iatf保密管理程序(精选6篇)
iatf保密管理程序 第1篇
东 莞 太 洋 橡 塑 制 品 有 限 公 司
程序文件制定单位:厂务部
标题: 保密规定管理程序
文件编号:TY-1B-20-004 制定日期:08/05/22
版本:A.0
页次:1/5
1.目的: 为保障公司整体利益和长远利益,使公司长期稳定高效地发展,适应激烈的市场竞争,特制定本规定。
2.适用范围: 所有公司员工都有义务和责任保守公司秘密。适用于本公司所有员工。3.术语与定义
3.1公司秘密是指一切关系公司安全和利益,在一定时间内只限一定范围内人员知悉的事项。3.2公司秘密的范围如下列所述
3.2.1公司生产经营、发展战略中的秘密事项。3.2.2公司就经营管理作出的重大决策中的秘密事项。
3.2.3公司生产、科研(包括知识产权)、科技交流中的秘密事项。
3.2.4公司对外活动(包括外事活动)中的秘密事项以及对外承担保密义务的事项。3.2.5维护公司安全和追查侵犯公司利益的经济犯罪中的秘密事项。3.2.6客户及其网络的有关资料。3.2.7其它公司秘密事项。
4.程序: 4.1秘级分类: 公司秘密分为三类:绝密、机密、秘密。
绝密: 是指与公司生存、生产、科研、经营、人事有重大利益关系,泄露会使公司的安全和利益遭受特别严重损害的事项,主要包括:
(一)公司股份构成、投资情况、新产品、新技术、新设备的开发研制资料、各种产品配方、产品图纸、模具图纸。
(二)公司总体发展规划、经营战略、营销策略、商务谈判内容及载体,正式合同和协议文书。
(三)公司重要会议纪要。
机密: 是指与本公司的生存、生产、科研(包括知识产权)、经营、人事有重要利益关系,泄露会使公司安全和利益遭到严重损害的事项,主要包括:
(一)尚未确定的公司重要人事调整及安排情况,人力资源部门对干部的考评材料。
东 莞 太 洋 橡 塑 制 品 有 限 公 司
程序文件制定单位:厂务部
标题: 保密规定管理程序
文件编号:TY-1B-20-004 制定日期:08/05/22
版本:A.0
页次:2/5
(二)公司与外部高层人士、科研人员来往情况及其载体。
(三)公司薪金制度,财务专用印签、月、季、财务预、决算报告及各类财务、统计报表,重要磁盘、磁带的内容及其存放位置。
(四)公司大事记。
(五)各种产品的制造工艺、控制标准、原材料标准、成品半成品检测报告、进口设备仪器图纸及相关资料;
(六)获得竞争对手情况的方法、渠道及公司相应对策。
秘密: 是指与本公司生存、生产、经营、科研、人事有较大利益关系,泄露会使公司的安全和利益遭受损害的事项,主要包括:
(一)消费层次调查情况,市场潜力调查预测情况,未来新产品市场预测情况及其载体。
(二)广告企划、营销企划方案。
(三)公司内部有关部门所调查的违法、违纪事件及责任人情况和载体。
(四)各类设备图纸、说明书、基建图纸、各类仪器资料、各类技术通知、文件等。
(五)各种检查表格和检查结果。
4.2各密级内容知晓范围: 绝密级:董事会成员、总经理、监事会成员及与绝密内容有直接关系的工作人员。机密级:部门经理级别以上干部以及与机密内容有直接关系的工作人员。秘密级:部门课长级别以上干部以及与机密内容有直接关系的工作人员。
4.3保密措施:(一)公司员工必须具有保密意识,必须做到不该问的绝对不问,不该说的绝对不说,不该看的绝对不看。
(二)总经理领导保密全面工作,各部门负责人为本部门的保密工作负责人。(三)对外交往与合作中需要提供公司秘密的事项,应先由相关部门主管批准。(四)严禁在公共场合、公用电话、传真上交谈、传递保密事项,不准在私人交往中泄露公司秘密。
东 莞 太 洋 橡 塑 制 品 有 限 公 司
程序文件制定单位:厂务部
标题: 保密规定管理程序
文件编号:TY-1B-20-004 制定日期:08/05/22
版本:A.0
页次:3/5
(五)公司员工发现公司秘密已经泄露或可能泄露时应立即采取补救措施并及时报告上级主管,上级主管立即作出相应处理。
(六)工作上需要使用计算机、复印机、传真机的部门都要依据本制度制定保密细则,并加以严格执行。
(七)司机对于领导于车内谈话内容须严格保密。
(八)对于负责重大科研项目或产品相关的知识产权的工程师及专案经理,离职后三年内不得从事该科研项目或产品相关的知识产权的相关工作。4.4保密环节: 4.4.1文件打印
(一)由文件原稿提供单位主管签字,签字主管对文件内容负责任,不得出现对公司不利或
不该宣传的内容,同时确定文件编号、保密级别、发放范围、打印份数。(二)打印完毕,所有文件废稿应全部销毁,电脑存盘应消除或加密保存。
4.4.2文件发送
(一)发文部门下发文件应认真做好发文记录。
(二)保密文件应交由发文部门负责人或其指定人员签收,不得交给其它人员。(三)对于剩余文件应妥善保管,不得遗失。(四)发送保密文件应由专人负责。4.4.3文件复印(一)(二)(三)(四)原则上保密文件不得复印,特殊情况由总经理批准执行。文件复印应做好登记。
复印件只能交给部门主管或其指定人员,不得交给其它人员。复印废件应即时销毁。
4.4.4文件借阅
借阅保密文件必须经借阅方、提供方主管签字批准,提供方加以专项登记,借阅人员不得摘抄、复印,向无关人员透露,确需摘抄、复印时,要经提供方主管签字并注明 4.4.5传真件
(一)收发传真件应做好登记。
(二)保密传真件收件人只能为部门主管负责人或其指定人员,不得为其它人。4.4.6录音、录像 东 莞 太 洋 橡 塑 制 品 有 限 公 司
程序文件制定单位:厂务部
标题: 保密规定管理程序
文件编号:TY-1B-20-004 制定日期:08/05/22
版本:A.0
页次:4/5
(一)董事长、总经理等主要人物讲话,工厂录像等一切与公司利益安全关系重大的均为保
密材料。
(二)录音、录像应由指定部门整理并确定保密级别。4.4.7档案
(一)借阅文件应填写申请借阅单,并由主管领导签字。
(二)秘密文件限下发范围内人员借阅,特殊情况由相关单位主管批准借阅。(三)秘密文件保管应与普通文件区别,按等级、期限加强保护。(四)档案材料不得借给无关人员查阅。
(五)秘密档案不得复印、摘抄,特殊情况由总经理批准后执行。
4.4.7客人活动范围
(一)保卫部门应加强保密意识,无关人员不得在机要部门出入。
(二)客人到公司参观、办事,遵循出有关出入厂管理规定,无关人员不得进入公司。(三)客人到公司参观,不得让其接触公司文件、货物、营销材料等保密件。特殊情况得经相关部门主管同意后执行 4.4.8保密部门管理
