咨询到位 审核顺畅-三明ISO认证顾问-ISO9001认证

厦门汉墨企业管理咨询有限公司

本总纲的制定参考并依据了下列文件资料。
1) 法律法规：是指我国颁布的、业务所能涉及到的国家，所有与安全相关且具有约束和作用的法律、法规；
2) 规定：是指互联网行业、及其分支机构颁布的具有约束和作用的所有文件、规定等；
3) 文件：公司下发的对安全业务管理和流程、信息安全和隐私管理等有约束力和作用的所有文件；
4) 国际惯例：是指开展业务以及提供信息安全建设过程中必须遵循的具有约束和作用的国际通用惯例；
5) 标准：
 《ISO/IEC 27000:2013信息技术 安全技术 信息管理体系 词汇和概述》；
 《GB/T 22080-2016/ISO/IEC 27001:2013信息技术 安全技术 信息管理体系要求》；
 《ISO/IEC 27002:2013信息技术 安全技术 信息管理体系实践》；
 《ISO/IEC 27701:2019  安全技术 27001和27002扩展的隐私信息管理 要求和指南》
 《ISO/IEC 27018 云隐私保护》
 《ISO/IEC 29151个人身份 信息保护实践指南》
 《ISO/IEC 29100 信息技术 安全技术 隐私保护框架》
公司对采购过程进行控制，以确保采购产品符合规定的采购要求。
外部供方的控制类型和程度
（1）公司制定了选择、评价和重新评价供方的准则，对采购过程进行控制，确保采购产品的质量。
（2）根据采购产品对公司终产品或产品实现过程质量的影响程度，确定对供方及采购产品控制的类型和程度。
（3）依供方[按公司要求]提品的能力评价/选择供方。评价方法如下：
A．对提供关键原材料的供方，进行综合质量保证能力的调查和提供样品分析(针对新的供方)后选择；
B．对提供重要原辅材料供方，进行以往业绩的评价和提供样品分析 {针对新供方}后选择。必要时还需进行发函调查质量保证能力。
C．对一般原辅材料供方按规定验证准则进行验收，记录业绩。
（4）采购人员在调查和评价的基础上，经总经理批准后执行。因生产紧急须在新供方采购时，需变更审批，经批准后实施采购。
（5）评价结果及评价所引发的任何必要措施的记录由采购予以保存；
（6）对合格供方每年进行一次跟踪和重新评价，并记录结果。
提供外部供方的文件信息
（1）采购文件包括“采购单、验收规范和采购合同”等。采购要求的信息在采购计划、采购单或采购合同中给予明确，应表述：
A．对产品的质量要求；也可引用有关技术文件的名称或标识号；
B．对产品的验收要求；如规定检验、验证、合格的确认等；
C．其他要求；如数量、交付期、运输方式、等。
（2）采购要求在与供方沟通前, 由采购审查其适当性，总经理批准，确保采购要求是充分与适宜的。
（3）对外协单位应签订外协质量保证协议,明确对产品、程序、过程和设备的要求，人员的要求，质量管理体系的要求。
（4）采购产品由检验员授权人进行质量指标、数量、包装等进货验证，以确保采购的产品满足规定的采购要求。
（5）当公司或顾客拟在供方现场实施验证时，应在采购信息中对拟验证的安排和产品放行的方法作出规定。
（6）外程有{培训、运输等}，其控制要求如下：
A、供方选择与评估：供方选择依“采购控制”相关要求实施；
B、资源提供：公司内部相关单位依需求提供相应的产品或服务；
C、质量控制：由责任部门进行服务过程跟踪与沟通。

