Day: February 6, 2023

ตรวจวัดตามมาตรฐาน ISO 9001 การตรวจสอบและการวัดผลมีความสำคัญเสมอในการ  จัดการระบบบริหารคุณภาพ ISO 9001:2015 (QMS) ข้อกำหนดเหล่านี้สำหรับการรวบรวมข้อมูลมีความสำคัญต่อการทำให้แน่ใจว่า QMS ของคุณเป็นไปตามข้อกำหนดที่คุณกำหนดไว้สำหรับกระบวนการของคุณ เช่นเดียวกับผลิตภัณฑ์และบริการของคุณ ในบทความนี้ เราจะพูดถึงการตัดสินใจตามหลักฐานใน ISO 9001 และการตรวจติดตามและการวัดผล ISO 9001:2015 คืออะไร การตัดสินใจตามหลักฐานใน ISO 9001 หมายความว่าอย่างไร การตัดสินใจตามหลักฐานใน ISO 9001 เป็นหนึ่งในหลักการสำคัญ 7 ประการที่เป็นพื้นฐานของมาตรฐาน QMS ในการจัดการ QMS ของคุณอย่างเหมาะสม คุณต้องพึ่งพาข้อมูลที่ดีมากกว่าการเดาว่าต้องทำอะไร แม้ว่าคุณจะไม่พบข้อกำหนดเฉพาะสำหรับการตัดสินใจตามหลักฐานตามข้อกำหนด ISO 9001 แต่คุณจะพบข้อกำหนดสำหรับการตรวจสอบผู้บริหารระดับสูงของระบบตามข้อมูล นี่คือสิ่งที่จำเป็นต้องมีการตรวจสอบและการวัดผล แอปพลิเคชันที่สำคัญที่สุดสำหรับข้อมูลที่ได้รับคือการใช้ผลลัพธ์จริงของกระบวนการและเปรียบเทียบกับผลลัพธ์ที่ต้องการซึ่งถูกกำหนดเป็นวัตถุประสงค์ด้านคุณภาพสำหรับกระบวนการนั้น เพื่อดูว่าการปรับปรุงดำเนินไปได้ดีเพียงใด จะเอาเรื่องนี้เป็นหลักต้องมีหลักฐานประกอบการตัดสินใจ ผลการเฝ้าติดตามและการวัดผลให้หลักฐานนี้แก่คุณ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับหลักการจัดการที่อยู่เบื้องหลังมาตรฐาน ISO 9001 โปรดดูบทความนี้:  หลักการจัดการคุณภาพเจ็ดประการที่อยู่เบื้องหลังข้อกำหนด ISO9001 เหตุใดจึงควรใช้การติดตามและการวัดผล อย่างที่คุณเห็น หากบริษัทของคุณพยายามทำการตัดสินใจตามหลักฐานที่ดีเพื่อปรับปรุงประสิทธิภาพและประสิทธิผล หลักฐานจะต้องมีความถูกต้องและเพียงพอที่จะประเมินกระบวนการหรือผลิตภัณฑ์ใด ๆ ที่กำลังได้รับการตรวจสอบ การประยุกต์ใช้การเฝ้าติดตามและการวัดผลทั่วทั้งระบบบริหารคุณภาพอย่างรอบคอบสามารถช่วยให้แน่ใจว่าหลักฐานที่ใช้ในการตัดสินใจตอบสนองความต้องการของผู้ที่ตัดสินใจได้ดีที่สุด กระบวนการของระบบการจัดการคุณภาพจำเป็นต้องได้รับการตรวจสอบและวัดผลหากเป็นไปได้ เพื่อให้มั่นใจว่าดำเนินการตามที่ออกแบบไว้ ซึ่งมาตรฐานเรียกว่า  การบรรลุผลตามที่วางแผนไว้. การทำให้มั่นใจว่ากระบวนการของคุณทำงานตามที่วางแผนไว้เป็นขั้นตอนแรกในการปรับปรุงกระบวนการ ซึ่งเป็นเป้าหมายของการมี QMS ดังนั้น สำหรับแต่ละกระบวนการ การเปรียบเทียบผลลัพธ์กับผลลัพธ์ที่คาดหวังซึ่งวางแผนไว้ตามวัตถุประสงค์ และการแก้ไขกระบวนการเมื่อผลลัพธ์ไม่เป็นไปตามความคาดหวัง […]

วิธีใช้ ISO 27001 ในอดีต การทำงานจากที่บ้านเป็นทางเลือกสำหรับฟรีแลนซ์และบริษัทที่ต้องการลดค่าใช้จ่ายในการดำเนินงานและปรับปรุงความสมดุลระหว่างชีวิตและการทำงานของพนักงาน แต่โควิด-19 ได้เปลี่ยนแปลงวิธีการทำงานของเรา และบังคับให้หลายบริษัทต้องปรับตัวอย่างรวดเร็วและสนับสนุนการทำงานจากระยะไกล พวกเขาต้องสร้างสภาพแวดล้อมการทำงานเสมือนจริงที่ช่วยให้การทำงานทางไกลมีประสิทธิผลและทำให้งานของพวกเขาปลอดภัย ในขณะเดียวกันก็ต้องรับมือกับความท้าทายด้านความปลอดภัยข้อมูลของการทำงานจากระยะไกล ด้วยความช่วยเหลือจากข้อกำหนดของ ISO 27001 สำหรับการจัดการความเสี่ยงด้านความปลอดภัยข้อมูล และการควบคุมความปลอดภัยของภาคผนวก A งานนี้จะซับซ้อนน้อยลงและช่วยให้คุณใช้ประโยชน์จากการทำงานระยะไกลได้อย่างเต็มที่โดยมีความเสี่ยงน้อยที่สุด การควบคุม ISO 27001 สำหรับการทำงานระยะไกล: A 6.2.1 – นโยบายเกี่ยวกับอุปกรณ์พกพา A 6.2.2 – การทำงานระยะไกล A 7.2.2 – ความตระหนักด้านความปลอดภัยของข้อมูล การศึกษา และการฝึกอบรม ความท้าทายด้านความปลอดภัยในการทำงานระยะไกล นอกจากประโยชน์มากมายแล้ว การทำงานจากระยะไกลยังมีความท้าทายและความเสี่ยงด้านความปลอดภัยของข้อมูลอีกด้วย ซึ่งรวมถึงการเข้าถึงโดยไม่ได้รับอนุญาต การละเมิดข้อมูลที่ละเอียดอ่อน และการแก้ไขหรือแม้แต่การทำลายข้อมูล เมื่อพิจารณาว่าพนักงานอยู่นอกสภาพแวดล้อมขององค์กร พวกเขาจะใช้อุปกรณ์เคลื่อนที่สำหรับการเข้าถึงระยะไกลจากเครือข่ายที่บ้านหรือสาธารณะ ซึ่งอาจไม่มีการควบคุมความปลอดภัยที่ดีที่สุด นโยบายด้านข้อมูลและการสื่อสารที่ไม่เพียงพอ รวมถึงการขาดขั้นตอนที่กำหนดไว้อย่างชัดเจน อาจทำให้เกิดฝันร้ายสำหรับบริษัทต่างๆ รวมถึงการสูญเสียทางการเงินและการไม่ปฏิบัติตามกฎระเบียบต่างๆ เช่น GDPR ของสหภาพยุโรป การควบคุมใดของมาตรฐาน ISO 27001 ที่พูดถึงการทำงานจากระยะไกล ระบบการจัดการความปลอดภัยของข้อมูลตาม ข้อกำหนดและการควบคุม ISO 27001ช่วยให้เราสามารถป้องกันความเสี่ยงด้านความปลอดภัยของข้อมูลเหล่านี้ได้ ISO 27001 […]

