2011年12月19日 星期一

ISO證書!?

今天要跟大家分享我在ISO證書上對架構的認知

一般在正常的證書上,至少會有兩個不同的標誌(logo)。一個屬於驗證機構(Certification Body),另一個則屬於申請認證國別之認證委員會(Accreditation Body)。
例如:認證機構(Accreditation Body)→澳洲/紐西蘭JAS-ANZ、加拿大SSC、美國RAB/ANAB、法國COFRAC、英國U-KAS、大陸CAB、台灣全國認證基金會TAF、荷蘭的RvA、德國的DAR、挪威的NorAcc
驗證機構(Certification Body)→
台灣科技檢驗(股)有限公司 SGS
法國標準會/艾法諾驗證機構 AFNOR
英國標準協會 BSI
優力國際驗證機構 UL
台灣德國萊因技術(股)有限公司 TUV Rheinland
漢德技術服務(股)公司 TUV Nord
衛理驗證公司 BV
立恩威國際驗證機構 DNV
凱瑞克國際驗證機構 QA
經濟部標準檢驗局 (公家)

知名度來看,U-KAS是大宗,COFRAC是近年來的新寵,在國內主要因Afnor的推廣,不過Cofrac和U-Kas都是ISO創始國 所以效力都一樣,差別在U-KAS比較知名(拜英國曾經強勢之賜!?)。至於TAF因為有些例如正字標記的認證、或政府標案會指定TAF核發的證書,所以TAF在台灣也屬於主要的認證機構。
無庸置疑的,市面上有一大部分的驗證公司是國際性的,不過多數是屬於民間機構,經濟部標準檢驗局則是例外(公家)。
例如台灣TUV Rheinland就是由德國TUV Rheinland來台開設的分公司;QA在多年前在台灣還是代理商,近年來已轉變為分公司型態。差別在哪?
本地的驗證公司代理國外驗證公司,因國外驗證公司已取得認證公司之認證委員會認可,
所以用獲得代理的方式,得到擔任該發證機構之驗證組織的代理權。
不過,譬如說很多大陸驗證代理商的稽核員品質良莠不齊,所以大陸當地驗證代理商之代理權被收回的新聞時有所聞,這會導致該驗證公司稽核後所推薦核發的證書,會失去其效力。
因此國外知名驗證機構為了保持驗證品質,都會用分公司的型態來台灣或大陸成立稽核機構。
驗證機構好壞?例如:

德國外商有些就會指定要求由TUV (TUV也分三種)驗證通過獲得證書的供應商

Why? TUV驗證的準則和稽核員都很嚴謹 通過的難度也大為提高

在這種情況下 認證(發證)單位不管是U-KAS or Cofrac 對這些德國外商來說就不重要了

經過德國本地的驗證公司TUV的驗證機核下獲得推薦取得證書的公司,會比較受這些德國外商青睞。


故! 目前ISO證書 特別是9001 關注的不會是發證機構

看的會是驗證機構


以往能夠買到證書,也是因為當地一些代理驗證公司,可以自行打報告,送往國外後發證,不過日後就會面臨,當代理權被收回,證書就失其效力的風險;甚至在證書上刻意不標註發證機構的LOGO,用以規避發證機構的查核。

證書也是有其學問的! >_O

2011年12月12日 星期一

2011年12月8日 星期四

TPIPAS 台灣個人資料保護與管理制度

TPIPAS是什麼? TPIPAS全名為:Taiwan Personal Information Protection & Administration,台灣個人資料保護與管理制度規範!此規範是以「PDCA方法論」所建立將個人資料保護與公司營運連結的管理系統。目的是希望藉由個人資料保護管理系統的建立,提升公司對於個人資料之保護與管理能力,以降低營運風險,確保公司之可信賴的個人資料保護與隱私環境。

TPIPAS制度規範 VS PDCA方法論


以往個資保護,會根據個資保護上的需要,參考APEC亞洲太平洋經濟合作會議(Asia-Pacific Economic Cooperation)或OECD世界經濟合作開發組織(Economic Cooperation and Development )的隱私權鋼領,建立公司個人資料保護機制,以宣告公司符合該區域組織對個資保護上的要求。

BS 10012:2009為英國BSI開發之個人資料管理系統,係依該國個資法相關規定及資安要求加以規劃。我國新版個資法已於民國99年公告,TPIPAS:2011係針對我國新版個資法,參考國外做法所推動的隱私權管理保護制度。未來為因應新版個資法,政府預計規劃推動我國的隱私權保護標章,相對應的管理制度規範-TPIPAS,也應運而生。未來貴格小弟再分享新版個資法及TPIPAS後續的發展喔!