当前位置：文档库 › 信息安全管理体系审核检查表

信息安全管理体系审核检查表

信息安全管理体系审核指南标准要求的强制性ISMS文件

审核重点

第二阶段审核：

a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何：

●定义风险评估方法(参见4.2.1 c)

●识别安全风险(参见4.2.1 d))

●分析和评价安全风险(参见4.2.1 e)

●识别和评价风险处理选择措施(参见的4.2.1 f)

●选择风险处理所需的控制目标和控制措施(参见4.2.1 g))

●确保管理者正式批准所有残余风险(参见4.2.1 h)

●确保在ISMS实施和运行之前，获得管理者授权(参见的4.2.1 i))

●准备适用性声明(参见4.2.1 j)

b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位)，至少包括：

●ISMS监视与评审(依照4.2.3监视与评审ISMS”条款)

●控制措施有效性的测量(依照 4.3.1 g)

●内部ISMS审核(依照第6章“内部ISMS审核”)

●管理评审(依照第7章“ISMS的管理评审”)

●ISMS改进(依照第8章“ISMS改进”)。

c) 检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位)，依照条款包括：

●4.2.3监视与评审ISMS

●第7章“ISMS的管理评审”。

d) 检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位)，依照条款包括：

●4.2.3监视与评审ISMS

●5 管理职责

●7 ISMS的管理评审

e) 检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何连带关系 (也参见本文第8章“过程要求的符合性审核”)。

监督审核：

a) 上次审核发现的纠正/预防措施分析与执行情况；

b) 内审与管理评审的实施情况；

c) 管理体系的变更情况；

d) 信息资产的变更与相应的风险评估和处理情况；

e) 信息安全事故的处理和记录等。

再认证审核：

a) 检验组织的ISMS是否持续地全面地符合ISO/IEC 27001:2005的要求。

b) 评审在这个认证周期中ISMS的实施与继续维护的情况，包括：

●检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、维护和改进；

●评审ISMS文件和定期审核(包括内部审核和监督审核)的结果；

●检查ISMS如何应对组织的业务与运行的变化；

●检验管理者对维护ISMS有效性的承诺情况。

4 信息安全管理体系

4.1总要求

4.2 建立和管理ISMS

4.2.3 监视与评审ISMS

4.2.4 保持与改进ISMS

4.3 文件要求

4.3.1 总则

5 管理职责

5.1 管理承诺

5.2 资源管理

5.2.2 培训、意识和能力

。

7 ISMS 的管理评审 7.1 总则

学校网络与信息安全巡查表

单位: 网络与信息安全巡查表检查时间：类别检测项目检查内容检查要求检查结果网络安全基础设施建设网络架构安全网络结构设计、网络划分网络结构设计、网络划分符合相关要求是否有不经过防火墙的外联链路（包括拨号外联）外网与内网的连接链路（包括拨号外联）必须经过防火墙网络拓扑结构图提供当前网络的网络拓扑结构图网络分区管理生产控制大区和管理信息大区之间是否按电监会5号令要求部署了专用隔离装置网络使用的各种硬件设备、软件等各种硬件设备、软件和网络接口是否经过安全检验、鉴定、认证。各种硬件设备、软件和网络接口均经过安全检验、鉴定、认证。广域网建设情况广域网是否按集团规定进行建设、并按规定进行连接广域网按集团规定进行建设、并按规定进行连接网络承建单位情况网络承建单位是否具有相关资质网络承建单位具有相关资质（查看相关资质文件）网络内部数据信息网络内部数据信息的产生、使用、存储和维护是否安全、合理等网络内部数据信息的产生、使用、存储和维护安全、合理机房环境安全主机房是否安装了门禁、监控与报警系统主机房安装了门禁、监控与报警系统是否有详细的机房配线图有详细的机房配线图机房供电系统是否将动力、照明用电与计算机系统供电线路分开机房供电系统已将动力、照明用电与计算机系统供电线路分开机房是否配备应急照明装置机房有配备应急照明装置 1

