房地產(chǎn)ISO9001認證過程中，容易出現(xiàn)的問題列出如下： 　　4.2.1 　　a.沒有將質(zhì)量方針、質(zhì)量目標、質(zhì)量記錄做為文件來控制。 　　b.文件范圍太大，數(shù)量太多，使體系運作效率降低。 　　c.組織的規(guī)模大，過程復雜，員工的 能力一般，但文件數(shù)量過于少，描述也過于簡單，不能有效地指導質(zhì)量管理體系的運作。 　　4.2.2 　　a.對質(zhì)量管理體系的描述不清晰，所做的裁剪沒有充分的依據(jù)或沒有將依據(jù)明確地描述。 　　b.由于法律法規(guī)及顧客要求的改變，原來所做的裁剪已不適宜或不合理，但沒有及時糾正。 　　c.質(zhì)量手冊對質(zhì)量體系所包含的過程順序和相互作用的表述不清楚，所引用的程序過于散亂，與手冊條款的對應關系不清晰。 　　4.2.3 　　a.沒有對文件是否持續(xù)適用進行審核、更新和重新批準，文 件的規(guī)定與現(xiàn)實的運作有出入。 　　b.由于節(jié)省資源或也于保密的考慮，在文件使用場所沒有適用的文件。 　　c.文件內(nèi)容不清晰或文件使用者所不能理解的語言(如外國語)寫成。 　　d.由于存在一個以 上的體系，所以針對某項要求而檢索文件變得非常困難。 　　e.外來文件沒有得到控制。 　　f.由 于沒有適當?shù)臉俗R而使用了作廢文件。 　　4.2.4 　　a.記錄貯存條件不良 。 　　b.記錄不清晰、不完整。 　　c.電子媒體或其他媒體記錄沒有得到符合其技術特點要求的控 制。 　　d.記錄不易查閱。 　　e.記錄的失效處置不及時，且處理方式與文件化的規(guī)定不符。 　　5.1 　　a. 管理者把做出承諾的工作交給其他人，自己不能清楚地 說明這些承諾是何種方式體現(xiàn)的。 　　b.沒有明確的證據(jù)證明 管理者已在組織內(nèi)部傳達了滿足顧客以及法律法規(guī) 要求的重要性(如會議、MEMO、板報、宣傳品、廣播等)。 　　c. 管理者不清楚自己在管理評審活動中應擔負的 職責和應做的事情。 　　d. 管理者不能說明具有識別所需資源的機制或方式。 　　5.2 　　a.質(zhì)量方針與質(zhì)量目標的關系不清晰。 　　b. 員工不知道質(zhì)量方針或雖能夠背誦質(zhì)量方針，但卻不理解質(zhì)量方針的定義。 　　c.沒有對質(zhì)量方針進行定期的評審， 質(zhì)量方針可能已是不適宜的了。 　　d.在組織內(nèi)有一個以上的質(zhì)量方針，員工不能說明哪一個是 的。 　　5.3 　　a.與實現(xiàn)質(zhì)量目標有關的職能部門(層次)，沒有分解到應承 擔的指標。 　　b.質(zhì)量目標不是書面的，部門負責人只能口頭說出一些組織內(nèi)要求的指標。 　　c. 質(zhì)量目標沒有體現(xiàn)持續(xù)改進的承諾。 　　d.質(zhì)量目標中個別指標無法被測量。 　　e.在策劃產(chǎn)品實 現(xiàn)的過程中，沒有針對產(chǎn)品\項目和合同規(guī)定質(zhì)量目標。 　　5.4 　　a.只 在質(zhì)量手冊中描述了應進行的溝通，但實際操作中如何進行溝通沒有規(guī)定的文件，以至于溝通的實際效果不佳。 　　b.沒有進行溝通，或溝通只是表面化的工作。 　　c.由于沒有足夠的溝通，各部門任務職責和權限不能做了解，以 至于影響到體系的有效運作。 　　5.5 　　a.管理評審沒有按照規(guī)定的時間 間隔進行。 　　b.沒有充分討論那些內(nèi)部和外部的變化對質(zhì)量管理體系的影響。 　　c.連續(xù)幾次管 理評審所提出需改進的問題都類似，說明對以往管理評審的跟蹤措施實施不力。 　　d.管理評審輸出中對與顧客要求 有關的產(chǎn)品的改進沒有涉及。 　　6.1 　　a.從質(zhì)量管理體系運作的終效 果來看，組織提供的資源的不充分的。 　　b.造成顧客不滿意的終原因是資源不足。 　　c.對人 員的能力的判斷更多地是從教育、培訓、經(jīng)歷等方面考慮而忽略了對技能的要求。 　　6.2 　　a.沒有對全部從事與影響質(zhì)量的人員規(guī)定任職要求。 　　b.沒有按照任職要求分析培訓需 求。 　　c.沒有評價培訓的有效性。 　　d.員工對他們從事的活動的相互作用和重要性認識不 足，也不知道如何為實現(xiàn)質(zhì)量目標作出貢獻。 　　e.