第一篇：IATF16949-2016換版審核中應(yīng)注意事項(xiàng)總結(jié)大全

IATF16949-2016換版審核中應(yīng)注意事項(xiàng)總結(jié)

IATF16949:2016 轉(zhuǎn)換審核（或者初次審核）已于2017年1月1日，在全球汽車供應(yīng)鏈逐步展開(kāi)。DXC所培訓(xùn)和輔導(dǎo)過(guò)的很多企業(yè)，已進(jìn)入審核階段?，F(xiàn)就審核過(guò)程中，審核員特別關(guān)注的內(nèi)容進(jìn)行了總結(jié)，供大家參考（也歡迎大家跟帖分享）：

1、顧客特殊要求和體系關(guān)系矩陣必須建立，顧客特殊要求不是技術(shù)和圖紙要求；如果沒(méi)有，審核時(shí)企業(yè)需提供顧客出具的書(shū)面證據(jù)；

2、產(chǎn)品安全滿足13項(xiàng)要求，如，作業(yè)指導(dǎo)書(shū)有安全標(biāo)識(shí)，追溯性必須100%有批次號(hào)，F(xiàn)MEA和CP必須有顧客的特殊批準(zhǔn)，變更需經(jīng)顧客批準(zhǔn)等；

3、員工舉報(bào)電話必須建立，郵箱不接受；

4、應(yīng)急計(jì)劃含常發(fā)自然災(zāi)害，最高管理者每年評(píng)審；

5、風(fēng)險(xiǎn)分析不能按部門(mén)來(lái)做，必須按照過(guò)程，按照事件分析，風(fēng)險(xiǎn)需建立等級(jí)，制定預(yù)防措施；

6、基礎(chǔ)設(shè)施評(píng)價(jià)，須體現(xiàn)精益的原則；

7、內(nèi)部實(shí)驗(yàn)室，必須形成范圍清單，標(biāo)準(zhǔn)清單和實(shí)驗(yàn)設(shè)備清單；

8、內(nèi)審員能力滿足5項(xiàng)要求，包含培訓(xùn)老師資格（IATF授權(quán)機(jī)構(gòu)的培訓(xùn)合格證明）必須保留；

9、SQE除滿足內(nèi)審員5項(xiàng)要求，還需滿足FMEA和CP的能力要求；

10、記錄保存：生產(chǎn)件批準(zhǔn)文件、工裝記錄（包括維護(hù)和所有權(quán)）、產(chǎn)品和過(guò)程設(shè)計(jì)記錄、采購(gòu)訂單（如適用）或者合同和修正，保存時(shí)間為產(chǎn)品在現(xiàn)行生產(chǎn)和服務(wù)中要求的有效期，再加一個(gè)日歷年；

11、軟件開(kāi)發(fā)應(yīng)有質(zhì)量保證過(guò)程，并納入內(nèi)審方案；

12、供應(yīng)商必須爬坡提升，審核計(jì)劃形成文件；

13、TPM形成文件化的目標(biāo)，如：OEE/MTBF/MTTR;

14、返工和返修必須有作業(yè)指導(dǎo)書(shū)，F(xiàn)MEA的分析；

15、不合格品報(bào)廢前，確保其喪失物理上的使用價(jià)值；

16、控制計(jì)劃必須結(jié)合FMEA更新；

17、審核前須按照IATF16949標(biāo)準(zhǔn)要求，進(jìn)行一次完整的內(nèi)審和管理評(píng)審；不過(guò)，在進(jìn)行轉(zhuǎn)換審核時(shí)，該要求也可以通過(guò)以前已進(jìn)行的按照ISO/TS 16949:2009要求的內(nèi)審和管理評(píng)審與針對(duì)IATF 16949:2016新增要求的補(bǔ)充內(nèi)審和管理評(píng)審相結(jié)合來(lái)實(shí)現(xiàn)；

18、轉(zhuǎn)版審核須提供按新版運(yùn)行的至少3個(gè)月的績(jī)效指標(biāo)。即不需要根據(jù)IATF 16949的新流程收集12個(gè)月的數(shù)據(jù)。

19、根據(jù)轉(zhuǎn)換指導(dǎo)文件規(guī)定：組織不能同時(shí)進(jìn)行針對(duì)IATF 16949的轉(zhuǎn)移（transfer）審核和轉(zhuǎn)換（transition）審核。如果組織持有有效的ISO/TS 16949:2009證書(shū)，根據(jù)轉(zhuǎn)換指導(dǎo)文件規(guī)定：禁止任何其它認(rèn)證機(jī)構(gòu)接受該組織作為新的客戶。20、不允許認(rèn)證機(jī)構(gòu)在開(kāi)始轉(zhuǎn)換審核之前進(jìn)行預(yù)審核（也不允許認(rèn)證機(jī)構(gòu)在開(kāi)始轉(zhuǎn)換審核之前進(jìn)行差距分析）。不過(guò)，在開(kāi)始審核前，認(rèn)證機(jī)構(gòu)可以提供少半天的現(xiàn)場(chǎng)額外審核人天，以收集并評(píng)審遺漏的審核策劃信息（具體參閱IATF相關(guān)轉(zhuǎn)換審核要求）。

1)顧客特殊要求和體系關(guān)聯(lián)矩陣必須建立，顧客特殊要求不是技術(shù)和圖紙要求；發(fā)出汽車客戶產(chǎn)品調(diào)查問(wèn)卷，識(shí)別客戶要求及特殊要求，制定客戶要求清單及客戶特殊要求矩陣（對(duì)應(yīng)過(guò)程）。

2)制定全廠的過(guò)程識(shí)別一覽表，明確各個(gè)過(guò)程的目標(biāo)（含效率與有效性）；識(shí)別過(guò)程風(fēng)險(xiǎn)和機(jī)遇，建立風(fēng)險(xiǎn)和機(jī)遇管理表（規(guī)避、降低、保留風(fēng)險(xiǎn)，利用機(jī)遇）。

3)將全公司所有的KPI目標(biāo)放在經(jīng)營(yíng)計(jì)劃內(nèi)，目標(biāo)應(yīng)有計(jì)算公式、計(jì)劃達(dá)成的時(shí)間。4)產(chǎn)品安全（4.4.1.2）滿足13項(xiàng)要求，產(chǎn)品安全13項(xiàng)要求：