类别检测项目检查内容检查要求检查结果网络安全基础设施建设机房环境安全是否定期对UPS的运行状况进行检测定期对UPS的运行状况进行检测（查看半年内检测记录）是否安装机房自动灭火系统，是否配备机房专用灭火器，是否定期对灭火装置进行检测安装机房自动灭火系统，配备机房专用灭火器，定期对灭火装置进行检测是否有防雷措施，机房设备接地电阻是否满足要求，接地线是否牢固可靠机房有防雷措施，机房设备接地电阻满足要求，接地线牢固可靠（直流工作接地≤1欧，接地地位差≤1V；交流工作交流工作接地系统接地电阻：＜4Ω、零地电压＜1V；计算机系统安全保护接地电阻及静电接地电阻：＜ 4Ω) 机房温度是否控制在摄氏18-25 度以内机房温度控制在摄氏18-25度以内安全技术防核心网络设备、系统安全配置交换机、路由器、防火墙等网络设备的安全设置情况；操作系统的安全配置、版本及补丁升级情况交换机、路由器、防火墙等均根据安全要求进行了正确设置；操作系统的安全配置、版本及补丁升级情况。网络设备配置是否进行了备份（电子、物理介质）网络设备配置进行了备份（电子、物理介质）应用安全配置、身份鉴别策略相关服务进行正确的安全配置、身份鉴别情况WWW服务用户账户、口令是否强健 WWW服务用户账户、口令强健（查看登录） 2

管理体系内部审核检查表

QHSE管理体系内部审核检查表受审核单位：日期：年月日要素名称检查内容和检查方法审核发现结论4.QHSE管理体系 4.1 总要求1．询问如何运用过程方法建立实施保持QHSE管理体系。 2．是否对过程进行了删减，删减是否合理。 3．是否识别了外包过程，外包过程如何控制。 4.2 文件要求 4.2.1 总则 4.2.2 管理手册1．查证是否建立了包括管理手册、程序、作业文件、记录在内的QHSE体系文件。 2．查证QHSE体系文件是否覆盖并满足Q/SY 2.2标准全部条款的要求。 4.2.3 文件控制 4.2.3 文件控制1．询问负责人文件控制职责，与相关部门的接口关系是否清楚 2．查阅文件清单，抽查3-6份文件，查证： 2.1 发布前是否经过批准，文件是否充分适宜？ 2.2 文件是否保持清晰并易于识别(包括修订状态)？ 2.3 核查发放范围及发放记录，是否使用场所得到了适用文件的有效版本？ 2.4 是否识别了与质量、环境和安全有关的全部外来文件

(包括法律法规)，并对其进行了管理控制？ 2.5 作废文件的回收记录，可否保证作废文件的非预期使用？作废文件保留是否作了标识？ 3．询问对文件评审、更新、再批准的规定，查l-3份更改文件，核查规定执行情况。 4.2.4 记录控制 4.2.4 记录控制1．询问负责人记录控制职责，与相关部门的接口关系是否清楚。 2．询问是否形成了QHSE体系记录清单，是否包括了QHSE体系要求的所有记录，否规定了各种记录的保存期限。 3．管理部门及其他部门各种类型的记录3-6份，核查标识情况，填写是否清晰？是否易于识别？ 4．询问对记录的收集、归档、检索，是否符合规定要求？记录贮存条件是否适宜？ 5.询问对记录借阅、复印、处置的管理。 4.3法律法规及其他要求 4.3法律法规及其他要求1．询问负责人法律法规及其他要求职责，与相关部门的接口关系是否清楚。 2．问主管部门建立了哪些法律法规和其他要求的获取渠道，获取的方式和频次，查询各获取渠是否满足要求。 3．查证是否对法律法规和其他要求的适用性进行了评审，是否有适用法律法规清单，有无明显的漏项。 4．查如何将适用的法律法规传达到各部门和相关方，是否开展了必要的培训。

