《測量管理體系、測量過程和測量設備的要求》(ISO10012:2003)的實施 講八項質量管理原則如何在計量體系中應用(一) 國際組織認為:一個企業(yè)的管理者，若想成功地領導和經營其企業(yè)，需要采用一種系統(tǒng)的、透明的方式對其企業(yè)進行管理。針對所有相關方的需求，實施并保持持續(xù)改進企業(yè)業(yè)績的管理體系，可以使企業(yè)獲得成功。一個企業(yè)的管理活動涉及多方面，如質量管理、環(huán)境管理、職業(yè)與管理、財務管理、計量管理等。計量管理是企業(yè)各項管理的內容之一，也是企業(yè)管理的重要組成部分。 為了更有效地指導企業(yè)實施管理，國際標準化組織質量管理和質量保證技術委員會ISO/TC176于1995年成立了一個工作組，用了約兩年時間，吸納了國際上受尊敬的一批質量管理專家的意見，整理并編撰了八項質量管理原則，同時又把八項質量管理原則應用于2000版ISO9000族標準中。ISO10012是由ISO/TC176的SC3技術分委員會制定的，因此，在ISO10012的引言和相關要求中都提出八項質量管理原則應適用于ISO10012標準。 八項質量管理原則是質量和計量管理的基本、通用的一般性規(guī)律，成為質量和計量管理的理論基礎。八項質量管理原則是企業(yè)領導有效實施質量和計量管理工作必須遵循的原則，也是企業(yè)在市場競爭中取勝的法寶。 以下分析在ISO10012中應如何貫徹八項質量管理原則: 一、以顧客為關注焦點的原則ISO9000標準要求: a.以顧客為關注焦點 組織依存于顧客。因此，組織應當理解顧客當前和未來的需求，滿足顧客要求并爭取超越顧客期望。 1.了解并掌握ISO10012對顧客需求的有關要求 ISO10012標準中多次提出應滿足顧客的需求，如: (1)在ISO10012的“引言”中指出: “以下情況可能引用ISO10012標準:顧客在規(guī)定所要求的產品時”。 (2)在ISO10012“5.3條”中指出:5.3以顧客為關注焦點。 “計量職能的管理者應確保:①將顧客的需要確定下來并轉化為計量要求；②計量管理體系滿足顧客的計量要求；③能證明和符合顧客規(guī)定的要求?！?(3)在ISO10012“8.2.2條”中指出: “顧客滿意:計量職能應就顧客的計量要求是否已滿足來監(jiān)測有關顧客滿意度的信息。” 按照ISO10012上述要求去做，就體現(xiàn)了“以顧客為關注焦點”的原則。 2.什么是顧客的要求 “顧客”一詞是代表性的含義，它代表了市場的需求，代表了政府和法律的要求，代表了所有外部和內部用戶的意見。顧客對計量工作的需求和期望往往不會直接提出。顧客的要求主要體現(xiàn)在:產品技術指標的要求、產品標準、技術規(guī)范的要求、合同的要求以及法律和法規(guī)對產品的性和公平性要求，以及企業(yè)的協(xié)作者對企業(yè)的要求，還包括企業(yè)內部各部門之間模擬市場時的相互要求等。這些要求有的是明確的，如技術標準和合同等；有的是隱含的，如性和公平性要求。 3.顧客要求應轉化為計量的要求 ISO10012標準提出了顧客要求應轉化為計量的要求并提出應監(jiān)測顧客的要求。 計量職能部門的管理者應確保將上述顧客要求和期望確定下來并將其轉化成計量要求。把這些要求表示為 允許誤差、允許不確定度、測量范圍、穩(wěn)定性、分辨率、環(huán)境條件或者操作技能要求等計量要求。計量職能部門的管理者應保證測量管理體系滿足各方面的計量要求，并能提供數(shù)據(jù)證明體系滿足了顧客的要求。 4.測量管理體系如何滿足顧客對計量的要求 (1)計量管理職能通過確定并實施測量管理體系，來保證測量設備和測量過程能夠滿足這些計量要求。并通過對測量設備的計量確認和測量過程的受控程度來保證測量設備和測量過程滿足計量要求。要證明這些計量要求能夠符合產品的技術標準、規(guī)范、合同的要求，符合對測量設備的技術標準、規(guī)范、規(guī)程的要求。滿足計量要求也就是滿足了顧客的要求。 (2)監(jiān)測顧客滿意度 計量職能部門應依據(jù)顧客的計量要求是否已滿足來監(jiān)測有關顧客滿意度的信息。ISO10012標準明確要求要監(jiān)視和測量顧客滿意(8.2.2)。企業(yè)可以借助于數(shù)據(jù)分析提供所需的顧客滿意的信息，進一步通過糾正措施和措施，達到持續(xù)改進的目的。 二、領導作用的原則 ISO9000標準的要求: b.領導作用 確立組織統(tǒng)一的宗旨及方向。他們應當創(chuàng)造并保持使員工能充分參與實現(xiàn)組織目標的內部環(huán)境。 1.企業(yè)計量工作為什么要實行“領導作用”這一原則 在企業(yè)的管理活動中，起著關鍵的作用。計量管理體系也適用于這條原則。計量的特點之一是:“統(tǒng)一性”。