下载掌阅APP,畅读海量书库
立即打开
自国际标准化组织(ISO)在1987年根据各国的需要颁布了ISO 9000族质量管理体系标准以来,在世界范围内出现了持续的“ISO 9000”热。在人们关注质量管理的同时,大规模的全球环境问题使人们对环境保护更加重视。在1992年召开的联合国环境与发展大会上,提出了“可持续发展”的概念。实现可持续发展引发了在工商业界,将实施可持续发展和保护环境的行动作为企业自身应尽的责任和义务。在这种环境管理国际化大趋势下,1996年9月国际标准化组织(ISO)根据ISO 9000系列标准的成功经验,颁布了ISO 14000系列环境管理体系标准。20世纪90年代以来,西方发达国家特别是其中一些跨国公司和大型现代化联合企业为强化自己的社会关注力和控制损失的需要,开始建立自律性的职业健康安全与环境保护的管理制度,并初步形成了比较完善的体系。同时,随着全球经济一体化的发展,国际社会对职业健康安全问题日益关注。2001年6月,国际劳工组织颁布了OHSAS 18001职业安全和健康管理体系标准,它与ISO 9000和ISO 14000等标准规定的管理体系一并被称为后工业化时代的管理方法。除此之外,一些有利于社会、企业和顾客等的管理体系标准也相继颁布。
ISO 9000:2015标准对管理体系(Management System)的定义是:“组织建立方针和目标以及实现这些目标的过程的相互关联或相互作用的一组要素。”“一个管理体系可以针对单一的领域或几个领域,如质量管理、财务管理或环境管理。”在当今,只要有需要,一个组织(企业)的管理体系可包括若干个不同的管理体系,例如:
ISO 9001质量管理体系(QMS);
ISO 14001环境管理体系(EMS);
OHSAS 18001职业健康安全管理体系(OHSAS);
IATF 16949汽车行业质量管理体系;
ISO 50001能源管理体系;
ISO 22000食品安全管理体系(HACCP);
ISO/IEC 27001信息安全管理体系。
认证是指由认证机构证明产品、服务、管理体系符合相关标准、技术规范或其强制性要求的合格评定活动。就制造型的企业而言,通常的认证包括管理体系认证和产品认证两大类(如图1-1所示)。
图1-1 认证的构成
管理体系认证是依据管理体系标准进行的。当前,依照各种不同管理体系标准进行的体系认证很多,最常见的就是ISO 9001质量管理体系认证。下面介绍的是制造行业常见的管理体系认证。
1.ISO 9001质量管理体系认证
这是应用最为广泛的,也是本书重点介绍的管理体系认证,在本章第二节做了详细介绍。
2.ISO 14001环境管理体系认证
环境管理体系不属于质量管理体系,它和质量管理体系一样,是一个组织内全面管理体系的组成部分。
环境管理体系将有助于组织系统化地处理环境问题,并将环境保护和企业经营结合起来,使之成为企业日常运行和经营策略的一个部分。
国际标准组织化于1996年发布了ISO 14000环境管理体系(Environmental Management System,EMS)系列标准,它是一个庞大的标准体系,其中ISO 14001标准是ISO 14000系列标准的核心标准,也是主要用于认证的标准。我国等同转化为GB/T 24001—1996《环境管理体系 规范及使用指南》国家标准。2004年ISO/TC 207将该国际标准修订换版为ISO 14001:2004《环境管理体系 要求及使用指南》,我国继续等同采用该国际标准并在各行业组织中加以大力推广实施。ISO 14001作为世界上首个被广泛采用的环境管理体系国际标准,现已帮助全球超过30万家组织提升其环境绩效。目前,我国通过环境管理体系认证的组织已逾10万家,位居全球获证组织数量国家排名榜首。组织通过建立、实施、保持和持续改进环境管理体系,对环境因素进行有效控制,改善环境绩效,减少环境影响,取得了显著的环境、经济和社会效益。基于“环境保护承诺”与“降低不良环境影响的风险”的需求,2011年ISO/TC 207/SC1/WG5启动了对ISO 14001:2004国际标准的修订工作。在历经了2014年7月DIS稿、2015年7月FDIS稿后,ISO 14001:2015《环境管理体系 要求及使用指南》国际标准于2015年9月正式发布。