信息安全检查表

广西食品药品检验所信息安全检查表一、信息系统基本情况信息系统基本情况①信息系统总数：个 ②面向社会公众提供服务的信息系统数：个 ③委托社会第三方进行日常运维管理的信息系统数：个，其中签订运维外包服务合同的信息系统数：个互联网接入情况互联网接入口总数：个其中：□联通接入口数量：个接入带宽：兆□电信接入口数量：个接入带宽：兆 □其他：接入口数量：个接入带宽：兆系统定级情况第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个系统安全测评情况最近2年开展安全测评（含风险评估、等级测评）系统数：个二、日常信息安全管理情况人员管理①岗位信息安全和保密责任制度：□已建立□未建立 ②重要岗位人员信息安全和保密协议： □全部签订□部分签订□均未签订 ③人员离岗离职安全管理规定：□已制定□未制定 ④外部人员访问机房等重要区域管理制度：□已建立□未建立资产管理①信息安全设备运维管理： □已明确专人负责□未明确 □定期进行配置检查、日志审计等□未进行 ②设备维修维护和报废销毁管理： □已建立管理制度，且维修维护和报废销毁记录完整□已建立管理制度，但维修维护和报废销毁记录不完整□尚未建立管理制度三、信息安全防护管理情况

网络边界防护管理①网络区域划分是否合理：□合理□不合理 ②安全防护设备策略：□使用默认配置□根据应用自主配置 ③互联网访问控制：□有访问控制措施□无访问控制措施 ④互联网访问日志：□留存日志□未留存日志信息系统安全管理①服务器安全防护： □已关闭不必要的应用、服务、端口□未关闭 □帐户口令满足8位，包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ②网络设备防护： □安全策略配置有效□无效 □帐户口令满足8位，包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ③信息安全设备部署及使用： □已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效门户网站应用管理门户网站管理网站域名：_______________ IP地址：_____________ 是否申请中文域名：□是_______________ □否 ①网站是否备案：□是□否 ②门户网站账户安全管理： □已清理无关帐户□未清理 □无：空口令、弱口令和默认口令□有 ③清理网站临时文件、关闭网站目录遍历功能等情况：口已清理口未清理 ④门户网站信息发布管理： □已建立审核制度，且审核记录完整 □已建立审核制度，但审核记录不完整 □尚未建立审核制度

网络信息安全检查表

网络与信息安全检查项目表类别检查项目检查内容检查要求明确信息安全主管领导、责任人、信息安全管理员，制定岗位职责文件和组织管理与规章制度网络与信息安全管理组织日常管理工作规章制度情况信息安全责任制落实情况信息安全培训情况信息安全管理策略情况信息安全测评、系统安全定级、信息安全检查和风险评估工作网络与信息安全政策落实情况信息安全管理职责、信息安全情况报告制度、资产安全管理制度、系统运行安全管理制度、安全应急响应及事故管理制度等操作规程等（要提供相应文档）信息安全责任人、管理员定期参加有关单位的信息安全培训。对本单位全体人员进行了信息安全培训（提供培训计划、培训内容、培训成绩、人员）制定了详细的信息安全管理策略，并有专人负责，定期进行检查（要提供检查纪录）有工作开展的相关文档、记录、总结国家有关网络与信息安全文件（计算机信息网络国际联网安全保护管理办法等）的落实情况制定了严格的规章制度，并认真落实（提供所有制度文档）。保密承诺书重要岗位、涉密岗位人员保密承诺书是否签订，是否及时更新，新入岗、离岗人员均要签订保密承诺。网络运行及关键安全设备情况网络基本情况网络使用情况网络设计使用符合相关规定要求。网络与信息系统集成、设计与监理情况集成商、设计单位、监理单位必须具备相关资质（要有资质证书复印件）

网络与信息安全产品防火墙、入侵检测、安全审计、漏洞扫描、违规外联监控、网页防篡改、网络安全隔离网闸、病毒防范等安全产品以及密码设备必须采用通过国家保密局涉密信息系统安全保密测评机构、国家及省级信息安全测评机构测评的测评资质证书，公安部销售许可证；密码产品及研发、生产、销售企业必须具有国家密码管理局的许可资质（各类资质要有资质证书复印件）