การบันทึกตามมาตรฐาน ISO 27001 เป็นเรื่องง่ายในเวลาที่ “สงบ” แต่เมื่อเกิดเหตุการณ์ด้านความปลอดภัยขึ้น – คุณต้องเริ่มจากที่ไหนสักแห่ง และคุณต้องเริ่มต้นด้วยการค้นหาว่าเกิดอะไรขึ้น ที่ไหน ใครเป็นต้นเหตุของเหตุการณ์ ฯลฯ ด้วยเหตุนี้จึงจำเป็นต้องมีบันทึก และคุณต้องตรวจสอบบันทึกเหล่านี้ – นี่คือสิ่งที่ควบคุม A.8.15 ในISO 27001 ปฏิบัติตามกฎหมายความปลอดภัยของข้อมูล การมีระบบที่ไม่มีบันทึกเหตุการณ์ถือเป็นข้อผิดพลาดร้ายแรง ซึ่งในบางกรณีอาจมีบทลงโทษสำหรับการละเมิดข้อบังคับทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยทั่วไปแล้ว ประเทศที่มีข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีการลงทะเบียนอย่างน้อยเพื่อระบุตัวผู้ใช้ที่เข้าถึงข้อมูลเหล่านั้น ดูบทความกฎหมายและข้อบังคับเกี่ยวกับความปลอดภัยของข้อมูลและความต่อเนื่องทางธุรกิจตามประเทศ  เพื่อช่วยให้คุณทำความคุ้นเคยกับข้อบังคับที่เกี่ยวข้องกับความปลอดภัยของข้อมูลที่บังคับใช้ในประเทศของคุณ แนวคิดง่ายๆ คือ หากเหตุการณ์หรือเหตุการณ์เกิดขึ้น เราต้องระบุให้ได้ว่าเกิดอะไรขึ้น เช่น เวลา/วันที่เกิดเหตุการณ์ ฯลฯ ผู้คนที่เกี่ยวข้อง ที่มาและสาเหตุ เป็นต้น ตัวอย่างเช่น จะทำอย่างไรเจ้าหน้าที่จะทำอย่างไรเมื่อมีการกระทำผิด? พวกเขาจับภาพบันทึกของกล้องวงจรปิด หรือพิจารณาการมีอยู่ของกล่องดำในเครื่องบิน เรือ และรถไฟ ป้องกันการทุจริตและเหตุการณ์อื่นๆ บันทึกเป็นบันทึกเกี่ยวกับการเข้าถึงระบบ เหตุการณ์ กิจกรรมของผู้ใช้ ฯลฯ ดังนั้นจึงเป็นเรื่องที่น่าสนใจที่จะตรวจสอบบันทึกเป็นประจำ ไม่ว่าจะมีเหตุการณ์เกิดขึ้นหรือไม่ก็ตาม เนื่องจากสามารถช่วยให้เราวิเคราะห์แนวโน้มหรือตรวจจับกิจกรรมการฉ้อโกงที่อาจเกิดขึ้นได้ก่อนที่เหตุการณ์สำคัญจะเกิดขึ้น ตัวอย่างเช่น หากมีความพยายามที่ล้มเหลวหลายครั้งในการเข้าถึงระบบที่สำคัญบางอย่าง (ซึ่งจะถูกบันทึกไว้ในไฟล์บันทึก) ขององค์กร อาจหมายความว่ามีคนพยายามเข้าถึงโดยไม่ได้รับอนุญาต หรือหากในบันทึกไฟร์วอลล์เราตรวจพบการเชื่อมต่อภายนอกที่พยายามเข้าถึงทรัพยากรบางอย่าง เราสามารถระบุสัญญาณของการพยายามโจมตีจากภายนอกที่เป็นไปได้ อย่างไรก็ตาม บทความนี้เกี่ยวกับเหตุการณ์ด้านความปลอดภัย  อาจน่าสนใจสำหรับคุณ: วิธีจัดการกับเหตุการณ์ตามมาตรฐาน ISO 27001 ท้ายที่สุดแล้ว ข้อมูลนี้มีประโยชน์ในการตรวจสอบระบบ กล่าวคือ เพื่อทราบว่าเกิดอะไรขึ้นหรือกำลังเกิดอะไรขึ้นในการทำงานของระบบสารสนเทศ […]

