سیستم مدیریت یکپارچه IMS

این گواهینامه ایزو برپایه   در خواست  زیاد  شرکت گواهی دهنده ایزو  و مشتریان ، برای ایجاد چند سیستم مدیریتی بطور هماهنگ و همزمان برپایه  اهداف  شرکت ها میباشد.

این ایزو  سیستم مدیریت هماهنگ ؛ حاصل  دستیابی مشتریان در ایجاد انطباق سیستم های مدیریتی با قوانین استاندارد های اصلی برپایه قوانین موسسات اعتبار دهنده جهانی  میباشد.

از فواید  ایجاد هماهنگ  سیستم های مدیریت کیفیت ایزو  9001،سیستم مدیریت محیط زیست ایزو  14001وسیستم مدیریت ایمنی وبهداشت حرفه ای OHSAS به عبارت زیر است :

• کاهش هزینه های ایجاد،ممیزی و حفظ  سیستم

•ایجاد هماهنگی در فعالیت زیر سیستم های لازم

•کاهش زمان ایجاد وتسریع در امادگی سیستم برای ممیزی و اخذ گواهینامه و مشاوره ایزو  

• تمرکز سازمان مدیریت  ومسئولیت های   اداره و ارتقا  سیستم ها

• کاهش مقدار اجرای ممیزی در یک  سال

 وجهه  مناسب ونمایش ایجاد بهتر سیستم مدیریت

شیوه ی  اجرای ممیزی IMS مانند اجرای  سایر ممیزی ها است. در صورت تمایل،متقاضیان از فواید  یک  مرحله قبل از  ممیزی  استفاده می کنند. اجرای قبل از  ممیزی برپایه  تمایل کار فرما  عرضه می گردد. اخذ ممیزی در دومرحله ودر پی  آن فرآیند ارزشیابی  واحد و  در صورت تایید گواهینامه ایزو صادر میشود.ممیزی سالانه  برای اعتماد از  از پیوستگی اجرا و همچنین اثر گذاری بر سیستم مدیریت هماهنگ  به طور سالانه توسط شرکت ایزو   مدیریت و اجرا میشود .

ایزو 15189

سیستم مدیریت کیفیت آزمایشگاه های پزشکی

ایزو 15189توسط شرکت گواهی دهنده ایزو  ISO/TC 212 تهیه شده و برای  ارزشیابی آزمایشگاه ها سیستم های تعیین کننده  آزمایشگاهی استفاده می شود. قصد  از تنظیم  این  گواهینامه ایزو ، تعیین مقررات ویژه برای کیفیت در آزمایشگاه های پزشکی به کار می رود.

این ایزو  که بر پایه ISO/IEC 17025 و ایزو 9001 می باشد. قوانینی برای صلاحیت و کیفیت که ویژه آزمایشگاه های پزشکی است را عرضه می کند. خدمات آزمایشگاه پزشکی در حفاظت  از بیماران لازم است و براین اساس باید برای برآوردن نیازهای کلیه بیماران و کارکنان بالینی که مسئولیت مراقبت از بیماران را برعهده دارند، در دسترس باشند. این  خدمات  متشکل از  مراتبی برای پذیرش ، آماده سازی بیمار، شناخت بیمار، جمع آوری نمونه ها، نقل و انتقال، ذخیره سازی ، پردازش، اجرای آزمایش نمونه های بالینی و تایید آن است ، توضیح ، گزارش و مشاوره ایزو  با توجه به  ایمنی و قوانین اخلاقی در  آزمایشگاه پزشکی می باشند. بنابراین آزمایشگاهیان سعی کردند  تا ایزو تهیه کنند که تمام  نیازهای عمده یک آزمایشگاه تشخیص طبی را شامل شود  این ایزو  تحت عنوان استاندارد 15189 نامگذاری و منتشر گردید.

اهداف  ایزو 15189 چیست؟

·         انطباق با استاندارد به آزمایشگاها یاری می دهد تا کار خودرا  با دقت و همچنین طبق استاندارد ها  شرکت ایزو انجام دهند و محکی برای نگه داری از مهارت آزمایشگاه را فراهم می آورد.

·         انطباق با استاندارد مفید ترین راه بازاریابی برای آزمایشگاهی تشخیص طبی است و می تواند پاسپورتی برای پیمان کاران باشد که نیاز به تائید  آزمایشگاه ها را نیاز دارند

ایزو 10668

دارایی های هر شرکت  برای آن شرکت بسیار با ارزش از یکی از این دارایی ها برند هر شرکتی است  که کمتر کسی نیز به داین موضوع پی می برد . تعیین ارزشمندی یک برند در صورتی که موثق باشد کار بسیار ارزشمندی است. این گواهینامه ایزو  عملکرد  مناسب و درستی  را  برای  تعیین ارزش برند  عرضه می کند  و از جنبه های مالی، رفتاری و قانونی به آن می پردازد.

بحث تعیین ارزش یک برند در دنیا تا سال 2010 به شیوه های متفاتی اجرا می شد . باتوجه به تنوع زیاد بعضاً تضاد یا عدم هماهنگی  این شیوه ها، نتایج غیر قابل اعتمادی را عرضه می کند. شرکت گواهی دهنده ایزو با عضویت نمایندگان 3 شرکت ایزو  فعال در این زمینه در سال 2010تشکیل شد  و خروجی آن در سپتامبر2010 باعث  به انتشار ایزو ISO10668:2010 – Brand Valuation (استاندارد ایزو10668 ) گردید.

ایزو 10668 توسط کمیته پروژه  ISO/PC 231در زمینه مشاوره ایزو مدیریت انرژی سازمان ایزو تهیه گشته است .

این ایزو  مشخص کننده ارزش ذاری برند  و شیوه های اندازه گیری ارزش مادی برند می باشد.

در این ایزو  قوانینی برای تعیین ارزش  برند مشخص می شود شامل  اهداف  ارزش گذاری ، کارکرد ارزش گذاری، شیوه های ارزش گذاری و یافتن داده ها و فرضیات کیفی را شامل می شود. علاوه براین  شیوه های گزارش دهی درباره نتایج ارزش گذاری را بیان  می کند. ایزو 9001

ارزش گذاری برند متناسب با شرایط هر  سازمانی می تواند برای اهداف زیر استفاده شود:

·         تامین منابع مالی و بدست آوردن  شرکا تجاری

·         تعیین ارزش  سهام و ورود به بازار بورس

·         اخذ وام و تسهیلات بانکی

·         برنامه ریزی مناسب و مدیریت برند

·         قرار دادندر گزارشات مالی

·         پرداخت خسارت ، دیون و ورشکستگی

·         استفاده در دعاوی حقوقی و قضایی

نظامنامه کیفیت ایزو

فصل اول
کلیات:
1-1- تاریخچه فعالیت
1-2- دامنه خدمات و آزمون‌های مشمول دامنه کاربرد سیستم کیفیت
1-3- ساختار سازمانی آزمایشگاه

2- فصل دوم
دامنه کاربرد:

3- فصل سوم
اصطلاحات و تعاریف:

4- فصل چهارم
الزامات مدیریتی:
4-1- سازماندهی
4-2- سیستم کیفیت
4-3- کنترل مدارک
4-4- بازنگری درخواست‌ها، پیشنهادها و قراردادها
4-5- واگذاری آزمون به پیمانکار فرعی
4-6- خرید خدمات و ملزومات
4-7- ارائه خدمات به مشتریان
4-8- شکایات
4-9- کنترل کار نامنطبق آزمون/ کالیبراسیون
4-10- بهبود
4-11- اقدام اصلاحی
4-12- اقدام پیشگیرانه
4-13- کنترل سوابق
4-14- ممیزی‌های داخلی
4-15- بازنگری مدیریت




5
- فصل پنجم
الزامات فنی
5-1- کلیات
5-2- کارکنان
5-3- جایگاه و شرایط محیطی
5-4- روش‌های آزمون / کالیبراسیون و صحه‌گذاری روش‌ها
5-5- تجهیزات
5-6- قابلیت ردیابی اندازه‌گیری
5-7- نمونه‌ برداری
5-8- جابجایی اقلام آزمون/ کالیبراسیون
5-9- تضمین کیفیت نتایج آزمون/ کالیبراسیون
5-10- گزارش‌دهی نتایج

6- ضمائم نظامنامه کیفیت
6-1- ساختار مستندات سیستم کیفیت آزمایشگاه
6-2- جایگاه آزمایشگاه در سازمان مادر
6-3- شرح مشاغل کارکنان کلیدی آزمایشگاه
6-4- خط‌مشی کیفیت آزمایشگاه
 
فصل اول
کلیات
1-1- تاریخچه فعالیت
    تاریخچه فعالیت آزمایشگاه و سازمان مادر

-    تاریخچه تأسیس  

      شرکت  ایزو در سال  ایزو ایزو ایزو13 توسط گروهی از صنعتگران مبتکر با بیش از ده سال تجربه قبلی در زمینه  ایزو  در تاریخ  ایزو  ماه تحت شماره  ایزو  در اداره کل ثبت شرکتها و مالکیت صنعتی اصفهان تأسیس و به ثبت رسیده است ایزو  ایزو به عنوان یک شرکت معتبر خصوصی با بهره گیری از ثبات مدیریت و کادر متعهد و متخصص توانسته است پیشرو انتقال فناوری باشد ایزو
این شرکت دراصفهان  ایزو  واقع شده است 


    آدرس آزمایشگاه
اصفهان – ایزو صندوق پستی:  ایزو ایزو ایزو ایزو ایزو ایزو ایزو
تلفن: 2 – - 0311  دورنگار:  ایزو  – 0311
    تعداد کارکنان آزمایشگاه (به تفکیک فنی، اداری، خدماتی و  ایزو ایزو ایزو ایزو)
کارکنان اداری: 1نفر لیسانس ، 1نفر لیسانس رشته متالورژی (سرپرست کیفیت)
کارکنان فنی: 1 نفر لیسانس رشته  ایزو (سرپرست فنی آزمایشگاه)،
تکنسین: 1 نفر کاردان رشته  ایزو 

1-2- دامنه خدمات و آزمون‌ها/ کالیبراسیون‌های مشمول دامنه کاربرد سیستم کیفیت
1-2-1- دامنه خدمات آزمون‌ها
 
1-3- ساختار سازمانی آزمایشگاه:
توضیح : به دلیل ساختار سازمانی شرکت  ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزوالزام استاندارد مبنی بر تعیین مسئولین ساختار سازمانی آزمایشگاه، از این به بعد بجای استفاده از واژه مدیر، در این نظام نامه و در ساختار سازمانی آزمایشگاه از واژه سرپرست استفاده می شود ایزو بنابراین مسئولین آزمایشگاه به شکل ذیل نام برده می شوند ایزو
1)    مدیر ارشد = سرپرست ارشد
2)    مدیر کیفیت = سرپرست کیفیت
3)    مدیر فنی = سرپرست فنی

فصل دوم
 هدف و دامنه کاربرد
سیستم کیفیت آزمایشگاه شرکت *** ، با هدف ایجاد یک سیستم مدیریتی مستقل و مبتنی بر کیفیت، طراحی و مستقر شده است تا با بهره‌گیری از این سیستم، آزمایشگاه بتواند خدمات خود را با بهترین کیفیت به مشتریان خود ارائه نماید و همچنین کلیه فعالیت‌های مدیریتی، فنی و تخصصی خود را به بهترین نحو اداره نموده و با اخذ گواهینامه‌ها و اعتبارنامه‌های ملی یا بین‌المللی، صلاحیت و شایستگی خود را به گیرندگان خدمات و گروه‌های ذینفع اثبات نماید ایزو سیستم کیفیت آزمایشگاه  ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزو ایزوکه از این پس و در این نظامنامه به اختصار آزمایشگاه نامیده می‌شود، دربرگیرنده کلیه فعالیت‌های مدیریتی و فنی آزمایشگاه و فرایندهای آن بوده و از سوی دیگر، تمام خدمات آزمایشگاهی مندرج در فصل 1 این نظامنامه را در بر می‌گیرد ایزو
از دیدگاه دیگر، سیستم کیفیت همچنین در برگیرنده کلیه خدماتی است که آزمایشگاه به کلیه مشتریان درون سازمانی و برون سازمانی خود ارائه می‌نماید ایزو


