房地產(chǎn)ISO9001認(rèn)證過程中，容易出現(xiàn)的問題列出如下： 　　4.2.1 　　a.沒有將質(zhì)量方針、質(zhì)量目標(biāo)、質(zhì)量記錄做為文件來控制。 　　b.文件范圍太大，數(shù)量太多，使體系運作效率降低。 　　c.組織的規(guī)模大，過程復(fù)雜，員工的 能力一般，但文件數(shù)量過于少，描述也過于簡單，不能有效地指導(dǎo)質(zhì)量管理體系的運作。 　　4.2.2 　　a.對質(zhì)量管理體系的描述不清晰，所做的裁剪沒有充分的依據(jù)或沒有將依據(jù)明確地描述。 　　b.由于法律法規(guī)及顧客要求的改變，原來所做的裁剪已不適宜或不合理，但沒有及時糾正。 　　c.質(zhì)量手冊對質(zhì)量體系所包含的過程順序和相互作用的表述不清楚，所引用的程序過于散亂，與手冊條款的對應(yīng)關(guān)系不清晰。 　　4.2.3 　　a.沒有對文件是否持續(xù)適用進(jìn)行審核、更新和重新批準(zhǔn)，文 件的規(guī)定與現(xiàn)實的運作有出入。 　　b.由于節(jié)省資源或也于保密的考慮，在文件使用場所沒有適用的文件。 　　c.文件內(nèi)容不清晰或文件使用者所不能理解的語言(如外國語)寫成。 　　d.由于存在一個以 上的體系，所以針對某項要求而檢索文件變得非常困難。 　　e.外來文件沒有得到控制。 　　f.由 于沒有適當(dāng)?shù)臉?biāo)識而使用了作廢文件。 　　4.2.4 　　a.記錄貯存條件不良 。 　　b.記錄不清晰、不完整。 　　c.電子媒體或其他媒體記錄沒有得到符合其技術(shù)特點要求的控 制。 　　d.記錄不易查閱。 　　e.記錄的失效處置不及時，且處理方式與文件化的規(guī)定不符。 　　5.1 　　a. 管理者把做出承諾的工作交給其他人，自己不能清楚地 說明這些承諾是何種方式體現(xiàn)的。 　　b.沒有明確的證據(jù)證明 管理者已在組織內(nèi)部傳達(dá)了滿足顧客以及法律法規(guī) 要求的重要性(如會議、MEMO、板報、宣傳品、廣播等)。 　　c. 管理者不清楚自己在管理評審活動中應(yīng)擔(dān)負(fù)的 職責(zé)和應(yīng)做的事情。 　　d. 管理者不能說明具有識別所需資源的機(jī)制或方式。 　　5.2 　　a.質(zhì)量方針與質(zhì)量目標(biāo)的關(guān)系不清晰。 　　b. 員工不知道質(zhì)量方針或雖能夠背誦質(zhì)量方針，但卻不理解質(zhì)量方針的定義。 　　c.沒有對質(zhì)量方針進(jìn)行定期的評審， 質(zhì)量方針可能已是不適宜的了。 　　d.在組織內(nèi)有一個以上的質(zhì)量方針，員工不能說明哪一個是 的。 　　5.3 　　a.與實現(xiàn)質(zhì)量目標(biāo)有關(guān)的職能部門(層次)，沒有分解到應(yīng)承 擔(dān)的指標(biāo)。 　　b.質(zhì)量目標(biāo)不是書面的，部門負(fù)責(zé)人只能口頭說出一些組織內(nèi)要求的指標(biāo)。 　　c. 質(zhì)量目標(biāo)沒有體現(xiàn)持續(xù)改進(jìn)的承諾。 　　d.質(zhì)量目標(biāo)中個別指標(biāo)無法被測量。 　　e.在策劃產(chǎn)品實 現(xiàn)的過程中，沒有針對產(chǎn)品\項目和合同規(guī)定質(zhì)量目標(biāo)。 　　5.4 　　a.只 在質(zhì)量手冊中描述了應(yīng)進(jìn)行的溝通，但實際操作中如何進(jìn)行溝通沒有規(guī)定的文件，以至于溝通的實際效果不佳。 　　b.沒有進(jìn)行溝通，或溝通只是表面化的工作。 　　c.由于沒有足夠的溝通，各部門任務(wù)職責(zé)和權(quán)限不能做了解，以 至于影響到體系的有效運作。 　　5.5 　　a.管理評審沒有按照規(guī)定的時間 間隔進(jìn)行。 　　b.沒有充分討論那些內(nèi)部和外部的變化對質(zhì)量管理體系的影響。 　　c.連續(xù)幾次管 理評審所提出需改進(jìn)的問題都類似，說明對以往管理評審的跟蹤措施實施不力。 　　d.管理評審輸出中對與顧客要求 有關(guān)的產(chǎn)品的改進(jìn)沒有涉及。 　　