为了使我国广大企业更好地实施新版国际标准,更有效地运用环境管理工具实现环境绩效的持续改进,为环境的可持续发展做出贡献,同时也为实施已获证企业的换版过渡做好铺垫,2015年10月,全国环标委组织成立了标准修订转化起草组,并组织召开了GB/T 24001—2015《环境管理体系 要求及使用指南》国家标准修订转化工作会议,经过多次内部研讨和对标准草案的修改完善,于11月形成征求意见稿,面向社会各界广泛征求意见并进行汇总处理,于12月底形成送审稿。2016年10月与ISO 14001:2015对应的GB/T 24001—2016《环境管理体系 要求及使用指南》正式发布,并于2017年5月1日正式实施。
新版国际标准ISO 14001:2015较ISO 14001:2004而言,在结构、术语和要求等诸多方面都进行了较大幅度的调整和修订,除了采用ISO/IEC工作导则第1部分附件SL附录2《高阶结构、相同的核心文本、通用术语和核心定义》所规定的管理体系标准通用结构和框架,并将ISO 14001:2004国际标准的20条术语和定义调整为33条之外,其主要变化还体现在提出战略环境管理思维、将环境管理体系融入组织的业务过程、采用基于风险的思维、强化领导的作用、承诺从污染预防扩展到保护环境、强调履行合规义务、强化提升环境绩效、运用生命周期观点、细化内外部信息交流、对文件化信息的要求和对变更的管理等。
ISO 14001:2015标准由领导作用、策划、支持、运行、绩效评价和改进6个部分构成。各部分有机结合,紧密联系,形成PDCA循环的管理体系,并确保组织的环境行为持续改进。它为组织提供了一个框架,使其能够在业务不断发展增长的同时,降低对环境的影响、减少浪费、节约能源。还能帮助企业更具创新性,改进管理体系流程,满足相关法规要求,增强企业在投资者、客户和公众眼中的信誉度。
ISO 14001标准要求组织通过建立环境管理体系来达到支持环境保护、预防污染和持续改进的目标,并可通过取得第三方认证机构认证的形式,向外界证明其环境管理体系的符合性和环境管理水平。由于ISO 14001环境管理体系可以带来节能降耗、增强企业竞争力、赢得客户、取信于政府和公众等诸多好处,所以自发布之日起即得到了广大企业的积极响应,被视为进入国际市场的“绿色通行证”。许多国家,尤其是发达国家纷纷宣布,没有环境管理认证的商品,将在进口时受到数量和价格上的限制。例如,欧洲国家宣布,电脑产品必须具有“绿色护照”方可入境。美国能源部规定,政府采购只有取得认证的厂家才有资格投标。
ISO 14001标准是在当今人类社会面临严重的环境问题(如温室效应、臭氧层破坏、生物多样性的破坏、生态环境恶化、海洋污染等)的背景下产生的,是工业发达国家环境管理经验的结晶,其基本思想是引导组织建立环境管理的自我约束机制,从最高领导到每个职工都以主动、自觉的精神处理好自身发展与环境保护的关系,不断改善环境绩效,进行有效的污染预防,最终实现组织的良性发展。该标准适用于任何类型和规模的组织,也适用于各种地理、文化和社会环境。
3.OHSAS 18001职业健康安全管理体系认证
OHSAS 18000职业健康安全管理体系标准是20世纪80年代后期,在国际上兴起的现代安全生产管理模式,是近几年又一个风靡全球的管理体系标准的认证制度。
随着工业科技的不断进步,职工的安全健康问题越来越突出,全球安全生产事故持续增长。据国际劳工组织估计,世界范围内每年约发生2.7亿起职业事故,200万人死于职业事故和与工作相关的疾病,1.6亿人遭受职业病,职工的安全健康受到严重威胁。20世纪90年代后期,一些发达国家借鉴ISO 9000认证的成功经验开展了实施职业健康安全管理体系的活动,以保障从业人员的健康安全。1996年英国颁布了BS 8800《职业安全卫生管理体系指南》国家标准。以后,美国、澳大利亚、日本、挪威的一些组织制定了关于职业健康安全管理体系的指导性文件。1999年英国标准协会(BSI)、挪威船级社(DNV)等13个组织提出职业健康安全评价系列(OHSAS)标准,即OHSAS 18000标准。在ISO尚未制定的情况下,它起到了准国际标准的作用。其中的OHSAS 18001标准是认证性标准,它是组织(企业)建立职业健康安全管理体系的基础,也是企业进行内审和认证机构实施认证审核的主要依据。
1999年10月,国家经贸委颁布了《职业安全卫生管理体系试行标准》(OSHMS试行标准)。为迎接加入世界贸易组织后国内企业面临的国际劳工标准和国际经济一体化的挑战,规范各类中介机构的行为,我国于2001年11月12日转化为国标GB/T 28001—2001 idt OHSAS18001:1999《职业健康安全管理体系 规范》。同年12月20日,国家经贸委也推出了《职业安全健康管理体系审核规范》,并在我国开展起职业健康安全管理体系认证制度。GB/T 28001于2011年12月30日更新至GB/T 28001—2011版本,并于2012年2月1日实施。修订后的国家标准等同采用OHSAS 18001:2007《职业健康安全管理体系 要求》,与质量、环境管理体系标准更加兼容,更加强调“健康”的重要性,增加了“合规性评价”要求,对职业健康安全策划部分的控制措施层级提出了新要求,对术语和定义部分作了较大调整和变动。