سیستم کیفیت آزمایشگاه با توجه به نوع فعالیت، دامنه خدمات و ماهیت آزمون‌ها/ کالیبراسیون‌های قابل انجام و بر اساس استاندارد بین‌المللی ISO/ IEC 17025:2005 با عنوان "الزامات عمومی برای احراز صلاحیت آزمایشگاه‌های آزمون و کالیبراسیون" طراحی و مستقر گردیده است ایزو
این نظامنامه با هدف تشریح ساختار سیستم کیفیت آزمایشگاه و ارائه الگوی مناسب برای آشنایی و آگاهی کاربران سیستم با مفهوم و ساختار و نحوه اجرای آن و همچنین آگاهی و اطلاع رسانی بهتر به گیرندگان خدمات تهیه و تدوین شده است ایزو
در این نظامنامه، قوانین و مقررات حاکم بر این آزمایشگاه و همچنین نحوه اجرای فعالیت‌های موثر بر کیفیت به طور کلی تشریح شده است و ارجاعات لازم به روش‌های اجرایی، دستور‌العمل‌ها و دیگر مدارک سیستم کیفیت از وی‍ژگی‌های این نظامنامه است ایزو
نحوه ویرایش و فصل‌بندی نظامنامه به گونه‌ای است که فصول و بندهای مربوط به هر فصل به خصوص فصل 4 و 5 کاملاً منطبق با استاندارد الگو بوده و کاربر این نظامنامه می‌تواند به راحتی ارتباط آن را با استاندارد الگو جستجو و درک نماید ایزو
رعایت الزامات تعریف شده و پیاده‌سازی و اجرای آن در راستای خط‌مشی کیفیت و اهداف کلان آزمایشگاه در کلیه بخش‌های آزمایشگاه و برای کلیه کارکنان شاغل در آزمایشگاه الزامی می‌باشد ایزو
 
فصل سوم
اصطلاحات و تعاریف
تعاریف و اصطلاحات بکار گرفته شده در این نظامنامه و سیستم کیفیت بر اساس مراجع زیر می‌باشد:
- ISO/ IEC 17000 : ارزیابی انطباق- واژگان و مبانی عمومی
- استاندارد ملی ایران 4723 : واژگان و اصطلاحات پایه و عمومی اندازه‌شناسی (VIM)
- ISO 9000:2000 : سیستم‌های کیفیت- مبانی و واژگان
فصل چهارم
الزامات مدیریتی
4-0- مقدمه:
در این فصل از نظامنامه کیفیت آزمایشگاه، ساختار سیستم کیفیت، خط‌مشی‌ها و روش‌های جاری در آزمایشگاه به منظور برآورده نمودن الزامات مدیریتی استاندارد ISO/IEC 17025 معرفی و تشریح شده است ایزو
4-1- سازماندهی
4-1-1- آزمایشگاه شرکت*** ایزو یکی از واحدهای اصلی این سازمان به شمار می‌رود ایزو سازمان مادر براساس قوانین و مقررات جاری عمل نموده و دارای مجوزهای لازم از سوی مراجع قانونی ذیربط می‌باشد ایزو سرپرست ارشد آزمایشگاه با توجه به مواردی که در خط‌مشی کیفیت ذکر شده است، متعهد شده است که خدمات خود را به نحوی ارائه نماید که الزامات استاندارد ISO/ IEC 17025 و نیازهای مشتریان و مراجع قانونی را در راستای سیاست‌ها و خط‌مشی‌های کلی سازمان مادر برآورده نماید ایزو مسئولیت حقوقی فعالیت‌هایی که توسط آزمایشگاه انجام می‌پذیرد بر عهده شرکت***می‌باشد ایزو
4-1-2- آزمایشگاه برای ارائه هرچه بهتر خدمات آزمایشگاهی ضمن رعایت الزامات استاندارد بین‌المللی ISO /IEC 17025 و به کارگیری آنها به عنوان مرجع اصلی طراحی و استقرار سیستم کیفیت خود، تمامی نیازمندی‌ها و خواسته‌های مشتریان خود را در طراحی و استقرار سیستم کیفیت لحاظ نموده و ضمن رعایت الزامات و مقررات قانونی و استانداردهای در دسترس، در تهیه و تدوین مستندات سیستم کیفیت و انجام آزمون‌ها/ کالیبراسیون‌های خود در صورت نیاز از دیگر مراجع معتبر ملی و بین‌المللی نیز بهره می‌گیرد ایزو
4-1-3- سیستم کیفیت آزمایشگاه به گونه‌ای طراحی شده است که تمامی فعالیت‌های آزمایشگاه را بر اساس دامنه خدمات و آزمون‌‌ها/ کالیبراسیون‌های مندرج در بند 1-2 این نظامنامه، تحت پوشش قرار می‌دهد ایزو این فعالیت‌ها شامل کلیه فعالیت‌های مدیریتی و فنی آزمایشگاه از دریافت نمونه/ ابزار تا گزارش‌دهی نتایج را بر می‌گیرد ایزو
4-1-4- تمامی خدمات و فعالیت‌های فنی و تخصصی آزمایشگاه به نحوی طرحریزی و اجرا می‌شوند که کلیه الزامات سیستم کیفیت را برآورده نمایند ایزو تمامی کارکنان در اجرای مسئولیت‌های خود ضمن کسب اختیارات لازم، با امضای فرم تعهد‌نامه رازداری کارکنان آزمایشگاه به شماره SLF 40101 متعهد شده‌اند که در راستای حفظ اطلاعات محرمانه مشتریان و اجرای صحیح فعالیت‌ها مطابق روش‌های تدوین شده، تلاش نمایند و خود را در برابر سیستم کیفیت و نیازمندی‌های مشتریان مسئول دانسته و متعهد هستند تا با رعایت کامل بی‌طرفی و عدم تاثیر پذیری از دیگر قسمت‌های سازمان، به ارائه خدمات پرداخته و نتایج را با صحت و دقت کامل به مشتریان آزمایشگاه ارائه نمایند ایزو
4-1-5- آزمایشگاه محورهای اصلی مربوط به سازماندهی الزامات مدیریتی خود را به صورت زیر طراحی نموده است:
الف- ساختار سازمانی آزمایشگاه که به پیوست همین نظامنامه آمده است، ارتباطات درون سازمانی بین قسمت‌های مختلف آزمایشگاه را نشان می‌دهد ایزو شرح مشاغل کارکنان کلیدی آزمایشگاه نیز که در فصل اول نظامنامه آمده است، مسئولیت‌ها و اختیارات کارکنان کلیدی را در اجرای فعالیت‌هایشان مشخص نموده است ایزو درج تمامی مسئولیت‌ها و اختیارات لازم در روش‌های اجرایی و دستور‌العمل‌های کاری آزمایشگاه نیز به تشریح و درک بهتر مسئولیت‌ها و اختیارات در سیستم کیفیت کمک می‌کند ایزو
سرپرست ارشد آزمایشگاه نیز با بهره‌گیری از حمایت سرپرست ارشد سازمان مادر و با هدف استقرار و اجرای اثربخش سیستم کیفیت و حرکت در راستای خط‌مشی و اهداف سازمان، اختیارات لازم، منابع انسانی، تجهیزات و زیرساخت‌های لازم را در اختیار کارکنان ذیربط قرار داده تا بتوانند ضمن انجام صحیح فعالیت‌ها، تمامی انحرافات در سیستم کیفیت و عملیات فنی آزمایشگاه را شناسایی نموده و با اتخاذ اقدامات مناسب آنها را رفع نمایند ایزو
با توجه به ساختار سازمانی ارائه شده، پست‌های سازمانی کلیدی آزمایشگاه را می‌توان به صورت زیر بر شمرد:
-    سرپرست ارشد
-     سرپرست فنی آزمایشگاه آزمون
-    سرپرست  کیفیت
ب- به منظور حصول اطمینان از مبرا بودن کلیه کارکنان آزمایشگاه از هرگونه فشار و تاثیرپذیری نابجای داخلی و خارجی که بر کیفیت کار آزمایشگاه تاثیر گذار است، مدیر‌عامل شرکت ***از طریق بیانیه مدیریت به شماره SLF 40102 بر رها بودن کارکنان از فشارهای نابجای داخلی و خارجی و حفظ اسرار مشتریان در این آزمایشگاه تاکید نموده است ایزو همچنین آزمایشگاه با ارائه آموزش‌های لازم و ایجاد آگاهی در میان کارکنان و همچنین از طریق اجرای صحیح خط‌مشی کیفیت و اهداف کیفی آزمایشگاه سعی نموده است کارکنان را از هرگونه تاثیرپذیری نابجا به دور دارد ایزو
ج- اطلاعات و سوابق مربوط به آزمون‌ها/ کالیبراسیون‌ها در آزمایشگاه به نحوی نگهداری می‌شوند که اطلاعات محرمانه مربوط به مشتریان، محرمانه تلقی شده و نگهداری آنها به گونه‌ای است که تنها مسئولین ذیربط و در مواقع ضروری به آنها دسترسی خواهند داشت ایزو سطح دسترسی به سوابق مذکور مطابق روش اجرایی کنترل سوابق به شماره SLP 41301 تشریح گردیده است ایزو
د- سرپرست ارشد آزمایشگاه و کارکنان آن ضمن توجه به خواسته‌ها، نظرات، پیشنهادات و بازخورهای مشتریان (اعم از درون سازمانی یا برون سازمانی) از هرگونه فعالیتی که موجب کاهش اعتماد به صلاحیت، بیطرفی و یا عملکرد آزمایشگاه شود، اجتناب نموده و رعایت تمامی این موارد در برنامه‌های آموزشی و آگاه سازی کارکنان، همواره لحاظ می‌شود ایزو
ه- ساختار سازمانی آزمایشگاه و ارتباط بین سرپرست کیفیت، سرپرست فنی و خدمات پشتیبانی آزمایشگاه در فصل اول این نظامنامه ارائه شده است ایزو همچنین جایگاه آزمایشگاه در سازمان مادر در پیوست 6-2 این نظامنامه تشریح شده است ایزو
و- شرایط احراز، مسئولیت‌ها و اختیارات مربوط به هر یک از سمت‌های سازمانی آزمایشگاه در قالب شرح مشاغل کارکنان آزمایشگاه آمده و به تمامی کارکنان آزمایشگاه ابلاغ شده است ایزو دیگر مستندات سیستم کیفیت آزمایشگاه، مسئولیت‌ها و اختیارات مورد نیاز جهت انجام فعالیت‌های مدیریتی و فنی را تشریح نموده است ایزو شرح مشاغل سرپرست ارشد، سرپرست کیفیت و سرپرست فنی آزمایشگاه به پیوست همین نظامنامه آمده است ایزو
ز- تمامی اختیارات لازم جهت نظارت کامل و موثر بر عملکرد کارکنان و فعالیت‌های فنی آزمایشگاه بر حسب نوع و ماهیت آنها بر عهده سرپرست  کیفیت، سرپرست فنی و یا جانشینان وی بوده و آنان می‌توانند با بهره‌گیری از منابع لازم و بر اساس سوابق کاری، مهارت‌ها، تجارب و آموزش‌های مرتبط، بر این فعالیت‌ها نظارت نمایند ایزو
ح- سرپرست فنی آزمایشگاه‌های آزمون/ کالیبراسیون توسط سرپرست ارشد تعیین شده و بر اساس شرح شغل خود، مسئولیت کلی عملیات فنی آزمایشگاه در ارتباط با انجام آزمون‌ها/ کالیبراسیون‌ها و کسب اطمینان از عملکرد صحیح و مطلوب آزمایشگاه را بر عهده دارد ایزو
ط- سرپرست کیفیت آزمایشگاه نیز توسط سرپرست ارشد تعیین شده و مسئولیت حصول اطمینان از اجرای صحیح و اثربخش سیستم کیفیت در تمامی جنبه‌های آن و گزارش‌دهی مستمر به سرپرست ارشد را بر عهده داد ایزو
ی- نام هریک از افراد مرتبط با پست‌های سازمانی و افراد جانشین آنها در لیست پرسنل کلیدی و امضاهای مجاز به شماره SLL 40101 موجود می‌باشد ایزو
ک- آگاه‌سازی کارکنان و برگزاری مستمر دوره‌های آموزشی به منظور حصول اطمینان از آگاهی کارکنان از اهمیت وظایف آنان و اینکه چگونه در تحقق اهداف آزمایشگاه نقش دارند، از اولویت‌های فعالیت‌های آزمایشگاه می‌باشد و منابع لازم در این خصوص توسط سرپرست ارشد آزمایشگاه فراهم می‌شود ایزو
4-1-6- انتقال اطلاعات در آزمایشگاه و فرایندهای ارتباطی از طریق مستندات و سوابق ایجاد شده در آزمایشگاه و برگزاری جلسات منظم داخلی صورت می‌گیرد ایزو