6.1 　　a.從質(zhì)量管理體系運作的終效 果來看，組織提供的資源的不充分的。 　　b.造成顧客不滿意的終原因是資源不足。 　　c.對人 員的能力的判斷更多地是從教育、培訓(xùn)、經(jīng)歷等方面考慮而忽略了對技能的要求。 　　6.2 　　a.沒有對全部從事與影響質(zhì)量的人員規(guī)定任職要求。 　　b.沒有按照任職要求分析培訓(xùn)需 求。 　　c.沒有評價培訓(xùn)的有效性。 　　d.員工對他們從事的活動的相互作用和重要性認(rèn)識不 足，也不知道如何為實現(xiàn)質(zhì)量目標(biāo)作出貢獻(xiàn)。 　　e.所保存的培訓(xùn)記錄不能證明要求的經(jīng)歷和資格。 　　6.3 　　a.對為了實現(xiàn)產(chǎn)品符合性所需的設(shè)施，沒有方法識別需要配置 到何種程度是適合的工作場所的空間和條件，不能滿足保證產(chǎn)品質(zhì)量和使顧客滿意的 要求。 　　b.支持性服務(wù)不 能滿足 要求，如通訊/交通工具等。 　　c.維護(hù)只被理解為出現(xiàn)故障的修理，沒有包括有計劃的性維護(hù)保養(yǎng) 。 　　7.1 　　a.沒有對所有的產(chǎn)品實現(xiàn)過程進(jìn)行策劃。 　　b.策劃的結(jié)果千篇一律，而實際不同產(chǎn)品的產(chǎn)品實現(xiàn)過程是不同的。 　　c.策劃的結(jié)果顯示，策劃沒有包括所要求 的全部的應(yīng)策劃的內(nèi)容。 　　d.策劃的結(jié)果與質(zhì)量管理體系的其他要求有矛盾。 　　7.2 　　a.忽視了應(yīng)明確支持方面的要求和與產(chǎn)品相關(guān)的責(zé)任、法律法規(guī)的要求。 　　b.受審核方說所有的要求都已明確，但審核員卻看不到證據(jù)。 　　c.以口頭方式提 出的要求沒有得到評審確認(rèn)的。 　　d.產(chǎn)品要求發(fā)生變更后，有一些有關(guān)的文件沒有得到修改和確認(rèn)。 　　e.與產(chǎn)品要求變更有關(guān)的人員不知道修改后的要求。 　　7.3 　　a.沒有充分地考慮在設(shè)計活動中所需要的組織職責(zé)和技術(shù)接口。 　　b.設(shè)計計劃沒有及時的 更新，以至于計劃失去意義。 　　c.設(shè)計輸入沒有考慮有關(guān)的法律、法規(guī)要求。 　　d.設(shè)計輸出沒 有包含產(chǎn)品驗收準(zhǔn)則或與和正常使用有重大關(guān)系的產(chǎn)品特性。 　　e.設(shè)計評審的參加者沒有包括所有的相關(guān)人員 。 　　f.設(shè)計確認(rèn)沒有在正常生產(chǎn)條件下進(jìn)行。 　　g.對于以項目為單位進(jìn)行設(shè)計、生產(chǎn)和安裝的 活動設(shè)計驗證和設(shè)計確認(rèn)與過程檢驗和終檢驗之間發(fā)生混淆。 　　7.4 　　a.對不同類型的采購過程的控制方式和程度沒有區(qū)別。 　　b.什么是合格的供方，沒有明確的、可操作的標(biāo)準(zhǔn)，選 擇和評價供方具有較多的主觀性。 　　c.對供方評價后的跟進(jìn)措施沒有實施。 　　d.采購信息不齊 全，尤其缺少與質(zhì)量有關(guān)的要求。 　　e.對要求到供方處實施驗證的活動，采購信息中沒有提及。 　　7.5.1 　　a.沒有、充分地考慮到與產(chǎn)品特性有關(guān)的要求如國際、 行業(yè)標(biāo)準(zhǔn)等。 　　b.作業(yè)指導(dǎo)書不充分、操作者隨意性較強(qiáng)。 　　c.作業(yè)指導(dǎo)書的規(guī)定與其他標(biāo)準(zhǔn) (如檢驗標(biāo)準(zhǔn))要求不符，與實際操作不一致。 　　d.缺乏足夠的測量和監(jiān)控設(shè)備。 　　e.缺少危 機(jī)對策。 　　7.5.2 　　a.不會識別哪些過程是特殊過程或識別的結(jié)果是錯 誤的。 　　b.過程確認(rèn)所選擇的方式、方法與該過程的控制要點不匹配。 　　c.特殊過程的特性已 發(fā)生變化，但沒有進(jìn)行新的確認(rèn)。 　　7.5.3 　　a.