【正文】 著上述品質(zhì)保證活動(dòng)的迅速發(fā)展，各國(guó)的認(rèn)證機(jī)構(gòu)在進(jìn)行產(chǎn)品品質(zhì)認(rèn)證的時(shí)候，逐漸增加了對(duì)企業(yè)的品質(zhì)保證體系進(jìn)行審核的內(nèi)容，進(jìn)一步推動(dòng)了品質(zhì)保證活動(dòng)的發(fā)展。通過三年的實(shí)踐，BSI認(rèn)為，這種品質(zhì)保證體系的認(rèn)證適應(yīng)面廣，靈活性大，有向國(guó)際社會(huì)推廣的價(jià)值。ISO根據(jù)BSI的建議，當(dāng)年即決定在ISO的認(rèn)證委員會(huì)的“品質(zhì)保證工作組”的基礎(chǔ)上成立“品質(zhì)保證委員會(huì)”。自從1987年ISO9000系列標(biāo)準(zhǔn)問世以來，為了加強(qiáng)品質(zhì)管理，適應(yīng)品質(zhì)競(jìng)爭(zhēng)的需要，企業(yè)家們紛紛采用ISO9000系列標(biāo)準(zhǔn)在企業(yè)內(nèi)部建立品質(zhì)管理體系，申請(qǐng)品質(zhì)體系認(rèn)證，很快形成了一個(gè)世界性的潮流。一套國(guó)際標(biāo)準(zhǔn)，在這短短的時(shí)間內(nèi)被這么多國(guó)家采用，影響如此廣泛，這是在國(guó)際標(biāo)準(zhǔn)化史上從未有過的現(xiàn)象，已經(jīng)被公認(rèn)為“ISO9000現(xiàn)象”。應(yīng)作如下審核：（1）詢問相關(guān)人員或查閱相關(guān)資料（不符合項(xiàng)整改計(jì)劃或驗(yàn)證記錄），了解內(nèi)審不符合項(xiàng)的糾正措施實(shí)施情況，分析對(duì)不符合的原因確定是否充分，所實(shí)施的糾正措施是否有效；（2）所采取的糾正措施是否與相關(guān)影響相適宜，如對(duì)業(yè)務(wù)的風(fēng)險(xiǎn)影響，風(fēng)險(xiǎn)控制策略和時(shí)間點(diǎn)目標(biāo)要求，與組織的資源能力相適應(yīng)。綜上，如果所有糾正措施符合風(fēng)險(xiǎn)要求，與相關(guān)影響相適宜，則糾正措施適宜。應(yīng)按照標(biāo)準(zhǔn)GB/T 培訓(xùn)、意識(shí)和能力的要求進(jìn)行如下審核：（1）詢問相關(guān)人員，了解是否有網(wǎng)管崗位說明書或相關(guān)職責(zé)、角色的文件？（2）查閱網(wǎng)管職責(zé)相關(guān)文件，文件中如何規(guī)定網(wǎng)管的崗位要求，這些要求基于教育、培訓(xùn)、經(jīng)驗(yàn)、技術(shù)和應(yīng)用能力方面的評(píng)價(jià)要求，以及相關(guān)的培訓(xùn)規(guī)程及評(píng)價(jià)方法；（3）查閱網(wǎng)管培訓(xùn)記錄，是否符合崗位能力要求和培訓(xùn)規(guī)程的規(guī)定要求？（4）了解相關(guān)部門和人員對(duì)網(wǎng)管培訓(xùn)后的工作能力確認(rèn)和培訓(xùn)效果的評(píng)價(jià)，是否保持記錄？（5）如果崗位能力經(jīng)評(píng)價(jià)不能滿足要求時(shí)，組織是否按規(guī)定要求采取適當(dāng)?shù)拇胧?，以保證崗位人員的能力要求。A 組織場(chǎng)所外的設(shè)備安全應(yīng)對(duì)組織場(chǎng)所的設(shè)備采取安全措施，要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)某公司操作系統(tǒng)升級(jí)都直接設(shè)置為系統(tǒng)自動(dòng)升級(jí)，沒出過什么事，因?yàn)橘I的都是正版。創(chuàng)新公司委托專業(yè)互聯(lián)網(wǎng)運(yùn)營(yíng)商提供網(wǎng)絡(luò)運(yùn)營(yíng)，供應(yīng)商為了提升服務(wù)級(jí)別，采用了新技術(shù)，也通知了創(chuàng)新公司，但創(chuàng)新認(rèn)為新技術(shù)肯定更好，就沒采取任何措施，后來因?yàn)檐浖患嫒菰斐蓴嗑W(wǎng)了。查某公司信息安全事件處理時(shí)，有好幾份處理報(bào)告的原因都是感染計(jì)算機(jī)病毒，負(fù)責(zé)人說我們嚴(yán)格的殺毒軟件下載應(yīng)用規(guī)程，不知道為什么沒有效，估計(jì)其它方法更沒用了。A 應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)。網(wǎng)絡(luò)路由控制應(yīng)遵從：確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問控制策略。國(guó)家信息安全等級(jí)保護(hù)采取：自主定級(jí)、自主保護(hù)的原則。信息安全災(zāi)備管理中，“恢復(fù)點(diǎn)目標(biāo)”指：災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求。依據(jù)GB/T 22080，組織與員工的保密性協(xié)議的內(nèi)容應(yīng)：反映組織信息保護(hù)需要的保密性或不泄露協(xié)議要求。 對(duì)于所有擬定的糾正和預(yù)防措施，在實(shí)施前應(yīng)先通過（風(fēng)險(xiǎn)分析）過程進(jìn)行評(píng)審。