1、組織對(duì)產(chǎn)品安全法律法規(guī)要求的識(shí)別；

2、向顧客通知1）項(xiàng)中的要求；

3、設(shè)計(jì)FMEA的特殊批準(zhǔn)；

4、產(chǎn)品安全相關(guān)特性的識(shí)別；

5、產(chǎn)品及制造時(shí)安全相關(guān)特性的識(shí)別與控制；

6、控制計(jì)劃和過(guò)程FMEA的特殊批準(zhǔn)；

7、反應(yīng)計(jì)劃；

8、包括最高管理者在內(nèi)的，明確的職責(zé)，升級(jí)過(guò)程和信息流的定義，以及顧客通知；

9、組織或顧客為產(chǎn)品安全有關(guān)的產(chǎn)品和相關(guān)過(guò)程中涉及的人員培訓(xùn)；

10、整個(gè)供應(yīng)鏈中產(chǎn)品安全要求轉(zhuǎn)移，包括顧客指定的貨源；

11、整個(gè)供應(yīng)鏈中制造批次（至少）的產(chǎn)品可追溯性；

12、為新產(chǎn)品導(dǎo)入的經(jīng)驗(yàn)教訓(xùn)。5)員工舉報(bào)電話必須建立，郵箱不接受。

6)應(yīng)急計(jì)劃含常發(fā)的自然災(zāi)害，最高管理者每年評(píng)審。

7)風(fēng)險(xiǎn)分析不能按部門(mén)來(lái)做，必須按照過(guò)程，按照事件分析，風(fēng)險(xiǎn)需建立等級(jí)，制定與方措施。

風(fēng)險(xiǎn)分析：至少包含從產(chǎn)品召回、產(chǎn)品審核、使用現(xiàn)場(chǎng)的退貨和修理、投訴、報(bào)廢及返工中吸取的經(jīng)驗(yàn)教訓(xùn)，保留文件化信息，作為風(fēng)險(xiǎn)分析結(jié)果的證據(jù)。8)基礎(chǔ)設(shè)施評(píng)價(jià)，須體現(xiàn)精益原則。

9)內(nèi)部實(shí)驗(yàn)室，必須形成范圍清單、標(biāo)準(zhǔn)清單和實(shí)驗(yàn)設(shè)備清單。

10)內(nèi)審員能力滿足5項(xiàng)要求，包括培訓(xùn)老師資格（IATF授權(quán)機(jī)構(gòu)的培訓(xùn)合格證明）必須保留。內(nèi)審員5項(xiàng)要求（7.2.3）：

1、了解汽車審核過(guò)程方法，包括風(fēng)險(xiǎn)思維；

2、了解適用的顧客特定要求；

3、了解ISO9001和IATF165949中適用的與審核范圍有關(guān)的要求；

4、了解與審核范圍有關(guān)的適用的核心工具；

5、了解如何計(jì)劃審核、實(shí)施審核、報(bào)告審核以及關(guān)閉審核發(fā)現(xiàn)。11)SQE除滿足內(nèi)審員5項(xiàng)要求，還需滿足FMEA和CP能力要求。

12)記錄保存：生產(chǎn)件批準(zhǔn)文件、工裝記錄（包括維護(hù)和所有權(quán)）、產(chǎn)品和過(guò)程記錄、采購(gòu)訂單（如適用）或者合同和修正，保存時(shí)間為產(chǎn)品在現(xiàn)行生產(chǎn)和服務(wù)中要求有效期，再加一個(gè)日歷年。13)軟件開(kāi)發(fā)應(yīng)有質(zhì)量保證過(guò)程，并納入內(nèi)審方案。14)供應(yīng)商必須爬坡提升，審核計(jì)劃形成文件。

15)TPM（全面生產(chǎn)維護(hù)）形成文件劃目標(biāo)，如OEE（全局設(shè)備效率）、MTBF（平均故障間隔時(shí)間）、MTTR（平均維修時(shí)間）以及預(yù)防性維護(hù)符合性指標(biāo)。維護(hù)目標(biāo)的績(jī)效要作為管審輸入。16)返工和返修必須有作業(yè)指導(dǎo)書(shū)，F(xiàn)MEA的分析。17)不合格品報(bào)廢前，確保其喪失物理上的使用價(jià)值。

18)控制計(jì)劃必須結(jié)合FMEA更新。對(duì)控制計(jì)劃中的特殊特性應(yīng)進(jìn)行SPC分析，并形成CPK、PPK值；控制計(jì)劃所提的儀器一定要有對(duì)應(yīng)的MSA。

19)審核前須按照IATF16949標(biāo)準(zhǔn)要求，進(jìn)行一次完整的內(nèi)審和管理評(píng)審；內(nèi)審要兼顧顧客特殊要求審核，顧客關(guān)鍵績(jī)效指標(biāo)、及班次交接的審核。制造過(guò)程審核應(yīng)包括對(duì)過(guò)程風(fēng)險(xiǎn)分析（如PFMEA）、控制計(jì)劃和相關(guān)文件有效執(zhí)行的審核。過(guò)程審核應(yīng)涵蓋所有發(fā)生的班次，包括適當(dāng)?shù)慕唤影喑闃?20)轉(zhuǎn)版審核必須提供新版運(yùn)行的至少3個(gè)月的績(jī)效指標(biāo)。

21)風(fēng)險(xiǎn)緩解是IATF16949焦點(diǎn)所在，最大程度降低新項(xiàng)目開(kāi)發(fā)期間實(shí)現(xiàn)的可能性，實(shí)現(xiàn)策劃活動(dòng)的可能性。旨在通過(guò)識(shí)別并緩解風(fēng)險(xiǎn)，使業(yè)務(wù)更安全和穩(wěn)定。

22)顧客計(jì)分卡專人負(fù)責(zé)：顧客記分卡就相當(dāng)于客戶事項(xiàng)履歷表，不過(guò)主要記錄的是客戶的不滿意信息。顧客索賠的相關(guān)單據(jù)、顧客投訴/退貨的處理、客戶滿意度調(diào)查結(jié)果等相關(guān)內(nèi)容。IATF16949管理評(píng)審中要求最高管理者對(duì)顧客積分卡進(jìn)行評(píng)審，目的是為了盡量從顧客反饋回來(lái)的問(wèn)題，來(lái)幫助公司進(jìn)行改進(jìn)提高。

23)形成供應(yīng)商的開(kāi)發(fā)計(jì)劃，開(kāi)發(fā)的最終目標(biāo)是所有的供應(yīng)商均通IATF16949認(rèn)證，開(kāi)發(fā)的第一步是所有的供應(yīng)商均應(yīng)通過(guò)ISO9001認(rèn)證。

24)必須對(duì)供應(yīng)商進(jìn)行如下數(shù)據(jù)的分析（IQC合格率、準(zhǔn)時(shí)交付率、額外運(yùn)費(fèi)的統(tǒng)計(jì)）。

25)建立完善的客戶投訴、退貨等反饋系統(tǒng)，并形成一覽表，所有反饋應(yīng)以CAR的形式反映至各相關(guān)部門(mén)。26)制訂返工返修作業(yè)指導(dǎo)書(shū)，并將其掛在現(xiàn)場(chǎng)。

第二篇：IATF期末復(fù)習(xí)總結(jié)

DNS—Domain Name Servers 域名服務(wù)Computer Emergency Response Team(CERT)計(jì)算機(jī)應(yīng)急響應(yīng)小組The Department of Defense(DoD)國(guó)防部