沒有對顧客的財產(chǎn)進(jìn)行必要的查驗，標(biāo)識和防護(hù)控制。 (房地產(chǎn)開發(fā)一般無顧客財產(chǎn)) 　　7.5.4 　　a.對產(chǎn)品提供的防護(hù)，沒有包括產(chǎn) 品的各個組成部分。 　　b.對產(chǎn)品提供的防護(hù)與顧客的要求不一致。 　　c.只提供了適宜的搬運工 具，但沒有規(guī)定適宜的搬運方法。 　　d.產(chǎn)品的包裝不能有效地保護(hù)產(chǎn)品。 　　e.倉庫規(guī)定的儲存 要求與產(chǎn)品說明書或包裝上的要求不一致。 　　7.6 　　a.使用的測量和監(jiān)控設(shè)備與被測量參數(shù)特性不匹配。 　　b.操作工不清楚測量儀器的讀數(shù)含義及使用的有效期。 　　c.校驗沒注明校驗采用的、可追溯的 標(biāo)準(zhǔn)。 　　d.當(dāng)發(fā)現(xiàn)儀器失準(zhǔn)時，無法追溯和識別已被失準(zhǔn)儀器檢驗過 的產(chǎn)品。 　　e.把在儀器使用中進(jìn)行比較用的儀器附件(如標(biāo)準(zhǔn)物質(zhì))當(dāng)做檢定或校準(zhǔn)的標(biāo)準(zhǔn)。 　　f.企業(yè)自校的儀器沒有制定校準(zhǔn)規(guī)程。 　　8.1 　　a.測量和監(jiān)控活動沒 有包括所需要的全部范圍，如涉及持續(xù)改進(jìn)方面。 　　b.在應(yīng)使用統(tǒng)計技術(shù)的地方，沒有采用統(tǒng)計技術(shù)。 　　c.在顧客滿意度進(jìn)行的監(jiān)控方法不合理，如將無投訴視為顧客滿意。 　　d.監(jiān)控的終結(jié)果不能展現(xiàn)質(zhì)量管理體系的運行績效。 　　8.2 　　a.沒有充分考慮受審核區(qū)域的狀況和重要性。 　　b.審核員與被審核的部門或活動有關(guān)系，通常都發(fā)生在規(guī)模較小的公司。 　　c.選擇不適當(dāng)?shù)娜藛T指導(dǎo)和實施內(nèi)部質(zhì)量審核。 　　d.內(nèi)部質(zhì)量審核中沒有追溯驗證的部分。 　　e.沒有對所有部門進(jìn)行審核的完整記錄。 　　f.糾正措施是由審核員提議的。 　　g.公司的內(nèi)審員不清楚整個審核的程序，內(nèi)部質(zhì)量審核由咨詢顧問實施。 　　8.2.1 　　a.選擇對產(chǎn)品的特性進(jìn)行測量和監(jiān)控的控制點不完整、不科學(xué)。 　　b.測量和監(jiān)控標(biāo)準(zhǔn)未 明確規(guī)定檢驗員在測量時僅憑經(jīng)驗，沒有參照產(chǎn)品手冊中的要求或標(biāo)準(zhǔn)。 　　c.檢驗員不知道如何判斷供方測量和監(jiān)控的結(jié)果。 　　d.測量和監(jiān)控完成后沒有保存相應(yīng)的記錄。 　　e.產(chǎn)品放行的授權(quán)者不能從有關(guān)記 錄找到。 　　f.不符合測量和監(jiān)控標(biāo)準(zhǔn)的要求可能導(dǎo)致嚴(yán)重不合格項的產(chǎn)生。 　　8.3 　　a.未規(guī)定如何處置各個階段測量和監(jiān)控所發(fā)現(xiàn)的不合格品。 　　b.糾正后的不合格品沒有重新檢驗。 　　c.在交付或開始使用后發(fā)現(xiàn)的不合格品，只對不合格 現(xiàn)象采取了措施，沒有對其造成的后果采取措施。 　　d.讓步處理不符合產(chǎn)品時，必要時沒有向顧客、終用戶、法定 機(jī)構(gòu)或其它機(jī)構(gòu)報告。 　　8.4 　　a.沒有根據(jù)管理的需求收集相應(yīng)的數(shù)據(jù) 或收集不全。 　　b.沒有規(guī)定數(shù)據(jù)的分析方法和分析結(jié)果的用途。 　　c.沒有對質(zhì)量管理體系的適宜性和有效性得出結(jié)論。 　　d.沒有有效地指示需要改進(jìn)的功能/區(qū)域。 　　8.5 　　a.對體系持續(xù)改進(jìn)所需要的過程認(rèn)識不清，誤認(rèn)為持續(xù)改進(jìn)就是連續(xù)的糾正與措施。 　　b.糾正措施與措施的概念混淆不清。 　　c.受審核方稱不需要采取措施，但實際情況是體系中表現(xiàn)出許 多有規(guī)律的問題。 　　d.沒有查清問題的根本原因并采取適當(dāng)?shù)拇胧?　　e.沒有對措施的實施進(jìn) 行追蹤驗證。 　　f.害怕記錄客戶的投訴。