(一)与保密材料相关部门均为保密部门,如董事长、监事会主席、各级主管办公室,文控
中心,研发部门,生产车间以及财务部,管理部等。
(二)保密部门出入人员应进行控制,无关人员不得进入、停留。(三)保密部门对外材料交流应由专员操作。
(四)保密部门应根据自己情况制定保密细则,做好保密材料的保管、登记,使用记录工作。4.4.9会议
(一)所有重要会议由各部门主管协助部门做好保密工作。(二)参加会议人员应严格控制,无关人员不应参加。(三)应认真做好到会人员签到,材料发放登记工作。(四)会议录音、摄像人员由相关单位主管指定。(五)会议纪要整理由指定人员在指定地点整理。
东 莞 太 洋 橡 塑 制 品 有 限 公 司
程序文件制定单位:厂务部
标题: 保密规定管理程序
文件编号:TY-1B-20-004 制定日期:08/05/22
版本:A.0
页次:5/5
4.5违纪处理:(一)泄露公司秘密,尚未造成严重后果的,给予警告处分,处以100元至1000元的罚款。(二)泄露公司秘密造成严重后果的,给予开除,并处以10000元以上罚款,必要时依法追究其法律责任。
5.附则: 本制度由管理部负责制定,总经理审阅后报董事会批准由管理部负责执行。
iatf保密管理程序 第2篇
12月27日我参加了公司组织的IATF16949 2016新版质量管理体系培训。通过南京欧倡范老师深入浅出由点到面的讲解,使得原本生涩的理论知识,变得生动活泼,通俗易懂,让我对质量管理体系的实际运用有了更清晰的认识和更深刻的理解。
首先介绍了IATF(International Automotive Task Force)国际汽车工作组是由世界上主要的汽车制造商及协会于1996年成立了一个专门机构,以及最新的发展状态以及新版体系目前的通过率,主要存在问题。新版体系着重强调了安全管理与风险分析,它的贯彻执行有利于促进企业管理水平的提高,有利于提高顾客对其产品或服务的满意程度,有利于帮助企业达到持续改进的目的。其中计划、实施、检查、持续改进,简称为PDCA的管理流程广泛应用于管理工作的方方面面。在质量管理所包括的产品管理、人力资源管理、安全管理、成本管理、市场管理、流程管理等一系列项目中,无论哪一项管理制度的建立和运行都与PDCA管理流程息息相关。在这个管理循环链中,四个环节相互依存、相互作用,共同形成一个有效的机制,在与管理相关联的环节充分发挥着自己的功效。
IATF16949 2016质量管理体系告诉企业的不仅仅是质量管理体系各过程的要求,提出并规定了许多有效的、切实可行的控制程序和方法,如质量先期策划、测量系统分析、生产件批准程序等,合理的使用这些方法,可以有效的提高工作效率,增强企业的战斗力;同时有利于企业全员以顾客为关注焦点,满足顾客要求质量意识的形成。通过人力资源管理,培训管理的加强,形成与质量有关的各级管理人员、岗位员工整体素质不断提高的发展局面。产品质量的不断改进与提高,百分之百按时交付产品的机制,以及对顾客要求的关注、沟通与满足IATF16949 2016质量管理体系将帮助企业不断提高顾客的满意程度。生产过程管控从产品的策划、设计与开发、制造过程设计、生产过程的确认、不合格品的分析与控制、纠正措施、预防措施诸多过程进行控制。对产品实现过程潜在的缺陷进行识别、分析,制定相应的措施,防止不合格的发生,减少不合格品,降低废品损失,减少成本,使产品质量明显提高。落实并实施IATF16949 2016质量管理体系,采取质量先期策划、控制计划等手段,对产品从原辅材料采购到产品实现过程直至交付的全过程规定控制要求,实施过程控制,能有效的提高产品的实物质量。从而提高企业产品的市场竞争力。
同时也讲了内部审核员队伍建立要求,对比新旧体系一些不同的要求,讲到组织作用、职责和权限时着重讲到了授权问题,就是权力也是责任,岗位职责明确,工作责任落实到位,工作就会由复杂变的简单了。
在建立我们自己的质量管理体系时,一定要切合实际,切不可生搬硬套。千万不要“照葫芦画瓢”,盲目的依照体系标准去工作,而是把我们实际的工作流程与标准融入到体系中去运用,并在工作中逐渐完善,形成自己的体系,并不断持续改进。
iatf保密管理程序 第3篇
一、全涉密的人员管理思想
相比高校, 科研院所一个较大的特点就是几乎所有员工都涉密, 即便个别不涉密的工勤人员也纳入保密教育管理体系中, 这种全员涉密的单纯人员结构使得科研院所在人员保密教育方面做得很出色。科研院所的每位员工都接受了上岗前的保密培训、在岗中的保密教育、离岗后的保密承诺, 良好的保密意识在每位员工身上得以体现。
高校的人员管理一直是保密管理工作的难点, 因为高校的人员构成相比科研院所复杂得多。涉密人员就有涉密管理人员与涉密科研人员、涉密教工与涉密学生之分。非涉密人员就更加复杂, 包含教师、学生、工勤人员、外籍人员以及因校园开放而存在的社会人员等。
高校保密工作管理人员应当全局考虑人员管理问题, 从两方面开展此项工作。第一, 给人员分类。将教职工、学生以及工勤人员纳入学校保密管理体系中, 进行不同程度的保密教育。针对社会人员和外籍人员这类特殊群体, 则侧重做好关注与防范工作。第二, 对纳入保密管理范围的人员进行针对性教育。借鉴科研院所的管理办法, 全体人员, 而不仅仅是涉密人员, 都应进行保密法等基本保密知识的培训, 使其明白保守国家秘密是每个公民应尽的义务。这项工作的开展, 旨在使高校全员树立良好的保密意识, 改变保密仅仅针对涉密人员的旧观念, 在教会涉密人员不外泄的同时, 也杜绝非密人员去接触。而针对涉密人员, 应学习科研院所重视专业知识的特点, 不仅学习保密基础知识, 更注重信息安全等专业知识, 有的放矢, 全方位武装每一位涉密人员。
二、全封闭的涉密场所管理理念
高校相比科研院所的另一劣势就体现在科研场所分散方面, 毫无疑问, 科研院所全封闭的场所管理为其保密管理工作带来了较大便利, 人员、设备以及资料的出入得以把控就使得秘密信息在基础环节得到了有效控制。与此相反, 高校因为学院、系所以及项目组的分散导致科研场所分布在校园的各个角落, 散落的科研场所就使得对人员、设备和资料的把控更加困难。
现行的高校管理模式下, 实现科研场所集中, 实行全封闭管理难度较大, 但并不等于高校无法实现这一模式。借鉴科研院所的全封闭管理理念, 高校保密工作管理人员应积极探索这一途径, 开展创新工作。近年, 随着保密工作的发展, 高校很多涉密学院、系所以及项目组已经渐渐采取涉密办公、科研集中的管理模式。例如在科研场所规定一个或多个办公室为保密室, 所有与涉密相关的工作均在此进行, 这就便利了保密管理。在今后的工作中, 高校保密工作管理人员应开阔思路, 积极探求集中全校涉密科研场所的办法, 力争实现类似科研院所全封闭管理的模式, 或者在现实与理想中寻找平衡点, 做到更进一步的相对集中, 为实现保密工作有效管理提供有力支持。
三、监控审计的互联网管理方法
涉密信息不上网, 上网信息不涉密, 科研院所为做到此点, 严控互联网在所内的布点和使用。现有的科研院所互联网管理模式基本为:固定场所内指定少量计算机可连接国际互联网, 供所内人员查询资料使用。然而, 与此相反, 高校则遍地都是互联网计算机, 可以说高校的保密管理就是在整个互联网计算机大环境下保护小范围的涉密计算机。
基于以上原因, 高校的互联网管理更应借鉴科研院所一些好的方式, 笔者认为主要有以下几个方面:第一, 科研院所在所内登录互联网需要核对身份, 实名上网, 并记录上下网时间。高校因为登录互联网的点很多, 场所不固定, 因此做到身份核对和时间登记比较困难, 但做到初步实名上网是可行的, 例如IP地址实名登记、MAC地址绑定等。第二, 科研院所的互联网计算机均加装“上网行为管理系统”等各类上网行为监控与审计软件, 使用先进的管理系统是保密管理工作的一项重要内容。上网行为管理系统可以做到访问控制, 规定人员必须使用身份卡等登录互联网, 这样就简便地实现了实名上网并自动记录上下网时间功能。此外, 上网行为管理系统可以对上网者的行为进行监控和审计, 提醒上网人员在进行信息传递等重要操作时注意保密问题, 例如在发送或接受信息前再次确认信息的合法合规性。同时, 管理系统的审计功能还可以事后查看人员上网行为, 有无违规传递信息等。高校可以借鉴此做法, 选择合理的“上网行为管理系统”, 这将给保密管理工作带来长足进步。第三, 借鉴科研院所的管理模式, 最值得高校保密工作管理人员注意的是严控移动存储介质的使用。高校移动存储介质的广泛使用给保密工作带来难度, 对于既有涉密计算机又有非涉密计算机的涉密人员, 往往容易产生交叉使用移动存储介质的违规行为, 学习科研院所的经验, 严控涉密人员的移动存储介质可有效防止违规行为的发生, 这对保密管理工作具有重要意义。
iatf保密管理程序 第4篇
转换:从ISO/TS 16949到IATF 16949
:2016年10月1日,汽车行业质量体系标准IATF 16949:2016正式发布。请介绍一下该标准转换的动因和契机。
何元敏:我先介绍一下现在正在使用的标准,即ISO/TS 16949。最初我们可能更多地把它称之为技术规范。但其实1999年至今,它起到的作用已超过了大部分标准。所以,我们很多时候也把它称为标准。
1999年以前,全球汽车行业的管理标准处于“战国时代”。国内一级供应商通常给多国主机厂供货,面临不同国家的不同标准。比如供应商给上海大众和上海通用供货,就要通过美系标准QS 9000、德系标准VDA 6.1;给神龙供货,就要通过法系标准EAQF;给菲亚特供货,就要通过意大利行业标准AVSQ 。这导致一级供应商要获得主机厂的认可,有时必须同时满足以上这些标准,往往要花费很多精力。鉴于此,1999年,国际汽车工作组(IATF)推出了ISO/TS 16949标准。该标准根据美国、德国等几个汽车强国主机厂对一级供应商管理体系的要求,将各国不同的要求综合起来变成了一个标准。
ISO/TS 16949有一个很单纯的目标,即减少多重认证、提高管理效益。该标准经过几年过渡期之后,逐渐变得成熟。2002年,ISO/TS 16949第二版发行,2009年第三版发行,也即当前运行的版本。
根据IATF的统计,ISO/TS 16949目前在全世界颁证数量超过6.2万张。其中,我国颁证数量所占比例在40%以上。相比我国汽车行业在全球的地位,这一占比是非常高的。我认为,这其中有两个原因。第一,我国整车出口量不算多,但汽车零部件出口量远远高于整车出口量。国内汽车零部件供应商几乎都获得了ISO/TS 16949标准的2002版证书或2009年版证书。这些企业主要分布在浙江、江苏、河南、山东和广东等地区。第二,我国一些主要汽车零部件出口的供应商,比如轮胎、轮毂、汽车电机等,通常也会遵循ISO/TS 16949标准。毕竟对于出口企业来说,获得这个标准的认可,其实是得到了海外市场的“敲门砖”。
不过,随着我国汽车行业的扩张,汽车企业数量和产品量开始增多,企业规模和出口量也不断扩大。这势必造成原有质量能力、技术能力和管理资源等被稀释,从而导致ISO/TS 16949标准获证企业数量激增的弊端显现。其实不只在中国,在印度、韩国等新兴汽车市场,都出现了一些不良的趋势。IATF将此归纳为两类:一类是“Soft auditing”,可译为“轻审”,即在抽样审核时不够严格;一类是“Soft grading”,可译为“轻判”,即不管有没有进行“轻审”(或“重审”),对审核的发现进行归类或判别时,下了不严格的结论。不管是“轻审”还是“轻判”,其实都会造成一些不良的后果。
鉴于此,IATF在2013年10月推出了ISO/TS 16949认证准则的第四版,提出了一些对现有审核进行规范的要求。这就帮助了审核方和被审核方共同努力来满足IATF和ISO组织的要求。实际上,ISO/TS 16949规范与ISO 9001质量管理体系是保持一致的,会随其变化而做出调整。2015年9月,ISO 9001再次更新。以此为契机,2016年10月1日,IATF 发布了新的标准——IATF 16949:2016,替代现有的ISO/TS 16949标准,标准名称由“ISO/TS”改为“IATF”。
此次标准名称的改变有几层含义:第一,由“ISO/TS”改为“IATF”,减少外部对标准升级速度的质疑;第二,直接称为IATF告诉我们,IATF是唯一认可的机构;第三,以前被称为规范,现在叫质量管理体系标准,对于汽车行业而言,实际上意味着它与ISO 9001同等地位、同一目标;第四,新的标准完成了巨大调整。
焦点:IATF 16949新标准五大变化之处
:从ISO/TS 16949:2009到IATF 16949:2016,标准的重要变化之处体现在哪些方面?
