ISO 9001标准规定了组织的要求
随着组织努力继续满足客户和法律法规遵从性要求,这些组织越来越需要获得并维护多个ISO认证,ISO 9001:2015(ISO9001)和ISO / IEC 27001:2013(ISO 27001)是不断获得认可的一种常见认证组合。
ISO9001标准规定了组织的要求,以证明组织已建立有效的质量管理体系,并始终如一地提供满足客户和法规要求的质量驱动型产品和服务。为组织获得ISO9001认证意味着成功演示组织的健全质量流程,同时要考虑到产品/服务流程的运行环境,客户对质量,基础架构,产品和服务的设计与开发的关注,设计输入和输出,以及如何管理外部提供的流程和服务商。同时,ISO27001是国际公认的标准,可指导组织实施和维护有效的信息安全管理体系。
组织(ISO)将管理系统定义为“组织为了实现其目标而管理其业务的对等部分的系统”,关于ISO 9001和ISO27001标准,尽管它们规范了两个独立的管理系统,但它们确实共享一些基本的共性,其中包括:
1.范围界定–考虑内部/外部问题以及相关方;
2.领导力–来自高层管理人员的资源,沟通支持,并使管理系统的目标与组织的总体业务目标保持一致;
3.人力资源支持–确认为管理系统的实施和持续维护提供了足够的支持;
4.文档管理–管理系统文档的文档编制流程和过程;
5.内部审核–确认对管理系统进行了独立客观的审查;
6.测量和监视–确认监视管理系统的操作;
7.管理评审– 有关管理人员评审管理系统的持续绩效,持续适用性,充分性和有效性的证据;
8.持续改进–不断进行前瞻性努力以改善整体管理体系;
ISO 9001:2015和ISO 27001:2013差异
ISO 9001
目标:保持组织中预期的质量标准;
不需要适用性声明;
ISO 27001
目标:为建立,实施,维护和持续改进ISMS提供要求;
利用ISO 27002中的控件来支持其ISMS;
显然,两个管理系统之间的共同点比差异多,并且它们之间确实存在的那些差异还可以从外围受益并补充另一个管理系统;因此,获得ISO9001和ISO27001的双重认证可以证明是非常有用的—在此过程中,组织可以同时展示组织在信息安全风险管理方面的能力和承诺,同时还可以验证其致力于佳质量交付的奉献精神,产品和服务。