导图社区 体系认证工作复盘
- 110
- 1
- 0
- 举报
体系认证工作复盘
这是一篇关于体系认证工作复盘的思维导图,主要内容有认证申请、材料准备、组织实施、现场迎审、问题整改、获取证书等。
编辑于2022-12-27 10:21:16 江苏省- 工作复盘
- 相似推荐
- 大纲
IS09001、ISO45001、ISO27922体系认证 认证范围:模拟仿真训练系统软件、海洋环境信息系统应用软件的开发 国泰认证(山东)有限公司 有效期2025年09月04日
认证申请
首次认证
认证公司合同
认证申请表
承诺书
由咨询公司传递扫描件
企业基础资料同Ⅰ,原有体系文件
监督审核
23.8.24前完成第1次监督审核(每年1次,2次),至少提前1月审核机构会联系公司,具体情况待定
材料准备
Ⅰ.企业基础资料 (体系管理部汇总)
1.公司简介
体系管理部
适用时更新
2.主要业务介绍
体系管理部
适用时更新
3.营业执照
总经办
有效期内
4.员工花名册(25人)
体系管理部、人力资源部
年度更新
5.组织机构图
管理层、体系管理部、综合部、客户业务中心、研发部、财务部
适用时更新
6.确定迎审项目及负责人
研发部
年度更新
Ⅱ.体系文件 (体系管理部)
1-1 管理手册(1)
适用时更新
1-2 售后服务手册(1)
适用时更新
2 程序文件(34待整理)
适用时更新(23年)
3 管理制度(1)
适用时更新
Ⅲ.过程记录 (体系管理部汇总)
1.内外部因素
1.内外部因素分析表
年度更新
2.相关方需求和期望
1相关方的需求和期望识别表
年度更新
3.风险和机遇
1 风险和机遇评估分析表
年度更新2023
2.SWOT分析报告
年度更新
4.目标、管理方案
1.质量、售后目标管理方案
适用时更新2023
2.目标分解及考核
年度更新2023
3.年度目标分解及月度汇总
年度更新2022、2023
5.基础设施 综合部
1.设备清单
年度更新
2.维护保养计划
年度更新2023
3.保养记录
年度更新
4.灭火器检查点检表---现场张贴或悬挂
年度更新
6.监视和测量设备 项目组
1.监视测量设备
年度更新
2.测试软件确认记录
年度更新
7.能力 综合部(人力?)
1.培训计划
年度更新2022、2023
2.培训记录表
年度更新2022、2023
3.员工能力确认记录
年度更新
4.员工职称证书等
根据需要现场提供
8.沟通
1.相关方告知书
年度更新
9.文件
1.记录一览表
年度更新2023
2.文件一览表
年度更新2023
3.受控文件发放表
年度更新
4会议记录(文件评审)
年度更新
5.组织内外部知识清单
年度更新
10.运行策划和控制
1.安全费用投入清单 财务部
年度更新
发票等证据准备
2.安全运行控制检查记录
年度更新
11.产品和服务的要求 客户业务中心
1.合同台账
OA查看
2.当年销售合同实例
3份
3.对应2合同评审
OA下载PDF
12.应急准备和响应
1 应急准备和响应预案
年度更新
2.火灾应急预案演练记录
年度更新
13.设计与开发
同Ⅳ.项目材料,现场提供书面材料
年度更新
14.供方 综合部(采购)
1.合格供应商档案目录
OA查看
2.当年采购合同实例
3份
3.对应2合格供应商档案实例
OA查看或下载PDF
4.对应2合格供应商准入实例
OA下载PDF
15.特殊过程
1.特殊过程明细表--待补充?