The IATF is based on the concept of an information infrastructure.An information infrastructure comprises communications networks, computers, databases, management, applications, and consumer electronics and can exist at the global, national, or local level.The global information infrastructure is not controlled or owned by a single organization—“ownership” is distributed among corporate, academic, and government entities as well as by individuals.The Internet is an example of a global information infrastructure as is the global telecommunications network.Most organizations that communicate externally rely upon this global system in conducting their operations using a combination of global, virtual networks, dedicated networks, Wide Area Networks(WAN), and customized information systems.IATF 建立在信息基礎(chǔ)設(shè)施的概念上。信息基礎(chǔ)設(shè)施包括通訊網(wǎng)絡(luò)、計(jì)算機(jī)、數(shù)據(jù)庫(kù)、管理、應(yīng)用和消耗性電子器件。它可以建立在全球、國(guó)家或本地的級(jí)別上。全球信息基礎(chǔ)設(shè)施不受某個(gè)機(jī)構(gòu)的控制或歸其所有。它的“所有權(quán)”分布于公司、院校、政府機(jī)構(gòu)以及個(gè)人。Internet 就是一個(gè)全球信息基礎(chǔ)設(shè)施。也是全球通訊網(wǎng)絡(luò)。大多數(shù)對(duì)外聯(lián)絡(luò)通信的機(jī)構(gòu)都依靠這個(gè)全球系統(tǒng)利用全球、虛擬網(wǎng)絡(luò)、專用網(wǎng)、寬帶網(wǎng)絡(luò)（WAN）所定義的信息系統(tǒng)相結(jié)合來(lái)處理他們的商業(yè)。

To accomplish their various missions and to protect their critical functions, all organizations—both government and private sector—have public and private information they need to safeguard.The mission or business environment determines how, and to what extent, specific information is protected.What is publicly releasable to one organization may be private to another, and vice versa.The Federal Government uses specific categories for some of its private information under the heading of “classified information.”In general, the government recognizes four classification levels: unclassified, confidential, secret, and top secret.Within the classification levels, there may be subcategories specific to individual communities.Three of the classification categories—confidential, secret, and top secret—address private information.The fourth level of classification covers both private information(such as sensitive or Privacy Act Information)and public information.為完成各種任務(wù)和保護(hù)關(guān)鍵功能，包括政府部門(mén)與專有機(jī)構(gòu)在內(nèi)的所有機(jī)構(gòu)都有其需要保護(hù)的公共和秘密信息。任務(wù)或商業(yè)環(huán)境決定了保護(hù)具體信息的方式與程度。被允許以公開(kāi)方式發(fā)送給某個(gè)機(jī)構(gòu)的信息對(duì)另一個(gè)機(jī)構(gòu)而言可能具有保密性，反之亦然。聯(lián)邦政府以“帶密級(jí)的信息”為標(biāo)題依據(jù)其專用分類標(biāo)準(zhǔn)規(guī)定了一些聯(lián)邦政府專用信息的密級(jí)。一般地，這些密級(jí)按照秘密程度由低到高的次序分為以下4 種：無(wú)密級(jí)、保密、機(jī)密與絕密。在各級(jí)別中可能有用于特定團(tuán)體的子級(jí)別。保密、機(jī)密與絕密這三個(gè)密級(jí)均指的是秘密信息，另一密級(jí)則包括一些專有信息（如：敏感信息或隱私法案所規(guī)定的信息）和一些公共信息。

Local Computing Environments.；Enclave Boundaries(around the local computing environments).；Networks and Infrastructures.；Supporting Infrastructures.本地的計(jì)算環(huán)境； 區(qū)域邊界（本地計(jì)算環(huán)境的外緣）； 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施； 支持性基礎(chǔ)設(shè)施。

The local user computing environment typically contains servers, clients, and the applications installed on them.Applications include, but are not limited to, those that provide services such as scheduling or time management, printing, word processing, or directories.局域用戶計(jì)算環(huán)境如圖1-4 所示。它包括服務(wù)器、客戶以及其上所安裝的應(yīng)用程序。這些應(yīng)用程序能夠提供包括（但不僅限于）調(diào)度（或時(shí)間管理）、打印、字處理或目錄在內(nèi)的一些服務(wù)。

A collection of local computing devices interconnected via Local Area Networks(LAN), governed by a single security policy, regardless of physical location is considered an “enclave.”As discussed above, because security policies are unique to the type, or level, of information being processed, a single physical facility may have more than one enclave present.Local and remote elements that access resources within an enclave must satisfy the policy of that enclave.A single enclave may span a number of geographically separate locations with connectivity via commercially purchased point-to-point communications(e.g., T-1, T-3, Integrated Services Digital Network [ISDN])along with WAN connectivity such as the Internet.“區(qū)域”指的是通過(guò)局域網(wǎng)相互連接、采用單一安全策略并且不考慮物理位置的本地計(jì)算設(shè)備的集合。如上所述，由于安全策略獨(dú)立于所處理信息類型或級(jí)別。單一物理設(shè)備可能位于不同的區(qū)域之內(nèi)。本地和遠(yuǎn)程元素在訪問(wèn)某個(gè)區(qū)域內(nèi)的資源時(shí)必須滿足該區(qū)域的安全策略要求。

The two areas addressed in the IATF are key management infrastructure(KMI), which includes Public Key Infrastructures(PKI), and detect and respond infrastructures.IATF 所討論的兩個(gè)范圍分別是：密鑰管理基礎(chǔ)設(shè)施（KMI），其中包括公鑰基礎(chǔ)設(shè)施（PKI）；檢測(cè)與響應(yīng)基礎(chǔ)設(shè)施。

The Department of Defense(DoD)has led the way in defining a strategy called Defense-in-Depth, to achieve an effective IA posture.The underlying principles of this strategy are applicable to any information system or network, regardless of organization.Essentially, organizations address IA needs with people executing operations supported by technology.Defense-in-Depth and the IATF：

Information infrastructures are complicated systems with multiple points of vulnerability.To address this, the IATF has adopted the use of multiple IA technology solutions within the fundamental principle of the Defense-in-Depth strategy, that is, using layers of IA technology solutions to establish an adequate IA posture.Thus, if one protection mechanism is successfully penetrated, others behind it offer additional protection.Adopting a strategy of layered protections does not imply that IA mechanisms are needed at every possible point in the network architecture.By implementing appropriate levels of protection in key areas, an effective set of safeguards can be tailored according to each organization’s unique needs.Further, a layered strategy permits application of lower-assurance solutions when appropriate, which may be lower in cost.This approach permits the judicious application of higher-assurance solutions at critical areas,(e.g., network boundaries).Defense in Multiple Places.Given that adversaries can attack a target from multiple points using insiders or outsiders, an organization must deploy protection mechanisms at multiple locations to resist all methods of attack.多處設(shè)防—假定對(duì)手可以通過(guò)內(nèi)部人員和外部人員從多點(diǎn)向目標(biāo)攻擊，組織必須在多點(diǎn)布置保護(hù)機(jī)制以便對(duì)抗所有的攻擊方法。

