基于风险管理的信息安全管理体系建设及审核
摘 要:研究了风险管理在信息安全管理体系建设过程中的指导作用,提出了在信息安全管理体系建立和审核阶段结合风险管理思想的实现侧重点,指出了在具体ISMS审核环节的关注要点,这些建议对于信息安全管理体系的建设方和审核方都具有指导意义。
关键词:风险管理;信息安全管理体系;ISMS审核
随着经济全球化的发展,组织在业务开展过程中面临的风险日益增多。各类组织面对繁杂的经济社会环境和不断变化的法律法规、政策、技术变化,对提高组织的风险管理水平、建设信息安全管理体系、增强防范风险的能力有着迫切的需求。本文介绍了基于风险管理思想的信息安全管理体系策划和实施过程,并从第三方审核的角度对信息安全管理体系的建立要点进行了分析。这对组织信息安全管理体系建设具有积极的指导作用。
1 ISO 31000简介
ISO于2009年发布了《ISO 31000:2009风险管理——原则与指南》,最新版本为2018版。ISO 31000风险管理实践性指南是通用的安全风险管理标准,促使组织结合运用先进的风险管理理论和业界普遍的良好实践来实现组织的风险管理活动。该标准不局限于财务、人力资源、法务、信息安全等行业或业务,对组织运营过程全周期的所有业务都有指导作用。
相比于传统的风险管理方法,ISO 31000风险管理指南强调要充分考虑组织环境的变化,適应这种变化,在事前、事中积极应对风险,而不仅限于追责和修正式的事后反应。同时,ISO 31000建议将风险管理提升到组织业务方针的高度,不局限为某一风险管理部门的职责,更不能由各个部门割裂开来分别考虑局部的风险情况。
应用ISO 31000风险管理指南,组织可以识别冗余的控制,减少管理成本;在一定程度上提高组织识别和遵守法规和国际规范的能力;提高应对风险和利用机会的能力,改善组织配置资源的效率;提高组织的管理水平,促进相关方对组织的信任。
ISO 31000的风险管理框架高度抽象,由11项风险管理原则、6个风险管理框架组成部分和5个相关联的风险处理流程组成。指南从原则和方法论的高度,提出了风险管理原则和概念性的方法,对组织的风险体制提出了指导性意见,组织应用这个框架时要充分考虑组织自身的实际情况,结合业务具体流程,而不是简单套用ISO 31000的框架[1]。
2 ISMS简介
ISMS(information security management systems,信息安全管理体系)源于国际标准ISO/IEC 17799。2005年,国际标准化组织对该标准重新编号,规划为ISO/IEC 27002。目前该标准簇包括20多个标准,其中ISO/IEC 27001和ISO/IEC 27002被我国同等采用为GB/T 22080和GB/T 22081。这两个标准是协议簇中最重要的两个标准。建立ISMS管理体系,就是依据ISO/ IEC27000标准簇建立组织的信息安全管理体系[2-4]。
ISMS与其他风险评估评测制度的重要区别在于其实践性,关注信息系统在特定应用场景中的安全风险,是一种实践指南。
3 ISO 31000对ISMS的指导作用
ISO 31000指南应用广泛,ISMS的风险管理流程就是按照ISO 31000的风险框架实施的。ISO 31000的风险管理框架由5个相关联的风险处理流程组成,分别是风险管理框架的授权与承诺、设计、实施、监测评审和改进。这个框架与ISMS管理体系中的PDCA循环(计划、执行、检查、改进)本质上是一致的。
ISMS的风险管理流程可分为几个步骤,如图1。
信息安全风险管控流程主要分为风险评估和风险处置两个阶段。组织实施信息安全评估和风险处置的过程要满足组织的环境及其相关方的要求,将这些要求融入到风险管控过程,并针对意外的影响,制定有效的应急措施。ISMS要求实施信息安全风险评估,执行风险分析和风险评价。ISO 27001:2013标准在信息安全风险识别方面不再局限于以资产识别为导向,而是引入ISO 31000的指导思想,可以采用任何适用的方式进行风险识别,情景分析法、头脑风暴法都是有效的风险识别方法。
组织应制定信息资产识别分类办法,形成风险评估的信息资产清单。根据信息资产机密性、完整性和可用性的赋值,加权计算出重要信息资产。根据资产本身的脆弱性和威胁发生的可能性及导致后果的严重程度,计算出威胁和脆弱性。结合资产重要性、脆弱性大小和威胁大小,依据组织的风险评价方法,得出组织的风险评价表。根据风险评价准则,判断各个风险能否接受。对于不能接受的风险,需要进一步进行风险处置。风险处置要依据组织的风险处置计划,形成不可接受风险的控制措施列表。风险处置后再次评价风险接受情况。风险处置的结果有可能是风险降低,但也有可能是随着新风险处置措施的引入,风险会升高或带来新的威胁。风险处置后应形成残余风险报告,风险处置报告需要风险责任人批准。如果风险责任人接受风险处置报告,风险处置结束;若不接受,需要继续进行风险处置,直到残余风险在可接受范围内。信息安全是一个相对的概念,组织通常需要权衡信息安全水平和付出的时间、人力、财务成本等,平衡这些因素是否在组织能接受的范围内。
ISMS体系建立不是一蹴而就的过程,组织应按照ISMS管理体系要求,进行绩效评价和体系改进。按照计划实施信息安全内部审核和管理评审,纠正发现的不合格,制定纠正措施,实现持续改进,实现ISO 31000要求的监测和改进循环。
4 ISMS审核实践
4.1 管理沟通
理解并确定组织的内外部环境是建立ISMS的前提条件。组织建立该体系的动机可能是为了提升自身管理水平,也可能是出于市场压力,为了满足市场要求。在审核时首先应当与管理层沟通,了解组织建立ISMS的目的。对组织的信息安全外部环境,主要从政策法规、物理环境、网络环境、市场和供方的信息安全要求等方面考虑。了解组织的内部环境,主要考虑组织的技术资源、网络设备资源和人力资源等。了解组织的相关方在信息安全方面的要求,包括国家政策、主管机构、客户和供方、审计认证机构,甚至访客等各种相关方对组织信息安全的要求。全面了解组织所处的内外部环境和相关方要求,有利于提高审核的有效性和针对性。
4.2 信息安全管理体系核心
信息安全管理体系的核心包括策划和运行两个核心环节,即策划应对风险和机会的措施,并运行信息安全管理体系。
信息安全风险策划环节主要审核组织的安全风险管控流程满足ISO 27001标准的程度。策划的信息安全风险评估和处置程序应具有完备性和可执行性,且风险评估的结果应与预期一致。风险评估和处置可以从组织的角度进行,也可以在部门的范围内执行。部门的信息安全风险评估和处置记录可以是独立的,也可以是整个组织评估记录的一部分,记录的形式,不影响风险评估和处置的执行。
风险评估方法要满足27001标准的要求,具有可操作性,组织需要考虑业务的风险因素,评估结果能够再现。组织信息资产的收集和风险分析要覆盖信息安全管理体系的范围。组织提供的风险评估报告及其重要资产清单要与信息安全管理体系的范围相适应,符合组织的信息安全现状。风险评估应当作为常规性的工作,在风险策划阶段就考虑和确定风险评估的时间间隔,规定重新启动风险评估程序的特殊情况。根据组织规模的大小,风险评估和处置可能由组织统一规划发起,对于较大的组织,也可以由各个部门自行规划实施。
风险处置是整个风险管控流程中的重要环节。信息安全风险评估和处置主要关注信息安全管控流程和信息安全风险管控的实施结果。依据风险值大小,风险处置计划对风险的处置方式有降低、保留、规避或转移风险等多种方式。其中购买商业保险是转移风险的一个例子。风险处置的原则是适度接受风险,即根据组织可接受的处置成本,将残余风险控制在可以接受的范围内。风险接受的前提是确定信息系统的风险等级,评估风险发生的可能性和潜在的破坏性,分析使用处理措施的可能性,并进行成本效益分析,确定特定信息资产是否需要进一步保护。同时信息安全风险处置计划应得到监视和评审,残余风险要控制在组织可接受的范围之内并得到领导层的批准。组织的各个部门可以单独制定信息安全风险处置计划,较小的组织也可以只在IT部门进行风险处置。
4.3 信息安全管理体系全周期审核
上述策划和运行是信息安全管理体系的主要环节,信息安全的评测和改进环节组成了完整的信息安全管理体系周期。
信息安全风险的绩效评价是PDCA循环中的测量部分,通过对管理体系执行效果评价促进管理体系完善。测量分为定期测量和不定期测量。内部审核和管理评审属于定期测量;不定期测量包括对控制措施的检查和对风险变化的监视和测量。风险本身是随着环境变化的,受到物理环境、政策等各种因素的影响,风险管理本身是一种动态管理。
不符合的纠正和持续改进是PDCA循环中的改进环节,是解决问题实现改进的关键阶段。组织要针对不符合进行纠正,分析原因,制定和执行纠正措施,评审纠正措施的有效性;持续改进体现了组织管理者对信息管理体系的期望,重点关注体系运行效果、现存问题、采取的纠正措施和持续改进计划。
4.4 信息安全控制目标
ISO 27001附录中涉及众多安全类别和控制项目,这些内容是业界安全风险控制的良好实践总结,也是运行信息安全管理体系的具体要求。安全控制分为通用控制和专用控制。通用控制措施适用于所有部门和业务过程,如资产管理、访问控制和信息安全事件管理等;专用控制措施只适用于特殊的职能部门和业务过程,如系统开发安全、人力资源安全、供应商关系、业务连续性管理的信息安全等。组织应当给出SoA(statement of applicability,适用性声明)文件,声称满足全部或部分的控制措施,或者声称有增强的安全要求,能够满足超出附录的更多的安全控制目标。对于删减的安全控制措施,应给出合理的理由。
安全目标描述了实现安全控制目标的具体方法,组织在建立信息安全管理体系的过程中,可以参考安全目标,提高体系建立的有效性。
4.5 信息安全策略与组织安全
信息安全策略集应当由管理者批准并传达给所有员工和外部相关方,同时注意保密要求,某些控制策略,如网络安全访问策略不能被外界获知。
组织内部应建立管理框架,合理划分角色,实现职责分离,防止人员职责过于集中而增加发生差错、舞弊和掩饰的可能性。组织应维护与网信办、网络监管部门、安全论坛等机构的联系,以应对自身无法解决的信息安全事件。组织的信息安全管理应深入到项目管理中,将项目的信息安全风险纳入信息安全风险评估的过程。如果有信息安全事件发生,应追踪审核。
4.6 信息资产安全
组织应建立和维护信息资产清单,指定信息资产责任人,制定信息资产使用规定文件。组织的信息资产应当分级,按照标记规程进行标记,并依据资产的重要程度进行适当水平的保护及备份。标记规程要适应企业实际,不恰当的标记反而会增加信息资产的风险。组织应根据资产分级,制定存储介质管理规程,对U盘、机械硬盘或纸质文件等存储介质的使用、转移、损坏、报废、销毁等作出规定。
4.7 访问控制
访问控制是实现信息安全管理目标的重要措施之一。组织应编制针对物理设备、网络、网络服务、信息系统等的访问控制策略。其中网络和网络服务是信息安全风险管理的关键部分,网络访问策略包括允许策略、限制策略、访客策略、防火墙策略、行为管理策略等。用户访问管理应确保授权用户的访问,并防止未授权的访问。门禁系统、OA、网络、邮件系统、财务系统等都应实现正式的用户注册、注销过程。由于数据关联性,用户注销不等同于賬户删除,可能通过账户禁用或撤销权限的方式实现注销。一般信息系统设定多个角色,通过指定用户角色的方式分配用户权限。超级用户应有操作日志,以监督其特许访问权限的使用情况。用户对信息系统的视图应与其权限相一致,应有登录规程、口令管理、限制特权程序、限制对源代码的访问等。
4.8 通信安全
通信安全涉及网络安全管理和信息传输安全。组织的网络拓扑图一般涉及主机、服务器、路由器、交换机、防火墙、IDS(intrusion detection system,入侵检测系统)、IPS(intrusion prevention system,入侵防御系统)、上网行为管理服务器、无线AP(access point,无线接入点)、无线控制器等。组织的网络规划应融合网络服务访问控制要求,网络的安全机制和服务级别体现在网络服务协议中。常见的网络安全措施有网络设备入网管理、基于VPN(virtual private networks,虚拟专用网)的网络传输安全控制、防火墙设备、部署上网行为管理、在网络交换机中部署ACL(access control list,访问控制列表)等。组织可通过物理或逻辑方式实现网络隔离。网络隔离可以通过划分子网或VLAN(virtual local area network,虚拟局域网)的方式实现。组织应制定信息传输策略和规程,确保组织内部与外部的信息传输安全。确保工作中涉及的电子信息安全。保证电子信息传输安全的方式有邮件加密协议、SSL(secure sockets layer,安全套接字)协议、SET(secure electronic transaction,安全电子交易)协议。组织还应针对不同的工种签订不同的保密协议。
4.9 其他关注点
信息安全管理体系审核还涉及密码控制。密码控制不同于口令,应选择适合组织业务的对称或非对称加密技术,制定和实现组织业务生命周期的密钥使用和保护策略,避免使用非公开加密算法。确保物理和环境安全,防止未授权人员进入特定区域,防护自然灾害和意外的发生[5-7]。
5 结束语
组织将风险管理思想融入到信息安全管理体系建立和运行过程中,从技术和管理两个方面着手,同时借鉴第三方审核的经验,提高信息安全管理体系运行的有效性,促进组织业务持续高效发展,实现组织和相关方的利益共赢[8]。
参考文献:
[1] CHOO B S,GOH J C.Adapting the ISO 31000:2009 enterprise risk management framework using the six sigma approach[C].2014 IEEE International Conference on Industrial Engineering and Engineering Management:39-43,Bandar Sunway,2014.
[2] 濮烨青.基于ISO27000系列标准的本体建模与评估技术研究及应用[D].上海:上海交通大学,2017.
[3] 聂自闯.基于SDN的IoT设备细粒度访问控制研究与实现[D].重庆:重庆邮电大学,2019.
[4] 魏建清.信息安全管理体系建设探析[J].上海质量,2013(08): 45-47.
[5] 张雅慧.A公司信息安全管理的问题与策略研究[D].泉州:华侨大学,2019.
[6] 李存建,李素鹏.论我国等同采用国际风险管理标准的必要性[J].中国标准化,2010(04):26-29.
[7] 丁艳玲.风险管理理念在专利管理中的应用[J].中国发明与专利, 2011(03):91.
[8] 黄水清,任妮.对《数字图书馆安全管理指南》及其“解读”的辨析[J].中国图书馆学报,2012,38(01):25-33.
