制定和實施食品管理體系和提高其有效性時鼓勵采用過程方法，以獲得食品和服務的活動得以加強，并滿足適用的要 求。過程方法包括按照組織的食品方針和戰略方向，對各過程及其相互作用，系統地進行規定和管理，從而實現預期結果。可 通過采用 PDCA 循環以及基于風險的思維對過程和體系進行整體管理，從而有效利用機遇并防止發生非預期結果。 一、策劃過程 策劃過程可分成若干個子過程，這些子過程是建立食品管理體系必須要加以識別和管理的，可分為以下七點。 一是，組織環境的識別和評審過程，其包括組織內外部環境和相關方需求識別與評審過程，食品管理體系范圍的確定過程。 二是，管理體系策劃過程，包括方針、目標、組織框架及職責權限、應對風險的措施等。 三是，人力資源管理過程。食品行業的人力資源管理有別于其他行業，注重員工管理，食品意識及食品小組的能力要 求。 四是，基礎設施和工作環境管理過程。根據食品行業類別，按不同的食品法規要求，對基礎設施和工作環境加以管理。 五是，外部提供的過程、產品和服務控制過程。供方的考核評價及原輔料進廠驗收要求，包括對外部供方許可資質管理等內容。 六是，內外部信息溝通過程。著重食品鏈上下游組織在食品方面的信息溝通，包括與監管部門、供方、顧客等相關組織的信息 溝通。 七是，成文信息控制過程。關注記錄保存期限與法律法規要求的符合性。 二、運行過程 運行過程該本標準的核心過程，存在另一個PDCA循環，包含了標準第8章所述的FSMS內的各種運行過程，可分為以下若干個子過程。 前提方案建立實施過程，依據組織所處的食品鏈的位置，確定相應的前提方案，如良好操作規范、良好獸醫規范、良好分銷規范可 追溯性過程。根據標準要求，追溯系統應能夠 地識別供應商來料和終產品的初始分配路線應急準備與響應過程，組織首先應識 別出那些與食品相關的潛在的緊急情況，并制訂出相應的應急方案，并要求對方案進行測試危害分析與評價及控制計劃的建立 過程，根據HACCP七個基本原理的要求建立實施該過程。值得特別關注的是，新標準要求關鍵限值應可測量，操作性前提方案（OPRP ）的行動標準可測量或可觀察。另外還包括控制措施確認過程、危害控制計劃的實施與監視過程、驗證過程、不合格產品控制過程 （包括產品撤回），這些過程與舊標準要求無太多變化。 三、食品管理體系的績效評價過程 食品管理體系的績效評價過程包括對監視和測量、驗證活動結果所獲取的數據和信息，以及對前提方案和危害控制計劃實施情 況的監測結果的分析與評價，同時包括內部審核和管理評審活動，以確定FSMS的績效情況。該過程可分為：分析與評價過程、內部 審核過程、管理評審過程。 四、改進過程 組織應持續改進食品管理體系的適宜性、充分性和有效性，并根據與相關方溝通的結果、驗證活動結果分析的輸出以及管理評 審的輸出更新FSMS，該過程可分為持續改進過程、食品管理體系更新過程。綜合上述分析，基本已識別食品管理體系的主 要過程，組織可以按過程方法的要求，形成過程清單，如附表所示，以便管理食品管理體系。 除上述過程外，組織還應考慮基于風險的思維，識別食品管理體系其他過程。基于風險的思維也分為兩個層次，組織層面的和 運行層面的。運行層面的過程識別已包含上述第二大過程（運行過程）中。組織層面的過程識別，可參照標準6.1.1條款之規定：“ 策劃食品管理體系時，組織應考慮到4.1中涉及的事項”。同時，標準4.1指出：“考慮各種內外部因素，包括但不限于國際、 國內、地區和當地的各種法律法規、技術、競爭、市場、文化、社會、經濟因素、網絡和食品摻假、食品防護和故意污染”。 因此，還需識別非傳統食品危害控制過程認證：食品防欺詐過程、人為破壞和蓄意污染過程。 ?