Information Systems Security Engineering(ISSE)is the art and science of discovering users’ information protection needs and then designing and making information systems, with economy and elegance, so they can safely resist the forces to which they may be subjected.This chapter describes an ISSE process for discovering and addressing users’ information protection needs.The ISSE process should be an integral part of systems engineering(SE)and should support certification and accreditation(C&A)processes, such as the Department of Defense(DoD)Information Technology Security Certification and Accreditation Process(DITSCAP).The ISSE process provides the basis for the background information, technology assessments, and guidance contained in the remainder of the Information Assurance Technical Framework(IATF)document and ensures that security solutions are effective and efficient.信息系統(tǒng)安全工程（ISSE）是發(fā)掘用戶信息保護(hù)需求，然后以經(jīng)濟(jì)、精確和簡(jiǎn)明的方法來(lái)設(shè)計(jì)和制造信息系統(tǒng)的一門(mén)技巧和科學(xué)，這些需求可能安全地抵抗所遭受的各種攻擊。本章描述發(fā)掘和闡明用戶信息保護(hù)需求的ISSE 過(guò)程。ISSE 過(guò)程是系統(tǒng)工程（SE）的一個(gè)主要部分并且支持諸如國(guó)防部信息技術(shù)安全認(rèn)證和認(rèn)可過(guò)程（DITSCAP）那樣的認(rèn)證和認(rèn)可（C&A）過(guò)程。ISSE 提供包含在信息保障技術(shù)框架（IATF）文擋的剩余部分中的背景信息、技術(shù)評(píng)估以及指南的基礎(chǔ)。同時(shí)保證安全解決方案是有效的和效率高的。

Potential Adversaries：Malicious：Nation States、Hackers、Terrorists/ Cyberterrorists、Organized Crime、Other Criminal Elements、International Press、Industrial Competitors、Disgruntled Employees、Nonmalicious：Careless or Poorly Trained Employees

From an information system standpoint, these motivations can express themselves in three basic goals: access to information, modification or destruction of information or system processes, or denial of access to information.從信息系統(tǒng)方面看，這些動(dòng)機(jī)具有三個(gè)基本目標(biāo)：存取信息、修改或破壞信息或系統(tǒng)處理和拒絕訪問(wèn)信息。

Classes of Attack：Passive Attacks、Active Attacks、Close-In Attacks、Insider Attacks、Distribution Attacks

攻擊分類：被動(dòng)攻擊、主動(dòng)攻擊、臨近攻擊、內(nèi)部人員攻擊、分發(fā)攻擊

The IATF guidance incorporates five primary security services areas: access control, confidentiality, integrity, availability, and nonrepudiation.The division of network security principles into standard security service categories is convenient for this description.The categories presented below roughly coincide with the “basic security services” identified in the 1990 Recommendation X.800, “Security Architecture for Open Systems Interconnection for Consultative Committee for International Telephone and Telegraph(CCITT)Applications”(which is technically aligned with International Organization for Standardization [ISO] 7498-2, “Information Processing Systems Open Systems Interconnection, Basic Reference Model,” Part 2: Security Architecture), and more recently, the ISO/International Engineering Consortium(IEC)10181 series, Parts 1-7.IATF 包括五種主要安全服務(wù)：訪問(wèn)控制、保密性、完整性、可用性和不可否認(rèn)性。將網(wǎng)絡(luò)安全原則分為標(biāo)準(zhǔn)的安全服務(wù)便于這部分的描述。下面提出的分類大致遵循“基本安全服務(wù)”，定義在1990 年建議書(shū)x.800、“為開(kāi)放系統(tǒng)互聯(lián)、國(guó)際電話和電報(bào)咨詢委員會(huì)制定的安全體系結(jié)構(gòu)”、以及最近的國(guó)際標(biāo)準(zhǔn)化組織（ISO）/國(guó)際工程協(xié)會(huì)（iec）1018 集，1-7 部分。

Access Control

In the context of network security, access control means limiting access to networked resources(hardware and software)and data(stored and communicated).The goal of access control is to prevent the unauthorized use of these resources and the unauthorized disclosure or modification of data.Access control also includes resource control, for example, preventing logon to local workstation equipment or limiting use of dial-in modems.For the purposes of this discussion, network access control is not concerned with denying physical access(e.g., via locked rooms or tamperproof equipment).訪問(wèn)控制

在網(wǎng)絡(luò)安全環(huán)境中，訪問(wèn)控制意味著限制對(duì)網(wǎng)絡(luò)資源（軟件和硬件）和數(shù)據(jù)（存儲(chǔ)的和通信的）的訪問(wèn)。訪問(wèn)控制的目標(biāo)是阻止未授權(quán)使用資源和未授權(quán)公開(kāi)或修改數(shù)據(jù)。訪問(wèn)控制還包括“資源控制”，例如，阻止登陸到本地工作站或限制使用撥入調(diào)制解調(diào)器。為便于討論，網(wǎng)絡(luò)訪問(wèn)控制不涉及拒絕物理訪問(wèn)（如給房間加鎖和給設(shè)備加上防損設(shè)施）。訪問(wèn)控制運(yùn)用于基于身份（identity）和／或授權(quán)（authorization）的實(shí)體。身份可能代表一個(gè)真實(shí)用戶、具有自身身份的一次處理（如進(jìn)行遠(yuǎn)程訪問(wèn)連接的一段程序）或者由單一身份代表的一組用戶（如給予規(guī)則的訪問(wèn)控制）。

I&A.Establishing the identities of entities with some level of assurance(an authenticated identity).Authorization.Determining the access rights of an entity, also with some level of assurance.Decision.Comparing the rights(authorization)of an authenticated identity with the characteristics of a requested action to determine whether the request should be granted.Enforcement.Enforcement may involve a single decision to grant or deny or may entail periodic or continuous enforcement functions(continuous authentication).識(shí)別與認(rèn)證（I&A）：建立帶有一定保障級(jí)別的實(shí)體身份（認(rèn)證的身份）；

授權(quán)：決定實(shí)體的訪問(wèn)權(quán)，也帶有一定保障級(jí)別；

決策：將一個(gè)認(rèn)證身份的權(quán)利（授權(quán)）同請(qǐng)示行為的特征相比較，目的是確定請(qǐng)求是否應(yīng)被批準(zhǔn)；

執(zhí)行：執(zhí)行包括對(duì)批準(zhǔn)、拒絕或需要階段/連續(xù)執(zhí)行功能（連續(xù)認(rèn)證）的決策。

Confidentiality

The confidentiality security service is defined as preventing unauthorized disclosure of data(both stored and communicated).This definition is similar to, and actually a subset of, the description of access control in Section 4.3.1.In fact, it can be argued that providing access control also provides confidentiality, or conversely, that providing confidentiality is a type of access control.We include in the definition of “information,” data that is not traditional user data(examples are network management data, routing tables, password files, and IP addresses on data packets).Confidentiality services will prevent disclosure of data in storage, transiting a local network, or flowing over a public Internet.One subset of confidentiality is “anonymity,” a service that prevents disclosure of information that leads to the identification of the end user.保密性

