提供材料 协助顾问 汕头ISO认证咨询

组织是否为持续改进职业健康安全管理体系制定相关的改进措施 查：组织是否编制事件、不符合和纠正措施程序
组织是否为持续改进职业健康安全管理体系制定相关的改进措施 查：组织是否定期对职业健康安全管理体系的有效性、适宜性和充分性进行评审制定相关的改进措施
查：事件、不符合的调查报告以及针对其所采取的措施记录
查：组织是否对针对事件、不符合所采取措施的有效性进行验证确认
查：组织是否针对事件、不符合采取纠正措施的后果进行评价
查：组织是否定期对相关方通报持续改进的效果
召集相关人员与顾问师协调后，排订时程，通知各相关部门。
文件终审核由管理层进行，并予以批准发布实施
各部门与顾问师检讨实施状况并作必要的修正
选派、内审员
内部审核组协助咨询师到各部门进行审核
相关部门进行整改
管理者主持管理评审
相关部门进行整改
认证公司前往贵公司正式评鉴，请贵公司排出陪审人员，并由相关部门进行整改

顾客满意度信息调查步骤
顾客信息的收集
战略发展部负责采用适当的方法和措施，通过适当的渠道，征询、顾客和监理满意或不满意的信息，包括工程质量的符合性、顾客的需要和期望、工程的价格和交付时间等，作为对质量管理体系业绩的一种测量。
对顾客以面谈、信函、电话、传真等方式进行的咨询，对顾客的意见和提供的建议，由工程部专人解答、记录、收集；暂时未能解答的，要详细记录，并送有关部门处理后予以答复。
战略发展部利用对顾客的投诉和，外出的各种活动及相关方（如媒体、银行、行业协会等）的信息，积极与顾客沟通，及时掌握市场动态和顾客需求的动向，并将收集到的有关信息做出相应记录。
顾客信息的分析与处理
战略发展部对收集到的各种信息要进行分析，必要时要采用统计技术，视情况采用纠正、预防措施，并将汇总分析后的信息、处理意见每年一次转送给管理者代表、总、项目部。工程部、项目部对收集的顾客信息的处理意见按公司相关控制程序及有关规定执行。
工程部负责组织工程竣工交付后保修期间的服务工作，并对施工单位有关服务工作实施监督、检查、。
工程部按工程项目根据国家有关规定和施工合同要求明确保修期，负责监督合同规定的服务内容的实施。
对顾客投诉和提出的质量问题，工程部组织有关部门进行分析，并制定相应的纠正和预防措施，转发各项目部，以提高和改进工程质量。

现场监测
采购中的监测
a） 采购部门负责告知驾驶员在运输过程中注意减少物料撒落，以减少损耗，降低对环境的污染。
b） 物料管理部门负责在原材料的搬运、贮存、发放过程中应遵守相关的安全规章规定，并告知材料使用人员有关注意事项，防止其对环境的不良影响，以及对员工造成各种伤害。
4.4.6.2承装/修施工过程中的监测
a）项目部规定对污染源，危险源的产生进行监视和测量，特别是针对重要环境因素和重大危险源的控制做好监视和测量。
b）对于施工过程中的环境及职业健康安全状况由专职安全员进行监视和测量。
体系检查
公司各部门进行环境、职业健康安全体系检查工作。
环境、职业健康安全监测内容除对重要环境因素及重大危险源的控制、管理方案的实施以及体系运行与活动的关键特性进行日常例行监测外，还应包括对目标、指标符合情况、管理体系运行绩效和监测，对国家、地方及行业法律法规及其他要求执行情况进行监测．
对环境、安全监测中的监视和测量设备的管理执行《监视和测量资源管理制度》。
以上检查过后，由检查人员负责做检查记录，填报《环境、安全检查记录表》，对发现的问题下发《整改通知单》，限期整改，并对整改效果跟踪验证。

认证准备阶段的另一项重要工作就是调研，对于整个组织而言，进行充分细致的调研工作有助于梳理组织内IT服务管理现状，同时对于提高全员认证意识，提升组织内成员对认证工作的重视程度有一定的积极作用。这一阶段的工作在某种程度上和下一阶段差距分析工作存在一定重叠，可以同步进行。区别在于，正式启动认证前的调研承担了部分可行性研究的职能，同时主要偏重于现状的了解和梳理，并不过多地进行与ISO20000标准条款的对比，而差距分析主要立足于ISO20000标准，运用的分析方法和工具进行比较性的分析，查找出组织现状和ISO20000标准中各条款的差距，进而制定改进课题。
下面简要介绍几个人正准备阶段常用的调研方式。
公司建立体系的过程如下：
1.  建立ISMS
公司从以下几方面入手建立信息安全管理体系：
 根据本公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全管理体系的范围。
 根据员工的信息安全意识和信息安全在本公司业务中的重要程度确定信息安全管理体系的方针。
 定义了系统化的风险评估的方法。
1）识别风险
 在信息安全管理体系范围内，识别资产及其责任人；
 识别资产面临的威胁；
 识别可能被威胁利用的脆弱性；
 识别保密性、完整性和可用性对资产造成的影响程度；
 识别资产面临的风险。
2）分析和评估风险
 评估安全故障对业务造成的损害，充分考虑资产失去保密性、完整性和可用性的潜在后果；
 评估与这些资产相关的主要威胁、脆弱点和造成此类事故发生的现实可能性和现有的控制措施；
 估算风险的等级；
 决定风险的可接受程度，进而决定是否需要采取措施对风险进行控制。
3）识别和评价风险处理：
 实施适当的控制措施；
 风险，采取有效的控制措施避免风险的发生；
 接受风险，在一定程度上有意识、有目的地接受风险；
 风险转移，转移相关业务风险到其他方面。
4）选择风险处理的控制目标和控制方式：从《ISO 27001:2011 信息安全管理体系-要求》的“附件A”中选择合适的控制目标和控制措施，以满足风险评估和风险处置过程所识别的要求，根据风险评估和风险处理过程的结果进行适当的调整。
5）适用性声明：公司对所选择的控制目标和控制措施以及被选择的原因，在《适用性声明》中进行描述。
6）对余风险获得信息安全管理者代表批准。