年度更新2023
2.过程确认报告
年度更新
16.顾客满意(可按实际提供) 客户业务中心
1.顾客满意度调查表
年底更新(与GJB9000共用资料,包括研发部软件顾客)
2 顾客满意度汇总分析报告
年底更新(与GJB9000共用资料,包括研发部软件顾客)
17.合规性评价
1.适用法律法规清单 - 质量、售后
年度更新
2.适用法律法规清单-职业健康安全
年度更新
3. 合规性评价报告
年度更新
18.内审
1 年度内部审核计划
年度更新
2 内审会议签到表
年度更新
3 内部审核报告
年度更新
4 内部审核不符合项报告
年度更新
5.内部审核检查记录表(汇总)
年度更新
6 审核组长(成员)任命书
年度更新
7.售后体系~2022内审记录汇编
年度更新
19.管理评审
1 管理评审计划
年度更新
2 管理评审输入资料
年度更新
3 管理评审会议签到表
年度更新
4 部门管评汇报
年度更新2023目标保持一致
5 管理评审报告
年度更新
6.售后体系~管理评审
年度更新
20.危险源清单
1.危险源辨识评价表
年度更新
2.不可接受风险清单
年度更新
3.不可接受风险管理方案
年度更新
21.绩效分析与评价
1.质量绩效分析评价报告
年度更新
Ⅳ.售后材料 (体系管理部汇总)
1.服务管理师证件(3人,目前未获得)
体系管理部
2.售后维护方案/计划?
项目组或客户业务中心
3.售后维护确认单等售后维护记录
项目组或客户业务中心
Ⅴ.项目材料 (研发部) 审核方向的项目数量
P1:
已交付项目,内容参考右侧目录
P2:
已交付项目,同P1
P3:
进行中项目,到需求分析阶段就可以
目录参考
合同、技术要求、需求沟通记录等(甲方签字认可)
软件需求说明书(客户需求分析评审表)
需求评审
立项报告
设计开发计划/任务书(谁什么时候做什么事)
详细设计说明书(设计开发输入清单)
设计开发评审报告
变更记录
配置管理记录
问题记录汇总(BUG清单)
系统测试计划
系统测试用例(单元测试)
系统测试报告(项目总结报告)
发货清单
客户培训(培训方案、培训记录)
客户验收报告
用户手册
软件编码规范
软件测试规范
运行维护记录
组织实施
接收审核通知T1
由咨询公司协调
与审核组长沟通,按要求提供材料T1+3
与审核组长沟通,按要求提供材料Ⅰ
获取审核计划T1+5
与审核组长沟通,获取审核时间T2
召开迎审启动会T1+10
组织各部门提供审核资料,具体见材料准备Ⅱ、Ⅲ、Ⅳ、Ⅴ
确定迎审计划T2-7
建群,与迎审人员一一沟通
审核资料确认T2-5
文件打印装订、各部门材料确认合格
现场迎审
一阶段现场审核
获取接待工作信息T2-5
与综合部确认接待事宜
首次会T2
会议签到
实施审核、问题记录
现场陪审、根据审核老师要求提供资料及组织相关人员访谈
末次会T2
会议签到、不符合项确认、审核报告、审核结论
二阶段现场审核
首次会T2
会议签到
实施审核、问题记录
现场陪审、根据审核老师随时提供资料及相关人员访谈
末次会T2+1
会议签到、不符合项确认、审核报告、审核结论
问题整改
填写不符合项报告、收集整改证据材料
邮寄整改材料
获取证书
审核机构邮寄证书至咨询公司
咨询公司传递认证证书
适用时更新:最短更新周期为1年,如无变化不需更新 年度更新:每日历年更新1次,建议6月中旬开始准备,时间参考上1年时间 绿星:代表需要外部门配合的工作
GB/T22080/IS027001体系认证 认证范围:计算机软件开发的相关的信息安全管理 新世纪检验认证有限责任公司 有效期2025年8月29日
认证申请
首次认证
管理体系认证合同
管理体系认证申请书
远程审核申请说明
信息安全及基于ISOIEC20000-1的服务管理体系保密协议