何元敏:我认为,主要有五个方面的变化。
第一,IATF 16949将管理体系的输入由原来比较注重对顾客的要求扩大为对相关方的要求。这在一定程度上受ISO 9001影响。同时,相比ISO 9001精炼的描述,IATF 16949对行业要求的解释更加详尽。
第二,IATF 16949更加强调了“基于风险的思维”。质量管理体系涉及很多内容,要真正运行起来,就必须采取优先的顺序。“基于风险的思维”告诉我们,风险高的那些要求要排在前面,优先被应用在管理体系中。
第三,之前的管理体系主要针对汽车产品实现的过程,也就是按照客户要求进行产品设计、开发、采购、制造和产品检验,直至把产品卖给客户,考虑的很大比例是汽车产品生命周期的前端。而实际上,汽车是耐用消费品,使用的年限会比较长,生命周期后端也需要进行风险管理。对此,IATF 16949增加了相关要求。
第四,IATF 16949增加了对汽车内置软件开发的管控。在此之前,不论是在审核设计开发阶段,还是在审核供应商管理时,都没有把软件要求写进标准范围里。近些年,汽车行业逐步高科技化、电子化、信息化和软件化,很多汽车硬件产品中植入了软件系统。IATF 16949将软件开发控制加入规范中,体现了与时俱进的精神。
nlc202309090049
第五,IATF 16949在供应链里加强了管理体系的要求,下决心要着重打造汽车行业的供应链。供应商要纳入管理体系,其下一级的供应商同样要纳入管理体系,在汽车全供应链中强制推行IATF 16949和ISO 9001的第三方认证。这也会导致汽车行业中一部分不具备战略上共同发展的供应商被淘汰。而那些管理体系比较健全、质量保障能力比较强的供应商,则将在汽车行业供应链中推动共同的质量管理要求及技术管理方法,以此达到整体供应链水平的提升。
紧迫:3个关键时间节点不容忽视
:对汽车供应链企业来说,本次IATF 16949:2016标准转换过渡期有多长时间?关键时间节点有哪些?
何元敏:从2016年的10月1日正式发布,到2018年9月14日新旧标准全部转换完成,IATF 16949留给汽车企业的时间只有不到两年的时间。关于新标准及其认证转换过程,有3个重要的时间节点汽车企业一定要关注。
第一,2016年10月1日新标准颁布这个时间点。
第二,2017年10月1日以后,将不再接受ISO/TS 16949的任何审核(包括初始审核、监督审核和换证审核),而必须按照IATF 16949新标准来实施审核。也就是说,从2017年10月1日开始,就没有ISO/TS 16949这个概念了,而只有IATF 16949证书。
第三,2018年9月14日之后,ISO/TS 16949认证证书全部失效。这对于汽车行业供应链的制造企业来说,IATF 16949新标准的转换认证及其审核的时间变得尤为紧迫。
而实际上,新标准真正的转换时间是从2017年1月1日开始的。这样看,汽车企业证书转换时间更短,只有一年多。根据我们之前的经验,预计2017年第一季度证书转换数量不会很多。而2018年9月之前的一个季度,由于已经接近转换尾声,预计转换审核也比较少。其实,真正繁忙的证书转换时间段很可能集中在2017年4月~2018年6月。在这差不多15个月的时间里,要将之前覆盖3年的所有审核都转换完成,这对认证机构和汽车供应链企业来说都将是非常大的挑战,因此,也建议企业尽早和认证机构取得沟通,以便能够顺利应对此次标准转换。
应对:分步骤更新质量管理体系
:当前,面对汽车行业质量体系标准的这种转变,中国汽车供应链企业可从何处着手加以应对,以便符合新版本的审核要求?
