房地產(chǎn)ISO9001認證過程中，容易出現(xiàn)的問題列出如下： 　　4.2.1 　　a.沒有將質(zhì)量方針、質(zhì)量目標、質(zhì)量記錄做為文件來控制。 　　b.文件范圍太大，數(shù)量太多，使體系運作效率降低。 　　c.組織的規(guī)模大，過程復雜，員工的 能力一般，但文件數(shù)量過于少，描述也過于簡單，不能有效地指導質(zhì)量管理體系的運作。 　　4.2.2 　　a.對質(zhì)量管理體系的描述不清晰，所做的裁剪沒有充分的依據(jù)或沒有將依據(jù)明確地描述。 　　b.由于法律法規(guī)及顧客要求的改變，原來所做的裁剪已不適宜或不合理，但沒有及時糾正。 　　c.質(zhì)量手冊對質(zhì)量體系所包含的過程順序和相互作用的表述不清楚，所引用的程序過于散亂，與手冊條款的對應關(guān)系不清晰。 　　4.2.3 　　a.沒有對文件是否持續(xù)適用進行審核、更新和重新批準，文 件的規(guī)定與現(xiàn)實的運作有出入。 　　b.由于節(jié)省資源或也于保密的考慮，在文件使用場所沒有適用的文件。 　　c.文件內(nèi)容不清晰或文件使用者所不能理解的語言(如外國語)寫成。 　　d.由于存在一個以 上的體系，所以針對某項要求而檢索文件變得非常困難。 　　e.外來文件沒有得到控制。 　　f.由 于沒有適當?shù)臉俗R而使用了作廢文件。 　　4.2.4 　　a.記錄貯存條件不良 。 　　b.記錄不清晰、不完整。 　　c.電子媒體或其他媒體記錄沒有得到符合其技術(shù)特點要求的控 制。 　　d.記錄不易查閱。 　　e.記錄的失效處置不及時，且處理方式與文件化的規(guī)定不符。 　　5.1 　　a. 管理者把做出承諾的工作交給其他人，自己不能清楚地 說明這些承諾是何種方式體現(xiàn)的。 　　b.沒有明確的證據(jù)證明 管理者已在組織內(nèi)部傳達了滿足顧客以及法律法規(guī) 要求的重要性(如會議、MEMO、板報、宣傳品、廣播等)。 　　c. 管理者不清楚自己在管理評審活動中應擔負的 職責和應做的事情。 　　d. 管理者不能說明具有識別所需資源的機制或方式。 　　5.2 　　a.質(zhì)量方針與質(zhì)量目標的關(guān)系不清晰。 　　b. 員工不知道質(zhì)量方針或雖能夠背誦質(zhì)量方針，但卻不理解質(zhì)量方針的定義。 　　c.沒有對質(zhì)量方針進行定期的評審， 質(zhì)量方針可能已是不適宜的了。 　　d.在組織內(nèi)有一個以上的質(zhì)量方針，員工不能說明哪一個是 的。 　　5.3 　　a.與實現(xiàn)質(zhì)量目標有關(guān)的職能部門(層次)，沒有分解到應承 擔的指標。 　　b.質(zhì)量目標不是書面的，部門負責人只能口頭說出一些組織內(nèi)要求的指標。 　　c. 質(zhì)量目標沒有體現(xiàn)持續(xù)改進的承諾。 　　d.質(zhì)量目標中個別指標無法被測量。 　　e.在策劃產(chǎn)品實 現(xiàn)的過程中，沒有針對產(chǎn)品\項目和合同規(guī)定質(zhì)量目標。 　　5.4 　　a.只 在質(zhì)量手冊中描述了應進行的溝通，但實際操作中如何進行溝通沒有規(guī)定的文件，以至于溝通的實際效果不佳。 　　b.沒有進行溝通，或溝通只是表面化的工作。 　　c.由于沒有足夠的溝通，各部門任務職責和權(quán)限不能做了解，以 至于影響到體系的有效運作。 　　5.5 　　a.管理評審沒有按照規(guī)定的時間 間隔進行。 　　b.沒有充分討論那些內(nèi)部和外部的變化對質(zhì)量管理體系的影響。 　　c.連續(xù)幾次管 理評審所提出需改進的問題都類似，說明對以往管理評審的跟蹤措施實施不力。 　　d.管理評審輸出中對與顧客要求 有關(guān)的產(chǎn)品的改進沒有涉及。 　　6.1 　　a.從質(zhì)量管理體系運作的終效 果來看，組織提供的資源的不充分的。 　　b.造成顧客不滿意的終原因是資源不足。 　　c.對人 員的能力的判斷更多地是從教育、培訓、經(jīng)歷等方面考慮而忽略了對技能的要求。 　　6.2 　　a.沒有對全部從事與影響質(zhì)量的人員規(guī)定任職要求。 　　b.沒有按照任職要求分析培訓需 求。 　　