所保存的培訓記錄不能證明要求的經(jīng)歷和資格。 　　6.3 　　a.對為了實現(xiàn)產(chǎn)品符合性所需的設施，沒有方法識別需要配置 到何種程度是適合的工作場所的空間和條件，不能滿足保證產(chǎn)品質(zhì)量和使顧客滿意的 要求。 　　b.支持性服務不 能滿足 要求，如通訊/交通工具等。 　　c.維護只被理解為出現(xiàn)故障的修理，沒有包括有計劃的性維護保養(yǎng) 。 　　7.1 　　a.沒有對所有的產(chǎn)品實現(xiàn)過程進行策劃。 　　b.策劃的結果千篇一律，而實際不同產(chǎn)品的產(chǎn)品實現(xiàn)過程是不同的。 　　c.策劃的結果顯示，策劃沒有包括所要求 的全部的應策劃的內(nèi)容。 　　d.策劃的結果與質(zhì)量管理體系的其他要求有矛盾。 　　7.2 　　a.忽視了應明確支持方面的要求和與產(chǎn)品相關的責任、法律法規(guī)的要求。 　　b.受審核方說所有的要求都已明確，但審核員卻看不到證據(jù)。 　　c.以口頭方式提 出的要求沒有得到評審確認的。 　　d.產(chǎn)品要求發(fā)生變更后，有一些有關的文件沒有得到修改和確認。 　　e.與產(chǎn)品要求變更有關的人員不知道修改后的要求。 　　7.3 　　a.沒有充分地考慮在設計活動中所需要的組織職責和技術接口。 　　b.設計計劃沒有及時的 更新，以至于計劃失去意義。 　　c.設計輸入沒有考慮有關的法律、法規(guī)要求。 　　d.設計輸出沒 有包含產(chǎn)品驗收準則或與和正常使用有重大關系的產(chǎn)品特性。 　　e.設計評審的參加者沒有包括所有的相關人員 。 　　f.設計確認沒有在正常生產(chǎn)條件下進行。 　　g.對于以項目為單位進行設計、生產(chǎn)和安裝的 活動設計驗證和設計確認與過程檢驗和終檢驗之間發(fā)生混淆。 　　7.4 　　a.對不同類型的采購過程的控制方式和程度沒有區(qū)別。 　　b.什么是合格的供方，沒有明確的、可操作的標準，選 擇和評價供方具有較多的主觀性。 　　c.對供方評價后的跟進措施沒有實施。 　　d.采購信息不齊 全，尤其缺少與質(zhì)量有關的要求。 　　e.對要求到供方處實施驗證的活動，采購信息中沒有提及。 　　7.5.1 　　a.沒有、充分地考慮到與產(chǎn)品特性有關的要求如國際、 行業(yè)標準等。 　　b.作業(yè)指導書不充分、操作者隨意性較強。 　　c.作業(yè)指導書的規(guī)定與其他標準 (如檢驗標準)要求不符，與實際操作不一致。 　　d.缺乏足夠的測量和監(jiān)控設備。 　　e.缺少危 機對策。 　　7.5.2 　　a.不會識別哪些過程是特殊過程或識別的結果是錯 誤的。 　　b.過程確認所選擇的方式、方法與該過程的控制要點不匹配。 　　c.特殊過程的特性已 發(fā)生變化，但沒有進行新的確認。 　　7.5.3 　　a.沒有對顧客的財產(chǎn)進行必要的查驗，標識和防護控制。 (房地產(chǎn)開發(fā)一般無顧客財產(chǎn)) 　　7.5.4 　　a.對產(chǎn)品提供的防護，沒有包括產(chǎn) 品的各個組成部分。 　　b.對產(chǎn)品提供的防護與顧客的要求不一致。 　　c.只提供了適宜的搬運工 具，但沒有規(guī)定適宜的搬運方法。 　　d.產(chǎn)品的包裝不能有效地保護產(chǎn)品。 　　e.倉庫規(guī)定的儲存 要求與產(chǎn)品說明書或包裝上的要求不一致。 　　7.6 　　a.使用的測量和監(jiān)控設備與被測量參數(shù)特性不匹配。 　　b.操作工不清楚測量儀器的讀數(shù)含義及使用的有效期。 　　c.校驗沒注明校驗采用的、可追溯的 標準。 　　d.當發(fā)現(xiàn)儀器失準時，無法追溯和識別已被失準儀器檢驗過 的產(chǎn)品。 　　e.把在儀器使用中進行比較用的儀器附件(如標準物質(zhì))當做檢定或校準的標準。 　　f.企業(yè)自校的儀器沒有制定校準規(guī)程。 　　8.1 　　a.測量和監(jiān)控活動沒 有包括所需要的全部范圍，如涉及持續(xù)改進方面。 　　b.在應使用統(tǒng)計技術的地方，沒有采用統(tǒng)計技術。 　　c.在顧客滿意度進行的監(jiān)控方法不合理，如將無投訴視為顧客滿意。 　　d.監(jiān)控的終結果不能展現(xiàn)質(zhì)量管理體系的運行績效。 　　8.2 　　a.