ISO ความปลอดภัยทางไซเบอร์ ไม่ต้องสงสัยเลยว่าบริษัทต่าง ๆ กำลังลงทุนเงินจำนวนมากในการรักษาความปลอดภัยทางไซเบอร์ในช่วงหลัง ๆ นี้ – แน่นอนว่าพวกเขากำลังลงทุน: ด้วยการละเมิดข้อมูลจำนวนมากและความคาดหวังจากลูกค้ารายสำคัญ สิ่งนี้จึงกลายเป็นสิ่งจำเป็นในการทำธุรกิจ อย่างไรก็ตาม การลงทุนด้านความปลอดภัยทางไซเบอร์ส่วนใหญ่มักเป็นค่าใช้จ่ายด้านไอทีเพียงอย่างเดียว ซึ่งมักมีค่าใช้จ่ายสูง โดยมีผลประโยชน์ทางธุรกิจเพียงเล็กน้อยหรือไม่มีเลย ดังนั้น ความปลอดภัยในโลกไซเบอร์จึงเป็นเพียงสิ่งที่จำเป็นอย่างหนึ่งที่ไม่มีใครชอบ หรือมันสามารถสร้างประโยชน์ให้กับธุรกิจได้มากขึ้นหรือไม่? ฉันกำลังเถียงว่าใช่ – ความปลอดภัยในโลกไซเบอร์สามารถช่วยให้บริษัทต่างๆ ประสบความสำเร็จได้มากกว่าสร้างต้นทุนเท่านั้น แต่ยังช่วยให้บริษัทต่างๆ บรรลุความได้เปรียบในการแข่งขันอย่างยั่งยืน เช่นเดียวกับที่ Apple ใช้เพื่อสร้างความแตกต่างจากคู่แข่งโดยให้ความสำคัญกับการปกป้อง ข้อมูลส่วนบุคคลของผู้ใช้อุปกรณ์มือถือและบริการคลาวด์ ความปลอดภัยทางไซเบอร์สามารถช่วยให้บริษัทต่างๆ เหนือกว่าคู่แข่งได้ด้วยการบรรลุเป้าหมายเชิงกลยุทธ์เฉพาะ 3 ประการ: การปกป้องความได้เปรียบทางการแข่งขันที่มีอยู่ สร้างความได้เปรียบทางการแข่งขันใหม่ผ่านการรักษาความปลอดภัยของผลิตภัณฑ์ ได้รับความไว้วางใจจากลูกค้าทั่วไป บริษัทส่วนใหญ่เชื่อมโยงความปลอดภัยทางไซเบอร์กับการปฏิบัติตามข้อกำหนด ในความเป็นจริง บริษัทส่วนใหญ่ที่ลงทุนในความปลอดภัยทางไซเบอร์ทำเช่นนั้นเนื่องจากการปฏิบัติตาม – พวกเขาต้องการปฏิบัติตาม ISO 27001, SOC 2, NIST Cybersecurity Framework, PCI DSS หรือมาตรฐานหรือข้อบังคับอื่นๆ พวกเขาทำเช่นนั้นเพราะพวกเขาต้องการบรรลุสิ่งต่อไปนี้: หาลูกค้าใหม่ – โดยการรับรอง เช่น ISO 27001 พวกเขาจะได้รับสัญญากับลูกค้าใหม่ที่ละเอียดอ่อนมากเกี่ยวกับการรักษาข้อมูลของตนให้ปลอดภัย […]

ISO 27001 การประเมินความเสี่ยง การบริหารความเสี่ยงคืออะไร และเหตุใดจึงสำคัญ การจัดการความเสี่ยงน่าจะเป็นส่วนที่ซับซ้อนที่สุดของการนำ ISO 27001 ไปปฏิบัติ; แต่ในขณะเดียวกัน ก็เป็นขั้นตอนที่สำคัญที่สุดในการเริ่มต้น โครงการรักษาความปลอดภัยข้อมูลของคุณ ซึ่งเป็นการวางรากฐานสำหรับการรักษาความปลอดภัยข้อมูลในบริษัทของคุณ การบริหารความเสี่ยงประกอบด้วยสององค์ประกอบหลัก: การประเมินความเสี่ยง (มักเรียกว่าการวิเคราะห์ความเสี่ยง) และการรักษาความเสี่ยง การประเมินความเสี่ยงและการรักษาคืออะไร และจุดประสงค์ของพวกเขาคืออะไร? การประเมินความเสี่ยงเป็นกระบวนการที่องค์กรควรระบุความเสี่ยงด้านความปลอดภัยข้อมูลและพิจารณาความเป็นไปได้และผลกระทบ องค์กรควรตระหนักถึงปัญหาที่อาจเกิดขึ้นกับข้อมูลของตน แนวโน้มที่จะเกิดขึ้น และผลที่ตามมาคืออะไร วัตถุประสงค์ของการจัดการความเสี่ยงคือการค้นหาว่าการควบคุมความปลอดภัยใด (เช่น การป้องกัน) ที่จำเป็นเพื่อหลีกเลี่ยงเหตุการณ์ที่อาจเกิดขึ้น การเลือกการควบคุมเรียกว่ากระบวนการบำบัดความเสี่ยง และใน ISO 27001 เลือกจากภาคผนวก A ซึ่งระบุ 93 การควบคุม ขั้นตอนหลักในการประเมินความเสี่ยงและการปฏิบัติตามมาตรฐาน ISO 27001: วิธีการบริหารความเสี่ยง การประเมินความเสี่ยง การรักษาความเสี่ยง รายงานการประเมินความเสี่ยงและการรักษา คำชี้แจงการบังคับใช้ แผนการรักษาความเสี่ยง การประเมินความเสี่ยงและการรักษา ISO 27001 – หกขั้นตอนหลัก แม้ว่าการจัดการความเสี่ยงใน ISO 27001 จะเป็นงานที่ซับซ้อน แต่ก็มักจะถูกทำให้เข้าใจผิดโดยไม่จำเป็น หกขั้นตอนพื้นฐานเหล่านี้จะช่วยให้คุณเข้าใจสิ่งที่คุณต้องทำ: 1) วิธีการประเมินความเสี่ยง […]

