2011年12月19日 星期一

ISO證書!?

今天要跟大家分享我在ISO證書上對架構的認知

一般在正常的證書上,至少會有兩個不同的標誌(logo)。一個屬於驗證機構(Certification Body),另一個則屬於申請認證國別之認證委員會(Accreditation Body)。
例如:認證機構(Accreditation Body)→澳洲/紐西蘭JAS-ANZ、加拿大SSC、美國RAB/ANAB、法國COFRAC、英國U-KAS、大陸CAB、台灣全國認證基金會TAF、荷蘭的RvA、德國的DAR、挪威的NorAcc
驗證機構(Certification Body)→
台灣科技檢驗(股)有限公司 SGS
法國標準會/艾法諾驗證機構 AFNOR
英國標準協會 BSI
優力國際驗證機構 UL
台灣德國萊因技術(股)有限公司 TUV Rheinland
漢德技術服務(股)公司 TUV Nord
衛理驗證公司 BV
立恩威國際驗證機構 DNV
凱瑞克國際驗證機構 QA
經濟部標準檢驗局 (公家)

知名度來看,U-KAS是大宗,COFRAC是近年來的新寵,在國內主要因Afnor的推廣,不過Cofrac和U-Kas都是ISO創始國 所以效力都一樣,差別在U-KAS比較知名(拜英國曾經強勢之賜!?)。至於TAF因為有些例如正字標記的認證、或政府標案會指定TAF核發的證書,所以TAF在台灣也屬於主要的認證機構。
無庸置疑的,市面上有一大部分的驗證公司是國際性的,不過多數是屬於民間機構,經濟部標準檢驗局則是例外(公家)。
例如台灣TUV Rheinland就是由德國TUV Rheinland來台開設的分公司;QA在多年前在台灣還是代理商,近年來已轉變為分公司型態。差別在哪?
本地的驗證公司代理國外驗證公司,因國外驗證公司已取得認證公司之認證委員會認可,
所以用獲得代理的方式,得到擔任該發證機構之驗證組織的代理權。
不過,譬如說很多大陸驗證代理商的稽核員品質良莠不齊,所以大陸當地驗證代理商之代理權被收回的新聞時有所聞,這會導致該驗證公司稽核後所推薦核發的證書,會失去其效力。
因此國外知名驗證機構為了保持驗證品質,都會用分公司的型態來台灣或大陸成立稽核機構。
驗證機構好壞?例如:

德國外商有些就會指定要求由TUV (TUV也分三種)驗證通過獲得證書的供應商

Why? TUV驗證的準則和稽核員都很嚴謹 通過的難度也大為提高

在這種情況下 認證(發證)單位不管是U-KAS or Cofrac 對這些德國外商來說就不重要了

經過德國本地的驗證公司TUV的驗證機核下獲得推薦取得證書的公司,會比較受這些德國外商青睞。


故! 目前ISO證書 特別是9001 關注的不會是發證機構

看的會是驗證機構


以往能夠買到證書,也是因為當地一些代理驗證公司,可以自行打報告,送往國外後發證,不過日後就會面臨,當代理權被收回,證書就失其效力的風險;甚至在證書上刻意不標註發證機構的LOGO,用以規避發證機構的查核。

證書也是有其學問的! >_O

2011年12月12日 星期一

2011年12月8日 星期四

TPIPAS 台灣個人資料保護與管理制度

TPIPAS是什麼? TPIPAS全名為:Taiwan Personal Information Protection & Administration,台灣個人資料保護與管理制度規範!此規範是以「PDCA方法論」所建立將個人資料保護與公司營運連結的管理系統。目的是希望藉由個人資料保護管理系統的建立,提升公司對於個人資料之保護與管理能力,以降低營運風險,確保公司之可信賴的個人資料保護與隱私環境。

TPIPAS制度規範 VS PDCA方法論


以往個資保護,會根據個資保護上的需要,參考APEC亞洲太平洋經濟合作會議(Asia-Pacific Economic Cooperation)或OECD世界經濟合作開發組織(Economic Cooperation and Development )的隱私權鋼領,建立公司個人資料保護機制,以宣告公司符合該區域組織對個資保護上的要求。

BS 10012:2009為英國BSI開發之個人資料管理系統,係依該國個資法相關規定及資安要求加以規劃。我國新版個資法已於民國99年公告,TPIPAS:2011係針對我國新版個資法,參考國外做法所推動的隱私權管理保護制度。未來為因應新版個資法,政府預計規劃推動我國的隱私權保護標章,相對應的管理制度規範-TPIPAS,也應運而生。未來貴格小弟再分享新版個資法及TPIPAS後續的發展喔!

