管理系統標準共通結構與基礎觀念
什麼是管理系統 (management system)
管理系統,是組織管理與其業務相互關聯的活動以實現其組織目標的方法。 這些目標可能涉及許多不同的主題,包括產品或服務品質、運營效率、環境績效、資訊安全、工作場所的健康和安全等等。
管理系統的複雜程度,取決於每個組織的具體情況。對於某些組織,尤其是較小的組織,這可能僅僅意味著擁有來自企業主的強而有力的領導,明確定義每個員工的期望以及他們如何為組織的整體目標做出貢獻,而無需大量文件化資訊 (documented information)。 例如,在高度監管的行業中,運營的更複雜的企業可能需要大量的文件化資訊和控制,以履行其法律義務並實現其組織目標。
專家普遍認可 ISO 所採用的流程導向管理模型
ISO 管理系統標準 (Management System Standards, MSS) 所提供的管理方法,是全球在組織管理、領導統御、效率和有效性流程實作的領域專家所共同推薦的結果。
MSS 標準可以由任何組織實施,無論大小。
有效的管理系統對組織的好處包括,但不限於:
- 更有效率地 (efficient) 利用資源並改善財務績效
- 改善風險管理以及對人員和環境的保護
- 提高及提供一致和改進的服務和產品的能力,從而為客戶和所有關注方 (interested parties) 增加價值
ISO 管理系統標準 (MSS) 和協調結構 (harmonized structure) 的概念
管理系統標準 (MSS) 是 ISO 發布的最廣泛使用和全球品質專家認可的文件之一。
它們包括,但不限於下列幾類:
- ISO 9001 (品質管理),
- ISO 14001 (環境管理),
- ISO/IEC 20000-1 (IT 服務管理),
- ISO 22000 (食品安全管理),
- ISO 22301 (營運持續管理),
- ISO/IEC 27001 (資訊安全管理);
- ISO 45001 (職業安全衛生管理); 和
- ISO 50001 (能源管理) ...等標準。
事實上,ISO 有超過 80 多種管理系統標準。有很多東西要了解,即使是經驗豐富的標準用戶,也可能想查閱完整列表或了解有關 MSS 工作原理的更多信息。
基本原則之一,是所有標準都可以協同工作。那些已經在其業務的一部分中使用 MSS,並正在考慮在另一領域實施其他 MSS 的人會發現該過程已盡可能直觀。這要歸功於協調結構 (HS)。 HS 的概念是管理標準以相同的方式構建,無論應用領域如何。熟悉一個 MSS 的用戶會立即對另一個 MSS 感到放心,即使是第一次使用。
Annex SL:不僅僅是一個共享結構
除了以相同的方式佈局之外,管理系統標準的某些部分可以使用相同的本文。 這提高了連貫性和識別度,簡化了使用,並在稱為 “Annex SL” 的文件內容中進行了定義。 這意味著除了具有相同的結構之外,MSS 還可以包含許多相同的術語和定義。 這對於那些選擇運行一個可以滿足同時使用兩個或多個 MSS 要求的單一(有時稱為“整合 (integrated)”)管理系統的組織特別有用。
Annex SL 在標準的互相操作性,和用戶友好性方面發揮著關鍵作用,為全球無數 ISO 管理系統標準用戶提供。 您可以在此處找到有關目前最新 Annex SL 的信息。
MSS 共通性結構 (規範) | MSS 讀者指南(資訊) |
---|---|
在以下文件中:
| |
一般 a)MSS 讀者應該知道,一個組織可以在單個 MS 中滿足多個 MSS 的要求。 因此,他們應該致力於確保任何額外的特定專業領域要求都可以整合到這樣的系統中。[ MSS 的完整列表 ]。 b)HS 中有許多使用動詞 “ 決定 (determine) ” 的要求。 MSS 讀者應該知道,這並不特別要求提供文件化資訊 (documented information) 作為符合性證據。 c)對於認為不需要額外指引的條款,本欄被標記為 “ 沒有額外指引 (No additional guidance) ”。 | |
簡介本節文字使用共通性結構(即相同的條款編號、條款標題、文字和通用術語以及核心定義)編寫,旨在加強 MSS 之間的一致性,並鼓勵需要滿足兩個,或多個此類標準要求的組織,實施這些標準。 標準使用以下動詞形式。
| 沒有額外指引 |
1. 範圍本文件的範圍應涉及管理系統的預期結果。 | “ 預期結果 (intended results) ” 是指實施 MSS 預計將實現的結果。 |