บล็อกความรู้สำหรับ ISO 27001 การจำแนกประเภทของข้อมูลเป็นส่วนที่น่าสนใจที่สุดอย่างหนึ่งของการจัดการความปลอดภัยของข้อมูล แต่ในขณะเดียวกันก็เป็นหนึ่งในส่วนที่เข้าใจผิดมากที่สุด อาจเป็นเพราะข้อเท็จจริงที่ว่าในอดีต การจำแนกประเภทข้อมูลเป็นองค์ประกอบแรกของการรักษาความปลอดภัยข้อมูลที่ได้รับการจัดการ นานก่อนที่จะมีการสร้างคอมพิวเตอร์เครื่องแรก รัฐบาล กองทัพ และองค์กรต่างๆ ก็ระบุว่าข้อมูลของตนเป็นความลับ อย่างไรก็ตาม กระบวนการทำงานยังคงเป็นเรื่องลึกลับ ดังนั้น ในบทความนี้ ผมจะอธิบายคร่าวๆ ว่าการจัดหมวดหมู่ข้อมูลทำงานอย่างไร และวิธีการทำให้สอดคล้องกับISO 27001ซึ่งเป็นมาตรฐานชั้นนำด้านการรักษาความปลอดภัยข้อมูล แม้ว่าการจัดประเภทสามารถทำได้ตามเกณฑ์อื่นๆ แต่ฉันกำลังจะพูดถึงการจัดประเภทในแง่ของการรักษาความลับ เนื่องจากเป็นการจัดประเภทข้อมูลที่พบได้บ่อยที่สุด กระบวนการสี่ขั้นตอนในการจำแนกข้อมูลตามมาตรฐาน ISO 27001: การป้อนสินทรัพย์ในสินค้าคงคลังของสินทรัพย์ การจำแนกประเภทของข้อมูล การติดฉลากข้อมูล การจัดการข้อมูล กระบวนการสี่ขั้นตอนในการจำแนกข้อมูล แนวปฏิบัติที่ดีในการจำแนกข้อมูลระบุว่าการจัดประเภทควรทำผ่านกระบวนการต่อไปนี้:   ซึ่งหมายความว่า: (1) ข้อมูลควรถูกป้อนใน Inventory of Assets (ควบคุม A.5.9 ของ ISO 27001), (2) ควรจัดประเภท (A.5.12), (3) จากนั้นควรติดป้ายกำกับ (A .5.13) และสุดท้าย (4) ควรจัดการด้วยวิธีที่ปลอดภัย (A.5.10) ในกรณีส่วนใหญ่ บริษัทต่างๆ […]

ฐานความรู้ ISO 27001 จะเป็นผู้ตรวจสอบมาตรฐาน ISO 27001 ได้อย่างไร หลายคนคิดว่าเพียงแค่เข้าร่วมหลักสูตรหัวหน้าผู้ตรวจประเมิน ISO 27001 พวกเขาจะกลายเป็นหัวหน้าผู้ตรวจประเมิน ISO 27001 แล้ว นี่ไม่เป็นความจริงทั้งหมด บทความนี้จะแสดงขั้นตอนที่คุณต้องทำหากคุณต้องการทำงานเป็นผู้ตรวจสอบบัญชีสำหรับหน่วยรับรอง หากคุณต้องการทำงานเป็นผู้ตรวจสอบภายใน คุณไม่จำเป็นต้องเรียนหลักสูตร Lead Auditor หรือสิ่งอื่นใดที่กล่าวถึงในที่นี้ คุณสามารถดำเนินการตรวจสอบภายในได้เพียงแค่พิสูจน์ว่าคุณมีประสบการณ์และความรู้เพียงพอ ขั้นตอนในการเป็นผู้ตรวจสอบมาตรฐาน ISO 27001 รับใบรับรองผู้ตรวจสอบบัญชีหลัก หาประสบการณ์ก่อน ค้นหาหน่วยรับรอง ผ่านการฝึกอบรม ได้รับประสบการณ์การตรวจสอบ การฝึกอบรมผู้ตรวจประเมิน ISO 27001 การฝึกอบรมผู้ตรวจสอบมีสองประเภท: การฝึกอบรมผู้ตรวจสอบภายในซึ่งเป็นโปรแกรม 2 วัน และการฝึกอบรมหัวหน้าผู้ตรวจสอบซึ่งเป็นโปรแกรม 5 วัน การฝึกอบรมผู้ตรวจประเมินทั้งสองประเภทอิงตามแนวคิด คำศัพท์ และแนวทางปฏิบัติของ ISO 19011:2018 แนวคิดเหล่านี้รวมถึงวิธีการวางแผนการตรวจสอบ เลือกทีมตรวจสอบ เริ่มต้นการตรวจสอบ และดำเนินการเปิดการประชุม การฝึกอบรมผู้ตรวจประเมิน ISO 27001ทั้งสองหัวข้อครอบคลุมหัวข้อ ISO 27001 โดยละเอียด เช่นเดียวกับวิธีดำเนินการตามกระบวนการตรวจประเมินทั้งหมด ตั้งแต่การวางแผนโปรแกรมการตรวจประเมินไปจนถึงการรายงานผลการตรวจประเมิน ดังนั้น ผู้เข้ารับการฝึกอบรมผู้ตรวจประเมิน ISO 27001 […]

