标准简介
ISO 37301:2021 是由 国际标准化组织 (ISO) 发布的有效标准,常用于金融银行、医疗健康、科技、服务业、政府、能源、制药等行业,并适用于全球等市场。
本页汇总了 ISO 37301:2021 的官方文档、当前状态以及常见相关认证或评估机构,便于快速理解要求与落地路径。
实施路线图
定义合规管理体系范围
识别 ISO 37301:2021 覆盖的产品、服务、场所、系统、团队、司法辖区和相关方。确认责任人、边界、适用义务、文件和证据期望,范围包括合规义务、文化、领导、风险评估、政策、控制、报告渠道、调查、纠正措施、监控、内部审核和管理评审。
评估差距并排列风险优先级
将当前实践与预期的合规管理体系方法进行比较。审查义务登记册、合规风险评估、政策、培训、尽职调查、举报、调查流程、第三方控制、监控计划和升级规则,并按法律暴露、安全影响、客户承诺、运营依赖以及审核或市场准入准备度排列差距优先级。
实施控制和记录
部署所需程序、技术控制、评审关口、培训、供应商流程、报告路径和运行记录。维护义务清单、风险评估、政策批准、培训记录、尽职调查文件、热线日志、调查记录、纠正措施、审核和管理评审作为可追溯证据。
评审、审核并改进
开展内部评审、管理报告、审核、纠正措施和变更评估。当产品、服务、供应商、技术、法规、事件或相关方期望变化时刷新项目。
合规检查清单
checklist 范围与治理
checklist 控制与证据
checklist 监控与改进
常见问题解答
谁需要 ISO 37301:2021?
expand_more
ISO 37301:2021 最适用于需要针对法律、监管、合同和道德义务建立可认证合规管理体系的组织。具体范围取决于产品、服务、司法辖区、客户承诺,以及组织是否需要认证、符合性证据、监管准备或内部治理。
ISO 37301:2021 是否可认证?
expand_more
ISO 37301 可认证,并可替代或扩展既有 ISO 19600 风格合规项目。
实施时应先关注什么?
expand_more
先定义范围和义务,再建立当前状态差距评估。早期最重要的工作是确认责任、受影响资产或过程、风险准则、客户或法律驱动因素,以及组织必须能够提供的证据。
ISO 37301:2021 需要哪些证据?
expand_more
有用证据包括义务清单、风险评估、政策批准、培训记录、尽职调查文件、热线日志、调查记录、纠正措施、审核和管理评审。证据应进行版本控制,能够追溯到责任人,并关联风险、义务、控制、决策和纠正措施。
项目应多久评审一次?
expand_more
应按计划周期评审,并在产品、服务、供应商、运行环境、事件、客户承诺或法规变化时评审。高风险领域应采用更频繁的监控和管理报告。