مراجع و ضمائم بند 4-1:
-    خط‌مشی کیفیت آزمایشگاه به شماره SLQP
-    اهداف کیفیت آزمایشگاه به شماره SLQO
-    ساختار سازمانی آزمایشگاه
-    شرح مشاغل کارکنان آزمایشگاه
-    بیانیه مدیریت به شماره SLF 40101
-    تعهدنامه رازداری کارکنان آزمایشگاه به شماره SLF 40102
-    لیست کارکنان کلیدی و امضاهای مجاز به شماره SLL 40101


4-2- سیستم کیفیت:
4-2-1- آزمایشگاه شرکت*** به منظور طراحی، استقرار و نگهداری یک سیستم کیفیت مدون و متناسب با فعالیت‌های خود و منطبق با استاندارد بین‌المللی ISO/IEC 17025 : 2005 مستندات مورد نیاز را تهیه و تدوین نموده است ایزو فهرست مستنداتی که در ارتباط با سیستم مدیریت کیفیت فراهم شده است در لیست اصلی مستندات به شماره SLL 40301 گردآوری شده است ایزو
4-2-2- سرپرست ارشد آزمایشگاه، خط‌مشی کیفیت آزمایشگاه را که در آن اهداف کلی و تعهد وی نسبت به اجرای صحیح و با کیفیت فعالیت‌‌های انجام آزمون/ کالیبراسیون اشاره شده است را مدون نموده است ایزو سرپرست ارشد در دوره‌های زمانی مشخص، اقدام به بازبینی و بازنگری خط‌مشی و اهداف تعیین شده از نظر تداوم مطلوبیت و مناسب بودن آنها می‌نماید ایزو
4-2-3- سرپرست ارشد آزمایشگاه از طریق خط‌مشی کیفیت متعهد شده است کلیه الزامات استاندارد بین‌المللی سپ ISO/ IEC 17025 و سیستم مدیریت کیفیت آزمایشگاه را برآورده نموده و منابع لازم را در این راستا فراهم نماید ایزو همچنین با توجه به نتایج حاصل از ممیزی‌ها، بازنگری‌های مدیریت، اقدامات اصلاحی و پیشگیرانه، خط‌مشی و اهداف کیفیت و تجزیه و تحلیل داده‌ها، سیستم کیفیت آزمایشگاه را به طور مداوم بهبود می‌دهد ایزو
4-2-4- سرپرست ارشد آزمایشگاه با بهره‌گیری از ارتباطات درون سازمانی مناسب و انتقال اطلاعات و همچنین ارتباط مستمر با سرپرست  کیفیت و سرپرست فنی آزمایشگاه از آگاهی و درک کارکنان از اهمیت برآورده نمودن الزامات مشتریان و الزامات قانونی و مقرراتی مرتبط اطمینان حاصل می‌نماید ایزو
4-2-5- این نظامنامه ضمن تشریح ساختار سیستم کیفیت حاکم بر آزمایشگاه، شامل ارجاعات لازم به مستندات مدیریتی و فنی مرتبط می‌باشد ایزو
4-2-6- شرح مشاغل سرپرست  کیفیت و سرپرست فنی آزمایشگاه به پیوست همین نظامنامه آمده است ایزو
4-2-7- کلیه تغییرات مورد نیاز درسیستم کیفیت و مستندات مربوطه مطابق روش اجرایی کنترل مستندات به شماره SLP 40301 مورد بازنگری و تائید قرار گرفته و اعمال اینگونه تغییرات به نحوی است که یکپارچگی سیستم کیفیت حفظ گردد ایزو

مراجع و ضمائم بند 4-2:
-    لیست اصلی مستندات به شماره SLL 40301
-    خط‌مشی کیفیت آزمایشگاه به شماره SLQP
-    اهداف کیفیت آزمایشگاه به شماره SLQO
-    شرح مشاغل کارکنان آزمایشگاه
 
4-3- کنترل مستندات
4-3-1- کلیات
روش اجرایی کنترل مستندات به شماره SLP 40301 با هدف کنترل کلیه مستندات سیستم کیفیت آزمایشگاه (شامل مستندات درون‌سازمانی یا مستندات برون سازمانی) مانند روش‌های اجرایی، دستور‌العمل‌های کاری، آئین‌نامه‌ها، استانداردها، روش‌های آزمون/ کالیبراسیون، نرم‌افزارها، مشخصات فنی و کتابچه‌های راهنما تهیه و تدوین شده است ایزو
4-3-2- تصویب و صدور مدارک
4-3-2-1- کلیه مستندات درون سازمانی آزمایشگاه، پیش از صدور و بر اساس روش اجرایی کنترل مستندات به شماره SLP 40301 مراحل تهیه، تائید و تصویب را می‌گذرانند ایزو لیست اصلی مستندات به شماره SLL 40301 حاوی نام، وضعیت بازنگری جاری مستندات و وضعیت توزیع مستندات بوده و وضعیت اعتبار آنها را مشخص می‌نماید ایزو این فهرست به منظور پیشگیری از استفاده از مستندات نامعتبر یا منسوخ در اختیار کلیه بخش‌های آزمایشگاه قرار دارد و مسئولیت به روز رسانی آن بر عهده سرپرست  کیفیت می‌باشد ایزو
4-3-2-2- آزمایشگاه با اجرای روش اجرایی کنترل مستندات به شماره SLP 40301 اطمینان حاصل می‌کند که:
الف- نسخ معتبر از مدارک در محل‌های مورد نیاز در آزمایشگاه در دسترس می‌باشد ایزو
ب- مستندات به صورت دوره‌ای بازنگری شده و در صورت لزوم به منظور حصول اطمینان از تداوم مطلوبیت و مناسب بودن مورد تجدید انتشار قرار می‌گیرند ایزو
ج- مدارک نامعتبر یا منسوخ از محل‌های استفاده جمع‌آوری می‌گردند ایزو
د- مدارک منسوخ نگهداری شده و به نحو مناسبی علامت‌گذاری می‌شوند ایزو
4-3-2-3- مستندات ایجاد شده در آزمایشگاه مطابق روش اجرایی کنترل مستندات به شماره SLP 40301 به صورت انحصاری شناسایی می‌شوند و تاریخ اجرا، شماره انتشار، شماره صفحات، تعداد کل صفحات و نام و امضای تهیه، تائید و تصویب‌کنندگان آنها مشخص می‌شود ایزو
4-3-3- تغییر مستندات
4-3-3-1- اعمال تغییر در مستندات سیستم مدیریت کیفیت آزمایشگاه توسط افراد مسئول که در تهیه و تائید اولیه مستندات نقش داشته‌اند و تنها با نظر سرپرست  کیفیت امکان‌پذیر است ایزو
4-3-3-2- تمامی سوابق مربوط به تغییرات در مستندات توسط سرپرست  کیفیت نگهداری می‌شوند ایزو سیر تغییرات انجام شده روی هر سند از زمان تدوین اولیه در فرم جدول تغییرات به شماره SLF 40303 ثبت می‌گردد ایزو
4-3-3-3- چگونگی اعمال تغییرات در مستنداتی که به صورت الکترونیکی نگهداری می‌شوند، مشابه مستندات کاغذی بوده که مطابق روش اجرایی کنترل مستندات به شماره SLP 40301 انجام می‌شود ایزو
مراجع و ضمائم بند 4-3:
-    روش اجرایی کنترل مستندات به شماره SLP 40301
 
4-4- بازنگری درخواست‌ها، پیشنهادات و قراردادها
4-4-1- نحوه انجام بازنگری درخواست‌ها، پیشنهادات و قراردادها در روش اجرایی بازنگری درخواست‌ها، پیشنهادات و قراردادها به شماره SLP 40401 تشریح شده است ایزو
درخواست‌های رسیده از مشتریان آزمایشگاه به دو دسته درخواست‌های برون سازمانی و درخواست‌های درون سازمانی تقسیم می‌شود ایزو
درخواست‌های درون‌سازمانی مطابق روش‌های توافق شده میان آزمایشگاه و واحدهای مختلف سازمان مادر مطابق با روش اجرایی بازنگری درخواست‌ها، پیشنهادات و قراردادها به شماره SLP 40401 و روش اجرایی کالیبراسیون تجهیزات اندازه‌گیری شرکت***به شماره QA08 برای آزمایشگاه ارسال می‌گردند ایزو
درخواست‌های برون‌سازمانی نیز به صورت مکتوب از سوی مشتریان برای سرپرست ارشد آزمایشگاه ارسال شده و بازنگری مطابق روش اجرایی بازنگری درخواست‌ها، پیشنهادات و قراردادها به شماره SLP 40401 انجام می‌شود ایزو
4-4-2- سوابق بازنگری‌های انجام شده، مطابق روش اجرایی بازنگری درخواست‌ها، پیشنهادات و قراردادها به شماره  SLP 40401 در آزمایشگاه نگهداری می‌گردد ایزو
4-4-3- در صورت واگذاری انجام آزمون/ کالیبراسیون به پیمانکار فرعی، این موضوع در بازنگری مورد توجه قرار می‌گیرد ایزو
4-4-4- چنانچه در جریان انجام آزمون/ کالیبراسیون، نیازی به تغییر در برنامه یا اصلاح آن باشد، تمام تغییرات به اطلاع مشتری رسانده خواهد شد ایزو
4-4-5- هرگاه نیاز به تغییر در الزامات مربوط به درخواست یا قرارداد مشتری پس از انجام بازنگری وجود داشته باشد، تمامی موارد مجدداً بازنگری شده و موارد به اطلاع کارکنان مربوطه رسانده خواهد شد ایزو

مراجع و ضمائم بند 4-4:
- روش اجرایی بازنگری درخواست‌ها، پیشنهادها و قراردادها به شماره SLP 40401
- روش اجرایی کالیبراسیون تجهیزات اندازه‌گیری شرکت ***
به شماره QA08

