背景说明
2014 年,ISO/IEC发布了《ISO/IEC工作导则 第一部分》(ISO/IEC Directives, Part 1,第5版),其中的附件SL的附录2为《高阶结构、相同的核心文本、通用术语和核心定义》。此附件在世界范围内的影响是巨大和深远的。目前由于国际标准化组织已公布的管理体系标准数量众多,涉及范围甚广,各个管理体系标准之间存在术语定义不统一、用语不统一、结构不统一、格式不统一等现象,无形中给组织实施这些管理体系乃至实现一体化的管理体系都造成诸多困惑和不便, 且容易造成因理解不一致而使实施产生偏差。有签于此,附件SL附录2对未来管理体系标准的编制提出了统一的结构框架要求。该附件由ISO联合技术协调工作组编制, 得到了ISO/TMB技术管理局的认可,即凡是管理体系标准,除了引言(Introduction)以外,均应与该附件中附录2所列明的结构框架(包含10章内容)相一致。
2015年,ISO9001标准、ISO14001标准都将换版,上述两个标准的新版编写, 都遵循该附件的框架结构。此外, 正在由国际标准化组织编写中的职业健康安全标准(ISO45001,目前处于CD稿阶段),以及已经发布的ISO20121:2012《活动可持续性管理体系 要求及使用指南》等管理体系标准,也都遵循这一共同的结构和框架。
本文对ISO/IEC《工作导则第一部分》中附件SL附录2的内容进行了翻译和整理, 现提供给大家参考学习。有所误漏, 敬请批评指正。
ISO/IEC工作导则 第一部分(2014年 第5版)
附件SL 附录2(规范性附录)
高阶结构、相同的核心文本、通用术语和核心定义
High level structure, identical core text, common terms and core definitions
注:在此共同文本的提案中,XXX=需要插入的管理体系类型的特定限定词(如能源、道路交通安全、信息技术安全、食品安全、社会安全、环境、质量等)。文中起草说明是提供给标准起草者的建议说明。
引言
起草说明:针对本标准。
1 范围
起草说明:针对本标准。
2 规范性引用文件
起草说明:针对本标准。本条款标题应使用。
3 术语和定义
起草说明1:本条款标题应使用。术语和定义要么包含在本标准中,要么用单独文件描述。引用通用术语和核心定义+本标准特定的属于和定义。应根据每一个标准的概念体系来排列术语和定义。
鉴于本标准的目的,采用以下的术语和定义。
起草说明2:以下术语和定义组成了管理体系标准“通用文本”的不可分割的部分,如有需要,可增加术语和定义。鉴于每一个标准的目的,可增加或修改相应的注释。
起草说明3:定义中的斜体字表示与该条款中其他术语的相互引用,括号中给出了所引用术语的编号。
起草说明4:条款文本中凡出现“XXX”的地方,可根据上下文中所采用的术语和定义插入适当的内容。例如:“XXX目标”可由“信息安全目标”替代。
3.01
组织 organization
职责、权限和相互关系得到安排以达成目标(3.08)的一个人或一组人注1:组织的概念包括但不仅限于专营商、公司、法人、事务所、企业、权威机构、合作伙伴、慈善组织或研究机构、团体或团体联合,无论其是否合并,是否为公营或私营。
3.02
相关方(首选术语)interested party (preferred term)
利益相关者(许用术语)
stakeholder (admitted term)
能影响决策或活动,或被其影响,或认为自己能被其影响的人或组织(3.01)
3.03
要求 requirement
明示的、通常隐含的或必须履行的需求或期望
注1:“通常隐含的”指对于组织或相关方而言,考虑中的需求和期望是隐含的,是惯例或一般做法。
注2:规定要求是经明示的要求,如,文件化的信息。
3.04
管理体系 management system
建立方针(3.07)、目标(3.08)和过程(3.12)并实现那些目标的相互作用和相互作用的一组要素