学校网络与信息安全检查表

单位：长春市第一五七中学网络与信息安全检查表检查时间：2017.10 类别检测项目检查内容检查要求检查记录检查结果网络安全基础设施建设网络架构安全网络结构设计、网络划分网络结构设计、网络划分符合相关要求是否有不经过防火墙的外联链路（包括拨号外联）外网与内网的连接链路（包括拨号外联）必须经过防火墙网络拓扑结构图提供当前网络的网络拓扑结构图网络分区管理生产控制大区和管理信息大区之间是否按电监会5号令要求部署了专用隔离装置网络使用的各种硬件设备、软件等各种硬件设备、软件和网络接口是否经过安全检验、鉴定、认证。各种硬件设备、软件和网络接口均经过安全检验、鉴定、认证。广域网建设情况广域网是否按集团规定进行建设、并按规定进行连接广域网按集团规定进行建设、并按规定进行连接网络承建单位情况网络承建单位是否具有相关资质网络承建单位具有相关资质（查看相关资质文件）网络内部数据信息网络内部数据信息的产生、使用、存储和维护是否安全、合理等网络内部数据信息的产生、使用、存储和维护安全、合理机房环境安全机房环境安全主机房是否安装了门禁、监控与报警系统主机房安装了门禁、监控与报警系统是否有详细的机房配线图有详细的机房配线图机房供电系统是否将动力、照明用电与计算机系统供电线路分开机房供电系统已将动力、照明用电与计算机系统供电线路分开机房是否配备应急照明装置机房有配备应急照明装置是否定期对UPS的运行状况进行检测定期对UPS的运行状况进行检测（查看半年内检测记录）是否安装机房自动灭火系统，是安装机房自动灭火系统，配备机房专用灭火器，

网络与信息安全检查表

网络与信息安全检查表单位名称：嘉兴市妇幼保健院一、信息安全组织机构基本情况信息安全责任部门信息科分管信息安全工作的领导（如单位正副职领导）①姓名：王立中；职务：副院长； ②姓名：；职务：；信息安全管理机构（如信息中心）①名称：信息科； ②负责人：沈碧飞；职务：科长； ③联系人：龚林峰；电话：；信息安全专职工作处室（如信息科）①名称：； ②联系人：；电话：；信息安全责任部门职责 (可附件另附) 二、重要信息系统基本情况重要信息系统总数：（请另附系统简介清单）系统定级情况第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个等级保护测评完成等级保护测评系统的名称及对应等级：①； ②； ③； ④；服务对象统计①面向社会公众提供服务的系统数量及等级：； ②非面向社会公众提供服务的系统数量及等级：；联网情况统计①通过互联网可直接访问的系统数量及等级：； ②通过互联网不能直接访问的系统数量及等级：；其中，与互联网物理隔离的系统数量及等级：；

数据集中性统计①省级数据集中的系统数量及数据类型：； ②市级数据集中的系统数量及数据类型：； ③县级数据集中的系统数量及数据类型：； ④未进行数据集中的系统数量：；业务连续性统计①可容忍值小于小时的系统数量：； ②可容忍值大于小时，小于小时的系统数量：； ③可容忍值大于小时的系统数量：；系统灾备统计①定期对系统级进行灾备的系统数量：； ②仅对数据库定期进行灾备的系统数量：； ③无灾备措施的系统数量：；业务应用软件系统（统计年内数据）①自主设计开发（不含二次开发）的套数：； ②外包国内服务商开发的套数：；外包国外服务商开发的套数：； ③直接采购国内服务商产品的套数：；直接采购国外服务商产品的套数：；三、日常信息安全运维管理情况人员安全管理①重点岗位人员安全保密协议：全部签订部分签订均未签订； ②人员离岗离职安全管理规定：已制定未制定； ③外部人员机房访问管理制度及权限审批制度：已建立未建立；设备资产管理①资产管理制度：已建立未建立； ②机房设备标签：全部标签合格部分标签合格无标签； ③设备维修维护和报废管理：已建立管理制度，且维修维护和报废记录完整；已建立管理制度，但维修维护和报废记录不完整；未建立管理制度；机房安全管理①机房管理制度：已建立未建立； ②机房日常运维记录：完整详实部分简略无记录； ③人员进出机房记录：完整详实部分简略无记录； ④机房物理环境：达标未达标；采购预算保障①年度采购方案及预算：已建立未建立； ②采购合同：完整部分完整； ③安全设备采购比例：> > <；外包服务管理①外包服务商资质证书：齐全部分齐全； ②外包服务合同：完整部分完整；