作者:李莉 吕敏
【摘 要】 为规范海事行政执法行为,防止船舶交通事故的发生,通过介绍航运企业安全管理体系审核发证工作的沿革,剖析航运企业安全管理体系审核发证工作的具体行政行为的属性,指出当前海事机构在航运企业安全管理体系审核发证工作存在的问题,提出改进措施:进一步提高航运企业安全管理体系审核的工作质量;将船舶的安全体系审核工作作为海事机构的一项日常执法监管工作;由第三方开展对航运企业安全管理体系的审核发证工作;有效防止安全管理体系审核工作执法风险。
【关键词】 安全管理体系;行政许可;依法行政
1 航运企业安全管理体系审核发证 工作的沿革
为减少由于人为因素造成的船舶交通事故,国际海事组织(IMO)制定《国际船舶安全营运和防止污染管理规则》(简称《ISM规则》)并要求缔约国实施执行,从制度上严格规范船员的安全意识和安全操作程序,保证航运安全,保护海洋环境。
在此背景下,我国作为《ISM规则》缔约国和IMO A类理事国于《ISM规则》生效时起,全面开展航运企業安全管理体系审核工作。1997年1月2日,中华人民共和国海事局(简称中国海事局)通告:《ISM规则》于1998年7月1日起适用于客船、高速客船、500总吨及以上油船、化学品船、气体运输船、散货船和高速货船。1995年5月20日,中国海事局再次通告:《ISM规则》于2002年7月1日起适用于所有500总吨及以上的中华人民共和国国籍的国际航行货船和移动式近海钻井装置。
另外,中国海事局还将《ISM规则》进行了推广实施,制定了《中华人民共和国船舶安全营运和防止污染管理规则》(简称《NSM规则》),自2007年7月1日起,适用于所有中国内贸运输的客船、高速客船和500总吨以上的货船。原交通部还制定了《中华人民共和国航运企业安全与防污染管理规定》,并于2008年1月1日起实施。
中国海事局是实施《ISM规则》和《NSM规则》的主管机构,中国海事局及其指定的直属海事机构、授权或认可的其他机构为审核发证机构,按照中国海事局确定的审核发证权限范围开展相应的审核发证工作。中国海事局对我国各个国际国内航运企业的安全管理体系的建立和实施进行审核,经审核符合规则要求的,签发“符合证明”(DOC)或“临时符合证明”“安全管理证书”(SMC),或进行签注;同时还对中国船级社(中国海事局的认可组织)的审核发证情况进行监督和控制。中国海事局安全管理处负责并组织安全管理体系审核发证工作;中国海事局审核中心具体负责航运企业安全管理体系的审核发证事务性工作;片区海事机构负责协调管理本地区航运企业安全管理体系审核事务;中国船级社对中国籍国际航行船舶安全管理体系进行审核,签发SMC。
航运企业安全管理体系审核工作的开展,有效防止了船舶交通事故的发生,对水上交通安全形势持续稳定起到了较好作用。
2 具体行政行为的属性
2016年1月1日,中国海事局撤销了审核中心,对安全管理体系审核工作职权进行了调整:国际航运企业(包括“双证”公司)的安全管理体系审核发证权限下放至直属海事局;国内航运企业、国内航行船舶的安全管理体系审核发证权限下放至营口、烟台、连云港、厦门、汕头海事局和各直属海事局所属的分支海事管理机构,并首次将企业、船舶安全体系审核工作确定为具体的海事行政许可执法行为。党的十八大四中全会审议通过的《中共中央关于全面推进依法治国若干重大问题的决定》指出,全面推进依法治国,总目标是建设中国特色社会主义法治体系,建设社会主义法治国家。海事机构作为水上交通安全的行政管理机关应自觉成为依法治国的急先锋,按照交通运输部党组提出的“三化”要求,依法行政,准确履职,服务交通,奉献社会。
通常情况下,行政机关的具体行政行为包括行政监督检查、行政处罚、行政强制、行政征收、行政给付和行政许可等6项。航运企业安全管理体系审核发证工作作为具体海事行政执法行为,应属于行政许可的范畴。《中华人民共和国行政许可法》第34条规定:行政机关应当对申请人提交的申请材料进行审查。申请人提交的申请材料齐全、符合法定形式,行政机关能够当场作出决定的,应当场作出书面的行政许可决定。根据法定条件和程序,需要对申请材料的实质内容进行核实的,行政机关应当指派两名以上工作人员进行核查。
3 行政机关行政许可审查
3.1 书面审查
书面审查:(1)审查申请材料反映的申请人条件的适法性;(2)审查申请材料反映的实质内容的真实性。
书面审查的好处:(1)申请人申请行政许可主要通过提交有关申请材料来证明自己具备法定条件,行政机关的审查也应集中于其提交的申请材料上;(2)行政机关实行书面审查能够减少办理行政许可的工作人员与申请人的不正当接触机会,有助于提高行政机关审查行政许可申请行为的公正性;(3)行政机关实行书面审查,可以减少行政管理成本、减轻申请人的负担。
书面审查的不足:(1)若申请材料反映的客观情况本身就是虚假的,只审查申请人的申请材料可能难以发现申请人的真实情况;(2)即使申请材料反映的内容属真,但由于申请与审查存在时间差,申请材料反映的客观情况可能在行政机关审查时已经发生了变化。
3.2 实地核查
为提高核查的质量,行政机关应当进行实地核查。尤其是对物的行政许可,行政机关必须核实申请材料反映的内容是否与实际情况一致。例如,申请人申请消防安全管理行政机关验收消防设施,消防安全管理行政机关必须实地核查消防通道是否畅通、消防设备设施是否与申请材料所述一致。
4 程序要求
依据《航运企业安全管理体系审核发证程序》的相关规定,海事机构在收到已受理的审核发证申请材料后,应与航运企业商定审核时间,安排审核组,并下发《公司审核安排方案》。具体流程:(1)由审核组长组织召开审核组第一次内部会议,通报有关情况、确定审核重点、分配审核任务、商定《审核计划》、提出有关要求。(2)每位审核员根据《审核计划》,对航运企业安全管理体系文件进行审核。(3)审核组长组织召开审核组第二次内部会议,讨论文件审核情况,确认并汇总审核中发现的问题和不符合规定情况,作出是否按《审核计划》继续实施活动审核的决定。(4)对发现的每一个问题,审核员应与被审核人员进行充分沟通,让其理解、认可并知悉如何改正。对一个部门审核结束后,审核员还应与该部门负责人就部门审核的整体情况进行简要沟通。(5)若航运企业是初次申请安全管理体系审核,还应对代表船舶进行审核。(6)审核组长应组织召开审核组第三次内部会议,综合分析和研究审核中搜集到的客观证据,确认并汇总审核中发现的问题和不符合规定的情况,总体评价企业安全管理体系与规则的覆盖性和符合性、企业安全管理活动与安全管理体系的符合性、安全管理体系运行的有效性等。(7)审核组围绕审核中发现的问题和不符合规定的情况,对企业安全管理体系运行的总体看法与企业相关人员进行充分沟通。(8)根据沟通情况,确定不符合规定的情况和问题,形成《不符合规定情况清单》《问题清单》及《公司审核报告》。(9)审核组提交《公司审核报告》等相关材料。
最后,海事机构对审核组提交的《公司审核报告》等相关材料进行再次审查,决定是否同意发证或签注。经审定同意发证的,海事机构在10个工作日内向企业颁发或签注DOC;经审定不同意发证的,海事机构在10个工作日内向企业送达《不予海事行政许可决定书》。
5 海事机构审核行政许可的具体做法
根据《中华人民共和国行政许可法》的有关条款,海事机构对航运企业安全管理体系的审核是一种行政许可行为,具体做法如下:
(1)签发DOC和SMC,属于航运企业取得资质的行政许可。依据《中华人民共和国行政许可法》有关规定,这种行政许可一般以书面审核为主。对直接关系公共安全、人身健康、生命财产安全的重要设备、设施、产品、物品,需要按照技术标准、技术规范,通过检验、检测、检疫等方式进行审定;行政机关应当按照技术标准、技术规范依法进行检验、检测、检疫,并根据检验、检测、检疫的结果作出行政许可决定。
(2)通过指派审核组对航运企业的安全管理体系文件和活动情况来判断公司安全管理体系运行的符合性和有效性。
(3)海事机构根据审核组提交的《公司审核报告》,在进行审查后决定是否颁发DOC和SMC,或送达《不予海事行政许可决定书》。
(4)航运企业安全管理体系是体系内人员按照企业已制定的安全生产制度和安全操作规程而运行的庞大的系统工程。该体系运行效果缺乏可执行的评判标准。
6 改进建议
航运企业安全管理体系审核发证工作作为行政许可虽有不妥之处,但其是保证船舶航运安全、保护水域环境的重要措施,应当持续执行,故提出以下改进建议。
(1)将船舶的安全体系审核工作作为海事机构的一项日常执法监管工作,各海事处作为主体,负责对各自辖区内的企业和船舶实施审核管理,实现企业审核与企业日常监管无缝衔接。提高对企业审核与企业监管、船舶审核与其他现场执法的结合度。
(2)建议由第三方对航运企业安全管理体系审核发证,授权中国船级社或其他质量体系的认证单位进行审核;海事机构对第三方审核发证结果予以认可,并监督授权的中国船级社或其他质量体系认证单位规范审核发证行为。
(3)提高安全管理体系审核质量,加强培训,提高审核员的素质,统一审核标准,对照申请材料,明确实地核查的具体内容;以成立专职审核组或工作站等形式,开展安全管理体系审核工作,确保安全体系审核发证工作的有序开展。
(4)根据《中华人民共和国行政许可法》的相关条款,海事管理机构应当自受理审核发证申请之日起20个工作日内作出是否发证(签注)的决定。在航运企业安全管理体系审核发证的实际操作中经常会出现无法在20个工作日内作出决定的情况,一旦被管理相对人提起行政诉讼,应对起来较为被动;因此,如何避免安全管理体系审核工作执法风险,是需要切實解决的问题。
作者:肖根连
本文介绍了我国实施《国际安全管理规则》和《国内安全管理规则》的基本概况,分析了当前航运公司安全管理体系审核存在的主要问题,并就这些问题进行了研究和探讨。
我国实施《国际安全管理规则》和《国内安全管理规则》的概况
1、《国际安全管理规则》实施概况
国际海事组织于1993年11月4日 通过了A741(18)号决议的附件,即《国际安全管理规则》。该规则于1994年6月由《1994年国际海上人命安全公约》修改为新增第IX章,成为强制性规则,于1998年7月1日起适用于客船、高速客船、500总吨及以上的油船、化学品船、气体运输船、散货船和高速货船;于2002年7月1日起适用于移动式近海钻井装置和500总吨及以上其他货船。我国作为《1974年国际海上人命安全公约》的缔约国和国际海事组织A类理事国,已按时履约对国际航行的船舶及其公司强制实施规则。
中国海事局从1996年开始对经营国际航线船舶的航运公司实施审核发证,截止2008年6月底,全国有188家国际航线船舶航运公司持有效“符合证明”,有1271艘国际航线船舶持有效“安全管理证书”。国际航运公司船舶的单船事故率在2007年为2.67%,较1996年的9.6%有了大幅度的下降,较2002年的3.31%也有了进一步的下降;船舶在航率2007年为91.56%,连续5年保持上升势头。90%以上的国际航线船舶航运公司认为安全管理体系的运行正使得公司岸基管理逐步实现系统化、标准化和科学化,在公司船岸管理过程中,基本形成了良性的安全管理工作机制。
2、《国内安全管理规则》实施概况
1997年起中国海事局开始进行《国际安全管理规则》国内化的课题研究,2001年通过专家评审,2002年7月制定、发布《国内安全管理规则》。2003年1月1日起适用于第1批船舶,即国内跨省航行载客50人及以上客滚船、旅游船、高速客船,150总吨及以上的气体运输船和散装化学品船;2004年1月1日起适用于第2批船舶,即国内跨省航行的载客50人以上的客船(过江摆渡船除外),500总吨及以上的油船(港内作业的除外);2007年7月1日起适用于第3批船舶,即国内所有沿海跨省航行的500总吨及以上的散货船、其他货船。上述船舶及其公司分别在上述日期前未取得“安全管理证书”和“符合证明”将不得继续从事航运。
中国海事局(包括省(市)地方海事局)从2001年开始对经营国内航线船舶的航运公司实施审核发证。截止2008年6月底,全国有1035家国内航线船舶航运公司持有效“符合证明”,有6089艘国内航线航行船舶持有效“安全管理证书”。国内航线船舶航运公司船舶的单船年度事故率从2002年的3.16%下降至2007年的1.19%;单船人员死亡率从2002年的0.07下降到2007年的0.003;单船平均经济损失由2002年的5.92万元下降到2007年的1.73万元;船舶在航率从2002年的74.36%升至2007年的78.01%,在稳定中保持增长。从国内安全管理体系运行效果的自我评价调查分析,安全管理体系促进了国内航线船舶航运公司安全管理的科学化和规范化,使得各项安全和防污染管理工作日趋规范。
目前航运公司安全管理体系审核工作存在的问题
1、审核工作任务量逐年增大
由于我国对《国际安全管理规则》和《国内安全管理规则》实行按船种分批实施,审核工作任务日益增大。尤其是2007年7月1日起适用于第3批船舶以后,因第3批适用船舶在国内航运市场所占比例较大,体系推进难度较大,审核工作量也出现了较大的增幅。2007年全国共调派公司审核组1346个,调派审核员4472人次;调派船舶审核组3873个,审核员6985人次,分别同比2006年增长了68%、52%、118%、123%。尽管2008年下半年以来全球爆发了金融危机,航运市场受到了冲击,航运发展的势头有所放慢,但航运公司和船舶的总体数量仍有增无减,审核工作任务量仍然是逐年增大。
2、兼职审核员在审核工作队伍中所占比例过大
兼职审核员比例过大给审核工作带来两个不利:一是许多兼职审核员受本单位日常工作制约和限制,给调派审核员工作造成诸多不便,从某种程度看也影响了审核质量;二是尽管兼职审核员都具备了审核的资格和经验,但有关审核工作的新规定和新要求变化越来越快,兼职审核员没有更多的时间和精力投入到学习这些新规定中来,影响了审核工作质量的提高。
3、日常监管体系不完善
目前对航运公司安全管理体系运行的现场监督管理主要集中在船舶安全检查、船舶的重大事故、船舶被滞留、黑名单船舶、船舶重大违法行为的跟踪管理方面。主管机关比较注重对船舶有关安全管理体系运行情况的检查,但是忽视了对公司运行情况的检查。对于在船舶检查中发现的问题,也未能有针对性地对公司采取的措施进行检查。同时,由于基层海事执法人员持审核员证书的较少,因此造成在船舶安全检查和现场监督检查中对安全管理体系运行情况的检查流于形式,仅注重对相关证书(DOC、SMC)持有情况的检查。
4、审核员凭经验使用“自由裁量权”,审核结果因人而异
当前航运公司审核工作主要采取集中审核员,在集中时间对公司安全管理体系集中审核。在实际审核过程中由于材料过多,时间有限,审核员对公司安全管理体系文件内容只能有重点的选择阅读,有的文件甚至抽样选取,容易造成审核材料的遗漏,从而影响审核结果的正确性。在对审核材料做出评价时,由于审核人员之间在知识、经验上的差异,审核员基本上凭自己的感觉自由裁量,易造成审核结果因人而异,缺乏量化支持。
5、被审船舶记录良好,但船舶状况不佳
从近几年各PSC组织滞留船舶的缺陷进行分析,涉及安全管理体系缺陷的滞留呈快速上升趋势,认为船舶的安全管理体系未能运行是导致滞留的原因之一。目前对船舶活动审核主要采用访谈和查看相关记录、资料和证据等方式。不过有些审核员在审核中发现,某些船舶状态不佳,但维护保养记录,报表却显示船上严格按照保养计划进行维护,设备无任何不妥之处;甚至有的审核员还发现某些船舶进行的弃船演习是在船舶高速航行的状态下完成的。所以仅对这种记录的检查实际意义不大。
6、审核员再培训和知识更新的机会较少
目前的审核员绝大部分均隶属于各海事局和相应的航运公司,缺少具体的职能部门对他们进行培训以及对日常管理做出系统的计划和安排,缺少信息交流的渠道,不能及时全面地了解和掌握审核工作的有效信息。有的片区虽然制定了关于审核员再培训和知识更新的要求,但由于审核工作量的不断增长,造成再培训执行力度不够。
加强审核工作的对策
1、加强专职审核员队伍的建设
中国海事局《关于进一步加强安全质量管理体系审核工作的通知》(海人教[2007]401号)中要求,“审核工作逐步从现在的基本由兼职审核员完成过渡到主要由专职审核员完成。交通运输部安全质量管理体系中心审核业务部根据实际工作需要,可聘用适量的专职审核员,以弥补专职审核员的不足。”在现有兼职审核员队伍里,可按照国际公司、国内公司以及船舶审核工作量的三分之一核算专职审核员,经过综合强化培训后在一年或两年的轮岗期内专门从事安全管理体系工作,轮岗期内人事、组织关系不变,并逐渐提高专职审核员的比例。
2、审核发证工作与公司所属地海事局现场监督管理相结合
《中华人民共和国航运公司安全和防污染管理规定》(交通部令2007年第6号)第三十五条要求“海事管理机构应当建立、健全航运公司安全与防污染的监督检查制度,对航运公司的安全与防污染管理活动实施监督检查”。这就要求主管机关应加强对航运公司安全管理体系运行情况的监督检查和现场监管工作。日常监督检查是主管机关监控航运公司安全管理体系运行的一种手段,将其与航运公司审核发证结合起来,才能切实促进航运公司安全管理体系持续运行。属地海事局建立完善公司监督检查制度和台帐,选派合适的检查人员,加强对航运公司的日常管理,定期或不定期地对公司体系运行情况进行现场监督检查。审核时,属地海事局向审核组提供上次审核以来对航运公司的日常监督检查情况,为审核组的审核工作提供依据。如果在日常监督检查时发现公司发生可能影响其安全管理体系运行有效性的重大事件,应向审核发证机关提出实施附加审核的建议。
3、审核工作标准化
中国海事局2007年5月印发了《航运公司安全管理体系不符合规定情况判定指南》,目的在于指导安全管理体系审核员对不符合情况的判定,公正、客观、准确评价安全管理体系运行的实际状况。今后可能会制定更加具体的审核工作目标,规范审核实施过程;甚至有可能研发某种电脑审核系统,借用电脑系统来分析、判断审核工作中发现的问题,来评价公司安全管理体系运行的有效性,以促进审核工作更加准确、高效、规范。
4、推行诚信公司管理,合理简化部分审核工作
目前中国海事局已建立了航运公司安全管理体系白名单制度,《航运公司安全诚信管理办法(试行)》(海安全[2007]398号)明确规定,航运公司取得安全诚信公司资格后可享受安全管理体系年度审核简化程序办理的优惠待遇。也就是在年度审核中审核组不再进行文件审核,直接进行岸基活动和代表船审核。
5、审核工作更侧重于船舶活动审核
针对有些船舶状态不佳,但维护保养记录,报表却显示船上严格按照保养计划进行维护,设备无任何不妥之处的问题,作者认为,除初次审核外,审核工作重点应侧重于船舶活动审核,同时,开展船舶活动审核时应更加注重船舶实际状况和船员实际操作的检查。
6、进一步促进公司内审质量
内审是公司充分发挥自我完善功能,保证公司安全管理体系有效运行的重要环节。审核工作应把公司内审管理环节作为重点,采取相应措施,促使公司重视内审工作,促进公司内审的有效实施。同时,加强内审员的培训和管理,提高内审员的素质和能力,使其能够切实承担起公司安全管理体系运行的内部监督者的责任,促进公司内审质量的不断提高。
7、强化审核工作的监督和责任追究
为规范审核员的审核工作,保障审核质量,将会在审核组长负责制的基础上,进一步强化审核员的责任意识,建立具体的审核组长和审核员责任追究制度,将责任追究制度与审核员的平时考核、年度注册、审核员晋升、审核组长的选用结合在一起,形成一套完善的审核管理监督机制,从制度上严防审核把关不严的现象。同时,审核工作将会更加注重社会监督,发函请航运公司、行业协会等企业推荐符合条件人员作为安全管理体系社会监督员,监督审核员的审核工作,对审核工作提出意见和建议等。
8、建立和完善审核员的定期培训制度和审核工作信息交流制度
建立和完善对审核员的定期培训、定期知识更新制度,明确年度培训和考核计划。建立审核工作信息交流制度,采取多种方式组织审核员对审核工作进行专题研讨、审核观摩、公司座谈等,利用各种方式提高审核工作质量。
(作者单位:武汉交通职业学院)
作者:吴梅平
ISMS 201409/11
一、简答
1、 内审不符合项完成了30/35,审核员给开了不符合,是否正确?你怎么审核?