2. 規範性參考 | 請參閱 ISO/IEC指令第2部 中,規範參考指南。 |
3. 術語和定義在第 3 條款中,也可以包括特定專業領域的術語和定義。 包括ISO/IEC指令第2部分中指定的通用文字。 術語和定義的安排最好是按系統順序排列的,但可能與下文第 3 條中的順序不同。按字母順序是最不喜歡的順序。 以下術語和定義構成了管理系統標準統一結構的組成部分。 可以根據需要新增其他術語和定義。 如果文字 “ XXX ” 出現在本條款中,則應根據適用這些術語和定義的背景插入適當的參考。 例如:“ XXX 目標 ”可以替換為 “ 資訊安全目標 ”。 | 請參閱 ISO/IEC指令第2部 ,以及附錄 3 中關於術語和定義的指引。 |
3.1 組織 (organization) 為達成其目標(3.6)而具有責任、權限及關係之本身功能的個人或一群人 條文註釋 1:組織之概念包括但不僅限於自營商、公司、集團、商行、企業、官方機構、合夥企業、慈善團體或機構,或其部分或組合,不論是否為法人,公有或私有。 條文註釋 2:如果組織是較大實體的一部分,則術語 “ 組織 ” 僅指 XXX 管理系統(3.4)範圍內的較大實體的一部分。 | 沒有額外的指引 |
3.2 關注方 (interested party) 利益相關者 (stakeholder) 可影響、受影響,或知覺本身將受決策或活動影響之個人或組織 (3.1) | 沒有額外的指引 |
3.3 最高管理階層 (top management) 於最高層級指導與控制組織(3.1)之個人或一群人。 條文註釋 1:最高管理階層有權力於組織內授權及提供資源。 條文註釋 2:若管理系統(3.4)範圍僅涵蓋組織(3.1)之某部分,則最高管理階層係針對指導與控制組織之該部分者 | 沒有額外的指引 |
3.4 管理系統 (management system) 一套相互關聯或交互作用的元件,組織(3.1)用以建立政策(3.5)及目標(3.6),以及用以建立達成該等目標之過程(3.8) 條文註釋 1:管理系統可以針對一個專業領域或多個專業領域。 條文註釋 2:管理系統元件包括組織之結構、角色及責任、規劃、運作等。 | MS 的範圍可能包括整個組織、組織的特定和已確定的職能或活動、組織的特定和已確定的部分,或跨一組組織的一個或多個職能。 MSS 讀者應注意不要混淆 MSS 的範圍、MS 的範圍以及 MS 的任何最終認證的範圍。 |
3.5 政策 (policy) 由組織最高管理階層(3.3)正式表達之組織 (3.1)宗旨及方針 | 沒有額外的指引 |
3.6 目標 (objective) 欲達成之結果。 條文註釋 1:目標可為策略面、戰術面或運作面。 條文註釋 2:目標可與不同領域 (諸如財務、衛生安全及環境目標 )有關,並可適用於不同等級 (諸如策略、整體組織、專案、產品及過程(3.8))。 條文註釋 3:目標可以其他方式表達,例:作為預期結果、目的、作業準則,作為 XXX 目標或使用其他具有類似意義之用語 (諸如意旨、目的、標的 )。 條文註釋 4:於 XXX 管理系統全景中,XXX 目標由組織(3.1)設定,與 XXX 政策(3.5)一致,以達成特定結果 | 沒有額外的指引 |
3.7 風險 (risk) 對目標之不確定性的效應 條文註釋 1:效應係與預期者之偏離,可為正面及 /或負面。 條文註釋 2:不確定性係資訊偏頗或不足之狀態,與事件、其後果或可能性之瞭解或知識相關。 條文註釋 3:風險通常以潛在事件(如 ISO Guide 73 風險管理 - 詞彙 所定義)和後果(如 ISO Guide 73 風險管理 - 詞彙 所定義)或這些事件的組合為特徵。 條文註釋 4:風險通常以事件的後果(包括情況變化)和相關發生的可能性((如 ISO Guide 73 風險管理 - 詞彙 所定義)的組合來表示。 | 人們認識到,一些 MSS 專業領域對風險有自己的理解,這與其他專業領域並不完全一致,但多年來已被採用。 MSS 讀者需要意識到,HS 的主要優勢是使組織更容易將多個 MSS 的要求納入其管理系統。 因此,在導入與風險相關的特定術語條文或要求時,他們應該意識到儘可能保持一致性的必要性。 如果 MSS 讀者(由於特定專業領域或特定部門的要求)除了此處規定的一般概念外,還需要針對其使用者的特定風險組、類別或型別,他們應參考附件 SL 8.3.8。 有關更多資訊,MSS 讀者可以參考 ISO 31000 風險管理 - 指引 。 |
3.8 過程 (process) 使用或轉換輸入以交付結果的一系列相互關聯或互動的活動 條文註釋 1:過程的結果是否稱為輸出、產品還是服務,取決於引用的前後文。 | 沒有額外的指引 |
