数据控制程序(1)
1.0目的:为保证检测数据采集、计算、处理、记录、报告、存储、传输的准确、可靠、有效和保密,特编制本程序。
2.0范围:
2.1检测数据的采集;
2.2临界数据的处理;
2.3检测数据的计算和处理;
2.4数据的修约;
2.5数据的判定;
2.6数据的转移;
2.7错误数据的更正;
2.8可疑数据的处理;
2.9计算机以及数据的管理。
3.0职责
3.1技术负责人应:
3.1.1组织编制、修订和批准自动化测量程序软件;
3.1.2组织对自动测量软件的验证;
3.2检测部负责人应:
3.2.1规定本部门检测原始数据的采集方法;
3.2.2组织制定自动化设备的操作规程。
3.2监督员应:
3.2.1校核检测数据和判定结果;
3.2.2对可疑数据提出验证。
3.3检测员应:
3.3.1认真采集和记录原始数据;
3.3.2按规范计算和处理数据。
3.4 技术负责人应负责维护本文件的有效性。
4.0程序
4.1数据的采集
4.1.1各检测部负责人应按照本部门承检标准和检测细则的要求,规定出每一类型承检产品或承检项目的检测原始数据的手工采集方式和格式。
4.1.2如采用自动采集或打印原始数据,则检测部负责人应对采集数据所用的相关测量系统实施验证和控制,控制方法参见本程序第4.4.4条。
4.1.3采集后的原始数据应当进行适当的修约或截尾,遵循先修约后运算的运算原则,最终报出数据的有效位数应当等同标准的规定或多出标准规定的一位。
4.2临界数据的处理
4.2.1当测得值接近临界控制值时,检测人员应当增加测量次数,以观测测量结果的发散趋势。如果连续观测到的测量值趋于平稳或收敛,则可以按照数据处理的规定或程序进行数据处理或考虑测量不确定度后进行判定。
4.2.2如果连续观测到的测量值趋于发散,则应查找发散原因,以判断是测量仪器问题还是被测物品的问题。当肯定是被测物品的内在质量问题时,则应按照标准的规定给出物品的质量判定。
4.2.3临界数据的判定应参照《测量不确定度评定控制程序》的相关要求。
4.2.4当仪表指针在某一区间偏摆时,检测员应根据小风险的原则或读取最大值,或读取最小值。
4.3数据的处理
4.3.1检测员应对采集到的原始数据进行处理。数据处理应首先确认使用的物理常数、数表、计算公式、图表和曲线等。数据计算时应遵循先修约,后计算的原则。
4.3.2数据的修约应执行GB8170-87标准的规定。
4.4数据的判定
4.4.1极限数据是指测量得到值已接近或可能超过了标准规定的值。对此类数据的判定应首先确定测量不确定度,然后根据测量不确定度的大小程度来判定临界或极限数据合格与否。不确定度的评定参见《测量不确定度评定控制程序》。
4.4.2极限数值的判定依据GB1250-89标准的规定。
4.4.3可疑数据是指偏离约定值或估计值的测量结果,此时应采取以下步骤来确定或排除测量的可疑因素:
(a)用期间检查方法检查仪器的校准状态,并使用核查标准来检查测量仪器的稳定性和
重复性;
(b)检查检测结果的监控结果(参见《确保检测(校准)结果质量控制程序》);
(c)检查测试方法和步骤;
(d)对已测物品进行重复测试;
(e)检查环境和消耗品的影响。
4.4.4检测数据的不一致是指二次测量得到不同的测量结果。当出现此类情况时各检测部门的监督员应组织对检测数据不一致的验证活动并从下列细节和控制中查找原因:
(a)检测细则规定的检测方法细节;
(b)仪器操作规程规定的操作细节;
(c)对环境和影响量的控制;
(d)原始数据的记录和计算导出的细节;
(e)数据的修约和判定的细节;
(f)其它有效的方法。
4.4.5如能用以上排除方法找到原因,则监督员或检测部负责人应针对存在的问题向技术负责人提出纠正的建议。纠正措施的实施应执行《不符合检测工作的控制程序》。
4.4.6如使用上述排除方法仍不能找到存在的问题,则检测部的负责人应组织相关人员实施有效的验证方法来确定存在的不一致原因,直至查出最终原因。
4.5数据的转移
4.5.1数据的转移应本着“文件相关”的原则,即:保存转移前的原始数据凭证以便核实查证。
4.5.2数据在转移过程中不允许进行修约、计算、变更。
4.6数据的更正
4.6.1数据的更正是指由于记录错误引起的对数据的更正。在原始记录中如发生记录错误需要对错误数据进行更正时,应遵循在错误数据上划二条水平横线后,再在错误数据右上角填写正确数据的更正方法。更正数据的操作人员应对更正后的数据进行签章确认和负责。
4.6.2如需对客户手中保存数据的更正,则申请人应以书面形式向技术负责人提出要求,详细说明原因后,再由技术负责人签发一份书面通知,正式向需要更正数据的所有用户提出更正数据的申明。修正检测报告应执行《检测报告的管理程序》。
4.7自动化测量设备的管理
4.7.1本试验室技术负责人应对本试验室所有用于检测的计算机、自动化设备、文档打印的自动化设备以及自动化设备所用的软件和网络文件实施统一有效的管理。
4.7.2测量软件的编制和验证
4.7.2.1技术负责人应组织编制本试验室检测用计算机或自动测量设备的应用软件以及计算机网络文件。
4.7.2.2测量软件应由技术负责人组织对其使用的适用性和有效性进行验证。验证可参照本程序第4.4.3条和《实现测量可溯源程序》,以保证其准确性和有效性。
4.7.2.3经验证合格的测量用软件和在网络上发布使用的网络文件应形成书面文件,经技术负责人批准编号后控制使用。形成书面文件的测量软件和网络文件应由资料员保存。
4.7.2.4经安装调试合格后的测量软件和网络文件,应由技术负责人组织加密码锁,实施文件控制管理。未经技术负责人的批准或授权不得随意调整、变动测量软件和网络文件。调整测量软件应执行《质量体系文件控制和维护程序》。
4.7.2.5技术负责人应组织各使用自动化设备的检测部负责人制定自动化设备的操作规程,对自动化设备规定使用和维护要求。
4.7.3计算机软件的保存和变动
4.7.3.1自编的计算机软件应形成书面文件和磁盘备份保存。备份保存的磁盘文件应考虑以下安全性:
(a)防止磁场对磁盘数据的破坏;
(b)防止因操作系统或硬件配置的升级使磁盘文件不能兼容和继续使用;
(c)防止未经授权改动磁盘文件;
(d)防止磁盘丢失和未经批准使用;
(e)储藏文件的环境条件。
4.7.3.2计算机软件和网络文件的变动应由技术负责人授权的人员实施,未经授权的人员一律不得变动计算机文件。
4.7.3.3如操作人员认为确有必要进行文件变动时,应向技术负责人提出申请。申请变动软件文件应执行《质量体系文件控制和维护程序》。
4.7.3.4获准变动的计算机软件,应由执行人负责删除旧的文件,安装新的文件,经验证合格后方可运行使用,不允许新旧文件同在一台机器上运行。