由咨询公司传递扫描件
企业基础资料同Ⅰ
监督审核
23.8.23前完成第1次监督审核(每年1次,2次),至少提前1月审核机构会联系公司,具体情况待定
材料准备
Ⅰ.企业基础资料 (体系管理部汇总)
1.公司简介
体系管理部
适用时更新
2.主要业务介绍
体系管理部
适用时更新
3.营业执照
总经办
有效期内
4.员工花名册(25人)
体系管理部、人力资源部
年度更新
5.组织机构图
管理层、体系管理部、综合部、客户业务中心、研发部、财务部
适用时更新
6.确定迎审项目及负责人
研发部
年度更新
Ⅱ.体系文件 (体系管理部)
1 管理手册(4)
信息安全管理体系手册
适用时更新
信息安全适用性声明SOA
适用时更新
信息安全告知书
适用时更新
信息安全策略
适用时更新
2 程序文件(30)
适用时更新
3 作业文件(17)
适用时更新
Ⅲ.记录文件 (体系管理部汇总)
IS4.1内外部因素识别表
1.组织现状及所处环境分析报告
年度更新2023
IS4.2 相关方需求和期望
1.相关方需求和期望识别表
年度更新
IS6.1应对风险和机遇的措施
1 风险和机遇评估分析表
年度更新
IS6.2 信息安全目标
1.目标考核表-信息安全
年度更新2022、2023
IS7.2 能力 综合部(人力)
1.年度培训计划表
年度更新
2.员工能力确认记录
年度更新
3.培训记录表
年度更新2022、2023
IS7.5 文件
1.记录一览表
适用时更新
2.文件一览表
适用时更新
3.管理文件审批表
适用时更新
4.记录借阅登记表
适用时更新
5.文件发放回收一览表
年度更新
6.文件销毁记录表
适用时更新
7.文件修改通知单
适用时更新
IS8.2信息安全风险评估
0.信息安全风险评估计划
年度更新
1.资产清单
年度更新
2.重要资产清单
年度更新
3.信息安全风险评估表
年度更新
4.信息安全风险评估报告
年度更新
IS8.3 信息安全风险处置
1.信息安全风险处理计划
年度更新
2.信息安全剩余风险确认报告
年度更新
IS9.2 内部审核
1 内部审核计划
年度更新
2 内部审核方案
年度更新
3 内审会议签到表
年度更新
4 内部审核报告
年度更新
5 内部审核不符合项报告
年度更新
6 审核组长(成员)任命书
年度更新
7 内部审核检查表(汇总)
年度更新
IS9.3 管理评审
1.管理评审通知单
年度更新
2 管理评审计划
年度更新
3.管理评审会议记录
年度更新2023目标保持一致
4.管理体系运行情况报告
年度更新
5 管理评审报告
年度更新
6 管理评审会议签到表
年度更新
IS10.2 持续改进
1.信息安全分析报告
年度更新
2.纠正与预防措施报告
年度更新
A6.1.1 信息安全的角色和责任
1.信息安全专家名单
适用时更新
员工保密协议(3份)
已有,适用时更新
A6.1.3 与职能机构的联系
1.职能机构一览
适用时更新
2.第三方工作记录单
年度更新
3.第三方逻辑访问申请授权表
年度更新
A6.1.4 与相关方的联系
特定相关方一览表
适用时更新
A9.2 用户访问管理
1.系统访问权限说明书
年度更新2023
2.用户访问授权申请表
年度更新
3.访问权限评审记录
年度更新
A15 供应商管理 综合部
1.供应商一览表
年度更新
2.合同实例3份
适用时更新
3.对应2合格供应商评审表
年度更新
4.供应商保密协议
适用时更新(基本都在合同中规定保密条款)
A17 业务持续性管理
1.业务连续性管理计划-内部网络中断
年度更新2023
2.业务连续性计划(火灾)
年度更新
3.业务连续性和影响分析报告
年度更新
4.业务连续性计划测试报告
年度更新
