(一)領導決策與準備 組織要建立職業健康安全(環境)管理體系，首先需要較高管理者做出遵守有關法律、法規和其他要求的承諾和實現持續改進的承諾，這對管理者來說是一個十分重要的決策。??在建立、實施和運行管理體系的活動過程中，不可避免的需要投入，在體系建立和實施的初期尤其如此，較高管理者必須為此提供必要的資源保障。?? (二)成立工作小組 當組織的較高管理者決定建立職業健康安全和／或環境管理體系后，首先要從組織上給予落實和保證，通常需要成立一個工作小組。??工作小組的主要任務是負責建立職業健康安全(環境)管理體系。工作小組的成員來自組織內部各個部門，工作小組的成員將成為組織今后職業健康安全(環境)管理體系運行的骨干力量。??工作小組組長最好是將來的管理者代表，或者是管理者代表之一。??工作小組的規模大小可視組織規模、管理水平和人員素質等因素來決定，可專職也可兼職，可以是一個獨立機構也可以掛靠在某個部門。 (三)貫標培訓 工作小組在開展工作之前，應接受職業健康安全(環境)管理體系標準及相關知識的培訓。????同時，對組織體系運行所需要的內審員也要進行相應的培訓。培訓要分層次、分階段、循序漸進地進行，必須注意對全體員工都進行有針對性的培訓，根據不同的培訓對象，可能采取不同的培訓方式，而培訓內容和側重點也可能會有所不同。?? (四)初始狀態評審 初始狀態評審是建立職業健康安全和環境管理體系的基礎。??其主要目的是了解組織的職業健康安全與環境的管理現狀，為組織建立管理體系搜集信息并提供依據。組織應為此專門成立一個評審小組，評審小組可由組織的內部員工組成，也可外請咨詢人員，或是兩者兼而有之。??評審小組應對組織過去和現在的職業健康安全和環境的信息、狀態進行收集、調查與分析，識別和獲取現有的適用于組織的職業健康安全和環境的法律、法規、標準和其他要求。??這些結果將作為建立和評審企業的職業健康安全與環境的方針，制定管理方案、確定體系的優先項以及編制體系iso三體系認證和建立體系的基礎。???? 初始狀態評審的主要內容包括： (1)明確適用的法律、法規及其他要求，并評價組織的職業健康安全(環境)行為與法律、法規及其他要求的符合性； (2)識別和評價組織活動、iso三體系認證或服務過程中的危險因素，特別是重大危險因素； (3)審查所有現行職業健康安全(環境)活動與程序，評價其有效性； (4)對以往事件、事故以及糾正、預防措施進行調查與評審。

一、項目前期準備階段 目的：充分體現領導作用和全員參與的原則，確保各個層面意識到信息安全管理體系的必要性和管理層的決心
二、現場調研診斷 目的：了解組織的現狀，尋找與ISO27001標準的差距
三、人員培訓 目的：提升各級領導和全員的信息安全意識，使內審員具備相應能力
四、整合體系iso三體系認證架iso認證 目的：策劃覆蓋各個業務流程的系統的iso三體系認證化程序。
五、確定信息安全方針和目標 目的：明確信息安全方針和目標，為信息安全管理體系提供導向。
六、建立管理組織機構 目的：建立完善的內控組織架構，為整合體系提供支持。
七、信息安全風險評估 目的：實施風險評估，識別不可接受風險，明確管理目標；
八、信息安全管理體系iso三體系認證編寫 目的：建立iso三體系認證化的信息安全管理體系。
九、信息安全管理體系記錄的iso認證
十、信息安全管理體系iso三體系認證審核 目的：確保ISMS信息安全管理體系iso三體系認證的系統性、有效性和效率。 十
一、信息安全體系iso三體系認證發布實施 目的：發布ISMS信息安全管理體系iso三體系認證，落實管理要求。 十
二、組織全員進行iso三體系認證學習 目的：確保信息安全管理體系iso三體系認證要求在各個層級、各個崗位均得到有效的溝通和理解。 十
三、業務連續性管理 目的：確保在任何情況下，核心業務均可保持提供連續提供服務的能力。 十
四、審核培訓及內審 目的：實施內部審核，發現信息安全管理體系運行中的不符合，尋找改進的機會。 十
五、管理體系有效性測量 目的：根據量化指標，測量信息安全管理體系的有效性。 十
六、管理評審 目的：將體系運行過程中的成效和問題向管理層匯報，由較高管理者提出改進的要求和資源的支持。 十
七、認證咨詢機構正式審核 目的：由第三方權威機構審核信息安全管理體系的有效性。 十
八、參考資料 iso27001認證咨詢流程：stxrz/iso27001/194
5