4.7.3.5计算机中不得保存保密文件,如确有需要,保存人应实施密码封锁。
4.7.3.6上网公布文件应有技术负责人负责把关。涉及检测结果、客户和试验室的保密信息的文件不得在网上运行和保存。试验室的保密应执行《保护客户机密信息和所有权程序》。
4.7.4计算机设备及其软件保管的环境
4.7.4.1计算机及自动化设备的运行应能保证在相对干燥、恒温、无烟尘、无强大磁场干扰、防止静电和相对安静的条件下。对要求较为严格的使用环境,应建立环境监控手段、设施和记录,环境监控应执行《检验环境的建立、控制和维护程序》。
4.7.4.2计算机软件的保管应参照4.7.3.1条款的要求。防止霉变和数据的丢失。必要时也应建立环境监控手段、设施和记录。
4.7.4.3读取外部磁盘文件时应首先检查磁盘病毒,在采取安全预防措施并保证能够安全运行后,再读取磁盘文件。
4.7.4.4非专用报告打印计算机不得保存检测数据和检测报告。
4.7.4.5试验室检测用计算机禁止运行游戏和其他非检测用程序软件。
4.7.5商业软件的使用
4.7.
5.1试验室用于检测用的各类商业软件必须采购正价版,或随机配带的装机软件。此类软件应当作为受控文件归档保管。
4.7.
5.2采购的正价版或随机配带的装机软件无需形成源程序文件,可经验证合格后直接使用。
4.7.
5.3上述装机软件必须随仪器附件或随机文件妥善保管,并经常检查装机软件在仪器上的运行状况。
5.0 相关程序文件:
《质量体系文件控制和维护程序》
《保护客户机密信息和所有权程序》
《不符合检测工作的控制程序》
《确保检测(校准)结果质量控制程序》
《测量不确定度评定控制程序》
《检测环境的建立、控制和维护程序》
《实现测量可溯源程序》
《检测报告的编制与管理程序》
附图:数据控制方案
附图:数据控制方案
Web服务访问控制规范及其实现
Web服务访问控制规范及其实现 摘要:提出了一种用于Web服务的访问控制模型,这种模型和Web服务相结合,能够实现Web服务下安全访问控制权限的动态改变,改善目前静态访问控制问题。新的模型提供的视图策略语言VPL用于描述Web服务的访问控制策略。给出了新的安全模型和Web服务集成的结构,用于执行Web服务访问控制策略。关键词: Web服务;访问控制;视图策略语言;访问控制策略 随着Web服务的广泛应用,Web服务中的访问控制策略描述及实现显得尤为重要。目前,Web服务安全标准以及其实现并不完善,Web服务安全多数交由作为应用程序服务器的Web 服务器的安全机制管理。例如,Tomcat服务器为用户、组、角色的管理和为访问Java-Web 应用程序的权限提供了安全管理。但是,Tomcat中的授权是粗粒度的,也就是说,Tomcat 不可能限制对Web服务的单个的访问操作。本文通过示例,探讨如何把一种新的安全模型应用到Web服务中。这种新的安全模型提供了一种规范语言——视图策略语言,其授权可以在Web服务单个的操作层次上细粒度地指定,同时授权还可以通过操作的调用动态地改变。这种模型和Web服务相结合,能够实现Web服务下安全访问控制权限的动态改变,改善目前静态访问控制的问题。1 Web服务访问控制规范1.1 图书中心系统图书中心系统是一个Web服务的简单应用,其结构。 图书中心系统主要提供书店注册服务、书店客户注册服务、书店处理客户注册请求服务、书店管理客户借阅图书信息服务和为所有的用户查询图书信息的服务。其中书店注册是其他所有服务的前提条件。1.2 系统中的访问控制需求图书中心系统的访问控制需求描述如下:BusinessRegistration:书店经理注册自己的书店。这个注册是其他所有服务的前提条件。CustomerRegistration:书店的客户向书店提交注册申请。CustomerRegistrationProcess:书店处理客户的注册申请。CustomerBookList:书店仅能为自己的客户使用此服务。客户可以查询己借阅清单,但不能在此清单上添加新的请求,只有店员可以添加客户的借阅清单。BookSearch:店员和客户都能使用此服务查询图书信息。1.3 系统中的访问控制基于视图的访问控制VBAC(View-Based Access Control)模型是专门用于支持分布式访问控制策略的设计和管理的模型[1],图2是VBAC的简易模型。VBAC模型可以看成是基于角色的访问控制RBAC(Role-Based Access Control)模型的扩展,VBAC增加了视图以及模式的概念。视图描述的是对访问对象的授权,视图被分配给角色。如果一个主体所扮演的角色拥有对某个对象访问的视图,则这个主体就可以访问此对象。如果这个角色没有这个视图,则这个主体就不能访问此对象。模式描述的是视图和角色动态的分配以及删除。视图策略语言VPL(View Policy Language)是一种说明性的语言,用于描述VBAC策略。VPL用于描述角色、视图以及模式。角色在角色声明roles之后,视图以及模式声明使用关键字view和schema。 角色声明描述了策略中的角色以及这些角色初始拥有的视图。图3是图书中心的角色声明。这个例子中有customer和staff两个角色。staff继承了customer,customer能够调用的操作,staff也可以调用。staff拥有初始视图BusinessRegistratoin,关键字holds来说明角色拥有视图,而customer没有初始视图。 图4是图书中心的访问控制需求的VPL视图声明,关键字controls引导的是一个类或者接口。例如,视图BusinessRegistration允许调用类BusinessRegistration的操作processRegisterRequest。VPL视图可以静态地被限制给特定的角色,这些角色罗列在关键字restricted to后面。例如,视图BusinessRegistration只能被赋给角色staff而不能赋
计算机系统中文件控制及数据保护程序
