S7.1的理解： 一）資源的范圍： 2011版注1：資源包括人力資源和專項技能、組織基礎設施、技術和財力資源。 28002：在確定建立、實施和保持職業管理體系所需資源時，組織宜考慮： ——運行特需的財力、人力和其他資源； ——運行特需的技術； ——基礎建設和設備； ——信息系統； ——專業技能和培訓的需求。 綜上：資源可以包括：人力資源（含人員的能力、資質和組織的知識管理）；基礎設施（符合策劃的專用建筑、設備、設施、ICT信息通信和技術）；資金。 二）如何確定是否“所需”（必須、適宜）： 1.合規性要求：生產法律法規（如評價、排污許可證、特種設備等）、職業法律法規（如職業衛生三同時、職業病危害因素評估和檢測、職業病防治、有毒物品、個體防護等）等法規要求，以及與相關方簽署的法律義務（如勞動時間、非歧視性申明）。——彈性較小。 2.與體系戰略、經營計劃、方針、目標、風險、危險源及相關的管理措施相對應的能力及其保持。——彈性較大。 3.與相關方滿意為衡量標準的評價：顧客滿意、雇員滿意、合作方滿意、股東滿意、社區滿意、工會滿意、上級滿意等。——彈性較大。 三）如何提供： 1.采購和配置所需資源，并列入公司資產統一管理； 2.租借部分資源（人或物，通常包含技能等）； 3.采用外包、承包的方式，由外部供方提供部分資源（人或物，通常包含技能等）并對資源實施管理； 4.財務部門提供資金預算和資金供給。 四）體系對S7.1的管理要求： 通過目標管理、內審、管理評審及日常運行監視，持續評審資源的充分性。“宜對資源及其配置通過管理評審來進行定期評審，以確保其足以實施包括績效測量和監測在內的職業方案和活動。對于已建立職業管理體系的組織，通過比較計劃實現的職業目標與實際結果，至少可對資源的充分性進行部分地評估。在評估資源的充分性時，還宜考慮到計劃的改變和（或）新的項目和運行的出現。”——28002 如何審核S7.1：——基于認證風險的審核和評價 一）基于合規性要求的評價： 在管理層審核企業經營許可（評價、三同時、特種設備、職業危害因素檢測等）、合規義務、合規性評價、不符合整改（包含外部驗廠）等管理要素時，以正面取證與反面取證相結合的方式，獲取企業的資源信息。評價標準：如果沒有或失效，企業違法違規。 二）與方針、目標、風險、危險源及相關的管理措施相對應的能力評價： 在管理層及各現場審核時，在評價風險的控制能力時應關注資源提供的充分性及資源的有效性。評價標準：如果沒有、不充分或失效，導致風險控制失效。 三）基于相關方滿意（抱怨、投訴、事故事件、社會形象）的評價： 反面取證的方法：因相關方不滿意，分析出體系資源不充分。 四）記錄： 1）現場審核記錄： 在管理層描述概貌；在各現場描述其充分性和能力的保持。 2）審核報告：4資源配置 管理體系運行過程所需資源配置情況評價，包括人員的能力/意識/滿足能力，基礎設施設備和特種設備管理，工作環境和知識等。資源變化情況（監督）。 可以描述：1）與合規義務相對應的資源的充分性、合規性（如特種設備安檢、職業病防治等），以及資源保持的風險（如租賃或許可到期）；2）與人力資源有關的組織機構和職責、能力、意識，以及與運行有關的專業技能（資質）、知識等是否充分；3）企業的經營狀態和資金保證能力（如體系資金預算）。

ISO27001認證信息風險評估 目的：實施風險評估，識別不可接受風險，明確管理目標。 內容：風險評估是整個風險管理的基礎，本階段將根據前期策劃的風險評估方法。 包括：a. 根據業務要求及信息的密級劃分，對信息資產的重要程度進行判定，識別對關鍵核心業務具有關鍵 作用的信息資產清單;對重要信息資產從內部及外部識別其所面臨的威脅; b. 根據威脅，從管理和技術兩方面識別重要信息資產所存在的薄弱點; c. 根據風險評估的方法指南，對威脅利用薄弱點對重要信息資產所產生的風險在保密性、完整性、可 用性三方面所造成的影響進行評價;評價威脅利用薄弱點引發風險事件的可能性; d. 根據風險影響及發生的可能性評價風險等級; e. 根據信息方針，各核心業務流程的要求，與管理層進行溝通，確定不可接受風險等級的標 準; f. 針對不可接受的高風險，制定風險處理計劃，從ISO27002及顧問的行業經驗來選擇適宜的風險管 控措施;實施所選擇的控制措施，降低、轉移或風險; g. 編寫風險評估報告。

公司領導是否關注質量目標完成情況。在審核過一家企業，總經理說；我不看這些數據，我不關心目標完成情況！我問為什么？他回答這是咨詢師定下的，不是我要的。可悲！QMS運行成這個樣子。我還審核過一家日資企業，其總經理到任后件事，到各部門與部長談：目標的設置和目標值，公司要求多少，部門有什么困難和要求需公司支持。通過手情況了解，公司定下的質量目標既是管理層的要求，又成為各部門年度工作的追求，而且目標值確定也不空想，完成也有了保證。兩個企業成了明顯的對照。認證 質量目標定下后並不是現有的信息一定能統計出來的，往往出現問題是，尚不知道如何去收集分子和分母的值。有一個企業，設定目標為“一次檢驗合格率”，但現場沒有一次交驗檢驗結果的記錄，只能以檢驗合格率的概念來計算。所以，設定質量目標后尚需要建立一個“目標統計系統”，每項目標的計算公式，其分子和分母的值從哪些原始數據中去統計，目標的主責部門是誰，由哪個部門匯總計算，統計頻次多少(每月一次，還是每季一次、每年一次)，這些都需要事先確定好。

溝通ISO9001認證體系質量方針 本條旨在確保質量方針在組織人員中得到溝通、理解和應用以使其能夠為質量管理體系的有效性做出貢獻并確保有關相關方可以獲取質量方針。 組織應確保質量方針易于獲取并保持成文信息。為使質量方針持續有效組織應定期進行評審以便確定質量方針是否仍與組織的宗旨相適應。例如可將這種評審作為管理評審過程的一部分(見ISO9001認證標準9.3)。 組織需要確保質量方針在整個組織內都能得到清晰的理解這可通過考慮組織內不同層次人員的意識(見ISO9001認證標準7.3)和溝通的要求(見ISO9001認證標準7.4)來實現。質量方針可通過不同的方法進行溝通如公告欄、屏保程序、組織的網站或例行會議等。 組織應在適宜時讓有關相關方(如外部供方、合作伙伴、顧客和監管機構等)能夠獲取其質量方針。 組織可根據相關方的要求提供質量方針或在網站上發布質量方針。