目前,职业健康安全管理体系已被广泛关注,包括组织的员工和多元化的相关方(如:居民、社会团体、供方、顾客、投资方、签约者、保险公司等)。标准要求组织建立并保持职业安全与卫生管理体系,识别危险源并进行风险评价,制定相应的控制对策和程序,以达到法律法规要求并持续改进。在组织内部,体系的实施以组织全员(包括派出的职员,各协力部门的职员)活动为原则,并在一个统一的方针下开展活动,这一方针应为职业健康安全管理工作提供框架和指导作用,同时要向全体相关方公开。
实施职业健康安全管理体系的益处:
①可以提高企业的安全管理和综合管理水平,促进企业管理的规范化、标准化、现代化;
②可以减少因工伤事故和职业病所造成的经济损失和因此所产生的负面影响,提高企业的经济效益;
③可以提高企业的信誉、形象和凝聚力;
④可以提高职工的安全素质、安全意识和操作技能,使员工在生产、经营活动中自觉防范安全健康风险;
⑤可以增强企业在国内外市场中的竞争能力;
⑥可以为企业在国际生产经营活动中吸引投资者和合作伙伴创造条件;
⑦可以促进企业的安全管理与国际接轨,消除贸易壁垒,是企业的第三张通行证;
⑧可以通过提高安全生产水平改善政府-企业-员工(以及相关方)之间的关系。
职业健康安全管理体系(OHSAS)是一套系统化、程序化和具有高度自我约束、自我完善的科学管理体系。其核心是要求企业采用现代化的管理模式,使包括安全生产管理在内的所有生产经营活动科学、规范和有效,建立安全健康风险,从而预防事故发生和控制职业危害。这与我国“安全第一,预防为主”的基本工作方针相一致,是当前市场经济、国家企业,尤其是大的跨国公司一致采用的安全生产管理体系,具有很高的科学性、安全性和实效性。
4.IATF 16949质量管理体系认证
IATF(International Automotive Task Force)国际汽车工作组是由世界上主要的汽车制造商及协会于1996年成立的一个专门机构。IATF 16949 的前身是ISO/TS 16949,ISO/TS 16949(第一版)最初由IATF创建于1999年,旨在协调全球汽车行业供应链中的不同评估与认证体系。其后随着ISO 9001标准的多次修订,先后产生了2002年的ISO/TS 16949:2002(第二版)和2009年的ISO/TS 16949:2009(第三版)。2016年IATF征求了认证机构、审核员、供应商和OEM的意见,创建了IATF 16949:2016(第一版)以注销并取代ISO/TS 16949:2009标准。
IATF成员包括了国际标准化组织质量管理与质量保证技术委员会(ISO/TC 176),意大利汽车工业协会(ANFIA),法国汽车制造商委员会(CCFA)和汽车装备工业联盟(FIEV),德国汽车工业协会(VDA),汽车制造商如宝马(BMW)、克莱斯勒(Daimler Chrysler)、菲亚特(Fiat)、福特(Ford)、通用(General Motors)、雷诺(Renault)和大众(Volkswagen)等。
IATF 16949:2016标准是“质量管理体系——汽车生产件及相关服务件组织应用ISO 9001:2015的特殊要求”,它是一个很特别的标准,只适用于在汽机行业供应链内的厂商,所谓“汽机行业”只包括在道路上行动的车辆,如汽车、卡车、巴士及摩托车。虽然如此,汽车产业作为我国国民经济支柱产业的地位越来越突出。2016年交通运输设备制造业对工业增长的贡献率首次跃升至40个工业行业之首,以汽车制造业为主的交通运输设备制造业已取代电子信息通信业,成为名副其实的领头羊。该标准在全球乃至我国的影响力及认可度可见一斑。
IATF 16949标准是以ISO 9001标准为基础,加进了汽车行业的技术规范。标准完全和ISO 9000标准保持一致,但更着重于缺陷防范、减少在汽车零部件供应链中容易产生的质量波动和浪费,该标准的目标是在汽车供应链中开发提供持续改进、强调缺陷预防,以及减少变差和浪费的质量管理体系。标准具有非常明确的针对性和适用性,适用于顾客要求的用于生产件和/或服务件的制造现场,适用于整个汽车供应链中的组织,已成为世界范围内共同和唯一的汽车行业质量管理体系的基本要求。按照该标准建立、实施和保持质量管理体系,将给企业带来很多的好处和显著的效益。