 
4-5- واگذاری آزمون به پیمانکار فرعی:
4-5-1- برای بکارگیری پیمانکاران فرعی جهت انجام آزمون‌ها/ کالیبراسیون‌های درخواست شده از آزمایشگاه، علل مختلفی ممکن است وجود داشته باشد ایزو این علل عبارتند از:
-    آزمایشگاه به تنهایی نتواند انتظارات و خواسته‌های مشتری را برآورده سازد ایزو
-    تجهیزات آزمایشگاه به هر دلیلی قابل استفاده نباشند ایزو
-    نیروی فنی متخصص در آزمایشگاه در دسترس نباشد ایزو
-    حجم زیاد کار در آزمایشگاه ایزو
4-5-2- در صورت نیاز به استفاده از پیمانکاران فرعی مراتب به صورت مکتوب به اطلاع مشتری رسانده شده و پس از تایید مشتری ترتیبات لازم به منظور واگذاری آزمون‌ها و / یا کالیبراسیون‌ها به پیمانکار فرعی مطابق روش اجرایی واگذاری آزمون/ کالیبراسیون به پیمانکار فرعی به شماره SLP 40501 از سوی آزمایشگاه اتخاذ می‌گردد ایزو
4-5-3- مسئولیت آزمون‌ها و / یا کالیبراسیون‌ها واگذار شده به پیمانکار فرعی با آزمایشگاه می‌باشد مگر در مواردی که پیمانکار توسط مشتری معرفی گردد ایزو
4-5-4- لیست پیمانکاران فرعی دارای صلاحیت به شماره SLL 40501 شامل کلیه پیمانکاران مورد تایید آزمایشگاه می‌باشد ایزو ارزیابی پیمانکاران فرعی مطابق معیارهای مندرج در روش اجرایی واگذاری آزمون/ کالیبراسیون به پیمانکار فرعی به شماره SLP 40501 از سوی آزمایشگاه انجام می‌شود ایزو

مراجع و ضمائم بند 4-5:
-    روش اجرایی واگذاری آزمون/ کالیبراسیون به پیمانکار فرعی به شماره SLP 40501
 
4-6- خرید خدمات و ملزومات
4-6-1- آزمایشگاه با هدف حصول اطمینان از خرید صحیح و سیستماتیک کلیه ملزومات و خدمات تاثیرگذار بر کیفیت نتایج آزمون‌ها/ کالیبراسیون‌های خود، روش اجرایی خرید به شماره SLP 40601 را تهیه و تدوین نموده است ایزو این روش اجرایی نحوه خرید، دریافت و انبارش اقلام خریداری شده را تشریح می‌کند ایزو
4-6-2- سرپرست فنی آزمایشگاه‌های آزمون/ کالیبراسیون بر اساس روش اجرایی خرید به شماره SLP 40601 اطمینان حاصل می‌کند که اقلام آزمایشگاهی موثر بر کیفیت خریداری شده، پیش از استفاده، مورد بازرسی یا کنترل کیفی قرار گرفته و به منظور حصول اطمینان از انطباق آنها با الزامات کیفی یا مشخصات از پیش تعیین شده، تصدیق می‌شوند ایزو
4-6-3- مدارک مربوط به درخواست خرید مواد، ملزومات و تجهیزات آزمایشگاه حاوی اطلاعات مورد نیاز بوده و پیش از صدور توسط سرپرست فنی آزمایشگاه‌های آزمون/ کالیبراسیون بازنگری می‌شوند ایزو در جریان این بازنگری، کلیه الزامات مربوط به روش‌های اجرایی مربوطه و محتوای فنی مدارک مورد بررسی قرار می‌گیرند ایزو
4-6-4- آزمایشگاه با هدف حصول اطمینان از تامین صحیح و به موقع اقلام مورد نیاز خود، تامین‌کنندگان آزمایشگاه را شناسایی نموده و بر اساس روش اجرایی خرید به شماره SLP 40601 و از طریق فرم ارزیابی تامین‌کنندگان به شماره SLF 40601 آنها را مورد ارزیابی قرار می‌دهد ایزو لیست تامین‌کنندگان مجاز به شماره SLL 40601 با توجه به نتایج ارزیابی‌ها تکمیل شده و به تائید سرپرست ارشد آزمایشگاه می‌رسد ایزو

مراجع و ضمائم بند 4-6:
روش اجرایی خرید به شماره SLP 40601
 
4-7- ارائه خدمات به مشتری
4-7-1- از آنجا که ارائه خدمات مناسب به مشتریان و جلب رضایت آنان یکی از اهداف کلان آزمایشگاه می‌باشد، این موضوع در ارتباط با خدمات به مشتریان مورد توجه قرار می‌گیرد ایزو
آزمایشگاه در صورت درخواست مشتریان یا مشاور آن‌ها در موارد زیر با آنها همکاری می‌نماید:
- تفسیر و تجزیه و تحلیل نتایج آزمون‌ها/ کالیبراسیون‌ها با رعایت حفظ اطلاعات محرمانه سایر مشتریان
- برقراری ارتباط مناسب با مشتریان از ابتدا تا انتهای کار
- محرمانه نگهداشتن اطلاعات مربوط به مشتریان
- اطلاع رسانی به موقع به مشتریان هنگام بروز حوادثی که منجر به تاخیر در زمان اعلام نتایج می‌شود
- فراهم کردن امکان بازدید از آزمایشگاه برای مشتریان با هماهنگی قبلی و دسترسی مشخص
4-7-2- آزمایشگاه به منظور بهبود سیستم کیفیت آزمایشگاه و فعالیت‌های آزمون/ کالیبراسیون، در فواصل زمانی 6 ماهه اقدام به ارسال فرم نظرسنجی مشتریان به شماره SLF 40701 برای مشتریان آزمایشگاه نموده و نتایج بازخورهای دریافتی از مشتریان در جلسات بازنگری مدیریت مورد بررسی و تجزیه و تحلیل قرار می‌گیرد ایزو

مراجع و ضمائم بند 4-7:
-    فرم نظرسنجی مشتریان به شماره SLF 40701
 
4-8- شکایات
آزمایشگاه با هدف رسیدگی نظام‌مند به تمامی موارد شکایات، شناسایی و ایجاد فرصت‌های بهبود در سیستم کیفیت و خدمات آزمایشگاهی خود، روش اجرایی پیگیری شکایات به شماره SLP 40801 را تهیه و تدوین نموده است تا بر اساس آن تمامی اقدامات لازم برای رسیدگی و حل و فصل شکایات را انجام داده و پس از ریشه‌یابی علل و عوامل آن و در صورت لزوم مطابق با روش اجرایی اقدام اصلاحی به شماره SLP 41101، اقدامات لازم را مبذول دارد ایزو سرپرست  کیفیت آزمایشگاه مسئول اجرای روش اجرایی مربوطه بوده و از آشنایی و درک تمام کارکنان از امر رسیدگی به شکایات، اطمینان حاصل می‌نماید ایزو سوابق تمام شکایات و بررسی‌ها و تحقیقات صورت گرفته و اقدامات متعاقب آن تحت نظر سرپرست  کیفیت آزمایشگاه نگهداری می‌شود ایزو

مراجع و ضمائم بند 4-8:
-    روش اجرایی پیگیری شکایات به شماره SLP 40801
-    روش اجرایی اقدام اصلاحی به شماره SLP 41101
 
4-9- کنترل کار نامنطبق آزمون و/ یا کالیبراسیون
4-9-1- چنانچه از طرق مختلف نظیر شکایات مشتریان، کنترل کیفیت نتایج آزمون و/ یا کالیبراسیون، کالیبراسیون تجهیزات، بررسی مواد مصرفی، مشاهدات یا نظارت کارکنان، بررسی گزارشات آزمون/ کالیبراسیون، نتایج بازنگری مدیریت، نتایج ممیزی‌های داخلی یا خارجی یا به هر نحو دیگری، عدم‌انطباقی در فعالیت‌های آزمون/ کالیبراسیون، مغایرتی با روش‌های اجرایی آزمایشگاه یا انحرافی در الزامات مشتریان مشاهده گردد، مطابق روش اجرایی کنترل کار نامنطبق آزمون/ کالیبراسیون به شماره SLP 40901 اقدام می‌گردد ایزو مطابق این روش اجرایی:
الف- سرپرست فنی آزمایشگاه‌های آزمون/ کالیبراسیون، مسئولیت کارنامنطبق را به عهده دارند ایزو
ب- تجزیه و تحلیل کار نامنطبق آزمون/ کالیبراسیون و ارزیابی اهمیت آن توسط سرپرست فنی آزمایشگاه‌های آزمون/ کالیبراسیون یا فرد و افرادی که توسط وی مشخص می‌شوند، انجام می‌شود ایزو
ج- اقدامات لازم جهت اصلاح کار نامنطبق شناسایی شده و با توجه به ماهیت کار نامنطبق و تجزیه و تحلیل‌های انجام شده، به همراه مسئول اجرا و مهلت انجام اقدامات توسط سرپرست فنی آزمایشگاه‌های آزمون/ کالیبراسیون مشخص می‌شوند ایزو
د- در صورت لزوم و در صورت صلاحدید سرپرست فنی آزمایشگاه‌های آزمون/ کالیبراسیون، نتایج و گزارشات ارسالی برای مشتریان فراخوانی شده و مراتب سریعاً به اطلاع مشتری می‌رسد ایزو
ه- مسئولیت توقف کار و از سرگیری مجدد آن به عهده سرپرست فنی آزمایشگاه آزمون/ کالیبراسیون می‌باشد ایزو
4-9-2- چنانچه در جریان بررسی علل و عوامل ریشه‌ای بروز کار نامنطبق و یا تعیین تکلیف آن، مشخص شود که احتمال وقوع مجدد کار نامنطبق آزمون/ کالیبراسیون وجود دارد، اقدام اصلاحی مورد نیاز با توجه به روش اجرایی اقدام اصلاحی به شماره SLP 41101 اتخاذ و اجرا می‌گردد ایزو

مراجع و ضمائم بند 4-9:
-    روش اجرایی کنترل کار نامنطبق آزمون/ کالیبراسیون به شماره SLP 40901
-    روش اجرایی اقدام اصلاحی به شماره SLP 41101
 
4-10- بهبود
به منظور بهبود مداوم اثربخشی سیستم کیفیت آزمایشگاه، سرپرست  کیفیت آزمایشگاه در فواصل زمانی یک‌ساله اقدام به تعیین پروژه‌های بهبود با استفاده از خط‌مشی کیفیت، اهداف کیفیت، نتایج ممیزی‌ها، تجزیه و تحلیل داده‌ها، اقدامات اصلاحی و پیشگیرانه و بازنگری‌های مدیریت می‌نماید ایزو میزان پیشرفت پروژه‌های بهبود تعریف شده در جلسات بازنگری مدیریت مورد بررسی و بازنگری قرار می‌گیرد ایزو
 
4-11- اقدام اصلاحی
4-11-1- کلیات
سرپرست  کیفیت با همکاری سرپرست فنی آزمایشگاه، موارد عدم‌انطباق مربوط به سیستم کیفیت یا عملیات فنی آزمایشگاه را که در جریان فعالیت‌های زیر شناسایی شده‌اند را بر اساس روش اجرایی اقدام اصلاحی به شماره SLP 41101 مورد بررسی، ارزیابی، ریشه‌یابی و اصلاح قرار می‌دهد:
-    کنترل کار نامنطبق آزمون/ کالیبراسیون
-    ممیزی‌های داخلی و خارجی
-    بازنگری‌های مدیریت
-    بازخورها و شکایات مشتریان
-    مشاهدات کارکنان
-    نتایج حاصل از فعالیت‌های تضمین کیفیت نتایج آزمون/ کالیبراسیون
کلیه عدم‌انطباق‌های شناسایی شده از طریق فعالیت‌های فوق، پس از ثبت در فرم درخواست اقدام اصلاحی/پیشگیرانه به شماره SLF 41101 برای سرپرست  کیفیت ارسال می‌شود ایزو
4-11-2- تجزیه و تحلیل علل
سرپرست  کیفیت با همکاری سرپرست فنی آزمایشگاه‌های آزمون/ کالیبراسیون، موارد عدم‌انطباق ثبت شده را به منظور تعیین علت یا علل ریشه‌ای آنها مورد بررسی و تجزیه و تحلیل قرار می‌دهند و در صورت نیاز تیم‌های حل مساله تشکیل می‌شوند ایزو
4-11-3- انتخاب و اجرای اقدام اصلاحی
اقدامات اصلاحی لازم برای رفع موارد عدم‌انطباق به همراه مسئول اجرای اقدامات و مهلت اجرای آنها توسط سرپرست  کیفیت و سرپرست فنی آزمایشگاه‌های آزمون/ کالیبراسیون تعیین می‌گردند ایزو
4-11-4- پایش اقدامات اصلاحی
سرپرست  کیفیت آزمایشگاه مسئول بررسی نتایج حاصل از اقدامات اصلاحی بوده و تائید اثربخشی اقدامات، توسط وی صورت می‌گیرد و در صورت عدم اثربخشی اقدامات صورت گرفته، اقدامات اصلاحی جدید اتخاذ می‌گردند ایزو
4-11-5- ممیزی‌های تکمیلی
هرگاه شناسایی عدم‌انطباق‌ها، تردیدی در انطباق آزمایشگاه با الزامات سیستم کیفیت ایجاد کند و یا مواقعی که مشکل یا ریسک جدی در ارتباط با فعالیت آزمایشگاه تشخیص داده شود، ممیزی‌های تکمیلی با پیشنهاد سرپرست  کیفیت و تصویب سرپرست ارشد آزمایشگاه قابل اجرا می‌باشند ایزو منظور از ممیزی‌های تکمیلی، ممیزی خارج از برنامه ممیزی معمول آزمایشگاه می‌باشد ایزو
مراجع و ضمائم بند 4-11
-    روش اجرایی اقدام اصلاحی به شماره SLP 41101
 