沒有充分考慮受審核區(qū)域的狀況和重要性。 　　b.審核員與被審核的部門或活動有關系，通常都發(fā)生在規(guī)模較小的公司。 　　c.選擇不適當?shù)娜藛T指導和實施內(nèi)部質(zhì)量審核。 　　d.內(nèi)部質(zhì)量審核中沒有追溯驗證的部分。 　　e.沒有對所有部門進行審核的完整記錄。 　　f.糾正措施是由審核員提議的。 　　g.公司的內(nèi)審員不清楚整個審核的程序，內(nèi)部質(zhì)量審核由咨詢顧問實施。 　　8.2.1 　　a.選擇對產(chǎn)品的特性進行測量和監(jiān)控的控制點不完整、不科學。 　　b.測量和監(jiān)控標準未 明確規(guī)定檢驗員在測量時僅憑經(jīng)驗，沒有參照產(chǎn)品手冊中的要求或標準。 　　c.檢驗員不知道如何判斷供方測量和監(jiān)控的結果。 　　d.測量和監(jiān)控完成后沒有保存相應的記錄。 　　e.產(chǎn)品放行的授權者不能從有關記 錄找到。 　　f.不符合測量和監(jiān)控標準的要求可能導致嚴重不合格項的產(chǎn)生。 　　8.3 　　a.未規(guī)定如何處置各個階段測量和監(jiān)控所發(fā)現(xiàn)的不合格品。 　　b.糾正后的不合格品沒有重新檢驗。 　　c.在交付或開始使用后發(fā)現(xiàn)的不合格品，只對不合格 現(xiàn)象采取了措施，沒有對其造成的后果采取措施。 　　d.讓步處理不符合產(chǎn)品時，必要時沒有向顧客、終用戶、法定 機構或其它機構報告。 　　8.4 　　a.沒有根據(jù)管理的需求收集相應的數(shù)據(jù) 或收集不全。 　　b.沒有規(guī)定數(shù)據(jù)的分析方法和分析結果的用途。 　　c.沒有對質(zhì)量管理體系的適宜性和有效性得出結論。 　　d.沒有有效地指示需要改進的功能/區(qū)域。 　　8.5 　　a.對體系持續(xù)改進所需要的過程認識不清，誤認為持續(xù)改進就是連續(xù)的糾正與措施。 　　b.糾正措施與措施的概念混淆不清。 　　c.受審核方稱不需要采取措施，但實際情況是體系中表現(xiàn)出許 多有規(guī)律的問題。 　　d.沒有查清問題的根本原因并采取適當?shù)拇胧?　　e.沒有對措施的實施進 行追蹤驗證。 　　f.害怕記錄客戶的投訴。

　ISO27001認證體系建設分為四個階段：實施風險評估、規(guī)劃體系建設方案、建立信息管理 體系、體系運行及改進。也符合信息管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保護企業(yè)信息系統(tǒng)的，確保信息的持續(xù)發(fā)展。 　　1、確立范圍 　　首先是確立項目范圍，從機構層次及系統(tǒng)層次兩個維度進行范圍的劃分。從機構層次上，可以考慮 內(nèi)部機構：需要覆蓋公司的各個部門，其包括總部、事業(yè)部、制造本部、技術本部等;外部機構：則包括 公司信息系統(tǒng)相連的外部機構，包括供應商、中間業(yè)務合作伙伴、及其他合作伙伴等。 　　從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內(nèi)保障計算機 系統(tǒng)正常運行的設施。包括機房環(huán)境、門禁、監(jiān)控等;網(wǎng)絡系統(tǒng)：構成信息系統(tǒng)網(wǎng)絡傳輸環(huán)境的線路介質(zhì) ，設備和軟件;服務器平臺系統(tǒng)：支撐所有信息系統(tǒng)的服務器、網(wǎng)絡設備、客戶機及其操作系統(tǒng)、數(shù)據(jù)庫 、中間件和Web系統(tǒng)等軟件平臺系統(tǒng);應用系統(tǒng)：支撐業(yè)務、辦公和管理應用的應用系統(tǒng);數(shù)據(jù)：整個信息 系統(tǒng)中傳輸以及存儲的數(shù)據(jù);管理：包括策略、規(guī)章制度、人員組織、開發(fā)、項目管理 和系統(tǒng)管理人員在日常運維過程中的合規(guī)、審計等。 　　2、風險評估 　　企業(yè)信息是指保障企業(yè)業(yè)務系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供、可信的服 務，保證信息系統(tǒng)的可用性、完整性和保密性。 　　