何元敏:对于那些之前通过ISO/TS 16949审核的企业来说,紧迫的是,需要在2018年9月14日之前完成新标准转换审核。这可以通过几个步骤实现。第一个步骤:学习最新标准的内容,同时适当参加一些外部培训,然后进行内部转训,从而全面理解新标准的要求。第二个步骤:掌握新标准要求之后,将现有质量管理体系与IATF 16949新标准作对比,进行差距分析。在此过程中,汽车企业需要弄清楚,与IATF 16949新标准相比,自己目前运行的旧版质量管理体系还缺少哪些文件化的要求、缺少哪些实际运行的证据等。第三个步骤:在差距分析的基础上,对现有质量管理体系进行更新,并迅速运行起来,以求快速实现新标准转换审核。
根据IATF的要求,转换审核的时间节点,是要和正常的监督审核节点相对应的。也就是说,在上述15个月里,并不是随时都可以转换的,这需要与之前的一些审核时间段相对应。如果在2018年9月14日未能完成转换审核,那么,就会由转换审核变成一次全新的审核。这对审核费用、审核效率等都会造成浪费。因此,汽车企业要尽早行动起来,熟悉新标准、进行差距分析及更新质量管理体系。
还有一类是新审核,即原来未做过ISO/TS 16949审核的汽车企业,本次需要申请IATF 16949新标准审核。首先,新申请不可能早于2017年1月1日;其次,企业要了解新标准,按照新标准要求进行质量管理体系的建立和运行,运行满12个月以后,才能到认证公司申请第三方的IATF 16949审核。这其中还有一条比较苛刻的规定需要企业特别关注,即在质量管理体系运行满12个月的同时,向汽车行业供应链的批量供货时间也要满12个月。
值得注意的是,不管是审核转换,还是新申请审核,汽车企业面临的时间都非常紧迫。在审核之前,企业内部最好建立一个专门的工作组进行合理的时间规划,以在规定期限内顺利完成转换审核。
SGS:全力协助汽车企业适应新标准
:针对本次标准转换,当前及未来SGS将如何帮助中国汽车供应链企业适应新标准?
何元敏:针对本次新标准的转换,从2016年7月开始,SGS就持续面向国内汽车供应链企业召开全国巡回的技术研讨会。在研讨会上,SGS专家重点为企业解读新标准的转换时间轴和变化趋势,以帮助汽车供应链企业快速适应新标准。在很多城市中,这些研讨会也得到了当地政府及汽车行业商协会的大力支持。
SGS拥有全国数量最多的IATF 16949审核员。这些专业审核员所涉技术领域非常广。与此同时,SGS还率先完成了针对IATF 16949新标准的课程开发设计,课程中创造性地结合了“过程审核”“产品审核”“汽车行业五大工具”等内容,从而帮助被审核方更好地理解和掌握新标准,进而完成标准转换和升级。目前,关于IATF 16949新标准的线下公开课已经在全国开班,为了方便企业随时参与学习新标准,与线下公开课同步,SGS还开设了线上网络课程。未来,SGS技术团队还将针对此次IATF 16949标准变化,开发更多技术工具课程,以协助被审核方建立新的质量管理体系。
iatf保密管理程序 第5篇
2016年8月9日,ISO/TS 16949这一国际汽车行业质量管理标准正式变化为IATF 16949标准,此项新标准的发布将致力于持续改进、强调缺陷预防、涵盖汽车行业的特定要求和辅助工具、和在整个供应链中减少变差和浪费。新版标准的转换时间为2018年9月14日,为了加强企业对IATF 16949:2016新版标准的学习、理解、应用及如何运用过程方法开展组织内部审核活动,如何运用新版标准进行体系转换工作等,为此广电质量学院(信息产业部军工电子602计量测试站)特对策划此课程“IATF 16949:2016汽车质量管理体系转版培训公告”。具体安排如下:
一、武汉IATF 16949汽车质量管理体系培训目的:
1、IATF 16949:2016新版标准的学习、理解;
2、如何运用新版标准进行体系转换工作,转版要点及技巧;
3、如何运用过程方法开展组织管理活动;
二、武汉IATF 16949汽车质量管理体系培训对象:
1、企业管理人员
2、汽车行业质量管理体系管理人员
3、汽车行业质量管理体系审核人员
4、希望学习汽车行业质量管理体系的专业人士(不要求基础)
三、武汉IATF 16949汽车质量管理体系培训内容:
1、IATF 16949:2016新版标准的要求;
2、IATF 16949:2016新版标准与ISO/TS16949:2009版标准的变化;
3、IATF 16949:2016新版标准的转换步骤及流程;
4、IATF 16949:2016新版标准内审员审核要求
四、考核与发证:凡考试合格由广电质量学院颁发“ IATF 16949:2016汽车质量管理体系内审员培训”合格证书。
五、武汉IATF 16949汽车质量管理体系培训地点:武汉市鲁磨路488号 王老师186 7234 1853 咨询QQ2307 088 579
六、武汉IATF 16949汽车质量管理体系培训时间:2017年3月27-29日,定期开班,人满开课
七、武汉IATF 16949汽车质量管理体系培训费:3500元/人(含资料费、培训费、证书费、午餐费)住宿可帮忙安排,费用自理。
IATF期末复习总结 第6篇
The IATF is based on the concept of an information infrastructure.An information infrastructure comprises communications networks, computers, databases, management, applications, and consumer electronics and can exist at the global, national, or local level.The global information infrastructure is not controlled or owned by a single organization—“ownership” is distributed among corporate, academic, and government entities as well as by individuals.The Internet is an example of a global information infrastructure as is the global telecommunications network.Most organizations that communicate externally rely upon this global system in conducting their operations using a combination of global, virtual networks, dedicated networks, Wide Area Networks(WAN), and customized information systems.IATF 建立在信息基础设施的概念上。信息基础设施包括通讯网络、计算机、数据库、管理、应用和消耗性电子器件。它可以建立在全球、国家或本地的级别上。全球信息基础设施不受某个机构的控制或归其所有。它的“所有权”分布于公司、院校、政府机构以及个人。Internet 就是一个全球信息基础设施。也是全球通讯网络。大多数对外联络通信的机构都依靠这个全球系统利用全球、虚拟网络、专用网、宽带网络(WAN)所定义的信息系统相结合来处理他们的商业。
To accomplish their various missions and to protect their critical functions, all organizations—both government and private sector—have public and private information they need to safeguard.The mission or business environment determines how, and to what extent, specific information is protected.What is publicly releasable to one organization may be private to another, and vice versa.The Federal Government uses specific categories for some of its private information under the heading of “classified information.”In general, the government recognizes four classification levels: unclassified, confidential, secret, and top secret.Within the classification levels, there may be subcategories specific to individual communities.Three of the classification categories—confidential, secret, and top secret—address private information.The fourth level of classification covers both private information(such as sensitive or Privacy Act Information)and public information.为完成各种任务和保护关键功能,包括政府部门与专有机构在内的所有机构都有其需要保护的公共和秘密信息。任务或商业环境决定了保护具体信息的方式与程度。被允许以公开方式发送给某个机构的信息对另一个机构而言可能具有保密性,反之亦然。联邦政府以“带密级的信息”为标题依据其专用分类标准规定了一些联邦政府专用信息的密级。一般地,这些密级按照秘密程度由低到高的次序分为以下4 种:无密级、保密、机密与绝密。在各级别中可能有用于特定团体的子级别。保密、机密与绝密这三个密级均指的是秘密信息,另一密级则包括一些专有信息(如:敏感信息或隐私法案所规定的信息)和一些公共信息。
Local Computing Environments.;Enclave Boundaries(around the local computing environments).;Networks and Infrastructures.;Supporting Infrastructures.本地的计算环境; 区域边界(本地计算环境的外缘); 网络和基础设施; 支持性基础设施。
The local user computing environment typically contains servers, clients, and the applications installed on them.Applications include, but are not limited to, those that provide services such as scheduling or time management, printing, word processing, or directories.局域用户计算环境如图1-4 所示。它包括服务器、客户以及其上所安装的应用程序。这些应用程序能够提供包括(但不仅限于)调度(或时间管理)、打印、字处理或目录在内的一些服务。