ISO 27001 หมายถึงอะไร ISO 27001 เป็นมาตรฐานสากลชั้นนำที่เน้นเรื่องความปลอดภัยของข้อมูล เผยแพร่โดยองค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO)ร่วมกับ International Electrotechnical Commission (IEC) ทั้งสองแห่งเป็นองค์กรชั้นนำระดับนานาชาติที่พัฒนามาตรฐานสากล ISO 27001 เป็นส่วนหนึ่งของชุดมาตรฐานที่พัฒนาขึ้นเพื่อจัดการกับความปลอดภัยของข้อมูล: ชุด ISO/IEC 27000 ชื่อเต็มคือ “ISO/IEC 27001 – Information security, cybersecurity and Privacy protection — Information security management systems — Requirements” กรอบ ISO และวัตถุประสงค์ของ ISO 27001 กรอบ ISO เป็นการผสมผสานมาตรฐานต่างๆ เพื่อให้องค์กรนำไปใช้ ISO 27001 จัดทำกรอบการทำงานเพื่อช่วยองค์กรทุกขนาดหรือทุกอุตสาหกรรมในการปกป้องข้อมูลของตนอย่างเป็นระบบและประหยัดค่าใช้จ่าย โดยการนำระบบการจัดการความปลอดภัยของข้อมูล (ISMS)มาใช้ เหตุใด ISO 27001 จึงมีความสำคัญ มาตรฐานนี้ไม่เพียงแต่ให้ความรู้ที่จำเป็นแก่บริษัทในการปกป้องข้อมูลที่มีค่าที่สุดของบริษัทเท่านั้น แต่บริษัทยังสามารถได้รับการรับรองตามมาตรฐาน ISO 27001 […]

การแก้ไข ISO 27001 หากคุณเคยสงสัยว่าเอกสารใดบ้างที่จำเป็นในการปรับปรุงISO/IEC 27001 ในปี 2022 นี่คือรายการที่คุณต้องการ ด้านล่างนี้ คุณจะเห็นเอกสารบังคับพร้อมกับเอกสารที่ไม่บังคับที่ใช้บ่อยที่สุดสำหรับการใช้งาน ISO 27001 เอกสารบังคับ ISO 27001 ต่อไปนี้คือรายการที่คุณต้องจัดทำเอกสารหากคุณต้องการให้สอดคล้องกับ ISO 27001 และวิธีทั่วไปในการตั้งชื่อเอกสารเหล่านั้น: สิ่งที่ต้องทำเป็นเอกสาร เอกสารอ้างอิง ISO 27001 เอกสารมักจะผ่าน ขอบเขตของ ISMS ข้อ 4.3 เอกสารขอบเขต ISMS นโยบายความปลอดภัยของข้อมูล ข้อ 5.2 นโยบายความปลอดภัยของข้อมูล กระบวนการประเมินความเสี่ยงและการรักษาความเสี่ยง ข้อ 6.1.2 การประเมินความเสี่ยงและวิธีการรักษา คำชี้แจงการบังคับใช้ ข้อ 6.1.3 ง) คำชี้แจงการบังคับใช้ แผนการรักษาความเสี่ยง ข้อ 6.1.3 จ 6.2 และ 8.3 แผนการรักษาความเสี่ยง วัตถุประสงค์ด้านความปลอดภัยของข้อมูล ข้อ 6.2 รายการวัตถุประสงค์ด้านความปลอดภัย รายงานการประเมินความเสี่ยงและการรักษา ข้อ […]

ซอฟต์แวร์ออนไลน์ ISO 27001 การรักษาบุคลากรให้มีส่วนร่วมระหว่างการดำเนินโครงการ ISO 27001 อาจเป็นเรื่องยาก โดยเฉพาะอย่างยิ่งหากทั้งทีมเกี่ยวข้องกับการมอบหมายงานคู่ขนานกันและขาดทิศทางที่ชัดเจน ผู้จัดการโครงการอยู่คนเดียวเพื่อให้พวกเขามีส่วนร่วม กำหนดทิศทาง และสร้างความสมดุลกับความท้าทายอื่น ๆ ที่รู้จักในการปรับใช้ ISO 27001 ในเวลาเดียวกัน: การขาดความเข้าใจในขั้นตอนของโครงการและการจัดการชุดกฎ เอกสาร งาน และการสื่อสารจำนวนมาก พร้อมกับการตัดสินใจของฝ่ายบริหาร บ่อยครั้งเราไม่สามารถรักษาสมดุลนี้ไว้ได้ ดังนั้นผู้คนจึงเลิกสนใจและพลาดข้อมูลสำคัญ ทำให้เกิดความล่าช้าและความยุ่งยาก ในบทความนี้ คุณสามารถเรียนรู้วิธีบรรลุการมีส่วนร่วมของพนักงานในโครงการดำเนินการ ISO 27001 และรักษาความสมดุล วิธีดั้งเดิมในการมีส่วนร่วมกับผู้คนระหว่างการดำเนินโครงการ ISO 27001 และคงการมีส่วนร่วมผ่านการบำรุงรักษา ISO 27001 การทำให้ผู้คนมีส่วนร่วมผ่านอีเมล โทรศัพท์ และการประชุมแบบเห็นหน้ากันอาจได้ผลดีในอดีต เนื่องจากไม่มีทางเลือกอื่น ในฐานะที่เป็นสิ่งที่เหลืออยู่ของอดีต วิถีดั้งเดิมกำลังพิสูจน์แล้วว่าไม่เพียงพอที่จะตอบสนองต่อความท้าทายในยุคปัจจุบัน นี่คือเหตุผล: ข้อมูลที่เข้าไม่ถึง ข้อมูลและการสื่อสารกระจายไปทั่วกล่องจดหมายอีเมล หรือแสดงความคิดเห็นในเอกสาร ผู้จัดการโครงการจำเป็นต้องปะติดปะต่อข้อมูลเข้าด้วยกัน ทำให้เขากลายเป็นคอขวดหลักของโครงการ ขาดการจัดการงานและโครงการที่มีประสิทธิภาพ งานและการมอบหมายโครงการได้รับการจัดการผ่าน Excel และข้อมูลจะถูกส่งผ่านอีเมล ทำให้ผู้จัดการโครงการเข้าใจความคืบหน้าและตอบสนองได้ทันเวลาในกรณีที่มีปัญหาและการเปลี่ยนแปลงหลักสูตรเป็นเรื่องยากมาก ขาดระบบการจัดการเอกสาร นโยบายและกฎชุดใหญ่ได้รับการจัดการผ่านอีเมล ทำให้ชีวิตของผู้จัดการโครงการต้องลำบากในการพยายามรักษาเวอร์ชันทั้งหมด การสนทนา และขั้นตอนต่อไปให้สอดคล้องกัน ขาดระบบการแจ้งเตือน เพื่อให้ผู้คนอยู่ในวงอย่างมีประสิทธิภาพนั้นเป็นไปไม่ได้ เนื่องจากระบบการแจ้งเตือนเพียงระบบเดียวคือผู้จัดการโครงการและอีเมลที่เป็นมิตรของเขา “สะกิด” เพื่อเตือนผู้คนให้ทราบถึงความรับผิดชอบของพวกเขา เนื่องจากการไม่สามารถจัดการกับความท้าทายเหล่านี้โดยธรรมชาติ […]

