管理系統標準共通結構與基礎觀念

什麼是管理系統 (management system)

管理系統,是組織管理與其業務相互關聯的活動以實現其組織目標的方法。 這些目標可能涉及許多不同的主題,包括產品或服務品質、運營效率、環境績效、資訊安全、工作場所的健康和安全等等。


管理系統的複雜程度,取決於每個組織的具體情況。對於某些組織,尤其是較小的組織,這可能僅僅意味著擁有來自企業主的強而有力的領導,明確定義每個員工的期望以及他們如何為組織的整體目標做出貢獻,而無需大量文件化資訊 (documented information)。 例如,在高度監管的行業中,運營的更複雜的企業可能需要大量的文件化資訊和控制,以履行其法律義務並實現其組織目標。


專家普遍認可 ISO 所採用的流程導向管理模型

ISO 管理系統標準 (Management System Standards, MSS) 所提供的管理方法,是全球在組織管理、領導統御、效率和有效性流程實作的領域專家所共同推薦的結果。 


MSS 標準可以由任何組織實施,無論大小。


有效的管理系統對組織的好處包括,但不限於:


  • 更有效率地 (efficient) 利用資源並改善財務績效


  • 改善風險管理以及對人員和環境的保護


  • 提高及提供一致和改進的服務和產品的能力,從而為客戶和所有關注方 (interested parties) 增加價值


ISO 管理系統標準 (MSS) 和協調結構 (harmonized structure) 的概念

管理系統標準 (MSS) 是 ISO 發布的最廣泛使用和全球品質專家認可的文件之一。

它們包括,但不限於下列幾類:

  • ISO 9001 (品質管理),
  • ISO 14001 (環境管理),
  • ISO/IEC 20000-1 (IT 服務管理),
  • ISO 22000 (食品安全管理),
  • ISO 22301 (營運持續管理),
  • ISO/IEC 27001 (資訊安全管理); 
  • ISO 45001 (職業安全衛生管理); 和 
  • ISO 50001 (能源管理) ...等標準。

事實上,ISO 有超過 80 多種管理系統標準。有很多東西要了解,即使是經驗豐富的標準用戶,也可能想查閱完整列表或了解有關 MSS 工作原理的更多信息。


基本原則之一,是所有標準都可以協同工作。那些已經在其業務的一部分中使用 MSS,並正在考慮在另一領域實施其他 MSS 的人會發現該過程已盡可能直觀。這要歸功於協調結構 (HS)。 HS 的概念是管理標準以相同的方式構建,無論應用領域如何。熟悉一個 MSS 的用戶會立即對另一個 MSS 感到放心,即使是第一次使用。


Annex SL:不僅僅是一個共享結構

除了以相同的方式佈局之外,管理系統標準的某些部分可以使用相同的本文。 這提高了連貫性和識別度,簡化了使用,並在稱為 “Annex SL” 的文件內容中進行了定義。 這意味著除了具有相同的結構之外,MSS 還可以包含許多相同的術語和定義。 這對於那些選擇運行一個可以滿足同時使用兩個或多個 MSS 要求的單一(有時稱為“整合 (integrated)”)管理系統的組織特別有用。


Annex SL 在標準的互相操作性,和用戶友好性方面發揮著關鍵作用,為全球無數 ISO 管理系統標準用戶提供。 您可以在此處找到有關目前最新 Annex SL 的信息




MSS 共通性結構 (規範)
MSS 讀者指南(資訊)



在以下文件中:

  • MS (management system) = 管理系統


  • MSS (management system standard) = 管理系統標準


  • MSS 讀者 = 負責實作特定專業領域 (discipline-specific) MSS 的個人或組織


  • HS  (harmonized structure) = 共通性結構,維持共通性的方法是透過定義 MSS 具有: 
    1. 相同的條款編號
    2. 相同的條款標題
    3. 相同的文字 
    4. 通用術語以及核心定義


  • XXX = 需要插入的管理系統標準(MSS)特定專業領域 (discipline-specific) 參照,例如:
    • 能源 (energy, e.g. EnMS) 、
    • 資訊安全 (information security, e.g. ISMS)
    • 食品安全 (food safety, e.g. FSMS)、
    • 環境 (environment, e.g. EMS)、
    • 品質 (quality, e.g. QMS)