质量管理体系审核检查表(机械类企业完整版)

质量管理体系审核检查表审核组长：审核员：受审核部门：部门接待人员：审核日期：标准条款审核要点及方法客观证据评定 1．请管代谈谈QMS的策划、运行时间及QMS建立前后的变化，以便了解企业是否按照标准要求建立、实施、保持和改进 QMS？ 4．1 2．请总经理谈谈企业QMS的主要管理过程的四大过程有哪些，总要求其中产品实现的主要过程过程有哪些，是否存在删减，理由是什么，过程间顺序及关系是否按照PDCA循环的规律来确定和8.1 管理？ 3．企业QMS过程所需资源和信息是否充分，足以支持过程有8.5.1 效运行和监控？ 4．企业QMS及过程测量和监控点是否确定并有效？对测量和监控结果是否有分析、改进活动？（8。1 8。5。1） 5．企业是否存对产品质量有影响的外包过程？如有，在企业 QMS是否明确，实施了控制？ 1．问并查企业是否按照标准要求建立并保持“文件控制程序”？ 2．索要QMS的文件清单，看范围是否包括了标准4.2.1条款规定的所有文件,即企业QMS要求的所有文件 3．抽查手册、程序文件、管理文件、技术文件各1份，看上述文件发布前是否： 1）经过相关部门或人员评审，以确保文件的适用性、完整性、协调性？ 2）得到批准，批准权限是否按程序文件规定的类别、范围、

4．2．3 所处层次执行，以确保文件的适宜性、有效性？ 4．查阅文件的发放记录，看上述文件是否发至使用场所或岗文件控制位？执行人员是否能得到。 (含4.2.1和5．查阅文件更改记录，看文件是否得到及时更改？文件更改前 4.2.2) 是否得到评审和批准？更改的文件是否确保了四个到位（即：所有同一文件更改到位；所有相关文件更改到位；所有相关部门/岗位通知到位；涉及实物时处置到位）？ 6．问并查文件的标识方法，不同类型、状态（如修改、外来文件）的文件是否按规定进行编号、标识，保持清晰，易于识别和检查？ 7．问企业有哪些外来文件？抽查1份现行的外来标准是否列入受控文件清单，发放是否登记？ 8．体系运行以来作废文件有哪些，是否已撤出使用场所？未撤出时，是否有明显标识，能防止非预期使用？ 9．企业文件保管是否指定设施、场所、人员、能确保文件不损坏、不丢失、及时提供？注：符合-不标注不符合—X 观察项--O 审核组长：审核员：受审核部门：部门接待人员：审核日期：标准条款审核要点及方法客观证据评定 1．问并查企业是否按照标准要求建立并保持“记录控制程序”。 2．查阅记录清单和3-5种空白的原始表格，看是否按照标准要求的项目设置了记录？并为确保QMS过程有效运作、控制、证实、改进，是否设置了必要的记录 3、记录是否按规定进行标识？标识是否达到唯一可追溯？ 4．问记录的填写有哪些要求，抽查3种，看其是否规范（真实、 4.2.4