1文件初審是評(píng)價(jià)受審核方ISMS文件的描述與審核準(zhǔn)則的（符合性）。1針對(duì)獲證組織擴(kuò)大范圍的審核，以下說法正確的是：一種特殊審核，可以和監(jiān)督審核一起進(jìn)行。1文件在信息安全管理體系中是一個(gè)必須的要素，文件有助于：確?？勺匪菪浴?哪一種安全技術(shù)是鑒別用戶身份的最好方法：生物測(cè)量技術(shù)。當(dāng)計(jì)劃對(duì)組織的遠(yuǎn)程辦公系統(tǒng)進(jìn)行加密時(shí)，應(yīng)該首先回答下面哪一個(gè)問題：系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度。公司主管信息安全的負(fù)責(zé)人解釋說，因保安負(fù)責(zé)公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查所有區(qū)域，所以只能給保安全權(quán)限門卡。如果你是審核員，你將如何做？答：應(yīng)根據(jù)標(biāo)準(zhǔn)GB/T ：（1）是否有形成文件的訪問控制策略，并且包含針對(duì)公司每一部分物理區(qū)域的訪問控制策略的內(nèi)容？（2）訪問控制策略是否基于業(yè)務(wù)和訪問的安全要素進(jìn)行過評(píng)審？（3）核實(shí)保安角色是否在訪問控制策略中有明確規(guī)定？（4）核實(shí)訪問控制策略的制定是否與各物理區(qū)域風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果一致？（5）核實(shí)發(fā)生過的信息安全事件，是否與物理區(qū)域非授權(quán)進(jìn)入有關(guān)？（6）核實(shí)如何對(duì)保安進(jìn)行背景調(diào)查，是否明確了其安全角色和職責(zé)？請(qǐng)闡述對(duì)GB/T 。（3）查閱文件和記錄以及訪問相關(guān)責(zé)任人，核實(shí)根據(jù)監(jiān)視和量化總結(jié)的結(jié)果采取后續(xù)措施有效防止同類事件的再發(fā)生?！钡囊?。不符合標(biāo)準(zhǔn)GB/T 220802008條款 物理入口控制“安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問。不符合事實(shí)：現(xiàn)場(chǎng)發(fā)現(xiàn)未經(jīng)授權(quán)的人員張X進(jìn)出機(jī)器和網(wǎng)絡(luò)操作機(jī)房，卻沒有任何登記記錄，而程序文件（GX28）規(guī)定除授權(quán)工作人員可憑磁卡進(jìn)出外，其余人員進(jìn)出均須辦理準(zhǔn)入和登記手續(xù)。不符合事實(shí)：現(xiàn)場(chǎng)管理人員認(rèn)為下載的軟件都是從知名網(wǎng)站上下載的，不會(huì)有問題?！钡囊蟆２环蠘?biāo)準(zhǔn)GB/T “用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問控制策略加以限制”的要求。不符合標(biāo)準(zhǔn)GB/T “與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施”的要求。不符合標(biāo)準(zhǔn)GB/T “應(yīng)采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略”的要求。第五篇：iso質(zhì)量管理體系學(xué)習(xí)心得體系學(xué)習(xí)心得通過近段時(shí)間的體系學(xué)習(xí)、討論，對(duì)質(zhì)量管理體系又有如下的認(rèn)識(shí)：一、公司建立質(zhì)量管理體系，我認(rèn)為目的應(yīng)該是通過它的運(yùn)行，致力于“使與公司質(zhì)量目標(biāo)有關(guān)的結(jié)果”適當(dāng)?shù)貪M足顧客及其他相關(guān)方的需求、期望和要求，最終使企業(yè)獲得更好的經(jīng)濟(jì)效益。二、只要我們企業(yè)在質(zhì)量管理方面做到了真正滿足或達(dá)到ISO9001質(zhì)量管理體系的要求，就能夠向外界證實(shí)，我們公司有能力可以穩(wěn)定地提供滿足顧客和法律法規(guī)要求的產(chǎn)品。所以理解、識(shí)別、管理過程，對(duì)我們有效運(yùn)行體系和持續(xù)改進(jìn)體系有很大益處。對(duì)單個(gè)過程的管理，基本思路是采用PDCA的方法 1)過程的策劃。在這個(gè)階段主要是找出存在的問題，通過分析，制定改進(jìn)的目標(biāo)，確定達(dá)到這些目標(biāo)的措施和方法。2)過程的實(shí)施。在實(shí)施中，應(yīng)當(dāng)對(duì)過程進(jìn)行控制，及時(shí)發(fā)現(xiàn)問題或異常情況，及時(shí)采取措施，使問題得到解決。對(duì)過程的結(jié)果應(yīng)采取適當(dāng)?shù)姆椒ㄟM(jìn)行驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果對(duì)過程進(jìn)行確認(rèn)。如果符合要求，說明過程是成功的，如果存在問題，就應(yīng)該采取糾正措施。過程經(jīng)過檢查，發(fā)現(xiàn)有問題，就要及時(shí)進(jìn)行改進(jìn)。