5.业务连续性计划评审报告
年度更新2023
信息安全程序相关记录
002-信息分类管理程序
涉密文件复印登记表
年度更新
涉密文件保管一览表
年度更新
003-知识产权管理程序
知识产权一览表
年度更新
知识产权声明书
年度更新
009-安全区域管理程序
1.[HCDH-IR-013]第三方逻辑访问申请授权表
年度更新
2.[HCDH-IR-007]第三方工作记录单
年度更新
3.[HCDH-IR-015]重要安全区域访问审批表
年度更新
4.[HCDH-IR-110]重要安全区域控制方案
年度更新
011-计算机管理程序
1.[HCDH-IR-054]涉密计算机设备审批表
年度更新
2.[HCDH-IR-072]计算机配置明细表
年度更新
3.[HCDH-IR-097]涉密计算机安全保密责任书
年度更新
013-恶意软件管理程序
[HCDH-IR-018]人工查杀病毒记录表 - 用户端
年度更新
014-可移动介质管理程序
1.[HCDH-IR-012]可移动介质处置审批表
年度更新
2.[HCDH-IR-021]可移动介质使用登记表
年度更新
016-信息处理设施安装使用管理程序
[HCDH-IR-089]信息处理设施一览表
年度更新
018-信息处理设施维护管理程序
[HCDH-IR-029]设备技术资料清单
年度更新
[HCDH-IR-072]机密信息清除记录
年度更新
[HCDH-IR-091]设施报废记录
年度更新
网络设备安全配置表
年度更新
信息处理设施一览表-路由器、交换机等
年度更新
019-信息系统访问与使用监控管理程序
[HCDH-IR-093]在线信息发布申请表
年度更新
[HCDH-IR-096]日志审核记录
年度更新
[HCDH-IR-120]故障日志记录
年度更新
[HCDH-IR-120]故障日志记录
年度更新
021-信息安全测量管理程序
[HCDH-IR-098]信息系统日常点检记录
年度更新
030-法律法规管理程序
1.法律法规清单
年度更新
2.法律法规符合性评价
年度更新
3.通用法律法规文件夹
适用时更新
4.体系相关法规文件夹
适用时更新
Ⅳ.各部门材料 (审核时可提供即可) (体系管理部汇总)
管理层
营业执照
总经办
高新技术企业证书
总经办
最新3份软件著作权等其他资质证书
总经办
年度更新
CMMI证书
体系管理部
ISO9001证书
体系管理部
开户许可证
财务部
已有复印件
行政 (综合部)
办公场所租赁或购买合同
适用时更新
网络采购协议
适用时更新
人事 (人力资源部)
人事档案电子版文件截图
年度更新
两个当年新入职的员工档案(包括劳动合同、保密协议、新入职员工背景调查表、毕业证复印件、资质或职称证书复印件、入职审批表等)
年度更新
两个当年新离职的员工档案(包括劳动合同、保密协议、毕业证复印件、资质或职称证书复印件、离职审批表等)
年度更新
公司员工具有相应资质能力证明(职称证书或培训合格证书)
适用时更新
与招聘网站/合作方的合作协议/合同
适用时更新
公司员工培训的资料(包括培训签到、培训内容和培训计划等)
同IS7.2能力
网管 (总经办于涛)
网络拓扑图
适用时更新
财务软件权限分配截图
年度更新
财务数据备份文件截图
年度更新
公司机房的网络设备管理情况
年度更新
服务器日志截图
年度更新
服务器备份策略和服务器备份文件截图
年度更新
采购
当年度合格供应商名单
合格供应商评价资料
相应的采购合同2-3份
同A15供应商管理
财务 (财务部)
财务软件的名称和财务软件登录界面(输完用户名和密码后截图)、税控盘的背面照片、报税系统界面截图、发票开具系统界面截图
已有电子版
适用时更新
运维项目的预算核算表
暂无?