质量管理体系审核检查表范文

4.2.3文件控制是否符合质量管理体系要求的文件？●符合GB/T 19001-2008的质量手册, 或质量手册并附带转换矩阵表 ●文件控制清单或等同物

是否建立了文件化的文件，确定下列所需的控制？ a)在文件发布前得到批准，以确保适宜性? b)必要时，文件评估及更新并得到再次批准? c)确保识别文件的变更和现行修订状态? d)确保适用文件的相关版本在使用现场可得? e)确保文件保持清晰和易于识别? f)确保外来文件得到识别，并控制其分发? g)防止作废文件的非预期使用，如果它们因任何原因需要保留，则需加以适当的标识？●文件批准的授权●文件批准记录 ●不同场所文件的可得性 ●文件处所可知 ●文件可被理解 ●作废文件的贮存,处置 ●内外部文件通知/发放过程 ●修改文件的评审和批准 4.2.4记录控制

是否建立并维护质量记录,以证明符合要求和质量体系的有效运行? ●质量管理体系记录 ●记录维护体系，包括记录的处置记录是否清晰，易于识别和可恢复？●质量管理体系记录的清晰度 ●质量管理体系记录的标识 ●环境和存放条件必须与文件的存储方法相协调（如：硬拷贝，软盘等）

是否建立书面程序，以明确记录的标识、贮存、保护、恢复、保存期限和处置所需的控制? ●依照GB/T 19001-2008的质量手册 ●根据顾客/法规要求确定的保存期限 ●保存期满后记录的处理 ●包括作废文件的标识 ●残缺/过时文件的标识是否把质量记录作为一种特殊类型的文件并根据问题4.2.7和4.2.8的要求进行控制？ ●按照质量手册维护和控制质量记录的证据 5 管理职责

2015质量管理体系审核检查表

ISO9001：2015内审检查表检查内容 4.1 理解组织及其环境是否确定了外部和内部因素，并进行了监视和评审。 4.2 理解相关方的需求和期望是否确定了相关方？是否确定了相关方的要求？是否对这些要求进行了监视和评审？ 4.3 确定质量管理体系的范围是否确定了质量管理体系的范围并批准发布？确定以上内容时，是否考虑了内外部因素、相关方要求、本公司的产品和服务？是否将标准所有要求都制定了具体的实现方法并批准实施？是否有不适用的条款删减？是否说明了删减的理由？ 4.4 质量管理体系及其过程是否确定了管理体系的过程？（乌龟图），包括输入输出、顺序、相互作用、相关的准则和方法、资源、职责权限、风险和机遇？如何评价这些过程？是否发生了过程变更？在哪些方面可以改进这些过程？本公司过程管理的要求是否形成了文件并批准实施？ 5 领导作用 5.1 领导作用和承诺 5.1.1总则是否确定了最高管理者的职责，并签字承诺发布实施？ 5.1.2 以顾客为关注焦点最高管理者是否对以顾客为关注焦点做出了承诺？ 5.2 方针 5.2.1 制定质量方针是否由最高管理者制定了质量方针并发布？ 5.2.2 沟通质量方针质量方针：是否形成了文件？以何种方式进行沟通？员工是否理解？是否可以提供给相关方？ 5.3 组织的岗位、职责和权限是否制定了组织结构图？各岗位是否规定了职责权限？职责权限以何种方式传达给所有相关部门？ 6 策划 6.1 应对风险和机遇的措施是否确定了本公司的风险和机遇？是否确定了应对风险和机遇的措施？是否将这些措施整合到质量管理体系文件中？是否评价了这此措施的有效性 6.2 质量目标及其实现的策划

质量管理体系审核检查表(全部)

质量管理体系审核检查表受审核部门：共页第页不符合报序审核项目标准章、条审核检查记录告单编号在建立质量管理体系过程中，如何识4.1 别过程，明确输入和输出（包括谁负责，如何组织，以什么形式明确等）？如何明确这些过程间输入、输出的接4.1 口关系，识别过程顺序、过程网络？如何明确这些过程开展的活动、活动4.1 的准则和方法，以便有效运作和控制？使用何资源和信息（如指导操作的文4.1 件、相关过程运行的状况等），使过程良好运行，并进行有效的监视？对这些过程如何进行监视、测量、分4.1 析，如何利用有关信息达到预期的目标和持续改进？