這是計量學本質的特性。計量失去統(tǒng)一性，也就失去了存在的意義。計量的統(tǒng)一性不僅限于一個組織，也體現(xiàn)在一個企業(yè)，一個 ，甚至體現(xiàn)在全世界。在企業(yè)計量工作中，要達到統(tǒng)一性，就必須取得 領導的重視，發(fā)揮領導作用，否則就無法實現(xiàn)統(tǒng)一性。因此，計量的另一個特點是“權威性”。沒有高度的權威，就很難實現(xiàn)“統(tǒng)一性”；要做到權威性，就必須發(fā)揮領導的作用。 2.ISO10012條款中體現(xiàn)了“領導作用”的原則 實現(xiàn)“領導作用”主要是通過對組織、 領導以及計量職能部門提出職責和任務，從而體現(xiàn)加強企業(yè)領導的作用。 如，“ISO10012條款中多次提出: 5.管理職責 5.1計量職能 組織應規(guī)定計量職能。組織的 管理者應確保必要的資源以建立和保持計量職能。 指南:計量職能可能是一個單獨的部門或分布在整個組織中。 計量職能的管理者應建立測量管理體系，形成文件，并加以保持和持續(xù)改進其有效性。 5.3質量目標 計量職能的管理者應為測量管理體系規(guī)定可測量的質量目標。應規(guī)定測量過程的客觀的性能準則、程序及其控制。 5.4管理評審 組織的 管理者應按照計劃的時間間隔系統(tǒng)地評審測量管理體系，以確保其持續(xù)的充分性、有效性和適宜性。 管理者應確保評審測量管理體系所需的必要資源。 計量職能的管理者應利用管理評審的結果對體系進行必要的修正，包括改進測量過程和評審質量目標。應記錄所有評審結果和采取的所有措施?！? 3.企業(yè) 領導承擔的職責 企業(yè) 領導應承擔的職責是: ①應為建立和維護企業(yè)計量體系提供必要的人力、物力、財力和其他相關條件，這些條件統(tǒng)稱為“資源”。 ②企業(yè) 領導應在計劃的時間間隔系統(tǒng)地組織對測量管理體系的評審，以保證它被連續(xù)有效地執(zhí)行并滿足需要。在評審體系時，企業(yè) 領導應保證提供評審所需要的設備、設施、人員以及文件資料等條件。測量管理體系管理評審的計劃和安排應納入企業(yè)的文件中。 ③建立并保持計量管理機構及其職能。 企業(yè)應建立計量管理機構，規(guī)定計量部門的職能，以保證計量管理體系的貫徹實施，這是加強企業(yè)計量工作必不可少的先決條件。計量職能是指組織中負責確定并實施測量體系的職能。由于計量工作可能貫穿到整個企業(yè)，所以，計量職能不單是指計量職能部門的職能，還包括整個企業(yè)與計量有關的職能。 4.企業(yè)計量職能部門應承擔的職責是: ①首先應該建立和制定維持并不斷改進測量管理體系的文件。 ②測量管理體系應該滿足顧客對計量的要求。 ③制定測量管理體系的工作質量目標。 計量職能部門的管理者應為測量管理體系制定質量目標。質量目標應規(guī)定實施測量過程的程序和客觀準則，并對它們進行控制。不同規(guī)模和類型的企業(yè)制定的測量體系的質量目標是不相同的。 在ISO10012標準中，專門對企業(yè)計量管理職責規(guī)定了19條要求。這充分體現(xiàn)了“領導作用”這一原則在ISO10012中的貫徹。這是過去任何有關計量管理的國際標準中都沒有過的，充分說明國際標準也認識到了計量管理職責的重要。該標準要求企業(yè)應建立計量管理機構，規(guī)定計量部門的職能，以保證計量管理體系的貫徹實施，這是加強企業(yè)計量工作必不可少的先決條件。(未完待續(xù))

　ISO27001認證體系建設分為四個階段：實施風險評估、規(guī)劃體系建設方案、建立信息管理 體系、體系運行及改進。也符合信息管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保護企業(yè)信息系統(tǒng)的，確保信息的持續(xù)發(fā)展。 　　1、確立范圍 　　首先是確立項目范圍，從機構層次及系統(tǒng)層次兩個維度進行范圍的劃分。從機構層次上，可以考慮 內部機構：需要覆蓋公司的各個部門，其包括總部、事業(yè)部、制造本部、技術本部等;外部機構：則包括 公司信息系統(tǒng)相連的外部機構，包括供應商、中間業(yè)務合作伙伴、及其他合作伙伴等。 　　從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內保障計算機 系統(tǒng)正常運行的設施。