(请贵单位根据本机构实际工作情况进行调整,对于贵单位不涉及的内容可相应删减) 1 目的 保证本公司计算机系统中的文件及数据的完整性、安全性和保密性。 2 范围 本程序适用于全公司计算机系统中的文件及数据的管理。 3 职责 3.1质量负责人对计算机系统中的体系文件的保护负总责。 3.2技术负责人对计算机系统中的技术数据记录的保护负总责。 3.3计算机系统管理员负责本公司计算机网络及软件的管理。 3.4计算机系统管理员负责协助实验室人员对计算机系统中文件控制及数据保护处理的实施。 4 工作程序 4.1计算机系统中文件及软件的安全管理 4.1.1本公司计算机需设置密码,防止非授权人员接触和修改计算机上的文件及软件。 4.1.2计算机系统管理员负责做好本公司所有计算机及其外部设备的维护保养及防病毒工作。 4.1.3本公司所使用的检测专用软件按《设备管理程序》规定,由设备管理员会同检测室负责人进行评审,符合有关技术规范要求和准确性,填写《检测专用软件评审表》,报技术负责人批准后方可投入使用。 4.1.4本公司对检测专用软件根据不同岗位需要设置相应的使用权限。检测仪器设备专用的计算机一般不得与网络连接。 4.1.5本公司所有进行文件传送的计算机均需具有实时防病毒设置,所有使用的软件和存储媒体均通过正规渠道取得。各类文件及其备份均不得外借。 4.1.6非授权人员不得擅自删除、拷贝、打印计算机内各类受控文件。 4.1.7存放在计算机中的体系文件均要保存打印文本作好审批记录,并以此书面文件为准作好备份归档。 4.1.8管理室确保体系文件发生变化时及时地从本公司局域网上撤除原有无效或作废文件,并发布现行有效的文件。
数据分析控制程序范本
1. 目的 对监视和测量活动以及其他相关质量活动的数据和信息按规定收集、分析,以评价质量管理体系的适宜性和有效性,以及识别改进机会并与竞争对手或适用基准比较,找出差距采取措施,作为决策和持续改进的依据。 2. 范围 本程序适用于质量管理体系数据和信息的收集、整理、评审和利用。 3. 引用文件 ISO9001:2000 数据分析 《质量手册》章 4.定义 无 5. 职责 厂办负责数据和信息的归口管理。 各部门负责与本部门相关的数据和信息的收集、整理。 厂长负责组织对数据和信息的评审和决策 生产办统计负责质量管理体系数据和信息的收集、整理、汇总、分析和报告。 6 工作程序 数据和信息的分类 6.1.1 与产品质量有关的数据 a. 质量记录; b. 产品不合格信息; c. 不合格品率; d. 顾客的投诉抱怨; e. 内外部质量成本等。 6.2.2 与运行能力有关的数据 a. 过程运行的测量和监控信息; b. 产品实现过程的能力; c. 内部审核的结论; d. 管理评审的输出; e. 生产效率; f. 交货期等。 数据的收集 6.3.1质检科负责收集与产品质量有关的数据,以及审核、评审、测量和监控
数据。 货、索赔以及竞争对手相关的数据。 6.3.4 厂办根据各部门的数据汇总报表责成财务科计算出产品成本发展趋势、 废品成本、内外部损失、各种消耗和鉴定费用等数据。 6.3.6 各部门对所收集的数据进行汇总分析,以数字统计的方法加文字说明的 形式,报告厂办。 数据的分析评审 6.4.1 厂长主持,管理者代表组织,各部门参加,每半年对数据进行一次分析。 6.4.2 评审的依据是行业标准、组织的计划目标和内控或企业标准、竞争对手 或适用的基准。通过分析提供下列信息,作为对质量管理体系适宜性和 有效性的评价依据。 a. 顾客满意度的现状和趋势以及不满意的主要方面; b. 产品和服务方面与顾客要求的符合性; c. 过程产品特性的变化和趋势; d. 供方产品过程和体系的相关信息。 6.4.3 分析应形成文件并保存。通过分析找出差距,以便采取纠正措施,改善 质量管理体系的运行状态。 措施和应用 6.5.1 根据分析结果,质检科组织相关部门制订和实施纠正措施,并监督检查 并将实施效果报厂长。 6.5.2 纠正措施优先解决与顾客相关的问题和组织的生产、销售、服务中的关 键问题。 6.5.3 通过数据和信息的分析寻找改进的机会 7.质量记录 不合格品统计表 HD-QT-80501 统计分析报告 HD-QT-80502 8. 相关文件 《服务和顾客满意度调查控制程序》 HD-QP-801 《监视和测量控制程序》 HD-QP-803 《产品要求和合同评审控制程序》 HD-QP-701 《采购和供方控制程序》 HD-QP-702 《不合格品控制程序》 HD-QP-804
IATF16949 统计技术及数据分析
过程分析工作表(乌龟图)
1.目的 规定了公司内、外部信息收集、分析的方法及责任,有利于使公司能根据内外部环境和形势,制订相应的政策和措施。 2.范围 适用于公司各职能部门对信息资料的收集、分析和管理。 3.定义 3.1 统计技术------用于提示产品/工作质量形成的规律的统计方法. 4.职责 4.1 公司品管部是本程序的归口管理部门。 4.2 各部门负责将与本部门业务、职能有关信息、资料的收集、分析和使用,并对信息的真实性和有效性负责。 5.程序内容 5.1 统计技术管理 5.1.1 常用统计技术工具 常用的统计技术有:SPC控制图(Xbay-R、X-MR等)、MSA、CP、FMEA、直方图、因果图、排列图、统计表、甘特图、折线图、柱状图、网络图等等。
各部门可根据实际情况选择一种或几种统计工具。但应予以规定且核准,工作中即按规定实施。 5.1.1.1柱状图:应用于某一段时间内,两种或两种以上特性在同一要求下所处的状态对比。 5.1.1.2 统计表:需要迅速取得或整理数据而设计的只需作简单检查便可搜集信息的表格。 5.1.1.3 排列图:通过分类排列找出存在的主要质量问题,抓住关键。 5.1.1.4 因果图:针对质量问题,引用人、机、料、法、环、测等六个方面的影响因素进行分析,找出主要原因。 5.1.1.5 控制图:在过程控制中对产品质量特性随时间变化而出现的变差进行监控的图表。 5.1.1.6 直方图:用于分析工艺过程的状态,看工序是否稳定,如不稳定,推断总体质量及掌握工序能力保证质量的程度。 5.1.1.7 折线图:针对某一特性,进行汇总并规律统计,查看其趋势图形,以了解其实际状况。 5.1.1.8 FMEA:应用于产品质量先期策划中的失效分析。 5.1.1.9 MSA:应用于对测量系统能力的分析。 5.1.1.10 CP:应用于产品质量先期策划中的质量控制计划。 5.1.1.11 甘特图:用于项目工作的进度日程计划安排。 5.1.2 统计技术应用领域 5.1.2.1各部门通过对公司一级数据的收集、整理,并加以分析,以验证各相关目标、指标的达成情况。 5.1.2.2在对有关数据和信息进行收集整理并分析时,各相关部门应采用适当的统计技术。 5.1.4 统计技术的培训
WebAC -- Web访问控制方案
WEBAC & 网站访问控制方案
目录 1 概述 (3) 1.1 前言 (3) 1.2 WEBAC简介 (4) 1.3 WEBAC实现方式 (4) 1.4 WEBAC特点 (5) 2 WEBAC开发与实现 (6) 2.1 基本原理 (6) 2.2 开发前准备 (7) 2.3 模块开发 (9) 发行管理模块 (9) 用户认证模块 (12) UKEY操作状态 (14) UKey硬件的状态 (16) 3 常见问题 (17) 3.1 页面基本元素 (17) 3.2 PIN码的问题 (18)