4-12- اقدام پیشگیرانه
4-12-1- در آزمایشگاه به منظور شناسایی منابع و عوامل با‌لقوه عدم‌انطباق‌ها و مشخص شدن تغییرات و بهبودهای مورد نیاز به منظور پیشگیری از عدم‌انطباق‌ها، مطابق روش اجرایی اقدام پیشگیرانه به شماره SLP 41201 اقدام می‌شود ایزو سرپرست  کیفیت آزمایشگاه مسئول نظارت بر حسن اجرای این روش اجرایی می‌باشد ایزو
4-12-2- سرپرست  کیفیت آزمایشگاه به منظور حصول اطمینان از اثربخشی و تناسب اقدامات پیشگیرانه انجام شده با عدم‌انطباق با‌لقوه، اقدام به بررسی نتایج حاصل از این اقدامات و تائید اثربخشی آنها می‌نماید ایزو

مراجع و ضمائم بند 4-12:
-    روش اجرایی اقدام پیشگیرانه به شماره SLP 41201
 
4-13- کنترل سوابق
4-13-1- کلیات
4-13-1-1- آزمایشگاه با هدف کنترل تمامی سوابق سیستم کیفیت خود اعم از سوابق کیفی و فنی و حصول اطمینان از انجام صحیح فعالیت‌های مربوط به شناسایی، جمع‌آوری، دسته‌بندی، فهرست کردن، بایگانی، نگهداری، انبارش و تعیین تکلیف سوابق، اقدام به تهیه و تدوین روش اجرایی کنترل سوابق به شماره SLP 41301نموده است ایزو
4-13-1-2- تمامی سوابق شناسایی شده در سیستم کیفیت آزمایشگاه به صورت خوانا و در زونکن‌های مناسب به نحوی نگهداری می‌شوند که به راحتی قابل بازیابی بوده و از آسیب دیدن و از بین رفتن آنها پیشگیری شود ایزو فهرست کلیه سوابق و زمان نگهداری آنها در لیست سوابق به شماره SLL 41301 مشخص شده است ایزو
4-13-1-3- در لیست سوابق به شماره SLL 41301 سطوح دسترسی به سوابق آزمایشگاه تعیین شده و از این طریق ایمنی و محرمانه بودن سوابق تضمین می‌شود ایزو
4-13-1-4- نحوه حفاظت و تهیه نسخ پشتیبان از سوابق الکترونیکی در روش اجرایی کنترل سوابق به شماره         SLP 41301 مشخص شده است و از این طریق از دسترسی نابجا به سوابق و داده‌های الکترونیکی پیشگیری می‌شود ایزو
4-13-2- سوابق فنی
4-13-2-1- سوابق فنی آزمایشگاه شامل سوابق مشاهدات اولیه، سوابق تجهیزات (سوابق کالیبراسیون، سرویس و نگهداری و کنترل کیفی تجهیزات)، سوابق کارکنان، گزارشات آزمون/ کالیبراسیون و سایر سوابق مربوط به آزمون‌ها بر اساس الزامات بند 4-13-1 و روش اجرایی کنترل سوابق به شماره SLP 41301 شناسایی و دسته‌بندی شده و قابل دسترسی هستند ایزو
4-13-2-2- کلیه مشاهدات، داده‌ها و محاسبات مربوط به فعالیت‌های فنی و فعالیت‌های انجام آزمون/ کالیبراسیون بر اساس روش‌های اجرایی مربوطه و حین انجام آزمون‌ها/ کالیبراسیون‌ها در فرم‌های مربوطه ثبت شده و کلیه مشخصات مورد نیاز شامل فرد انجام‌دهنده آزمون/ کالیبراسیون، تاریخ و زمان انجام آزمون/ کالیبراسیون، مشخصات نمونه و سایر موارد و مشخصات مورد نیاز در آنها درج می‌شوند ایزو
4-13-2-3- هنگام بروز اشتباه در وارد کردن داده‌ها و ثبت سوابق، تصحیح به نحوی انجام می‌شود که مقادیر اشتباه از بین نرفته و خوانا باقی بمانند و مقدار صحیح در کنار آن نوشته شود ایزو فرد تصحیح‌کننده، اصلاحات انجام شده را تائید نموده و سوابق مربوطه را امضاء می‌نماید ایزو

مراجع و ضمائم بند 4-13:
- روش اجرایی کنترل سوابق به شماره SLP 41301
 
4-14- ممیزی‌های داخلی
4-14-1- آزمایشگاه به منظور حصول اطمینان از انطباق عملکرد آزمایشگاه با الزامات سیستم کیفیت و استانداردISO/IEC 17025، بر اساس روش اجرایی ممیزی داخلی به شماره SLP 41401 اقدام به برنامه‌ریزی و اجرای ممیزی‌های داخلی می‌نماید ایزو سرپرست  کیفیت مسئول برنامه‌ریزی و سازماندهی ممیزی‌های داخلی می‌باشد ایزو
ممیزی‌های داخلی کلیه جنبه‌های فعالیت آزمایشگاه اعم از مدیریتی و فنی را در بر گرفته و توسط کارکنان آموزش دیده و با صلاحیت انجام می‌شود ایزو برنامه‌ریزی ممیزی به نحوی انجام می‌شود که تمامی فعالیت‌ها، فرایندها و بخش‌های آزمایشگاه حداقل یک بار در سال مورد ارزیابی قرار گیرند ایزو همچنین به این نکته توجه می‌شود که ممیزی به نحوی طرحریزی شود که حتی‌الامکان ممیزین از فعالیت‌های مورد ممیزی مستقل باشند ایزو
4-14-2- در صورتیکه ارزیابی یافته‌های ممیزی منجر به بروز هرگونه شک و تردید در خصوص اثربخشی عملیات یا صحت یا اعتبار نتایج آزمون کالیبراسیون گردد، اقدامات اصلاحی مقتضی مطابق روش اجرایی اقدام اصلاحی به شماره SLP 41101 اتخاذ و اجرا می‌گردند ایزو
چنانچه در بررسی‌ها مشخص شود که ممکن است نتایج آزمون تحت تاثیر قرار گرفته باشند، این موضوع به صورت مکتوب به اطلاع مشتریان رسانده خواهد شد ایزو
4-14-3- تمامی سوابق مربوط به ممیزی‌های داخلی شامل نواحی مورد ممیزی، شواهد و یافته‌های ممیزی و اقدامات اصلاحی اتخاذ شده بر اساس روش اجرایی کنترل سوابق به شماره SLP 41301 نگهداری می‌شوند ایزو
4-14-4- فعالیت‌های پیگیرانه ممیزی‌های داخلی به گونه‌ای طرحریزی شده‌اند که امکان ثبت و تصدیق اقدامات اصلاحی، اجرای آنها و ارزیابی اثربخشی را فراهم می‌کنند ایزو این فعالیت‌ها در قالب فرم‌های گزارش عدم‌انطباق ممیزی به شماره SLF 41404 ثبت و پیگیری می‌شوند ایزو

مراجع و ضمائم بند 4-14:
-    روش اجرایی ممیزی داخلی به شماره SLP 41401
-    روش اجرایی اقدام اصلاحی به شماره SLP 41101
-    روش اجرایی کنترل سوابق به شماره SLP 41301
 
4-15- بازنگری‌های مدیریت
4-15-1- سرپرست ارشد آزمایشگاه، سیستم مدیریت کیفیت و فعالیت‌های انجام شده در آزمایشگاه را هر سال یک‌بار به منظور حصول اطمینان از تداوم مناسب بودن و اثربخشی آن مورد بازنگری قرار می‌دهد ایزو این بازنگری بر طبق روش اجرایی بازنگری مدیریت به شماره SLP 41501 انجام می‌شود ایزو این روش اجرایی به طور شفاف و جامع کلیه الزامات را تعیین نموده است ایزو عمده‌ترین ورودی‌های بازنگری مدیریت آزمایشگاه عبارتند از:
-    مناسب بودن خط‌مشی‌ها و روش‌های اجرایی
-    گزارشات رسیده از مدیران و کارکنان
-    نتیجه ممیزی‌های داخلی اخیر
-    اقدامات اصلاحی و پیشگیرانه
-    ارزیابی‌های انجام شده توسط مراجع برون سازمانی (ممیزی‌های مراجع اعتباردهی)
-    نتایج آزمون‌های کفایت تخصصی یا مقایسات بین آزمایشگاهی
-    تغییر در حجم و نوع کار آزمایشگاه
-    بازخورهای رسیده از مشتریان
-    شکایات
-    توصیه‌هایی برای بهبود
-    نتایج مربوط به فعالیت‌های تضمین کیفیت از جمله نتایج کنترل کیفی
-    ارزیابی آموزش‌ها و بررسی صلاحیت کارکنان
-    بررسی منابع در آزمایشگاه
سرپرست  کیفیت مسئول جمع‌آوری و تجزیه و تحلیل داده‌ها و اطلاعات مربوط به عملکرد فنی ارسالی از سوی سرپرست فنی آزمایشگاه‌ آزمون/ کالیبراسیون و همچنین جمع‌آوری و تجزیه و تحلیل داده‌ها و اطلاعات مربوط به عملکرد سیستمی در قالب ورودی‌های جلسات بازنگری مدیریت و انجام هماهنگی لازم با سرپرست ارشد آزمایشگاه جهت انجام بازنگری مدیریت می‌باشد ایزو
بر اساس نتایج بازنگری مدیریت، موقعیت‌های بهبود و نیاز به اعمال تغییرات در آزمایشگاه و سیستم مدیریت کیفیت مشخص شده و نتایج حاصله در برنامه سالیانه آزمایشگاه اعمال می‌گردد ایزو
4-15-2- کلیه یافته‌های بازنگری مدیریت شامل تصمیمات و اقدامات اتخاذ شده باید ثبت شده و برنامه اجرایی مناسبی با تعیین مهلت انجام و مسئولیت‌ها و اختیارات مرتبط توسط سرپرست ارشد آزمایشگاه تعیین می‌شود ایزو مسئولیت پایش و پیگیری روند اجرای مصوبات بازنگری مدیریت و گزارش‌دهی مستمر به سرپرست ارشد آزمایشگاه با سرپرست کیفیت است ایزو
مراجع و ضمائم بند 4-15:
-    روش اجرایی بازنگری مدیریت به شماره SLP 41501
 