　ISO27001認(rèn)證體系建設(shè)分為四個階段：實施風(fēng)險評估、規(guī)劃體系建設(shè)方案、建立信息管理 體系、體系運行及改進(jìn)。也符合信息管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保護(hù)企業(yè)信息系統(tǒng)的，確保信息的持續(xù)發(fā)展。 　　1、確立范圍 　　首先是確立項目范圍，從機(jī)構(gòu)層次及系統(tǒng)層次兩個維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上，可以考慮 內(nèi)部機(jī)構(gòu)：需要覆蓋公司的各個部門，其包括總部、事業(yè)部、制造本部、技術(shù)本部等;外部機(jī)構(gòu)：則包括 公司信息系統(tǒng)相連的外部機(jī)構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。 　　從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內(nèi)保障計算機(jī) 系統(tǒng)正常運行的設(shè)施。包括機(jī)房環(huán)境、門禁、監(jiān)控等;網(wǎng)絡(luò)系統(tǒng)：構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì) ，設(shè)備和軟件;服務(wù)器平臺系統(tǒng)：支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫 、中間件和Web系統(tǒng)等軟件平臺系統(tǒng);應(yīng)用系統(tǒng)：支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng);數(shù)據(jù)：整個信息 系統(tǒng)中傳輸以及存儲的數(shù)據(jù);管理：包括策略、規(guī)章制度、人員組織、開發(fā)、項目管理 和系統(tǒng)管理人員在日常運維過程中的合規(guī)、審計等。 　　2、風(fēng)險評估 　　企業(yè)信息是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供、可信的服 務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。 　　本次進(jìn)行的評估，主要包括兩方面的內(nèi)容： 　　2.1、企業(yè)管理類的評估 　　通過企業(yè)的控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的 實踐比對，以及在行業(yè)的經(jīng)驗上 進(jìn)行“差距分析”，檢查企業(yè)在控制層面上存在的弱點，從而為措施的選擇提供依據(jù)。 　　評估內(nèi)容包括ISO27001所涵蓋的與信息管理體系相關(guān)的11個方面，包括信息策略、組 織、資產(chǎn)分類與控制、人員、物理和環(huán)境、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安 全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。 　　2.2、企業(yè)技術(shù)類評估 　　基于資產(chǎn)等級的分類，通過對信息設(shè)備進(jìn)行的掃描、設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò) 設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)架構(gòu)的現(xiàn)狀和存在的弱點，為加固提供依據(jù)。 　　針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行評估。