1概述 1.1 前言 许多收费网站都需要一个比传统“账号+密码”更有效的身份认证方式来认证用户的身份。道理很简单:在“账号+密码”的认证方式中,用户很容易将账号和密码与他人分享,即使网站加上同一时间一个账号只允许一人登录的限制也无济于事,因为用户可以与他人分时分享网站提供的各种收费服务。分享用户账号对用户来说是很方便的,但是对于网络公司来说却意味着潜在收入的减少,这无疑是网络公司不愿意看到的。 智能卡或类似USB电子钥匙的硬件认证方式可以满足收费网站的认证需求。这种认证方式要求用户需要同时提供硬件和账号密码才能登录访问网页,有效的
避免了用户共享账号带来的问题。Passbay也提供基于硬件UKey的SecureWeb 解决方案,但是在许多场合这种解决方案也有其不足之处:首先,硬件具有专用性。也就是说,一个硬件只能应用于某个特定的网站登录认证,而不具有其他的功能或用途,这难免让用户觉得其实用价值较低;此外,这种解决方案需要用户在终端安装驱动程序和客户端程序,给用户的使用带来不便,同时也给网络公司增加了额外的与网站运营无关的售后服务。 总的来说,目前普遍采用的基于智能卡或USB电子钥匙的硬件认证方式虽然可以满足收费网站控制用户登录访问的需求,但仍然具有较大的缺陷,不管是对于网络公司还是对于用户来说,这种方案都不能算是一个完美的解决方案。 1.2WEBAC简介 为满足收费网站控制用户登录和访问的需求,Passbay结合自身的优势推出WebAC网站访问控制方案,WebAC网站访问控制方案由硬件UKey、Passbay 安全管理软件和面向网站开发者的开发接口三个部分组成。方案允许网站拥有者在UKey中创建并管理用户登录账户,用户进入指定页面之后必须插入UKey才能完成登录或访问。这一方案保证只有合法持有UKey的用户才能享受到网站提供的服务,避免用户分享账号给网络公司带来的损失。 1.3WEBAC实现方式 Passbay? UKey WebAC网站访问控制方案通过随机数单向认证方式来验证用户身份和对用户账户进行管理。这一方案的实现原理如下: 网站在创建用户账户时,将用户账号和用于认证的一个字符串(SaltValue)写入UKey(由接口写入),并将上述两项值与PSA的序列号(SerialNumber)写入数据库(由开发者写入)。用户进入登录页面后,服务器端生成一随机数据(Random),通过网络传输至客户端。这一数据在客户端通过MD5算法进行计算,计算结果MD5Result = MD5(SerialNumber + AdminPass + Random + SaltValue)(由接口计算),计算完毕后,客户端将计算结果(MD5Result -c)与UKey的序列号(SerialNumber)和之前存入的用户账号通过Form提交给服务器
数据安全管理规范
业务平台安全管理制度 —数据安全管理规范 XXXXXXXXXXX公司网络运行维护事业部
目录 一. 概述 (1) 二. 数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三. 数据信息重要性评估 (4) 3.1数据信息分级原则 (4) 3.2数据信息分级 (4) 四. 数据信息完整性安全规范 (5) 五. 数据信息保密性安全规范 (6) 5.1密码安全 (6) 5.2密钥安全 (6) 六. 数据信息备份与恢复 (8) 6.1数据信息备份要求 (8) 6.1.1 备份要求 (8) 6.1.2 备份执行与记录 (8) 6.2备份恢复管理 (8)
一. 概述 数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
二. 数据信息安全管理制度 2.1 数据信息安全存储要求 数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理须符合以下规定: ◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 ◆删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信 息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无 用的信息进行覆盖。 ◆任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。 2.2 数据信息传输安全要求 ◆在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和 应用加密技术时,应符合以下规范: ?必须符合国家有关加密技术的法律法规; ?根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密 钥的长度; ?听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。 ◆机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不对称 加密。 ◆机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数 字签名时应符合以下规范: ?充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。 ?采取保护公钥完整性的安全措施,例如使用公钥证书; ?确定签名算法的类型、属性以及所用密钥长度; ?用于数字签名的密钥应不同于用来加密内容的密钥。
系统访问控制程序
信息科技部 系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施
目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误!未定义书签。 6 记录 (6)
1 目的 为规范阜新银行信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的; (d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试;
数据安全管理办法