[参考]不正确。应作如下审核:
(1) 询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解内审不符合项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正措施是否有效;
(2) 所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。
(3) 评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反之可采取适当的控制措施即可。
综上,如果所有纠正措施符合风险要求,与相关影响相适宜,则纠正措施适宜。
2、 在人力资源部查看网管培训记录,负责人说证书在本人手里,培训是外包的,成绩从那里要,要来后一看都合格,就结束了审核,对吗?
[参考]不对。
应按照标准GB/T 22080-2008条款5.2.2 培训、意识和能力的要求进行如下审核: (1) 询问相关人员,了解是否有网管岗位说明书或相关职责、角色的文件? (2) 查阅网管职责相关文件,文件中如何规定网管的岗位要求,这些要求基于教育、培训、经验、技术和应用能力方面的评价要求,以及相关的培训规程及评价方法;
(3) 查阅网管培训记录,是否符合岗位能力要求和培训规程的规定要求? (4) 了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价,是否保持记录?
(5) 如果岗位能力经评价不能满足要求时,组织是否按规定要求采取适当的措施,以保证岗位人员的能力要求。
二、案例分析
1、查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防;笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不安全的。 A 9.2.5 组织场所外的设备安全
应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险
2、 某公司操作系统升级都直接设置为系统自动升级,没出过什么事,因为买的都是正版。 A 12.5.2 操作系统变更后应用的技术评审
当操作系统发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
3、 创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。
A 10.2.3 第三方服务的变更管理 应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的评估。
4、 查某公司信息安全事件处理时,有好几份处理报告的原因都是感染计算机病毒,负责人说我们严格的杀毒软件下载应用规程,不知道为什么没有效,估计其它方法更没用了。 8.2纠正措施
5、 查看 web服务器日志发现,最近几次经常重启,负责人说刚买来还好用,最近总死机,都联系不上供应商负责人了。
A 10.2.1 应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全控制措施、服务定义和交付水准。
单选纠错(选择一个最佳可行的答案)
1、 一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了:便于探测未经授权的信息处理活动的发生。A.10.10
2、 网络路由控制应遵从:确保计算机连接和信息流不违反业务应用的访问控制策略。A.11.4.7
3、 针对信息系统的软件包,应尽量劝阻对软件包实施变更,以规避变更的风险。A.12.5.3
4、 国家信息安全等级保护采取:自主定级、自主保护的原则。
5、 对于用户访问信息系统使用的口令,如果使用生物识别技术,可替代口令。 A.11.3.1
6、 信息安全灾备管理中,“恢复点目标”指:灾难发生后,系统和数据必须恢复到的时间点要求。
7、 关于IT系统审核,以下说法正确的是:组织经评估认为IT系统审计风险不可接受时,可以删减。A.15.3
8、 依据GB/T 22080 ,组织与员工的保密性协议的内容应:反映组织信息保护需要的保密性或不泄露协议要求。A.6.1.5
9、 为了防止对应用系统中信息的未授权访问,正确的做法是:按照访问控制策略限制用户访问应用系统功能和隔离敏感系统。A.11.1.1 A.11.6.2
10、 对于所有拟定的纠正和预防措施,在实施前应先通过(风险分析)过程进行评审。
11、 不属于WEB服务器的安全措施是(保证注册帐户的时效性)。
12、 文件初审是评价受审核方ISMS文件的描述与审核准则的(符合性)。
13、 国家对于经营性互联网信息服务实施:许可制度。
14、 针对获证组织扩大范围的审核,以下说法正确的是:一种特殊审核,可以和监督审核一起进行。
15、 信息安全管理体系初次认证审核时,第一阶段审核应:对受审核方信息安全管理体系文件进行审核和符合性评价。
16、 文件在信息安全管理体系中是一个必须的要素,文件有助于:确保可追溯性。
17、 对一段时间内发生的信息安全事件类型、频次、处理成本的统计分析属于事件管理。
18、 哪一种安全技术是鉴别用户身份的最好方法:生物测量技术。
19、 最佳的提供本地服务器上的处理工资数据的访问控制是:使用软件来约束授权用户的访问。 20、 当计划对组织的远程办公系统进行加密时,应该首先回答下面哪一个问题:系统和数据具有什么样的敏感程度。
简述题
1、 审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员,你将如何做?
答:应根据标准GB/T 22080-2008条款A.11.1.1审核以下内容: (1) 是否有形成文件的访问控制策略,并且包含针对公司每一部分物理区域的访问控制策略的内容?
(2) 访问控制策略是否基于业务和访问的安全要素进行过评审? (3) 核实保安角色是否在访问控制策略中有明确规定?
(4) 核实访问控制策略的制定是否与各物理区域风险评价的结果一致? (5) 核实发生过的信息安全事件,是否与物理区域非授权进入有关? (6) 核实如何对保安进行背景调查,是否明确了其安全角色和职责?
2、 请阐述对GB/T 22080中A.13.2.2的审核思路。 答:(1)询问相关责任人,查阅文件3-5份,了解如何规定对信息安全事件进行总结的机制?该机制中是否明确定义了信息安全事件的类型?该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求,并包括成功的和未遂事件?
(2)查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息安全事件进行测量,是否就类型、数量和代价进行了量化的总结,并包括成功的和未遂事件。 (3)查阅文件和记录以及访问相关责任人,核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。
案例分析题
1、 不符合标准GB/T 22080-2008条款 A.11.4.6 网络连接控制“对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制(见A.11.1)。”的要求。
不符合事实:某知名网站总部陈列室中5台演示用的电脑可以连接外网和内网。
2、 不符合标准GB/T 22080-2008条款 A9.1.2 物理入口控制“安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。”的要求。
不符合事实:现场发现未经授权的人员张X进出机器和网络操作机房,却没有任何登记记录,而程序文件(GX28)规定除授权工作人员可凭磁卡进出外,其余人员进出均须办理准入和登记手续。
3、 不符合标准GB/T 22080-2008条款4.2.1 d) 识别风险“3)识别可能被威胁利用的脆弱性;”的要求。
不符合事实:现场管理人员认为下载的软件都是从知名网站上下载的,不会有问题。
4、 不符合标准GB/T 22080-2008条款8.2 纠正措施“组织应采取措施,以消除与ISMS要求不符合的原因,以防止再发生。”的要求。
不符合事实:XX银行在2008年一季度发生了10起网银客户资金损失事故,4-5月又发生7起类似事故。
5、 不符合标准GB/T 22080-2008条款A.11.6.1信息访问控制“用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制”的要求。 不符合事实:开发人员可以修改测试问题记录。
6、 不符合标准GB/T 22080-2008条款A.7.1.3资产的可接受使用“与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施”的要求。
不符合事实:非常敏感的系统设计文件,公司要求开发人员只可读,不可以修改,且不可以在公司其他部门传阅,但未对开发人员是否可以打印进行规定。
7、 不符合标准GB/T 22080-2008条款A.11.3.3清空桌面和屏幕策略“应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略”的要求。
不符合事实:敏感票据印刷企业的制版工艺工艺师办公桌上散放着三份含水量有票据制版工艺要求的生产通知单。
信息安全管理体系内部质量审核实施计划[转贴 2009-05-30 17:49:16]
编号:ISMS-4031版本:A/0时间:2009-3-20
审核目的 审核依据
审核范围 审核部门
审核要求
审 核 组
通过信息安全管理体系审核,检查各部门执行体系文件情况,验证适宜性、充分性、有效性。
ISO27001:2005 标准、管理体系文件、适用性声明、有关法律法规。 应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动 信息安全管理体系覆盖的四个部门。
1. 内审员检查受审核部门贯彻执行信息安全体系文件要求情况,记录的正确性、合理性,跟踪不合格项, 部门目标分解执行情况,持续改进项目执行情况,以及现场检查。
2.受审核部门应合理安排工作,资料员配合审核。 大组长 组别 第一组 第二组
成员
小组长
组员
审核时间 2009 年 3 月 26日至2009 年3月 27日 审核日程安排 时 间 2月2日2月 3 日 上午 8:30
活动安排 向各部门发放内审通知书
参加人
全体内审员 有关领导、内
地
会 议 室
预备会议:
1、内审小组分工,编写《内部审核检查表》
2、管理者代表签发内审员任命书
2月4 日上 首次会议 (提前 10 分钟签到) 午8:30
8:10 ~
审员、受审核会 部门主要负议 责人、资料室 员。
第一组: 网络
部 审核条
款:4.2.2/4.2.3/4.2.4/4.3.1/4.3.2/4.3 .3/8 适用性声明
A7.A8.A9.A10,A11,A12,A13.A14.A15生产部审核条款:.2.2/4.2.3/4.2.4/4.3.1/4.3.2/4.3.3
适用性声明: A7,A9 第二组 行政部
审核条款:
4.2.2/4.2.3/4.2.4/4.3.1/4.3.2/4.
32 月 4 全
.3/5.2.2/6/7/8 适用性声明:A6,A7,A8,A9,A13,A14
技术部 审核条款:
受审部门负
受 审 部
天~5 日上 现场审核 午
4.2.2/4.2.3/4.2.4/4.3.1/4.3.2/4.3 .3
适用性声明: A7.A9.A10,A11,A12,A15 责人、资料 门 领导层: 员、内审员。 办 审核条款:4.2.1/5.1/5.2.1/7 适用性声明:A5.