เครื่องมือออนไลน์ ISO 27001 ยินดีด้วย! ในที่สุดคุณก็ได้รับการบายอินจากฝ่ายบริหารสำหรับการนำ ISO 27001 ไปใช้งานและดำเนินการวิเคราะห์ช่องว่าง ขั้นตอนต่อไปคือการเลือกทีมที่เหมาะสมเพื่อช่วยคุณพัฒนานโยบาย และขั้นตอนที่เหมาะสมเพื่อให้สอดคล้องกับมาตรฐาน เมื่อถึงจุดนี้ คุณจะสามารถอยู่เหนือการดำเนินโครงการได้ เนื่องจากคุณเป็นทีมคนเดียว อย่างไรก็ตาม เมื่อคุณดูปริมาณงานข้างหน้า เอกสารกองโต และงานจำนวนมาก การประชุม และการอภิปรายที่เกี่ยวข้องกับนโยบายและขั้นตอน โครงการจะซับซ้อนมากขึ้นเรื่อย ๆ และดูเหมือนว่าคุณจะต้องเป็น ซูเปอร์ฮีโร่เพื่อให้ทุกอย่างเสร็จทันเวลา ในบทความนี้ เราต้องการนำเสนอมุมมองที่เราซึ่งเป็น joe ทั่วไป สามารถช่วยให้การทำงานเป็นทีมพัฒนานโยบายและขั้นตอนของ ISO 27001 ได้อย่างง่ายดายเหมือนกับผู้จัดการโครงการ ISO 27001 ที่เชี่ยวชาญบางคน ข้อกำหนดในการพัฒนาทีมให้ประสบความสำเร็จ ผู้จัดการโครงการคาดหวังให้อยู่เหนือข้อกำหนดแต่ละข้อที่จำเป็นเพื่อให้สอดคล้องกับ ISO 27001 ในการทำเช่นนั้น ผู้จัดการโครงการควร: เลือกทีมที่เหมาะสม โดยปกติแล้ว ทีมควรประกอบด้วยบุคคลที่เป็นตัวแทนของแผนกที่เกี่ยวข้องทั้งหมดและมีประสบการณ์ในองค์กรมากพอที่จะช่วยคุณพัฒนาขั้นตอนและนโยบายที่จำเป็นเพื่อให้สอดคล้องกับสิ่งที่มาตรฐาน ISO 27001 กำหนด กระจายคำ เมื่อโครงการเริ่มต้นขึ้น การรับรู้และความเข้าใจเป็นสิ่งสำคัญ ดังนั้น นโยบายใหม่ทั้งหมด กระบวนการใหม่ ขั้นตอน วัตถุประสงค์ งาน และลำดับเวลาควรได้รับการสื่อสารอย่างชัดเจนกับสมาชิกในทีมเพื่อหลีกเลี่ยงความสับสนและขั้นตอนที่พลาดไป โดยปกติจะทำโดยใช้เครื่องมือสื่อสารภายใน อีเมล หรือการประชุมแบบเห็นหน้ากันหลายโหลต่อสัปดาห์ มอบหมายบทบาทและความรับผิดชอบ การวิเคราะห์ช่องว่างที่สมบูรณ์จะแสดงให้ทีมเห็นว่ากระบวนการปัจจุบันของคุณไม่ตรงตามข้อกำหนดใด และนโยบายและขั้นตอนใหม่ใดบ้างที่จำเป็นในการพัฒนาภายในเพื่อให้สอดคล้อง ซึ่งมักจะกลายเป็นรายการของงาน […]

ระบบจัดการเอกสาร การจัดการเอกสารระดับองค์กร DMS ที่ดีสามารถช่วยให้ผู้พัฒนาเทคโนโลยีขั้นสูงและอุปกรณ์การแพทย์จัดการข้อมูล ควบคุมการดำเนินงาน และส่งคุณค่าสู่ตลาดได้อย่างสม่ำเสมอ คุณสมบัติการจัดการเอกสารหลักของ Lean DMS : การควบคุมเอกสารสำหรับผลิตภัณฑ์ไฮเทคและการพัฒนาทางการแพทย์ Cognidox สนับสนุนกระบวนการที่เป็นไปตามมาตรฐานสำหรับการกำกับดูแลข้อมูล ขั้นตอนการควบคุมเอกสาร เป็นข้อกำหนดที่สำคัญของ ISO 9001, ISO 13485, ISO 27001, 21 CFR Part 11 และมาตรฐานการรับรองคุณภาพอื่นๆ ส่วนใหญ่ คุณไม่จำเป็นต้องมีระบบการจัดการเอกสารอิเล็กทรอนิกส์ เพื่อให้ปฏิบัติตาม แต่การมีระบบนี้จะช่วยให้ปฏิบัติตามข้อกำหนดได้ง่ายขึ้นมาก Cognidox ได้ช่วยเหลือบริษัทหลายแห่งในภารกิจนี้ การปรับใช้ทำให้ได้รับความคิดเห็นจาก ผู้ตรวจสอบภายนอกว่าเป็นโซลูชัน การควบคุมเอกสารที่ดีที่สุดเท่าที่พวกเขาเคยเห็นมา บริษัทต่างๆ ใช้เป็นสถานที่จัดเก็บ ข้อมูลเกี่ยวกับการตรวจสอบ การควบคุมการเปลี่ยนแปลง การดำเนินการแก้ไขและป้องกัน คุณภาพผลิตภัณฑ์ ไฟล์ประวัติการออกแบบ การแมปกระบวนการ และอื่นๆ เวิร์กโฟลว์ เอกสารกระบวนการทางธุรกิจสามารถกำหนดเส้นทางให้กับผู้ใช้สำหรับการดำเนินการ เช่น เพื่อตรวจทานหรืออนุมัติ เป็นต้น ตั้งค่ากฎการกำหนดเส้นทาง ที่ยืดหยุ่นตามประเภทของคำขอ ประเภทเอกสาร และโปรไฟล์ความปลอดภัย   บทวิจารณ์ Cognidox Lean DMS มีหลายวิธีในการตรวจสอบเอกสาร เช่นเดียวกับบันทึกที่ใช้ร่วมกัน […]