数据安全管理办法 (征求意见稿) 第一章总则 第一条为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。 第二条在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。 法律、行政法规另有规定的,从其规定。 第三条国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动。 第四条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁,保护数据免受泄露、窃取、篡改、毁损、非法使用等,依法惩治危害数据安全的违法犯罪活动。 第五条在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。 地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。 第六条网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。 第二章数据收集 第七条网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。 第八条收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容: (一)网络运营者基本信息; (二)网络运营者主要负责人、数据安全责任人的姓名及联系方式; (三)收集使用个人信息的目的、种类、数量、频度、方式、范围等; (四)个人信息保存地点、期限及到期后的处理方式; (五)向他人提供个人信息的规则,如果向他人提供的; (六)个人信息安全保护策略等相关信息; (七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法; (八)投诉、举报渠道和方法等;
ISO27001信息网络访问控制程序
ISO27001信息网络访问控制程序 1 目的 为加强内部企业网、Internet网络及网络服务的管理,对内部和外部网络的访问均加以控制,防止未授权的访问给网络和网络服务带来的损害,特制定此程序。 2 范围 本程序适用于内部企业网、Internet网络及网络服务的管理。 3 相关文件 4 职责 4.1 网络管理员负责对网络服务的开启与管理。 4.2 网络管理员负责审批与实施内网、外网的开启。 4.3 信息科技部内部员工必须遵守此程序,网络管理员有监督检查的责任。 4.4 文档管理员负责文档的收录与管理。 5 程序 5.1 网络和网络服务使用策略 5.1.1 IT信息科技部定期(每年)对机关办公楼各部(中心)人员的网络配置情况进行一次全面的普查和登记,填写《市行机关办公楼、内外网络接入申请单》备档,严格控制外网入网的人员数量,决不允许一机器登录双网(采用双网卡或双网线)的现象出现,登陆外网的计算机必须装有病毒查杀软件,确保现有的网络资源和网络安全。
5.1.2 IT各部(包括信息科技部)后续需要增加使用内外网结点数量,开展IT 业务,要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”,经所在部门总经理签字后递交给信息科技部,由网络管理员实施并交由文档管理员进行备案。 5.1.3 申请使用Internet网,应当具备下列条件之一。 (1)IT开展的营业活动必须要通过网上查询交易的。 (2)助理以上的机关领导干部工作需要上网的。 (3)因工作需要,经部门总经理批准的本部门员工(不能超过员工总数的1/3)。 5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务: (1)制作或者故意传播计算机病毒以及其他破坏性程序; (2)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序; (3)相关法律、行政法规所禁止的其他行为; (4)有损IT形象的行为; 5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息; (1)外泄IT内部商业机密; (2)反对宪法所确定的基本原则的; (3)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; (4)损害国家荣誉和利益的; (5)煽动民族仇恨、民族歧视,破坏民族团结的; (6)破坏国家宗教政策,宣扬邪教和愚昧迷信的; (7)散布谣言,扰乱社会秩序,破坏社会稳定的; (8)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; (9)侮辱或者诽谤他人,侵害他人合法权益的; (10)法律、行政法规禁止的其他内容。
数据控制程序
1 目的 对检测数据的采集、计算和数据传递等进行控制,保证数据的完整、安全和保密并符合检测工作的要求。 2 范围 适用于本检测中心检测数据的采集和处理。 3 职责 3.1 检测人员负责检测数据的采集、记录、计算、转换和传递,保证检测数据准确、完整、安全和保密。 3.2 审核人员负责复核检测数据的正确性,防止错误数据转换和传递。 4 工作程序 4.1.1 人工采集和记录使用带刻度的仪器设备,需要人工读数据并记录数据时,通常记录至最后分度值后一位。数字仪表记录至最后一位显示数字。 4.1.2 仪器设备自动采集和打印数据有图谱和检测数据,应标识样品和检测日期,检测资料存档以备检查。检测数据需要转换到记录表格或检测报告中去时,应由执行检测的人员进行。 4.1.3 数据的计量单位必须使用国家法定计量单位,标有非法定计量单位的仪器设备,应编 制计量单位换算表,分别记录以原计量单位和经换算后的法定单位的数据。 4.2.1 记录数据的有效位数依照相应规程的有效位数决定。 4.2.2 计算结果的有效位数按检测标准、规范规定执行,标准、规范未明确规定时,可参照 国家标准限值指标,比国家标准限值指标规定的数值多保留一位小数。 4.2.3 检测结果的判定按标准检测方法规定执行。 由划改人签字或盖章。 对测定和计算方面的数据,在所规定的精确程度范围以外的数字,按以下规则进行取舍。