公 室 现 场
2 : 00 ~
2月5 日下 4 : 30 午
4:30 ~
5:00
2月5 日下午
5:00 ~
5: 30
各内审小组汇总审核情况,初定 《不合格报告》,送受审核部门负 责人签名确认。
全体内审员集中汇报审核情况
末次会议
地
各内审小组 点 成员 自
全体内审员 有关领导、 内审员、受 审核部门中 层干部、资 料员。
定 会 议 室会 议 室
编制:日期:2009-3-20
审批:日期:2009-3-21
报送审核流程
一、教师信息--审核--流程:
1、学校信息报送前,这样做:信息首次录入----统计---立即统计---导出---全部信息---打开导出文件,凡显示“无”的,就是教师没有填写信息;需要补填:没有的选项,选“无”或“否”,没有选项的填写汉字“无”或“否”,不能空。完整后报送。
2、下载模板方法:
教师信息管理 →信息首次录入→导入→下载模板→勾选模板中包含数据和子表模板中包含无数据教师→下载模板。补填内容后原路导入上传,同时必须勾选---删除已有数据再追加 。
3、检查有没有漏项:
下载学历、专业技术职务聘任、教师资格三个模板,检查有没有漏项的和填写错误的。
模板下载:信息首次录入→导入→下载模板→勾选模板中包含数据。 把三个模板补填齐全后上传导入文件,勾选删除原有数据再追加。
修改:
1、学历--在学单位必须填写;
2、职称填写过渡后的,从060中小学教师里选择。聘任单位名称:填写职称证最后一页发证单位。
3、教师资格发证单位补填。
二、教师信息--报送--- 步骤
1、信息管理员→教师信息管理→信息首次录入→报送。
2、信息管理员→教师信息管理→教师信息审核(最左侧)→审核→通过 →教育局收到信息。
3、教育局审核学校报送信息: (1)、如果合格,则审核通过,生成个人识别码,完成本次教师系统录入工作。(2)、审核不合格,驳回报送信息。进入:信息首次录入→勾选教师→编辑,修改或添加教师信息,成功后重新按照上述步骤
1、2进行报送。
GB/T 28001-2001
批准日期 2001-11-12 实施日期 2002-01-0
1职业健康安全管理体系审核规范 GB/T 28001-2001 1 范围本标准提出了对职业健康安全管理体系的要求,旨在使一个组织能够控制职业健康安全风险并改进其绩效。它并未提出具体的职业健康安全绩效准则,也未作出设计管理体系的具体规定。 本标准适用于任何有下列愿望的组织: a) 建立职业健康安全管理体系,消除或减小因组织的活动而使员工和其他相关方可能面临的职业健康安全风险; b) 实施、保持和持续改进职业健康安全管理体系; c) 使自己确信能符合所声明的职业健康安全方针; d) 向外界证实这种符合性; e) 寻求外部组织对其职业健康安全管理体系的认证 f) 自我鉴定和声明符合本标准。 本标准中的所有要求意在纳入任何一个职业健康安全管理体系。其应用程度取决于组织的职业健康安全方针、活动性质、运行的风险与复杂性等因素。 本标准针对的是职业健康安全,而非产品和服务安全。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 GB/T19000-2000质量管理体系 基础和术语(idt ISO9000∶2000) 3 术语和定义 下列术语和定义适用于本标准。 3.1 事故 accident 造成死亡、疾病、伤害、损坏或其他损失的意外情况。 3.2 审核audit 见GB/T 19000-2000中3.9.1的定义。 3.3 持续改进continual improvement 为改进职业健康安全总体绩效,根据职业健康安全方针,组织强化职业健康安全管理体系的过程。 注:该过程不必同时发生在活动的所有领域。 3.4 危险源hazard 可能导致伤害或疾病、财产损失、工作环境破坏或这些情况组合的根源或状态。 3.5 危险源辨识hazard identification 识别危险源的存在并确定其特性的过程。 3.6 事件incident 导致或可能导致事故的情况。 注:其结果未产生疾病、伤害、损坏或其他损失的事件在英文中还可称为“near-miss”。英文中,术语“incident”包含“near-misses”。 3.7 相关方interested parties 与组织的职业健康安全绩效有关的或受其职业健康安全绩效影响的个人或团体。
3.8 不符合 non-conformance 任何与工作标准、惯例、程序、法规、管理体系绩效等的偏离,其结果能够直接或间接导致伤害或疾病、财产损失、工作环境破坏或这些情况的组合。 3.9 目标objectives 组织在职业健康安全绩效方面所要达到的目的。 3.10 职业健康安全occupational health and safety(OHS) 影响工作场所内员工、临时工作人员、合同方人员、访问者和其他人员健康和安全的条件和因素。 3.11 职业健康安全管理体系 occupational health and safety management system(OHSMS) 总的管理体系的一个部份,便于组织对与其业务相关的职业健康安全风险的管理,它包括为制定、实施、实现、评审和保持职业健康安全方针所需的组织结构、策划活动、职责、惯例、程序、过程和资源。 3.12 组织organization 见GB/T 19000-2000中3.3.1的定义。 注:对于拥有一个以上运行单位的组织,可以把一个单独的运行单位视为一个组织。 3.13 绩效performance 基于职业健康安全方针和目标,与组织的职业健康安全风险控制有关的,职业健康安全管理体系的可测量结果。 注1:绩效测量包括职业健康安全管理活动和结果的测量。 注2:“绩效”也可称为“业绩”。 3.14 风险risk 某一特定危险情况发生的可能性和后果的组合。 3.15 风险评价risk assessment 评估风险大小以及确定风险是否可容许的全过程。 3.16 安全safety 免除了不可接受的损害风险的状态。 3.17
可容许风险tolerable risk 根据组织的法律义务和职业健康安全方针,已降至组织可接受程度的风险。 4职业健康安全管理体系要素 4.1总要求 组织应建立并保持职业健康安全管理体系。第4章描述了对职业健康安全管理体系的要求。 职业健康安全管理体系模式如图1所示。 图1 职业健康安全管理体系模式 4.2职业健康安全方针 职业健康安全方针如图2所示。 管理评审 审核 职业健康 绩效测量 安全方针 的反馈 策划 图2职业健康安全方针 组织应有一个经最高管理者批准的职业健康安全方针,该方针应清楚阐明职业健康安全总目标和改进职业健康安全绩效的承诺。 职业健康安全方针应: a) 适合组织的职业健康安全风险的性质和规模; b) 包括持续改进的承诺; c) 包括组织至少遵守现行职业健康安全法规和组织接受的其他要求的承诺; d) 形成文件,实施并保持; e) 传达到全体员工,使其认识各自的职业健康安全义务; f) 可为相关方所获取; g) 定期评审,以确保其与组织保持相关和适宜。 4.3策划 策划如图3所示 职业健康安全方针 审核 策划 绩效测量 的反馈 实施和运行 图3 策划
4.3.1对危险源辨识、风险评价和风险控制的策划 组织应建立并保持程序,以持续进行危险源辨识、风险评价和实施必要的控制措施。这些程序应包含: 常规和非常规活动; 所有进入工作场所的人员(包括合同方人员和访问者)的活动; 工作场所的设施(无论由本组织还是由外界提供)。 组织应确保在建立职业健康安全目标时,考虑这些风险评价的结果和控制的效果,将此信息形成文件并及时更新。 组织的危险源辨识和风险评价的方法应: 依据风险的范围、性质和时限进行确定,以确保该方法是主动性的而不是被动性的; 规定风险分级,识别可通过4.3.3和4.3.4中所规定的措施来消除或控制的风险; 与运行经验和所采取的风险控制措施的能力相适应; 为确定设施要求、识别培训需求和(或)开展运行控制提供输入信息; 规定对所要求的活动进行监视,以确保其及时有效的实施。 4.3.2法规和其他要求 组织应建立并保持程序,以识别和获得适用法规和其他职业健康安全要求。 组织应及时更新有关法规和其他要求的信息,并将这些信息传达给员工和其他有关的相关方。 4.3.3目标 组织应针对其内部各有关职能和层次,建立并保持形成文件的职业健康安全目标。如可行,目标宜予以量化。 组织在建立和评审职业健康安全目标时,应考虑: 法规和其他要求; 职业健康安全危险源和风险; 可选择的技术方案; 财务、运行和经营要求; 相关方的意见。 目标应符合职业健康方针,包括对持续改进的承诺。 4.3.4职业健康安全管理方案 组织应制定并保持职业健康安全管理方案,以实现其目标。方案应包含形成文件的; a) 为实现目标所赋予组织有关职能和层次的职责和权限; b) 实现目标的方法和时间表。 应定期并且在计划的时间间隔内对职业健康安全管理方案进行评审,必要时应针对组织的活动、产品、服务或运行条件的变化对职业健康安全管理方案进行修订。 4.4实施和运行 实施和运行如图4所示。策划 审核 实施和运行 绩效测量 的反馈检查和纠正措施图4 实施和运行 4.4.1结构和职责 对组织的活动、设施和过程的职业健康安全风险有影响的从事管理、执行和验证工作的人员,应确定其作用、职责和权限,形成文件,并予以沟通,以便于职业健康安全管理。 职业健康安全的最终责任由最高管理者承担。组织应在最高管理者中指定一名成员(如:某大组织内的董事会或执委成员)作为管理者代表承担特定职责,以确保职业健康安全管理体系正确实施,并在组织内所有岗位和运行范围执行各项要求。 管理者应为实施、控制和改进职业健康安全管理体系提供必要的资源。 注:资源包括人力资源、专项技能、技术和财力资源。 组织的管理者代表应有明确的作用、职责和权限,以便: a) 确保按本标准建立、实施和保持职业健康安全管理体系要求; b) 确保向最高管理者提交职业健康安全管理体系绩效报告,以供评审,并为改进职业健康安全管理体系提供依据。 所有承担管理职责的人员,都应表明其对职业健康安全绩效持续改进的承诺。 4.4.2培训、意识和能力 对于其工作可能影响工作场
所内职业健康安全的人员,应有相应的工作能力。在教育、培训和(或)经历方面,组织应对其能力做出适当的规定。 组织应建立并保持程序,确保处于各有关职能和层次的员工都意识到; 符合职业健康安全方针、程序和职业健康安全管理体系要求的重要性; 在工作活动中实际的或潜在的职业健康安全后果,以及个人工作的改进所带来的职业健康安全效益; 在执行职业健康安全方针和程序,实现职业健康安全管理体系要求,包括应急准备和响应要求(见4.4.7)方面的作用和职责; 偏离规定的运行程序的潜在后果。 培训程序应考虑不同层次的: 职责、能力及文化程度; 风险。 4.4.3协商和沟通 组织应具有程序,确保与员工和其他相关方就相关职业健康安全信息进行相互沟通。 组织应将员工参与和协商的安排形成文件,并通报相关方。 员工应: 参与风险管理方针和程序的制定和评审; 参与商讨影响工作场所职业健康安全的任何变化; 参与职业健康安全事务; 了解谁是职业健康安全的员工代表和指定的管理者代表(见4.4.1)。 4.4.4文件 组织应以适当的媒介(如:纸或电子形式)建立并保持下列信息: a) 描述管理体系核心要素及其相互作用; b) 提供查询相关文件的途径。 注:重要的是,按有效性和效率要求使文件数量尽可能少。 4.4.5文件和资料控制 组织应建立并保持程序,控制本标准所要求的所有文件和资料,以确保: a) 文件和资料易于查找; b) 对文件和资料进行定期评审,必要时予以修订并由被授权人员确认其适宜性; c) 凡对职业健康安全体系的有效运行具有关键作用的岗位,都可得到有关文件和资料的现行版本; d) 及时将失效文件和资料从所有发放和使用场所撤回,或采取其他措施防止误用; e) 对出于法规和(或)保留信息的需要而留存的档案文件和资料予以适当标识。 4.4.6运行控制 组织应识别与所认定的、需要采取控制措施的风险有关的运行和活动。组织应针对这些活动(包括维护工作)进行策划,通过以下方式确保它们在规定的条件下执行: a) 对于因缺乏形成文件的程序而可能导致偏离职业健康安全方针、目标的运行情况,建立并保持形成文件的程序; b) 在程序中规定运行准则; c) 对于组织所购买和(或)使用的货物、设备和服务中已识别的职业健康安全风险,建立并保持程序,并将有关的程序和要求通报供方和合同方。 d) 建立并保持程序,用于工作场所、过程、装置、机械、运行程序和工作组织的设计,包括考虑与人的能力相适应,以便从根本上消除或降低职业健康安全风险。 4.4.7应急准备和响应 组织应建立并保持计划和程序,以识别潜在的事件或紧急情况,并做出响应,以便预防和减少可能随之引发的疾病和伤害。 组织应评审其应急准备和响应的计划和程序,尤其是在事件或紧急情况发生后。 如果可行,组织还应定期测试这些程序。 4.5检查和纠正措施 检查和纠正措施如图5所示。 实施和运行 审核 检查和纠正 绩效测量 措施的反馈管理和评审图5 检查和纠正措施 4.5.1绩效测量和监视 组织应建立交保持程序,对职业健康安全绩效进行常规监视和测量。程序应规定: 适合组织需要的定性和定量测量; 组织的职业健康安全目标的满足程度的监视; 主动性绩效测量,即监视是否符合职业健康安全管理方案、运行准则和适用的法规要求; 被动性的绩效测量,即监视事故、疾病、事件1)和其他不良职业健康安全绩效的历史证据; 记录充分的监视和测量的数据和结果,以便于后面的纠正和预防措施的分析。 如果绩效测量和监视需要设备,组织应建立并保持程序,对此类设备进行校准和维护,并保存校准和维护活动及其结果的记录。 4.5.2事故、事件、不符合、纠正和预防措施 1)包括3.6注中的“near-miss” 组织应建立并保持程序,确定有关的职责和权限,以便: a) 处理和调查: 事故; 事件; 不符合; b) 采取措施减小因事故、事件或不符合而产生的影响; c) 采取纠正和预防措施,并予以完成; d) 确认所采取的纠正和预防措施的有效性。 这些程序应要求,对于所有拟定的纠正和预防措施,在其实施前应先通过风险评价过程进行评审。 为消除实际和潜在不符合原因而采取的任何纠正或预防措施,应与问题的严
重性和面临的职业健康安全风险相适应。 组织应实施并记录因纠正和预防措施而引起的对形成文件的程序的任何更改。 4.5.3记录和记录管理 组织应建立并保持程序,以标识、保存和处置职业健康安全记录以及审核和评审结果。 职业健康安全记录应字迹清楚、标识明确,并可追溯相关的活动。职业安全记录的保存和管理应便于查阅,避免损坏、变质或遗失。应规定并记录保存期限。 应按照适于体系和组织的方式保存记录,用于证实符合本标准的要求。 4.5.4审核 组织应建立并保持审核方案和程序,定期开展职业健康安全管理体系审核,以便: a) 确定职业健康安全管理体系是否: 1) 符合职业健康安全管理的策划安排,包括满足本标准的要求; 2) 得到了正确实施和保持; 3) 有效地满足组织的方针和目标; b) 评审以往审核的结果; c) 向管理者提供审核结果的信息。 审核方案,包括日程安排,应基于组织活动的风险评价结果和以往审核的结果。审核程序应既包括审核的范围、频次、方法和能力,又包括实施审核和报告审核结果的职责和要求。 如果可能,审核应由与所审核活动无直接责任的人员进行。 注:这里“无直接责任的人员”并不意味着必须来自组织外部。 4.6管理评审 管理评审如图6所示。检查和纠正措施 内部因素 管理评审 外部因素 职业健康安全方针(图6 管理评审) 组织的最高管理者应按规定的时间间隔对职业健康安全管理体系进行评审,以确保体系的持续适宜性、充分性和有效性。管理评审过程应确保收集到必要的信息以供管理者进行评价。管理评审应形成文件。 管理评审应根据职业健康安全管理体系审核的结果、环境的变化和对持续改进的承诺,指出可能需要修改的职业健康安全管理体系方针、目标和其他要素。
一、 单项选择题(从下面各题选项中选出一个最恰当的答案。并将相应字母填入相应括号内。每题1分。共15分) 1一次审核的结束是指 (b)。 (A)末次会议结束
(B)分发了经批准的审核报告之时 (C)对不符合项纠正措施进行验证后 (D)监督检查之后
2文件审核的作用不包括(a) (A)了解被审核方信息,为现场审核做准备
(B)确认食品安全管理体系文件的充分性、适宜性、有效性 (C)确认HACCP计划实施的有效性 (D)确认HACCP计划制定的合理性 3审核结论由 (b)得出。
(A)审核组长(B)审核组(C)审核委托方(D)认证机构
4审核证据、审核发现和审核准则的关系正确的是 (a)。
(A)将收集到的审核证据对照审核准则进行评价。获得审核发现 (B)将收集到的审核发现对照审核准则进行评价,获得审核证据 (C)将收集到的审核发现对照审核准则进行评价,获得审核结论 (D)将收集到的审核证据对照审核准则进行评价,获得审核结果 5食品安全管理体系文件审核的作用 ()。 (A)为提高食品安全管理体系现场控制的能力
(B)判断食品安全管理体系文件是否符合准则、法律法规等审核依据的要求 (C)审核危害分析、关键控制点、关键限值、控制措施、验证策划方案的适宜性 (D)B+C
6检查表的作用是 ()n
(A)保证审核路线、审核思路的清晰、合理、有效 (B)保持审核的节奏和i车续性
(C)预先通知被审核方需审核的内容
(D)A+B
7认证机构对组织食品安全管理体系审核。满足如下条件时,第一阶段可不到现场 ()。
(A)小型组织。加工线为一条,且员工素质较高
(B)小型且欠发达组织,利用外部组织开发的食品安全管理体系 (C)审核员对审核组织十分熟悉,且在该组织工作过
(D)审核员对审核组织的加工过程十分熟悉,且该组织规模小,加工过程简单 8审核报告应当在 ()提交。