①有利于企业成为汽车顾客的供方,特别是为主机厂配套。汽车主机厂目前普遍提出了对汽车生产件及相关维修件供方的质量管理体系要求,依据IATF 16949标准或其他质量体系标准建立质量管理体系,取得认证,才有可能进入国际、国内汽车顾客的采购圈。
②提高企业的工作效率。IATF 16949标准告诉企业的不仅仅是质量管理体系各过程的要求,还提出并规定了许多有效的、切实可行的控制程序和方法,如质量先期策划、测量系统分析、生产件批准程序等,合理地使用这些方法,可以有效地提高工作效率,增强企业的战斗力。
③有利于企业全员以顾客为关注焦点、满足顾客要求质量意识的形成。通过人力资源管理,培训管理的加强,形成与质量有关的各级管理人员、岗位员工整体素质不断提高的发展局面。
④能不断提高顾客对企业提供的产品和服务的满意程度。产品质量的不断改进与提高,百分之百按时交付产品的机制,以及对顾客要求的关注、沟通与满足,IATF 16949标准将帮助企业不断提高顾客的满意程度。
⑤预防产品缺陷,减少不合格品。IATF 16949标准从产品的策划、设计与开发、制造过程设计、生产过程的确认、不合格品的分析与控制、纠正措施、预防措施诸多过程进行控制。对产品实现过程潜在的缺陷进行识别、分析,制定相应的措施,防止不合格的发生,减少不合格品,降低废品损失,减少成本,从而提高企业产品的市场竞争力。
⑥产品实物质量明显提高。落实并实施IATF 16949标准,采取质量先期策划、控制计划等手段,对产品从原辅材料采购到产品实现过程直至交付的全过程规定控制要求,实施过程控制,能有效地提高产品的实物质量。
⑦推动企业建立与供方互利的关系,确保共同对顾客提供产品质量的保证,对顾客负责,创造最佳的服务业绩,获取双赢。
⑧减少了质量管理体系的重复检查和验证。“共同的标准,共同的第三方认证,相互承认”已是大势所趋。过去不同汽车管理体系标准的重复认证,将逐步过渡到单一的认证,这为广大汽车生产件企业减轻了负担。
⑨促进企业充分识别、贯彻落实与产品有关的法律、法规要求,从而保证产品满足相应的要求。
⑩有助于企业建立自我检查、发现问题、寻求改进、自我完善的管理机制。内部审核员队伍建立和保持,将为企业质量管理水平的不断提升、持续改进提供保证。
IATF 16949标准极具代表性、可操作性和系统性,对于我国汽车工业来说是一部编辑完美的质量管理学习指南。学习和接受国外先进的质量管理方法,是提高我国汽车工业质量水平的基础工作,应该踏踏实实地做好这项工作。过去我们引进了技术,有了好图纸、好设备却生产不出来高质量的产品,主要就是因质量管理差,只有按照好的质量管理方法去做,才能提高产品质量。这是一个系统、全面的质量管理体系,值得汽车行业高度重视。
IATF 16949标准产生的深远意义还在于,它说明了汽车工业正在快速地向全球一体化的方向发展,全球采购越来越普遍、越来越规范,要想打入国际市场,必须达到国际质量标准的要求。
5.ISO 22000食品安全管理体系(HACCP)
随着经济全球化的发展、社会文明程度的提高,人们越来越关注食品的安全问题,要求生产、操作和供应食品的组织,证明自己有能力控制食品安全危害和那些影响食品安全的因素。顾客的期望、社会的责任,使食品生产、操作和供应的组织逐渐认识到,应当有标准来指导操作、保障、评价食品安全管理,这种对标准的呼唤,促使ISO 22000食品安全管理体系要求标准的产生。
ISO 22000标准既是描述食品安全管理体系要求的使用指导标准,又是可供食品生产、操作和供应的组织认证和注册的依据。
ISO 22000表达了食品安全管理中的共性要求,而不是针对食品链中任何一类组织的特定要求。该标准适用于在食品链中所有希望建立保证食品安全体系的组织,无论规模、类型和其所提供的产品。它适用于农产品生产厂商、动物饲料生产厂商、食品生产厂商、批发商和零售商。它也适用于与食品有关的设备供应厂商、物流供应商、包装材料供应厂商、农业化学品和食品添加剂供应厂商,涉及食品的服务供应商和餐厅。
ISO 22000采用了ISO 9000标准体系结构,将HACCP(hazard analysis and critical control point,危害分析和临界控制点)原理作为方法应用于整个体系,明确了危害分析作为安全食品实现策划的核心,并将国际食品法典委员会(CAC)所制定的预备步骤中的产品特性、预期用途、流程图、加工步骤、控制措施和沟通作为危害分析及其更新的输入,同时将HACCP计划及其前提条件均衡地结合。该标准可以与其他管理标准整合,如质量管理体系标准和环境管理体系标准等。