保密性安全服務(wù)被定義為防止數(shù)據(jù)（包括存儲(chǔ)的和通信中的）的未授權(quán)公開(kāi)。此定義與4.3.1 節(jié)對(duì)訪問(wèn)控制的描述類似（實(shí)際上是訪問(wèn)控制的子集）。實(shí)際上可以認(rèn)為訪問(wèn)控制可提供保密生；或反過(guò)來(lái)，認(rèn)為保密性是訪問(wèn)控制的一種類型。我們包含在“信息”定義之中的數(shù)據(jù)，并非傳統(tǒng)意義上的用戶數(shù)據(jù)一（如網(wǎng)絡(luò)管理數(shù)據(jù)、路由表口令文件、數(shù)據(jù)包的IP 地址）。保密性服務(wù)防止數(shù)據(jù)在存儲(chǔ)、局域網(wǎng)中傳輸和流經(jīng)公共互連網(wǎng)時(shí)泄露。匿名是保密性的一個(gè)子集，匿名服務(wù)防止因消息泄露而導(dǎo)致端用戶身份被識(shí)別。

The provision of the confidentiality security service depends on a number of variables:Location(s)of the Data that Needs Protection.、Type of Data that Needs Protection、Amounts or Parts of User Data that Need Protection.、Value of Data that Needs Protection.、Data Protection.、Data Separation.、Traffic Flow Protection.對(duì)提供保密性安全服務(wù)的要求取決下面幾個(gè)變化因素：需保護(hù)數(shù)據(jù)的位置、需保護(hù)數(shù)據(jù)的類型、需保護(hù)的用戶數(shù)據(jù)的不同數(shù)量或部分、需保護(hù)數(shù)據(jù)的價(jià)值、數(shù)據(jù)保護(hù)、數(shù)據(jù)隔離、通信流保護(hù)

Integrity

The integrity security service includes the following methods: prevention of unauthorized modification of data(both stored and communicated), detection and notification of unauthorized modification of data, and recording of all changes to data.Modification of both stored and communicated data may include changes, insertions, deletions, or duplications.Additional potential modifications that may result when data is exposed to communications channels include sequence changes and replay.完整性

完整性安全服務(wù)包括下列的一種或多種：防止未授權(quán)修改數(shù)據(jù)（存儲(chǔ)的和傳輸?shù)模?；檢測(cè)和通知未授權(quán)數(shù)據(jù)修改并將所有數(shù)據(jù)更改記入日志。對(duì)存儲(chǔ)的和傳輸中的數(shù)據(jù)進(jìn)行的修改包括變動(dòng)、插入、刪除、復(fù)制等。另一種潛在的修改可能在數(shù)據(jù)進(jìn)入傳輸信道時(shí)發(fā)生，包括序列號(hào)改變和重置。

CryptoAPI.The Microsoft Cryptographic API provides services that enable application developers to add cryptography to their Win32 applications.Applications can use the functions in CryptoAPI without knowing anything about the underlying implementation, in much the same way that an application can use a graphics library without knowing anything about the particular graphics hardware configuration.加密API 微軟件包加密API 可提供服務(wù)，使應(yīng)用開(kāi)發(fā)商為他們的win32 應(yīng)用程序加密。應(yīng)用程序可以在不知道任何底層實(shí)施的情形下，使用加密API 中的功能。同樣，應(yīng)用程序可以在不知道任何特殊圖形硬件配置情況下，使用圖形庫(kù)。

File Encryptors.These provide confidentiality and integrity for individual files, provide a means of authenticating a file’s source, and allow the exchange of encrypted files between computers.File encryptors typically implement a graphical user interface(GUI)that allows users to choose files to be encrypted or decrypted.This protects individual files but does not protect all of the files on the drive.文件加密器 它為個(gè)體文件提供保密性和完整性，提供識(shí)別文件源的方法，允許加密文件在計(jì)算機(jī)之間交換。文件加密器代表性的應(yīng)用是實(shí)現(xiàn)圖形用戶接口GUI，GUI允許用戶選擇文件被加密或解密。文件加密器保護(hù)單個(gè)文件，但不能保護(hù)驅(qū)動(dòng)器中的所有文件。

Intrusion and Penetration Detection.Intrusion detection and response systems can protect either a network or individual client platforms.Effective intrusion detection systems detect both insider and outsider attacks.In general, intrusion detection systems are intended to protect against and respond to situations in which the available countermeasures have been penetrated, either through allowed usage or the exploitation of vulnerabilities that are unknown or have not been patched.The objective of these systems is to detect malicious and unintended data and actions(e.g., altered data, malicious executables, requests that permit unintended resource access, and unintended use of intended services).Once the intrusion is detected, an appropriate response is initiated(e.g., disconnect attacker;notify operator;respond automatically to halt or lessen the attack;trace attack to proper source;and counter the attack, if appropriate).Intrusion detection mechanisms operating at the transport layer can view the contents of transport packets(e.g., TCP packets)and are able to detect more sophisticated attacks than are mechanisms that operate at the network layer.Intrusion detection mechanisms operating at the network layer can view the contents of network packets(e.g., IP packets)and are thus only able to detect attacks that are manifested at the network layer(e.g., port scans).入侵和滲透檢測(cè) 入侵檢測(cè)和響應(yīng)系統(tǒng)能夠保護(hù)網(wǎng)絡(luò)和個(gè)體客戶平臺(tái)。有效的入侵檢測(cè)系統(tǒng)可以同時(shí)檢測(cè)內(nèi)部和外部威脅。通常，入侵檢測(cè)系統(tǒng)試圖避免有用對(duì)策被滲透（以及對(duì)滲透做出反應(yīng)）。這種保護(hù)和反應(yīng)或者通過(guò)許可使用，或者通過(guò)開(kāi)拓未知的或未被修補(bǔ)的缺陷來(lái)實(shí)現(xiàn)。這些系統(tǒng)的目的是檢測(cè)惡意和非預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許非預(yù)期資源訪問(wèn)的請(qǐng)求和非預(yù)期使用服務(wù)）。一旦入侵被檢測(cè)到，會(huì)引發(fā)某種響應(yīng)（如斷開(kāi)攻擊者連接、通知操作員、自動(dòng)停止或減輕攻擊、跟蹤攻擊來(lái)源或適當(dāng)?shù)胤垂簦?。運(yùn)行在傳輸層的入侵檢測(cè)機(jī)制可以瀏覽傳輸包的內(nèi)容（如TCP 包），并且比運(yùn)行在網(wǎng)絡(luò)層的檢測(cè)機(jī)制能檢測(cè)到更老練的攻擊。運(yùn)行在網(wǎng)絡(luò)層的入侵檢測(cè)機(jī)制能夠?yàn)g覽網(wǎng)絡(luò)包的內(nèi)容（如IP 包），它只能偵聽(tīng)出現(xiàn)在網(wǎng)絡(luò)層的攻擊（如端口掃描）。

