6.1 应对风险和机遇的措施
"6.1.1 策划质量管理体系时,组织应考虑4.1所描述的因素和4.2所提及的要求,确定需要应对的风险和机遇,以便:
a) 确保质量管理体系能够实现其期望结果;
b) 增强有利影响;
c) 避免或减少不利影响;
d) 实现改进。"
6.1.2 组织应策划:
"a) 应对这些风险和机遇的措施;
b) 如何:
1) 在质量管理体系过程中整合并实施这些措施(见 4.4) ;
2) 评价这些措施的有效性。
应对风险和机遇的措施应与其对于产品和服务符合性的潜在影响相适应。
注 1:应对风险可包括规避风险,为寻求机遇而承担风险、消除风险源、改变风险的可能性和后果、分担风险、或通过明智决策延缓风险。
注 2:机遇可能会导致采用新实践、推出新产品、开辟新市场、赢得新客户、建立合作伙伴关系、利用新技术以及能够解决组织或其顾客需求的其它有利的可能性。"
6.1.2.1 风险分析
"组织应在风险分析中至少包括:
a) 从产品召回、产品审核、使用现场的退货和修理、投诉、报废及返工中吸取的经验教训;
b) 对信息技术系统的网络攻击威胁。
组织应保留形成文件的信息, 作为风险分析结果的证据。"
6.1.2.2 预防措施
"组织应确定并实施措施,以消除潜在不合格的原因,防止不合格发生。预防措施应与潜在问题的严重程度相适应。
组织应建立一个用于减轻风险负面影响的过程, 过程包括以下方面:
a)确定潜在不合格及其原因;
b)评价防止不合格发生的措施的需求;
c)确定井实施所需的措施;
d)所采取措施的形成文件的信息;
e)评审所采取的预防措施的有效性;
f)利用取得的经验教训预防类似过程中的再次发生(见ISO 9001第7.1.6)。"
6.1.2.3 应急计划
"组织应:
a)对保持生产输出并确保顾客要求得以满足而言必不可少的所有制造过程和基础设施设备,识别并评价相关的内部和外部风险;
b)根据风险和对顾客的影响制定应急计划;
c)准备应急计划,以在下列任何情况下保证供应的持续性:关键设备故障(另见第 8.5.6.1.1 );外部提供的产品、 过程或服务中断;常见自然灾害;火灾;流行病;公共事业中断;信息系统的网络攻击;劳动力短缺;或者基础设施破坏;
d)作为对应急计划的补充,包含一个通知顾客和其他相关方的过程,告知影响顾客作业的任何情况的程度和持续时间;
e)定期测试应急计划的有效性(如:模拟,视情况而定);
对于网络安全:测试可能包括对网络攻击的模拟、对特定威胁的定期监控、确定附属关系和确定漏洞的优先级。测试适用于相关客户中断的风险;
注:网络安全测试可由组织内部管理或视情况分包。
f)利用包括最高管理者在内的跨部门小组对应急计划进行评审(至少每年一次),并在需要时进行更新;
g)对应急计划形成文件,并保留描述修订以及更改授权人员的形成文件的信息;
h)在应急计划中包括开发和实施适当的员工培训和意识。
应急计划应包含相关规定,用以在发生生产停止的紧急情况后重新开始生产之后,以及在常规停机过程未得到遵循的情况下,确认制造的产品持续符合顾客规范。"
6.2 质量目标及其实现的策划
"6.2.1 组织应对质量管理体系所需的相关职能、层次和过程设定质量目标。
质量目标应:
a) 与质量方针保持一致;
b) 可测量;
c) 考虑到适用的要求;
d) 与提供合格产品和服务以及增强顾客满意相关;
e) 予以监视;
f) 得到沟通;
g) 适时更新。
组织应保留有关质量目标的形成文件的信息。"
"6.2.2策划如何实现质量目标时,组织应确定:
a) 采取的措施;
b) 需要的资源;
c) 由谁负责;
d) 何时完成;
e) 如何评价结果。"
6.2.2.1 质量目标及其实现的策划-补充
"最高管理者应确保为整个组织内的相关职能、过程和层次,明确、建立并保持符合顾客要求的质量目标。
组织在建立其年度(至少每年一次)质量目标和相关性能指标(内部和外部)时,应考虑组织对相关方及其有关要求的评审结果。"
"6.3 变更的策划
当组织确定需要对质量管理体系进行变更时,此种变更应经策划并系统地实施(见 4.4)。
组织应考虑到:
a) 变更的目的及其潜在后果;
b) 质量管理体系的完整性;
c) 资源的可获得性;
d) 职责和权限的分配或再分配。"