注1:一个管理体系可包括若干个不同方面的管理体系。
注2:体系要素包括组织结构、作用和责任、策划和运作。
注3:管理体系的范围可包括整个组织、组织具体的和已识别的职能、组织具体的和已识别的部分、或跨组织的一个或多个职能。
3.05
最高管理者 top management
在最高层指挥和控制组织(3.01)的一个人或一组人
注1:最高管理者有权安排职权并提供组织内的资源。
注2:如果管理体系(3.04)范围仅覆盖了组织的一部分,那么最高管理者就是指那些指挥并控制该部分组织的人。
3.06
有效性 effectiveness
完成策划的活动并得到策划结果的程度
3.07
方针 policy
由最高管理者(3.05)正式发布的组织(3.01)的意图和方向
3.08
目标 objective
要达到的结果
注1:目标可以是战略层的、战术层的或操作层的。
注2:目标可与不同职能(如财务、健康和安全、环境目标)有关,并可以适用于不同层次(比如战略上的、整个组织的、项目、产品和过程(3.12))。
注3:目标可以多种方式表达,如作为预期结果、目的、操作标准,XXX目标,或通过使用其它相似含义的词汇表达(如宗旨、目的、指标)。
注4:在XXX管理体系中,XXX目标由组织设定,与XXX方针一致,并达到特定结果。
3.09
风险 risk
不确定性的影响
注1:影响是与预期的偏差——积极的或消极的影响。
注2:不确定性是指对于某一事件的结果或可能性的理解或认识的信息不充分、或只有部分信息的情况。
注3:风险通常被描述为潜在的“事件”(如ISO指南73:2009,3.5.1.3所定义)和 “后果”(如ISO指南73:2009,3.6.1.3所定义),或
二者的结合。
注4:风险常以事件结果(包括情况变化)和发生相关“可能性”(如ISO指南 73:2009,3.6.1.1所定义)的结合来表示。
3.10
能力 competence
应用知识和技能以达到预期结果的能力
3.11
形成文件的信息 documented information
需要由组织(3.01)通过媒介控制并保持的信息
注1:形成文件的信息可以任何形式和媒介存在,可来自任何来源。
注2:形成文件的信息可涉及:
—管理体系(3.04),包括相关过程(3.12);
—为了组织运作而创建的信息(文件);
—达到结果的证据(记录)。
3.12
过程 process
将输入转化为输出的相互关联或相互作用的一组活动
3.13
绩效 performance
可测量的结果
注1:绩效可与定性或定量的结果相关。
注2 : 绩效可与活动、过程(3.12)、产品(包括服务)、体系或组织(3.01)的管理相关。
3.14
外包(动词) outsource (verb)
对由外部组织(3.01)实施组织部分职能或过程(3.12)所作出的安排
注1:外部组织不在管理体系(3.04)范围内,尽管外包职能或过程在范围内。
3.15
监视 monitoring
确定体系、过程(3.12)或活动的状态
注1:为确定状态,可能需要核查、监督或密切地观察。
3.16
测量 measurement
确定价值的过程(3.12)
3.17
审核 audit
为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程(3.12)
注1:审核分为内部审核(第一方)或外部审核(第二方或第三方),也可进行联合审核(两个或两个以上的管理体系被一起审核)。
注2:内部审核由组织自己,或由外部团体代表其执行。
注3:“审核证据”和“审核准则”的定义见ISO 19011。
3.18
合格 conformity
符合要求(3.03)
3.19
不合格 nonconformity
不符合要求(3.03)
3.20
纠正措施 corrective action
消除不合格(3.19)的原因并防止其再次发生的措施
3.21
持续改进 continual improvement
