บทความ

เครื่องมือออนไลน์ ISO 27001 ยินดีด้วย! ในที่สุดคุณก็ได้รับการบายอินจากฝ่ายบริหารสำหรับการนำ ISO 27001 ไปใช้งานและดำเนินการวิเคราะห์ช่องว่าง ขั้นตอนต่อไปคือการเลือกทีมที่เหมาะสมเพื่อช่วยคุณพัฒนานโยบาย และขั้นตอนที่เหมาะสมเพื่อให้สอดคล้องกับมาตรฐาน เมื่อถึงจุดนี้ คุณจะสามารถอยู่เหนือการดำเนินโครงการได้ เนื่องจากคุณเป็นทีมคนเดียว อย่างไรก็ตาม เมื่อคุณดูปริมาณงานข้างหน้า เอกสารกองโต และงานจำนวนมาก การประชุม และการอภิปรายที่เกี่ยวข้องกับนโยบายและขั้นตอน โครงการจะซับซ้อนมากขึ้นเรื่อย ๆ และดูเหมือนว่าคุณจะต้องเป็น ซูเปอร์ฮีโร่เพื่อให้ทุกอย่างเสร็จทันเวลา ในบทความนี้ เราต้องการนำเสนอมุมมองที่เราซึ่งเป็น joe ทั่วไป สามารถช่วยให้การทำงานเป็นทีมพัฒนานโยบายและขั้นตอนของ ISO 27001 ได้อย่างง่ายดายเหมือนกับผู้จัดการโครงการ ISO 27001 ที่เชี่ยวชาญบางคน ข้อกำหนดในการพัฒนาทีมให้ประสบความสำเร็จ ผู้จัดการโครงการคาดหวังให้อยู่เหนือข้อกำหนดแต่ละข้อที่จำเป็นเพื่อให้สอดคล้องกับ ISO 27001 ในการทำเช่นนั้น ผู้จัดการโครงการควร: เลือกทีมที่เหมาะสม โดยปกติแล้ว ทีมควรประกอบด้วยบุคคลที่เป็นตัวแทนของแผนกที่เกี่ยวข้องทั้งหมดและมีประสบการณ์ในองค์กรมากพอที่จะช่วยคุณพัฒนาขั้นตอนและนโยบายที่จำเป็นเพื่อให้สอดคล้องกับสิ่งที่มาตรฐาน ISO 27001 กำหนด กระจายคำ เมื่อโครงการเริ่มต้นขึ้น การรับรู้และความเข้าใจเป็นสิ่งสำคัญ ดังนั้น นโยบายใหม่ทั้งหมด กระบวนการใหม่ ขั้นตอน วัตถุประสงค์ งาน และลำดับเวลาควรได้รับการสื่อสารอย่างชัดเจนกับสมาชิกในทีมเพื่อหลีกเลี่ยงความสับสนและขั้นตอนที่พลาดไป โดยปกติจะทำโดยใช้เครื่องมือสื่อสารภายใน อีเมล หรือการประชุมแบบเห็นหน้ากันหลายโหลต่อสัปดาห์ มอบหมายบทบาทและความรับผิดชอบ การวิเคราะห์ช่องว่างที่สมบูรณ์จะแสดงให้ทีมเห็นว่ากระบวนการปัจจุบันของคุณไม่ตรงตามข้อกำหนดใด และนโยบายและขั้นตอนใหม่ใดบ้างที่จำเป็นในการพัฒนาภายในเพื่อให้สอดคล้อง ซึ่งมักจะกลายเป็นรายการของงาน […]

ระบบจัดการเอกสาร การจัดการเอกสารระดับองค์กร DMS ที่ดีสามารถช่วยให้ผู้พัฒนาเทคโนโลยีขั้นสูงและอุปกรณ์การแพทย์จัดการข้อมูล ควบคุมการดำเนินงาน และส่งคุณค่าสู่ตลาดได้อย่างสม่ำเสมอ คุณสมบัติการจัดการเอกสารหลักของ Lean DMS : การควบคุมเอกสารสำหรับผลิตภัณฑ์ไฮเทคและการพัฒนาทางการแพทย์ Cognidox สนับสนุนกระบวนการที่เป็นไปตามมาตรฐานสำหรับการกำกับดูแลข้อมูล ขั้นตอนการควบคุมเอกสาร เป็นข้อกำหนดที่สำคัญของ ISO 9001, ISO 13485, ISO 27001, 21 CFR Part 11 และมาตรฐานการรับรองคุณภาพอื่นๆ ส่วนใหญ่ คุณไม่จำเป็นต้องมีระบบการจัดการเอกสารอิเล็กทรอนิกส์ เพื่อให้ปฏิบัติตาม แต่การมีระบบนี้จะช่วยให้ปฏิบัติตามข้อกำหนดได้ง่ายขึ้นมาก Cognidox ได้ช่วยเหลือบริษัทหลายแห่งในภารกิจนี้ การปรับใช้ทำให้ได้รับความคิดเห็นจาก ผู้ตรวจสอบภายนอกว่าเป็นโซลูชัน การควบคุมเอกสารที่ดีที่สุดเท่าที่พวกเขาเคยเห็นมา