ISO10012認證涉及的測量設備和測量過程 組織中的哪些測量設備要納入ISO10012測量管理體系進行管理哪些測量過程應納入ISO10012測量管理體系進行控制可以根據以下不同情況: 1.納入ISO10012測量管理體系的測量設備和測量過程應由組織根據風險和后果來決定 組織在進行決策時要考慮沒有納入ISO10012測量管理體系的測量設備和測量過程會給組織帶來多大的風險?這些風險應與組織可能要花費多少資源相比較?花費一定的資源可以減少較大的風險則應納入ISO10012測量管理體系;如果某些測量設備和測量過程一旦失準而不會影響組織的經濟效益和社會效益不會造成顧客投訴不會帶來什么風險這些測量設備和測量過程就不須納入ISO10012測量管理體系?但是這樣的測量設備和測量過程是很少的沒有效益和作用的測量設備和測量過程組織一般是不必購置和進行測量的?所以從原則上講只要是組織購置和進行測量的所有測量設備和測量過程都應納入ISO10012測量管理體系中只是管理的嚴格程度不一樣花費的資源多少不一樣?有的測量設備要經過全部確認過程有的測量設備只需貼上不需確認的標志即可;有的測量過程要經過嚴格的控制長期的監視有的測量過程只需按一般對測量設備的計量確認過程管理就可以了? (1)確定哪些范圍建立測量管理體系應當是組織的一項戰略性決策? 隨著世界經濟的發展組織之間的競爭日趨激烈這就要求組織比以往更準確?更快地適應市場的變化不斷滿足顧客的需求和期望?為此 的途徑是根據顧客的要求?市場的需要?產品質量的需要?物料?能源??環保等各方面需要并根據ISO10012:2003標準的要求建立組織的ISO10012測量管理體系?要打破傳統的理念從眼前花費資源轉向長遠的效益;從狹義的組織需要轉向以“顧客”和“市場”為導向觀念實施轉變資源重新配置是組織的一項戰略性決策? (2)組織的追求?組織的目標?組織的產品?組織所采用的戰略?組織的規模和結構的不同 ISO10012測量管理體系的設計和實施也是不同的?因此不可能統一規定組織應建立哪些測量設備和測量過程哪些應納入ISO10012測量管理體系? 2.凡申請ISO10012認證或注冊的組織應按認證或注冊標準要求的范圍來確定ISO10012測量管理體系的范圍 建立ISO10012測量管理體系可能出于各種不同的認證和注冊目標?一般有以下幾種情況: (1)組織申請其他標準的認證或注冊如ISO9001標準或ISO14000標準中對測量設備和測量過程控制有要求時也可以按ISO10012建立測量管理體系其納入測量管理體系范圍的測量設備和測量過程應該是與ISO9001標準或ISO14000標準的范圍相一致? (2)檢測實驗室和校準實驗室申請ISO/IEC17025的認證或注冊的也可以按ISO10012建立測量管理體系其納入測量管理體系的范圍應與申請ISO/IEC17025的范圍相一致? (3)如果按不同的行業的認證標準如船舶認證?衛生認證?建筑業認證的認證標準等建立測量體系的其測量體系的范圍應與其行業認證或注冊標準的范圍相一致? (4) 質量監督檢驗檢疫總局提出依據ISO10012幫助企業建立完善的計量檢測體系ISO10012可作為使用的標準或依據其納入測量管理體系的范圍應按 質檢總局的規定:“包括質量監控?能源計量?環境檢測?防護檢測?經營管理檢測等方面?”因此凡申請建立完善ISO10012計量檢測體系的企業建立ISO10012測量管理體系的范圍應該不但包括與質量有關的測量設備和測量過程還應包括能源?環境??經營(含物料)等所有檢測范圍?

　ISO27001認證體系建設分為四個階段：實施風險評估、規劃體系建設方案、建立信息管理 體系、體系運行及改進。也符合信息管理循環PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保護企業信息系統的，確保信息的持續發展。 　　1、確立范圍 　　首先是確立項目范圍，從機構層次及系統層次兩個維度進行范圍的劃分。從機構層次上，可以考慮 內部機構：需要覆蓋公司的各個部門，其包括總部、事業部、制造本部、技術本部等;外部機構：則包括 公司信息系統相連的外部機構，包括供應商、中間業務合作伙伴、及其他合作伙伴等。 　　從系統層次上，可按照物理環境：即支撐信息系統的場所、所處的周邊環境以及場所內保障計算機 系統正常運行的設施。包括機房環境、門禁、監控等;網絡系統：構成信息系統網絡傳輸環境的線路介質 ，設備和軟件;服務器平臺系統：支撐所有信息系統的服務器、網絡設備、客戶機及其操作系統、數據庫 、中間件和Web系統等軟件平臺系統;應用系統：支撐業務、辦公和管理應用的應用系統;數據：整個信息 系統中傳輸以及存儲的數據;管理：包括策略、規章制度、人員組織、開發、項目管理 和系統管理人員在日常運維過程中的合規、審計等。 　　2、風險評估 　　企業信息是指保障企業業務系統不被非法訪問、利用和篡改，為企業員工提供、可信的服 務，保證信息系統的可用性、完整性和保密性。 　　