iso9001:2015认证中的外部供方有哪些要求? ISO 9001：2015标准中给出的例子包括为组织提供产品或服务的供应商、承包方、生产商、分销商、零售商或小商小贩。外包机构是执行组织的部分职能或过程的外部组织。 ISO 9001：2015的8.4条款是有关外部提供过程、产品和服务控制的相关要求。但与外部供方的相关活动在本标准的其他条款也有提及或意指。 4.1条款“理解组织及其所处环境”要求“组织应确定与其宗旨和战略方向相关并影响其实现质量管理体系预期结果的能力的各种外部和内部因素”。 这个条款指出的情况可能是个问题，也可能是个积极的因素。组织的关键外部供方可能处于整合、能力扩张或探索新领域的不同发展阶段。这种情况可能是积极的，因为它可能有助于组织的发展或顾客满意度。 如果您的组织在技术发展和收入上长期依赖外部供方，那么您的组织必须对相关的因素保持适当的关注和评价。因为这是4.1条款的要求。 外部供方也可能是4.2条款涉及的相关方，“组织应对相关方及其要求的相关信息进行监控和评审”。 有些人会问，“对外部供方有哪些要求”？这方面应考虑诸如是否有公正而透明的招标及付款程序，供方的产品和服务的质量，或者它的生命周期管理等内容。 5.2.2.C条款要求组织所制定的质量方针“可为相关方所获取”。许多组织在与其相关方签署的合约中包括了对外部供方的质量要求。组织的质量方针可以在这些文件中明确，也可以在其官网上显示。这仅是满足本条款要求的两种可参考方法。 这个条款旨在确保外部供方了解组织的质量追求和组织的意图，因此，如果您的组织在方针中提出“世界 品质”或“卓越绩效”之类的方向，那么外部供方就更理解在双方协议中强调的质量、可靠性和按时交货的高期望值。 外部供方要求 ISO 9001：2015 8.4.1条款要求“组织应确保由外部供方提供的过程、产品和服务符合要求”。这意味着组织在做出采购决定时，组织已经进行了全盘的考虑，对需要采购的商品或外购的服务非常清楚，并且明白使用外部供方的风险和机遇。 供方的风险和机遇可能因交付产品或服务方式的不同而有所区别。可能有以下情形： 供方的产品或服务作为组织的整体报价一部分的，比如，作为产品清单中的一部分零部件，或作为咨询服务，或第三储服务； 以组织的名义将产品或服务直接提供给客户，比如现场产品安装服务，或运营服务，或维修服务； 向客户提供的过程，比如维修服务的过程之一——在保修替换服务时回收有缺陷零部件的工作。 识别并应用准则 在编制对外部供方的评价和选择准则时，考虑的重要因素宜包括诸如质量、按时交货、成本或供方的环境可持续性等内容。决定使用一个供方时，应考虑在整个生命周期的使用成本而不仅仅是初始成本，这是非常重要的。 在外购产品或服务的时候考虑相关的风险和机遇，可以思考以下问题：“对哪些外部供方需要采取这种控制措施？”“不采取任何措施的风险是否可接受？”“与该供方建立长期的合作关系是否能带来机遇，比如能够带来技术的进步或者有合作创新的潜力？” 评价和选择 可以用一个跨部门的团队对外部供方进行现场评价，去判定供方是否具备满足当前和未来需求的能力。 在评价未来需求时一定要考虑灵活性。在满足需求方面大部分的外部供方都有一定的弹性，但是有可能他们的产品或服务质量会受到很大影响。 进行评价的结果应体现在对外部供方的选择或资格状态做出的结论，如批准，有条件的批准或不批准。评价小组可能需要完成其他的尽职调查工作，比如由客户要求的或由于商品的特殊性决定的生产件批准程序。 绩效监视 对外部供方的先期评价和选择需要明确供方是否具备交付组织需要的产品或服务的能力并建立了相关流程。对供方绩效的监视则将之前的评价和实际结果联系起来。没有结果的流程是无用的，而没有流程的结果则是不可持续的。 对供方进行的定期绩效评价能确保一致的表现和持续改进。这种评价不能仅仅停留在文件审核上。在评价时组织必须深入了解供方，并提供切实有助于供方改进的反馈信息。对风险和机遇进行定期评价以确保及时采取相关措施也是必要的，这样能够确保及时发现新情况并纳入监视范围。这种的监视有助于确保减少风险、有效改进并且避免因供方组织内部原因造成产品和服务质量的下降。 