职能部门负责收集并遵守供应链安全相关的法律法规和其他要求。管理者代表负责供应链安全威胁和风险相关的适用的法律、法规和其他要求的审批。行政人事部采用电话、网络或其他方法,经常与相关部门保持联系(至少每季度一次),获取国家及地方相关供应链安全的法律、法
7、规和其他要求,还可通过政府、行业协会、图书馆、报刊杂志等渠道补充,以保持对供应链安全的法律法规和其他要求变化的及时跟踪,以保持有效性和适用性。符合4.3.3安全管理目标组织应在组织的相关职能和层次上建立、实施和保持形成文件的安全管理目标。目标应符合安全方针并与之保持一致。在建立和评审目标时,组织应考虑:a)符合法律法规和其他安全规章的要求;b)评价出的与安全相关的威胁和风险;C)可选择的技术方案;本公司根据安全方针及法律法规和其他安全规章要求,相关威胁和风险等多方面考虑在公司各层次和职能上建立安全管理目标,本公司的安全管理目标为:1、订单管理准确完成率达到不符合标准条款检查项目审核记录符合ok
8、不合格d)财务、运行和经营要求;e)合理的相关方的观点;安全管理目标应:a)与组织持续改进的承诺相一致;b)可行时,宜予以量化;C)与所有相关的员工和第三方沟通,包括合同方,所有关注的人员都要树立供应链安全责任意识;d)定期评审,确保安全管理目标持续有效并与安全管理方针相一致。必要时对安全管理目标进行修订。100%;2、减少因索赔造成的公司直接经济损失;3、提高员工安全意识。本公司建立供应链安全沟通控制程序,以确保公司有关的安全管理信息在相关的员工、合同方和其他相关方之间得到及时沟通,促进安全管理体系的适用性和有效性,寻求持续改进机会。审核时产品中心未能提供与供应商之间的安全管理方针和目标的沟
9、通记录。4.3.4安全管理指标组织应建立、实施和保持适合组织需要的形成文件的安全管理指标,指标应来源于安全管理目标并与之保持一致。指标应:a)适合于具体的层次;b)应考虑与目标相关和时限性。可测量,可行时,指标宜予以量化。c)与所有相关的雇员和相关方包括合同方进行沟通,使他们树立个人供应链安全责任意识;d)定期评审,确保指标持续有效并与安全管理目标相一致。必要时对安全管理指标进行修订本公司建立了供应链安全管理指标并定期对目标、指标完成情况进行了检查,详见目标、指标完成情况统计表,符合4.3.5安全管理方案组织应建立、实施和保持安全管理方案,以实现其目标和指标。组织应优先采用合理化方案,并高效率
10、、低成本地实施这些方案。方案中应包括:a)确定实现安全管理目标和指标的职责和权限;针对安全管理目标制定了供应链安全管理方案,管理方案由管理者代表审核,总经理批准后形成文件,传递到实施和考核部门进行沟通与落实;管理符合标准条款检查项目审核记录符合ok不合格b)实现安全管理目标和指标的方法和时间表。应定期评审安全管理方案,以确保它们持续有效和与目标指标保持一致。必要时对这些方案进行相应的修订。方案的实施和有效性的验证,以实现目标指标为基础;同时,可利用管理评审会进行更新,确保其适宜性;行政人事部负责相关的供应链安全管理方案的制订、实施,并且在计划的时间间隔内负责组织对方案进行评审或实施绩效的检查,
11、并作为年度管理评审的输入。4.4实施和运行组织应建立和保持组织的职能机构、职责和权限,与其安全管理方针、目标指标和方案相一致。应对职能机构、职责和权限作出明确规定,形成文件,并就此与负有供应链安全管理体系实施和保持职责的个人进行沟通。最高管理者应通过以下活动证实实施和持续改进安全管理体系的有效性的承诺:a)最高管理者应指定一名成员,无论其是否还负有其他方面的职责,应规定其为改进组织安全管理体系总体策划、保持、形成文件所负有的职责;b)对指定管理人员进行必要的授权,确保目标指标的实施;C)识别和关注相关方的要求和期望,并采取适当和及时的措施对这些要求和期望进行管理;d)确保提供充足资源;e)考虑
12、安全管理方针、目标、指标、方案等可能对组织的其他方面造成的负面影响;f)确保通过任何由组织其他部分形成的安全管理方案完善安全管理体系;g)组织在满足其安全管理要求的重要性、符合方针方面进行沟通;h)适宜时,确保评价与安全相关的威胁和风险并将其纳入组织的威胁和风险评价中;i)确保安全管理目标、指标和方案的可行性。本公司供应链安全管理体系主要职能部门为:管理层、行政人事部、财务部、业务部、采购部。在手册中对各部门职责做出了明确规定,公司最高管理者任命一名管理者代表全权负责安全管理体系工作,全力支持提供安全管理体系所需资源,从多方面考虑安全管理方针、目标、指标、方案等可能对公司的其他方面造成负面影响
13、。符合标准条款检查项目审核记录符合ok不合格4.4.1安全管理的机构、职责和权限1、公司供应链安全管理体系机构设置情况2、各部门的职责和权限本公司供应链安全管理体系主要职能部门为:管理层、行政人事部、财务部、业务部、采购部。在手册中对各部门职责做出了明确规定,公司最高管理者任命一名管理者代表全权负责安全管理体系工作,符合4.4.2能力、培训和意识组织应确保在安全设备和过程的策划、运行和管理方面负有责任的每个人具备相应的教育、培训和(或)经验。组织应建立和保持程序使为它工作或代表它工作的人员都意识到:a)符合安全管理方针、程序与符合和安全管理体系要求的重要性;b)他们在实现安全管理方针、程序和安
14、全管理体系要求符合性方面的作用与职责,包括应急准备和响应方面的要求;c)偏离规定的运行程序的潜在后果。保持能力和培训的记录公司通过建立并有效实施供应链安全能力、培训和意识控制程序,以确保个人能胜任履行公司指定供应链安全给他们的供应链安全职能和对供应链安全风险的意识,行政人事部负责对公司人员进行安全管理方针、目标及管理方案的培训I,通过培训使员工意识到符合安全管理方针、程序和安全管理体系要求的重要性,偏离规定的运行程序的潜在后果。符合4.4.3沟通组织应制定程序以确保有关的安全管理信息在相关的员工、合同方和其他相关方中得到沟通。因为某些安全相关信息敏感的特性,对敏感信息应在发布之前进行充分的考虑
15、。本公司制定了供应链安全能力、培训和意识控制程序以确保有关的安全管理信息在相关的员工、合同方和其他相关方中得到沟通。符合4.4.4文件组织应建立和保持安全管理体系文件,包括但不限于以下内容:a)安全管理方针、目标和指标;b)对安全管理体系覆盖范围的描述;C)对安全管理体系主要要素及其相互作用的描述,以及相关文件的查询途径;通过建立并实施供应链安全记录控制程序,对供应链安全需要,建立并保持必要的记录的标识、贮存、保护、检索、保存期限和处置进行控制,用来符合标准条款检查项目审核记录符合ok不合格d)本标准要求的文件,包括记录;e)组织为确保对涉及重要的安全威胁和风险相关的过程得到有效策划、运行和控制所需的文件和记录。组织应决定安全信息的敏感性,并应采取措施防止未授权侵入证实对公司管理体系及IS028000:2007供应链安全管理体系规范标准要求的符合,以及所实现的结果。4.4.5文件和数据控制组织