A collection of local computing devices interconnected via Local Area Networks(LAN), governed by a single security policy, regardless of physical location is considered an “enclave.”As discussed above, because security policies are unique to the type, or level, of information being processed, a single physical facility may have more than one enclave present.Local and remote elements that access resources within an enclave must satisfy the policy of that enclave.A single enclave may span a number of geographically separate locations with connectivity via commercially purchased point-to-point communications(e.g., T-1, T-3, Integrated Services Digital Network [ISDN])along with WAN connectivity such as the Internet.“区域”指的是通过局域网相互连接、采用单一安全策略并且不考虑物理位置的本地计算设备的集合。如上所述,由于安全策略独立于所处理信息类型或级别。单一物理设备可能位于不同的区域之内。本地和远程元素在访问某个区域内的资源时必须满足该区域的安全策略要求。
The two areas addressed in the IATF are key management infrastructure(KMI), which includes Public Key Infrastructures(PKI), and detect and respond infrastructures.IATF 所讨论的两个范围分别是:密钥管理基础设施(KMI),其中包括公钥基础设施(PKI);检测与响应基础设施。
The Department of Defense(DoD)has led the way in defining a strategy called Defense-in-Depth, to achieve an effective IA posture.The underlying principles of this strategy are applicable to any information system or network, regardless of organization.Essentially, organizations address IA needs with people executing operations supported by technology.Defense-in-Depth and the IATF:
Information infrastructures are complicated systems with multiple points of vulnerability.To address this, the IATF has adopted the use of multiple IA technology solutions within the fundamental principle of the Defense-in-Depth strategy, that is, using layers of IA technology solutions to establish an adequate IA posture.Thus, if one protection mechanism is successfully penetrated, others behind it offer additional protection.Adopting a strategy of layered protections does not imply that IA mechanisms are needed at every possible point in the network architecture.By implementing appropriate levels of protection in key areas, an effective set of safeguards can be tailored according to each organization’s unique needs.Further, a layered strategy permits application of lower-assurance solutions when appropriate, which may be lower in cost.This approach permits the judicious application of higher-assurance solutions at critical areas,(e.g., network boundaries).Defense in Multiple Places.Given that adversaries can attack a target from multiple points using insiders or outsiders, an organization must deploy protection mechanisms at multiple locations to resist all methods of attack.多处设防—假定对手可以通过内部人员和外部人员从多点向目标攻击,组织必须在多点布置保护机制以便对抗所有的攻击方法。
Information Systems Security Engineering(ISSE)is the art and science of discovering users’ information protection needs and then designing and making information systems, with economy and elegance, so they can safely resist the forces to which they may be subjected.This chapter describes an ISSE process for discovering and addressing users’ information protection needs.The ISSE process should be an integral part of systems engineering(SE)and should support certification and accreditation(C&A)processes, such as the Department of Defense(DoD)Information Technology Security Certification and Accreditation Process(DITSCAP).The ISSE process provides the basis for the background information, technology assessments, and guidance contained in the remainder of the Information Assurance Technical Framework(IATF)document and ensures that security solutions are effective and efficient.信息系统安全工程(ISSE)是发掘用户信息保护需求,然后以经济、精确和简明的方法来设计和制造信息系统的一门技巧和科学,这些需求可能安全地抵抗所遭受的各种攻击。本章描述发掘和阐明用户信息保护需求的ISSE 过程。ISSE 过程是系统工程(SE)的一个主要部分并且支持诸如国防部信息技术安全认证和认可过程(DITSCAP)那样的认证和认可(C&A)过程。ISSE 提供包含在信息保障技术框架(IATF)文挡的剩余部分中的背景信息、技术评估以及指南的基础。同时保证安全解决方案是有效的和效率高的。
Potential Adversaries:Malicious:Nation States、Hackers、Terrorists/ Cyberterrorists、Organized Crime、Other Criminal Elements、International Press、Industrial Competitors、Disgruntled Employees、Nonmalicious:Careless or Poorly Trained Employees
From an information system standpoint, these motivations can express themselves in three basic goals: access to information, modification or destruction of information or system processes, or denial of access to information.从信息系统方面看,这些动机具有三个基本目标:存取信息、修改或破坏信息或系统处理和拒绝访问信息。
Classes of Attack:Passive Attacks、Active Attacks、Close-In Attacks、Insider Attacks、Distribution Attacks
攻击分类:被动攻击、主动攻击、临近攻击、内部人员攻击、分发攻击
The IATF guidance incorporates five primary security services areas: access control, confidentiality, integrity, availability, and nonrepudiation.The division of network security principles into standard security service categories is convenient for this description.The categories presented below roughly coincide with the “basic security services” identified in the 1990 Recommendation X.800, “Security Architecture for Open Systems Interconnection for Consultative Committee for International Telephone and Telegraph(CCITT)Applications”(which is technically aligned with International Organization for Standardization [ISO] 7498-2, “Information Processing Systems Open Systems Interconnection, Basic Reference Model,” Part 2: Security Architecture), and more recently, the ISO/International Engineering Consortium(IEC)10181 series, Parts 1-7.IATF 包括五种主要安全服务:访问控制、保密性、完整性、可用性和不可否认性。将网络安全原则分为标准的安全服务便于这部分的描述。下面提出的分类大致遵循“基本安全服务”,定义在1990 年建议书x.800、“为开放系统互联、国际电话和电报咨询委员会制定的安全体系结构”、以及最近的国际标准化组织(ISO)/国际工程协会(iec)1018 集,1-7 部分。
Access Control