c.沒有評價培訓的有效性。 　　d.員工對他們從事的活動的相互作用和重要性認識不 足，也不知道如何為實現(xiàn)質(zhì)量目標作出貢獻。 　　e.所保存的培訓記錄不能證明要求的經(jīng)歷和資格。 　　6.3 　　a.對為了實現(xiàn)產(chǎn)品符合性所需的設施，沒有方法識別需要配置 到何種程度是適合的工作場所的空間和條件，不能滿足保證產(chǎn)品質(zhì)量和使顧客滿意的 要求。 　　b.支持性服務不 能滿足 要求，如通訊/交通工具等。 　　c.維護只被理解為出現(xiàn)故障的修理，沒有包括有計劃的性維護保養(yǎng) 。 　　7.1 　　a.沒有對所有的產(chǎn)品實現(xiàn)過程進行策劃。 　　b.策劃的結(jié)果千篇一律，而實際不同產(chǎn)品的產(chǎn)品實現(xiàn)過程是不同的。 　　c.策劃的結(jié)果顯示，策劃沒有包括所要求 的全部的應策劃的內(nèi)容。 　　d.策劃的結(jié)果與質(zhì)量管理體系的其他要求有矛盾。 　　7.2 　　a.忽視了應明確支持方面的要求和與產(chǎn)品相關(guān)的責任、法律法規(guī)的要求。 　　b.受審核方說所有的要求都已明確，但審核員卻看不到證據(jù)。 　　c.以口頭方式提 出的要求沒有得到評審確認的。 　　d.產(chǎn)品要求發(fā)生變更后，有一些有關(guān)的文件沒有得到修改和確認。 　　e.與產(chǎn)品要求變更有關(guān)的人員不知道修改后的要求。 　　7.3 　　a.沒有充分地考慮在設計活動中所需要的組織職責和技術(shù)接口。 　　b.設計計劃沒有及時的 更新，以至于計劃失去意義。 　　c.設計輸入沒有考慮有關(guān)的法律、法規(guī)要求。 　　d.設計輸出沒 有包含產(chǎn)品驗收準則或與和正常使用有重大關(guān)系的產(chǎn)品特性。 　　e.設計評審的參加者沒有包括所有的相關(guān)人員 。 　　f.設計確認沒有在正常生產(chǎn)條件下進行。 　　g.對于以項目為單位進行設計、生產(chǎn)和安裝的 活動設計驗證和設計確認與過程檢驗和終檢驗之間發(fā)生混淆。 　　7.4 　　a.對不同類型的采購過程的控制方式和程度沒有區(qū)別。 　　b.什么是合格的供方，沒有明確的、可操作的標準，選 擇和評價供方具有較多的主觀性。 　　c.對供方評價后的跟進措施沒有實施。 　　d.采購信息不齊 全，尤其缺少與質(zhì)量有關(guān)的要求。 　　e.對要求到供方處實施驗證的活動，采購信息中沒有提及。 　　7.5.1 　　a.沒有、充分地考慮到與產(chǎn)品特性有關(guān)的要求如國際、 行業(yè)標準等。 　　b.作業(yè)指導書不充分、操作者隨意性較強。 　　c.作業(yè)指導書的規(guī)定與其他標準 (如檢驗標準)要求不符，與實際操作不一致。 　　d.缺乏足夠的測量和監(jiān)控設備。 　　e.缺少危 機對策。 　　7.5.2 　　a.不會識別哪些過程是特殊過程或識別的結(jié)果是錯 誤的。 　　b.過程確認所選擇的方式、方法與該過程的控制要點不匹配。 　　c.特殊過程的特性已 發(fā)生變化，但沒有進行新的確認。 　　7.5.3 　　a.沒有對顧客的財產(chǎn)進行必要的查驗，標識和防護控制。 (房地產(chǎn)開發(fā)一般無顧客財產(chǎn)) 　　7.5.4 　　a.對產(chǎn)品提供的防護，沒有包括產(chǎn) 品的各個組成部分。 　　b.對產(chǎn)品提供的防護與顧客的要求不一致。 　　c.只提供了適宜的搬運工 具，但沒有規(guī)定適宜的搬運方法。 　　d.產(chǎn)品的包裝不能有效地保護產(chǎn)品。 　　e.倉庫規(guī)定的儲存 要求與產(chǎn)品說明書或包裝上的要求不一致。 　　7.6 　　a.使用的測量和監(jiān)控設備與被測量參數(shù)特性不匹配。 　　b.操作工不清楚測量儀器的讀數(shù)含義及使用的有效期。 　　c.校驗沒注明校驗采用的、可追溯的 標準。 　　d.當發(fā)現(xiàn)儀器失準時，無法追溯和識別已被失準儀器檢驗過 的產(chǎn)品。 　　e.把在儀器使用中進行比較用的儀器附件(如標準物質(zhì))當做檢定或校準的標準。 　　