3.9 能力 (competence) 運用知識及技能達成所預期結果之能力。 | 沒有額外的指引 |
3.10 文件化資訊 (documented information) 被要求由組織(3.1)控制及維護之資訊,以及其所處的媒體。 條文註釋 1:文件化資訊,能採任何格式及媒體,且能來自任何來源。 條文註釋 2:文件化資訊可以指:
| MSS 讀者需要知道,“文件化資訊”是一個術語,表示為有效實施 MS 而需要記錄的任何資訊,並證明符合 MS 要求。 這包括相關 MSS 規定的要求,以及組織必須或選擇遵守的要求。 “文件化資訊”一詞用於傳達這樣一個事實,即重點應主要放在資訊的交付上,而不是用於傳達資訊的媒介上。 “文件化資訊”取代了一些 MSS 以前版本中使用的名詞“documentation”、“documents”、“records” 和 “documented procedures”。 MSS 讀者需要注意,每當提到整個 HS 的 “文件化資訊” 時,7.5中規定的要求都適用。 |
3.11 效能/績效 (performance) 可量測之結果 條文註釋 1:績效可能與定量或定性結果有關。 條文註釋 2:績效可能與管理活動、流程(3.8)、產品、服務、系統或組織(3.1)有關。 | 沒有額外的指引 |
3.12 持續改進 (continual improvement) 用以增強效能(3.11)之經常性活動 | 沒有額外的指引 |
3.13 有效性 (effectiveness) 實現所規劃活動並達成所規劃結果之程度 | MSS 讀者在提到交付預期結果的能力時,只應使用 “ 有效性 (effectiveness) ”和 “ 有效 (effective) ” 這兩個術語。 重要的是不要將 “ 有效性 (effectiveness) ” 的概念與 “ 效率 (efficiency) ” 的概念混淆,後者將所取得的成果與所用資源相比有關。 |
3.14 要求事項 (requirement) 陳述之需求或期望,通常為隱含或強制 條文註釋 1:“一般暗示”是指組織(3.1)和關注方(3.2)的慣例或常見做法是隱含所考慮的需求或期望。 條文註釋 2:規定之要求事項係指已明述的要求,例如在文件化資訊(3.10)中。 | 沒有額外的指引 |
3.15 符合 (conformity) 滿足要求(3.14) | “ 符合 ”一詞適用於所有要求,包括相關 MSS 中指定的要求。 “ 合規性 ”一詞的含義可能與“符合性”一詞不同,在 HS 中不使用。 MSS 讀者如果需要包括與合規性相關的特定專業領域要求,應參考 ISO 37301(合規管理系統-使用指南要求)以獲取更多資訊。 |
3.16 不符合 (nonconformity) 不滿足要求(3.14) | 不符合與未滿足要求事項(見3.14)有關,包括 MSS 指定或組織作為其 MS 組成部分採用的要求(例如產品、流程、與相關方的協議)。 |
3.17 矯正措施 (corrective action) 採取行動消除不符合的原因(3.16)並防止再次發生 | 沒有額外的指引 |
3.18 稽核 (audit) 為有系統、獨立及文件化,獲取稽核證據,並客觀地評估,以決定稽核準則 (audit criteria) 符合程度之過程(3.8) 條文註釋 1:稽核可為內部稽核 (第一方 )或外部稽核 (第二方或第三方 ),且可為合併稽核 (合併 2 或多項專業領域 )。 條文註釋 2:內部稽核由組織本身(3.1)或外部方代表其進行。 條文註釋 3:“ 稽核證據 (audit evidence) ” 和 “ 稽核準則 (audit criteria) ” 在 [ ISO 19011 詞彙 ] 中定義。 | 如果 MSS 讀者需要包含與稽核相關的其他特定專業領域定義,他們應該參考 ISO 19011 管理系統稽核指引 - 詞彙。 |
3.19 量測 (measurement) 用以決定值之過程(3.8) | 測量包括使用測量儀器、裝置、系統或測量等測量資源來確定一個值(例如,實體數量、屬性)。 |
3.20 監督 (monitoring) 確定系統、流程(3.8)或活動的狀態 條文註釋 1:要確定狀態,可能需要檢查、監督或嚴格觀察。 | MSS 讀者需要意識到監視和測量之間的區別。 監視可以但不一定涉及間隔量測(見3.19),特別是為了監管或控制的目的。 |
4. 組織的背景 | |