国际标准化组织于2005年9月1日发布国际标准ISO 22000:2005《食品安全管理体系 食物链中各类组织的要求》。ISO 22000标准包括8个方面的内容,即范围、规范性引用文件、术语和定义、政策和原理、食品安全管理体系的设计、实施食品安全管理体系、食品安全管理体系的保持和管理评审。ISO 22000是一个自愿采用的国际标准,该标准对全球食品安全管理体系提出了一个统一的标准,实施这一标准可以使生产加工企业避免因不同国家的不同要求而产生的许多尴尬,可能为越来越多国家的食品生产加工企业所采用,而成为国际通行的标准。面对这种情况,我国等同采用该标准制定了国标GB/T 22000—2006,我国食品生产加工企业应当未雨绸缪,尽快熟悉和掌握该标准,按照这一标准建立健全食品安全管理体系。
6.ISO 50001能源管理体系认证
ISO 50001能源管理体系是由ISO国际标准化组织的ISO/PC 242能源管理委员会制定的。42个成员国参与了该标准的制定,而另外的10个成员国则作为观察者。该标准为工厂、经营设施或组织的能源管理建立了一套框架,以协助企业进行能源管理,提高能源使用效率,减少成本支出及改善环境效益。我国在2009年推出GB/T 23331—2009《能源管理体系 要求》,2012年12月31日我国国家标准化委员会发布了GB/T 23331—2012《能源管理体系 要求》,于2013年10月1日正式实施。本次标准修订最重要的变化是等同采用了国际标准ISO 50001:2011的要求,此前的GB/T 23331—2009是名副其实的中国能源管理体系标准,此次改版后,中国标准跟国际标准进行接轨。
工业活动以及商业建筑的能耗约占全球能耗的60%,这两个领域都具有巨大的节能潜力,然而当前预测表明,到2035年,这两个领域都难以实现一半的节能潜力。当前,各国政府及企业都在向国际能源管理体系ISO 50001靠拢,力争加大节能力度,提高生产率、竞争力和国家能源安全性。各组织机构如果按照全球化标准ISO 50001去实施强大有效的能源管理体系,就能提高能效、减少碳排放。通过对采用ISO 50001的美国企业的初步分析发现,18个月内平均节能10%,年节能效益从8.7万美元到98.4万美元不等。
ISO 50001标准主要基于ISO管理体系标准的共同元素,保证与ISO 9001(质量管理)和ISO 14001(环境管理)保持最大的兼容性。ISO 50001将会提供以下帮助:将能源效率纳入管理办法的框架中;更好地利用现有能源消耗资产;制定标准,测量、记录和报告能源强度改进及其预计的对消减温室气体(GHG)排放量的影响;能源资源的透明管理和交流;能源管理的最佳做法和良好的能源管理行为;评估并确定新能源效率技术的实施和其优先顺序;通过供应链促进能源效率的框架;和温室气体排放消减计划有关的能源管理改进。
ISO 50001标准的关键要素包括:
①能源政策;
②跨部门管理团队;
③能源规划流程;
④能耗基准;
⑤能效指标的认定;
⑥能源目标和指标;
⑦行动计划;
⑧运营控制和程序;
⑨测量、管理、文档内部审核;
⑩定期报告企业采用国际标准ISO 50001取得的成绩。
ISO 50001能源管理标准主要可以实现以下目标:
①协助组织更好地使用已有的能源消耗资产;
②建立与促进能源管理的透明度和沟通;
③促进能源管理最佳实践,加强良好的能源管理行为;
④提供评估和判定新能源技术导入优先顺序的辅助工具;
⑤提供可促进整个供应链能源效率提升的架构;
⑥在温室气体排放减量的计划内,促进能源管理改善;
⑦允许将能源管理体系与其他的管理体系结合(如环境、健康与安全)。
总之,ISO 50001有助于企业抓住节能机遇,保持和不断扩大节能成果,助推可持续发展和减排目标的实现。通过能源管理体系认证的企业不仅能够及时满足国家对环境、能源相关法律法规的相关要求,同时,能源管理体系的运行可以帮助企业以高效和可持续的方式使用能源、提高能源使用率并深挖企业节能潜力。
7.信息安全管理体系认证
随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,政府部门、金融机构、企事业单位和商业组织对IT系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。如今,遍布全球的互联网使得组织机构不仅内在依赖IT系统,还不可避免地与外部的IT系统建立了错综复杂的联系,但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生,这些给组织的经营管理、生存甚至国家安全都带来严重的影响。所以,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。