一般

a)MSS 讀者應該知道,一個組織可以在單個 MS 中滿足多個 MSS 的要求。 因此,他們應該致力於確保任何額外的特定專業領域要求都可以整合到這樣的系統中。[ MSS 的完整列表 ]。 

b)HS 中有許多使用動詞 “ 決定 (determine) ” 的要求。 MSS 讀者應該知道,這並不特別要求提供文件化資訊 (documented information) 作為符合性證據。

c)對於認為不需要額外指引的條款,本欄被標記為 “ 沒有額外指引 (No additional guidance) ”。

簡介

本節文字使用共通性結構(即相同的條款編號、條款標題、文字和通用術語以及核心定義)編寫,旨在加強 MSS 之間的一致性,並鼓勵需要滿足兩個,或多個此類標準要求的組織,實施這些標準。

標準使用以下動詞形式。
  • “應 (shall)”,表示要求事項
  • ”宜 ( should)“,表示推薦。
  • “可 (may)”,表示允許。
  • “能 (can)”,表示可能或能力(capability) 


另,MSS 可以新增條文註釋 (Notes),係提供暸解或釐清該相關要求之指引,以服務於每個標準的目的。

沒有額外指引

1. 範圍

本文件的範圍應涉及管理系統的預期結果。



預期結果 (intended results) ” 是指實施 MSS 預計將實現的結果。



2. 規範性參考


請參閱 ISO/IEC指令第2部 中,規範參考指南。



3. 術語和定義


通用術語和核心定義應包含在MSS 中,它們也可以包含在單獨的詞彙標準中。

在第 3 條款中,也可以包括特定專業領域的術語和定義。

包括ISO/IEC指令第2部分中指定的通用文字。

術語和定義的安排最好是按系統順序排列的,但可能與下文第 3 條中的順序不同。按字母順序是最不喜歡的順序。

以下術語和定義構成了管理系統標準統一結構的組成部分。 可以根據需要新增其他術語和定義。

如果文字 “ XXX ” 出現在本條款中,則應根據適用這些術語和定義的背景插入適當的參考。 例如:“ XXX 目標 ”可以替換為 “ 資訊安全目標 ”。

請參閱 ISO/IEC指令第2部 ,以及附錄 3 中關於術語和定義的指引。



3.1
組織 (organization)

為達成其目標(3.6)而具有責任、權限及關係之本身功能的個人或一群人

條文註釋 1:組織之概念包括但不僅限於自營商、公司、集團、商行、企業、官方機構、合夥企業、慈善團體或機構,或其部分或組合,不論是否為法人,公有或私有。

條文註釋 2:如果組織是較大實體的一部分,則術語 “ 組織 ” 僅指 XXX 管理系統(3.4)範圍內的較大實體的一部分。 

沒有額外的指引
3.2
關注方 (interested party)
利益相關者 (stakeholder) 
可影響、受影響,或知覺本身將受決策或活動影響之個人或組織 (3.1)


沒有額外的指引


3.3
最高管理階層 (top management)

於最高層級指導與控制組織(3.1)之個人或一群人。

條文註釋 1:最高管理階層有權力於組織內授權及提供資源。

條文註釋 2:若管理系統(3.4)範圍僅涵蓋組織(3.1)之某部分,則最高管理階層係針對指導與控制組織之該部分者

沒有額外的指引
3.4
管理系統 (management system)

一套相互關聯或交互作用的元件,組織(3.1)用以建立政策(3.5)及目標(3.6),以及用以建立達成該等目標之過程(3.8)

條文註釋 1:管理系統可以針對一個專業領域或多個專業領域。

條文註釋 2:管理系統元件包括組織之結構、角色及責任、規劃、運作等。

MS 的範圍可能包括整個組織、組織的特定和已確定的職能或活動、組織的特定和已確定的部分,或跨一組組織的一個或多個職能。

MSS 讀者應注意不要混淆 MSS 的範圍、MS 的範圍以及 MS 的任何最終認證的範圍
3.5
政策 (policy)

由組織最高管理階層(3.3)正式表達之組織 (3.1)宗旨及方針

沒有額外的指引
3.6
目標 (objective)

欲達成之結果。

條文註釋 1:目標可為策略面、戰術面或運作面。

條文註釋 2:目標可與不同領域 (諸如財務、衛生安全及環境目標 )有關,並可適用於不同等級 (諸如策略、整體組織、專案、產品及過程(3.8))。

條文註釋 3:目標可以其他方式表達,例:作為預期結果、目的、作業準則,作為 XXX 目標或使用其他具有類似意義之用語 (諸如意旨、目的、標的 )。

條文註釋 4:於 XXX 管理系統全景中,XXX 目標由組織(3.1)設定,與 XXX 政策(3.5)一致,以達成特定結果

沒有額外的指引
3.7
風險 (risk)