4.1 瞭解組織及其背景組織應決定與其目的有關,且影響達成其 XXX 管理系統預期成果能力之內部及外部議題。 條文註釋 1:組織決定內部及外部議題的方法,可參考 ISO 31000,風險管理 - 指引, 條款 5.4.1 瞭解組織及其全景. | 條文的意圖 確保組織,瞭解可能對組織產生積極 (正面, positive) 或消極 (負面, negative) 影響的議題,及影響其實現 XXX MS 預期結果 (expected results) 的能力。 然後,過程中獲得的知識用於指導 MS 的規劃、實施、操作、評估和改進。 組織決定的議題,是 MSS 其他幾項條文的重要依據,包括確定範圍、風險和機會,以及對管理審查的參考等。 MSS 讀者指南 MSS 讀者應該意識到,“ 議題 (issue) ”一詞的意思,是“ 辯論或討論的重要話題或問題”。 它可以對組織產生積極 (正面, positive) 或消極 (負面, negative) 的影響。 部分 MSS 可能會規定與瞭解組織及其背景相關的額外要求,這些要求是其專業領域特有的。 MSS 讀者可能需要考慮其特定專業領域的議題範例包括: 檢查組織的外部前後環節可包括但不限於: -無論是國際、國家、區域或地方的社會、文化、政治、法律、法規、財務、技術、經濟及環境因素。 -影響組織的目標之關鍵驅動因素與趨勢。 -外部利害相關方的關係、感受、價值觀、需求及期望。 -合約關係與承諾。 -網路與依存性的複雜性。 檢查組織的內部前後環節可包括但不限於: -願景、使命及價值觀。 -治理、組織的結構、角色及當責。 -策略、目標及政策。 -組織之文化。 -組織所採用的標準、指導綱要及模式。 -依據資源與知識 (例:資金、時間、人員、智慧財產權、過程、系統及技術) 的觀點所瞭解之能力。 -資料、資訊系統及資訊流。 -與內部利害相關方之關係,將其感受與價值觀納入考量。 -合約關係與承諾。 -相互依存性與相互連結性。 |
4.2 瞭解關注方之需求 (needs) 及期望 (expectations)組織應決定 (determine) 下列事項:
| 條文的意圖 具體說明理解適用於 MS 的關注方的需求和期望的要求事項。 相關關注方及其相關要求事項,是 MSS 其他幾項條文的重要依據,包括確定範圍、風險和機會,以及對管理審查的參考等。 MSS 讀者指南 MSS 可能會規定額外的要求,以瞭解關注方對其特定專業領域 MSS 的需求和期望。 他們還可以澄清應該針對特定 MSS 解決誰,以及哪些需求和期望。例如,
MSS 讀者還應該意識到,並非所有關注方的要求都必然成為組織的要求。
MSS 在制定任何特定專業領域的要求時,可能需要考慮的潛在的關注方可能包括,但不限於下列:
MSS 可能需要考慮的關注方要求事項可能包括,但不限於下列:
|
4.3 確定 XXX 管理系統的範圍組織應決定 XXX 管理系統之邊界 (boundaries) 及適用性 (applicability),以建立其範圍。 於決定範圍時,組織應考量下列事項:
範圍應以文件化資訊提供。 | 條文的意圖 建立 MS 將適用的實體和組織邊界。 MSS 讀者指南 MSS 讀者應該意識到,該組織 MS 的可信賴程度,與其邊界和適用性的適當選擇有很大的關係。 關於範圍的文件化資訊,應是 MS 邊界內包含的組織業務流程和運營的事實和代表性宣告,不應誤導各關注方。 MSS 讀者應注意不要混淆 MS 的實施範圍以及 MS 驗證的範圍。 ![]() |
4.4 XXX 管理系統組織應根據本文件的要求事項,建立、實施、維護和持續改進 XXX 管理系統,包括所需的流程及其互動 | 條文的意圖 確保組織的流程和其他元素根據 MSS 形成有效的 MS(見 3.4),同時考慮到組織的背景(見 4.1 至 4.3)。 MSS 讀者指南 MSS 讀者應該知道,這裡所提到的流程,指的是包括滿足、支持第 4、5、6、7、8、9 和 10 條文要求所需的所有流程,無論這些流程是由內部,還是由外部供應商提供。 |
5. 領導作為 | |
5.1 領導及承諾最高管理階層應藉由下列事項,展現對 XXX 管理系統之領導及承諾:
條文註釋:本標準中對 “業務 (business) ”的引用,可以廣義地解釋為那些對組織存在目的至關重要的活動。 | 條文的意圖 確定最高管理階層直接參與的行動,以展示其對 MS 的領導及承諾。 組織最高管理階層的明顯支援、參與和承諾對於成功實施 MS 很重要。
