ISO22000标准在诸多方面，对食品安全管理体系提出了要求，包括：食品安全方针、资源、沟通、危害分析和控制、追溯、监控和改进等方面的要求，现从以下几方面论述ISO22000标准对食品安全管理和实施的要求。

建立食品溯源、召回、应急制度

ISO22000标准要求对不安全产品采取撤回方式。组织建立从原料供方到直接分销商的可追溯性系统，确保交付后的不安全的产品，利用可追溯性系统，能够及时、完全地撤回，尽可能降低和消除不安全产品对消费者的伤害。7.9.2条款规定，组织应建立可追溯性系统，确保识别产品批次及其与原料批次、加工和分销记录的关系。追溯性系统应能够识别从直接供方的进料和最终产品分销到直接分销方的情况。7.9.5条款规定，为确保已被确定为不安全的受影响批次的最终产品在交付后能够及时、完全地召回，组织应建立、保持形成文件的程序，以通知相关方（如权威机构、消费者）。应将产品召回的原因、范围和结果报告最高管理者，作为管理评审的输入。组织应通过使用验证试验、模拟召回或实际召回等方法，验证召回方案的有效性。追溯性系统的详略程度应当考虑可能发生的召回和法律法规的要求。标准要求最高管理者应指定有权启动撤回和有权实施撤回的人员，虽然该条款是食品安全控制的一种补救措施，但却充分体现了现代食品安全的管理理念。

标准5.7条款对组织提出了“应急准备和响应”中的要求，组织应识别潜在事故、紧急情况和事件，如火灾、洪水、恐怖活动、人为破坏（如投毒）、能源故障（如停电）、环境污染、新的危害的出现或由于商业风险的识别，组织应策划应急准备和响应措施，包括人力资源、基础设施、应对程序等。必要时，尤其是实际发生事故或紧急情况之后，应评审和修改应急准备和响应文件。

内部审核是 ISO 27001 合规性的重要组成部分，因此了解自己在做什么非常重要，幸运的是，这篇博客解释了您需要遵循的五个步骤，以确保您的内部审计成功。

ISO 27001审核的五个阶段

1. 范围界定和审计前调查

您必须进行基于风险的评估，以确定审计的重点，并确定哪些领域不在范围内。

ISO 27001审核信息来源可能包括行业研究、以前的 ISMS（信息安全管理系统）报告或其他文件，例如 ISMS 政策。

确保审核的范围与组织相关——它通常应与被认证的 ISMS 的范围相匹配。

对于大型组织，审核员可能需要审查 ISMS 在每个业务地点的实施情况。

如果无法查看每个位置，至少应该抽取一个具有代表性的样本。

在审核前调查期间，ISO 27001审核员还应确定并联系 ISMS 中的主要利益相关者，以索取将在审核期间审核的任何文件。

2. 规划和准备

在同意 ISMS 审核范围后，审核员必须将其分解为更详细的ISO 27001审核内容。

这涉及制定 ISMS 审核工作计划，其中审核的时间安排和资源与管理层达成一致，传统的项目规划图表，例如甘特图，可能会有所帮助。

审计计划确定并围绕审计的剩余阶段划定界限，通常包括“检查点”，详细说明审计师向经理提供非正式临时更新的具体机会。

此类更新允许审计师提出有关获取信息或人员的问题，并允许管理层提出有关审计过程的ISO 27001审核问题。

必须指定重要审核工作的时间安排，以便在发现 ISMS 不足时您可以优先考虑您认为会带来最大风险的方面。

3. ISO 27001审核实地考察

一旦制定了 ISMS 审核工作计划，审核员必须通过采访与 ISMS 相关的员工、经理和其他利益相关者来收集证据。

他们还应该审查 ISMS 文件、打印输出和数据，并观察 ISMS 流程的运行情况。

需要执行审计测试以验证收集到的证据，以及记录所执行测试的审计工作文件。

现场工作的初始阶段通常涉及审核员审查与 ISMS 相关并由 ISMS 产生的文件。

他们的发现可能表明需要进行特定的审核测试，以确定 ISMS 与 ISO 27001 相关文件的遵循程度。

4. ISO 27001审核分析

应根据风险和控制目标对审计证据进行分类、归档和审查。

有时，分析可能会发现证据中的差距或表明需要进行更多的审计测试，这将涉及进一步的现场测试。

5. ISO 27001审核报告

审计过程的这一重要组成部分通常包括：说明所执行工作的范围、目标、时间和范围的介绍；显示主要发现的执行摘要、简要分析和结论；预期的报告接收者，以及分类和分发指南（如适用）；详细的调查结果和分析；结论和建议；和审计师详细说明建议或范围限制的声明。审计报告草稿应提交给管理层并与管理层讨论，可能需要进一步审查和修订，因为最终报告通常涉及管理层对行动计划的承诺。

获得 ISO 27001 认证

如果您正在寻求获得 ISO 27001 认证的帮助，或者只是想提高您的信息安全实践，可以联系我们！