(A)商定的时间期限内(B)现场审核结束后(C)认证决定后(D)纠正措施验证完成后 9如果在审核中没有发现任何不符合项,审核组长应()。
(A) 继续扩大抽样(B)调整审核范围(C)作出结论说: “食品安全管理体系不存在不符合项” (D) 以上各项都不正确 1O食品安全管理体系第一阶段现场审核的内容有 ()。 (A)基础设施及其维护情况与相应法律法规、规范的符合性
(B)危害分析与HACCP计划的科学性、合理性以及实施的有效性 (C)操作前提方案的实施效果 (D)员工的食品安全意识
11如何判定食品安全管理体系的有效性 ()。
(A)是否按GB/T22000—2006标准建立了食品安全管理体系文件(包括前提方案 (PRP(s))、HACCP计划和其他要求的文件) (B)已按体系文件贯彻执行 (C)实施了验证,效果良好
(D) 以上都是 12我国的审核员注册机构是 ()。 (A)国家质量监督检验检疫总局
(B)中国国家认证认可监督管理委员会 (C) 中国认证认可协会
(D)中国合格评定国家认可委员会
13GB/T22000—2006标准涉及的人员能力,可以从 ()获得。 (A)教育(B)培训(C)技能和经验(D)以上都对
14 ()是由两个或两个以上的个人契约联合经营的企业。 (A)业主制企业(B)合伙制企业(C)合作制企业(D)公司制企业
15供应链有时被称为价值链或需求链,包括()、供应商、过程、产品以及向最终顾客交付产品和服务有影响的各种资源。 (A)生产(B)顾客(C)质量(D)检验
二、判断题 (判断下列各题。正确的写T,错误的写F。填入相应括号内。每题1分,共1O分) 16审核中。现场操作人员的回答不能作为客观证据。 ()
17受审核方可以依据合理的理由申请更换审核组成员。 ()
18当审核计划的所有活动已完成,审核即告结束,审核报告的批准和分发可不视为审核的一部分。()
19因为审核组中的技术专家熟悉受审核组织的行业特点,因此对受审核组织的食品安全管理体系评价更具有权威性。 () 2O现场审核的首、末次会议必须由审核组长主持。 ()
21食品安全管理体系认证的第二阶段审核必须在受审核方现场进行。 () 22食品安全管理体系审核员凭审核员证可以进入食品生产现场。 () 23认证机构应在产品的生产季节对获证组织实施监督审核。 ()
24食品安全管理体系审核员应当诚实正直,并为企业提供增值服务,所以应当将你在一个企业得到的技术信息及时向另一个企业传授。 () 25食品安全对食品生产企业而言,是最重要的工作,必须将财务、行政部门纳入食品安全管理体系,才能保证食品安全。()
三、 多项选择题 f从下面各题选项中选出两个或两个以上最恰当的答案,并将相应的字母填入题后括号内。多选或少选均不得分。每题2分,共1O分)
26食品安全管理体系审核可采用 ( )方法收集信息。
(A)面谈
(B)查阅文件记录
(C)抽取产品送认可的实验室检测
(D)现场观察
27食品安全管理体系文审的内容包括 ( )。
(A)形成文件的食品安全方针、目标
(B)食品安全管理体系标准要求的形成文件的程序和记录
(C)组织为确保食品安全管理体系有效建立、实施和更新所需文件和记录 (D)内审及管理评审记录
28食品安全管理体系认证过程中,关于产品抽样检验的实施正确的说法是 ( )。 (A)委托具备相应能力的检测机构完成
(B)由现场审核人员利用申请人的检验设施完成
(C)由现场审核人员确认由其他检验机构出具的检验结果的方式完成 (D)可以根据现场审核人员的判断不实施
29获得CCAA食品安全管理体系审核员注册资格可证明注册人员 ( )。 (A)通过了符合GBT/27024—2004要求的严格的能力考核和评价
(B)达到了GB 19011—2003建议的审核员应具备的个人素质、知识和技能以及食品安全管理体系审核员特定的知识和技能 (C)有能力完成相应的食品安全管理体系审核或审核管理工作 (D)有能力完成食品开发工作
3O以下哪些方面是企业制定方针 目标的主要依据 ( ) (A)市场需求和顾客(B)竞争对手情况(C)社会发展动向(D)政府管理要求
四、简答题 (每题5分,共15分) 31简述认证过程。
32简述食品安全管理体系有效性应从哪些方面实施评价。 33从食品安全管理的角度谈一下应在哪些方面评价供应商。
五、阐述题 (每题10分,共2O分) 34请阐述如何审核一个组织的产品安全的验证策划? 35一位审核员对某企业审核监视和测量时,发现某些食品安全特性是通过感官进行检查的,审核员询问了检查员有无发现问题后就结束了审核,请谈一下你作为审核员遇到这种情况的审核思路。
六、案例分析题 (每题6分,共3O分)
请对以下场景进行分析,并依据GBfr22000—2006标准判断有无不符合。如有请写出不符合标准条款的编号及内容,并写出不符合事实。
36某食 品企业主要产 品为膨化食 品,以GB/T22000—2006为标准建立了工厂的食品安全管理体系。确定了大米的验收为关键控制点,关键限值为农残 (DDT、六六六)和黄曲霉毒素的含量限值,监控方法为验收员每批查看供货方提供的大米检测报告中农残 (DDT、六六六)和黄曲霉毒素含量是否符合关键限值的要求。审核员来到供应部,查看2004年大米进料情况,2004年3月、6月各进一批 (No.D0
311、No.D0312),问主管有关大米进料质量要求时,主管回答: “我们进大米把关是严格
的。”审核员要求提供2004年两批大米的检测报告,主管说: “合格供方仅一家质量比较好,在评价时很慎重,这家大米一贯都没什么问题。”接着拿一文件夹说 “资料都在这。”审核员看到,其中只有大米试用报告及2003年两份有关农残 (DDT、六六六)和黄曲霉毒素的检测报告。
37审核员在对某厂速冻产品冷藏运输的监控记录审核中发现,有几份记录中的冷藏运输温度均为0~C。但按规定冷藏运输CL应小于一4~C。当问及品控部人员时,其回答是由于近日室外气温过高,冷藏车厢温度难以控制。
38审核供应部时,查阅该公司HACCP计划书,规定白糖进货验收是CCP,发现2003年11月3日购进的白糖随批检验报告全部为英语。原料白糖进货验收人员说,自己中学毕业不认识英语,但这批原料是进13的,肯定合格。
39现场审核一火腿肠生产企业,审核员来到车间在门31进行必要的个人消毒,发现整个车间入31 处仅有一个活动洗手池,车间主任介绍说: “我们车间4O人进入车间都在这里经过洗手消毒,保证个人卫生符合要求。”审核员进入更衣室,数更衣柜有2O个,车间主任介绍说:车间每两人共用~个柜子:审核员打开~个柜子,发现其中有饭盆、水杯、衣服和皮鞋。
4O某食品企业主要产品为面粉,以GBfT22000—2006为标准建立了工厂的食品安全管理体系 在金属探测工序,审核员看到,生产前及正常生产时每小时监控员用测试块即Fe20mm和Sus25mm测试金属探测器的准确、灵敏和有效性。查看监控员的测试记录均正常=审核员当场请监控员测试。要求监控员把测试块放于成品包装袋上面测试,却发现金属探测器没有任何反应。审核员自己重新测试了~次仍无反应,审核员再次将测试块放于两袋面中间测试还是无反应,放于面袋下测试反应正常。
审核员问监控员,平时你是怎么测试的,监控员回答: “我一般是放在成品袋中间测试。”
07年9月
一 、 单项选择题 (从下面各题选项中选出一个最恰当的答案,并将相应字母填入相应括号内。每题1分,共15分) 1第三方认证审核的审核报告应提交给 ( )。 (A)审核委托方 (B)受审核方
(C)受审核方的上级主管部门 (D)认可机构
2生产现场,工人发现有一批玉米原料有霉变现象,经检验员确认后,将这批原料退回了库房,未投入生产过程,这种行为是( )。
(A)纠正(B)销毁(C)按废物处理(D)纠正措施 3食品安全管理体系的范围不包括( )。
(A)产品种类(B)加工过程(C)产品销售对象(D) 加工场地 4审核的目的是( )。
(A)寻找不合格项(B)评价并确定满足审核准则的程度(C)评价体系的持续适宜性(D)评价体系的完整性 5以下不属于审核准则的是( )。 (A)顾客的隐含要求 (B)组织产品的检验记录 (C)生产设备维护管理规定
(D)认证产品所执行的产品标准
6制定认证审核计划是( )的职责。
(A)认证机构
(B)审核委托方
(C)审核组组长
(D)受审核方
7审核报告是重要的审核文件,属于 ( )所有,按要求应予保密。
(A)受审核方
(B)审核委托方(C)认证机构认可委员会(D) 以上都是 8实施第三方食品安全管理体系审核,主要是为了 ( )。
(A)发现尽可能多的不符合项
(B)评估产品质量的符合性
(C)建立互利的共方关系
(D)证实组织的食品安全管理体系符合已确定的审核准则的程度要求
9在第三方认证审核时 ( )不是审核员的职责。
(A)实施审核
(B)确定不合格项
(C)对发现的不合格项制定纠正措施
(D)验证受审核方所采取的纠正措施的有效性
10目前,我国的审核员注册机构是 ( )。
(A)国家质检总局(B)国家认监委(C)中国认证认可协会(D)国家认可委
11根据中国认证认可协会 ((食品安全管理体系审核员注册准则))(第2版),具有食品及相关专业学历的申请人应具有至少 ( )年符合相关要求的专业工作经验。(A) 1(B)2(C)3(D)4 12管理的对象是 ()。(A)管理者(B)员工(C)资源(D)组织 13下面对企业文化的理解。正确的是 ()。
(A)企业文化只是企业的发展过程中的一个副产品。对企业的发展无重大影响 (B)企业文化是整个企业的灵魂,无法改变
(C)企业文化在一段时间内是稳定的,它影响着企业中的每个人 (D)企业文化无需通过管理者刻意营造 14下列不属于生产工艺技术的是 ()。
(A)生产工艺(B)工艺流程(C)设备选型(D)原料来源
15对于主要原材料的采购,在满足生产要求的品种、质量、性能、数量等条件下。主要比较采购的可靠性及 ()。 (A)供应方式(B)运输方式(C)仓储方式(D)价格的经济性
二、判断题 (判断下列各题,正确的写T,错误的写F,填入相应括号内。每题1分。共1O分) 16食品安全管理体系认证二个阶段的审核必须在受审核方现场进行。 () 17食品安全管理体系审核组应当按照审核方案的安排进行现场审核。 ()
18实施审核时必须由两名以上审核员组成审核组,需要时,由技术专家提供支持。 () 19有季节性生产的企业,现场审核应安排在正常生产时进行。 ()
20审核员在发现不符合项线索时可扩大抽样。( )
21审核报告必须经认证申请方领导同意方能上报认证机构。 ( )
22监督审核时不必进行文件评审。 ()
23认可是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。 () 24食品安全管理体系应覆盖所有的职能部门。()
25法人可分为企业法人、机关法人、事业法人和社团法人。 ()
三、多项选择题 (从下面各题选项中选 出两个或两个以上最恰当的答案,并将相应的字母填入题后括号内。多选或少选均不得分。每题2分,共1O分) 26文件评审应当考虑以下因素 ( )。
A【)组织的规模
(B)组织的性质 (C)审核的目的 (D)审核的范围
27现场审核时间应该包括 ( )。
(A)编制审核报告的时间
(B)首、末次会议的时间
(C) 内部沟通的时间
(D)编制审核计划的时间
28申请CCAA食品安全管理体系实习审核员的申请人应满足以下 ( )要求。
(A)教育经历(B)工作经历(C)审核经历(D)食品安全工作经历 29对于企业来说,下列各项属于创新活动的是( )。
(A)生产新产品(B)使用新技术(C)开辟新市场(D)采用新的组织形式 30一般来说,企业是指具有以下 ( )特点的基本经济单位。
(A)从事生产、流通或服务等活动(B) 自主经营、自负盈亏(C)实行独立核算(D)具有法人资格
四、简答题 (每题5分,共15分) 31要证实GBT/22000—2006标准第422条款已得到执行,您希望得到哪些审核证据?
32试述审核证据、审核发现与审核结论三者的关系。 33监督审核与复评审核的目的分别是什么?
五、阐述题 (每题l0分,共20分) 34请阐述如何审核一个组织的验证活动实施的有效性。 35请阐述如何审核一个组织的基础设施和维护方案控制。
六、案例分析题 (每题6分,共30分) 请对以下场景进行分析,并依据GBT/22000—2006标准判断有无不符合。如有请写出不符合标准条款的编号及内容,并写出不符合事实。
36审核员在对分割鸡肉加工厂的排酸车间进行检查时,发现鸡肉的排酸温度为0—4~C,排酸时间为 4O分钟。同时,鸡肉在浓度为25—50ppm之间的次氯酸钠溶液消毒40分钟,企业将以上参数作为关键限值进行监视;次氯酸钠溶液的浓度监测的方法是采用次氯酸钠试纸,试纸的精确度为7
5、100ppm,监视的频率为每小时;温度监控采用温度计,误差为0.1oC;时间是通过控制屠宰过程传送带的传送速度来满足的;排酸车间基本上为密闭状态,温度控制良好;企业为确保次氯酸钠溶液的浓度达到要求,每半天换一次次氯酸钠溶液。
37审核员审核某企业的监视和测量时,发现某些食品安全特性是通过感官进行检查的,没有对感官检查方法的适宜性进行评价。
38在某食品厂生产车问部,审核员看到该产品的灭菌工序定为CCP。温度为85—90~(218—2O分钟。审核员正在灭菌的灭菌锅温度指示为83~C。操作人员说83~C和CL相差不大,不会影响产品安全,他经常这样控制,没出过不合格的产品。
39审核员来到在某米粉厂采购部审核,发现其原料大米有好几批来自湖北某县。而其原料接收准则中没有该产地的记录。采购部长解释说今年原料短缺,我们就放宽了产地限制。
40某公司乳品厂的HACCP计划将鲜奶收购作为CCP控制,审核员在品控部查阅鲜奶收购检验记录时。发现2004年9FJ份收购的鲜奶均没有抗生素检验记录。审核员问:为什么没按GB12693—2oo3~L制品企业良好生产规范要求进行抗生素检查?品控部主任 (兼食品安全小组副组长)说:根据顾客提出的不要求本厂提供无抗奶粉的订货单,才没有测抗生素含量指标。
2007年12月CCAA食品安全管理体系国家注册审核员笔试试卷(审核知识)
一、单项选择题(从下面各题选项中选出一个最恰当的答案,并将相应字母填入括号内。每题1分,共15分)
1. 根据中国认证认可协会《食品安全管理体系审核员注册准则》(第2版),申请人应具有至少( )年技术或管理岗位的工作经验。
(A)2 (B)3 (C)4 (D)5 2. 第二方审核是( )进行的审核。
(A)由外部独立的组织 (B)由两个或两个以上组织共同
(C)由组织的顾客或其他人以顾客的名义 (D)对不同的管理体系一起 3. 与受审核方就不符合进行沟通是为了使之( )。 (A)找出不符合的原因 (B)确认审核依据的准确性 (C)同意采取纠正措施 (D)以上都对 4. 末次会议的内容不包括( )。
(A)向受审核方介绍审核情况 (B)宣布审核发现和审核结论 (C)验证不符合项的纠正措施 (D)介绍监督审核的规定 5. 在审核活动中,审核委托方的职责是( )。
(A)提交审核文件 (B)提出审核要求,确定审核目的
(C) 派出陪同人员并提供其他审核所需的资源 (D)提供审核证据
6. 目标管理是1954年由美国著名管理学者德鲁克提出的计划管理方法,但是任何先进的管理方法,在推行过程中,都有一定的局限性。就比较而言,目标管理更适合于( )。
(A)经营环境复杂多变的组织 (B)外部环境业务与技术相对稳定的组织 (C)高科技,风险型企业 (D)特大型跨国公司 7. 以下哪一项标志着现场审核的开始( )。 (A)审核组长接受审核任务 (B)开始文件评审 (C)审核组到了审核现场 (D)召开首次会议 8. 审核证据是( )。
(A)将审核发现对照审核准则进行评价的结果
(B)与审核准则有关的并且能够证实的记录、事实陈述或其他信息 (C)审核员报告的不符合项 (D)(A)+(B)
9. 认证证书的认证范围由( )。 (A)申请人决定 (B)认证机构决定
(C)受审核方决定 (D)认证机构和申请人协商决定 10. 以下属于完整管理体系审核的是( )。
(A)复评审核 (B)非例行监督审核 (C)例行监督审核 (D)(A)+(C) 11. 某企业在部门设置中有企管办,其职责一般包括( ) (A)产品质量检验 (B)协调生产进度
(C)企业管理制度的建立和实施 (D)企业档案管理
12. 以下哪一项活动属于现场审核时间内发生的活动( )
(A)进行文件初审 (B)召开末次会议 (C)编写审核报告 (D)确定纠正措施 13. 下列说法不正确的是( )。
(A)审核组可以由一名或多名审核员组成
(B)审核组应至少配备一名经认可具有专业能力的成员 (C)实习审核员可在技术专家指导下独立承担审核任务 (D)审核组长并非必须由高级审核员担任
14.下列哪种文件应在现场审核前通知受审核方( )。
(A)检查表 (B)审核计划
(C)审核工作文件 (D)适用的法律法规 15. 如果在审核中没有发现任何不符合项,审核组长应( ) (A)扩大抽样
(B)调整审核范围
(C)做出“食品安全管理体系不存在不符合项”的结论 (D)以上都不是
二、判断题(判断下列各题,正确的写T,错误的写F,填入相应括号内。每题1分,共10分)
16. 企业目标为企业决策指明了方向,是企业计划的重要内容,也是衡量企业实际绩效的标准。( ) 17. 柔性组织特别强调标准化、规范化和规章制度。( )
18. CCAA《食品安全管理体系审核员注册准则》(第2版)中所说的审核仅指第三方审核。( ) 19. 不符合项的确定应以客观证据为基础,以审核准则为依据。( ) 20. 食品安全管理体系认证审核应分两个阶段进行。( ) 21. CCAA对所有注册申请人都将进行技能方面的考核。( ) 22. 食品安全管理体系审核是一个抽样的过程。( )