對目標之不確定性的效應

條文註釋 1:效應係與預期者之偏離,可為正面及 /或負面。

條文註釋 2:不確定性係資訊偏頗或不足之狀態,與事件、其後果或可能性之瞭解或知識相關。 

條文註釋 3:風險通常潛在事件(如 ISO Guide 73 風險管理 - 詞彙 所定義)和後果(如 ISO Guide 73 風險管理 - 詞彙 所定義)或這些事件組合為特徵。

條文註釋 4:風險通常以事件的後果(包括情況變化)和相關發生的可能性((如 ISO Guide 73 風險管理 - 詞彙 所定義)的組合來表示。

人們認識到,一些 MSS 專業領域對風險有自己的理解,這與其他專業領域並不完全一致,但多年來已被採用。

MSS 讀者需要意識到,HS 的主要優勢是使組織更容易將多個 MSS 的要求納入其管理系統。 因此,在導入與風險相關的特定術語條文或要求時,他們應該意識到儘可能保持一致性的必要性。

如果 MSS 讀者(由於特定專業領域或特定部門的要求)除了此處規定的一般概念外,還需要針對其使用者的特定風險組、類別或型別,他們應參考附件 SL 8.3.8。

有關更多資訊,MSS 讀者可以參考 ISO 31000 風險管理 - 指引
3.8
過程 (process)

使用或轉換輸入以交付結果的一系列相互關聯或互動的活動

條文註釋 1:過程的結果是否稱為輸出、產品還是服務,取決於引用的前後文。

沒有額外的指引
3.9
能力 (competence)

運用知識及技能達成所預期結果之能力。

沒有額外的指引
3.10
文件化資訊 (documented information)

被要求由組織(3.1)控制及維護之資訊,以及其所處的媒體。

條文註釋 1:文件化資訊,能採任何格式及媒體,且能來自任何來源。

條文註釋 2:文件化資訊可以指:
  • 管理系統(3.4),包括相關流程(3.8);
  • 為組織運作而建立的資訊(文件);
  • 達成成果的證據(記錄)。

MSS 讀者需要知道,“文件化資訊”是一個術語,表示為有效實施 MS 而需要記錄的任何資訊,並證明符合 MS 要求。 這包括相關 MSS 規定的要求,以及組織必須或選擇遵守的要求。

文件化資訊”一詞用於傳達這樣一個事實,即重點應主要放在資訊的交付上,而不是用於傳達資訊的媒介上。

文件化資訊”取代了一些 MSS 以前版本中使用的名詞“documentation”、“documents”、“records” 和 “documented procedures”。

MSS 讀者需要注意,每當提到整個 HS 的 “文件化資訊” 時,7.5中規定的要求都適用。

3.11
效能/績效 (performance)

可量測之結果

條文註釋 1:績效可能與定量或定性結果有關。

條文註釋 2:績效可能與管理活動、流程(3.8)、產品、服務、系統或組織(3.1)有關。

沒有額外的指引
3.12
持續改進 (continual improvement)
 
用以增強效能(3.11)之經常性活動

沒有額外的指引
3.13
有效性 (effectiveness)

實現所規劃活動並達成所規劃結果之程度

MSS 讀者在提到交付預期結果的能力時,只應使用 “ 有效性 (effectiveness) ”和 “ 有效 (effective) ” 這兩個術語。 重要的是不要將 “ 有效性 (effectiveness) ” 的概念與 “ 效率 (efficiency) ” 的概念混淆,後者將所取得的成果與所用資源相比有關。

3.14
要求事項 (requirement)
 
陳述之需求或期望,通常為隱含或強制

條文註釋 1:“一般暗示”是指組織(3.1)和關注方(3.2)的慣例或常見做法是隱含所考慮的需求或期望。

條文註釋 2:規定之要求事項係指已明述的要求,例如在文件化資訊(3.10)中。

沒有額外的指引
3.15
符合 (conformity)

滿足要求(3.14)

“ 符合 ”一詞適用於所有要求,包括相關 MSS 中指定的要求。

“ 合規性 ”一詞的含義可能與“符合性”一詞不同,在 HS 中不使用。

MSS 讀者如果需要包括與合規性相關的特定專業領域要求,應參考 ISO 37301(合規管理系統-使用指南要求)以獲取更多資訊。

3.16
不符合 (nonconformity)

不滿足要求(3.14)

不符合與未滿足要求事項(見3.14)有關,包括 MSS 指定或組織作為其 MS 組成部分採用的要求(例如產品、流程、與相關方的協議)。
3.17
矯正措施 (corrective action)