บริษัทต่างๆ ใช้เป็นสถานที่จัดเก็บ ข้อมูลเกี่ยวกับการตรวจสอบ การควบคุมการเปลี่ยนแปลง การดำเนินการแก้ไขและป้องกัน คุณภาพผลิตภัณฑ์ ไฟล์ประวัติการออกแบบ การแมปกระบวนการ และอื่นๆ เวิร์กโฟลว์ เอกสารกระบวนการทางธุรกิจสามารถกำหนดเส้นทางให้กับผู้ใช้สำหรับการดำเนินการ เช่น เพื่อตรวจทานหรืออนุมัติ เป็นต้น ตั้งค่ากฎการกำหนดเส้นทาง ที่ยืดหยุ่นตามประเภทของคำขอ ประเภทเอกสาร และโปรไฟล์ความปลอดภัย   บทวิจารณ์ Cognidox Lean DMS มีหลายวิธีในการตรวจสอบเอกสาร เช่นเดียวกับบันทึกที่ใช้ร่วมกัน […]

ควบคุมเอกสารใน ISO 9001 การควบคุมเอกสารเป็นส่วนสำคัญของระบบการจัดการคุณภาพ (QMS) ดังนั้นจึงเป็นข้อกำหนดของISO 9001: 2015 โพสต์ในบล็อกนี้จะสำรวจข้อกำหนดนี้และวิธีดำเนินการอย่างมีประสิทธิภาพ และปรับขนาดได้ในองค์กรของคุณ การควบคุมเอกสารใน ISO 9001:2015 คืออะไร? ISO 9001:2015 กำหนดให้ ‘ควบคุมข้อมูลที่เป็นเอกสาร’ เพื่อรับประกันว่าบุคคลที่เหมาะสมจะสามารถเข้าถึง QMS ได้ทุกที่และทุกเวลาที่พวกเขาต้องการ – และเพื่อให้แน่ใจว่าไม่มีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือไม่ได้บันทึกไว้ในเนื้อหาที่จำเป็น ISO 9001:2015, 7.5.3.1ระบุสิ่งต่อไปนี้: “เอกสารข้อมูลที่กำหนดโดยระบบบริหารคุณภาพและมาตรฐานสากลนี้จะต้องถูกควบคุมเพื่อให้แน่ใจว่า: พร้อมใช้งานและเหมาะสมกับการใช้งาน ณ ที่ใดและเมื่อใดที่ต้องการ ได้รับการคุ้มครองอย่างเพียงพอ (เช่น จากการสูญเสียความลับ การใช้อย่างไม่เหมาะสม หรือการสูญเสียความสมบูรณ์)” แม้ว่าจะมีความเชื่อผิดๆ มากมายเกี่ยวกับมาตรฐานแต่ IS0 9001 มีเป้าหมายที่จะใช้มาตรฐานอย่างสม่ำเสมอทั่วทั้งองค์กร โดยกำหนดให้มีการควบคุมการเข้าถึงและการแจกจ่ายข้อมูลที่อยู่ในระบบบริหารคุณภาพ ข้อกำหนดการควบคุมเอกสารเหล่านี้มีจุดมุ่งหมายเพื่อให้แน่ใจว่า QMS เป็นวิธีที่เชื่อถือได้เสมอ ซึ่งบริษัทสามารถกำหนดและแบ่งปันรายละเอียดของกระบวนการและแนวทางปฏิบัติที่ดีที่สุดของตนภายใน เช่นเดียวกับกับผู้ตรวจสอบภายนอกเมื่อจำเป็น 11 ความเชื่อผิดๆ เกี่ยวกับ ISO 9001 – ทึ่ง!  ขอบเขตของข้อกำหนด QMS ใน ISO […]

Dropbox สำหรับการจัดการเอกสาร ได้รับความนิยมอย่างสูงในฐานะพื้นที่จัดเก็บเอกสารและโซลูชันการแบ่งปันไฟล์ อย่างไรก็ตาม โดยทั่วไปแล้ว ไม่ใช่ความคิดที่ดีที่จะใช้ Dropbox เพื่อจัดการเอกสาร โดยเฉพาะอย่างยิ่งสำหรับธุรกิจในอุตสาหกรรมที่ได้รับการควบคุม และบริษัทต่างๆ ที่ต้องการปฏิบัติตามมาตรฐานคุณภาพ เช่น ISO 900 และ ISO 13485 จุดอ่อนของ Dropbox สำหรับการจัดการเอกสาร มีจุดอ่อนหลายประการในการใช้ Dropbox เพื่อจัดการเอกสาร การลดความเสี่ยงและการควบคุมการออกแบบไม่ดี Dropbox ไม่มีคุณลักษณะเวิร์กโฟลว์เพียงพอที่จะปกป้องกระบวนการออกแบบและพัฒนาจากความเสี่ยง ตัวอย่างเช่น ไม่รองรับฟังก์ชันการเกทเฟสอัตโนมัติ ข้อกำหนดของผู้ใช้และเอกสารข้อมูลจำเพาะต้องได้รับการตรวจสอบด้วยตนเองเทียบกับการส่งมอบการออกแบบในขั้นตอนที่กำหนดของโครงการ การลบเส้นทางการตรวจสอบโดยอัตโนมัติตามเวลาที่กำหนด Dropbox สร้างเวอร์ชันใหม่ของเอกสารเดียวเมื่อมีการแก้ไขและแสดงความคิดเห็นโดยผู้ใช้หลายคน อย่างไรก็ตาม แต่ละเวอร์ชันจะถูกบันทึกไว้สูงสุด 180 วันเท่านั้น จากนั้นจะถูกลบโดยอัตโนมัติและเรียกคืนไม่ได้ ธุรกิจที่ต้องการบันทึกตามลำดับของประวัติและการป้อนข้อมูลของเหตุการณ์การทำงานหรือขั้นตอนการพัฒนาจะไม่ได้รับการสนับสนุนในส่วนนี้อย่างเพียงพอ ลายเซ็นอิเล็กทรอนิกส์ที่ไม่สอดคล้อง Dropbox มีความสามารถด้านลายเซ็นอิเล็กทรอนิกส์ผ่านปลั๊กอิน HelloSign น่าเสียดายที่ปลั๊กอิน “ไม่รองรับการปฏิบัติตามข้อกำหนดภายใต้ FDA 21 CFR Part II โดยเฉพาะสำหรับลายเซ็นอิเล็กทรอนิกส์” ปัญหาความซ้ำซ้อนของเอกสาร Dropbox มีปัญหาการทำสำเนาเอกสาร การแก้ไขเอกสารพร้อมกันโดยผู้ใช้ตั้งแต่สองคนขึ้นไป ส่งผลให้เกิดการสร้างเอกสารฉบับเดียวกันที่ไม่สอดคล้องกัน ทุกเวอร์ชันจะถูกบันทึกโดยอัตโนมัติในโฟลเดอร์เดียวกัน สิ่งนี้ต้องการการแทรกแซงด้วยตนเอง ซึ่งใช้เวลานานและอาจทำให้เกิดข้อผิดพลาดได้ […]

การควบคุมเอกสารใน ISO 9001 :2015 ต้องการระบบการจัดการคุณภาพที่เป็นเอกสาร (QMS) ซึ่งต่างจากระบบเอกสารเพียงอย่างเดียว บทความนี้ให้ภาพรวมของข้อกำหนด ISO 9001:2015 ในแง่ของการควบคุมเอกสาร การควบคุมเอกสารที่เกี่ยวข้องกับ ISO 9001 คืออะไร? คำว่า “ข้อมูลที่เป็นเอกสาร” ใน ISO 9001:2015 หมายถึงข้อมูลสำคัญภายใน QMS ขององค์กร – เอกสารและบันทึก – ที่ต้องได้รับการจัดระเบียบและควบคุม ภายใน ISO 9001:2015 การควบคุมข้อมูลที่เป็นเอกสารทำให้มั่นใจได้ว่า: คนที่เหมาะสมสามารถเข้าถึง QMS ได้ทุกที่ทุกเวลาที่ต้องการ ไม่สามารถทำการเปลี่ยนแปลงเนื้อหาที่จำเป็นโดยไม่ได้รับอนุญาตหรือไม่ได้บันทึกไว้ได้ แม้ว่าการควบคุมเอกสารจะเป็นข้อกำหนดของ ISO 9001:2015 แต่วิธีการควบคุมเหล่านั้นไม่ได้ระบุไว้ สามารถปรับขนาดได้ตามขนาดและความซับซ้อนขององค์กร วัตถุประสงค์หลักของเอกสารข้อมูลขององค์กรประกอบด้วย: สื่อสารข้อมูล หลักฐานความสอดคล้อง การแบ่งปันความรู้ การเผยแพร่และรักษาประสบการณ์ขององค์กร เอกสารสามารถอยู่ในรูปแบบใดก็ได้ รวมถึงกระดาษ แผ่นแม่เหล็ก แผ่นอิเล็กทรอนิกส์หรือออปติคอล ภาพถ่ายหรือตัวอย่างต้นแบบ ข้อกำหนด ISO 9001:2015 สำหรับเอกสารข้อมูล มีสองส่วนย่อยภายใน ISO […]

ข้อกำหนดเอกสาร ISO 9001 ในบทความนี้ คุณจะได้เรียนรู้เกี่ยวกับข้อกำหนดสำหรับ “เอกสารข้อมูล” ภายในเวอร์ชันล่าสุดของมาตรฐานคุณภาพที่ได้รับความนิยมมากที่สุดในโลก ISO 9001:2015 นี่คือข้อความที่ตัดตอนมา: ที่ Concentric เราชอบการเปลี่ยนแปลงและมักจะยอมรับมัน อย่างไรก็ตาม เราเห็นพ้องต้องกันว่าการเปลี่ยนแปลงหลายอย่างในมาตรฐาน ISO 9001 ที่ออกในปี 2558 นั้นน่ารำคาญ การเปลี่ยนแปลงที่ทำให้การเข้าใจข้อกำหนดง่ายขึ้นนั้น อืม… ไม่ง่ายเลย