对外包的影响到产品符合性的过程，4.1 在质量管理体系中是如何明确要求的？审核员：部门代表：部门其他人员：年月日质量管理体系审核检查表受审核部门：共页第页不符合报序审核项目标准章、条审核检查记录告单编号 4.2.1 是否明确了质量管理体系文件的层次、内容？ 4.2.1 编制了哪些质量管理体系文件？是如何考虑的？是否适宜？ 4.2.2 质量手册适用范围是否明确？是否包括了删减的细节和理由？是否明确了覆盖的产品？ 4.2.2 质量手册是否包括了标准中要求的

六个形成文件的程序（或引用）？对其他重要的质量活动要求是否形成文件？ 4.2.2 质量手册中对受审核方体系的主要过程的叙述是否充分？是否包括了输入、输出、资源、活动等？是否表述了过程的相互作用？ 4.2.2 质量手册是否受控（包括标识、发放、换版等）？审核员：部门代表：部门其他人员：年月日质量管理体系审核检查表受审核部门：共页第页不符合报序审核项目标准章、条审核检查记录告单编号是否编制了有关文件控制的程序文4.2.3 件?

管理体系审核检查表

质量、环境、职业健康安全管理体系受审核部门：市场部陪同人员：审核日期：第页 / 共页审核准则：ISO 9001，ISO 14001，OHSAS 18001、体系文件、适用的法律法规审核员：条款检查内容检查方法检查发现结果评价管理体系 IS O 90 01 IS O 14001 OH SAS 18 001 提问文件查阅现场检查5. 3 组织的岗位、职责和权限 5. 3 组织的岗位、职责和权限 4. 4.1 资源、作用、职责、责任和权限 Q：◆公司内各职位职责是否明确？权限分派、沟通和理解是否适宜？各职责间关系是否明确？ E/S：◆查看部门职责与权限，各部门职责是否有重叠或真空？权限是否明确？理解是否清晰？ ◆是否分派职责和权限，以包括确保体系符合标准要求？确保各过程获得预期效果？向最高管理者报告QEOH的绩效和改进机会？在组织推动以顾客为关注焦点？在策划和实施管理体系变更时保持完整性？ ◆是否任命最高管理者中的成员承担特定的职业健康安全职责，按标准建立、实施和保持职业健康安全管理体系，向最高管理者报告职业健康安全管理体系业绩和任何改进的需求？被任命者是否被公开？所有管理人员是否承诺对体系持续改进，并能在控制的领域内承担责任？

质量、环境、职业健康安全管理体系受审核部门：市场部陪同人员：审核日期：第页 / 共页审核准则：ISO 9001，ISO 14001，OHSAS 18001、体系文件、适用的法律法规审核员：条款检查内容检查方法检查发现结果评价管理体系 IS O 90 01 IS O 14001 OH SAS 18 001 提问文件查阅现场检查6. 1 应对风险和机遇的措施 6. 1.1 6. 1 应对风险和机遇的措施 6. 1.1 总则 Q：◆企业是否有明确可能所需要应对的风险和机遇？为确定需要应对的风险和机遇： ?公司在策划质量管理体系时，是否考虑内部和外部因素？ ?公司在策划质量管理体系时，是否有理解相关方需求？ E：◆策划环境管理体系时，是否考虑到4.1和4.2中所提及的问题？ ◆有无指出环境管理体系的范围？ ◆是否确定需要应对的风险和机遇？以及潜在的紧急情况？ ◆有无相应的需要应对风险和机遇的文件化信息？ 6. 1.2 组织应策 6. 1.2 环境因素 4. 3.1 危险源辨识、风 Q：◆公司是否有策划应对风险和机遇的措施？这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面。 ◆应对风险和机遇的措施是否得到实施和评价措施的有效性？