再评价 供方的情况可能发生各种变化。供方的管理、工作优先重点可能会有变化，有时产品或者流程方面的调整也可能未及时与组织沟通。根据绩效指标，供方的业务成熟度以及产品或服务的关键急迫程度，组织可以选择对供方实施再评价的安排；再评价可以是完整的评价，也可以是针对某些领域的评价。 新版标准8.4.2 D条款要求组织“确定必要的验证或其他活动，以确保外部提供的过程、产品和服务满足要求”。为了满足这项要求，组织需要实施定期的现场审核，控制进货质量，实行持续的可靠性测试，采用严谨的变更批准制度并确保持续和有效的沟通。 财产控制 8.5.3 条款扩展了财产控制的外延，现在的范围已不仅仅包括组织的顾客，也将外部供方包括在内。 这种控制可以是双向的， 可以是外部供方对发包方组织财产的控制，也可以是组织对外部供方财产的控制。组织可能把以下财产委托给外部供方：原料；专有工具的运输；组织的产品或服务使用到的软件。 外部供方的财产可以是有形的，比如设备、原料、工具、装置或图纸；也可以是无形的，比如提供知识产权类信息。组织必须按照合同约定明确责任和义务，并且妥善保管外部供方的财产。 对于安装或使用在组织的产品或服务上的外部供方财产，组织也需要明确对其进行识别、核查、保护并保全的责任，这也包括明确定期维修的责任。组织还要确保制定了财产丢失、财产损毁或发现不合用情况下的报告流程。 9.1.3条款和9.3条款的“分析与评价”及“管理评审”也涉及了外部供方的内容。9.1.3要求进行适当的数据信息分析与评价，且这些数据和信息是来自对供方绩效的监视与测量活动。9.3.2.C7管理评审应考虑将关注外部供方的绩效作为输入内容之一，这方面信息可以包括基于对供方的监视和测量得到的风险与机遇的相关信息。

在制定和实施食品管理体系和提高其有效性时鼓励采用过程方法，以获得食品和服务的活动得以加强，并满足适用的要 求。过程方法包括按照组织的食品方针和战略方向，对各过程及其相互作用，系统地进行规定和管理，从而实现预期结果。可 通过采用 PDCA 循环以及基于风险的思维对过程和体系进行整体管理，从而有效利用机遇并防止发生非预期结果。 一、策划过程 策划过程可分成若干个子过程，这些子过程是建立食品管理体系必须要加以识别和管理的，可分为以下七点。 一是，组织环境的识别和评审过程，其包括组织内外部环境和相关方需求识别与评审过程，食品管理体系范围的确定过程。 二是，管理体系策划过程，包括方针、目标、组织框架及职责权限、应对风险的措施等。 三是，人力资源管理过程。食品行业的人力资源管理有别于其他行业，注重员工管理，食品意识及食品小组的能力要 求。 四是，基础设施和工作环境管理过程。根据食品行业类别，按不同的食品法规要求，对基础设施和工作环境加以管理。 五是，外部提供的过程、产品和服务控制过程。供方的考核评价及原辅料进厂验收要求，包括对外部供方许可资质管理等内容。 六是，内外部信息沟通过程。着重食品链上下游组织在食品方面的信息沟通，包括与监管部门、供方、顾客等相关组织的信息 沟通。 七是，成文信息控制过程。关注记录保存期限与法律法规要求的符合性。 二、运行过程 运行过程该本标准的核心过程，存在另一个PDCA循环，包含了标准第8章所述的FSMS内的各种运行过程，可分为以下若干个子过程。 前提方案建立实施过程，依据组织所处的食品链的位置，确定相应的前提方案，如良好操作规范、良好兽医规范、良好分销规范可 追溯性过程。根据标准要求，追溯系统应能够 地识别供应商来料和终产品的初始分配路线应急准备与响应过程，组织首先应识 别出那些与食品相关的潜在的紧急情况，并制订出相应的应急方案，并要求对方案进行测试危害分析与评价及控制计划的建立 过程，根据HACCP七个基本原理的要求建立实施该过程。值得特别关注的是，新标准要求关键限值应可测量，操作性前提方案（OPRP ）的行动标准可测量或可观察。另外还包括控制措施确认过程、危害控制计划的实施与监视过程、验证过程、不合格产品控制过程 （包括产品撤回），这些过程与旧标准要求无太多变化。 