ตัวอย่างหนึ่งคือความคลุมเครือที่เกี่ยวข้องกับขั้นตอนและบันทึกที่เป็นเอกสารจำนวนมากและประเภทใดที่จำเป็น ขณะนี้มีการใช้คำว่า “ข้อมูลที่เป็นเอกสาร” ผู้ติดตามจะต้องใช้ไอบูโพรเฟน ปากกาเน้นข้อความ และเจาะลึกลงไปในมาตรฐานเพื่อค้นหาเบาะแส เช่น คำว่า รักษา (ต้องมีเอกสาร) และ เก็บรักษาไว้ (ต้องบันทึก) เราได้ตัดสินใจสร้างเครื่องมือที่เป็นมิตรกับผู้ใช้มากขึ้นเพื่อช่วยให้คุณเข้าใจสิ่งที่อยู่ภายในเอกสาร 42 หน้านี้ได้ดียิ่งขึ้น ส่วนต่อไปนี้อาจช่วยให้เข้าใจได้ดีขึ้นว่าสิ่งที่จำเป็นคืออะไร และสิ่งที่ไม่บังคับ สำหรับพวกเราที่ชื่นชอบความเรียบง่าย ข้อมูลที่เป็นเอกสารทั้งหมด ไม่ว่าจะเป็นเอกสารแบบดั้งเดิมหรือบันทึก จะต้องได้รับการควบคุมตามข้อ 7.5 ข้อมูลที่เป็นเอกสาร เพื่อให้การนำไปปฏิบัติและการตรวจสอบเป็นเรื่องง่าย เราขอแนะนำให้ซื้อสำเนามาตรฐานฉบับพิมพ์และเน้นที่คำว่า “คงไว้” และ “คงไว้” ไว้ ส่วนต่อไปนี้ยังสามารถใช้เป็นคู่มืออ้างอิงฉบับย่อเพื่อช่วยคุณในการค้นหาข้อกำหนดของเอกสาร ตัวอย่างของเอกสารที่อาจใช้ “ตามต้องการ” และเมทริกซ์เพื่อช่วยคุณจับคู่การอ้างอิงมาตรฐานกับภาษาของคุณเอง เอกสารที่จำเป็น – “ข้อมูลเอกสารที่จำเป็นจะต้องได้รับการดูแล…”: 1. ขอบเขต – […]

มาตรฐานสูงสำหรับการจัดเก็บ K&O เรามีความใส่ใจในการจัดเก็บและจัดการเอกสารที่ ปลอดภัย การ แปลงเป็นดิจิทัล การจัดการสิ่งอำนวยความสะดวก และการจัดเก็บถาวร K&O ได้รับการกำหนดค่าให้ขนส่ง จัดเก็บ และจัดการเอกสารที่มีความละเอียดอ่อนเป็นพิเศษ รวมถึงเวชระเบียนและการเงิน เรามีประวัติการทำงานที่ยอดเยี่ยมกับองค์กรที่มีการเตรียมการเก็บถาวรที่ซับซ้อนและมีความต้องการสูง เราทราบดีว่าไม่ว่าจะอยู่ในภาคส่วนใด บางบริษัทก็อ้างสิทธิ์อย่างอุกอาจสำหรับบริการของตนและไม่สามารถส่งมอบได้ ดังนั้น แทนที่จะเพียงแค่เชื่อในคุณภาพของบริการของเรา เราต้องการชี้ให้คุณเห็นแหล่งข้อมูลอิสระสองแห่ง ขั้นแรก เราจะแนะนำคุณผ่านการรับรองมาตรฐานทองคำของเรา จากนั้นเราจะแบ่งปันการรับรองจากลูกค้าบางส่วนของเรา การรับรองที่หลากหลายสำหรับบริการจัดเก็บและจัดการเอกสารของเรา K&O ภูมิใจอย่างยิ่งกับการรับรองที่หลากหลายของเราจาก International Standardization Organization (ISO) ISO มีหน้าที่กำหนดมาตรฐานสากลเพื่อให้แน่ใจว่าผลิตภัณฑ์และบริการมีความปลอดภัย เชื่อถือได้ และมีคุณภาพดี เพื่อให้บรรลุมาตรฐาน ISO บริษัทจำเป็นต้องพิสูจน์ว่าระบบการจัดการและการควบคุมคุณภาพเหมาะสมตามวัตถุประสงค์ จะต้องแสดงให้เห็นว่ามีความมุ่งมั่นที่จะปรับปรุงกระบวนการอย่างต่อเนื่องสำหรับลูกค้า และแน่นอนว่าต้องพิสูจน์ว่าเป็นไปตามกฎหมายและข้อบังคับระหว่างประเทศและในประเทศ การรับรองระดับนี้กำหนดให้องค์กรต้องผ่านชุดการตรวจสอบเบื้องต้นอย่างละเอียด แต่จะต้องมีการตรวจสอบเฉพาะจุดเป็นประจำ สำหรับ K&O หมายความว่าลูกค้าของเราทุกคนรู้ว่าพวกเขาอยู่ในมือที่ปลอดภัยที่สุดเมื่อต้องมอบบันทึกและไฟล์ที่สำคัญให้เรา