信息安全管理體系，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表等要素的集合。

一、主要作用：

1、信息安全管理體系，是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系；

2、體系一旦建立組織應按體系規定的要求進行運作，保持體系運作的有效性；

3、信息安全管理體系應形成一定的iso三體系認證，即組織應建立并保持一個iso三體系認證化的信息安全管理體系，其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。

二、相關應用：

主要是在PDCA上面的應用，何為PDCA？

1、計劃（Plan）——根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施；

2、實施（Do）——實施所選的安全控制措施；

3、檢查（Check）——依據策略、程序、標準和法律法規，對安全措施的實施情況進行符合性檢查；

4、改進（Action）——根據ISMS審核、管理評審的結果及其他相關信息，采取糾正和預防措施，實現信息安全管理體系的持繼改進。

? 系統地識別和管理組織所應用的過程以及過程之間的相互作用，稱為“過程方法”。所謂“過程”是一組將輸入轉化為輸出的相互關聯或相互作用的活動。ISO27001采用過程方法建立信息安全管理體系可以保證該體系得到順利地建立、實施、維持和持續改進，并且能夠保證和質量管理體系(ISO 9001)、環境管理體系(ISO 14001)等兼容，降低了管理的總體復雜程度。過程方法鼓勵其用戶關注下列內容的重要性：□ 了解信息安全要求，以及為信息安全建立方針和目標的需求；□ 實施并運作管理組織所有業務風險的控制；□ 監控并評審信息安全管理體系的效率和含金量；□ 在目標測量的基礎上持續改進。什么是過程模式？PDCA是Plan、Do、Check、Act的首字母縮寫。PDCA模式是被質量管理體系(ISO 9001)、環境管理體系(ISO 14001)等管理體系所廣泛采用的一種過程模式，這種模式在識別和運作過程時，把過程分為策劃(Plan)、實施(Do)、檢查(Check)、處置(Act)四個階段，通過這四個階段的持續循環，使過程含金量得到不斷提升。 ISO27001采用PDCA過程模式，在體系的整體建立、實施、維持和持續改進的大過程中PDCA的階段分布可簡單描述如下(見下圖)： 策劃（建立ISMS）建立與管理風險和改進信息安全有關的信息安全管理體系方針、目標、過程和程序，提供與組織整體策略方針和目標相一致的結果。實施（實施和運行ISMS） 實施和運行信息安全方針、控制措施、過程和程序。> 檢查（監視和評審ISMS）對照信息安全管理體系方針、目標和實踐經驗，評估并在適當時，測量過程業績，并將結果報告管理者以供評審。