採取行動消除不符合的原因(3.16)並防止再次發生

沒有額外的指引
3.18
稽核 (audit)

為有系統、獨立及文件化,獲取稽核證據,並客觀地評估,以決定稽核準則 (audit criteria) 符合程度之過程(3.8)

條文註釋 1:稽核可為內部稽核 (第一方 )或外部稽核 (第二方或第三方 ),且可為合併稽核 (合併 2 或多項專業領域 )。

條文註釋 2:內部稽核由組織本身(3.1)或外部方代表其進行。

條文註釋 3:“ 稽核證據 (audit evidence) ” 和 “ 稽核準則 (audit criteria) ” 在 [ ISO 19011 詞彙 ] 中定義

如果 MSS 讀者需要包含與稽核相關的其他特定專業領域定義,他們應該參考 ISO 19011 管理系統稽核指引 - 詞彙
3.19
量測 (measurement) 

用以決定值之過程(3.8)

測量包括使用測量儀器、裝置、系統或測量等測量資源來確定一個值(例如,實體數量、屬性)。

3.20
監督 (monitoring) 

確定系統、流程(3.8)或活動的狀態

條文註釋 1:要確定狀態,可能需要檢查、監督或嚴格觀察。

MSS 讀者需要意識到監視和測量之間的區別。
監視可以但不一定涉及間隔量測(見3.19),特別是為了監管或控制的目的。

4. 組織的背景
4.1 瞭解組織及其背景

組織應決定與其目的有關,且影響達成其 XXX 管理系統預期成果能力之內部及外部議題。

條文註釋 1:組織決定內部及外部議題的方法,可參考 ISO 31000,風險管理 - 指引條款 5.4.1 瞭解組織及其全景.

條文的意圖
確保組織,瞭解可能對組織產生積極 (正面, positive) 消極 (負面, negative) 影響的議題,及影響其實現 XXX MS 預期結果 (expected results) 的能力。 然後,過程中獲得的知識用於指導 MS 的規劃、實施、操作、評估和改進。

組織決定的議題,是 MSS 其他幾項條文的重要依據,包括確定範圍、風險和機會,以及對管理審查的參考等。

MSS 讀者指南
MSS 讀者應該意識到,“ 議題 (issue) ”一詞的意思,是“ 辯論或討論的重要話題或問題”。 它可以對組織產生積極 (正面, positive) 消極 (負面, negative) 的影響。

部分 MSS 可能會規定與瞭解組織及其背景相關的額外要求,這些要求是其專業領域特有的。

MSS 讀者可能需要考慮其特定專業領域的議題範例包括:

檢查組織的外部前後環節可包括但不限於:
-無論是國際、國家、區域或地方的社會、文化、政治、法律、法規、財務、技術、經濟及環境因素。
-影響組織的目標之關鍵驅動因素與趨勢。
-外部利害相關方的關係、感受、價值觀、需求及期望。
-合約關係與承諾。
-網路與依存性的複雜性。

檢查組織的內部前後環節可包括但不限於:
-願景、使命及價值觀。
-治理、組織的結構、角色及當責。
-策略、目標及政策。
-組織之文化。
-組織所採用的標準、指導綱要及模式。
-依據資源與知識 (例:資金、時間、人員、智慧財產權、過程、系統及技術) 的觀點所瞭解之能力。
-資料、資訊系統及資訊流。
-與內部利害相關方之關係,將其感受與價值觀納入考量。
-合約關係與承諾。
-相互依存性與相互連結性。


4.2 瞭解關注方之需求 (needs) 及期望 (expectations) 

組織應決定 (determine) 下列事項:

    • 與 XXX 管理系統有關之關注方 (interested parties);

    • 此等關注方對 xxx 之要求事項

    • 這些要求事項中,哪一項將透過 XXX 管理系統得到解決。

條文的意圖
具體說明理解適用於 MS 的關注方的需求和期望的要求事項。

相關關注方及其相關要求事項,是 MSS 其他幾項條文的重要依據,包括確定範圍、風險和機會,以及對管理審查的參考等。

MSS 讀者指南
MSS 可能會規定額外的要求,以瞭解關注方對其特定專業領域 MSS 的需求和期望。 他們還可以澄清應該針對特定 MSS 解決,以及哪些需求和期望。例如,