เราได้แจกแจงมาตรฐาน ISO เป็นภาษาอังกฤษธรรมดา เพื่อให้คุณเข้าใจว่ามาตรฐานเหล่านี้มีผลกระทบต่อบริการที่เรามอบให้คุณอย่างไร:   ISO 9001 การจัดการคุณภาพ ISO นี้หมายความว่าในฐานะบริษัท เราทำสิ่งต่างๆ อย่างเหมาะสม เราพยายามอย่างต่อเนื่องที่จะเข้าใจและประเมินความต้องการของลูกค้า และเราสร้างระบบการจัดการของเราสำหรับบริการที่เรามอบให้ ตัวอย่างล่าสุดของความมุ่งมั่นของเราในการปรับปรุงระบบการจัดการคือการเปิดตัวRadio Frequency Identification […]

เอกสารและ ISO 9001 หากประโยชน์ของคุณภาพการจัดการเอกสารชัดเจน ISO 9001 เวอร์ชันใหม่ได้เปลี่ยนนิสัยเดิมๆ ไปพอสมควร อะไรเปลี่ยนไป? ต้องเตรียมตัวอย่างไร? ต่อไปนี้เป็นเคล็ดลับที่จะช่วยให้คุณทราบข้อมูลก่อนที่ผู้สอบบัญชีจะมาถึง ระบบเอกสารคืออะไร?   ระบบเอกสารคือชุดเอกสารที่มีโครงสร้างและเป็นระเบียบในลักษณะต่างๆ จึงอาจประกอบด้วยขั้นตอน เอกสาร แม้กระทั่งขั้นตอนการปฏิบัติงาน คำแนะนำ หรือเอกสารข้อมูลทางเทคนิค เอกสารเหล่านี้มักจะเกี่ยวข้องกับระบบการจัดการ ไม่ว่าจะเป็นด้านคุณภาพ การผลิต ความปลอดภัย เป็นต้น ระบบนี้เรียกว่าระบบเอกสารทันทีที่เอกสารเหล่านี้ถูกอ้างอิงว่าเป็นของระบบเหล่านี้โดยเฉพาะ คู่มือคุณภาพจะอยู่นอกตาราง เช่นเดียวกับแนวคิดของขั้นตอนบังคับ ดังนั้นคุณจะมีอิสระมากขึ้นในส่วนนี้ อย่างไรก็ตาม คุณสามารถเก็บไว้ได้ ทั้งนี้ขึ้นอยู่กับการปรับปรุงให้เป็นไปตามมาตรฐาน เอกสารบังคับเก่าเหล่านี้ถูกแทนที่ด้วยลักษณะที่ปรากฏของข้อมูลเอกสาร   อีกครั้งนี้ไม่ได้บังคับจริงๆ สิ่งสำคัญคือต้องมีเอกสารข้อมูลที่มาตรฐานกำหนด นั่นคือในบทส่วนใหญ่ และในกรณีที่คุณเชื่อว่าข้อมูลที่เป็นเอกสารมีความจำเป็นเพื่อให้มั่นใจว่าระบบการจัดการคุณภาพของบริษัทของคุณมีประสิทธิภาพ เนื่องจากความคิดของขั้นตอนบังคับอยู่นอกตาราง คุณไม่จำเป็นต้องมีขั้นตอนสำหรับทุกกระบวนการอีกต่อไป หากกระบวนการอนุญาต เอกสารข้อมูลที่แนบมาอาจเป็นเอกสารประเภทอื่น เช่น ขั้นตอนการปฏิบัติงานและคำแนะนำ และอาจไม่รวมขั้นตอน ในตอนแรก คุณสามารถพิจารณาเก็บเอกสารที่มีอยู่ทั้งหมดในบริษัทโดยการปรับปรุงหากจำเป็น ด้วยวิธีนี้ คุณจะมีข้อมูลเอกสารขั้นต่ำสำหรับกระบวนการของคุณ โดยไม่ต้องยกเครื่องระบบเอกสารของคุณใหม่ ด้วยวิธีนี้ คุณจะจำกัดความเสี่ยงในการรับข้อสังเกตหรือความไม่สอดคล้องในเรื่องนี้ระหว่างการตรวจสอบ คุณจะมีเวลาในการปฏิรูปข้อมูลที่เป็นเอกสารซึ่งไม่จำเป็นอีกต่อไปเมื่อได้รับการรับรองแล้ว ด้วยวิธีนี้ คุณจะมีเวลามากขึ้นในการสร้างความคืบหน้ากับหัวข้ออื่นๆ เช่น แนวทางความเสี่ยงของกระบวนการหรือคำจำกัดความของ SWOT (จุดแข็ง จุดอ่อน โอกาส และภัยคุกคาม) เป็นต้น ซึ่งต้องใช้งานจำนวนมากและควรมุ่งเน้นที่สิ่งใดดีกว่า เพิ่มเติมสำหรับการตรวจสอบ เพียงตรวจสอบให้แน่ใจว่าได้ตรวจสอบข้อมูลเอกสารทั้งหมดที่ต้องได้รับการตรวจสอบแล้ว น่าเสียดายที่วิธีนี้อาจไม่ถูกใจผู้สอบบัญชีของคุณ อย่าลืมว่าข้อกำหนดและจุดควบคุมถูกกำหนดโดยมาตรฐาน แต่ผู้ตรวจประเมินแต่ละรายอาจมีความละเอียดอ่อนมากหรือน้อยต่อกลยุทธ์หนึ่งหรืออีกวิธีหนึ่ง […]