4.4.1 拟舍弃的数字的最左一位数字小于5时,则舍去;最左一位数字大于5时,则进1;等于5而右面的数字并非全部为0时,进1;等于5而右面无数字或全部为0时,若所保留的数字末位为奇数,进1,为偶数则舍弃。 4.4.2 不得进行连续修约:拟修约数字应在确定修约位数后一次修约获得结果,不得多次按规则4.4.1连续修约。 4.4.3 对于在检测方法中,另有数字修约规定时,则按规定执行。 4.5 计算机和自动设备的维护 4.5.1设备使用人应维护计算机和自动设备以保证其功能正常,在投入使用前及每年对仪器设备软件进行确认并填写《软件确认记录》。设备使用人注意数据采集、输入、存储、传输或数据的完整性和保密性。检测中心计算机实行专人使用管理,使用密码登录,使用者严禁随意删改机内系统文件并防止病毒侵入,及时将重要数据备份,每3个月将数据归档至资料室。 4.5.2当用电话、传真或其他电子或电磁方式传输检测结果时,要确保结果准确性、完整性尤其是保护客户机密信息和所有权等要求,涉及客户机密信息和所有权的内容,必须有充分证据证明对方是本检测中心客户时,本检测中心才能使用电话、传真或其他电子或电磁方式传输检测结果,否则可能引起法律纠纷。 4.5.3 为保证连接到互联网或局域网的计算机文件和数据的安全,应安装病毒防火墙确保计算机能有效地防止非法的入侵。 4.5.4委托方要求向其传送电子结果报告时,应严格按照委托方的要求进行电子传送,并做好相应的记录,在传送过程中应确保数据的保密性、完整性、准确性。 4.6 本程序未提及说明之处,参照《保护委托方机密及所有权程序》、《文件控制程序》和《仪器设备管理程序》等程序进行管理。 5 相关记录 5.1 保护委托方机密及所有权程序 5.2 文件控制程序 5.3 仪器设备管理程序 6. 相关记录 6.1 计算机原始数据备份记录 6.2 软件确认记录
ISO27001系统访问控制程序
ISO27001系统访问控制程序 1 目的 为规范IT信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;
(d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试; 3)断开数据链路链接; 4)如果达到登录的最大尝试次数,向系统控制台(或向中心机房管 理员)发送警报消息; 5)结合口令的最小长度和被保护系统的价值(风险评估的结果或内 部存储信息的价值)设置口令重试的次数; (e)限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录; (f)在成功登陆完成时,显示下列信息: 1)前一次成功登陆的日期和时间; 2)上次成功登陆之后的任何不成功登陆尝试的细节; (g)不显示输入的口令或考虑通过符号隐蔽口令字符; (h)不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后,任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后,对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态,防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要,需登录信息科技部核心系统或外围系统时,必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。
GJB-数据分析控制程序
Q/FY 成都市XXXX制造有限公司 企业标准 Q/FY 10-12(B/1) 代替 Q/FY 10-12(B/0 ) 数据分析控制程序 制: 核: 签: 标准化: 批准: 2018-03-06 发布2018-03-07 实施 成都市XXXX制造有限公司
目次 、八— 刖言 更改控制页 1.目的 2.适用范围 3.术语和定义 4.引用标准/文件 5.职责与权限 6.工作程序 7.记录 目次
本标准替代 Q/FY 010-12(B/0) ,除编辑性修改外,与其相比主要差异如下:——细化规定了数据分析职责等要求; ——规范与增加了相应表格; ——引用了 GJB 9001C-2017 质量管理体系中的要求。本标准由质量部提出。 本标准由质量部归口。本标准起草单位:质量部。 本标准主要起草人: XXXX 本标准为第二次修订 ,历次发布版本为 : Q/FY10-12(B/0 )
I
数据分析控制程序 1目的 规范数据的采集、分析和使用,以确定质量管理体系的适宜性和有效性,识别改进 的区域,为各项决策活动提供科学的依据。 2适用范围 本程序适用于本公司质量管理体系运行所产生的数据的收集、分析,以确保体系运 行的状况和米取措施的机会。 3术语和定义 本程序应用GJB 9001C-2017和GB/T19001: 2016《质量管理体系 要求》中的术语 和定义。 4引用标准/文件 5职责与权限 5.1质量部门负责数据分析的归口管理部门,负责本部门监测数据的收集、分析。 5.2其他各部门负责各自相关数据的收集、分析。 6工作程序 对产品质量和过程绩效与质量目标进行比较,识别改进机会。 6.2.1为了寻找数据变化的规律性,通常采用统计方法。 6.2.2公司基本统计方法的选择 4.1 Q/FY 01-00 《质量手册》 4.2 Q/FY 10-01 《文件控制程序》 4.3 Q/FY 10-02 《记录控制程序》 6.1 数据分析的范围: a) 顾客满意和(或)不满意的程度; b) 产品满足顾客要求的符合性;包括质量水平、技术水平等; c) 产品特性、过程特性及趋势,包括采取预防措施的机会; d) 供方及供应产品的信息(如供货质量状况、合同履约情况、售后服务情况等) e) 本公司质量有关的质量经济性分析数据等; 6.2 数据分析方法: f)
(完整版)数据分析控制程序
数据分析控制程序 1.目的 对与质量有关的数据进行适当收集和分析,以证实质量管理体系的适宜性和有效性,并识别改进的机会。 2.适用范围 适用于本所来自检验检测活动及其他质量活动数据统计、分析的控制。 3.术语 本程序采用了TSG Z7003—2004《特种设备检验检测机构质量管理体系要求》中规定的术语。 4.职责 4.1各相关科室收集相关信息,提供本科室质量目标数据及其他相关的数据,并定时上报质量负责人。 4.2质量负责人负责组织对本所的数据收集和分析进行管理。 4.3办公室负责对外数据的收集、统计、汇总、上报。 4.4所长负责对数据分析控制情况进行监督、检查。 5.工作程序 5.1数据分析应提供以下方面的信息 5.1.1用户满意或不满意的程度; 5.1.2服务满足政府和用户需求的符合性; 5.1.3服务、过程的特性及发展趋势,包括采取纠正和预防措施的机会。 5.2数据的收集 5.2.1质量负责人负责组织收集质量目标完成结果、内外部审核