5- فصل پنجم
الزامات فنی
5-1- کلیات
5-1-1- آزمایشگاه، صلاحیت خود را در ارائه خدمات آزمایشگاهی، از طریق شناسایی و کنترل عواملی که بر کیفیت و قابلیت اطمینان آزمون‌ها/ کالیبراسیون‌ها تاثیرگذار می‌باشند، اثبات نموده و تمامی مشتریان خود را از ارائه خدمات با کیفیت، مطمئن ساخته ‌است ایزو موارد تاثیرگذار بر صحت و قابلیت اطمینان نتایج آزمون/ کالیبراسیون به شرح زیر می‌باشند:
-    عوامل انسانی (در بند 5-2 نظامنامه تشریح شده است)
-    جایگاه و شرایط محیطی (در بند 5-3 نظامنامه تشریح شده است)
-    روش‌های آزمون/ کالیبراسیون و صحه‌گذاری روش‌ها (در بند 5-4 نظامنامه تشریح شده است)
-    تجهیزات (در بند 5-5 نظامنامه تشریح شده است)
-    قابلیت ردیابی اندازه‌گیری (در بند 5-6 نظامنامه تشریح شده است)
-    نمونه‌برداری (در بند 5-7 نظامنامه تشریح شده است)
-    جابجایی اقلام آزمون/ کالیبراسیون (در بند 5-8 نظامنامه تشریح شده است)
5-1-2- عوامل تاثیرگذار بر عدم‌قطعیت نتایج آزمون‌ها/ کالیبراسیون‌ها از بین عوامل ذکر شده در بند 5-1-1 شناسایی شده و بر اساس روش اجرایی تخمین عدم‌قطعیت اندازه‌گیری به شماره SLP 50401 تاثیر هریک بر صحت و دقت نتایج بررسی می‌شود ایزو

مراجع و ضمائم بند 5-1:
-    روش اجرایی تخمین عدم‌قطعیت اندازه‌گیری به شماره SLP 40501
 
5-2- کارکنان
5-2-1- کارکنان آزمایشگاه که هریک از آنها وظیفه خاصی را در آزمایشگاه انجام می‌دهند، افرادی می‌باشند که صلاحیت لازم را برای فعالیت‌های تحت اجرا دارا می‌باشند ایزو شرایط احراز مشاغل آزمایشگاه شامل تحصیلات، آموزش‌ها، سوابق کاری و مهارت‌های لازم در شرح شغل‌های آزمایشگاه تعریف شده است ایزو کارکنان آزمایشگاه نیز با توجه به تحصیلات، آموزش‌ها، مهارت‌ها و سوابقی که دارا می‌باشند برای تصدی سمت‌های مختلف آزمایشگاه انتخاب شده‌اند ایزو
ساختار سازمانی آزمایشگاه همانگونه که در بند 1-3 و 4-1 تشریح گردیده به نحوی می‌باشد که نظارت کافی روی کلیه کارکنان آزم

مدیریت حفاظت اطلاعات ایزو

4-1-1-1    سند سیاست حفاظت اطلاعات
سندی است محتوی سیاست حفاظت اطلاعات، که بایستی به وسیلة مدیران تأیید و به نحو مناسب در دسترس کلیة همکاران سازمان قرار گیرد ایزو
4-1-1-2    مرور و ارزیابی
سیاست حفاظت اطلاعات، باید به‏طور منظم و باتوجه به تغییرات احتمالی و به منظور اطمینان از مؤثر بودن آن، بازنگری شود ایزو
4-2     سازمان‏ حفاظت
4-2-1     زیرساخت حفاظت اطلاعات
4-2-1-1    گروه مدیریتی حفاظت اطلاعات
به منظور اطمینان از توجه روشن و حمایت شفاف مدیران از اصول حفاظت، باید یک گروه مدیریتی تشکیل گردد ایزو
4-2-1-2    هماهنگی حفاظت اطلاعات
به منظور هماهنگی در پیاده‏سازی کنترل‏های حفاظت اطلاعات، متناسب با اندازة سازمان باید یک گروه عملیاتی  از مدیران بخش‏های مختلف سازمان، وجود داشته باشد ایزو
4-2-1-3    تعیین مسئولیت‏های حفاظت اطلاعات
به منظور صیانت از دارایی‏های شخصی و اجرای دقیق فرایند حفاظتی باید، مسئولیت‏ها به طور واضح تعریف شود ایزو
4-2-1-4    فرایند مجازسازی برای امکان پردازش اطلاعات
برای امکانات جدید پردازش اطلاعات، باید یک فرایند مدیریت مجازسازی ایجاد گردد ایزو
4-2-1-5    مشورت با نیروهای متخصص حفاظت اطلاعات
به منظور مؤثر کردن روش‏های حفاظتی، آگاهی از نظرات نیروهای داخلی یا مشاورین مرتبط با سازمان الزامی است ایزو
 
4-2-1-6    همکاری بین سازمان‏ها
در سازمان حفاظت، ارتباط‏های مناسب با اشخاص و مؤسسات حقوقی، تأمین‏کنندگان خدمات اطلاعاتی  و اپراتورهای مخابرات راه دور بایستی در نظر گرفته شود ایزو
4-2-1-7    مرور مستقل حفاظت اطلاعات
نحوه پیاده‏سازی‏ سیاست حفاظت اطلاعات، باید بطور جداگانه دیده شده باشد ایزو
4-2-2     حفاظت از دستیابی شخص ثالث
4-2-2-1    شناسایی مخاطرات ناشی از دسترسی شخص ثالث
مخاطراتی که به وسیله دسترسی شخص ثالث (حقوقی و حقیقی) به امکانات پردازش اطلاعات سازمان وجود دارد، باید ارزیابی شده و کنترل‏های حفاظتی مناسب، در آن موارد پیاده شوند ایزو
4-2-2-2    پیش‏بینی الزامات حفاظتی در قراردادهای شخص ثالث
دسترسی شخص ثالث به امکانات پردازش اطلاعات سازمان بایستی بر اساس قراردادی رسمی حاوی کلیه الزامات حفاظتی لازم باشد ایزو
4-2-3     واگذاری فعالیت به بیرون سازمان
4-2-3-1    الزامات حفاظتی در قراردادهای واگذاری فعالیت به بیرون سازمان
هنگامی که تمام یا بخشی از مدیریت و کنترل سیستم‏های اطلاعاتی، شبکه و فعالیت‏های دفتری سازمان به سازمان دیگری واگذار می‏شود، الزامات حفاظتی، باید در قرارداد بین طرفین در نظر گرفته شده باشد ایزو

4-3    طبقه‏بندی و کنترل دارایی‏ها
4-3-1    قابلیت حسابرسی دارایی‏ها
4-3-1-1    ایجاد فهرستی از دارایی‏ها
یک فهرست از همة دارایی‏های مهم، باید تنظیم و نگهداری شود ایزو

4-3-2    طبقه‏بندی اطلاعات
رهنمودهای طبقه‏بندی
طبقه‏بندی‏ها و کنترل‏های حفاظت اطلاعات مربوطه، بایستی متناسب با نیازهای سازمانی جهت به اشتراک گذاشتن و یا محدود‏سازی اطلاعات و تأثیرات سازمانی مرتبط با این نیازها باشند ایزو
4-3-2-2    جابجایی و علامت‏گذاری اطلاعات
برای جابجایی و علامت‏گذاری اطلاعات، مطابق با رویه‏های طبقه‏بندی سازمان، باید مجموعه‏ای از روال‏ها تعریف شوند ایزو

4-4- حفاظت کارکنان
4-4-1    حفاظت در شرح شغل و کاریابی
    لحاظ نمودن مسائل حفاظتی در مسئولیت‏های شغلی
نقش‏ها و مسئولیت‏های حفاظتی، باید در سیاست حفاظت اطلاعات سازمان در نظر گرفته شود و به صورت مناسب و مستند در شرح شغل درج گردد ایزو
4-4-1-2    گزینش کارکنان
در مورد کارکنان دائم، باید در زمان درخواست کار کنترل‏ها و تأییدهای لازم صورت گیرد ایزو
4-4-1-3    توافق‏نامة محرمانه بودن اطلاعات سازمانی
کارکنان، باید توافق‏نامة محرمانه بودن اطلاعات سازمانی را به عنوان بخشی از شرایط قراردادی خود، در هنگام استخدام امضاء نمایند ایزو
4-4-1-4    ضوابط استخدامی
ضوابط استخدامی بایستی حاوی مسئولیت‏های کارکنان در زمینه حفاظت اطلاعات باشد ایزو
4-4-2    آموزش کاربر
4-4-2-1     آموزش دانش حفاظت اطلاعات
همة کارکنان سازمان و در مواقع لزوم اشخاص ثالث، باید به  نحوی مناسب و منظم در مورد روال‏ها و سیاست‏های حفاظتی سازمان  آموزش ببینند ایزو
4-4-3    پاسخ به حوادث و اشتباهات مربوط به حفاظت
4-4-3-1    گزارش حوادث حفاظتی
حوادث حفاظتی پس از کشف، باید در کوتاه‏ترین زمان ممکن از طریق مجاری مدیریتی مناسب گزارش شوند ایزو
4-4-3-2    گزارش ضعف‏های حفاظتی
کاربران خدمات اطلاعاتی، ضروری است هرگونه ضعف و تهدید حفاظتی روی خدمات و سیستم‏ها را یادداشت و گزارش نمایند ایزو
4-4-3-3    گزارش اشتباهات نرم‏افزاری
روال‏هایی به منظور پیگیری گزارش‏های اشتباهات نرم‏افزاری، باید ایجاد شوند ایزو
4-4-3-4     یادگیری از حوادث
برای اینکه، نوع، اندازه و هزینه اشتباهات و حوادث قابل اندازه‏گیری و نمایش شوند باید مکانیزم‏هایی ایجاد شوند ایزو  
4-4-3-5    فرایند انضباطی
یک فرایند انضباطی رسمی برای تخلف از سیاست‏های حفاظتی سازمان و روال‏هایی که کارکنان لازم است رعایت نمایند، باید ایجاد گردد ایزو
4-5    حفاظت فیزیکی و محیطی
4-5-1    محیط‏های ایمن
4-5-1-1    میدان حفاظت فیزیکی
سازمان‏ها، باید از میدان‏های حفاظتی، برای حفاظت از محل‏های نگهداری تجهیزات پردازش اطلاعات استفاده کنند ایزو
4-5-1-2    کنترل‏های ورودی فیزیکی
محل‏های ایمن، باید بوسیله کنترل‏های ورودی مناسب محافظت شوند تا اطمینان حاصل شود فقط افراد مجاز می‏توانند دسترسی داشته باشند ایزو
4-5-1-3    ایمن‏سازی دفاتر، اتاقها و امکانات
به منظور حفاظت از دفاتر، اتاق‏ها و امکانات با نیازهای حفاظتی خاص، باید محل‏های ایمن ایجاد گردند ایزو
4-5-1-4    کار در محل‏های ایمن
برای کار در محل‏های ایمن، باید کنترل‏های اضافی و رهنمودهای تکمیلی مورد استفاده قرار گیرد تا از ایمن بودن این محل‏ها اطمینان لازم حاصل شود ایزو
4-5-1-5    مجزاسازی محل‏های انتقال و بارگیری اطلاعات
محل‏های انتقال و بارگیری اطلاعات، باید کنترل شود و درصورت امکان مجزا از محل تجهیزات پردازش اطلاعات باشد، ‌تا از دستیابی‏های غیرمجاز جلوگیری شود ایزو