总则
公司实施与客户沟通所需的过程，以确定顾客对产品和服务的要求。
与产品和服务有关要求的确定
（1）顾客的要求涉及产品的质量性能指标、产品的交付要求、产品的售后服务{合同约定}要求，包括顾客隐含和潜在的要求、产品安全性和环境保护等法律、法规有规定的义务和责任。
（2）合同签订前，业务部要充分了解顾客对产品的要求，识别顾客的潜在要求，包括相关法律、法规、标准的要求，产品本身的适用性要求，顾客对产品可靠性、运输、服务等方面的要求，以及本公司确定的附加要求。这些要求包括：
A. 明示的产品质量等级、数量、、交货期、相应的服务等；
B. 顾客没有明确的要求，但产品必须满足的适用性要求；
C. 顾客没有规定，标准或法律法规规定的及本公司确定的附加要求包括交付后合同规定的维修服务、相关的其他服务“回收或终处置”等。
（3）在样品制作前，业务部应在产品需求中明确表达顾客对新产品或有附加技术要求产品的潜在要求；
（4）与产品有关的要求识别后，公司要与顾客进行沟通。
与产品和服务有关要求的评审
业务部在合同或订单签订之前应进行评审，其相关要求与方式如下：
（1）评审的要求：产品名称/规格/颜色/数量/交货期/报价/质量/运输等
对库存产品能满足客户需求的，经批准，业务部可直接下单生产部生产；当客户下新产品订单或临时新量订单时，业务部须经相关部门（品技部、资材部、生产部）进行合同评审后，以确认能否按客户要求按时交货,并直接在订单上备注。
（2）在产品评审过程中，应确保：
产品要求得到规定/所有疑问已解决/ 公司有能力满足规定的要求
（3）顾客以电话、口头等方式进行下单生产时，市场部人员要作好记录，转化为书面形式，待对方进行确认后按以上方式组织评审。
（4）业务部人员应在顾客需求资料上直接进行评审、确认；
（5）顾客对产品要求发生变更时，公司须确保相关文件得到修改，并确保相关人员知道己变更的要求。
（6）合同评审记录和合同修改记录，评审中提出需要跟踪措施的记录，由业务部人员负责记录和保存。保存期根据规定期限保存。

确定并实施在产品提供之前、中、后有效安排与顾客的沟通。
（1）通过广告目录宣传、回答顾客的咨询等形式向顾客介绍产品；在业务部洽谈中与顾客共同确定产品信息。
（2）在执行合同(订单)中，根据需要将合同进展反馈给顾客，包括产品要求方面的更改，要与组织内部相关部门及顾客协调一致。
（3）产品交付后，收集顾客反馈信息，妥善处理顾客投诉{填“不合格品处理单”}，以取得顾客满意(见本手册9．1．2条款)

环境管理体系 (Environment management system），简称EMS
ISO14000系列标准是由国际标准化组织制订的环境管理体系标准,其中ISO14001为环境管理体系认证主要依据标准，等同国家标准GB/T24001
职业健康安全管理体系的国际标准为OHSMS18000，职业健康安全评价系列标准（Occupational Health and Safety Assessment Series），简称为OHSMS，其中OHSMS18000为职业健康安全管理体系认证主要依据标准，等同国家标准GB/T28001。新版本ISO45001:2018
能源管理体系（ Management System for Energy ）简称为EnMS。能源管理体系的国际标准为ISO50000，其中ISO50001为能源管理体系认证主要依据标准，等同国家标准GB/T23331。
信息技术服务管理体系（Information Technology Service Management System，简称ITSMS）是国际上部针对信息技术服务管理领域的标准，ISO20000信息技术服务管理体系标准代表了被广泛认可的评估IT服务管理流程的原则的基础。此标准定义了全面的、紧密相关的服务管理流程。ISO20000信息技术服务管理体系认证是指组织依据ISO20000标准建立的能够提供IT服务系统管理的体系。
1）日常信息安全和隐私风险管理工作：月度安全工作会议中发现的信息安全和隐私问题进行评估，并全部进行风险处置。
2）每年进行一次集中风险评估工作，具体开展过程为：定期的信息安全和隐私风险评估活动：每年开展信息安全和隐私风险评估活动，并根据信息安全和隐私风险接受水平对活动中发现的中、高风险进行处置。
3）做好各体系流程工作：做好生产运营和信息安全相关的信息资产管理、系统交付投产、运行、变更管理、数据提取与使用、补丁管理、密钥管理、移动介质管理、病毒防范、应急处理和安全运营奖惩、故障分级评估、事故问责等方面的制度或流程的运行情况,发现问题及时纠正。每年对各流程要求进行回顾、评估和更新。