情况、管理评审的输出、上级部门检查的结果及反馈、质量监督抽查等方面的数据和信息。 5.2.2技术负责人负责组织收集检验检测方面的数据和信息。 5.3可以采用的统计技术方法 5.3.1对用户满意度、质量审核分析等,一般采用调查表、统计表等方法。 5.3.2对质量目标的完成结果、服务情况、供方情况等,在受控状态下,一般采用抽样检验、调查表、统计表等找出过程的发展趋势。 5.4对数据分析的要求 5.4.1正确运用统计方法,确保数据的科学、准确、真实; 5.4.2对数据分析的结果应做出定性或定量的评价; 5.4.3根据评价的结果,寻找改进的机会。 5.5数据分析结果的处理 5.5.1数据统计分析的结果应传递给所长,由其组织从数据分析结果中寻找改进的机会,组织实施质量改进。 5.5.2数据分析的结果、质量改进的情况和建议作为管理评审的输入。 6.相关文件 6.1接受安全监察管理程序; 6.2内部审核程序; 6.3不符合控制程序; 6.4投诉与抱怨处理程序等。
数据执行保护
数据执行保护 数据执行保护(DEP) 有助于防止电脑遭受病毒和其他安全威胁的侵害。 应用会留出一部分电脑内存用于暂存数据,同时留出另一部分内存用于暂存应用使用的指令。黑客可能试图诱使应用运行(也称为执行)放置在电脑内存中伪装成指令的有害数据。这可能会让黑客得以控制你的电脑。 DEP 可以防止应用运行用于暂存指令的那部分内存中的数据,从而保护电脑。如果DEP 发现某个运行此类数据的应用,它将关闭该应用并通知你。 与防病毒程序不同,硬件和软件实施DEp 技术的目的并不是防止在计算机上安装有害程序。而是监视您的已安装程序,帮助确定它们是否正在安全地使用系统内存。为监视您的程序,硬件实施DEp 将跟踪已指定为“不可执行”的内存区域。如果已将内存指定为“不可执行”,但是某个程序试图通过内存执行代码,Windows 将关闭该程序以防止恶意代码。无论代码是不是恶意,都会执行此操作。 注:基于软件的DEp 是Windows Xp Sp2 的一部分并默认启用,不考虑处理器的硬件实施DEp 功能。默认情况下,软件实施DEp 应用于核心操作系统组件和服务。 DEp 默认配置的目的在于保护您的计算机,并尽量减小对应用程序兼容性的影响。但是某些程序也可能无法正确运行,视您的DEp 配置而定。您可以使用本文档中介绍的任务在计算机上配置DEp: 为计算机上的所有程序启用DEp 将程序添加到DEp 例外列表 为整个计算机禁用DEp 重要: 安装操作系统时,使用默认出现的“开始”菜单,便可获得本文档中的步骤说明。如果修改了“开始”菜单,操作步骤会略有不同。 开始之前 本文档提供了关于在Windows Xp Sp2 上配置DEp 的指导。 注:在运行Microsoft Windows Xp 64 位版本并附带DEp兼容处理器的计算机上,硬件实施DEp 已默认启用。64 位应用程序将不会通过内存的“不可执行”区域来运行。不能禁用硬件启用的DEp。 Windows Xp Sp2 上的软件启用DEp 以及在任何处理器上运行的32 位应用程序可以配置为使用内存的“可执行”或“不可执行”区域。 为计算机上的所有程序启用DEp 硬件和软件DEp 的默认配置可以保护核心Windows 组件和服务并对应用程序兼容性产生最小的影响,但是您可以选择将DEp 配置为保护计算机上的所有应用程序和程序。如果您将DEp 配置为保护计算机上的所有应用程序和程序,则可以获得额外的保护,但是也可能会引起其它应用程序兼容性问题。如果您将DEp 配置为保护计算机上的所有应用程序和程序,并且某些32 位应用程序存在兼容性问题,则可以从软件DEp 保护中豁免这些应用程序。 禁用硬件DEP就目前来说是可行的。 在无法通过Windows本身禁用后,你可以进入BIOS进行禁用。
ISO27001:2013信息系统访问与监控管理程序
XXXXXXXXX有限责任公司 信息系统访问与使用监控管理程序 [XXXX-B-16] V1.0
变更履历
1 目的 为了加强信息系统的监控,对组织内信息系统安全监控和日志审核工作进行管理,特制定本程序。 2 范围 本程序适用于XXXXXXXXX有限责任公司信息系统安全监控和日志审核工作的管理。 3 职责 3.1 技术部 为网络安全的归口管理部门。 3.2 网络安全管理员 负责对信息系统安全监控和日志的审核管理。 4 相关文件 《信息安全管理手册》 《信息安全事件管理程序》 5 程序 5.1 日志 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。 系统管理员不允许删除或关闭其自身活动的日志。 日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问。 应防止对日志记录设施的未经授权的更改和出现操作问题,包括: a)对记录的信息类型的更改; b)日志文件被编辑或删除; c)超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。 5.2 日志审核
技术部IT专职人员每周审核一次系统日志,并做好《日志审核记录》。 对审核中发现的问题,应及时报告行政部进行处理。 对审核发现的事件,按《信息安全事件管理程序》进行。 5.3 巡视巡检 巡视人员负责每天监控巡视,技术部安全管理员每周进行一次监控巡视。 新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。 监控巡视人员按信息资源管理系统的要求进行系统监控和巡视,并填写运维记录报告。 监控巡视期间发现问题,应及时处理,并在运维记录中填写异常情况。 监控巡视人员应进行机房环境、信息网络、应用系统的巡视,每天记录机房温度、防病毒情况、应用系统运行情况等。 巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。 5.4 职责分离 为防止非授权的更改或误用信息或服务的机会,按要求进行职责分配。另见《用户访问管理程序》、《IT工程师职位说明书》 5.5审计记录(日志)及其保护 5.5.1 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。 5.5.2 系统管理员和系统操作员的活动应记入日志,系统管理员不允许删除或关闭其自身活动的日志。 5.5.3 日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问。 5.5.4 应防止对日志记录设施的未经授权的更改和出现操作问题,包括: a) 对记录的信息类型的更改; b) 日志文件被编辑或删除; c) 超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。 5.6时钟同步 5.6.1公司网络和系统采用网络时间协议保持所有服务器与主时钟同步。 5.6.2 个人计算机应采用网络时间协议保持与主时钟同步。 6 记录 《日志审核记录》 《网络与信息安全检查表》