本次進行的評估，主要包括兩方面的內(nèi)容： 　　2.1、企業(yè)管理類的評估 　　通過企業(yè)的控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的 實踐比對，以及在行業(yè)的經(jīng)驗上 進行“差距分析”，檢查企業(yè)在控制層面上存在的弱點，從而為措施的選擇提供依據(jù)。 　　評估內(nèi)容包括ISO27001所涵蓋的與信息管理體系相關的11個方面，包括信息策略、組 織、資產(chǎn)分類與控制、人員、物理和環(huán)境、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護、安 全事件管理、業(yè)務連續(xù)性管理、符合性。 　　2.2、企業(yè)技術類評估 　　基于資產(chǎn)等級的分類，通過對信息設備進行的掃描、設備的配置，檢查分析現(xiàn)有網(wǎng)絡 設備、服務器系統(tǒng)、終端、網(wǎng)絡架構的現(xiàn)狀和存在的弱點，為加固提供依據(jù)。 　　針對企業(yè)具有代表性的關鍵應用進行評估。關鍵應用的評估方式采用滲透測試的方法，在應用 評估中將對應用系統(tǒng)的威脅、弱點進行識別，分析其和應用系統(tǒng)的目標之間的差距，為后期改造提 供依據(jù)。 　　提到評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優(yōu)點 ，同時結合企業(yè)自身的特點，建立風險評估模型： 　　在風險評估模型中，主要包含信息資產(chǎn)、弱點、威脅和風險四個要素。每個要素有各自的屬性，信 息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是弱點在現(xiàn)有控制措施的保護下，被威脅利用的可能性以及被威 脅利用后對資產(chǎn)帶來影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴重程度，風險的屬 性是風險級別的高低。風險評估采用定性的風險評估方法，通過分級別的方式進行賦值。 　　3、規(guī)劃體系建設方案 　　企業(yè)信息問題根源分布在技術、人員和管理等多個層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息體系 ，并終落實到管理措施和技術措施，才能確保信息。 　　規(guī)劃體系建設方案是在風險評估的基礎上，對企業(yè)中存在的風險提出建議，增強系統(tǒng)的安 全性和抗攻擊性。 　　在未來1-2年內(nèi)通過信息體系制的建立與實施，建立組織，技術上進行審計、內(nèi)外網(wǎng)隔 離的改造、產(chǎn)品的部署，實現(xiàn)以流程為導向的轉型。在未來的 3-5 年內(nèi)，通過完善的信息體系 和相應的物理環(huán)境改造和業(yè)務連續(xù)性項目的建設，將企業(yè)建設成為一個注重管理，為主，防治結合 的先進型企業(yè)。 　　4、企業(yè)信息體系建設 　　企業(yè)信息體系建立在信息模型與企業(yè)信息化的基礎上，建立信息管理體系核心可以更 好的發(fā)揮六方面的能力：即預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復 (Recover)和反擊(Counter-attack)，體系應該兼顧攘外和安內(nèi)的功能。 　　體系的建設一是涉及管理制度建設完善;二是涉及到信息技術。首先，針對管理制 度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體方針、技術策略和管理策略等?？傮w方針 涉及組織機構、管理制度、人員管理、運行維護等方面的制度。技術策略涉 及信息域的劃分、業(yè)務應用的等級、保護思路、說以及進一步的統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡互 聯(lián)、容災備份、集中監(jiān)控等方面的要求。 　　其次，信息技術按其所在的信息系統(tǒng)層次可劃分為物理技術、網(wǎng)絡技術、系統(tǒng)技 術、應用技術，以及基礎設施平臺;同時按照技術所提供的功能又可劃分為保護類、檢 測跟蹤類和響應恢復類三大類技術。結合主流的技術以及未來信息系統(tǒng)發(fā)展的要求，規(guī)劃信息 技術包括：