23. 审核计划是针对特定时间段所策划,并具有特定目的的一组审核。( ) 24. 受审核方是指要求审核的组织或人员。( )
25. 针对组织结构存在的某些缺陷,通过设立临时性或协调组织实现协调,这种协调方式属于结构协调方式。( )
三、多项选择题(从下面各题选项中选出两个或两个以上最恰当的答案,并将相应的字母填入题后括号内。多选或少选均不得分。每题2分,共10分)
26. 食品安全管理体系审核中常用的收集信息的方法有以下几种( )。 (A)面谈 (B)查阅文件和记录 (C)观察 (D)实际测量 27. 审核组中应包括( )。
(A)审核组长 (B)高级审核员 (C)专业审核员或技术专家 (D)实习审核员 28. 与审核有关的原则包括( )。
(A)公正表达 (B)独立性 (C)讲道德 (D)基于证据的方法
29. 在监督审核中对所发现的问题,视问题的轻重程度,对获证方可以采用以下处置方式( )。 (A)暂停证书 (B)撤销证书 (C)注销证书 (D)保持证书
30. 在CCAA的第2版管理体系审核员注册准则中,对审核员的能力要求( )。 (A)个人素质 (B)知识 (C)技能(D)专业
四、简答题(每题5分,共15分)
31. 试述第二阶段审核的目的、内容和要求。 32. 请简要叙述认证范围与审核范围的区别。
33. 一般来说,企业的组织结构及职责划分是相似的。请针对一个上千人的大型生产型企业,说出一般设有哪些关键的中层部门以及这些部门的职责(至少说出六个)。职责请用GB/T 19001-2000标准中的条款编号表示(例如,部门:人力资源部;职责:6.2)
五、阐述题(每题10分,共20分)
34. 请阐述食品安全管理体系的审核范围如何确定,并举例说明。 35. 请阐述如何审核一个组织的应急准备和响应。
六、案例分析题(每题6分,共30分) 请对以下场景进行分析,并依据GB/T 22000-2006标准判断有无不符合。如有,请写出不符合标准条款的编号及内容,并写出不符合事实。
36. 某糖果生产企业,产品的品种包括硬糖、软糖和巧克力等多个品种。2006年1月,企业发布了食品安全管理体系文件并开始实施。审核员2007年3月审核时发现,该企业由于市场需求开发了一种夹花生酱的巧克力,增加了酱料制备的过程,使用了新的生产线,但一直沿用原来的体系文件,HACCP小组也没做任何其他工作。企业人员解释,该产品与以前生产的普通巧克力没什么区别,CCP也是原料验收和金属探测,使用原来的文件就足够了,不需要再做什么。
37. 审核员在含乳饮料厂查看配料和添加剂贮存仓库时发现,配料和添加剂均放置在垫板上,其中甜蜜糖、焦糖夜、淀粉等包装上的标签已经没有了,无法查看到生产日期和保质期限。仓库管理员和检验员说:标签已丢失。审核员问:如何确保原料在保值期内使用?检验员说:使用前仓库管理员会请我过去看一下,一般都没问题。
38. 审核组在审核某食品加工厂供应部时查阅一公司的HACCP计划书,该计划书规定白糖进货验收是CCP,同时发现2006年11月3日购进的白糖的随批检验报告全是英语。原料进货检验员说自己根本不懂英语,但这批原料是进口的,肯定合格。 39. 审核组到一个食品加工厂进行现场审核,进入厂区后,发现有两个工人身穿工作服推着货车到仓库领取辅料,而后用车推辅料回车间。
40. 某年7月,审核员在审核一肉制品厂的蒸煮工序时,蒸煮是企业确定的CCP,操作文件规定蒸煮的温度应大于或等于80度,而现场上个月的温度记录中有5天是78度,设备控制人员解释说:现在是夏天,气温比较高,差
一、两度不会有什么问题。
2008年3月CCAA食品安全管理体系 国家注册审核员笔试试卷(审核知识)
一、单项选择题(从下面各题选项中选出一个最恰当的答案,并将相应字母填入相应括号内。每题1分。共15分) 1.CCAA现行FSMS审核员注册准则的实施日期为(
)。 (A)2006年1月1日 (B)2007年1月1日 (C)2007年5月1日 (D)2007年6月1日
2.食品安全管理体系文审的内容包括( )。 (A)内审及管理评审记录 (B)前提方案及HACCP计划 (C)验证活动实施记录 (D)记录清单
3.食品安全管理体系审核范围应由(
)确定。 (A)审核委托方 (B)受审核方
(C)认证机构与审核委托方共同确定 (D)认证机构与受审核方共同确定
4.对食品安全管理体系监督审核,以下说法正确的是( )。
(A)当含有季节性产品时,监督审核最长时间间隔可适当延长,超过12个月
(B)由于产品生产的季节性原因,在认证证书有效期内只要有一次审核活动即可保持认证资格 (C)季节性产品宜在生产季节进行监督
(D)每次监督审核必须覆盖食品安全管理体系认证范围内的所有产品 5.“针对特定时间段所策划,并具有特定目的的一组(一次或多次)审核”,是指( )。 (A)审核方案 (B)审核计划 (C)审核范围 (D)审核准则
6.以下哪一种情况可称为结合审核( )?
(A)某食品质量认证公司与某质量认证公司对同一组织进行审核时 (B)某食品质量认证公司与某质量认证公司对不同组织进行审核时 (C)对同一组织食品安全管理体系与质量管理体系一起审核时
(D)对两个或以上不同组织的食品安全管理体系与质量管理体系一起审核时 7.监督审核中出现下列情况时,应考虑认证暂停( )? (A)管理体系进行了重要更改,并影响到认证资格 (B)证书持有者对证书和标志的使用不符合规定 (C)证书持有者未按期交纳认证费用且未予纠正 (D)以上全部
8.以下哪种情况是审核证据( )?
(A)销售部长向审核员反映采购部近期采购的原材料质量不好 (B)采购部长承认近期采购的原材料质量不好
(C)审核员在采购部发现近期有几次向供应商退回不合格的A 材料的记录,审核员认为采购部是在非合格供方处采购的A材料
(D)以上都是
9.审核原则是(
)的前提。 (A)选择审核任务 (B)受审核方接受审核
(C)确保审核员独立工作时在相似的情况下得出相似的结论 (D)完成审核任务
10.关于第二方审核,下列说法正确的是(
)。
(A)公司内部审核可以是第二方审核 (B)是必须由独立机构进行的审核
(C)对供方进行的审核可以是第二方审核 (D)是对产品的等级评定
11.认证机构收到认证申请后应组织人员对该申请进行评审。以下不属于评审内容的是( )。 (A)认证要求是否明确规定并形成文件 (B)是否有能力和时间完成相应的审核要求 (C)是否具有认可的认证范围
(D)是否具有一定数量的审核员或专家
12.与审核准则有关的并且能够证实的记录、事实陈述和其他信息称为(
)。 (A)质量信息 (B)审核证据 (C)检验记录 (D)信息源
13.审核报告应当在( )提交。 (A)商定的时间期限内 (B)现场审核结束后 (C)认证决定后
(D)纠正措施验证完成后 14.认证机构是指( )。
(A)对产品进行强制认证的机构
(B)对产品、服务、管理体系按照技术法规和标准进行合格评定活动的经营机构 (C)对产品、服务、管理体系进行认证的政府机构
(D)对管理体系按照技术法规和标准进行合格评定活动的经营机构 15.审核发现是指( )。 (A)管理评审记录 (B)现场取得的证据
(C)将现场取得的证据与审核准则对照得到的结果 (D)现场中发现的情况,收集的信息
二、判断题(判断下列各题,正确的写T,错误的写F,填入相应括号内。每题1分,共10分)
16.组织结构是表现组织各部分排列顺序,空间位置、聚集状态、联系方式以及各要素之间相互关系的一种模式,它是执行管理和经营任务的体制。( )
17.编写不符合报告前不符合事实要在审核组内沟通,并得到受审核方同意。( ) 18.实施审核时必须由两名以上审核员组成审核组,需要时,由技术专家提供支持。( ) 19.为保证不符合项纠正措施的有效性,审核员必须去现场进行验证。( ) 20.审核员在发现不符合项线索时可扩大抽样。( ) 21.认证结论由审核组长正式发布。( )
22.现场审核前的文件评审是为了对受审核方管理体系文件有效性和适宜性进行确认。( ) 23.末次会议的结束标志着一次审核活动的结束。( ) 24.管理体系的认证过程不包括审核过程。( )
25.实习审核员可以独立承担任务,但不能独立出具任何与审核有关的报告。( )
三、多项选择题(从下面各题选项中选出两个或两个以上最恰当的答案,并将相应的字母填入题后括号内。多选或少选均不得分。每题2分,共10分)
26.以下行为中,违反审核员行为规范要求的有( )。 (A)为获得审核证据,违反审核员行为规范要求的有( ) (B)在受审核方要求提供相关的咨询服务时加以拒绝 (C)接受受审核方给予的表彰锦旗
(D)审核完成后,与未参加本次审核的审核员讨论审核体会以及在审核中得知的受审核方企业运作细节 27.管理的职能包括( )。 (A)计划工作和组织工作 (B)人员配备
(C)指导与领导工作
(D)控制工作
28.可接受的审核经历包括( )。
(A)从CNCA批准的认证机构获得的第三方审核经历 (B)从CNCA批准的审核机构获得的第二方审核经历 (C)从CCAA承认的认可活动获得的认可经历 (D)从CNCA批准的评审活动获得的评审经历 29.食品安全管理体系审核组组长应当( )。 (A)能够完成HACCP计划中关键控制点的审核 (B)能够编制完成审核报告 (C)能够组织和指导审核组成员 (D)能够预防和解决冲突
30.根据GB/T 19011-2003的要求,审核员应当理解组织的运作情况,包括( )。 (A)组织的职能 (B)组织的结构
(C)组织的总体运营过程 (D)组织的资产负债情况
四、简答题(每题5分,共15分)
31.请简要叙述认证过程的主要活动,并说明认证过程与审核过程的关系。 32.组织在供应商进行初次评价时,应对哪些方面加以考虑? 33.请简述如何审核企业有毒有害物品控制。
五、阐述题(每题10分,共20分)
34.某肉制品生产企业,审核员在审核市场部时发现一批产品发生顾客投诉,顾客说在其购买的香肠中发现了金属碎屑。作为审核员,请根据这一线索编写检查表,说明对这一问题下一步的审核思路。 35.请阐述如何审核一个组织的单项验证结果的评价控制。
六、案例分析题(每题6分,共30分) 请对以下场景进行分析,并依据GB/T 22000-2006标准判断有无不符合。如有,请写出不符合标准条款的编号及内容,并写出不符合事实。
36.某输日速冻菜生产企业,审核员在实施审核时发现企业无新版的肯定列表,企业说他们的产品在出口的时候有检验检疫局把关,批批检验,不会有问题的。
37.在某乳粉生产企业审核时,审核员发现一种标识为“中老年高钙乳粉”的产品在HACCP计划表是将预期限用途描述为“一般大众”。企业解释,这种产品所有成年人都可以食用,所以确定了这样的预期用途。
38.审核供应部时查阅该公司HACCP计划书,规定白糖进货验收是CCP,发现2003年11月3日购进的白糖随批检验报告全部为英语,原料白糖进货验收人员说自己中学毕业不认识英语,但这批原料是进的,安全性没问题。
39.审核员在某面粉厂审核时发现,企业将面袋缝制封口的断针为CC,CL是当针断时一定找齐断针,且领针时要交旧领新,并记录。审核员查CCP的监控记录,发现2008年2月10日发生断针情况,但领针记录未记载。
40.某年7月,审核员在审核一肉制品厂的蒸煮工序时发现,蒸煮是企业确定的CCP,操作文件规定蒸煮的温度应大于或等于80度,而现场上个月的温度记录中有5天是78度,设备控制人员解释说:现在是夏天,气温比较高,差
1、2度不会有什么问题。
08年9月理体系国家注册审核员笔试试卷(审核知识)
一、 单项选择题(从下面各题选项中选出一个最恰当的答案,并将相应字母填入相应括号内。每题1分,共15分) 1一次审核的结束是指( )。 (A)末次会议结束
(B)分发了经批准的审核报告之时 (C)对不符合项纠正措施进行验证后 (D)监督检查之后
2文件审核的作用不包括()。
(A)了解被审核方信息,为现场审核做准备
(B)确认食品安全管理体系文件的充分性、适宜性、有效性 (C)确认HACCP计划实施的有效性 (D)确认HACCP计划制定的合理性 3审核结论由( )得出。 (A)审核组长 (B)审核组 (C)审核委托方 (D)认证机构
4审核证据、审核发现和审核准则的关系正确的是()。
(A)将收集到的审核证据对照审核准则进行评价,获得审核发现 (B)将收集到的审核发现对照审核准则进行评价,获得审核证据 (C)将收集到的审核发现对照审核准则进行评价,获得审核结论 (D)将收集到的审核证据对照审核准则进行评价,获得审核结果 5食品安全管理体系文件审核的作用( )。 (A)为提高食品安全管理体系现场控制的能力
(B)判断食品安全管理体系文件是否符合准则、法律法规等审核依据的要求 (C)审核危害分析、关键控制点、关键限值、控制措施、验证策划方案的适宜性 (D)B+C 6检查表的作用是( ) (A)保证审核路线、审核思路的清晰、合理、有效 (B)保持审核的节奏和连续性
(C)预先通知被审核方需审核的内容 (D)A+B 7认证机构对组织食品安全管理体系审核,满足如下条件时,第一阶段可不到现场()。 (A)小型组织,加工线为一条,且员工素质较高
(B)小型且欠发达组织,利用外部组织开发的食品安全管理体系 (C)审核员对审核组织十分熟悉,且在该组织工作过
(D)审核员对审核组织的加工过程十分熟悉,且该组织规模小,加工过程简单 8 审核报告应当在( )提交。 (A)商定的时间期限内 (B)现场审核结束后 (C)认证决定后
(D)纠正措施验证完成后
9如果在审核中没有发现任何不符合项,审核组长应( )
(A)继续扩大抽样
(B)调整审核范围
(C)作用结论说:“食品安全管理体系不存在不符合项” (D) 以上各项都不正确
10食品安全管理体系第十阶段现场审核的内容有()。
(A)基础设施及其维护情况与相应法律法规、规范的符合性 (B)危害分析与HACCP计划的科学性、合理性以及实施的有效性 (c)操作前提方案的实施效果
(D)员工的食品安全意识
11如何判定食品安全蕾理体系的有效性( )。
(A)是否按GB/T22000-2006标准建立了食品安全管理体系文件(包括前提方案(PRP(s))、HACCP计划和其他要求的文件) (B)已按体系文件贯彻执行 (C)实施了验证,效果良好 (D)以上都是
12我国的审核员注册机构是( ) (A)国家质量监督检验检疫总局
(B)中国国家认证认可监督管理委员会 (C)中国认证认可协会
(D)中国合格评定国家认可委员会
13GB/T22000-2006标准涉及的人员能力,可以从( )获得。 (A)教育 (B)培训
(C)技能和经验 (D)以上都对
14( )是由两个或两个以上的个人契约联合经营的企业。 (A)业主制企业 (B)合伙制企业 (C)合作制企业 (D)公司制企业
15供应链有时被称为价值链或需求链,包括( )、供应商、过程、产品以及向最终顾客交付产品和服务有影响的各种资源。
(A)生产 (B)顾客 (C)质量 (D)检验
二、判断题(判断下列各题,正确的写T,错误的写F,填入相应括号内。每题1分,共10分) 16审核中,现场操作人员的回答不能作为客观证据。 ( ) 17受审核方可以依据合理的理由申请更换审核组成员。 ( ) 18当审核计划的所有活动已完成,审核即告结束审核报告的批准和分发可不视为审核的一部分。( ) 19因为审核组中的技术专家熟悉受审核组织的行业特点,因此对受审核组织的食品安全管理体系评价更具有权威性。 () 20现场审核的首、末次会议必须由审核组长主持。 () 21食品安全管理体系认证的第二阶段审核必须在受审核方现场进行。 () 22食品安全管理体系审核员凭审核员证可以进入食品生产现场。 () 23认证机构应在产品的生产季节对获证组织实施监督审核。 () 24食品安全管理体系审核员应当诚实正直,并为企业提供增值服务,所以应当将你在一个企业得到的技术信息及时向另一个企业传授。 () 25食品安全对食品生产企业而言,是最重要的工作,必须将财务、行政部门纳入食品安全管理体系,才能保证食品安全。 ()
三、多项选择题(从下面各题选项中选出两个或两个以上最恰当的答案,井将相应的字母填入题后括号内。多选或少选均不得分。每题2分,共10分)
26食品安全管理体系审核可采用( )方法收集信息。 (A)面谈
(B)查阅文件记录
(C)抽取产品送认可的实验室检测 (D)现场观察
27食品安全管理体系文审的内容包括( )。 (A)形成文件的食品安全方针、目标
(B) 食品安全管理体系标准要求的形成文件的程序和记录
(C) 组织为确保食品安全管理体系有效建立、实施和更新所需文件和记录 (D) 内审及管理评审记录
28食品安全管理体系认证过程中,关于产品抽样检验的实施正确的说法是( )。 (A) 委托具备相应能力的检测机构完成
(B) 由现场审核人员利用申请人的检验设施完成
(C) 由现场审核人员确认由其他检验机构出具的检验结果的方式完成 (D) 可以根据现场审核人员的判断不实施
29获得CCAA食品安全管理体系审核员注册资格可证明注册人员( )。 (A)通过了符合GB/T27024-2004要求的严格的能力考核和评价 (B) 达到了GB/T19011-2003建议的审核员应具备的个人素质、知识和技能以及食品安全管理体系审核员特定的知识和技能
(C) 有能力完成相应的食品安全管理体系审核或审核管理工作 (D)有能力完成食品开发工作
30以下哪些方面是企业制定方针目标的主要依据( )? (A)市场需求和顾客 (B)竞争对手情况 (C)社会发展动向 (D)政府管理要求
四、简答题(每15分,共15分) 31简述认证过程。
32简述食品安全管理体系有效性应从哪些方面实施评价。 33从食品安全管理的角度谈一下应在哪些方面评价供应商。
五、阐述题(每题10分,共20分) 34请阐述如何审核一个组织的产品安全的验证策划?