  • ISO 9001 認為 “ 客戶 ” 是品質管理系統的主要(但不是唯一的)關注方。 


  • ISO 45001 認為 “工人” 是職業安全衛生管理系統的主要(但不是唯一的)關注方。

MSS 讀者還應該意識到,並非所有關注方的要求都必然成為組織的要求。
  • 有些可能不適用於組織或與 MS 相關。其他是 “ 強制性的 ” ,因為它們已被政府或法院訴訟納入法律、法規、許可證和執照,或者因為它們是由該組織所屬的公司實體的更高層級指定的。


  • 組織可能會決定自願或透過簽訂協議或合約來同意要求事項。 一旦透過自願或同意,這些將成為組織的要求事項(見 4.3)。 一些 MSS(如 ISO 14001)將這些稱為 “ 合規義務 (compliance obligations) ”(見3.15)

MSS 在制定任何特定專業領域的要求時,可能需要考慮的潛在的關注方可能包括,但不限於下列:
    • 監管機構(地方、區域、國家或國際);
    • 母組織或附屬組織;
    • 客戶;
    • 貿易和專業協會;
    • 社群團體;
    • 非政府組織;
    • 供應商;
    • 鄰居;
    • 合作伙伴;
    • 工人、公會、他們的代表、學徒和其他代表該組織工作的人;
    • 業主 / 投資者;
    • 競爭對手;
    • 學術界和研究人員;
    • 非政府組織。

MSS 可能需要考慮的關注方要求事項可能包括,但不限於下列:
    • 適用法律
    • 許可證、執照或其他形式的授權;
    • 政府法規
    • 法院或行政法庭的判決;
    • 該組織所屬的更大實體的要求;
    • 條約、公約和議定書;
    • 相關行業法規和標準
    • 已簽訂的合約
    • 與客戶、社群團體或非政府組織達成協議;
    • 與公共當局和客戶達成協議;
    • 透過採用自願原則或業務守則來滿足要求;
    • 自願符合或環境承諾;
    • 政策程序
    • 根據與該組織的合約安排產生的義務。


4.3 確定 XXX 管理系統的範圍

組織應決定 XXX 管理系統之邊界 (boundaries) 適用性 (applicability),以建立其範圍。

於決定範圍時,組織應考量下列事項:

    • 4.1 中所提及之內部外部議題


    • 4.2 中所提及之要求事項 (requirements)。 

範圍應以文件化資訊提供。



條文的意圖
建立 MS 將適用的實體和組織邊界。

MSS 讀者指南
MSS 讀者應該意識到,該組織 MS 的可信賴程度,與其邊界和適用性的適當選擇有很大的關係。

關於範圍的文件化資訊,應是 MS 邊界內包含的組織業務流程和運營的事實代表性宣告,不應誤導各關注方。

MSS 讀者應注意不要混淆 MS 的實施範圍以及 MS 驗證的範圍




4.4 XXX 管理系統

組織應根據本文件的要求事項,建立、實施、維護和持續改進 XXX 管理系統,包括所需的流程及其互動



條文的意圖
確保組織的流程和其他元素根據 MSS 形成有效的 MS(見 3.4),同時考慮到組織的背景(見 4.1 至 4.3)。

MSS 讀者指南
MSS 讀者應該知道,這裡所提到的流程,指的是包括滿足、支持第 4、5、6、7、8、9 和 10 條文要求所需的所有流程,無論這些流程是由內部,還是由外部供應商提供






5. 領導作為
5.1 領導及承諾

最高管理階層應藉由下列事項,展現對 XXX 管理系統之領導及承諾:

    • 確保已建立 XXX 政策及 XXX 目標,並與組織之策略方向相容;


    • 確保 XXX 管理系統要求事項整合入組織之各項過程;

    • 確保 XXX 管理系統所需之資源可取得;

    • 傳達有效之 XXX 管理的重要性,以及符合 XXX 管理系統要求事項之重要性;


    • 確保 XXX 管理系統達成其預期成果;


    • 指導及支援人員,以促進 XXX 管理系統之有效性;


    • 促進持續改進;


    • 當適用其他相關管理角色之責任範圍時, 加以支持以展現其領導權。

條文註釋:本標準中對 “業務 (business) ”的引用,可以廣義地解釋為那些對組織存在目的至關重要的活動。

條文的意圖
確定最高管理階層直接參與的行動,以展示其對 MS 的領導及承諾。

組織最高管理階層的明顯支援、參與和承諾對於成功實施 MS 很重要。

  • 最高管理階層設定了態度和期望,提高了意識和接受度,並激勵人們參與 MS 推動。


  • 最高管理階層可以向關注方保證管理系統的有效性。


  • 條款還特別強調,最高管理階層需要確保 MS 要求不被視為與業務運營方式 “ 分離 (separate) ”。

“商業 (business) ” 的概念可以包括營利性或非營利性目的的活動,也可以指私人或公共實體(例如包括政府)開展的活動。

MSS 讀者指南
MSS 讀者應該注意,本條款部分中使用的 “ 確保 (ensuring) ”一詞意味著最高管理階層不一定自己執行所有這些行動(這樣做的權力可以委託給其他人),但最高管理階層負責確保執行這些行動。