? 系統地識別和管理組織所應用的過程以及過程之間的相互作用，稱為“過程方法”。所謂“過程”是一組將輸入轉化為輸出的相互關聯或相互作用的活動。iso27001采用過程方法建立信息安全管理體系可以保證該體系得到順利地建立、實施、維持和持續改進，并且能夠保證和質量管理體系(iso 9001)、環境管理體系(iso 14001)等兼容，降低了管理的總體復雜程度。過程方法鼓勵其用戶關注下列內容的重要性：□ 了解信息安全要求，以及為信息安全建立方針和目標的需求；□ 實施并運作管理組織所有業務風險的控制；□ 監控并評審信息安全管理體系的效率和含金量；□ 在目標測量的基礎上持續改進。什么是過程模式？pdca是plan、do、check、act的首字母縮寫。pdca模式是被質量管理體系(iso 9001)、環境管理體系(iso 14001)等管理體系所廣泛采用的一種過程模式，這種模式在識別和運作過程時，把過程分為策劃(plan)、實施(do)、檢查(check)、處置(act)四個階段，通過這四個階段的持續循環，使過程含金量得到不斷提升。 iso27001采用pdca過程模式，在體系的整體建立、實施、維持和持續改進的大過程中pdca的階段分布可簡單描述如下(見下圖)： 策劃（建立isms）建立與管理風險和改進信息安全有關的信息安全管理體系方針、目標、過程和程序，提供與組織整體策略方針和目標相一致的結果。實施（實施和運行isms） 實施和運行信息安全方針、控制措施、過程和程序。> 檢查（監視和評審isms）對照信息安全管理體系方針、目標和實踐經驗，評估并在適當時，測量過程業績，并將結果報告管理者以供評審。

信息安全管理體系，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表等要素的集合。
一、主要作用：
1、信息安全管理體系，是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系；
2、體系一旦建立組織應按體系規定的要求進行運作，保持體系運作的有效性；
3、信息安全管理體系應形成一定的iso三體系認證，即組織應建立并保持一個iso三體系認證化的信息安全管理體系，其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。
二、相關應用： 主要是在pdca上面的應用，何為pdca？
1、計劃（plan）——根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施；
2、實施（do）——實施所選的安全控制措施；
3、檢查（check）——依據策略、程序、標準和法律法規，對安全措施的實施情況進行符合性檢查；
4、改進（action）——根據isms審核、管理評審的結果及其他相關信息，采取糾正和預防措施，實現信息安全管理體系的持繼改進。

信息安全管理體系，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表等要素的集合。

一、主要作用：

1、信息安全管理體系，是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系；

2、體系一旦建立組織應按體系規定的要求進行運作，保持體系運作的有效性；

3、信息安全管理體系應形成一定的iso三體系認證，即組織應建立并保持一個iso三體系認證化的信息安全管理體系，其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。

二、相關應用：

主要是在PDCA上面的應用，何為PDCA？

1、計劃（Plan）——根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施；

2、實施（Do）——實施所選的安全控制措施；

3、檢查（Check）——依據策略、程序、標準和法律法規，對安全措施的實施情況進行符合性檢查；

4、改進（Action）——根據ISMS審核、管理評審的結果及其他相關信息，采取糾正和預防措施，實現信息安全管理體系的持繼改進。

? 系統地識別和管理組織所應用的過程以及過程之間的相互作用，稱為“過程方法”。所謂“過程”是一組將輸入轉化為輸出的相互關聯或相互作用的活動。ISO27001采用過程方法建立信息安全管理體系可以保證該體系得到順利地建立、實施、維持和持續改進，并且能夠保證和質量管理體系(ISO 9001)、環境管理體系(ISO 14001)等兼容，降低了管理的總體復雜程度。過程方法鼓勵其用戶關注下列內容的重要性：□ 了解信息安全要求，以及為信息安全建立方針和目標的需求；□ 實施并運作管理組織所有業務風險的控制；□ 監控并評審信息安全管理體系的效率和含金量；□ 在目標測量的基礎上持續改進。什么是過程模式？PDCA是Plan、Do、Check、Act的首字母縮寫。PDCA模式是被質量管理體系(ISO 9001)、環境管理體系(ISO 14001)等管理體系所廣泛采用的一種過程模式，這種模式在識別和運作過程時，把過程分為策劃(Plan)、實施(Do)、檢查(Check)、處置(Act)四個階段，通過這四個階段的持續循環，使過程含金量得到不斷提升。 ISO27001采用PDCA過程模式，在體系的整體建立、實施、維持和持續改進的大過程中PDCA的階段分布可簡單描述如下(見下圖)： 策劃（建立ISMS）建立與管理風險和改進信息安全有關的信息安全管理體系方針、目標、過程和程序，提供與組織整體策略方針和目標相一致的結果。實施（實施和運行ISMS） 實施和運行信息安全方針、控制措施、過程和程序。> 檢查（監視和評審ISMS）對照信息安全管理體系方針、目標和實踐經驗，評估并在適當時，測量過程業績，并將結果報告管理者以供評審。