目前,在信息安全管理体系方面,ISO/IEC 27001信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC 27001是由英国标准BS 7799转换而成的。
BS 7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定了信息安全管理体系要求与信息安全控制要求,是一个组织全面或部分信息安全管理体系评估的基础,可以作为一个正式认证方案的根据。BS 7799-1与BS 7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准——ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》,该标准现已升级为ISO/IEC 17799:2005。2002年9月5日,BS 7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(plan-do-check-act)的过程管理模式,建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年,BS 7799-2:2002正式转换为国际标准ISO/IEC 27001:2005。
ISO/IEC 27001:2005标准包括安全方针,安全组织,资产分类与管理,人力资源安全,物理和环境安全,通信与操作管理,访问控制,系统的获取、开发和维护,信息安全事件管理,业务持续性管理,符合性等11大管理要项,39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。
BS 7799-2从1998年颁布后,在全世界范围内得到广泛的认可。目前已有40多个国家和地区开展信息安全管理体系的认证。根据信息安全管理体系国际使用者协会(ISMS International User Group)的最新统计,到2005年年底,全球通过信息安全管理体系BS 7799-2认证的组织已经超过2000家。
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
对组织来说,符合ISO 27001/BS 7799标准并且获得信息安全管理体系认证证书,虽然不能证明组织达到了100%的安全,但通过信息安全管理体系的认证能够强有力保障组织的信息资产的保密性、完整性和可用性,并能带来如下好处:
①加强公司信息资产的安全性、保障业务持续性与紧急恢复。
②强化员工的信息安全意识,规范组织信息安全行为。
③减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失。
④维护企业的声誉、品牌和客户信任,维持竞争优势。
⑤满足客户和法律法规要求。
1.产品认证的种类
一般来说,产品认证分为产品合格认证和产品安全认证两种类型,其中产品合格认证是自愿性的认证,而产品安全认证是强制性的认证,因此,企业进行产品安全认证最为普遍。进行产品认证分别有八种认证模式,见表1-1。
表1-1 产品认证模式
注:√表示实施该项目。
表1-1中有关“认证项目”的内容说明:
①型式试验:对照产品标准对产品样品进行型式试验以证明产品是否完全符合有关产品标准。
②市场产品抽样检验监督:企业通过认证后,对进入市场的产品进行抽样检验,起到对产品质量进行监督的作用。
③生产产品抽样检验监督:企业通过认证后,在工厂对生产的产品进行抽样检验,起到对产品质量进行监督的作用。
④工厂质量体系检查和监督:由认证机构按照有关工厂质量体系检查标准对企业实施检查认证,是对工厂是否稳定生产符合标准要求的产品的能力进行检查和评定,并在通过认证后,按一定的时间间隔对企业的质量管理体系进行复查监督,如UL约每三个月不定期地对通过认证后的工厂进行现场复查。这种工厂质量体系检查与ISO 9001认证的内容有一定的不同,侧重点也不同,二者可以合二为一。
⑤批检:是对一批产品进行抽样检验,并依据抽样结果,做出该批产品是否符合技术条件的评定的一种认证模式。
⑥全检:是对认证的产品,按照相关的技术条件进行100%检验的一种认证模式。
2.产品合格认证