Internet Protocol Security(IPSec).IPSec is the security framework standardized by the IETF as the primary network layer protection mechanism.IPSec consists of two parts: an authentication header(AH), whose purpose is to bind the data content of IP frames to the identity of the originator, and an encapsulating security payload(ESP), for privacy.The AH is intended for use when integrity of information is required but privacy is not.ESP is intended for use where data confidentiality is required.ESP defines two methods(or modes)of encapsulating information.Tunnel mode, when used at an enclave boundary, aggregates traffic flow from site to site and thereby hides end-system identification.Transport mode leaves end-system identification in

the clear and is most advantageous when implemented at the end system.IPSEC Ipsec 是被IETF 標(biāo)準(zhǔn)化為主要網(wǎng)絡(luò)層保護(hù)機(jī)制的安全框架。Ipsec 由兩部分組成：一個(gè)認(rèn)證頭AH，其目的是將IP 包中的數(shù)據(jù)內(nèi)容同發(fā)送方身份以及私有封裝安全有效載荷（ESP）相綁定。當(dāng)要求消息的完整性而不需要私用性時(shí)，可以使用AH。當(dāng)要求數(shù)據(jù)的保密性時(shí)也可以使用ESP。ESP 定義了兩種封裝消息的方法（或模式）。用在區(qū)域邊界的隧道模式，它聚合點(diǎn)到點(diǎn)的通信流從而隱藏端系統(tǒng)識(shí)別。傳輸模式不會(huì)阻礙端系統(tǒng)識(shí)別，在端系統(tǒng)實(shí)施時(shí)最有優(yōu)勢(shì)。

Internet Key Exchange(IKE)Protocol.IKE was developed by the IETF as a standard for security attribute negotiation in an IP network.It provides a framework for creating security associations between endpoints on an IP network, as well as the methodology to complete the key exchange.IKE is based upon the Internet Security Association Key Management Protocol(ISAKMP)with Oakley extensions.The structure of ISAKMP is sufficiently flexible and extensible to allow inclusion of future security mechanisms and their associated algorithms and can be tailored to other networking technologies.互聯(lián)網(wǎng)密鑰交換協(xié)議（IKE）IKE 是IP 網(wǎng)絡(luò)中作為安全屬性協(xié)商的標(biāo)準(zhǔn)而由IETF開(kāi)發(fā)的。它為IP 網(wǎng)絡(luò)中端系統(tǒng)之間產(chǎn)生安全聯(lián)盟提供一個(gè)框架，同時(shí)也為完成密鑰交換提供一套方法。IKE 是基于OAKLEY 擴(kuò)展的互聯(lián)網(wǎng)安全聯(lián)合協(xié)會(huì)密碼管理協(xié)議（ISAKMP）的。ISAKMP 的結(jié)構(gòu)非常靈活，可加以擴(kuò)展以允許包含未來(lái)的安全機(jī)制及其相關(guān)算法，同時(shí)，ISAKMP 還可用于其它連網(wǎng)技術(shù)。

Media Encryptors.Media encryptors protect the confidentiality and integrity of the contents of data storage media.They can also perform a role in maintaining the integrity of the workstation by verifying the Basic Input/Output System(BIOS)and ensuring that configuration and program files are not modified.Media encryptors need to leave some system files unencrypted so that the computer can boot from the hard drive.Most of these files can have their integrity protected by a cryptographic checksum;this will not prevent a tamper attack but will alert the user that the data has been altered.However, some system files contain data that changes when the computer is booted;these files cannot be protected.With the exception of some system files, media encryptors encrypt the entire contents of the drive.介質(zhì)加密器 媒體加密器保護(hù)數(shù)據(jù)存儲(chǔ)介質(zhì)內(nèi)容的保密性和完整性。通過(guò)校驗(yàn)基本輸出輸入系統(tǒng)（BIOS）和確保配置和程序文件不被修改，媒體加密器可起到維護(hù)工作站完整性的作用。媒體加密器允許一些系統(tǒng)文件不被加密，以便計(jì)算機(jī)能從硬盤(pán)引導(dǎo)。

SSL.SSL exists just above the transport layer and provides security independent of application protocol, although its initial implementation was meant to secure the Hypertext Transfer Protocol(HTTP).This effort has migrated to the IETF as the Transport Layer Security(TLS)protocol, which provides data encryption, server authentication, message integrity, and optional client authentication for a TCP/IP connection.TLS negotiates the invocation of cryptographic algorithms(from a fixed set)and protects all application layer data.SSL—SSL 恰好位于傳輸層之上，雖然其最初實(shí)施是為了保護(hù)超文本傳輸協(xié)議（HTTP），SSL 卻可提供獨(dú)立于應(yīng)用協(xié)議的安全性。IETF 將這種努力（提供獨(dú)立于應(yīng)用協(xié)議的安全性）實(shí)現(xiàn)為傳輸層安全協(xié)議（TLS）。TLS 協(xié)議提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性和為T(mén)CP/IP 連接提供可選客戶認(rèn)證。它協(xié)商加密算法（從固定的組中）的調(diào)用，保護(hù)所有應(yīng)用層數(shù)據(jù)。

Trusted Computing Base(TCB).A trusted computer system is a system that employs sufficient hardware and software assurance measures to allow its use for simultaneous processing of a range of sensitive or classified information.Such a system is often achieved by employing a TCB.A TCB is the totality of protection mechanisms within a computer system, including hardware, firmware, and software, the combination of which is responsible for enforcing a security policy.A TCB consists of one or more components that together enforce a unified security policy across a product or system.The TCB’s ability to correctly enforce a unified security policy depends solely on the mechanisms within the TCB and on system administration personnel’s correct input of parameters(e.g., a user’s clearance level)related to the security policy.可信計(jì)算基TCB（Trusted Computing Base）一被信賴的計(jì)算機(jī)系統(tǒng)使用足夠的硬件和軟件保障手段以允許同時(shí)處理一批敏感或秘密信息。這樣的系統(tǒng)通?？赏ㄟ^(guò)實(shí)施TCB 來(lái)實(shí)現(xiàn)。TCB 是計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)機(jī)制的全體，包括硬件、固件和軟件，這些組件結(jié)合起來(lái)共同負(fù)責(zé)增強(qiáng)安全策略。TCB 由一個(gè)或多個(gè)組件構(gòu)成。它們共同增強(qiáng)產(chǎn)品或系統(tǒng)的統(tǒng)一安全策略。TCB 正確增強(qiáng)統(tǒng)一策略的能力僅依賴于TCB 內(nèi)部機(jī)制，以及系統(tǒng)管理員對(duì)安全策略相關(guān)參數(shù)（如一個(gè)用戶的許可級(jí)別）的正確輸入。