一些特定專業領域的 MSS(例如 ISO 37001)需要區分 “ 最高管理階層 (top management) ” 和 “ 治理機構 (governing body) ”。 如果此 “ 治理 ” 功能由最最高管理階層以外的角色提供,那麼 MSS 應在本條款中包含與該角色相關的要求。

關於 治理機構 (governing body),在 ISO 37001:2016,3.7 給出了“ 治理機構 (governing body) ” 以下的定義:

3.7
治理機構 (governing body)
對組織的活動、治理和政策,負有最終責任和權力的團體或機構,且由最高管理階層負責向其報告。

條文註釋 1:並非所有組織,特別是小型組織,都設有一個獨立於最高管理階層的治理機構。

條文註釋 2:治理機構可以包括但不限於董事會、董事會委員會、監事會、受託人或監督員。

與 MSS 相關的治理概念,可以參考以下文件:
  • ISO 18091,品質管理系統-ISO 9001在地方政府應用指南
  • ISO/IEC 38500,資訊科技-組織IT治理
  • ISO 37000,組織治理指南
  • ISO 37001,反賄賂管理系統-使用指南的要求
  • ISO 37301,合規管理系統-使用指南的要求
  • ISO/IEC 27014,資訊科技-安全技術-資訊保安治理


5.2 XXX 政策

最高管理階層應建立包含下列事項之 XXX 政策

a)適合於組織之目的;

b)包括 XXX 目標或提供設定 XXX 目標使用之框架;

c)包括對滿足相關於 XXX 之適用要求事項的承諾;

d)包括對持續改善 XXX 管理系統之承諾。

XXX 政策應符合下列項目:

    • 文件化資訊提供;


    • 在組織內進行溝通;


    • 適用時, 提供給關注方。



條文的意圖
要求最高管理階層明確組織在有效實施 MS 時,所需的意圖和方向,同時考慮到組織的宗旨。

XXX 政策用於制定組織為自己設定的 XXX 目標

MSS 讀者指南
MSS 讀者需要意識到,雖然該政策需要包括滿足適用要求的承諾。
但期望有效的 MS 提供完全符合所有此類要求的保證是不切實際的。



5.3 角色 (roles)、責任 (responsibilities) 及權限 (authorities)

最高管理階層應確保 XXX 相關角色之責任 (responsibilities) 及權限 (authorities) 已指派並傳達。

最高管理階層應指派下列責任及權限:

a)確保 XXX 管理系統符合本標準之要求事項;

b)向最高管理階層報告 XXX 管理系統之績效。



條文的意圖
要求最高管理階層分配和溝通組織內相關角色的責任和權限,特別是那些確保 XXX MS 符合 MSS 和 MS 績效要求的角色的責任和權限,將向最高管理階層報告(見 5.1)。

MSS 讀者指南
MSS 可能會為其特定專業領域的 MSS 規定與特定角色相關的額外要求。 例如,與確保 MS 符合 MSS 要求的責任和權限相關的要求,可能會分配給個人、多個個人或一個團隊,例如,隱私保護官 (Data Protection Officer, DPO)、隱私保護代表 (Data Protection Representative, DPR)。



6. 規劃
6.1  因應風險及機會之行動

於規劃資訊安全管理系統時,組織應考量 4.1 所提及之議題及 4.2 所提及之要求事項, 並決定需因應之風險及機會, 以達成下列事項:

    • 確保 XXX 管理系統達成其預期結果;


    • 預防或減少非所欲之影響;


    • 達成持續改進。

組織應規劃下列事項:

a)因應此等風險及機會之行動;

b)如何

      • 將這些行動整合並實作於 XXX 管理系統流程中;