包括機房環(huán)境、門禁、監(jiān)控等;網(wǎng)絡系統(tǒng)：構成信息系統(tǒng)網(wǎng)絡傳輸環(huán)境的線路介質 ，設備和軟件;服務器平臺系統(tǒng)：支撐所有信息系統(tǒng)的服務器、網(wǎng)絡設備、客戶機及其操作系統(tǒng)、數(shù)據(jù)庫 、中間件和Web系統(tǒng)等軟件平臺系統(tǒng);應用系統(tǒng)：支撐業(yè)務、辦公和管理應用的應用系統(tǒng);數(shù)據(jù)：整個信息 系統(tǒng)中傳輸以及存儲的數(shù)據(jù);管理：包括策略、規(guī)章制度、人員組織、開發(fā)、項目管理 和系統(tǒng)管理人員在日常運維過程中的合規(guī)、審計等。 　　2、風險評估 　　企業(yè)信息是指保障企業(yè)業(yè)務系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供、可信的服 務，保證信息系統(tǒng)的可用性、完整性和保密性。 　　本次進行的評估，主要包括兩方面的內容： 　　2.1、企業(yè)管理類的評估 　　通過企業(yè)的控制現(xiàn)狀調查、訪談、文檔研讀和ISO27001的 實踐比對，以及在行業(yè)的經驗上 進行“差距分析”，檢查企業(yè)在控制層面上存在的弱點，從而為措施的選擇提供依據(jù)。 　　評估內容包括ISO27001所涵蓋的與信息管理體系相關的11個方面，包括信息策略、組 織、資產分類與控制、人員、物理和環(huán)境、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護、安 全事件管理、業(yè)務連續(xù)性管理、符合性。 　　2.2、企業(yè)技術類評估 　　基于資產等級的分類，通過對信息設備進行的掃描、設備的配置，檢查分析現(xiàn)有網(wǎng)絡 設備、服務器系統(tǒng)、終端、網(wǎng)絡架構的現(xiàn)狀和存在的弱點，為加固提供依據(jù)。 　　針對企業(yè)具有代表性的關鍵應用進行評估。關鍵應用的評估方式采用滲透測試的方法，在應用 評估中將對應用系統(tǒng)的威脅、弱點進行識別，分析其和應用系統(tǒng)的目標之間的差距，為后期改造提 供依據(jù)。 　　提到評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優(yōu)點 ，同時結合企業(yè)自身的特點，建立風險評估模型： 　　在風險評估模型中，主要包含信息資產、弱點、威脅和風險四個要素。每個要素有各自的屬性，信 息資產的屬性是資產價值，弱點的屬性是弱點在現(xiàn)有控制措施的保護下，被威脅利用的可能性以及被威 脅利用后對資產帶來影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴重程度，風險的屬 性是風險級別的高低。風險評估采用定性的風險評估方法，通過分級別的方式進行賦值。 　　3、規(guī)劃體系建設方案 　　企業(yè)信息問題根源分布在技術、人員和管理等多個層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息體系 ，并終落實到管理措施和技術措施，才能確保信息。 　　規(guī)劃體系建設方案是在風險評估的基礎上，對企業(yè)中存在的風險提出建議，增強系統(tǒng)的安 全性和抗攻擊性。 　　在未來1-2年內通過信息體系制的建立與實施，建立組織，技術上進行審計、內外網(wǎng)隔 離的改造、產品的部署，實現(xiàn)以流程為導向的轉型。在未來的 3-5 年內，通過完善的信息體系 和相應的物理環(huán)境改造和業(yè)務連續(xù)性項目的建設，將企業(yè)建設成為一個注重管理，為主，防治結合 的先進型企業(yè)。 　　4、企業(yè)信息體系建設 　　企業(yè)信息體系建立在信息模型與企業(yè)信息化的基礎上，建立信息管理體系核心可以更 好的發(fā)揮六方面的能力：即預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復 (Recover)和反擊(Counter-attack)，體系應該兼顧攘外和安內的功能。 　　體系的建設一是涉及管理制度建設完善;二是涉及到信息技術。首先，針對管理制 度涉及的主要內容包括企業(yè)信息系統(tǒng)的總體方針、技術策略和管理策略等。總體方針 涉及組織機構、管理制度、人員管理、運行維護等方面的制度。技術策略涉 及信息域的劃分、業(yè)務應用的等級、保護思路、說以及進一步的統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡互 聯(lián)、容災備份、集中監(jiān)控等方面的要求。 　　其次，信息技術按其所在的信息系統(tǒng)層次可劃分為物理技術、網(wǎng)絡技術、系統(tǒng)技 術、應用技術，以及基礎設施平臺;同時按照技術所提供的功能又可劃分為保護類、檢 測跟蹤類和響應恢復類三大類技術。結合主流的技術以及未來信息系統(tǒng)發(fā)展的要求，規(guī)劃信息 技術包括：