35一位审核员对某企业审核监视和测量时,发现某些食品安全特性是通过感官进行检查的,审核员询问了检查员有无发现问题后就结束了审核,请谈一下你作为审核员遇到这种情况的审核思路。
六、案例分析题(每题6分,共30分) 请对以下场景进行分析,并依据GB/T22000-2006标准判断有无不符合。如有请写出不符合标准条款的编号及内容,并写出不符合事实。
36某食品企业主要产品为膨化食品,以GB/T22000-2006为标准建立了工厂的食品安全管理体系。确定了大米的验收为关键控制点,关键限值为农残(DDT、六六六)和黄曲霉毒素的含量限值,监控方法为验收员每批查看供货方提供的大米检测报告中衣残旧DT、六六六)和黄曲霉毒素含量是否符合关键限值的要求。审核员来到供应部,查看2004年大米进料情况,2004年3月、6月各进一批(No.D0
311、No.D0312),问主管有关大米进料质量要求时,主管回答:“我们进大米把关是严格的。”审核员要求提供2004年两批大米的检测报告,主管说:“合格供方仅一家质量比较好,在评价时很慎重,这家大米一贯都没什么问题。”接着拿一文件夹说“资料都在这。”审核员看到,其中只有大米试用报告及2003年两份有关农残(DDT、六六六)和黄曲霉毒素的检测报告。
37审核员在对某厂速冻产品冷藏运输的监控记录审核中发现,有几份记录中的冷藏运输温度均为0℃,但按规定冷藏运输CL应小于—4℃。当问及品控部人员时,其回答是由于近日室外气温过高,冷藏车厢温度难以控制。
38审核供应部时,查阅该公司HACCP计划书,规定白糖进货验收是CCP,发现2003年11月3日购进的白糖随批检验报告全部为英语。原料白糖进货验收人员说,自己中学毕业不认识英语,但这批原料是进口的,肯定合格。
39现场审核一火腿肠生产企业,审核员来到车间,在门口进行必要的个人消毒,发现整个车间入口处仅有一个活动洗手池,车间主任介绍说: “我们车间40人进入车间都在这里经过洗手消毒,保证个人卫生符合要求。”审核员进入更衣室,数更衣柜有20个,车间主任介绍说:车间每两人共用一个柜子。审核员打开一个柜子,发现其中有饭盆、水杯、衣服和皮鞋。
40某食品企业主要产品为面粉,以GB/T22000-2006为标准建立了工厂的食品安全管理体系。在金属探测工序,审核员看到,生产前及正常生产时每小时监控员用测试块即Fe2.0mm和Sus 2.5mm测试金属探测器的准确、灵敏和有效性。查看监控员的测试记录均正常。审核员当场请监控员测试,要求监控员把测试块放于成品包装袋上面测试,却发现金属探测器没有任伺反应。审核员自己重新测试了一次仍无反应,审核员再次将测试块放于两袋面中间测试还是无反应,放于面袋下测试反应正常。审核员问监控员,平时你是怎么测试的,监控员回答:“我一般是放在成品袋中间测试。”
09年12月
六、案例分析题
1 企业从国外引进成套加工设备,设备由中央控制器统一控制,询问操作人员如何修改操作系数时,操作人员解释说控制器已经统一编制了程序,自己看不懂英文操作界面,只学会了开机和如何操作程序,但是设备是进口的,肯定没有问题。
2 肉制品企业,规定蒸煮工序为CCP,文件规定蒸煮温度应≥80℃,但现场记录有5天为78℃,人员解释差
1、2度没有问题。 3 审核员审核一家奶粉企业,在一产品外包装标示为“老年补钙奶粉”,可是在HACCP预期用途中则描述为“大众食用”,审核员问两者为什么不一致,该厂人员称,老年人也是大众。4 企业水产品原料库,文件规定<-18℃,现场一温度计显示-13℃,一台计算机控制程序显示-19℃,库管解释温度计最近有波动,温度监控以计算机为准。问计算机有无进行确认,回答软件非常先进,刚装一个月。
4.某原料要求冷藏温度控制在-18摄氏度以下,现场冷库发现温度计为-13摄氏度,电脑温度为-19摄氏度,询问现场人员说,温度计有波动,电脑是上个月新安装的,肯定没问题(大概意思)
5 饼干烘干工序,规定操作条件为75℃,8min,实际现场操作为70℃,12min,操作员说:采用低一点温度,延长时间效果是一样的,以前我们也采用过,没有什么问题。 审核知识:
四、简答(每题5分,共15分)
1.简述食品安全管理体系有效性应从哪些方面实施评价 2.简述认证范围与审核范围的区别
3.简述第一阶段审核与第二阶段审核的区别
五、阐述题(每题10分,共20分)
1.请阐述如何审核一个组织的产品安全的验证策划 2.请阐述如何审核一个组织的应急准备和响应
如何审核单项验证结果的评价?
一位审核员对某企业审核监视和测量时,发现某些食品安全特性是通过感官进行检查的,审核员询问了检查员有无发现问题后就结束了审核,请谈一下你作为审核员遇到这种情况的审核思路? 从食品安全管理的角度谈一下应在哪些方面评价供应商? 如何审核企业有毒有害物品的控制? 现场审核有哪些活动?
2010年3月CCAA 国家注册审核员FSMS考试题
(认证之友网校八期学员回忆整理)
审核知识
一、单项选择题
1. 食品安全管理体系不包括:( C)(07.6)
A)产品种类 B)加工过程 C) 产品销售对象 D)加工场地 2.以下哪种是审核证据( B )
A销售部长向审核员反映采购部近期采购的原材料质量不好。 B采购部长承认近期采购的原材料质量不好。
C审核员在采购部发现近期有几次向供应商退回不合格的A材料的记录,审核员认为采购部是在非合格供应处采购的A材料 D以上都是
3..以下各项中,比较符合27021的是( D )
A再认证审核目的是确认管理体系作为一个整体的持续适宜性与有效性。 B再认证审核目的是确认管理体系与认证范围的持续相关性和适宜性。 C再认证审核目的是确认管理体系作为一个整体的持续符合性与有效性。 D A+B
4.食品安全管理体系文审的内容包括( B )(08.3) A .内审和管理评审的记录 B) 前提方案及HACCP C)验证活动实施记录 D)记录清单
5. 食品安全管理体系认证证书通常考虑( A )
A场所、产品类别和(或)品种、生产和(或)服务提供过程、认证用标准
B场所、产品名称、生产和(或)服务提供过程、受审核方名称、地址、认证用标准和(或)规范 C场所、产品类别、生产提供过程、认证用标准和(或)规范文件 D以上全对 6. 7. .认证机构收到组织的申请后,对申请进行评审,评审内容不包括( D )(08.12) A认证要求是否明确规定并形成文件。 B是否有能力和时间完成相应审核要求 C是否具有认可的认证范围 D是否具有一定规模
8.与审核准则有关的并且能够证实的记录、事实陈述、或其他信息称为( B )(08.3) A)质量信息 B)审核证据 C)检验记录 D .信息源 9.审核计划应由( B )(08.3)
A)审核员负责编制 B)审核委托方,被审核方负责评审、确认 C)实习审核员签字 D)向导同意 10. .下列说法正确的是( B )(08.12)
A. 作为审核的一部分,审核结论应当指出改进措施的需求
B) 如果审核目的有规定,审核结论可能导致有关改进、商务关系、认证注册或者未来审核活动的建议 C)适用时审核结论可以指导采取纠正、预防或改进测试的需要,可视为审核的一部分 D)审核结论必须指出改进的需求,不作为审核的一部分
11. .根据中国认证认可协会《食品安全管理体系 审核员注册准则》(第二版),具有食品及相关专业的学历的申请人,应具有至少(C )年符合相关要求的专业工作经验。
A) 1 B) 2 C) 3 D) 4 12. 13.. 14.企业具有四大车间,预处理车间、脆制车间、熟制车间、包装车间,可以认为该企业采取了( D )原则进行了空间布置。 A)工艺专业化 B)对象专业化 C)设备专业化 D)以上都是 15.食品安全管理体系审核方案是( B )(08.9)
A)两个阶段的审核计划
B)除审核计划外的与审核有关的活动安排 C)由认证机构认证管理人员制定 D)对审核组的活动的控制要求
二.判断题
16. 组织的结构表现是表现组织的排列顺序、空间位置、聚集状态、联系方式以及各要素之间的相互关联的一种模式,他是执行管理和经营任务的体制。( T )
17. 文件评审的目的是评审受审核方食品安全管理体系的文件的有效性和适宜性。(F ) 18. 食品安全对食品生产企业而言是最重要的工作,必须将财务、行政部门纳入食品安全管理体系,才能保证食品安全( F )(07.6)
19. 认可是指由认可机构对认证机构、检察机构、实验室以及从事评审、审核等认证活动人员的能力和职业资格,予以承认的合格评定活动。(T ) (07.9)
20. 审核结论与认证结论表述的内容是一致的,作用也相同。( F ) 21. 设备操作人员的工作经历可以视为审核员注册时可接受的工作经历。(F) 22. 受审核方可以根据合理的理由申请更换审核组成员(T )(08.9) 23. 认证机构应在产品生产季节对获证组织进行监督审核( T )(08.9) 24. 监督审核时不必进行文件审核( F )(07.9)
25. 审核组长对审核报告的编制和内容负责并予以批准(F)
三.多项选择
26.. 食品安全管理体系认证过程中,关于产品抽样检验的实施正确的说法是( ABC )(07.6)
A.委托具备相应能力的检测机构完成 B) 由现场审核人员利用申请人设备完成
C) 由现场审核人员确认由其他检测机构出具的检验结果的方式完成 D)可以根据现场审核人员的判断,不实施。
27. 审核工作文件包括(AC)
A检查表
B认证合同
C记录信息的表格
D保密承诺 28.关于审核发现,以下描述正确的是( BCD
)
A它提出了改进建议
B它表明了符合或不符合准则
C它是审核证据对照审核准则进行评价的结果 D它指出了改进机会
29.根据19011-2003要求,审核员应理解组织动作情况,包括( ABC
)
A组织职能
B组织结构
C组织总体运营过程
D组织资产负债情况
30.申请CCAA食品安全管理体系实习审核员的申请人应满足以下(ABD )要求。
A)教育经历 B)工作经历 C)审核经历 D)食品安全工作经历
四、简答题)(09.6三个原题)
31.请阐述典型审核活动应包括哪些主要活动?(08.12)
1. 2. 3. 4. 5. 6. 审核的启动 文件评审的实施 现场审核的准备
现场审核的实施:第一阶段、第二阶段 审核报告的编制、批准和分发 审核的完成
7. 审核后续活动的实施
注:审核后续活动通常不视为审核的一部分
32.给一个场景其中含有亚硫酸钠,然后问:简述如何审核该组织的有毒有害物质的控制?(08.3)
1)企业有毒有害品有哪些;
2)是否有专门位置存放,由专人管理,必要时,相关地点是否上锁; 3)是否有入库及领用记录;
4)相关管理人员是否经过培训上岗;
5)现场或库存的有毒有害品是否有明显的标识。 6)是否按照相应有毒有害化合物的使用要求使用。
33.从食品安全管理的角度谈一下应在哪些方面评价供应商? 企业资质
管理体系的建立及实施情况
顾客及相关方反馈信息
产品实物质量
五.阐述题
34.一个审核员在某企业审核监视和测量时,发现某些食品安全特性是经过感官进行检查的,审核员询问了检查员有无发现问题后就结束了审核,请谈一下作为审核员遇到这种情况的审核思路。 (07.6)
35.阐述组织如何实施单项验证结果的评价?(09.6)
六 案例分析: 案例题:
36.某企业,食品安全小组无对热力杀菌知识了解的人员。企业说原来有这方面人员但因工作调整已离开,招聘了3个月无合适人员。但企业与体系咨询老师感情好,虽然没有签合同,但老师有时间就会在这方面提供帮助。 6.2.1 37.某生产速冻水饺的企业,以GB/T22000-2006为标准建立了工厂的食品安全管理体系。在金属探测工序,审核员看到,生产前及正常生产时每小时检查员用测试块即Fe2.0mm和Sus2.5mm测试金属探测器的准确、灵敏和有效性。查看检查员的测试记录均正常。审核员当场请监控员测试,要求检查员把测试块放于成品包装袋上面测试,却发现金属探测器没有任何反应。审核员自己重新测试了一次仍无反应,审核员再次将测试块放于两袋中间测试还是无反应,放于袋下测试反应正常。审核员问监控员,平时你是怎么测试的,检查员回答:“我一般是放在成品袋中间测试。” 8.3
38.某制肠企业,有客户投诉,查到因金属探测仪坏,当月上旬一直未启用,发生了金属性危害。企业对投诉的产品实施了撤回,为顾客更换,顾客满意。查到金属探测仪失控状态下生产的产品已售出百余批,企业未作任何处理。企业说这些并没有投诉,没有必要处理。 7.10.3.1
39.某米粉厂,审核采购部门时,原料准则要求采购黑龙江五常大米,但查到采购记录有好几批来自湖北某县,准则中并没有来自该产地的大米的相关管理内容。采购部长解释今年原料短缺,所以放宽了产地限制。 7.2.3.F 40.某糖果厂,审核采购部门时,原料准则要求采购新疆白砂糖,查到原料采购记录中好几批来自广东某县。准则中并没有来自该产地的白砂糖的相关管理内容。跟踪食品安全小组的危害分析工作,发现没有安排收集该地区白砂糖的相关危害信息。 7.3.3.1
1 目的
1.1 为了实施对航运公司安全管理体系审核发证工作的过程控制,统一审核发证
具体工作行为,保证审核发证工作质量,实施《航运公司安全管理体系审核发证规则》(以下简称《审核发证规则》), 制定本程序。
2 适用范围
2.1 本程序适用于海事机构对航运公司安全管理体系实施的审核发证工作。
2.2 经中华人民共和国海事局授权或认可的机构,按照授权范围和要求实施审核
并签发相应的证书。其审核发证程序可参照本程序自行制定,并报中华人民共和国海事局备案。
3 管辖
3.1 中华人民共和国海事局负责全面管理航运公司安全管理体系审核事务,向国
际航运公司签发“符合证明”或“临时符合证明”,授权中国船级社对国际航行船舶实施审核,并签发“安全管理证书”或“临时安全管理证书”。
3.1.1 交通安全质量管理体系审核中心(以下简称“审核中心”)受中华人民共和
国海事局的委托负责具体管理航运公司安全管理体系的审核发证工作,指派对国际航运公司审核的审核组,审定审核组提交的审核报告,向国际航运公司发放“符合证明”或“临时符合证明”。