数据保护控制程序
1目的 对数据转换和计算处理、自动检测设备及其软件和检测数据的采集、计算、处理、记录、报告、存储、传输进行控制,确保自动检测设备及其软件和检测/或校准数据的准确、可靠、安全。 2适用范围 本程序适用于实验室对自动检测设备及其软件和检测/或校准数据的计算、存储和传输的控制。 3职责 3.1 技术负责人负责组织实施对自动检测设备及其软件的确认、批准和对数据的控制; 3.2 质量负责人组织质量监督员对检测数据进行监督、检查; 3.3 业务室负责组织微机管理员实施对计算机日常运行的维护和病毒预防与清除; 3.4 检测室负责检测原始数据的采集、记录、处理等的控制,实施对自动检测设备及其软件的验证和确认。 3.5检测人员应认真采集和记录检测原始数据,按检测标准、规范计算和处理数据。 4工作程序 4.1数据控制 4.1.1数据的采集 a) 检测室负责人应按实验室检测标准、规范和作业文件的要求,指导检测人员正确填写检测原始记录; b) 自动检测设备采集或打印原始数据,技术负责人应组织检测室负责人对采集数据所用的相关测量系统实施验证,验证结果应经技术负责人确认; c) 人工采集的数据,应及时记录在原始记录本,严禁任何形式的誊抄,确需誊抄的应将其原件附录其后,采集后的原始数据应当按标准、规范或作业文件的规定进行修改。 d) 采集的原始数据应进行修约或截尾,遵循先修约后运算的原则,最终报
出数据的有效位数应当遵循标准的规定或多出标准规定一位。 4.1.2临界数据的处理 4.1.2.1当测得值接近临界控制值时,检测人员应当增加测量次数,以观察测量结果的发散趋势,如果连续观测到的测量值趋于平稳或收敛,则可以按照数据处理的规定或程序进行数据处理后进行判定; 4.1.2.2如果连续观测到的测量值趋于发散,应查找发散原因,以判断是测量仪器还是被测样品的问题。当肯定是被测样品的内在质量问题时,则应按照标准的规定给出样品的质量判定; 4.1.2.3当仪表指示在某一区间摆动时,检测员应根据小风险的原则读取最大值或读取最小值; 4.1.3 数据的处理 检测人员应对采集到的原始数据进行处理,数据处理应首先确认使用的物理常数、计算公式、图表和曲线等,数据需经计算时,应遵循先修约后运算的原则,检测人员应列出计算公式和简略的运算过程,数据的修约应执行GB8170-87标准的规定。 4.1.4 数据的判定 4.1.4.1 检测数据未超过标准、规范或作业文件规定的范围,检测/或校准数据有效; 4.1.4.2 极限数据是指测得值已接近或可能超过标准规定的值,对此类数据的判定应首先确定测量不确定度,然后根据测量不确定度的大小来判定临界数据合格与否,极限数值的判定依据GB1250-89标准的规定。 4.1.4.3 可疑数据是指偏离约定值或估计值的检测/或校准结果,此时可采取以下步骤来确定或排除检测/或校准的可疑因素: a) 用期间核查方法检查仪器的检定/校准状态; b) 检查检测/或校准结果的监控结果; c) 检查检测/或校准方法和步骤; d) 对已测物品进行重复检测; e) 检查环境和消耗品的影响。
数据分析控制程序
更改历史 1.0目的
采用适当的统计技术,对产品形成过程及产品质量进行控制,以利于及早发现问题采取预防措施,预防和控制问题的发生。 2.0范围 适用于产品质量及产品形成的各有关阶段。 3.0职责 3.1各职能部门负责统计技术的选定及实施。 3.2质管部负责对统计技术应用的监督管理及归纳分析。 3.3管理者代表负责组织对公司数据分析应用工作的开展、推广和指导。 4.0工作程序 4.1统计方法应用范围: 4.1.1市场预测(如调查表等); 4.1.2产品开发阶段; 4.1.3过程控制和过程优化(如控制图、抽样技术、质量追踪反馈表、错误率、返工率等); 4.1.4进货检验(如抽样技术、缺陷收集卡、排列图分析); 4.1.5最终检验(如抽样技术、缺陷收集卡、排列分析); 4.1.6产品使用过程中的失效分析(如缺陷收集卡、排列图分析等); 4.1.7产品及过程分析(如因果图)。 4.2常用统计方法 4.2.1统计分析表(调查表)法 4.2.1.1.统计分析表法是以收集和记录资料的形式对数据进行粗略的整理和原因分析的一 种方法。 4.2.1.2.统计分析表法可用于市场预测和调查、收集各类质量特性数据,供质量改进使用, 也可用于成品检验情况分析。 4.2.2排列图法 4.2.2.1.排列图法是寻找影响产品质量的主要问题,即区分“关键的少数和无关紧要的多 数”,确定质量改进关键项目的一种方法。 4.2.2.2.排列图法可用于产品缺陷分析、成品一次交验合格情况分析、找出质量问题的主 要原因等。 4.2.3因果图法
4.2.3.1.因果图是用于寻找质量问题产生的原因,即分析原因于结果之间关系的一种方法。 4.2.3.2.因果图法分析找出质量问题产生的主要原因、可用于废品原因分析、成品装配一 次交检合格情况等。 4.2.4直方图法 4.2.4.1.直方图法是用于分析数据的分布状态,从而对总体分布状态及其特征量进行推新 的一种方法。 4.2.4.2.直方图法可从分布规律中分析产品质量状况和工序状态,可用于工序控制和工序 能力调查等。 4.2.5控制图法 4.2. 5.1.控制图是用于分析和判断工序是否处于稳定状态所使用的带有控制界限的一种方 法。 4.2. 5.2.控制图法主要可用于工序质量控制等。 4.2.6抽样检验 4.2.6.1.抽样检验是从产品中随机抽取若干个样品,测试其质量指标,从而对这一批产品 质量状况作出判断的一种方法。 4.2.6.2.抽样检验可用于成品入库检验情况等。 4.3统计方法的选用程序 4.3.1选定统计分析项目 4.3.1.1.由各职能部门根据工作中发生的问题,提出针对性的项目,明确分析目的后选定 分析项目。 4.3.2选定统计方法 4.3.2.1.由各职能部门制定人员,根据项目的目的、要求内容重点、分析范围等,选定最 能反映出问题所在的统计方法,交研发部统一登记于“统计技术应用一览表”。 4.3.3收集整理和鉴别资料 4.3.3.1.按统计方法收集整理和鉴别资料,包括来自监视和测量的结果及其他有关来源的 数据,并保证信息的准确性、可比性,且具有代表性,收集信息至少包括以下方 面的输入: a)反馈; b)产品要求的符合性;