提高绩效(3.13)的循环活动
4 组织的环境
4.1 理解组织及其环境
组织应确定与其目标有关的,以及影响实现它的XXX管理体系预期结果的外部和内部问题。
4.2 理解相关方的需求和期望
组织应确定:
—与XXX管理体系有关的相关方;
—这些相关方的要求。
4.3 确定XXX管理体系的范围组织应确定XXX管理体系的边界和适用性,以建立它的范围。
在确定该范围时,组织应考虑:
—4.1中提出的外部和内部问题;
—4.2中提出的要求。
范围应用形成文件的信息予以提供。
4.4 XXX管理体系
应根据本标准/本ISO XXX部分/本技术规范的要求建立、实施、保持和持续改进XXX管理体系,包括所需要的过程及其相互作用。
5 领导作用
5.1 领导作用和承诺
最高管理者应从以下方面证实其对XXX管理体系的领导作用和承诺:
—确保建立XXX方针和XXX目标,并与组织的战略方向保持一致;
—确保将XXX管理体系的要求融入组织的业务过程;
—确保提供XXX管理体系所需要的资源;
—对有效的X X X 管理和符合XXX管理体系的重要性进行沟通;
—确保XXX管理体系实现它的预期结果;
—指导和支持人员促进XXX管理体系的有效性;
—促进持续改进;
—支持其他管理者,证实他们对其所负责区域的领导作用。
注:本国际标准/本ISO XXX部分/本技术规范中提到的“业务”可以宽泛地解释为,是关乎组织存在目的的那些活动。
5.2 方针
最高管理者应建立XXX方针,并使其:
a)与组织的宗旨相适应;
b)提供建立XXX目标的框架;
c)包含对满足适用要求的承诺;
d)包含持续改进XXX管理体系的承诺。
XXX方针应:
—作为形成文件的信息予以提供;
—在组织内部得到沟通;
—适用时,提供给相关方。
5.3 组织的作用、职责和权限
最高管理者应确保相关人员的职责和权限在组织内得到分配和沟通。
最高管理者应分配以下职责和权限:
a)确保XXX管理体系符合本标准/本ISO XXX部分/本技术规范的要求;
b)向最高管理者报告XXX管理体系的业绩。
6 策划
6.1 应对风险和机会的措施策划XXX管理体系时,组织应考虑4.1和4.2提出的要求,并确定需要应对的风险和机会,以便:
—为XXX管理体系实现预期结果提供保证;
—预防或降低不良影响;
—实现持续改进。
组织应策划:
a)应对这些风险和机会的措施;
b)如何做到:
—将措施在XXX管理体系过程中整合和实施;
—评价这些措施的有效性。
6.2 XXX目标和实现目标的策划
组织应在相关的职能和层次上建立XXX目标。
XXX目标应:
a)与XXX方针保持一致;
b)可测量(如果可行);
c)考虑了适用的要求;
d)可以予以监视;
e)可以予以沟通;
f)适当时予以更新。
组织应保留与质量目标有关的形成文件的信息。
在策划如何实现XXX目标时,组织应确定:
—将做什么;
—将需要什么资源;
—谁来负责;
—将在何时完成;
—将如何评价结果。
7 支持
7.1 资源
组织应确定和提供建立、实施、保持和持续改进XXX管理体系所必需的资源。
7.2 能力
组织应:
—确定在其控制下的、影响其质量绩效的人员所需要的能力;
—基于适当的教育、培训和经验,确保这些人员是能够胜任的;
—适用时,采取措施以获得所需要的能力,并评价所采取措施的有效性。
—保留适当的形成文件的信息作为能力的证据。
注:适用的措施可包括诸如提供培训、指导,或对现有人员进行重新调配,或雇用签约有能力的人员。
7.3 意识
组织控制下的工作人员应意识到:
—XXX方针;
—他们对XXX管理体系有效性的贡献,包括对改进XXX绩效的助益;
—不符合XXX管理体系要求的影响。
7.4 沟通
组织应确定与XXX管理体系有关的内部和外部沟通,包括:
—沟通的内容;
—沟通的时机;
—沟通的对象;
—沟通的方式。
7.5 文件化信息
7.5.1 总则
组织的XXX管理体系应包括:
a)本标准/本ISO XXX部分/本技术规范所要求的形成文件的信息;