4-5-2    حفاظت تجهیزات
4-5-2-1    استقرار و حفاظت تجهیزات
تجهیزات، باید در محل مناسب و محافظت شده‏ای قرار داشته باشند ایزو تا مخاطرات و تهدید‏های محیطی و امکان دسترسی غیرمجاز کاهش یابد ایزو
4-5-2-2    منابع تغذیه
تجهیزات، باید از هرگونه صدمات ناشی از قطع یا خرابی منابع تغذیه محافظت شوند ایزو
4-5-2-3    حفاظت کابل‏کشی
به منظور جلوگیری از هرگونه خسارت یا قطع شدن، باید کابل‏کشی‏های برق، داده‏ها و تلفن مورد استفاده در خدمات اطلاعاتی، محافظت شوند ایزو
4-5-2-4    نگهداری تجهیزات
تجهیزات، جهت اطمینان از تداوم فعالیت و یکپارچگی، متناسب با دستورالعمل‏های سازنده یا روال‏های مستند شده، باید نگهداری شوند ایزو
4-5-2-5    حفاظت از تجهیزات در هنگام استفاده بیرونی
به منظور حفاظت از تجهیزات در هنگام استفاده در بیرون سازمان، باید روال‏های حفاظتی ایجاد شوند ایزو
4-5-2-6    دور ریختن یا استفاده مجدد از تجهیزات به صورت مطمئن
قبل از دور ریختن یا استفادة مجدد از تجهیزات، اطلاعات باید از روی آنها پاک شود ایزو
4-5-3    کنترل‏های عمومی
4-5-3-1    سیاست میز و صفحه پاک
به منظور کاهش مخاطرات ناشی از دسترسی غیرمجاز و فقدان یا صدمه به اطلاعات، سازمان‏ها بایستی سیاست میز پاک و صفحه پاک را اختیار و اجرا کنند ایزو
4-5-3-2    جابجایی اموال
تجهیزات، اطلاعات یا نرم‏افزار متعلق به سازمان، نباید بدون اجازه جابجا شود ایزو

4-6    مدیریت ارتباطات  و عملیات
4-6-1    روال‏های عملیاتی و مسئولیت‏ها
4-6-1-1    روال‏های عملیاتی مستند شده
روال‏های عملیاتی شناسایی شده در سیاست حفاظت (4-1-1-1) باید مستند و نگهداری شوند ایزو
4-6-1-2    کنترل تغییر عملیاتی
تغییرات در تجهیزات و سیستم‏های پردازش اطلاعات، باید کنترل شده باشند ایزو
4-6-1-3    روال‏های مدیریت حادثه
به منظور اطمینان از پاسخ سریع، مؤثر و مناسب به حوادث، باید روال‏ها و مسئولیت‏‏های مدیریت حادثه برقرار گردند ایزو
4-6-1-4    تفکیک وظایف
به منظور کاهش فرصت‏های تغییرات غیرمجاز و استفادة نابجا از اطلاعات و خدمات، وظایف و محدودة مسئولیت‏‏ها باید تفکیک گردند ایزو
4-6-1-5    جداسازی امکانات توسعه و عملیاتی
امکانات آزمایش و توسعه باید از امکانات عملیاتی مجزا شوند ایزو
4-6-1-6    مدیریت امکانات خارج سازمانی
قبل از استفاده از خدمات قابل ارائه توسط مدیریت امکانات خارج از سازمان، باید مخاطرات دقیقاً شناسایی و روش‏های کنترلی مناسب که مورد توافق طرف قرارداد و سازمان باشد، در قرارداد گنجانده شوند ایزو

4-6-2    برنامه‏ریزی و پذیرش سیستم  
4-6-2-1    برنامه‏ریزی ظرفیت
برنامه‏ریزی لازم برای توان پردازش و ظرفیت ذخیره‏سازی اطلاعات در دسترس، باید با در نظر گرفتن تقاضاهای فعلی و آتی سیستم صورت پذیرد ایزو
4-6-2-2    پذیرش سیستم
معیار پذیرش سیستم‏های اطلاعاتی جدید و نسخه‏های جدید و به روز شده سیستم‏ها، باید مستند شده و قبل از پذیرش و جایگزینی سیستم قبلی، آزمایش‏های کافی صورت گیرد ایزو
4-6-3    حفاظت در برابر نرم‏افزار مخرب
-6-3-1    کنترل‏ها در برابر نرم‏افزار مخرب
روال‏های کنترلی، برای شناسایی، مقابله با نرم‏افزار مخرب و آگاهی کاربران از آنها باید پیاده شوند ایزو
4-6-4    اداره کردن
4
4-6-4-1    ایجاد پشتیبان اطلاعات
از اطلاعات مهم و اساسی و نرم‏افزارها، باید به طور منظم نسخه‏های پشتیبان تهیه گردد ایزو
4-6-4-2    ثبت‏های مجری
کارکنان عملیاتی، باید فعالیت‏های خود را ثبت نمایند ایزو
4-6-4-3    ثبت خرابی
خرابی‏ها باید گزارش شده و عملیات تصحیح آنها، انجام شوند ایزو
4-6-5    مدیریت شبکه
4-6-5-1    کنترل‏های شبکه
به منظور دستیابی به امنیت شبکه و حفظ آن باید مجموعه‏ای از کنترل‏ها اعمال گردد ایزو
4-6-6    جابجایی محیط ذخیره و حفاظت
4-6-6-1    مدیریت محیط‏های رایانه‏ای قابل جابجایی
مدیریت محیط‏های رایانه‏ای قابل جابجایی نظیر نوار، دیسک، کاست و گزارش‏های چاپ شده، باید کنترل شده باشد ایزو
4-6-6-2    دور انداختن محیط‏های ذخیره
محیط‏های ذخیره‏ای که دیگر مورد نیاز نیستند، باید بصورت امن و محافظت‏شده دور ریخته شوند ایزو
4-6-6-3    روال‏های جابجایی اطلاعات
به منظور حفاظت اطلاعات در مقابل استفاده نابجا و غیرمجاز باید، روال‏هایی جهت جابجایی و انبار کردن (محیط‏های ذخیره) اطلاعات ایجاد شود ایزو
4-6-6-4    حفاظت از مستندات سیستم
مستندات سیستم، باید از دسترسی غیرمجاز محافظت گردند ایزو
4-6-7    تبادل اطلاعات و نرم‏افزار
4-6-7-1    توافق‏نامه‏های تبادل اطلاعات و نرم‏افزار
چه برای تبادل دستی و چه برای تبادل الکترونیکی اطلاعات و نرم‏افزار بین سازمان‏ها، باید توافق‏نامه‏هایی که می‏توانند رسمی باشند، تهیه گردند ایزو
4-6-7-2    حفاظت محیط‏های ذخیره در حال حمل و نقل
محیط‏ ذخیره‏ای که جابه‏جا می‏شود باید از دسترسی غیرمجاز، صدمه یا استفادة نابجا حفاظت گردد ایزو
4-6-7-3    حفاظت تجارت الکترونیکی
تجارت الکترونیکی، باید در مقابل فعالیت‏های غیرقانونی، آشکارسازی یا تغییر در اطلاعات آن، محافظت شود ایزو
4-6-7-4    حفاظت از پست الکترونیکی
برای استفاده از پست الکترونیکی، باید سیاست ویژه‏ای تدوین گردد و کنترل‏های لازم برای کاهش مخاطرات حفاظتی آن صورت گیرد ایزو
صحت و تناسب داده ورودی سیستم‏های کاربردی، باید تأیید شوند ایزو
4-8-2-2    کنترل حین پردازش
برای تأیید و قابل قبول بودن داده‏های پردازش شده، باید کنترل‏هایی در سیستم‏ها تعبیه شود تا انحراف تشخیص داده شود ایزو
4-8-2-3    تصدیق اصالت پیام
برای برنامه‏های کاربردی که نیاز به حفاظت از یکپارچگی محتویات پیام دارند، باید تصدیق اصالت پیام صورت گیرد ایزو
4-8-2-4    تأیید داده‏های خروجی
برای اطمینان از اینکه پردازش اطلاعات ذخیره شده، صحیح و متناسب با شرایط بوده، باید خروجی سیستم‏های کاربردی مورد تأیید قرار گیرند ایزو

4-8-3  کنترل‏های رمزنگاری
4-8-3-1    سیاست استفاده از کنترل‏های رمزنگاری
برای حفاظت اطلاعات، باید سیاستی در جهت استفاده از کنترل‏های رمزنگاری، تدوین و از آن پیروی گردد ایزو
4-8-3-2     رمزگذاری
برای حفاظت از اطلاعات حساس و مهم، باید رمزگذاری صورت گیرد ایزو
4-8-3-3    امضاء رقومی
به منظور حفاظت از تصدیق اصالت، مجازسازی و یکپارچگی اطلاعات الکترونیکی، باید امضاءهای رقومی به کار برده شوند ایزو
4-8-3-4    خدمات غیرقابل انکار  
به منظور حل اختلافات در مورد وقوع یا عدم وقوع یک رویداد یا عمل، باید خدمات غیرقابل انکار مورد استفاده قرار گیرند ایزو
به منظور نظارت بر استفاده از امکانات پردازش اطلاعات باید روال‏هایی ایجاد شود و نتیجه‏های آن، به صورت منظم مرور شود ایزو
4-7-7-3    همزمانی ساعت
ساعت رایانه‏ها، باید به منظور ثبت دقیق وقایع همزمان باشند ایزو

4-7-8    محاسبه سیار و کار از راه دور
4-7-8-1    پردازش سیار
کنترل‏های مربوطه، برای مقابله با مخاطرات کار با امکانات محاسبه سیار، به ویژه در محیط‏های غیر حفاظت شده، بایستی پذیرفته شوند و یک سیاست رسمی تدوین شود ایزو
4-7-8-2    کار از راه دور
به منظور کنترل و مجازسازی در فعالیت‏های راه‏دور، باید سیاست‏ها و روال‏هایی تدوین و اجرا گردند ایزو

4-8    توسعه و نگهداری سیستم‏ها
4-8-1    الزامات حفاظتی سیستم‏ها
4-8-1-1    تحلیل و تعیین الزامات حفاظتی
الزامات سازمان به سیستم‏های جدید یا گسترش سیستم‏های موجود، باید حاوی الزامات کنترلی باشد ایزو
4-8-2- حفاظت در سیستم‏های کاربردی
4-8-2-1- تأیید داده ورودی  
4-7-7-1    ثبت وقایع
وقایع به ویژه استثنایی، باید برای یک مدت مورد توافق، ثبت و نگهداری شوند تا در رسیدگی‏های آتی جهت نظارت بر کنترل دسترسی استفاده شوند ایزو
4-7-7-2    نظارت بر استفاده از سیستم
4-7-6-1    محدودیت دسترسی به اطلاعات
دسترسی به اطلاعات و سیستم کاربردی، باید بر اساس با سیاست تعریف شده کنترل دسترسی
(4-7-1-1)،  محدود شود ایزو
4-7-6-2    مجزا سازی سیستم‏های حساس
سیستم‏های حساس، باید یک محیط اختصاصی و مجزای محاسباتی داشته باشند ایزو
4-7-7    نظارت بر دسترسی و استفاده سیستم
استفاده از برنامه‏های کمکی سیستم، باید به دقت کنترل و محدود شده باشد ایزو
4-7-5-6    هشدار اضطرار برای ایمن کردن کاربران
برای کاربرانی که ممکن است تحت فشار قرار گیرند، باید، هشدارهای لازم تهیه شود ایزو
4-7-5-7    خروج زمانی پایانه  
به منظور جلوگیری از دسترسی افراد غیرمجاز، ارتباط پایانه‏هایی که در محل‏های با مخاطره بالا هستند، یا سیستم‏های پر مخاطره توسط آنها اجرا می‏شود چنانچه در یک بازه زمانی تعریف شده غیر فعال باشند، باید به‏صورت خودکار قطع شود ایزو
4-7-5-8    محدودیت زمان اتصال
به منظور اعمال حفاظت اضافی در استفاده از کاربردهای پر مخاطره، باید محدودیت‏هایی در زمان اتصال در نظر گرفته شود ایزو