3.2 中华人民共和国海事局指定的海事机构(以下简称“片区海事机构”), 负责
协调管理本地区航运公司安全管理体系审核事务,具体管理国内航运公司安全管理体系的审核发证工作,指派对国内航运公司及国内航行船舶审核的审核组,向国内航运公司签发“符合证明”或“临时符合证明”,向国内航行船舶签发“安全管理证书”或“临时安全管理证书”。
3.3 片区海事机构指定的公司所在地海事机构(以下简称“当地海事机构”)负
责受理航运公司及船舶的审核发证申请,并负责对申请材料进行审查。
3.4 审核组具体实施审核,向指派机构负责,并提交审核报告。
4 公司初次审核和发证
4.1 受理申请
4.1.1 当地海事机构收到公司审核的申请后, 应依据《审核发证规则》的规定立
即对申请材料进行审查。
4.1.2 对通过审查的,当地海事机构应填写《安全管理体系审核发证登记表》(格
式A),形成《申请材料审查报告》(格式B),并于五个工作日内将《申请材料审查报告》报送审核发证机构。应报送审核中心的,需经由片区海事机构转送,下同。
4.1.3 审核发证机构和当地海事机构均应建立公司审核档案。
4.2 准备审核
4.2.1 审核发证机构接到《申请材料审查报告》后,应将该公司列入下一个月度
的审核计划,并于计划审核时间提前一周提出《审核安排方案》(格式C),向公司发《接受审核通知》(格式D),向当地海事机构发《接待审核组通知》(格式E)或《协助审核通知》(格式F),必要时向有关海事机构发《协助审核通知》,同时向审核组成员所在单位发《审核员商调函》(格式G)。
4.2.2 审核员应按《审核安排方案》赴指定地点参加审核组的工作。
4.2.3 实施审核前,当地海事机构应向审核组提供有关对公司日常监督管理的材
料或情况。
4.3 实施预审
4.3.1 预审采取审核组集中看文件的方式,在两天内完成。因体系文件量大而不
能在两天内完成的,可增加一天。
4.3.2 预审按以下过程进行:
4.3.2.1 审核组由审核组长主持召开预备会。主要内容是介绍申请材料审查情况
和预审工作内容,讨论确定预审阶段《审核计划》(格式H),并向审核员分配工作任务。
4.3.2.2 审核组长向被审核方通报预审计划并明确需要被审核方配合的事宜。
4.3.2.3 实施预审。预审过程中,审核员应填写《文件审核记录》(格式J)。如审
核组发现送审的文件存在重大问题,审核组长可在召开审核组全体会议研究后,中止审核。
4.3.3 预审结束后,审核组编写预审阶段《安全管理体系审核报告》(以下简称《审
核报告》,格式U),并由当地海事机构报送审核发证机构。
4.3.4 当地海事机构应将《审核报告》复制一份交被审公司。
4.3.5 预审未通过的,审核组应向公司通报有关情况,并提供“问题清单”。
4.3.6 预审通过的,审核组应与公司初步商定正式审核时间。如情况允许,预审
与正式审核可连续进行。预审与正式审核连续进行的,审核组不需提供单独的预审阶段《审核报告》。
4.4 实施正式审核
4.4.1 正式审核原则上由对该公司进行预审的审核组按照《审核安排方案》实施。
4.4.2 正式审核的方式包括查看文件,检查安全管理体系运行的各种记录及其它
客观证据,访谈公司相关人员,观察并审核具体部门和具体管理活动等,在三天内完成。预审与正式审核连续进行的,所有审核工作应在五天内完成。
4.4.3 正式审核按以下过程进行:
4.4.3.1 审核组长主持召开审核组预备会。主要内容是回顾预审工作情况,讨论
确定正式审核阶段《审核计划》,并向审核员分配工作任务。
4.4.3.2 实施文件审核,并填写《文件审核记录》。
4.4.3.3 召开由审核组全体成员、被审核公司领导、指定人员、体系内各部门负
责人、公司陪审(联络)人员及公司领导指定的其他有关人员参加的首次会议。首次会议时间限定在一小时以内,其内容包括:
.1 审核组与公司分别介绍各自与会人员;
.2 被审核方简要介绍建立和实施安全管理体系及备审情况;
.3 审核组简要介绍审核依据、方法、计划安排和有关要求;
.4 审核组宣布审核纪律;
.5 其它有关事宜。
4.4.3.4 实施现场活动审核,并填写《活动审核记录》(K)。
4.4.3.5 实施代表船审核。船公司提出的公司审核申请代替代表船审核申请。代
表船审核作为公司审核的一部分, 由审核组长安排组织审船小组实施。审船小组规模原则上为2人(如实际需要可增加1人)。审船小组的组长由审核组长指定的审核员担任。代表船审核的具体时间、地点及安排应根据该船动态提前与公司商定。代表船审核的具体方式、过程按照本程序关于船舶初次审核的有关规定进行。代表船审核如发现“重大不符合规定的情况”,审船小组应尽快报告公司审核组,由公司审核组长负责确认。审船小组应在代表
船审核结束后尽快将《船舶审核报告(代表船)》(格式V)报公司审核组。
4.4.3.6 审核组长主持召开审核组会议,综合分析、研究审核中搜集到的客观证
据,确认并汇总审核中发现的不符合规定的情况,总体评估公司安全管理体系与《国际安全管理规则》或《国内安全管理规则》的覆盖性和符合性、公司安全管理活动与其安全管理体系的符合性、公司安全管理体系运行的有效性。
4.4.3.7 编写《审核报告》,开具《不符合规定的情况报告》(格式N)。《不符合
规定的情况报告》中的不符合描述、审核员意见、审核组长意见、纠正措施及其确认栏签字确认等均应在召开末次会议前填写完成。
4.4.3.8 召开末次会议,由审核组长简要总结审核情况并宣布审核意见,公司领
导表态。参加末次会议的人员原则上同首次会议,时间限定在一小时以内。
4.4.4 全部审核工作结束后,审核组应将《审核报告》及审核所形成的其它材料
交由当地海事机构报送审核发证机构。
4.4.5 当地海事机构应将《审核报告》复制一份交被审公司。
4.5 发证
4.5.1 审核发证机构收到《审核报告》后,应进行登记备案,并在十个工作日内
完成审查,决定是否发证。
4.5.2 经审定不同意发证的,审核发证机构应向公司签发《审核结果通知》(格式
M)并抄送当地海事机构。
4.5.3 经审定同意发证的,审核发证机构应在十个工作日内向公司签发“符合证
明”及其副本,向代表船签发“安全管理证书”及其副本,并进行登记。
4.5.4 审核发证机构应将所有材料归档存查。
5 公司审核和签注
5.1 受理申请
5.1.1 公司审核申请由原受理初次审核的机构受理。
5.1.2 审核申请的受理参照本程序4.1节的有关规定进行。
5.2 准备审核
5.2.1 公司审核由签发该公司“符合证明”的审核发证机构负责组织实施。
5.2.2 公司审核的准备参照本程序4.2节的有关规定进行。
5.3 实施审核
5.3.1 审核的方式和过程参照本程序4.4节的有关规定进行。
5.3.2 关于审核中代表船的审核,由公司提供船舶名单供选择。审核组在就
近的原则下选定代表船。受船期条件的限制,审核发证机构可考虑对代表船的审核与对公司岸基的审核在不同的时间、地点分别进行。
5.3.3 “符合证明”新增船种的,应当申请临时审核或初次审核。新增船种的临
时审核或初次审核可与审核合并进行。
5.4 签注
5.4.1 审核发证机构收到《审核报告》后,应进行登记备案,并在十个工作日内
完成审查,决定是否予以签注。
5.4.2 经审定不同意签注的,审核发证机构应向公司签发《审核结果通知》并抄
送当地海事机构。
5.4.3 经审定同意签注的,审核发证机构应在十个工作日内向公司签发“符合证
明审核签注”。
5.4.4 审核发证机构应将所有材料归档存查。
6 公司换证审核和发证
6.1 公司换证审核和发证按照本程序关于公司初次审核和发证的有关规定进行。 7 公司跟踪审核
7.1 公司跟踪审核申请的受理、审核的准备与实施按照本程序5.1节、5.2节和
5.3节的有关规定进行。
7.2 审核发证机构收到《审核报告》后,应进行登记备案,并在十个工作日内完成
审查,决定是否维持“符合证明”的有效性。
7.3 对决定收回“符合证明”的,审核发证机构应向公司签发《审核结果通知》
并抄送当地海事机构。
7.4 审核发证机构应将所有材料归档存查。
8 公司附加审核
8.1 公司附加审核的组织、准备与实施由审核发证机构根据审核需要并参照本程
序关于公司审核的相关规定制定程序,并报主管机关核准后实施。
8.2 审核发证机构收到《审核报告》后,应进行登记备案,并在十个工作日内完
成审查,决定是否维持“符合证明”的有效性。
8.3 对决定收回“符合证明”的,审核发证机构应向公司签发《审核结果通知》
并抄送当地海事机构。
8.4 审核发证机构应将所有材料归档存查。
9 公司临时审核和发证
9.1 公司临时审核和发证按照本程序关于公司初次审核和发证的相关规定进行。 10 船舶初次审核和发证
10.1 受理申请
10.1.1 当地海事机构收到公司关于船舶的审核申请后,应依据《审核发证规则》
的规定立即对申请材料进行审查。
10.1.2 对通过审查的,当地海事机构应填写《安全管理体系审核发证登记表》,形
成《申请材料审查报告》,并于五个工作日内将《申请材料审查报告》报送审核发证机构。
10.1.3 审核发证机构和当地海事机构均应建立船舶审核档案,并在该船所属公司
的审核档案中登记有关内容。
10.2 准备审核
10.2.1 审核发证机构接到《申请材料审查报告》后,应与船舶所属公司根据船期
情况商定审核时间和地点,并提前一周提出《审核安排方案》,通知当地海事机构,向公司发《接受审核通知》,同时发出《审核员商调函》。
10.2.2 审核员应按《审核安排方案》赴指定地点参加审核组的工作。
10.2.3 实施审核前,审核组应向船籍港船舶登记机关了解对该船日常监督管理的
情况。
10.3 实施审核
10.3.1 船舶审核方式包括检查船上各种相关记录、访谈相关船员、观察有关操作
活动等,在一天内完成。
10.3.2 船舶审核按以下过程进行:
10.3.2.1 审核组长主持召开审核组预备会,讨论确定《审核计划》,并向审核员
分配工作任务。
10.3.2.2 审核组熟悉有关体系文件。
10.3.2.3 召开由审核组全体成员、被审船舶主要船员、陪审(联络)人员及船长
指定的有关人员参加的首次会议。首次会议时间限定在30分钟以内,其内容参照公司审核的首次会议内容。
10.3.2.4 进行活动审核,并填写《活动审核记录》。
10.3.2.5 审核组长主持召开审核组会议,综合分析、研究审核中搜集到的客观证
据,确认并汇总审核中发现的不符合规定的情况,总体评估船上安全管理活动与公司安全管理体系的符合性、公司安全管理体系在船上运行的有效性。 10.3.2.6 编写《船舶审核报告》,开具《不符合规定的情况报告》。《不符合规定
的情况报告》中的不符合描述、审核员意见、审核组长意见、纠正措施及其确认栏签字确认等均应在召开末次会议前填写完成。
10.3.2.7 召开末次会议,由审核组长简要总结审核情况并宣布审核意见,船长表
态。参加末次会议的人员原则上同首次会议,时间限定在30分钟以内。 10.3.3 全部审核工作结束后,审核组应将《船舶审核报告》及其它审核所形成的
材料交由当地海事机构报送审核发证机构。
10.3.4当地海事机构应将《船舶审核报告》复制一份交被审船舶所属公司。 10.4 发证
10.4.1 审核发证机构收到《船舶审核报告》后,应进行登记备案,并在十个工作
日内完成审查,决定是否发证。
10.4.2 经审定不同意发证的,审核发证机构应向公司签发《审核结果通知》并抄
送当地海事机构。
10.4.3 经审定同意发证的,审核发证机构应在五个工作日内向船舶签发“安全管
理证书”及其副本,并进行登记。
10.4.4 审核发证机构应将所有材料归档存查。
11 船舶中间审核和签注
11.1 申请的受理、审核的准备及实施按照本程序10.1节、10.2节和10.3节的有
关规定进行。
11.2 签注
11.2.1 全部审核工作结束后,审核组长按照审核结果对“安全管理证书”予以签
注或不予签注。
11.2.2 审核发证机构收到《船舶审核报告》后,应进行登记备案,并将所有材料
归档存查。
12 船舶换证审核和发证
12.1 船舶换证审核和发证按照本程序关于船舶初次审核和发证的有关规定进
行。
13 船舶临时审核和发证
13.1 船舶临时审核申请的受理和准备按照本程序10.1节和10.2节的有关规定进
行。
13.2 实施审核
13.2.1 船舶临时审核主要是以对照查看有关文件的方式实施。
13.2.2 船舶临时审核按以下过程进行:
13.2.2.1 被审核方向审核组介绍船舶备审情况。审核组长向被审核方简要介绍审
核依据、方法、计划安排和有关要求,并宣布审核纪律。
13.2.2.2 审核组对照查看船舶相关文书资料和公司“符合证明”(或“临时符合
证明”,下同)副本、配备在船的安全管理体系文件以及对该船实施内部审核的计划等。
13.2.2.3 召开审核组会议,根据搜集到的客观证据,确认公司“符合证明”和安
全管理体系文件对该船是否适用或适合。
13.2.2.4 编写《船舶审核报告》。审核组长向船舶通报审核意见。
13.2.3 全部审核工作结束后,审核组应将《船舶审核报告》及其它审核所形成的
材料交由当地海事机构报送审核发证机构。
13.2.4当地海事机构应将《船舶审核报告》复制一份交被审船舶所属公司。 13.3 发证
13.3.1 审核发证机构收到《船舶审核报告》后,应进行登记备案,并在三个工作
日内完成审查,决定是否发证。
13.3.2 经审定不同意发证的,审核发证机构应向公司签发《审核结果通知》并抄
送当地海事机构。
13.3.3 经审定同意发证的,审核发证机构应在三个工作日内向船舶签发“临时安
全管理证书”及其副本,并进行登记。
13.3.4 审核发证机构应将所有材料归档存查。
推荐阅读:
构建企业信息安全体系06-13
信息化安全保障体系09-26
民用航空安全信息管理规定全文09-10
地税局税收信息化网络安全管理考核办法05-31
电力信息化与信息安全06-08
信息安全团队06-05
信息安全试题06-27
0836信息安全07-24
信息安全技术09-27
信息安全策略集06-08