本次進行的評估，主要包括兩方面的內容： 　　2.1、企業管理類的評估 　　通過企業的控制現狀調查、訪談、文檔研讀和ISO27001的 實踐比對，以及在行業的經驗上 進行“差距分析”，檢查企業在控制層面上存在的弱點，從而為措施的選擇提供依據。 　　評估內容包括ISO27001所涵蓋的與信息管理體系相關的11個方面，包括信息策略、組 織、資產分類與控制、人員、物理和環境、通信和操作管理、訪問控制、系統開發與維護、安 全事件管理、業務連續性管理、符合性。 　　2.2、企業技術類評估 　　基于資產等級的分類，通過對信息設備進行的掃描、設備的配置，檢查分析現有網絡 設備、服務器系統、終端、網絡架構的現狀和存在的弱點，為加固提供依據。 　　針對企業具有代表性的關鍵應用進行評估。關鍵應用的評估方式采用滲透測試的方法，在應用 評估中將對應用系統的威脅、弱點進行識別，分析其和應用系統的目標之間的差距，為后期改造提 供依據。 　　提到評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優點 ，同時結合企業自身的特點，建立風險評估模型： 　　在風險評估模型中，主要包含信息資產、弱點、威脅和風險四個要素。每個要素有各自的屬性，信 息資產的屬性是資產價值，弱點的屬性是弱點在現有控制措施的保護下，被威脅利用的可能性以及被威 脅利用后對資產帶來影響的嚴重程度，威脅的屬性是威脅發生的可能性及其危害的嚴重程度，風險的屬 性是風險級別的高低。風險評估采用定性的風險評估方法，通過分級別的方式進行賦值。 　　3、規劃體系建設方案 　　企業信息問題根源分布在技術、人員和管理等多個層面，須統一規劃并建立企業信息體系 ，并終落實到管理措施和技術措施，才能確保信息。 　　規劃體系建設方案是在風險評估的基礎上，對企業中存在的風險提出建議，增強系統的安 全性和抗攻擊性。 　　在未來1-2年內通過信息體系制的建立與實施，建立組織，技術上進行審計、內外網隔 離的改造、產品的部署，實現以流程為導向的轉型。在未來的 3-5 年內，通過完善的信息體系 和相應的物理環境改造和業務連續性項目的建設，將企業建設成為一個注重管理，為主，防治結合 的先進型企業。 　　4、企業信息體系建設 　　企業信息體系建立在信息模型與企業信息化的基礎上，建立信息管理體系核心可以更 好的發揮六方面的能力：即預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復 (Recover)和反擊(Counter-attack)，體系應該兼顧攘外和安內的功能。 　　體系的建設一是涉及管理制度建設完善;二是涉及到信息技術。首先，針對管理制 度涉及的主要內容包括企業信息系統的總體方針、技術策略和管理策略等。總體方針 涉及組織機構、管理制度、人員管理、運行維護等方面的制度。技術策略涉 及信息域的劃分、業務應用的等級、保護思路、說以及進一步的統一管理、系統分級、網絡互 聯、容災備份、集中監控等方面的要求。 　　其次，信息技術按其所在的信息系統層次可劃分為物理技術、網絡技術、系統技 術、應用技術，以及基礎設施平臺;同時按照技術所提供的功能又可劃分為保護類、檢 測跟蹤類和響應恢復類三大類技術。結合主流的技術以及未來信息系統發展的要求，規劃信息 技術包括：

目前，施工組織設計中普遍存在可操作性差、缺乏理論依據等問題。目前施工組織設計主要存在以下問題: ①施工組織設計的編制缺乏理論指導和依據標準，對施工組織設計的重要性認識不足，編制的施工組織設計內容不、不規范、不系統、可操作性不強； ②工程項目質量目標及保證措施的制定缺乏理論依據，忽視職業和環境目標指標及保證措施的制定，在編制施工組織設計過程中，重視工程項目的技術性，輕視其經濟性； ③沒有引入先進的管理模式，管理施工組織設計的編制和實施過程，施工組織設計的修改完善不及時，貫徹實施不到位，施工人員往往脫離施工組織設計，憑經施工，按習慣操作。 ISO9001認證要求對具體產品、項目或合同的實現過程進行策劃，策劃內容應包括： ①產品的質量目標和要求； ②針對產品確定過程、文件和資源的需求； ③產品所要求的驗證、確認、監視、檢驗和試驗活動，以及產品驗收準則； ④為實現過程及其產品滿足要求提供證據所需的記錄。 ISO14001認證要求組織制定環境目標指標，識別適用的法律法規，對組織活動、產品或服務的全過程，在考慮3種狀態（正常、異常、緊急）和3種時態（過去、現在、將來）下，識別和判定對環境具有影響的因素，尤其是重要環境因素，對其進行控制或施加影響，并把重大環境因素的改進作為環境目標指標加以考慮，制定相應的管理方案，或減少環境污染和資源浪費。 ISO45001認證要求組織制定職業目標，識別適用的法律法規，根據行業特點，針對具體工程項目，對所有進入作業場所人員的活動、常規和非常規的活動、正常和非正常狀態下的活動、作業場所內的所有設施、人為可預見的職業潛在事件或緊急情況等加以考慮，充分、地識別工程項目壽命周期內各過程的危險源，并對風險進行正確的評估與分級，確定不可容許的風險，確定重大危險源，并把重大危險源的改進作為職業目標加以考慮，制定相應的管理方案，明確控制危險源措施，事故和職業病的發生。上述三標準的要求可作為施工組織設計的理論依據。