Virus Detectors.Virus detectors can be used to protect a network or an individual client.A virus can be considered a special form of intrusion involving the classic Trojan horse attack with the ability to reproduce and spread.The virus is normally considered to be limited to the authorizations of the user who is executing the code, but viruses may also exploit flaws in the network that allow them to cause a serious privilege state harm.病毒檢測(cè)器—病毒檢測(cè)器可用來(lái)保護(hù)網(wǎng)絡(luò)或個(gè)人客戶。病毒可被看成具有復(fù)制和傳播能力的特殊形式的攻擊，包括傳統(tǒng)特洛伊木馬攻擊。通常認(rèn)為病毒會(huì)被限制在用戶（正在執(zhí)行代碼的用戶）認(rèn)證的范圍之內(nèi)。但是，病毒也可以開(kāi)拓網(wǎng)絡(luò)中的缺陷，從而允許自身產(chǎn)生更嚴(yán)重的權(quán)限狀態(tài)損害。

第三篇：合同審核注意事項(xiàng)

合同審核注意事項(xiàng)

1、編制合同文本

編制合同文本是指根據(jù)雙方協(xié)商的結(jié)果及相關(guān)資料起草合同文本的過(guò)程。只有采用非標(biāo)準(zhǔn)樣本的合同需要編制合同文本。

工作內(nèi)容：

①、收集相關(guān)信息：在編制非標(biāo)準(zhǔn)合同文本之前，公司辦理業(yè)務(wù)的相關(guān)人員必須收集相關(guān)信息，包括業(yè)務(wù)協(xié)商的結(jié)果、公司以前的合同樣本、類似合同的標(biāo)準(zhǔn)樣本等，作為起草合同文本的基礎(chǔ)，同時(shí)將相關(guān)資料作為合同附件。

②、制定合同框架：根據(jù)合同的價(jià)格條款、交易方式等條件，同一類型的合同也具有不同的框架體系，因此，在起草非標(biāo)準(zhǔn)合同文本之前，必須先確定合同的框架體系，根據(jù)價(jià)格條款、交易方式確定應(yīng)包括的合同類型。

③、起草合同文本：對(duì)于合同框架中的非標(biāo)準(zhǔn)合同，合同文本的起草必須遵循《中華人民共和國(guó)民法通則》及《中華人民共和國(guó)合同法》等相關(guān)法律、法規(guī)的規(guī)定，保證條款的合法性、嚴(yán)密性和可行性。對(duì)于關(guān)鍵條款，如數(shù)量條款、質(zhì)量條款、價(jià)格條款、付款方式、付款時(shí)間、違約條款等，必須向公司的法律顧問(wèn)咨詢，保證用詞準(zhǔn)確，沒(méi)有歧義，同時(shí)還必須對(duì)合同的盈虧狀況進(jìn)行預(yù)測(cè)。

合同應(yīng)做到內(nèi)容合法、條款齊全、文字清楚、表述規(guī)范、權(quán)利義務(wù)和違約責(zé)任明確、期限和數(shù)字準(zhǔn)確。應(yīng)包括：

A、合同名稱。

B、甲乙方名稱及地址、經(jīng)辦人聯(lián)系電話。

C、甲乙方法人代表或其合法代理人簽字、公司公章或合同專用章。

D、合同簽訂日期。

E、標(biāo)的、內(nèi)容。

F、數(shù)量、質(zhì)量。

G、價(jià)款或酬金、工程項(xiàng)目計(jì)價(jià)方法、工程項(xiàng)目款支付方式。

H、履約方式、地點(diǎn)、費(fèi)用的承擔(dān)。

I、違約責(zé)任，甲乙方權(quán)利和義務(wù)。

J、生效、實(shí)效條件。

K、爭(zhēng)議解決的方法。

L、合同的份數(shù)及附件。

M、保密條款。

N、業(yè)務(wù)人員作為合同主辦人填寫(xiě)《合同審批單》、合同摘要并附合同文本、合同業(yè)務(wù)單位營(yíng)業(yè)執(zhí)照和相關(guān)資質(zhì)復(fù)印件加蓋公章、法定代理人授權(quán)委托書(shū)原件及盈虧預(yù)測(cè)等相關(guān)附件。按權(quán)限審核報(bào)批。

O、合同審批原則上應(yīng)按順序依次執(zhí)行，遇特殊情況下可臨時(shí)調(diào)整次序，但必須征得次序變動(dòng)影響的下一會(huì)簽人的同意。

2、審核業(yè)務(wù)風(fēng)險(xiǎn)

審核業(yè)務(wù)風(fēng)險(xiǎn)主要是評(píng)價(jià)合同的業(yè)務(wù)前景、業(yè)務(wù)利潤(rùn)和回款風(fēng)險(xiǎn)。

工作內(nèi)容：

①、評(píng)價(jià)業(yè)務(wù)前景：公司（子公司）的部門(mén)主管（負(fù)責(zé)人）在拿到業(yè)務(wù)員編制的合同文本后，首先需要對(duì)業(yè)務(wù)的發(fā)展前景進(jìn)行評(píng)估。對(duì)于有發(fā)展?jié)摿Φ臉I(yè)務(wù)，可以考慮適當(dāng)增加優(yōu)惠條款，以維護(hù)雙方的長(zhǎng)期合作關(guān)系；對(duì)于臨時(shí)性和沒(méi)有發(fā)展?jié)摿Φ臉I(yè)務(wù)，必須對(duì)其它業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行嚴(yán)格審核，并提出修改建議。

②、評(píng)價(jià)業(yè)務(wù)利潤(rùn)：在確定了業(yè)務(wù)的發(fā)展前景之后，部門(mén)主管（負(fù)責(zé)人）需要根據(jù)業(yè)務(wù)發(fā)展前景來(lái)確定合同的利潤(rùn)水平，同時(shí)將合同的盈虧預(yù)測(cè)與相應(yīng)的利潤(rùn)水平作對(duì)比。如滿足利潤(rùn)要求，則簽字同意，否則提出修改建議。

③、評(píng)價(jià)風(fēng)險(xiǎn)控制措施：在合同滿足了業(yè)務(wù)發(fā)展需求和利潤(rùn)要求之后，還必須對(duì)合同中的風(fēng)險(xiǎn)控制措施進(jìn)行評(píng)估，檢查合同條款是否對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)采取了恰當(dāng)?shù)囊?guī)避措施。如果規(guī)避措施得當(dāng)，則簽字同意，否則提出修改建議。

3、審核法律風(fēng)險(xiǎn)

審核法律風(fēng)險(xiǎn)是對(duì)合同的合法性、嚴(yán)密性、可行性進(jìn)行審核。這項(xiàng)工作由公司的法律顧問(wèn)全面負(fù)責(zé)。

工作內(nèi)容：

①、審核合法性

A． 當(dāng)事人有無(wú)簽訂、履行該合同的權(quán)利能力和行為能力；

B． 合同內(nèi)容是否符合國(guó)家相關(guān)法律、法規(guī)和政策的規(guī)定；

C． 當(dāng)事人的意思表達(dá)是否真實(shí)、一致，權(quán)利、義務(wù)是否平等；

D． 訂約程序是否符合法律規(guī)定。

②、審核嚴(yán)密性

A．合同應(yīng)具備的條款是否齊全；

B． 當(dāng)事人雙方的權(quán)利、義務(wù)是否具體、明確；

C． 文字表述是否確切無(wú)誤。

③、審核可行性

A．當(dāng)事人雙方特別是對(duì)方是否具備履行合同的能力、條件；

B． 預(yù)計(jì)取得的經(jīng)濟(jì)效益和可能承擔(dān)的風(fēng)險(xiǎn)；

C． 合同非正常履行時(shí)可能受到的經(jīng)濟(jì)損失。

④、修改合同文本

公司的法律顧問(wèn)對(duì)合同文本提出修改建議后，相關(guān)業(yè)務(wù)人員必須嚴(yán)格依據(jù)修改意見(jiàn)對(duì)合同文本進(jìn)行修改，保證合同的合法性、嚴(yán)密性和可行性。