f.企業(yè)自校的儀器沒有制定校準規(guī)程。 　　8.1 　　a.測量和監(jiān)控活動沒 有包括所需要的全部范圍，如涉及持續(xù)改進方面。 　　b.在應使用統(tǒng)計技術(shù)的地方，沒有采用統(tǒng)計技術(shù)。 　　c.在顧客滿意度進行的監(jiān)控方法不合理，如將無投訴視為顧客滿意。 　　d.監(jiān)控的終結(jié)果不能展現(xiàn)質(zhì)量管理體系的運行績效。 　　8.2 　　a.沒有充分考慮受審核區(qū)域的狀況和重要性。 　　b.審核員與被審核的部門或活動有關(guān)系，通常都發(fā)生在規(guī)模較小的公司。 　　c.選擇不適當?shù)娜藛T指導和實施內(nèi)部質(zhì)量審核。 　　d.內(nèi)部質(zhì)量審核中沒有追溯驗證的部分。 　　e.沒有對所有部門進行審核的完整記錄。 　　f.糾正措施是由審核員提議的。 　　g.公司的內(nèi)審員不清楚整個審核的程序，內(nèi)部質(zhì)量審核由咨詢顧問實施。 　　8.2.1 　　a.選擇對產(chǎn)品的特性進行測量和監(jiān)控的控制點不完整、不科學。 　　b.測量和監(jiān)控標準未 明確規(guī)定檢驗員在測量時僅憑經(jīng)驗，沒有參照產(chǎn)品手冊中的要求或標準。 　　c.檢驗員不知道如何判斷供方測量和監(jiān)控的結(jié)果。 　　d.測量和監(jiān)控完成后沒有保存相應的記錄。 　　e.產(chǎn)品放行的授權(quán)者不能從有關(guān)記 錄找到。 　　f.不符合測量和監(jiān)控標準的要求可能導致嚴重不合格項的產(chǎn)生。 　　8.3 　　a.未規(guī)定如何處置各個階段測量和監(jiān)控所發(fā)現(xiàn)的不合格品。 　　b.糾正后的不合格品沒有重新檢驗。 　　c.在交付或開始使用后發(fā)現(xiàn)的不合格品，只對不合格 現(xiàn)象采取了措施，沒有對其造成的后果采取措施。 　　d.讓步處理不符合產(chǎn)品時，必要時沒有向顧客、終用戶、法定 機構(gòu)或其它機構(gòu)報告。 　　8.4 　　a.沒有根據(jù)管理的需求收集相應的數(shù)據(jù) 或收集不全。 　　b.沒有規(guī)定數(shù)據(jù)的分析方法和分析結(jié)果的用途。 　　c.沒有對質(zhì)量管理體系的適宜性和有效性得出結(jié)論。 　　d.沒有有效地指示需要改進的功能/區(qū)域。 　　8.5 　　a.對體系持續(xù)改進所需要的過程認識不清，誤認為持續(xù)改進就是連續(xù)的糾正與措施。 　　b.糾正措施與措施的概念混淆不清。 　　c.受審核方稱不需要采取措施，但實際情況是體系中表現(xiàn)出許 多有規(guī)律的問題。 　　d.沒有查清問題的根本原因并采取適當?shù)拇胧?　　e.沒有對措施的實施進 行追蹤驗證。 　　f.害怕記錄客戶的投訴。

ISO27001認證信息風險評估 目的：實施風險評估，識別不可接受風險，明確管理目標。 內(nèi)容：風險評估是整個風險管理的基礎(chǔ)，本階段將根據(jù)前期策劃的風險評估方法。 包括：a. 根據(jù)業(yè)務要求及信息的密級劃分，對信息資產(chǎn)的重要程度進行判定，識別對關(guān)鍵核心業(yè)務具有關(guān)鍵 作用的信息資產(chǎn)清單;對重要信息資產(chǎn)從內(nèi)部及外部識別其所面臨的威脅; b. 根據(jù)威脅，從管理和技術(shù)兩方面識別重要信息資產(chǎn)所存在的薄弱點; c. 根據(jù)風險評估的方法指南，對威脅利用薄弱點對重要信息資產(chǎn)所產(chǎn)生的風險在保密性、完整性、可 用性三方面所造成的影響進行評價;評價威脅利用薄弱點引發(fā)風險事件的可能性; d. 根據(jù)風險影響及發(fā)生的可能性評價風險等級; e. 根據(jù)信息方針，各核心業(yè)務流程的要求，與管理層進行溝通，確定不可接受風險等級的標 準; f. 針對不可接受的高風險，制定風險處理計劃，從ISO27002及顧問的行業(yè)經(jīng)驗來選擇適宜的風險管 控措施;實施所選擇的控制措施，降低、轉(zhuǎn)移或風險; g. 編寫風險評估報告。