? 系統地識別和管理組織所應用的過程以及過程之間的相互作用，稱為“過程方法”。所謂“過程”是一組將輸入轉化為輸出的相互關聯或相互作用的活動。ISO27001采用過程方法建立信息安全管理體系可以保證該體系得到順利地建立、實施、維持和持續改進，并且能夠保證和質量管理體系(ISO 9001)、環境管理體系(ISO 14001)等兼容，降低了管理的總體復雜程度。過程方法鼓勵其用戶關注下列內容的重要性：□ 了解信息安全要求，以及為信息安全建立方針和目標的需求；□ 實施并運作管理組織所有業務風險的控制；□ 監控并評審信息安全管理體系的效率和含金量；□ 在目標測量的基礎上持續改進。什么是過程模式？PDCA是Plan、Do、Check、Act的首字母縮寫。PDCA模式是被質量管理體系(ISO 9001)、環境管理體系(ISO 14001)等管理體系所廣泛采用的一種過程模式，這種模式在識別和運作過程時，把過程分為策劃(Plan)、實施(Do)、檢查(Check)、處置(Act)四個階段，通過這四個階段的持續循環，使過程含金量得到不斷提升。 ISO27001采用PDCA過程模式，在體系的整體建立、實施、維持和持續改進的大過程中PDCA的階段分布可簡單描述如下(見下圖)： 策劃（建立ISMS）建立與管理風險和改進信息安全有關的信息安全管理體系方針、目標、過程和程序，提供與組織整體策略方針和目標相一致的結果。實施（實施和運行ISMS） 實施和運行信息安全方針、控制措施、過程和程序。> 檢查（監視和評審ISMS）對照信息安全管理體系方針、目標和實踐經驗，評估并在適當時，測量過程業績，并將結果報告管理者以供評審。

質量管理自查與評價制度

1. 目的

為確保本單位所建立的質量管理體系的符合性和評價實施質量管理體系的有效性，建立自我監視和自我完善機制，以便能夠及時獲得有關體系和過程運作的信息，通過分析、評價，識別和確認所存在的問題，組織力量及時加以解決，確保質量管理體系的有效運行和對體系的不斷改進，從而提高發包方和相關方滿意度。

2. 適用范圍

適用于單位所建立的質量管理體系全過程的管理。

3. 職責

3.1管理者代表領導組織相關人員策劃并實施本單位質量管理體系所需的監視、測量、分析和改進過程。

3.2辦公室

3.
2.1為本程序的主控部門，負責監視、測量本程序的實施。

3.
2.2對本部門主控的過程進行監視和測量。

3.3 辦公室實施對本單位的過程進行監視和測量。

3.4其他部門、職能部門等負責本部門主控過程進行監視和測量。

4.工作程序

4.1過程的監視和測量

4.
1.1單位每年進行不少于四次質量大檢查。由辦公室組織質量檢查小組，由分管領導帶隊，對單位工程質量進行普查；檢查前下發檢查通知，檢查過程中認真做好記錄，針對發現的質量問題下達《不合格品整改通知單》，提出糾正意見和建議，檢查結束應進行總結，編發《質量檢查簡報》予以公布。

4.
1.2單位每年進行不少于四次安全工作大檢查。由辦公室組織安全管理檢查小組，由分管領導帶隊，對項目部安全工作進行檢查。對檢查過程中發現的安全隱患，下達《安全隱患整改通知單》，責令項目部