      • 評估這些行動的有效性。

條文的意圖

透過定義需要考慮什麼,和需要解決的問題,來具體說明所需的規劃,以實現保證、預防和持續改進 6.1 中的要求。


其目的是預測潛在的情景和後果;這些要求是預防性的,要求組織在潛在的不良影響發生之前解決這些影響,同時要求組織尋找可以提供潛在優勢或益處的有利效果。

規劃需要考慮與 4.1 中確定的組織背景,和 4.2 中確定的要求事項相關的問題,以便組織確定需要解決的潛在正面和負面影響。

MSS 讀者指南
MSS 讀者需要意識到,HS 既包括 6.1 中與風險和機會相關的明確要求,也包括其餘條款中風險和機會的部署。 

MSS 可能需要解決特定專業領域的事件、場景或情況(無論是計劃還是計劃外),這些事件、情景或情況可能導致偏離預期。 偏離預期的影響可能會產生積極或消極的影響,而不是偏差本身。

MSS 可能會新增特定專業領域的要求,以解決可能產生不可接受的負面影響的風險(或 XXX 風險)。 在這些情況下,謹慎的做法是集中精力消除或減輕風險。 然而,如果風險(或緩解行動)對組織產生潛在的正面影響,那麼謹慎的做法是認識到並考慮利用這個機會。

如果 MSS 需要新增特定專業領域的要求來解決風險(例如,由於監管或部門問題),他們應該澄清正式風險管理的必要性,並商定任何風險評估和風險處理要求。在新增任何與風險和機會相關的特定專業領域要求時,MSS 讀者應瞭解第 4、6 和 8 條之間的連結,並確保這些要求得到維護。 6.1 中提到的規劃基於組織的背景(第 4 條),然後透過運營規劃(8.1)進一步部署。

MSS 讀者也可以參考以下標準:
  • ISO 31000,風險管理 - 指引
  • IEC 31010,風險管理 - 風險評估技術




MSS 可能會引入特定專業領域的要求,或就管理 MSS 內部的機會提供指引。 在這樣做時,他們應該認識到 “ 機會 (opportunity) ” 不是 HS 中定義的術語,因此通用字典含義適用,除非 MSS 自己選擇定義該術語。 “ 機會 (opportunity) ”一詞的典型字典含義是 “ 使做某事成為可能的時間或一組情況”。一些機會可以透過規劃來預見和確定;另一些機會則不能。 兩者都可以為運營和改善活動提供寶貴的參考(見第 8 條和第 10 條)。

MSS 可能會考慮特定專業領域的機會來源,這些機會來源可能會被識別或發現。
例如,這些可能包括,但不限於下列:
  • 分析偏離預期的情況;
  • 審查組織的背景;
  • 審查有關各方的需求和期望;
  • 原因分析;
  • 審查計劃外活動;
  • 創新;
  • 稽核結果(內部或外部);
  • 管理審查。

6.2 XXX 目標及其達成之規劃  

組織應於各相關部門層級建立 XXX 目標。

XXX 目標應:

a)與 XXX 政策保持一致;

b)可衡量(如果可行);

c)考慮適用的要求;

d)受到監控;

e)被溝通;

f)酌情更新;

g)作為文件化資訊提供。


在規劃如何實現其 XXX 目標時,組織應確定:

    • 將要做什麼;


    • 需要什麼資源;


    • 誰將負責;


    • 什麼時候完成;


    • 如何評估結果。

條文的意圖
為了確保 XXX 政策得到目標的支援,這些目標部署在組織的相關部分,並制定實現這些目標的計劃。

MSS 讀者指南
MSS 讀者應意識到與其他條款的以下連結,並確保任何其他特定專業領域要求與它們一致:

  • 對預算、專業技能、技術或基礎設施的任何需求都是根據 7.1 的要求確定和提供的;


  • 目標根據 7.4 的要求進行溝通;


  • 有關目標的文件化資訊根據 7.5 進行管理;


  • 運營規劃和控制需求在 8.1 中得到解決;


  • 評估所取得成就的總體結果的機制是根據 9.1 的要求確定。

MSS 應以允許確定其實現的方式說明與目標相關的任何特定專業領域要求。

MSS 讀者應該意識到,雖然 6.2 要求目標是可衡量的,但這並不一定意味著它們必須被量化。 當有適當證據支援時,也可以考慮定性結果(例如 “ 是 / 否 ” 答案)。

透過列入 “ 如果可行 (if practicable) ” 的警告,人們認識到,在衡量目標實現情況時,可能會出現不可行的情況。 然而,MSS 可能會定義特定專業領域的要求,即某些目標的成就總是必須衡量( 這將會凌駕於“ 如果可行 (if practicable) ” 要求)。