“商業 (business) ” 的概念可以包括營利性或非營利性目的的活動,也可以指私人或公共實體(例如包括政府)開展的活動。 MSS 讀者指南 MSS 讀者應該注意,本條款部分中使用的 “ 確保 (ensuring) ”一詞意味著最高管理階層不一定自己執行所有這些行動(這樣做的權力可以委託給其他人),但最高管理階層負責確保執行這些行動。 一些特定專業領域的 MSS(例如 ISO 37001)需要區分 “ 最高管理階層 (top management) ” 和 “ 治理機構 (governing body) ”。 如果此 “ 治理 ” 功能由最最高管理階層以外的角色提供,那麼 MSS 應在本條款中包含與該角色相關的要求。 關於 治理機構 (governing body),在 ISO 37001:2016,3.7 給出了“ 治理機構 (governing body) ” 以下的定義: 3.7 治理機構 (governing body) 對組織的活動、治理和政策,負有最終責任和權力的團體或機構,且由最高管理階層負責向其報告。 條文註釋 1:並非所有組織,特別是小型組織,都設有一個獨立於最高管理階層的治理機構。 條文註釋 2:治理機構可以包括但不限於董事會、董事會委員會、監事會、受託人或監督員。 與 MSS 相關的治理概念,可以參考以下文件:
|
5.2 XXX 政策最高管理階層應建立包含下列事項之 XXX 政策 a)適合於組織之目的; b)包括 XXX 目標或提供設定 XXX 目標使用之框架; c)包括對滿足相關於 XXX 之適用要求事項的承諾; d)包括對持續改善 XXX 管理系統之承諾。 XXX 政策應符合下列項目:
| 條文的意圖 要求最高管理階層明確組織在有效實施 MS 時,所需的意圖和方向,同時考慮到組織的宗旨。 XXX 政策用於制定組織為自己設定的 XXX 目標。 MSS 讀者指南 MSS 讀者需要意識到,雖然該政策需要包括滿足適用要求的承諾。 但期望有效的 MS 提供完全符合所有此類要求的保證是不切實際的。 |
5.3 角色 (roles)、責任 (responsibilities) 及權限 (authorities)最高管理階層應確保 XXX 相關角色之責任 (responsibilities) 及權限 (authorities) 已指派並傳達。 最高管理階層應指派下列責任及權限: a)確保 XXX 管理系統符合本標準之要求事項; b)向最高管理階層報告 XXX 管理系統之績效。 | 條文的意圖 要求最高管理階層分配和溝通組織內相關角色的責任和權限,特別是那些確保 XXX MS 符合 MSS 和 MS 績效要求的角色的責任和權限,將向最高管理階層報告(見 5.1)。 MSS 讀者指南 MSS 可能會為其特定專業領域的 MSS 規定與特定角色相關的額外要求。 例如,與確保 MS 符合 MSS 要求的責任和權限相關的要求,可能會分配給個人、多個個人或一個團隊,例如,隱私保護官 (Data Protection Officer, DPO)、隱私保護代表 (Data Protection Representative, DPR)。 |
6. 規劃 | |
6.1 因應風險及機會之行動於規劃資訊安全管理系統時,組織應考量 4.1 所提及之議題及 4.2 所提及之要求事項, 並決定需因應之風險及機會, 以達成下列事項:
組織應規劃下列事項: a)因應此等風險及機會之行動; b)如何
| 條文的意圖 透過定義需要考慮什麼,和需要解決的問題,來具體說明所需的規劃,以實現保證、預防和持續改進 6.1 中的要求。 規劃需要考慮與 4.1 中確定的組織背景,和 4.2 中確定的要求事項相關的問題,以便組織確定需要解決的潛在正面和負面影響。 MSS 讀者指南 MSS 讀者需要意識到,HS 既包括 6.1 中與風險和機會相關的明確要求,也包括其餘條款中風險和機會的部署。 MSS 可能需要解決特定專業領域的事件、場景或情況(無論是計劃還是計劃外),這些事件、情景或情況可能導致偏離預期。 偏離預期的影響可能會產生積極或消極的影響,而不是偏差本身。 MSS 可能會新增特定專業領域的要求,以解決可能產生不可接受的負面影響的風險(或 XXX 風險)。 在這些情況下,謹慎的做法是集中精力消除或減輕風險。 然而,如果風險(或緩解行動)對組織產生潛在的正面影響,那麼謹慎的做法是認識到並考慮利用這個機會。 如果 MSS 需要新增特定專業領域的要求來解決風險(例如,由於監管或部門問題),他們應該澄清正式風險管理的必要性,並商定任何風險評估和風險處理要求。在新增任何與風險和機會相關的特定專業領域要求時,MSS 讀者應瞭解第 4、6 和 8 條之間的連結,並確保這些要求得到維護。 6.1 中提到的規劃基於組織的背景(第 4 條),然後透過運營規劃(8.1)進一步部署。 MSS 讀者也可以參考以下標準:
MSS 可能會引入特定專業領域的要求,或就管理 MSS 內部的機會提供指引。 在這樣做時,他們應該認識到 “ 機會 (opportunity) ” 不是 HS 中定義的術語,因此通用字典含義適用,除非 MSS 自己選擇定義該術語。 “ 機會 (opportunity) ”一詞的典型字典含義是 “ 使做某事成為可能的時間或一組情況”。一些機會可以透過規劃來預見和確定;另一些機會則不能。 兩者都可以為運營和改善活動提供寶貴的參考(見第 8 條和第 10 條)。 MSS 可能會考慮特定專業領域的機會來源,這些機會來源可能會被識別或發現。 例如,這些可能包括,但不限於下列:
|
6.2 XXX 目標及其達成之規劃組織應於各相關部門及層級建立 XXX 目標。 XXX 目標應: a)與 XXX 政策保持一致; b)可衡量(如果可行); c)考慮適用的要求; d)受到監控; e)被溝通; f)酌情更新; g)作為文件化資訊提供。 在規劃如何實現其 XXX 目標時,組織應確定:
| 條文的意圖 為了確保 XXX 政策得到目標的支援,這些目標部署在組織的相關部分,並制定實現這些目標的計劃。 MSS 讀者指南 MSS 讀者應意識到與其他條款的以下連結,並確保任何其他特定專業領域要求與它們一致:
MSS 應以允許確定其實現的方式說明與目標相關的任何特定專業領域要求。 MSS 讀者應該意識到,雖然 6.2 要求目標是可衡量的,但這並不一定意味著它們必須被量化。 當有適當證據支援時,也可以考慮定性結果(例如 “ 是 / 否 ” 答案)。 透過列入 “ 如果可行 (if practicable) ” 的警告,人們認識到,在衡量目標實現情況時,可能會出現不可行的情況。 然而,MSS 可能會定義特定專業領域的要求,即某些目標的成就總是必須衡量( 這將會凌駕於“ 如果可行 (if practicable) ” 要求)。 當需要定期檢查和更新目標的狀態和進展以確定其專業領域時,MSS 也可以參考其他 MSS 條款。 如果 MSS 讀者選擇包含與目標相關的特定績效指標的要求,則應在第 9 條中說明;而不是在 6.2 條中說明。 |
6.3 變更規劃當組織確定需要變更 XXX 管理系統時,應以有計劃的方式進行變更。 | 條文的意圖 確保組織在變更期間和之後,都能實現其 XXX MS 的預期結果。 導致變更的情況可以是有計劃的或計劃外的(見 6.1),但變更本身需要以有計劃的方式進行。 MSS 讀者指南 MSS 讀者需要意識到,計劃變更的方式可能會有所不同,這取決於導致需要變更的情況以及要進行的變更的複雜性和嚴重性。 MSS 讀者需要考慮的變更型別可能取決於特定專業領域的 MSS。 例子包括:
如果他們需要新增特定專業領域的要求,MSS 讀者應考慮參考 8.1來實施和控制計劃的變更。 |
7. 支援 | |
7.1 資源組織應決定並提供建立、實作、維持及持續改善 XXX 管理系統所需之資源。 | 條文的意圖 確定並提供建立、實施、維護和改進 MS 所需的資源。 資源應適當,以確保 MS 的運營有效實現其預期結果。 MSS 讀者指南 MSS 讀者可能會為特定於其專業領域的資源規定額外的要求。 例如:
希望對 “ 資源 ” 新增特定專業領域要求的 MSS 可以諮詢其他MSS(請參閱一般指南以及以下內容):
|
7.2 能力組織應:
應保存適切之文件化資訊, 作為勝任之證據 條文註釋:適用之行動可能包括,例:對現有員工提供訓練、指導或重新指派, 或是雇用或委外勝任人員。 | 條文的意圖 確定並確保人員滿足 MSS 要求和實現 MS 目標所需的能力。 MSS 讀者指南 MSS 讀者應該知道,該條款應與許可權定義(見 3.9)和 7.2 中的註釋一起考慮,該條文註釋提到了可以實現能力的不同行動。 如果 MSS 讀者需要提到訓練作為確保能力的一種方式,那麼作為新專案符號新增的額外要求範例,可以寫成 “ 確定與其 XXX 管理系統相關的培訓需求 ”。 對於一些 MSS 來說,短語 “ XXX performance ” 改變了要求的含義。 在這種情況下,只要要求的意圖不變,MSS 可以使用替代文字進行澄清。 在新增特定專業領域的要求時,MSS 讀者應避免將提高認知的要求與實現能力所需的要求混為一談。 與認知相關的要求應包含在 7.3 中。 希望新增特定專業領域 “ 能力 ” 要求的 MSS 讀者可以諮詢其他 MSS(見一般指南)以及以下內容:
|
7.3 認知於組織控制下執行工作之人員,應認知下列事項:
| 條文的意圖 確保組織中的人員瞭解相關政策和 MSS 要求,以及可能對 MS 預期結果產生影響的任何情況或方面。 MSS 讀者指南 希望新增特定專業領域 “ 認知 ” 要求的 MSS 可以諮詢其他MSS(見一般指南)。 人們可能需要注意的其他專案可能包括:
|
7.4 溝通或傳達組織應決定,相關於 XXX 管理系統之內部及外部溝通或傳達的需要,包括下列事項:
| 條文的意圖 確保有關 XXX MS的資訊在相關相關方之間有效傳達。 MSS 讀者指南 希望對 “ 溝通 ” 新增特定專業領域要求的 MSS 應考慮與其他需要溝通的條款的關係。 他們還可以諮詢其他MSS(見一般指南)。 HS 的其他條款需要有效溝通的主題包括,但不限於下列:
此類額外要求的例子可能包括:
|
7.5 文件化資訊7.5.1 一般組織之 XXX 管理系統應包括下列內容: a)本標準要求之文件化資訊; b)由組織所決定對 XXX 管理系統有效性,必要之文件化資訊。 條文註釋:XXX 管理系統的文件化資訊範圍可能因組織而異,原因如下:
7.5.2 建立和更新文件化資訊於制訂及更新文件化資訊時,組織應確保適切之下列項目:
7.5.3 對文件化資訊之控制應控制 XXX 管理系統及本標準要求之文件化資訊,以確保下列事項: a)其於需要處及需要時為可用及適用; b)其受適切保護 (例: 防止漏失機密性、不當使用或漏失完整性)。 為控制文件化資訊,組織應於適當時,闡明下列活動:
於適當時,應識別及控制由組織所決定對 XXX 管理系統之規劃及運作為必要之外部來源的文件化資訊。 條文註釋:存取意謂關於文件化資訊僅可檢視之許可、或檢視及變更文件化資訊之許可及權限的決策等。 | 條文的意圖 定義為有效實施 MS 而需要建立、控制和維護的文件化資訊。 ![]() 這包括記錄在案的資訊,即:
MSS 讀者指南 整個 7.5 的文字應與 “文件化資訊” 的定義一起考慮(見3.10)。 在新增特定專業領域的文字時,MSS 應瞭解 7.5.1 中註釋的意圖,以指出在定義文件化資訊的範圍時應考慮的因素,如組織的規模、型別和複雜性,以及人員的能力 MSS 可能會對特定於其專業領域的文件化資訊規定額外的要求。 例如,ISO 9001 特別要求控制外部提供商提供的 MS 所需的相關文件化資訊。 希望對 “文件化資訊” 新增特定專業領域要求的 MSS 可以諮詢其他 MSS(見一般指南)以及以下內容:
MSS 讀者還應該知道,MS 需要文件化的資訊,可能與組織建立的其他資訊管理或文件系統整合。 |
8 運作 | |
8.1 運作之規劃及控制編撰說明:如果沒有在第 8 條中新增其他子條款,則此子條款標題將被刪除。 組織應規劃、實作及控制達成 XXX 要求事項所需之過程,並實作 6 中所決定之行動:
組織應保存文件化資訊,其程度必須具有足以達成其過程已依規劃執行之信心 組織應控制計劃中之變更,並審查非預期變更之後果,必要時採取行動以減輕任何負面影響。 組織應確保外部提供的與 XXX 管理系統相關的流程、產品或服務受到控制。 | 條文的意圖 要求組織透過在運作層面規劃、實施和控制其流程,來部署根據第 6條進行的規劃。 這包括任何外部提供的流程。 透過提及第 6 條,這一要求包括在確定流程控制範圍時考慮風險和機會、XXX 目標和變更規劃。 MSS 讀者指南 運作規劃可以比第 6。條中的規劃更詳細,以支援 6.1 和 6.2 中確定的計劃行動,並確保有效部署 6.3 中確定的任何計劃變更。 第 8 條通常是 HS 中 MSS 新增最特定專業領域要求的領域。 因此,在許多 MSS 中,第 8 條通常比其他條款長。 MSS 可能會新增特定專業領域的要求,以確保對操作流程的控制。 例如:
如果 MSS 需要新增與供應商(“ 流程、產品或服務的外部提供商 ”)相關的特定專業領域文字,他們應該作為第 8 條的一部分。這樣做。 他們還需要意識到,即使外部提供商不在 MS 的範圍之外,對外部提供的與 XXX MS 預期結果相關的流程、產品或服務的控制也在範圍內。 外部供應商可以包括組織的公司總部、關聯公司、供應商或組織要求提供流程、產品或服務的人。 |
9 績效評估 | |
9.1 監督 (monitoring)、量測 (measurement)、分析 (analysis) 及評估 (evaluation)組織應評估 XXX 績效及 XXX 管理系統之有效性。 該組織應確定:
組織應保存適切之文件化資訊,作為監督及量測結果的證據。 | 條文的意圖 明確對 MS 及其流程(包括流程輸入和結果)的監測、測量、分析和評估的要求,以確定計劃活動實現和計劃結果的實現程度。 透過監測、測量、分析和評估獲得的資訊,旨在酌情用於組織的不同層次,以支援與各自活動相關的決策,並推動持續改進。 MSS 讀者指南 讀者應瞭解 3.19 和 3.20 中的 “ 監督 ” 和 “ 測量 ” 活動之間的差異。 建議在第 7 條中包括任何針對監測和測量資源的專業領域要求。 |
9.2 內部稽核9.2.1 一般組織應依規劃之期間施行內部稽核,以提供XXX 管理系統是否: a)符合:
b)有效實作 (effectively implemented)及維持 (maintained)。 9.2.2 稽核方案 (audit programme)組織應規劃、建立、實作及維持稽核方案 (audit programme), 包括頻率、方法、責任、規劃要求事項及報告。 在建立內部稽核規劃時,組織應考慮相關流程的重要性和以往稽核的結果。 該組織應: a)定義每次稽核的稽核目標、準則和範圍; c)確保稽核之結果對相關管理階層報告。 應保存文件化資訊作為稽核方案實施及稽核結果之證據。 | 條文的意圖 明確規劃、實施和維護內部稽核方案 (audit programme) 的要求,以促進對 MS 績效的評估,並定義所需的文件化資訊。 MSS 讀者指南 MSS 稽核可參考 其他特定專業領域 MSS 稽核可以發現參考 ISO Auditing Practices Group 提供的指引: |
9.3 管理審查9.3.1 一般最高管理階層應於規劃之期間,審查組織之XXX 管理系統,以確保其持續的適宜性 (suitability)、充分性 (adequacy)、有效性 (effectiveness)。 9.3.2 管理審查輸入管理審查應包括: a)過往管理審查之議案的處理狀態; b)與 XXX 管理系統有關之內部及外部議題的變更; c)與 XXX 管理系統相關的關注方的需求和期望的變化; d)關於 XXX 表現的資訊,包括以下趨勢:
e)持續改進的機會。 9.3.3 管理審查結果管理審查的結果應包括與持續改進機會有關的決定,以及對 XXX 管理系統的任何變更需求。 組織應保存文件化資訊,以作為管理審查結果之證據 | 條文的意圖 明確要求最高管理階層審查 MS,包括要涵蓋的資訊和預期結果。 最高管理階層參與管理審查,是推動 MS 變更(6.3)和直接持續改進優先事項(第 10 條)的機制,特別是在組織背景變更和偏離預期結果方面,同時也提供了發現潛在可改進機會 (opportunity for improvement, OFI) 的有利環境。 |
10 改善 | |
10.1 持續改善組織應持續改善 XXX 管理系統之合宜性、適切性及有效性 | 條文的意圖 指出 MS 的哪些方面需要不斷改善。 MSS 讀者指南 MSS 讀者需要意識到,HS 採用的術語是 “ 持續改善 (continual improvement) ”,而不是“ 連續改善 (continuous improvement) ”。
如果 MSS 讀者希望包含有關 “ 適宜性 (suitability) ”和“充分性 (adequacy) ”等詞的指引,他們可以參考 9.3 提供的指引。 一些特定專業領域的 MSS 在第 10 條的開頭插入了 “ 一般 ” 子條款,包含但不限於下列不同型式的持續改善建議:
|
10.2 不符合 (nonconformity) 項目及矯正措施不符合項目發生時,組織應有下列作為: a)對不符合項目反應,並於適當時採取下列作為:
b)評估採取行動消除不符合原因的必要性,以便它確實不復發或發生在其他地方,透過:
c)實作所有所需行動; d)審查所有所採取矯正措施 (corrective action) 之有效性; e)如有必要,對 XXX 管理系統進行變更。 矯正措施應適合 (appropriate) 所發現的不符合事項的影響。 組織應保存文件化資訊,以作為下列事項之證據:
| 條文的意圖 指定需要的回應,以解決未滿足與流程、流程結果、產品、服務、MS 或影響 MS 實現預期結果能力的任何其他要求相關的要求。 MSS 讀者指南 MSS 讀者可能會規定額外的特定專業領域要求,以提供不符合要求和矯正措施的背景。 這可能是針對 MSS 的,也可能與監管要求有關。 在制定任何特定專業領域的要求時,MSS 應注意以下內容:
|
如果有任何其他需求,歡迎您與我們聯繫:info@tksg.global