2011年11月20日 星期日

各系統間〝內部稽核〞的關係

  所有的管理系統,都強調內部稽核的重要,重點均放在:
1.決定某系統符合XX之要求
2.稽核方案的規劃
3.有效地實施與維持

  其實內部稽核對於相關品質/環境管理系統來說是共通的要求,以品質系統為例:ISO/TS 16949:2009
     《ISO/TS 16949:2009 品質管理系統-生產性與相關服務性汽車零組件之組織使用ISO 9001:2008 的特殊要求

ISO/TS 16949隨著ISO 9001版本改版:

ISO 9001:1994  →  ISO/TS 16949:1999
ISO 9001:2000  →  ISO/TS 16949:2002
ISO 9001:2008  →  ISO/TS 16949:2009


   ISO 9001:2008ISO/TS  16949(TS3)ISO 13485(醫療器材品質管理系統)IECQ QC 080000(有害物質HSF流程管理系統)等相關品質管理體系,條文8.2.2均談到內部稽核(品質系統架構通常依循ISO 9001系統架構)。
   ISO 14001:2004OHSA 18001(職業安全衛生管理系統) 等相關環境管理體系,條文4.5.5內部稽核(環境管理系統架構通常依循ISO 14001系統架構)

   改版補充:條文上ISO 9001:1994版→ISO 9001:2000版的變動較大,當時幾乎需要重新導入,不過自ISO 9001:2000版→ISO 9001:2008版,對品質系統的架構影響並不至於太大,一般可用轉換的模式進行改版。
   ISO 9001:2000轉換時程給予兩年的緩衝期(20101114日止),目前市面上宣稱通過ISO 9001:2000標準的廠商,實際上其ISO證書已失去其效力。
   改版最省錢的方式:派一人(通常是管理代表)外訓,只是該管理代表回廠後還需對內部人員訓練並留下紀錄且調整程序文件,通常在驗證時比較不會被驗證公司刁難。
   另一個方案是找顧問師到廠教育訓練,並於訓練後發予證書。視公司規模與輔導狀況,會需要顧問師提供改版的輔導服務
   改版重點:持續改善的條文內說明需證明改善的有效性。一般9001:2000版的條文不太重視這塊,但9001:2008以明確要求進去。若公司沒有完整上過類似課程,是很難了解條文要求,有可能被驗證公司的稽核員質疑的。

2011年11月14日 星期一

如何因應「個資法」帶來的衝擊?


 新版「個人資料保護法」預計今年或明年初公告施行細則。施行細則將決定企業該如何因應,以及企業被允許可蒐集與利用個資的特定目的等等,都會在施行細則中有具體的規範。目前得到最新的消息為新版個資法在民國101年可真正的上路。也就是說,企業針對個資的蒐集、處理及利用作業的管制與適法性,必須趕緊做準備。到底如何能滿足個資法的要求?要如何管制企業面臨的個資風險,在施行細則尚未正式上路前,目前還沒有明確的解答,但可以從以下的個資管理的流程找到一些方向。

個資管理現況了解
個資管理衝擊分析
個資管理制度建置
個資管理內部稽核
了解個資管理需求
建立個資管理基準
建立個資管理組織
分析業務活動資料熱點與關鍵環境

個資管理資訊科技環境分析
個資管理風險評鑑
評估個資管理風險與改善建議
建立個資管理政策與目標
個資關理必要程序
明定當事人權利主張及行使的程序
個資檔案管理監督程序
個資侵害應變及鑑識程序
個資蒐集、處理及利用管理程序
強化個資關理資訊環境
主管機關要求之個資管理標準
試行個資管控相關機制
個資侵害事故緊急應變計劃演練做頁
個資管理制度稽核作業
矯正與預防
執行管理審查

整個系統的建制,還需要「認知與教育訓練規劃與執行」、「專案溝通、管理及技術移轉」來輔以施行,如此更能深化企業對個資管理的作業,妥善保護個人資料以避免損害全體同仁、準員工、客戶及關係人等等之權利,促進個人資料之合法使用以降低公司風險。

個資管理有多樣的管制手法:資料呈現方式、動態密碼、自然人憑證、安全圖章、教育宣導、個資法令、金流交易安全(SSL..)、電子信箱惡意程式偵測等

下面分享一些在個資管理上的概念
  • 少作多錯, 多作少錯
  • 各單位依業務性質、作業流程,發展出適合該單位的個資管理機制
  • 個資安全機制有兩大關鍵:「個資盤點」和「作業風險評估」
  • 針對組織成員適當的認知與教育訓練規劃與執行不只是事件處理,是常態工作
  • 專案溝通、管理及技術移轉是個資安全管理的基礎