In the context of network security, access control means limiting access to networked resources(hardware and software)and data(stored and communicated).The goal of access control is to prevent the unauthorized use of these resources and the unauthorized disclosure or modification of data.Access control also includes resource control, for example, preventing logon to local workstation equipment or limiting use of dial-in modems.For the purposes of this discussion, network access control is not concerned with denying physical access(e.g., via locked rooms or tamperproof equipment).访问控制
在网络安全环境中,访问控制意味着限制对网络资源(软件和硬件)和数据(存储的和通信的)的访问。访问控制的目标是阻止未授权使用资源和未授权公开或修改数据。访问控制还包括“资源控制”,例如,阻止登陆到本地工作站或限制使用拨入调制解调器。为便于讨论,网络访问控制不涉及拒绝物理访问(如给房间加锁和给设备加上防损设施)。访问控制运用于基于身份(identity)和/或授权(authorization)的实体。身份可能代表一个真实用户、具有自身身份的一次处理(如进行远程访问连接的一段程序)或者由单一身份代表的一组用户(如给予规则的访问控制)。
I&A.Establishing the identities of entities with some level of assurance(an authenticated identity).Authorization.Determining the access rights of an entity, also with some level of assurance.Decision.Comparing the rights(authorization)of an authenticated identity with the characteristics of a requested action to determine whether the request should be granted.Enforcement.Enforcement may involve a single decision to grant or deny or may entail periodic or continuous enforcement functions(continuous authentication).识别与认证(I&A):建立带有一定保障级别的实体身份(认证的身份);
授权:决定实体的访问权,也带有一定保障级别;
决策:将一个认证身份的权利(授权)同请示行为的特征相比较,目的是确定请求是否应被批准;
执行:执行包括对批准、拒绝或需要阶段/连续执行功能(连续认证)的决策。
Confidentiality
The confidentiality security service is defined as preventing unauthorized disclosure of data(both stored and communicated).This definition is similar to, and actually a subset of, the description of access control in Section 4.3.1.In fact, it can be argued that providing access control also provides confidentiality, or conversely, that providing confidentiality is a type of access control.We include in the definition of “information,” data that is not traditional user data(examples are network management data, routing tables, password files, and IP addresses on data packets).Confidentiality services will prevent disclosure of data in storage, transiting a local network, or flowing over a public Internet.One subset of confidentiality is “anonymity,” a service that prevents disclosure of information that leads to the identification of the end user.保密性
保密性安全服务被定义为防止数据(包括存储的和通信中的)的未授权公开。此定义与4.3.1 节对访问控制的描述类似(实际上是访问控制的子集)。实际上可以认为访问控制可提供保密生;或反过来,认为保密性是访问控制的一种类型。我们包含在“信息”定义之中的数据,并非传统意义上的用户数据一(如网络管理数据、路由表口令文件、数据包的IP 地址)。保密性服务防止数据在存储、局域网中传输和流经公共互连网时泄露。匿名是保密性的一个子集,匿名服务防止因消息泄露而导致端用户身份被识别。
The provision of the confidentiality security service depends on a number of variables:Location(s)of the Data that Needs Protection.、Type of Data that Needs Protection、Amounts or Parts of User Data that Need Protection.、Value of Data that Needs Protection.、Data Protection.、Data Separation.、Traffic Flow Protection.对提供保密性安全服务的要求取决下面几个变化因素:需保护数据的位置、需保护数据的类型、需保护的用户数据的不同数量或部分、需保护数据的价值、数据保护、数据隔离、通信流保护
Integrity
The integrity security service includes the following methods: prevention of unauthorized modification of data(both stored and communicated), detection and notification of unauthorized modification of data, and recording of all changes to data.Modification of both stored and communicated data may include changes, insertions, deletions, or duplications.Additional potential modifications that may result when data is exposed to communications channels include sequence changes and replay.完整性
完整性安全服务包括下列的一种或多种:防止未授权修改数据(存储的和传输的);检测和通知未授权数据修改并将所有数据更改记入日志。对存储的和传输中的数据进行的修改包括变动、插入、删除、复制等。另一种潜在的修改可能在数据进入传输信道时发生,包括序列号改变和重置。
CryptoAPI.The Microsoft Cryptographic API provides services that enable application developers to add cryptography to their Win32 applications.Applications can use the functions in CryptoAPI without knowing anything about the underlying implementation, in much the same way that an application can use a graphics library without knowing anything about the particular graphics hardware configuration.加密API 微软件包加密API 可提供服务,使应用开发商为他们的win32 应用程序加密。应用程序可以在不知道任何底层实施的情形下,使用加密API 中的功能。同样,应用程序可以在不知道任何特殊图形硬件配置情况下,使用图形库。
File Encryptors.These provide confidentiality and integrity for individual files, provide a means of authenticating a file’s source, and allow the exchange of encrypted files between computers.File encryptors typically implement a graphical user interface(GUI)that allows users to choose files to be encrypted or decrypted.This protects individual files but does not protect all of the files on the drive.文件加密器 它为个体文件提供保密性和完整性,提供识别文件源的方法,允许加密文件在计算机之间交换。文件加密器代表性的应用是实现图形用户接口GUI,GUI允许用户选择文件被加密或解密。文件加密器保护单个文件,但不能保护驱动器中的所有文件。
Intrusion and Penetration Detection.Intrusion detection and response systems can protect either a network or individual client platforms.Effective intrusion detection systems detect both insider and outsider attacks.In general, intrusion detection systems are intended to protect against and respond to situations in which the available countermeasures have been penetrated, either through allowed usage or the exploitation of vulnerabilities that are unknown or have not been patched.The objective of these systems is to detect malicious and unintended data and actions(e.g., altered data, malicious executables, requests that permit unintended resource access, and unintended use of intended services).Once the intrusion is detected, an appropriate response is initiated(e.g., disconnect attacker;notify operator;respond automatically to halt or lessen the attack;trace attack to proper source;and counter the attack, if appropriate).Intrusion detection mechanisms operating at the transport layer can view the contents of transport packets(e.g., TCP packets)and are able to detect more sophisticated attacks than are mechanisms that operate at the network layer.Intrusion detection mechanisms operating at the network layer can view the contents of network packets(e.g., IP packets)and are thus only able to detect attacks that are manifested at the network layer(e.g., port scans).