产品合格认证也就是通常说的自愿性产品认证,其主要目的是证明产品已达到了指定标准的要求。
①认证模式:产品型式试验+初次工厂审查+获证后监督。
②认证过程:认证的申请→型式试验→初始工厂审查→认证工厂审查→认证后结果评价与批准→获证后的监督。
③认证标准。自愿性产品认证的依据为国家标准、行业标准、IEC标准、其他国家先进标准及认证机构补充技术要求。例如,中国质量认证中心(CQC)的认证标准为:自愿性产品认证的通用要求+自愿性产品认证的特殊要求。
④认证产品。例如《自愿性产品认证目录》的某些家用电器,见表1-2。
表1-2 自愿性产品认证目录
通过认证后,产品可以贴该认证机构的认证标志,证明该产品按该机构发布的标准生产,并达到了标准的要求。由此可见,这种认证的市场效应取决于认证所依据的标准发布机构的知名度和认证机构的知名度。
3.产品安全认证
由于全球化经济的快速发展,产品安全认证已被越来越多的国家和企业认同,产品安全认证种类也相应地增加。这里介绍几个国内外主要的安全认证。
(1)3C认证
3C认证,就是“中国强制认证”(China Compulsory Certification,缩写为“CCC”,简称“3C”认证)。《强制性产品认证管理规定》2001年12月3日发布,2002年5月1日起施行。从2004年5月1日起(实际延期至8月1日),凡列入《第一批实施强制性产品认证的产品目录》19大类132种产品,没有通过3C认证的,一律不准出厂或进口,更不得上市销售。
第一批列入强制性认证目录的产品包括电线电缆、开关、低压电器、电动工具、家用电器、音视频设备、信息设备、电信终端、机动车辆、医疗器械、安全防范设备等。
3C认证是我国新的安全许可制度,统一并规范了原来的“CCIB认证”(CCIB为进口安全质量许可证)和“长城认证”(2004年5月1日废止),符合国际贸易通行规则,是我国质量认证体制与国际接轨的重要政策之一,既能从根本上强制企业提高管理水准和产品质量,又有利于建立公平、公正的市场准入秩序。
①3C标志。通过3C认证的企业可以使用与其认证证书内容相一致的认证标志,目前的“CCC” 认证标志分为四类,分别为:CCC+S(安全认证标志);CCC+F(消防认证标志);CCC+S&E(安全与电磁兼容认证标志);CCC+EMC(电磁兼容类认证标志)。如图1-2所示。企业可以将认证标志标示在产品、产品铭牌、包装物、产品说明书、出厂合格证上。需要注意的是,3C标志并不是质量标志,而只是一种最基础的安全认证,该标志只能说明它的某些指标代表了产品的安全质量合格,但并不意味着产品的使用性能也同样优异。
图1-2 3C标志类型
②3C认证模式:型式试验+初始公司审查+获证后监督。
③3C认证步骤。认证申请→型式试验→初始公司审查→获证后监督→标志使用。以中国质量认证中心(CQC)的3C强制产品认证流程为例,如图1-3所示。
图1-3 3C强制产品认证流程
(2)UL认证
UL是美国保险商实验室(Underwrites Laboratories Inc.)的简写,是一家产品安全测试和认证机构,成立于1894年,主要从事电气、电子设备、机械产品、灯具、建材、防火器材及化学品等公共安全方面的检验工作。UL标志是美国以及北美地区公认的安全认证标志,贴有这种标志的产品,就等于获得了安全质量信誉卡,其信誉程度已被广大消费者所接受。因此,UL标志已成为有关产品(特别是机电产品)进入美国以及北美市场的一个特别的通行证。
UL作为一个独立的第三方检验机构,目前在美国本土有五个实验室,总部设在芝加哥北部的Northbrook镇,同时在我国台湾和香港分别设立了相应的实验室。在美国,对消费者来说UL就是安全标志的象征。在全球,UL是制造厂商最值得信赖的合格评估提供者之一。
①UL标志。
UL标志分为3类,分别是列名、分级和认可标志(如图1-4所示),这些标志的主要组成部分是UL的图案,它们都注册了商标,分别应用在不同的服务产品上,是不通用的。某个公司通过UL认可,并不表示该企业的所有产品都是UL产品,只有佩带UL标志的产品才能被认为是UL跟踪检验服务下生产的产品。UL是利用在产品上或产品相关地使用的列名、分级、认可标志来区分UL产品。
图1-4 UL标志类型
UL的三种标志是UL用来区分跟踪检查服务类型的一种方法,区别在于:
a.列名:一般讲,列名仅适用于完整的产品以及有资格的人员进行现场安装和更换的机器和装置(如:家用电器、医疗设备、计算机、商业设备,以及在建筑物中作用的各类电气产品如配电系统、保险丝、电线、开关和其他电气构件等)经UL列名的产品,通常可以在每个产品上标上UL的列名标志。