การปรับปรุง ISO 27001 หลังจากเก้าปี ISO 27001 ซึ่งเป็นมาตรฐานความปลอดภัยข้อมูลชั้นนำของโลกได้รับการปรับปรุง – เมื่อวันที่ 25 ตุลาคม 2022 ISO/IEC 27001:2022 ใหม่ได้รับการเผยแพร่ แม้ว่าการแก้ไขนี้จะนำมาซึ่งการเปลี่ยนแปลงในระดับปานกลาง แต่สิ่งสำคัญคือต้องศึกษาอย่างใกล้ชิด มาดูการเปลี่ยนแปลงทั้งหมดและดูว่าการแก้ไขในปี 2022 นี้เปรียบเทียบกับการปรับปรุง ISO 27001 ฉบับเก่าในปี 2013 อย่างไร การเปลี่ยนแปลงหลักในการแก้ไข ISO 27001 2022: ส่วนหลักของ ISO 27001 เช่น ข้อ 4 ถึง 10 มีการเปลี่ยนแปลงเพียงเล็กน้อย การเปลี่ยนแปลงในการควบคุมความปลอดภัยภาคผนวก A อยู่ในระดับปานกลาง จำนวนการควบคุมลดลงจาก 114 เป็น 93 การควบคุมจะแบ่งออกเป็น 4 ส่วน แทนที่จะเป็น 14 ส่วนก่อนหน้า มีการควบคุมใหม่ 11 รายการ ในขณะที่ไม่มีการควบคุมใดถูกลบออก […]

มาตรฐาน ISO 14001 การจัดการขยะคืออะไร? การจัดการขยะมีมากกว่าการเก็บขยะแล้วนำไปทิ้งที่หลุมฝังกลบ ธุรกิจมักจะใช้วัสดุที่เป็นอันตราย ซึ่งเมื่อจัดการอย่างไม่เหมาะสม จะเป็นภัยคุกคามต่อสุขภาพของมนุษย์และสิ่งแวดล้อม วัสดุเหล่านี้พบได้ในของใช้ประจำวัน เช่น หลอดฟลูออเรสเซนต์ อุปกรณ์อิเล็กทรอนิกส์ และแบตเตอรี่บางชนิด รวมทั้งในสารต่างๆ เช่น น้ำมันและตัวทำละลาย ISO 14001ให้กรอบการทำงานและวิธีการที่มีโครงสร้างในการจัดการของเสีย ในระหว่างการระบุและประเมินด้านสิ่งแวดล้อม คุณจะกำหนดว่าของเสียใดที่เกิดขึ้นในกระบวนการของคุณ และด้วยการควบคุมการปฏิบัติงาน คุณจะกำหนดวิธีการกำจัดของเสีย 1. ประเมินของเสียของคุณ – เพื่อให้สามารถจัดการของเสียได้อย่างถูกต้อง บริษัทต้องพิจารณาก่อนว่าของเสียนั้นเป็นอันตรายหรือไม่ และการจัดการของเสียนั้นอยู่ภายใต้การควบคุมของกฎหมายหรือไม่ สำหรับข้อมูลเพิ่มเติม โปรดดู: การทำให้ เข้าใจข้อกำหนดทางกฎหมายใน ISO 14001น้อยลง ขั้นตอนนี้มักเรียกว่าการจำแนกประเภทหรือการจัดหมวดหมู่ของขยะ 2. จัดเก็บขยะของคุณ – ขึ้นอยู่กับประเภทของขยะ จะมีข้อกำหนดที่แตกต่างกันในแง่ของสถานที่จัดเก็บ ของเสียสามารถอยู่ในรูปของแข็งหรือของเหลวได้ ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องจัดเก็บตามลักษณะของมัน ของเสียอันตรายต้องจัดเก็บไว้ในภาชนะที่แข็งแรงและป้องกันการรั่วซึ่งปิดไว้เมื่อไม่ได้เพิ่มหรือเอาของเสียออก ขยะต่างประเภทกันอาจต้องใช้ภาชนะจัดเก็บต่างประเภทกัน ภาชนะบรรจุต้องมีข้อความกำกับว่า “ของเสียอันตราย ” มีคำอธิบายที่ชัดเจนเกี่ยวกับสิ่งที่บรรจุอยู่ และวันที่ที่บรรจุของเสียลงในภาชนะบรรจุครั้งแรก ต้องจัดเก็บตู้คอนเทนเนอร์ไว้บนพื้นผิวที่น้ำผ่านไม่ได้ โดยมีพื้นที่ทางเดินเพียงพอสำหรับการตรวจสอบตู้คอนเทนเนอร์ทุกสัปดาห์ ข้อกำหนดเพิ่มเติมสำหรับการจัดเก็บกลางแจ้ง ได้แก่ : การควบคุมการเข้าถึงคอนเทนเนอร์ ปกป้องภาชนะจากองค์ประกอบต่างๆ การจัดเก็บภาชนะบรรจุของเสียที่เป็นของเหลวบนพื้นผิวที่ลาดเอียงและน้ำผ่านไม่ได้เพื่อป้องกันการรั่วไหลโดยไม่ได้ตั้งใจ 3. ติดฉลากขยะ – ขยะที่ไม่เป็นอันตรายไม่จำเป็นต้องติดฉลากในลักษณะพิเศษใดๆ ในทางกลับกัน การติดฉลากของเสียอันตรายมักจะถูกกำหนดโดยกฎหมาย และในประเทศส่วนใหญ่ บริษัทจะต้องได้รับใบอนุญาตสำหรับแม้แต่การผลิตของเสียอันตรายบางประเภท ฉลากสำหรับทำเครื่องหมายของเสียอันตรายที่บรรจุหีบห่อมักจะมีข้อมูลต่อไปนี้:   คำเตือน: ของเสียอันตราย ข้อมูลเกี่ยวกับเจ้าของขยะที่บรรจุขยะ: ชื่อ ที่อยู่ โทรศัพท์ […]

การปรับปรุง ISO 27002 2022 เป็นเวลาเก้าปีแล้วนับตั้งแต่การแก้ไข ISO/IEC 27002 ครั้งล่าสุด (ในปี 2013) และแม้ว่าISO 27001:2013จะได้รับการยืนยันในปี 2019 (กล่าวคือ ไม่จำเป็นต้องมีการเปลี่ยนแปลงมาตรฐาน ระบบการจัดการความปลอดภัยของข้อมูล) – ISO 27002 จำเป็นต้องมีการปรับปรุงอย่างแน่นอน ปฏิบัติตามบทบาทที่เป็นแนวทางสำหรับการดำเนินการตามการควบคุมภาคผนวก A ของ ISO 27001 ISO 27002 ฉบับปรับปรุงใหม่ปี 2022 เผยแพร่เมื่อวันที่ 15 กุมภาพันธ์ 2022 และในบทความนี้ ผมจะนำเสนอการเปลี่ยนแปลงหลักเมื่อเปรียบเทียบกับ ISO 27002:2013 – สิ่งเหล่านี้ไม่ได้เกี่ยวกับการควบคุมเท่านั้น แต่ยังรวมถึงวิธีจัดระเบียบและใช้งานด้วย พวกเขา. ISO 27002 ใหม่มีการควบคุม 93 รายการในสี่ส่วนต่อไปนี้: การควบคุมองค์กร (ข้อ 5) การควบคุมคน (ข้อ 6) การควบคุมทางกายภาพ (ข้อ 7) […]

การควบคุม ISO 27001 ภาคผนวก A ของISO 27001น่าจะเป็นภาคผนวกที่มีชื่อเสียงที่สุดในบรรดามาตรฐาน ISO ทั้งหมด เนื่องจากเป็นเครื่องมือที่จำเป็นสำหรับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล : รายการของการควบคุมความปลอดภัย (หรือการป้องกัน) ที่จะใช้เพื่อปรับปรุงความปลอดภัยของ สินทรัพย์ข้อมูล บทความนี้จะช่วยให้คุณเข้าใจว่าโครงสร้างภาคผนวก A เป็นอย่างไร ตลอดจนความสัมพันธ์กับส่วนหลักของ ISO 27001 และ ISO 27002 ISO 27001 มีกี่โดเมน รายการควบคุม ISO 27001 อยู่ในภาคผนวก A และแบ่งออกเป็นสี่ส่วน (โดเมน) ตรงกันข้ามกับสิ่งที่ใครๆ คิด สิ่งเหล่านี้ไม่ได้มุ่งเน้นด้านไอทีทั้งหมด – มาตรฐานสร้างความสมดุลระหว่างการควบคุมขององค์กร บุคลากร กายภาพ และเทคโนโลยี สี่โดเมนของ ISO 27001 คืออะไร ต่อไปนี้เป็นคำอธิบายสั้นๆ ของแต่ละส่วนจากสี่ส่วน: A.5 การควบคุมองค์กร: ส่วนนี้ประกอบด้วยการควบคุมสำหรับการตั้งค่ากระบวนการรักษาความปลอดภัยและเอกสารประกอบที่สำคัญที่สุด A.6 การควบคุมบุคคล: ส่วนนี้เน้นการควบคุมที่เกี่ยวข้องกับการจัดการความปลอดภัยของทรัพยากรบุคคล A.7 การควบคุมทางกายภาพ: […]