入侵和渗透检测 入侵检测和响应系统能够保护网络和个体客户平台。有效的入侵检测系统可以同时检测内部和外部威胁。通常,入侵检测系统试图避免有用对策被渗透(以及对渗透做出反应)。这种保护和反应或者通过许可使用,或者通过开拓未知的或未被修补的缺陷来实现。这些系统的目的是检测恶意和非预期的数据和行为(如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务)。一旦入侵被检测到,会引发某种响应(如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击)。运行在传输层的入侵检测机制可以浏览传输包的内容(如TCP 包),并且比运行在网络层的检测机制能检测到更老练的攻击。运行在网络层的入侵检测机制能够浏览网络包的内容(如IP 包),它只能侦听出现在网络层的攻击(如端口扫描)。
Internet Protocol Security(IPSec).IPSec is the security framework standardized by the IETF as the primary network layer protection mechanism.IPSec consists of two parts: an authentication header(AH), whose purpose is to bind the data content of IP frames to the identity of the originator, and an encapsulating security payload(ESP), for privacy.The AH is intended for use when integrity of information is required but privacy is not.ESP is intended for use where data confidentiality is required.ESP defines two methods(or modes)of encapsulating information.Tunnel mode, when used at an enclave boundary, aggregates traffic flow from site to site and thereby hides end-system identification.Transport mode leaves end-system identification in
the clear and is most advantageous when implemented at the end system.IPSEC Ipsec 是被IETF 标准化为主要网络层保护机制的安全框架。Ipsec 由两部分组成:一个认证头AH,其目的是将IP 包中的数据内容同发送方身份以及私有封装安全有效载荷(ESP)相绑定。当要求消息的完整性而不需要私用性时,可以使用AH。当要求数据的保密性时也可以使用ESP。ESP 定义了两种封装消息的方法(或模式)。用在区域边界的隧道模式,它聚合点到点的通信流从而隐藏端系统识别。传输模式不会阻碍端系统识别,在端系统实施时最有优势。
Internet Key Exchange(IKE)Protocol.IKE was developed by the IETF as a standard for security attribute negotiation in an IP network.It provides a framework for creating security associations between endpoints on an IP network, as well as the methodology to complete the key exchange.IKE is based upon the Internet Security Association Key Management Protocol(ISAKMP)with Oakley extensions.The structure of ISAKMP is sufficiently flexible and extensible to allow inclusion of future security mechanisms and their associated algorithms and can be tailored to other networking technologies.互联网密钥交换协议(IKE)IKE 是IP 网络中作为安全属性协商的标准而由IETF开发的。它为IP 网络中端系统之间产生安全联盟提供一个框架,同时也为完成密钥交换提供一套方法。IKE 是基于OAKLEY 扩展的互联网安全联合协会密码管理协议(ISAKMP)的。ISAKMP 的结构非常灵活,可加以扩展以允许包含未来的安全机制及其相关算法,同时,ISAKMP 还可用于其它连网技术。
Media Encryptors.Media encryptors protect the confidentiality and integrity of the contents of data storage media.They can also perform a role in maintaining the integrity of the workstation by verifying the Basic Input/Output System(BIOS)and ensuring that configuration and program files are not modified.Media encryptors need to leave some system files unencrypted so that the computer can boot from the hard drive.Most of these files can have their integrity protected by a cryptographic checksum;this will not prevent a tamper attack but will alert the user that the data has been altered.However, some system files contain data that changes when the computer is booted;these files cannot be protected.With the exception of some system files, media encryptors encrypt the entire contents of the drive.介质加密器 媒体加密器保护数据存储介质内容的保密性和完整性。通过校验基本输出输入系统(BIOS)和确保配置和程序文件不被修改,媒体加密器可起到维护工作站完整性的作用。媒体加密器允许一些系统文件不被加密,以便计算机能从硬盘引导。
SSL.SSL exists just above the transport layer and provides security independent of application protocol, although its initial implementation was meant to secure the Hypertext Transfer Protocol(HTTP).This effort has migrated to the IETF as the Transport Layer Security(TLS)protocol, which provides data encryption, server authentication, message integrity, and optional client authentication for a TCP/IP connection.TLS negotiates the invocation of cryptographic algorithms(from a fixed set)and protects all application layer data.SSL—SSL 恰好位于传输层之上,虽然其最初实施是为了保护超文本传输协议(HTTP),SSL 却可提供独立于应用协议的安全性。IETF 将这种努力(提供独立于应用协议的安全性)实现为传输层安全协议(TLS)。TLS 协议提供数据加密、服务器认证、消息完整性和为TCP/IP 连接提供可选客户认证。它协商加密算法(从固定的组中)的调用,保护所有应用层数据。
Trusted Computing Base(TCB).A trusted computer system is a system that employs sufficient hardware and software assurance measures to allow its use for simultaneous processing of a range of sensitive or classified information.Such a system is often achieved by employing a TCB.A TCB is the totality of protection mechanisms within a computer system, including hardware, firmware, and software, the combination of which is responsible for enforcing a security policy.A TCB consists of one or more components that together enforce a unified security policy across a product or system.The TCB’s ability to correctly enforce a unified security policy depends solely on the mechanisms within the TCB and on system administration personnel’s correct input of parameters(e.g., a user’s clearance level)related to the security policy.可信计算基TCB(Trusted Computing Base)一被信赖的计算机系统使用足够的硬件和软件保障手段以允许同时处理一批敏感或秘密信息。这样的系统通常可通过实施TCB 来实现。TCB 是计算机系统内保护机制的全体,包括硬件、固件和软件,这些组件结合起来共同负责增强安全策略。TCB 由一个或多个组件构成。它们共同增强产品或系统的统一安全策略。TCB 正确增强统一策略的能力仅依赖于TCB 内部机制,以及系统管理员对安全策略相关参数(如一个用户的许可级别)的正确输入。