三、食品管理体系的绩效评价过程 食品管理体系的绩效评价过程包括对监视和测量、验证活动结果所获取的数据和信息，以及对前提方案和危害控制计划实施情 况的监测结果的分析与评价，同时包括内部审核和管理评审活动，以确定FSMS的绩效情况。该过程可分为：分析与评价过程、内部 审核过程、管理评审过程。 四、改进过程 组织应持续改进食品管理体系的适宜性、充分性和有效性，并根据与相关方沟通的结果、验证活动结果分析的输出以及管理评 审的输出更新FSMS，该过程可分为持续改进过程、食品管理体系更新过程。综合上述分析，基本已识别食品管理体系的主 要过程，组织可以按过程方法的要求，形成过程清单，如附表所示，以便管理食品管理体系。 除上述过程外，组织还应考虑基于风险的思维，识别食品管理体系其他过程。基于风险的思维也分为两个层次，组织层面的和 认证运行层面的。运行层面的过程识别已包含上述第二大过程（运行过程）中。组织层面的过程识别，可参照标准6.1.1条款之规定：“ 策划食品管理体系时，组织应考虑到4.1中涉及的事项”。同时，标准4.1指出：“考虑各种内外部因素，包括但不限于国际、 国内、地区和当地的各种法律法规、技术、竞争、市场、文化、社会、经济因素、网络和食品掺假、食品防护和故意污染”。 因此，还需识别非传统食品危害控制过程：食品防欺诈过程、人为破坏和蓄意污染过程

ISO27000认证体系建立和运行步骤 ISO27001标准要求组织建立并保持一个文件化的信息管理体系，其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。 不同的组织在建立与完善信息管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息管理体系一般要经过下列四个基本步骤：信息管理体系的策划与准备；信息管理体系文件的编制；信息管理体系运行；信息管理体系审核与评审。 如果考虑认证过程其详细的步骤如下： 1. 现场诊断； 2. 确定信息管理体系的方针、目标； 3. 明确信息管理体系的范围，根据组织的特性、地理位置、资产和技术来确定界限； 4. 对管理层进行信息管理体系基本知识培训； 5. 信息体系内部审核员培训； 6. 建立信息管理组织机构； 7. 实施信息资产评估和分类，识别资产所受到的威胁、薄弱环节和对组织的影响，并确定风险程度； 8. 根据组织的信息方针和需要的保证程度通过风险评估来确定应实施管理的风险，确定风险控制手段； 9. 制定信息管理手册和各类必要的控制程序 ； 10. 制定适用性声明； 11. 制定商业可持续性发展计划； 12. 审核文件、发布实施； 13. 体系运行，有效的实施选定的控制目标和控制方式； 14. 内部审核； 15. 外部 阶段认证审核； 16. 外部第二阶段认证审核； 17. 颁发； 18. 体系持续运行/年度监督审核； 19. 复评审核（三年有效）。 至于应采取哪些控制方式则需要周密计划，并注意控制细节。信息管理需要组织中的所有雇员的参与，比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密，除物理控制外，还需要组织全体人员参与，加强控制。此外还需要供应商，顾客或股东的参与，需要组织以外的专家建议。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。 当前，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的威胁，诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。 许多信息系统本身就不是按照系统的要求来设计的，所以仅依靠技术手段来实现信息有其局限性，所以信息的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划，并注意细节。信息管理至少需要组织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息的专家建议。