ควบคุมเอกสารใน ISO 9001 การควบคุมเอกสารเป็นส่วนสำคัญของระบบการจัดการคุณภาพ (QMS) ดังนั้นจึงเป็นข้อกำหนดของISO 9001: 2015 โพสต์ในบล็อกนี้จะสำรวจข้อกำหนดนี้และวิธีดำเนินการอย่างมีประสิทธิภาพ และปรับขนาดได้ในองค์กรของคุณ การควบคุมเอกสารใน ISO 9001:2015 คืออะไร? ISO 9001:2015 กำหนดให้ ‘ควบคุมข้อมูลที่เป็นเอกสาร’ เพื่อรับประกันว่าบุคคลที่เหมาะสมจะสามารถเข้าถึง QMS ได้ทุกที่และทุกเวลาที่พวกเขาต้องการ – และเพื่อให้แน่ใจว่าไม่มีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือไม่ได้บันทึกไว้ในเนื้อหาที่จำเป็น ISO 9001:2015, 7.5.3.1ระบุสิ่งต่อไปนี้: “เอกสารข้อมูลที่กำหนดโดยระบบบริหารคุณภาพและมาตรฐานสากลนี้จะต้องถูกควบคุมเพื่อให้แน่ใจว่า: พร้อมใช้งานและเหมาะสมกับการใช้งาน ณ ที่ใดและเมื่อใดที่ต้องการ ได้รับการคุ้มครองอย่างเพียงพอ (เช่น จากการสูญเสียความลับ การใช้อย่างไม่เหมาะสม หรือการสูญเสียความสมบูรณ์)” แม้ว่าจะมีความเชื่อผิดๆ มากมายเกี่ยวกับมาตรฐานแต่ IS0 9001 มีเป้าหมายที่จะใช้มาตรฐานอย่างสม่ำเสมอทั่วทั้งองค์กร โดยกำหนดให้มีการควบคุมการเข้าถึงและการแจกจ่ายข้อมูลที่อยู่ในระบบบริหารคุณภาพ ข้อกำหนดการควบคุมเอกสารเหล่านี้มีจุดมุ่งหมายเพื่อให้แน่ใจว่า QMS เป็นวิธีที่เชื่อถือได้เสมอ ซึ่งบริษัทสามารถกำหนดและแบ่งปันรายละเอียดของกระบวนการและแนวทางปฏิบัติที่ดีที่สุดของตนภายใน เช่นเดียวกับกับผู้ตรวจสอบภายนอกเมื่อจำเป็น 11 ความเชื่อผิดๆ เกี่ยวกับ ISO 9001 – ทึ่ง!  ขอบเขตของข้อกำหนด QMS ใน ISO […]

Dropbox สำหรับการจัดการเอกสาร ได้รับความนิยมอย่างสูงในฐานะพื้นที่จัดเก็บเอกสารและโซลูชันการแบ่งปันไฟล์ อย่างไรก็ตาม โดยทั่วไปแล้ว ไม่ใช่ความคิดที่ดีที่จะใช้ Dropbox เพื่อจัดการเอกสาร โดยเฉพาะอย่างยิ่งสำหรับธุรกิจในอุตสาหกรรมที่ได้รับการควบคุม และบริษัทต่างๆ ที่ต้องการปฏิบัติตามมาตรฐานคุณภาพ เช่น ISO 900 และ ISO 13485 จุดอ่อนของ Dropbox สำหรับการจัดการเอกสาร มีจุดอ่อนหลายประการในการใช้ Dropbox เพื่อจัดการเอกสาร การลดความเสี่ยงและการควบคุมการออกแบบไม่ดี Dropbox ไม่มีคุณลักษณะเวิร์กโฟลว์เพียงพอที่จะปกป้องกระบวนการออกแบบและพัฒนาจากความเสี่ยง ตัวอย่างเช่น ไม่รองรับฟังก์ชันการเกทเฟสอัตโนมัติ ข้อกำหนดของผู้ใช้และเอกสารข้อมูลจำเพาะต้องได้รับการตรวจสอบด้วยตนเองเทียบกับการส่งมอบการออกแบบในขั้นตอนที่กำหนดของโครงการ การลบเส้นทางการตรวจสอบโดยอัตโนมัติตามเวลาที่กำหนด Dropbox สร้างเวอร์ชันใหม่ของเอกสารเดียวเมื่อมีการแก้ไขและแสดงความคิดเห็นโดยผู้ใช้หลายคน อย่างไรก็ตาม แต่ละเวอร์ชันจะถูกบันทึกไว้สูงสุด 180 วันเท่านั้น จากนั้นจะถูกลบโดยอัตโนมัติและเรียกคืนไม่ได้ ธุรกิจที่ต้องการบันทึกตามลำดับของประวัติและการป้อนข้อมูลของเหตุการณ์การทำงานหรือขั้นตอนการพัฒนาจะไม่ได้รับการสนับสนุนในส่วนนี้อย่างเพียงพอ ลายเซ็นอิเล็กทรอนิกส์ที่ไม่สอดคล้อง Dropbox มีความสามารถด้านลายเซ็นอิเล็กทรอนิกส์ผ่านปลั๊กอิน HelloSign น่าเสียดายที่ปลั๊กอิน “ไม่รองรับการปฏิบัติตามข้อกำหนดภายใต้ FDA 21 CFR Part II โดยเฉพาะสำหรับลายเซ็นอิเล็กทรอนิกส์” ปัญหาความซ้ำซ้อนของเอกสาร Dropbox มีปัญหาการทำสำเนาเอกสาร การแก้ไขเอกสารพร้อมกันโดยผู้ใช้ตั้งแต่สองคนขึ้นไป ส่งผลให้เกิดการสร้างเอกสารฉบับเดียวกันที่ไม่สอดคล้องกัน ทุกเวอร์ชันจะถูกบันทึกโดยอัตโนมัติในโฟลเดอร์เดียวกัน สิ่งนี้ต้องการการแทรกแซงด้วยตนเอง ซึ่งใช้เวลานานและอาจทำให้เกิดข้อผิดพลาดได้ […]