2011年11月20日 星期日

各系統間〝內部稽核〞的關係

  所有的管理系統,都強調內部稽核的重要,重點均放在:
1.決定某系統符合XX之要求
2.稽核方案的規劃
3.有效地實施與維持

  其實內部稽核對於相關品質/環境管理系統來說是共通的要求,以品質系統為例:ISO/TS 16949:2009
     《ISO/TS 16949:2009 品質管理系統-生產性與相關服務性汽車零組件之組織使用ISO 9001:2008 的特殊要求

ISO/TS 16949隨著ISO 9001版本改版:

ISO 9001:1994  →  ISO/TS 16949:1999
ISO 9001:2000  →  ISO/TS 16949:2002
ISO 9001:2008  →  ISO/TS 16949:2009


   ISO 9001:2008ISO/TS  16949(TS3)ISO 13485(醫療器材品質管理系統)IECQ QC 080000(有害物質HSF流程管理系統)等相關品質管理體系,條文8.2.2均談到內部稽核(品質系統架構通常依循ISO 9001系統架構)。
   ISO 14001:2004OHSA 18001(職業安全衛生管理系統) 等相關環境管理體系,條文4.5.5內部稽核(環境管理系統架構通常依循ISO 14001系統架構)

   改版補充:條文上ISO 9001:1994版→ISO 9001:2000版的變動較大,當時幾乎需要重新導入,不過自ISO 9001:2000版→ISO 9001:2008版,對品質系統的架構影響並不至於太大,一般可用轉換的模式進行改版。
   ISO 9001:2000轉換時程給予兩年的緩衝期(20101114日止),目前市面上宣稱通過ISO 9001:2000標準的廠商,實際上其ISO證書已失去其效力。
   改版最省錢的方式:派一人(通常是管理代表)外訓,只是該管理代表回廠後還需對內部人員訓練並留下紀錄且調整程序文件,通常在驗證時比較不會被驗證公司刁難。
   另一個方案是找顧問師到廠教育訓練,並於訓練後發予證書。視公司規模與輔導狀況,會需要顧問師提供改版的輔導服務
   改版重點:持續改善的條文內說明需證明改善的有效性。一般9001:2000版的條文不太重視這塊,但9001:2008以明確要求進去。若公司沒有完整上過類似課程,是很難了解條文要求,有可能被驗證公司的稽核員質疑的。

2011年11月14日 星期一

如何因應「個資法」帶來的衝擊?


 新版「個人資料保護法」預計今年或明年初公告施行細則。施行細則將決定企業該如何因應,以及企業被允許可蒐集與利用個資的特定目的等等,都會在施行細則中有具體的規範。目前得到最新的消息為新版個資法在民國101年可真正的上路。也就是說,企業針對個資的蒐集、處理及利用作業的管制與適法性,必須趕緊做準備。到底如何能滿足個資法的要求?要如何管制企業面臨的個資風險,在施行細則尚未正式上路前,目前還沒有明確的解答,但可以從以下的個資管理的流程找到一些方向。

個資管理現況了解
個資管理衝擊分析
個資管理制度建置
個資管理內部稽核
了解個資管理需求
建立個資管理基準
建立個資管理組織
分析業務活動資料熱點與關鍵環境

個資管理資訊科技環境分析
個資管理風險評鑑
評估個資管理風險與改善建議
建立個資管理政策與目標
個資關理必要程序
明定當事人權利主張及行使的程序
個資檔案管理監督程序
個資侵害應變及鑑識程序
個資蒐集、處理及利用管理程序
強化個資關理資訊環境
主管機關要求之個資管理標準
試行個資管控相關機制
個資侵害事故緊急應變計劃演練做頁
個資管理制度稽核作業
矯正與預防
執行管理審查

整個系統的建制,還需要「認知與教育訓練規劃與執行」、「專案溝通、管理及技術移轉」來輔以施行,如此更能深化企業對個資管理的作業,妥善保護個人資料以避免損害全體同仁、準員工、客戶及關係人等等之權利,促進個人資料之合法使用以降低公司風險。

個資管理有多樣的管制手法:資料呈現方式、動態密碼、自然人憑證、安全圖章、教育宣導、個資法令、金流交易安全(SSL..)、電子信箱惡意程式偵測等

下面分享一些在個資管理上的概念
  • 少作多錯, 多作少錯
  • 各單位依業務性質、作業流程,發展出適合該單位的個資管理機制
  • 個資安全機制有兩大關鍵:「個資盤點」和「作業風險評估」
  • 針對組織成員適當的認知與教育訓練規劃與執行不只是事件處理,是常態工作
  • 專案溝通、管理及技術移轉是個資安全管理的基礎