年度更新
销售 (客户业务中心)
能覆盖认证范围的销售合同2-3份(当年的)
针对2-3个客户上一年度做的满意度调查
年度客户满意度统计分析表
同三体系准备材料
Ⅴ.项目材料 (研发部)
P1:
半年内已交付项目,内容参考右侧目录
P2:
进行中项目,到需求评审阶段就可以
目录参考
合同、技术要求、需求沟通记录等(甲方签字认可)
软件需求说明书(客户需求分析评审表)
需求评审
立项报告/通知书
设计开发计划/任务书(谁什么时候做什么事)
软件测试规范
系统测试报告(项目总结报告)
客户验收报告
客户培训(培训方案、培训记录)
用户手册
组织实施
接收审核通知T1
由咨询公司协调
与审核组长沟通,按要求提供材料T1+3
与审核组长沟通,按要求提供材料Ⅰ
获取审核计划T1+5
与审核组长沟通,获取审核时间T2,T3
召开迎审启动会T1+10
组织各部门提供审核资料,具体见材料准备Ⅱ、Ⅲ、Ⅳ、Ⅴ
确定迎审计划T2-7
建群,与迎审人员一一沟通
审核资料确认T2-5
文件打印装订、各部门材料确认合格
现场迎审
一阶段远程审核
首次会T2
会议截图拍照
实施审核、问题记录
参加会议、根据审核老师要求提供资料及组织相关人员访谈
末次会T2
会议截图拍照、审核结论
二阶段现场审核
获取接待工作信息T3-5
与综合部确认接待事宜
首次会T3
会议签到
实施审核、问题记录
现场陪审、根据审核老师要求提供资料及组织相关人员访谈
末次会T3+1
会议签到、不符合项确认、审核报告、审核结论
问题整改
填写不符合项报告、收集整改证据材料
邮寄整改材料
获取证书
审核机构邮寄证书、审核报告至咨询公司
咨询公司传递认证证书及审核报告
浮动主题
适用时更新:最短更新周期为1年,如无变化不需更新 年度更新:每日历年更新1次,建议6月中旬开始准备,时间参考上1年时间 绿星:代表需要外部门配合的工作
信息系统建设和服务能力评估 CS1级 认证范围:计算机软件开发的相关的信息安全管理 北京赛迪认证中心有限公司 有效期2026年7月日
中国电子信息联合会入会
1.中国电子信息行业联合会入会申请表-电子版
电子邮件协会初审通过
2.中国电子信息行业联合会入会申请表扫描版+营业执照复印件
电子邮件协会
3.缴纳会费
协会回寄发票
4.协会网站公布会员单位,并回寄会员证书
评估申请及材料准备
0.申请表
信息系统建设和服务能力评估(CS1)合同
初次评估
信息系统建设和服务能力评估申请表
监督审核
24.1.15前完成第1次监督审核(每1年半1次,2次),具体情况待定
咨询公司不负责监督审核
1.信息系统建设和服务能力评估-申请表附表 (所有附表中对应证据都要收集)
附表1-近三年完成的项目汇总表
客户业务中心
包括对应合同、交付材料等
适用时更新
附表2-项目信息汇总表
客户业务中心
包括对应合同、交付材料等
适用时更新
附表3-财务数据表
财务部
适用时更新
附表4-基础保障信息表
综合部、人力资源部
包括社保证明、项目管理人员证书
适用时更新
附表5-近三年取得自主知识产权产品信息表
总经办
适用时更新
附表6-管理信息系统列表
总经办
适用时更新
附表7-体系证书、科技奖励、技术中心及标准参与情况汇总表
总经办、体系管理部
适用时更新
2.信息系统建设和服务能力评估体系能力要求-企业自查表
暂无此表
3.其他附件材料(CS1)
战略管理
营业执照扫描件(PDF)
总经办
首个信息系统建设和服务项目扫描件(PDF)
合同,交付记录单等,客户业务中心
近三年财务报表扫描件(PDF)
财务部
基础保障
办公及研发场所规模证明(房产证明或租赁合同)扫描件(PDF)
综合部
4.其他
主要股东或出资人信息表
已有
组织实施
接收审核通知T1
由咨询公司协调
按要求提供材料T1+7
组织各部门提供审核资料T1+7
按要求提供材料0.1.2.3.4.
与审核组长沟通,获取审核计划T1+10
与审核组长沟通,获取审核时间T2
确定迎审计划T2-7
建群,与迎审人员一一沟通
实施评估
初次远程审核
首次会T2
会议截图拍照
实施审核、问题记录
参加会议、根据审核老师要求提供资料
末次会T2
会议截图拍照、审核结论、审核报告、审核结论
文件评审报告
现场评估问题报告
问题整改
填写不符合项报告、收集整改证据材料
传递扫描版整改材料
获取证书
审核机构邮寄证书至咨询公司
咨询公司传递认证证书
适用时更新:最短更新周期为1年,如无变化不需更新 绿星:代表需要外部门配合的工作