การควบคุมเอกสารใน ISO 9001 :2015 ต้องการระบบการจัดการคุณภาพที่เป็นเอกสาร (QMS) ซึ่งต่างจากระบบเอกสารเพียงอย่างเดียว บทความนี้ให้ภาพรวมของข้อกำหนด ISO 9001:2015 ในแง่ของการควบคุมเอกสาร การควบคุมเอกสารที่เกี่ยวข้องกับ ISO 9001 คืออะไร? คำว่า “ข้อมูลที่เป็นเอกสาร” ใน ISO 9001:2015 หมายถึงข้อมูลสำคัญภายใน QMS ขององค์กร – เอกสารและบันทึก – ที่ต้องได้รับการจัดระเบียบและควบคุม ภายใน ISO 9001:2015 การควบคุมข้อมูลที่เป็นเอกสารทำให้มั่นใจได้ว่า: คนที่เหมาะสมสามารถเข้าถึง QMS ได้ทุกที่ทุกเวลาที่ต้องการ ไม่สามารถทำการเปลี่ยนแปลงเนื้อหาที่จำเป็นโดยไม่ได้รับอนุญาตหรือไม่ได้บันทึกไว้ได้ แม้ว่าการควบคุมเอกสารจะเป็นข้อกำหนดของ ISO 9001:2015 แต่วิธีการควบคุมเหล่านั้นไม่ได้ระบุไว้ สามารถปรับขนาดได้ตามขนาดและความซับซ้อนขององค์กร วัตถุประสงค์หลักของเอกสารข้อมูลขององค์กรประกอบด้วย: สื่อสารข้อมูล หลักฐานความสอดคล้อง การแบ่งปันความรู้ การเผยแพร่และรักษาประสบการณ์ขององค์กร เอกสารสามารถอยู่ในรูปแบบใดก็ได้ รวมถึงกระดาษ แผ่นแม่เหล็ก แผ่นอิเล็กทรอนิกส์หรือออปติคอล ภาพถ่ายหรือตัวอย่างต้นแบบ ข้อกำหนด ISO 9001:2015 สำหรับเอกสารข้อมูล มีสองส่วนย่อยภายใน ISO […]

ข้อกำหนดเอกสาร ISO 9001 ในบทความนี้ คุณจะได้เรียนรู้เกี่ยวกับข้อกำหนดสำหรับ “เอกสารข้อมูล” ภายในเวอร์ชันล่าสุดของมาตรฐานคุณภาพที่ได้รับความนิยมมากที่สุดในโลก ISO 9001:2015 นี่คือข้อความที่ตัดตอนมา: ที่ Concentric เราชอบการเปลี่ยนแปลงและมักจะยอมรับมัน อย่างไรก็ตาม เราเห็นพ้องต้องกันว่าการเปลี่ยนแปลงหลายอย่างในมาตรฐาน ISO 9001 ที่ออกในปี 2558 นั้นน่ารำคาญ การเปลี่ยนแปลงที่ทำให้การเข้าใจข้อกำหนดง่ายขึ้นนั้น อืม… ไม่ง่ายเลย ตัวอย่างหนึ่งคือความคลุมเครือที่เกี่ยวข้องกับขั้นตอนและบันทึกที่เป็นเอกสารจำนวนมากและประเภทใดที่จำเป็น ขณะนี้มีการใช้คำว่า “ข้อมูลที่เป็นเอกสาร” ผู้ติดตามจะต้องใช้ไอบูโพรเฟน ปากกาเน้นข้อความ และเจาะลึกลงไปในมาตรฐานเพื่อค้นหาเบาะแส เช่น คำว่า รักษา (ต้องมีเอกสาร) และ เก็บรักษาไว้ (ต้องบันทึก) เราได้ตัดสินใจสร้างเครื่องมือที่เป็นมิตรกับผู้ใช้มากขึ้นเพื่อช่วยให้คุณเข้าใจสิ่งที่อยู่ภายในเอกสาร 42 หน้านี้ได้ดียิ่งขึ้น ส่วนต่อไปนี้อาจช่วยให้เข้าใจได้ดีขึ้นว่าสิ่งที่จำเป็นคืออะไร และสิ่งที่ไม่บังคับ สำหรับพวกเราที่ชื่นชอบความเรียบง่าย ข้อมูลที่เป็นเอกสารทั้งหมด ไม่ว่าจะเป็นเอกสารแบบดั้งเดิมหรือบันทึก จะต้องได้รับการควบคุมตามข้อ 7.5 ข้อมูลที่เป็นเอกสาร เพื่อให้การนำไปปฏิบัติและการตรวจสอบเป็นเรื่องง่าย เราขอแนะนำให้ซื้อสำเนามาตรฐานฉบับพิมพ์และเน้นที่คำว่า “คงไว้” และ “คงไว้” ไว้ ส่วนต่อไปนี้ยังสามารถใช้เป็นคู่มืออ้างอิงฉบับย่อเพื่อช่วยคุณในการค้นหาข้อกำหนดของเอกสาร ตัวอย่างของเอกสารที่อาจใช้ “ตามต้องการ” และเมทริกซ์เพื่อช่วยคุณจับคู่การอ้างอิงมาตรฐานกับภาษาของคุณเอง เอกสารที่จำเป็น – “ข้อมูลเอกสารที่จำเป็นจะต้องได้รับการดูแล…”: 1. ขอบเขต – […]