4-7-6    کنترل دسترسی به برنامه‏های کاربردی
4-7-5-1    شناسایی خودکار پایانه
به منظور تصدیق اصالت اتصالات در محل‏های معین و تجهیزات قابل حمل باید، شناسایی خودکار پایانه صورت گیرد ایزو
4-7-5-2    روال‏های ورود پایانه
دسترسی به خدمات اطلاعاتی، باید با استفاده از یک فرایند ورود (آغاز به کار) امن صورت گیرد ایزو
4-7-5-3    شناسایی و تصدیق اصالت کاربر
همه کاربران برای فعالیت‏هایشان، باید دارای یک شناسه منحصر به فرد (شناسه کاربر) باشند، که مخصوص خودشان باشد و از طریق آن بتوان افراد مسئول را ردیابی کرد ایزو
4-7-5-4    سیستم مدیریت کلمة عبور
یک سیستم مدیریت کلمة عبور که بتواند به طور مؤثر و متعامل از کیفیت کلمة عبور اطمینان حاصل نماید، باید به وجود بیاید ایزو
4-7-5-5    استفاده از برنامه‏های کمکی سیستم  
4-7-4-7    کنترل اتصال شبکه
ظرفیت اتصال کاربران در شبکه‏های اشتراکی، بر اساس سیاست کنترل دسترسی (4-7-1-1)، باید محدود شود ایزو
4-7-4-8    کنترل مسیریابی شبکه
شبکه‏های مشترک باید دارای کنترل مسیریابی باشند تا اطمینان حاصل شود که ارتباط رایانه‏ها و جریان اطلاعات در آنها، سیاست کنترل دسترسی به سیستم‏های کاربردی برای سازمان را که در
4-7-1-1 تعیین شده است، نقض نمی‏نماید ایزو
4-7-4-9    حفاظت از خدمات شبکه
یک توصیف شفاف از خواص حفاظتی همة خدمات شبکة مورد استفاده توسط سازمان، باید تهیه شود ایزو
4-7-5    کنترل دسترسی به سیستم عامل
اختصاص کلمات عبور به کاربران، باید کنترل شده و بر اساس یک فرایند مدیریت رسمی صورت گیرد ایزو
4-7-2-4    بازنگری حق دسترسی کاربر
یک فرایند رسمی به طور منظم و در فواصل زمانی مناسب، باید حق دسترسی کاربران را مرور ودر صورت لزوم بازنگری نماید ایزو
4-7-3    مسئولیت‏‏های کاربر
4-7-3-1    استفادة کلمة عبور
کاربران، باید در انتخاب و استفاده از کلمة عبور نهایت دقت را بنمایند ایزو
4-7-3-2    تجهیزات بدون مسئول مستقیم
کاربران، باید از حفاظت تجهیزات بدون مسئول مستقیم اطمینان داشته باشند ایزو
4-7-4    کنترل دسترسی شبکه
4-7-4-1    سیاست استفاده از خدمات شبکه
کاربران، باید فقط بطور مستقیم به خدماتی که برای آنها مجاز است، دسترسی داشته باشند ایزو
4-7-4-2    مسیر تأکید شده
مسیر پایانه کاربر تا رایانه سرویس‏دهنده، باید کنترل شده باشد ایزو
4-7-4-3    تصدیق اصالت کاربر برای ارتباطات از بیرون
دسترسی برای کاربران راه‏دور، باید بخشی از روال شناسایی و تصدیق اصالت باشد ایزو
4-7-4-4    تصدیق اصالت گره
اتصال به سیستم‏های رایانه‏ای راه‏دور، باید تصدیق اصالت شده باشند ایزو
4-7-4-5    حفاظت از پورت‏های عیب‏یابی از راه‏دور
دسترسی به پورت‏هایی که برای عیب‏یابی از راه‏دور استفاده می‏شوند، باید کنترل شده باشد ایزو
4-7-4-6    جداسازی در شبکه‏ها
در شبکه‏ها، کنترل‏هایی برای گروه‏های مختلف خدمات اطلاعاتی، کاربران و سیستمهای اطلاعاتی باید تعریف شوند ایزو
4-7-2-1    ثبت نام کاربر
برای ثبت نام و حذف کاربران، به منظور دسترسی به همة سیستم‏های اطلاعاتی چند کاربره و سرویس‏های آنها، باید روال‏هایی رسمی وجود داشته باشد ایزو
4-7-2-2    مدیریت اختیارات ویژه
اختصاص و استفاده از اختیارات ویژه باید محدود و کنترل شده باشد ایزو
4-7-2-3    مدیریت کلمة عبور کاربر
4-7-1-1    سیاست کنترل دسترسی
الزامات سازمانی برای کنترل دسترسی، باید به خوبی تعریف و مستند شوند و دسترسی، باید به آنچه که سیاست کنترل و دسترسی تعریف کرده است، محدود شود ایزو
4-7-2    مدیریت دسترسی کاربر
4-6-7-5    حفاظت سیستم‏های دفتری الکترونیکی
برای حفاظت از سیستم‏های دفتری الکترونیکی و کنترل مخاطرات همراه با سیستم‏های الکترونیکی، باید سیاست‏ها و رهنمودهای معینی پیاده شوند ایزو
4-6-7-6    سیستم‏های در دسترس عموم
قبل از اینکه اطلاعات به طور عمومی در دسترس قرار بگیرند باید، یک فرآیند رسمی برای مجازسازی وجود داشته باشد و حفاظت‏های مربوط برای یکپارچگی و تغییر نکردن اطلاعات آن صورت بگیرد ایزو
4-6-7-7    شکل‏های دیگر مبادله اطلاعات
به منظور حفاظت تبادل اطلاعات در هنگام بکارگیری صوت، فاکس و امکانات ارتباطی ویدئویی باید، رویه‏ها و کنترل‏هایی تعبیه گردد ایزو

4-7    کنترل دسترسی
4-7-1    الزامات سازمانی برای کنترل دسترسی
4-10-3-1    کنترل‏های ممیزی سیستم
ممیزی‏های سیستم‏های عملیاتی، باید بر اساس برنامه و توافق‏های انجام شده برای کاهش وقفه در فعالیت‏های سازمان، صورت بگیرد ایزو
4-10-3-2    حفاظت از ابزارهای ممیزی سیستم
به منظور استفاده نادرست یا مصالحه، دسترسی به ابزارهای ممیزی سیستم، باید کنترل شوند ایزو
4-10-2-1    سازگاری با سیاست حفاظت
مدیران باید اطمینان کسب کنند که روال‏های حفاظتی متناسب با مسئولیت‏ها، به درستی اجرا می‏شوند و بازنگری‏های لازم بر طبق سیاست و استانداردها، به طور مداوم صورت می‏گیرد ایزو
4-10-2-2    کنترل سازگاری فنی
برای سازگاری با استانداردهای پیاده‏سازی حفاظت باید سیستم‏های اطلاعاتی به طور منظم، کنترل شوند ایزو
4-10-3    ملاحظات ممیزی  سیستم
4-10-2    مرور سیاست حفاظتی و سازگاری فنی

4-10    سازگاری
4-10-1    سازگاری با الزامات قانونی
4-10-1-1    شناسایی قوانین مرتبط
همة الزامات قانونی و قراردادی مرتبط، برای هر سیستم اطلاعاتی، باید به طور شفاف تعریف و مستند شده باشد ایزو
4-10-1-2    حقوق دارائی‏های فکری
برای اطمینان از سازگاری با محدودیت‏های قانونی حقوق دارایی‏های فکری و استفادة صحیح از محصولات نرم‏افزاری، باید روال‏های مناسب پیاده شوند ایزو
4-10-1-3    حفاظت از مدارک و سوابق سازمانی
مدارک و سوابق مهم سازمان باید از گم شدن، خرابی یا استفاده نادرست حفاظت شوند ایزو
4-10-1-4    حفاظت داده و محرمانه بودن اطلاعات کارکنان
به منظور حفاظت از اطلاعات شخصی مطابق با قوانین و مقررات مربوطه، باید کنترل‏هایی صورت گیرد ایزو
4-10-1-5    جلوگیری از استفاده نادرست از امکانات پردازش اطلاعات
استفاده از امکانات پردازش اطلاعات بایستی با اجازه مدیر باشد و کنترل‏های لازم  برای جلوگیری از استفاده نادرست از این امکانات باید صورت گیرد ایزو
4-10-1-6    مقررات حاکم بر رمزنگاری
برای اطمینان از سازگاری با قوانین رمزنگاری ملی و دیگر قوانین و مقررات، باید کنترل‏های لازم صورت گیرد ایزو
4-10-1-7    جمع‏آوری مدرک
به منظور ارائه به مراجع ذیصلاح در محاکم دعاوی سازمان، باید مدرک لازم  در تمام زمینه‏ها براساس استانداردها جمع‏آوری و نگهداری شده باشد ایزو
4-9-1-1    فرایند مدیریت تداوم فعالیت
برای توسعه و نگهداری تداوم فعالیت در سازمان، باید یک فرایند مدیریت شده وجود داشته باشد ایزو
4-9-1-2    تداوم فعالیت و تحلیل موانع
به منظور تداوم فعالیت، باید یک برنامة راهبردی متناسب با برآورد مخاطره، مناسب برای کلیة فعالیت‏ها ایجاد شود ایزو
4-9-1-3    تدوین و پیاده‏سازی طرح‏های لازم جهت حفظ تداوم در روال کارها
به منظور نگهداری یا ازسرگیری فعالیت‏های کاری عادی سازمان در یک زمان مطلوب، پس از بروز وقفه و یا خرابی در کارهای بحرانی باید طرح‏هایی تدوین گردد ایزو
4-9-1-4    چارچوب طراحی تداوم فعالیت
یک چارچوب واحد از طرح‏های تداوم فعالیت باید ایجاد و نگهداری شود تا اطمینان حاصل گردد همة طرح‏ها فراگیر بوده و حاوی اولویت‏های آزمایش و نگهداری هستند ایزو
4-9-1-5    آزمایش، نگهداری و ارزیابی دوباره طرح‏های تداوم فعالیت
طرح‏های تداوم فعالیت، باید به طور منظم آزمایش و نگهداری شوند، به طوری که همواره اطمینان از به روز بودن و مؤثر بودن آنها وجود داشته باشد ایزو
خرید، استفاده و اصلاح نرم‏افزارها، باید در مقابل هرگونه احتمال وجود کانال‏های مخفی و کد تروا کنترل شوند ایزو
4-8-5-5    توسعه نرم‏افزار توسط شخص ثالث
برای اطمینان از توسعه نرم‏افزار توسط شخص ثالث، باید کنترل‏هایی صورت گیرد ایزو

4-9    مدیریت تداوم فعالیت
4-9-1    جنبه‏های مدیریت تداوم فعالیت
4-8-5-1    روال‏های کنترل تغییر
پیاده‏سازی تغییرات، باید دقیقاً بوسیله استفاده از روال‏های رسمی کنترل تغییر، کنترل شوند تا میزان اتفاقات ناخواسته سیستم‏های اطلاعاتی کمینه گردد ایزو
4-8-5-2    مرور فنی تغییرات سیستم عامل
در هنگام وقوع تغییرات، باید سیستم‏های کاربردی مرور و آزمایش شوند ایزو
4-8-5-3    محدودیت‏هایی روی تغییرات در بسته‏های نرم‏افزاری
از اصلاحات روی بسته‏های نرم‏افزاری، باید اجتناب شده و تغییرات اساسی باید شدیداً کنترل شوند ایزو
4-8-5-4    کانال‏های مخفی و کد تروا
4-8-4-1    کنترل نرم‏افزار عملیاتی
در بکارگیری نرم‏افزار، در سیستم‏های عملیاتی، باید کنترل صورت گیرد ایزو
4-8-4-2    حفاظت از داده‏های آزمایش سیستم
داده‏های آزمایش سیستم، باید کنترل و محافظت شوند ایزو
4-8-4-3    کنترل دسترسی به کتابخانه منبع برنامه‏ها
برای دسترسی به کتابخانه منبع برنامه‏ها، باید کنترل شدیدی صورت گیرد ایزو
4-8-5    حفاظت در فرایندهای توسعه و پشتیبانی
4-8-3-5    مدیریت کلید
به منظور پشتیبانی از روش‏های رمزنگاری، باید یک سیستم مدیریت کلید، بر طبق  مجموعه استانداردها،  روال‏ها و روش‏های مورد توافق، پیاده شود ایزو
4-8-4    حفاظت از پرونده‏های سیستم