4、審核財(cái)務(wù)風(fēng)險(xiǎn)

審核財(cái)務(wù)風(fēng)險(xiǎn)是評(píng)價(jià)合同的資金調(diào)撥、付款條件和財(cái)務(wù)費(fèi)用。

工作內(nèi)容：

①、評(píng)價(jià)付款條件：對(duì)于銷售合同，根據(jù)對(duì)方的信用等級(jí)評(píng)價(jià)合同的付款條件，可以有效的降低公司的財(cái)務(wù)風(fēng)險(xiǎn)；對(duì)于采購(gòu)合同，采用有利的付款條件，可以降低公司的資金成本，并提高公司的資金周轉(zhuǎn)率。因此，財(cái)務(wù)部門(mén)必須審核合同的付款條件，并提出審核意見(jiàn)。

②、評(píng)價(jià)合同的資金調(diào)撥：公司的財(cái)務(wù)部門(mén)需要根據(jù)公司的資金狀況對(duì)合同的資金調(diào)撥提出建議，使合同執(zhí)行中資金的流入、流出滿足公司整體的資金計(jì)劃安排。

③、評(píng)價(jià)合同的贏利性：以貸款方式支付合同貨款或其它費(fèi)用時(shí)，必須考慮資金成本，從財(cái)務(wù)角度對(duì)合同的贏利性進(jìn)行預(yù)測(cè)。因此，財(cái)務(wù)部門(mén)必須在考慮了財(cái)務(wù)費(fèi)用的基礎(chǔ)上，對(duì)合同的盈虧進(jìn)行預(yù)測(cè)，從財(cái)務(wù)角度提出合同贏利性的意見(jiàn)。

5、審批

審批是指公司領(lǐng)導(dǎo)對(duì)合同做出最后的決策。

1）、工作內(nèi)容：公司領(lǐng)導(dǎo)在業(yè)務(wù)風(fēng)險(xiǎn)評(píng)價(jià)表和財(cái)務(wù)風(fēng)險(xiǎn)評(píng)價(jià)表的基礎(chǔ)上，根據(jù)對(duì)業(yè)務(wù)特點(diǎn)及公司資金狀況的了解，對(duì)合同的業(yè)務(wù)風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)做出綜合評(píng)價(jià)。若同意部門(mén)主管（負(fù)責(zé)人）對(duì)業(yè)務(wù)風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)的評(píng)價(jià)，則簽字認(rèn)可，否則提出審批意見(jiàn)。

第四篇：合同審核注意事項(xiàng)

合同審核注意事項(xiàng)

1、主體是否合法，是否具有相應(yīng)的主體資格。具體應(yīng)該包括：對(duì)方是否具有相應(yīng)的資質(zhì)（兩萬(wàn)元以上應(yīng)具備法人資格）、是否具有履約能力、社會(huì)信譽(yù)狀況等。

2、合同內(nèi)容不得違反國(guó)家的法律禁止性規(guī)定。

3、合同條款是否完備、明確。合同條款中應(yīng)對(duì)合同的標(biāo)的、數(shù)量、質(zhì)量、價(jià)款、履約期限、履約方式、交付地點(diǎn)等都應(yīng)該加以約定，且約定應(yīng)盡可能地清晰、完整，決不能含混不清或者模棱兩可。

4、對(duì)有可能出現(xiàn)的違約情況要加以考慮，規(guī)定相應(yīng)的違約責(zé)任（包括合同的解除）。

對(duì)我方可能出現(xiàn)的違約要規(guī)定相對(duì)較輕的違約責(zé)任；對(duì)對(duì)方條款的審查，則恰恰相反。

5、應(yīng)約定爭(zhēng)議管轄權(quán)條款。盡量將約定由我方所在地人民法院管轄。不能達(dá)成一致的，則應(yīng)約定雙方所在地人民法院都有管轄權(quán)。

6、明確合同簽訂地。盡量將合同簽訂地約定在我方所在地或作為 最后一方簽字，以取得我方公安機(jī)關(guān)對(duì)涉嫌犯罪案件的管轄權(quán)。

7、對(duì)方的簽約人是否具備相應(yīng)的權(quán)限，即是否是企業(yè)的法定代表人或者由企業(yè)授權(quán)的經(jīng)辦人。應(yīng)該要求簽約人出示相應(yīng)的證明文件，并仔細(xì)核查證明文件。

8、簽章應(yīng)包括對(duì)方單位的公章以及授權(quán)代表的簽字。如果對(duì)方公章為法人的分支機(jī)構(gòu)公章或內(nèi)設(shè)機(jī)構(gòu)，還應(yīng)要求其提供所屬法人機(jī)構(gòu)的授權(quán)書(shū)。對(duì)方為自然人的，簽章應(yīng)由本人簽字并加摁手印。所有的印章和簽字都應(yīng)清晰完整。

9、合同落款處應(yīng)有簽訂的具體時(shí)間。簽約人簽字時(shí)也應(yīng)留下具體的時(shí)間。

10、合同附件應(yīng)與主合同相一致。

11、合同訂立之后如要變更，應(yīng)采取書(shū)面形式。

12、所有合同主體名稱必須同合同專用章一致。

13、所有合同都必須加注頁(yè)碼。

14、重要合同要加蓋騎縫章。

第五篇：畢業(yè)證書(shū)審核注意事項(xiàng)

畢業(yè)證書(shū)審核注意事項(xiàng)：

1、2013屆畢業(yè)生證書(shū)審核前請(qǐng)往學(xué)籍群共享下載“中等職業(yè)學(xué)校畢業(yè)生驗(yàn)印單”；請(qǐng)務(wù)必在畢業(yè)生驗(yàn)印單上蓋上“學(xué)校公章”及“學(xué)校法人代表簽字章”（與畢業(yè)證書(shū)上的章一致），打印一式兩份，驗(yàn)印時(shí)交給職成處。

2、新補(bǔ)的畢業(yè)生花名冊(cè)上找一處空白的地方蓋上學(xué)校法人代表簽字章（與畢業(yè)證書(shū)上面的章一致），同時(shí)還要注意學(xué)校公章也要蓋。

3、高中后學(xué)分制畢業(yè)證書(shū)，請(qǐng)?jiān)趯I(yè)名稱后面加上“（高中后）”字樣。

4、中心打印好畢業(yè)生花名冊(cè)，學(xué)校應(yīng)自行復(fù)印一份，原件職成處收回。