พื้นฐานของ ISO 27001 เมื่อพูดคุยกับบุคคลที่เพิ่งเริ่มใช้ISO 27001ฉันมักจะพบปัญหาเดียวกัน: บุคคลนี้คิดว่ามาตรฐานจะอธิบายรายละเอียดทุกอย่างที่พวกเขาต้องทำ เช่น ความถี่ที่พวกเขาต้องทำการสำรองข้อมูล ระยะทางของไซต์กู้คืนจากภัยพิบัติ ควรจะเป็นหรือแย่กว่านั้น คือเทคโนโลยีประเภทใดที่พวกเขาต้องใช้สำหรับการป้องกันเครือข่าย หรือวิธีที่พวกเขาต้องกำหนดค่าเราเตอร์ นี่คือข่าวร้าย: ISO 27001 ไม่ได้กำหนดสิ่งเหล่านี้ มันทำงานในลักษณะที่แตกต่างไปจากเดิมอย่างสิ้นเชิง นี่คือเหตุผล… ISO 27001 ให้กรอบการทำงานสำหรับภาพรวมอย่างเป็นระบบของสิ่งเลวร้ายที่อาจเกิดขึ้นกับคุณ (การประเมินความเสี่ยง) จากนั้นตัดสินใจว่าจะใช้มาตรการป้องกันใดเพื่อป้องกันสิ่งเลวร้ายเหล่านั้นไม่ให้เกิดขึ้น (จัดการกับความเสี่ยง) เหตุใด ISO 27001 จึงไม่ใช่ข้อกำหนด ลองจินตนาการว่ามาตรฐานกำหนดให้คุณต้องสำรองข้อมูลทุกๆ 24 ชั่วโมง นี่เป็นมาตรการที่เหมาะสมสำหรับคุณหรือไม่ อาจเป็นไปได้ แต่เชื่อฉันเถอะว่าหลายบริษัทในปัจจุบันพบว่าสิ่งนี้ยังไม่เพียงพอ – อัตราการเปลี่ยนแปลงของข้อมูลนั้นเร็วมากจนพวกเขาต้องทำการสำรองข้อมูลหากไม่ใช่แบบเรียลไทม์ อย่างน้อยทุก ๆ ชั่วโมง ในทางกลับกัน ยังมีบางบริษัทที่พบว่าการสำรองข้อมูลวันละครั้งบ่อยเกินไป อัตราการเปลี่ยนแปลงของพวกเขายังช้ามาก ดังนั้นการสำรองข้อมูลบ่อยครั้งจึงเกินความจำเป็น ประเด็นก็คือ – หากมาตรฐานนี้เหมาะสมกับบริษัทประเภทใดก็ตาม แนวทางที่กำหนดเช่นนี้ก็เป็นไปไม่ได้ ดังนั้นจึงเป็นไปไม่ได้เลยที่ไม่เพียงแต่จะกำหนดความถี่ในการสำรองข้อมูล แต่ยังรวมถึงเทคโนโลยีที่จะใช้ วิธีการกำหนดค่าแต่ละอุปกรณ์ ฯลฯ ยังไงก็ตาม การรับรู้ว่า ISO 27001 จะกำหนดทุกอย่างคือตัวสร้างความเชื่อผิดๆ เกี่ยวกับ ISO 27001 ที่ใหญ่ที่สุด […]

จัดการเอกสารตามมาตรฐาน ISO เอกสารมีบทบาทสำคัญในทุกธุรกิจ เอกสารช่วยให้ผู้คนและองค์กรแสดงและเข้าใจสิ่งที่จำเป็น สิ่งที่ต้องส่งมอบ สิ่งที่ต้องทำ และวิธีการทำ เพื่อสนับสนุนการบรรลุวัตถุประสงค์และผลลัพธ์ที่ต้องการ ในฐานะที่เป็นวิธีการจัดส่งหรือจัดเก็บข้อมูล ดังนั้น การจัดการเอกสารอย่างมีประสิทธิภาพจึงเป็นกระบวนการที่องค์กรต่างๆ ควรพิจารณาอย่างรอบคอบ แต่จะทำอย่างไรให้ดีที่สุด? บทความนี้จะนำเสนอวิธีจัดการเอกสารในบริบทของISO 27001และISO 22301ซึ่งเป็นมาตรฐานชั้นนำสำหรับความปลอดภัยของข้อมูลและความต่อเนื่องทางธุรกิจ เอกสารคืออะไร? มาตรฐาน ISO 27001:2013 และ ISO 22301:2019 พูดถึงเอกสารในบริบทของข้อมูลที่เป็นเอกสาร โดยเอกสารอ้างอิงถึงข้อมูลทั้งสองอย่างที่มาตรฐานกำหนด (เช่น ขอบเขตของ ISMS และนโยบายความปลอดภัยของข้อมูล) และข้อมูลที่กำหนดตามที่องค์กรต้องการ จึงจะสามารถดำเนินการได้ (เช่น นโยบายสนับสนุน ระเบียบปฏิบัติ แผนงาน และเอกสารอื่นๆ ที่คล้ายกัน ที่ต้องเขียน) เอกสารสามารถอยู่ในรูปแบบต่างๆ เช่น เอกสารกระดาษ ไฟล์ข้อความหรือสเปรดชีต วิดีโอ ไฟล์เสียง ฯลฯ องค์กรไม่เพียงต้องจัดการเอกสารภายในเท่านั้น (เช่น นโยบาย ขั้นตอนต่างๆ เอกสารโครงการ ฯลฯ) แต่รวมถึงเอกสารภายนอกด้วย (เช่น จดหมายโต้ตอบประเภทต่างๆ เอกสารที่ได้รับพร้อมอุปกรณ์ เป็นต้น) ที่นี่ […]