b)由组织确定的、对于XXX管理体系有效性所必要的形成文件的信息。
注:XXX管理体系形成文件的信息,各个组织可能不同,这取决于:
—组织的规模,及其活动、过程、产品和服务的类型;
—过程及其相互作用的复杂程度;
—人员的能力。
7.5.2 创建与更新
当创建和更新文件信息时,组织应确保适当的:
—识别和描述(例如标题、日期、作者和引用编号);
—格式(例如语言、软件版本、图形)和媒介(如纸张、电子);
—对其适宜性和充分性的评审和批准。
7.5.3 形成文件的信息的控制
XXX管理体系和本标准/本ISOXXX部分/本技术规范所要求的形成文件的信息应予以控制,以确保:
a)无论何时何地需要时,文件信息可以获得,并且适用;
b)给予充分的保护(如防止泄密、误用、缺损)。
对于形成文件的信息的控制,适用时,组织应采取以下措施:
—分发、访问、检索和使用;
—贮存和保护,包括保持清晰;
—修改的控制( 例如版本控制);
—保留和处置。
由组织确定的、XXX管理体系策划和运行所需要的外来形成文件的信息,应适当识别,并加以控制。
注:访问仅表示许可评审文件信息的决定,或对评审和更改文件信息的许可和授权。
8 运行
8.1 运行的策划和控制
起草说明: 如在第8章中无需要添加的子条款,则可删除此子条款标题。
组织应策划、实施和控制满足要求所需要的过程,并通过以下方式实施6.1中确定的措施:
—建立过程的准则;
—按照准则实施过程的控制;
—保留适当的文件化信息,确保过程已按策划的要求实施。
组织应控制经策划的变更,评审非预期变更的后果,必要时采取减少任何不利影响的措施。
组织应确保外包过程得到控制。
9 绩效评价
9.1 监视、测量、分析和评价
组织应确定:
—监视和测量的内容;
—适当的监视、测量、分析和评价的方法,确保结果的有效性;
—监视和测量的时机;
—监视和测量的结果用于分析和评价的时机;
组织应保留适当的形成文件的信息,以作为结果的证据。
组织应对XXX绩效和XXX管理体系的有效性进行评价。
9.2 内部审核
9.2.1 组织应按照计划的时间间隔进行内部审核,提供XXX管理体系的一下信息:
a)是否符合:
—组织自身XXX管理体系的要求;
—本标准/本ISO XXX部分/本技术规范的要求;
b)是否有效地实施和保持。
9.2.2组织应:
a)策划、建立、实施和保持审核程序, 包括频次、方法、职责、计划要求和报告,应考虑到相关过程的重要性以及以往的审核结果;
b)确定每次审核的准则和范围;
c)选择审核员并进行审核,确保审核过程的客观性和公正性;
d)确保将审核结果向相关管理者报告;
e)保存作为实施审核程序和审核结果的证据的形成文件的信息。
9.3 管理评审
最高管理者应按照策划的时间间隔评审组织的XXX管理体系,确保其持续的适宜性、充分性和有效性。
管理评审应考虑到:
a)以往管理评审措施的情况;
b)与XXX管理体系相关的外部和内部问题的变化;
c)有关XXX绩效的信息,包括以下方面的趋势:
—不符合项和纠正措施;
—监视和测量的结果;
—审核结果;
d)持续改进的机会。
管理评审输出应包括持续改进的机会和任何与XXX管理体系有关的变更的需要。
组织应保存作为管理评审结果的证据的形成文件的信息。
10 改进
10.1 不合格和纠正措施
当发生不合格时,组织应:
a)对不合格予以反应,适用时:
—采取措施,控制和纠正不合格;
—处置不合格的影响;
b)通过以下方式,评价消除不合格原因的需求,使其不再发生或在其它地方发生:
—评审不合格;
—确定不合格的原因;
—确定是否存在类似的不合格,
或可能潜在发生;
c)实施任何所需要的措施;
d)评审所采取的任何纠正措施的有效性;
e)如有必要,对XXX管理体系做出更改。
纠正措施应与不合格产生的影响相适应。
组织应保存以下作为证据的形成文件的信息:
—不合格的性质和任何随后采取的措施;
—任何纠正措施的结果。
10.2 持续改进
组织应持续改进XXX管理体系的适用性、充分性和有效性。