ISO37301:2021合规管理体系要求及使用指南--3术语和定义

(2024-03-28 14:27:46)

标签：

豪尔思科

iso373012021

合规管理体系

iso认证

3术语和定义

下列术语和定义适用于本文件。3.1组织organization为实现目标(3.6),由职责、权限和相互关系构成自身功能的一个人或一组人。注1;组织的概念包括但不限于个体经营者、公司、集团公司、商行,企事业单位.行政机构、合伙企业、慈善机构或研究机构,或上述组织的部分或组合,无论是否具有法人资格,公有或私有。注2:如果组织是大型实体的某个组成部分,那么,术语“组织"仅指在合规管理体系(3.4)范围内的这个组成部分。3.2相关方interested party(优先术语)利益相关方stakeholder(许用术语)能够影响决策或活动、受决策或活动影响或自认为受决策或活动影响的个人或组织(3.1)。3.3最高管理者top management在最高层指挥和控制组织(3.1)的一个人或一组人。注1:最高管理者有权在组织内部授权和提供资源。注2:如果管理体系(3.4)的范围仅覆盖组织的某个组成部分,那么最高管理者是指挥和控制该部分的一个人或一组人。注3:本文件中,"最高管理者”指最高级别的执行管理层。3.4管理体系management system组织(3.1)为确立方针(3.5)和目标(3.6)以及实现这些目标的过程(3.8)所形成的相互关联或相互作用的一组要件。注1:一个管理体系可能针对一个或几个主题。注2:管理体系要件包括组织的结构.岗位和职责、策划和运行。3.5.方针policy由最高管理者(3.3)正式表述的组织(3.1)的意图和方向。注:方针也可能由组织的治理机构(3.21)正式表述。3.6目标objective要实现的结果。注1:目标可能是战略的、战术的或运行的。注2:目标可能涉及不同的主题(如财务、健康和安全、环境)。它们可能存在于不同层面,诸如组织整体层面或项目、产品、服务或过程(3.8)层面。注3:目标能够用其他方式表述,如:预期的结果、宗旨、运行准则,合规(3.26)目标或使用其他有类似含义的词(如:终点或指标)。注4:在合规管理体系(3.4)中,组织(3.1)设定的合规目标与合规方针(3.5)保持一致，以实现特定的结果。3.7风险risk不确定性对目标(3.6)的影响。注1:影响是对预期的偏离一正面的或负面的。注2:不确定性是一种状态,是指对某个事件.事件的后果或可能性缺乏甚至部分缺乏相关信息、理解或知识。注3:通常,风险以潜在事件(见ISO Guide 73的定义)和后果(见ISO Guide 73的定义)或二者的组合来描述其特性。注4:通常,风险以某个事件的后果(包括情况的变化)及其发生的可能性(见ISOGuide73的定义)的组合来表述。3.8过程process使用或转化输人以实现结果的一组相互关联或相互作用的活动。注:某个过程的结果是称为输出,还是称为产品或服务,取决于相关语境。3.9能力competence应用知识和技能实现预期结果的本领。3.10文件化信息documented information组织(3.1)需要控制和维护的信息及其载体。注1:文件化信息能够以任何形式和载体存在,且来源不限。注2:文件化信息可能涉及:——管理体系(3.4)包括相关过程(3.8);——为组织运行而创建的信息(文件);——实现的结果的证据(记录)。3.11绩效performance可测量的结果。注1:绩效可能涉及定量的或定性的结果。注2:绩效可能与活动、过程(3.8)、产品、服务、体系或组织(3.1)的管理有关。3.12持续改进continual improvement提高绩效(3.11)的循环活动。3.13有效性effectiveness完成策划的活动和实现策划的结果的程度。3.14要求/需求requirement规定的、不言而喻的或有义务履行的需要或期望。注1:不言而喻的或有义务履行的需要或期望是指需求。其中,“不言而喻”是指组织(3.1)和相关方(3.2)的惯例或一般做法，不言而喻的需要或期望是不用说就明白的。注2:规定的需要或期望是指要求,也就是符合GB/T 1.-- 2020中定义的要求，即表达声明符合该文件需要满足的客观可证实的准则。注3:规定的需要或期望是指要求,例如文件化信息(3.10)中。3.15符合conformity满足要求(3.14)。3.16不符合nonconformity未满足要求(3.14)注:不符合不一定是不合规(3.27)。3.17纠正措施corrective action为了消除不符合(3.16)的原因并预防再次发生所采取的措施。3.18审核audit获取审核证据并对其进行客观评价，以确定审核准则满足程度所进行的系统的、独立的过程(3.8)。注1:审核可能为内部(第一方)审核或外部[第二方或第三方(3.30)]审核，也可能为多体系审核(合并两个或多个主题)。注2:内部审核由组织(3.1)自行实施或代表组织的外部机构实施。注3:“审核证据”和“审核准则”的定义见ISO 19011。注4:独立性能通过对正在被审核的活动免于承担责任或无偏见和利益冲突来证实。3.19测量measurement确定数值的过程(3.8)。3.20监视monitoring确定体系、过程(3.8)或活动的状态。注:确定状态可能需要检查、监督或严格观察。3.21治理机构governing body对组织(3.1)的活动、治理、方针(3.5)负有最终职责和权限的一个人或一组人,最高管理者(3.3)向其报告并对其负责。注1:并不是所有的组织,尤其是小型组织,都会有一个独立于最高管理者的治理机构。注2:治理机构可能包括但不限于董事会、董事会委员会、监事会或受托人。3.22人员personnel在国家法律或实践中被确认为工作关系的个人，或依赖于组织(3.1)活动的任何合同关系中的个人。3.23合规团队compliance function对合规(3.26)管理体系(3.4)运行负有职责、享有权限的一个人或一组人。注:最好指定一人负责合规管理体系的监督。3.24.合规风险compliance risk因未遵守组织(3.1)合规义务(3.25)而发生不合规(3.27)的可能性及其后果。3.25合规义务compliance obligations组织(3.1)强制性地必须遵守的要求(3.14),以及组织自愿选择遵守的要求。3.26合规compliance履行组织(3.1)的全部合规义务(3.25)。3.27不合规noncompliance未履行合规义务(3.25)。3.28合规文化compliance culture贯穿整个组织(3.1)的价值观、道德规范、信仰和行为(3.29),并与组织结构和控制系统相互作用，产生有利于合规(3.26)的行为规范。注:价值观是组织所崇尚的文化的核心,是组织行为的基本原则。3.29行为conduct影响顾客、员工、供应商、市场和社区结果的举动和实践。3.30第三方third party独立于组织(3.1)的个人或机构。注:所有业务伙伴都是第三方,但并非所有第三方都是业务伙伴。3.31程序procedure为进行某项活动或过程(3.8)所规定的途径。[来源:GB/T 19000- 2016,3.4.5]

豪尔思科咨询范围

认证咨询：军工四证、IATF16949、ISO22163、GJB9001C、AS9100D、AS9120、ISO/IEC17025、ISO13485、HSE、NADCAP、SIL、ASPICE、ISO45001、ISO14001、ISO9001、ISO50001等。

新业务范围：

1、 ISO20000 信息技术服务管理体系

2、 ISO27001 信息安全管理体系

3、 ISO27701个人隐私安全管理体系认证

4、 ISO37301合规管理体系

5、 TISAX 德系汽车行业信息安全审计

6、 A-spice认证，汽车工业引入SPICE模型。软件成熟度

7、 ISO21434 汽车网络安全认证

8、 ISO26262 汽车功能安全

行业范围：