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法，在應(yīng)用 評估中將對應(yīng)用系統(tǒng)的威脅、弱點進(jìn)行識別，分析其和應(yīng)用系統(tǒng)的目標(biāo)之間的差距，為后期改造提 供依據(jù)。 　　提到評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優(yōu)點 ，同時結(jié)合企業(yè)自身的特點，建立風(fēng)險評估模型： 　　在風(fēng)險評估模型中，主要包含信息資產(chǎn)、弱點、威脅和風(fēng)險四個要素。每個要素有各自的屬性，信 息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是弱點在現(xiàn)有控制措施的保護(hù)下，被威脅利用的可能性以及被威 脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度，風(fēng)險的屬 性是風(fēng)險級別的高低。風(fēng)險評估采用定性的風(fēng)險評估方法，通過分級別的方式進(jìn)行賦值。 　　3、規(guī)劃體系建設(shè)方案 　　企業(yè)信息問題根源分布在技術(shù)、人員和管理等多個層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息體系 ，并終落實到管理措施和技術(shù)措施，才能確保信息。 　　規(guī)劃體系建設(shè)方案是在風(fēng)險評估的基礎(chǔ)上，對企業(yè)中存在的風(fēng)險提出建議，增強(qiáng)系統(tǒng)的安 全性和抗攻擊性。 　　在未來1-2年內(nèi)通過信息體系制的建立與實施，建立組織，技術(shù)上進(jìn)行審計、內(nèi)外網(wǎng)隔 離的改造、產(chǎn)品的部署，實現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi)，通過完善的信息體系 和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項目的建設(shè)，將企業(yè)建設(shè)成為一個注重管理，為主，防治結(jié)合 的先進(jìn)型企業(yè)。 　　4、企業(yè)信息體系建設(shè) 　　企業(yè)信息體系建立在信息模型與企業(yè)信息化的基礎(chǔ)上，建立信息管理體系核心可以更 好的發(fā)揮六方面的能力：即預(yù)警(Warn)、保護(hù)(Protect)、檢測(Detect)、反應(yīng)(Response)、恢復(fù) (Recover)和反擊(Counter-attack)，體系應(yīng)該兼顧攘外和安內(nèi)的功能。 　　體系的建設(shè)一是涉及管理制度建設(shè)完善;二是涉及到信息技術(shù)。首先，針對管理制 度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體方針、技術(shù)策略和管理策略等?？傮w方針 涉及組織機(jī)構(gòu)、管理制度、人員管理、運行維護(hù)等方面的制度。技術(shù)策略涉 及信息域的劃分、業(yè)務(wù)應(yīng)用的等級、保護(hù)思路、說以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡(luò)互 聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。 　　其次，信息技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理技術(shù)、網(wǎng)絡(luò)技術(shù)、系統(tǒng)技 術(shù)、應(yīng)用技術(shù)，以及基礎(chǔ)設(shè)施平臺;同時按照技術(shù)所提供的功能又可劃分為保護(hù)類、檢 測跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的技術(shù)以及未來信息系統(tǒng)發(fā)展的要求，規(guī)劃信息 技術(shù)包括：