b.分级:分级服务仅对产品的特定危害进行评价,或者对执行UL标准以外的国际标准方面进行评价。一般情况下进行分级服务的产品多为工业或商业用的产品而非消费品。UL的产品分级标志表明:产品经UL鉴定是有一定的条件限制和规定范围的。
c.认可标志:是UL认可服务里的一种,其鉴定的产品只能用在UL列名、分级或其他认可的产品上作为零部件或者原材料。认可产品在结构上并不完整,或者在用途上有一定的限制以保障达到预期的安全性。
②UL认证申请流程。
a.咨询UL或代理认证机构进行预申请产品方面的信息交流;
b.申请人递交公司及产品资料;
c.UL根据产品资料作出决定,UL提供正式的申请书和协议书等;
d.申请人汇款,寄回申请表、协议书及样品;
e.UL测试启动;
f.UL发出合格报告和跟踪服务细则(PSP);
g.UL进行首次工厂检查(IPI);
h.审查结果,同时UL出具工厂审查报告及相关文件;
i.UL发放认证合格证书,申请人获得UL标志;
j.UL根据跟踪服务协议进行定期的监督。
③UL认证申请注意事项。
a.预申请产品须准备的资料有:产品所使用的所有零部件和材料(包括生产商、型号、数量、尺寸、额定值等)以及是否为UL认可或列名。对于所有的聚合材料,要求指明材料的种类名、生产商、型号,产品有关的电路图、接线图、设计图和/或产品照片、说明书等。
b.大概性地了解从申请、拿到证书到授权使用标志的时间,以便安排。一般情况下,从申请到拿到证书3个月左右,费用6万元左右。
c.认证产品生产过程中必须对产品100%检验绝缘阻抗、电磁兼容、低压、漏电,并保持检测记录。
d.建立质量保证体系,保障产品的一致性,一般情况下,若工厂有通过ISO 9001认证,只需在体系中增加《产品一致性管理控制程序》《UL标志管理控制程序》,同时在《质量手册》中增加关于UL认证产品方面的信息即可。
e.UL工厂现场检查时,工厂做好与现场审核员的沟通交流工作,因为UL工厂现场检查是不定期和不预先通知的。
f.工厂要指定相应UL质量责任人。
(3)CE认证
“CE”标志也是一种安全认证标志(如图1-5所示),被视为制造商打开并进入欧洲市场的护照。凡是贴有“CE”标志的产品就可在欧盟各成员国内销售,无须符合每个成员国的要求,从而实现了商品在欧盟成员国范围内的自由流通。
图1-5 CE标志
①CE标志。在欧盟市场“CE”标志属强制性认证标志,不论是欧盟内部企业生产的产品,还是其他国家生产的产品,要想在欧盟市场上自由流通,就必须加贴“CE”标志,以表明产品符合欧盟《技术协调与标准化新方法》指令的基本要求。这是欧盟法律对产品提出的一种强制性要求。
近年来,在欧洲经济区(欧洲联盟、欧洲自由贸易协会成员国,瑞士除外)市场上销售的商品中,CE标志的使用越来越多,CE标志加贴的商品表示其符合安全、卫生、环保和消费者保护等一系列欧洲指令所要表达的要求。
②CE标志的意义。表示加贴CE标志的产品符合有关欧洲指令规定的主要要求,并用以证实该产品已通过了相应的合格评定程序和/或制造商的合格声明,真正成为产品被允许进入欧盟市场销售的通行证。有关指令要求加贴CE标志的工业产品,没有CE标志的,不得上市销售,已加贴CE标志进入市场的产品,发现不符合安全要求的,要责令从市场收回,持续违反指令有关CE标志规定的,将被限制或禁止进入欧盟市场或被迫退出市场。
③厂商找第三方实验室申请CE认证的流程。
a.制造商相关实验室(以下简称实验室)提出口头或书面的初步申请。
b.申请人填写CE-marking申请表,将申请表、产品使用说明书和技术文件一并寄给实验室(必要时还要求申请公司提供一台样机)。
c.实验室确定检验标准及检验项目并报价。
d.申请人确认报价,并将样品和有关技术文件送至实验室。
e.申请人提供技术文件。
f.实验室向申请人发出收费通知,申请人根据收费通知要求支付认证费用。
g.实验室进行产品测试及对技术文件进行审阅。
h.技术文件审阅包括:文件是否完善、文件是否按欧盟官方语言(英语、德语或法语)书写。
i.如果技术文件不完善或未使用规定语言,实验室将通知申请人改进。
j.如果试验不合格,实验室将及时通知申请人,允许申请人对产品进行改进。如此,直到试验合格。申请人应对原申请中的技术资料进行更改,以便反映更改后的实际情况。
k.第i、j条所涉及的整改费用,实验室将向申请人发出补充收费通知。
l.申请人根据补充收费通知要求支付整改费用。
m.实验室向申请人提供测试报告或技术文件(TCF),以及CE符合证明(COC)和CE标志。
n.申请人签署CE保证自我声明,并在产品上贴附CE标志。