當需要定期檢查和更新目標的狀態和進展以確定其專業領域時,MSS 也可以參考其他 MSS 條款。

如果 MSS 讀者選擇包含與目標相關的特定績效指標的要求,則應在第 9 條中說明;而不是在 6.2 條中說明。

6.3 變更規劃

當組織確定需要變更 XXX 管理系統時,應以有計劃的方式進行變更。

條文的意圖
確保組織在變更期間和之後,都能實現其 XXX MS 的預期結果。 導致變更的情況可以是有計劃的或計劃外的(見 6.1),但變更本身需要以有計劃的方式進行。

MSS 讀者指南
MSS 讀者需要意識到,計劃變更的方式可能會有所不同,這取決於導致需要變更的情況以及要進行的變更的複雜性和嚴重性。

MSS 讀者需要考慮的變更型別可能取決於特定專業領域的 MSS。

例子包括:

  • 組織背景的變化;


  • 產品、流程、服務、運營、裝置或設施的計劃變更;


  • 員工或外部供應商的變更,包括承包商;


  • 要求的變更。

如果他們需要新增特定專業領域的要求,MSS 讀者應考慮參考 8.1來實施和控制計劃的變更。


7. 支援
7.1 資源

組織應決定並提供建立、實作、維持及持續改善 XXX 管理系統所需之資源。

條文的意圖
確定並提供建立、實施、維護和改進 MS 所需的資源。 資源應適當,以確保 MS 的運營有效實現其預期結果。

MSS 讀者指南
MSS 讀者可能會為特定於其專業領域的資源規定額外的要求。

例如:
  • 人力資源(人);
  • 特定專業領域的能力;
  • 組織知識;
  • 組織基礎設施(即建築物、通訊線路等);
  • 資通訊管理;
  • 技術;
  • 財政資源;
  • 工作環境或流程操作環境;
  • 時間(例如,為了實施倡議、專案等)。

希望對 “ 資源 ” 新增特定專業領域要求的 MSS 可以諮詢其他MSS(請參閱一般指南以及以下內容):

  • ISO 9001(品質管理系統-要求),包括對“組織知識”的要求


  • ISO 30401(知識管理系統-要求),它提供了有關組織知識重要性的資訊,並描述了其管理的整體方法


  • ISO 55001(資產管理-管理系統-要求),其中有一個關於“資訊管理”的特定子條款


7.2 能力

組織應:

    • 決定於組織控制下執行工作, 影響其 XXX 績效人員之必要能力;


    • 確保此等人員於適當教育、訓練或經驗之基礎上能勝任;


    • 於適當時, 採取取得必要能力之行動, 並評估所採取行動之有效性。

應保存適切之文件化資訊, 作為勝任之證據

條文註釋:適用之行動可能包括,例:對現有員工提供訓練、指導或重新指派, 或是雇用或委外勝任人員。

條文的意圖
確定並確保人員滿足 MSS 要求和實現 MS 目標所需的能力。

MSS 讀者指南
MSS 讀者應該知道,該條款應與許可權定義(見 3.9)和 7.2 中的註釋一起考慮,該條文註釋提到了可以實現能力的不同行動。

如果 MSS 讀者需要提到訓練作為確保能力的一種方式,那麼作為新專案符號新增的額外要求範例,可以寫成 “ 確定與其 XXX 管理系統相關的培訓需求 ”。

對於一些 MSS 來說,短語 “ XXX performance ” 改變了要求的含義。 在這種情況下,只要要求的意圖不變,MSS 可以使用替代文字進行澄清。

在新增特定專業領域的要求時,MSS 讀者應避免將提高認知的要求與實現能力所需的要求混為一談。 與認知相關的要求應包含在 7.3 中。

希望新增特定專業領域 “ 能力 ” 要求的 MSS 讀者可以諮詢其他 MSS(見一般指南)以及以下內容:

  • ISO 10015,品質管理-能力管理和人員發展指南


  • ISO 10018,品質管理-人員參與指南


7.3 認知

於組織控制下執行工作之人員,應認知下列事項:

    • XXX 政策;


    • 其對 XXX 管理系統有效性之貢獻, 包括改善之 XXX 績效的益處;


    • 未遵循 XXX 管理系統要求事項之可能後果。

條文的意圖
確保組織中的人員瞭解相關政策和 MSS 要求,以及可能對 MS 預期結果產生影響的任何情況或方面。

MSS 讀者指南
希望新增特定專業領域 “ 認知 ” 要求的 MSS 可以諮詢其他MSS(見一般指南)。

人們可能需要注意的其他專案可能包括:

  • XXX 目標,它們對實現這些目標和風險暴露的影響;


  • XXX 文化和特定的期望行為。

7.4 溝通或傳達

組織應決定,相關於 XXX 管理系統之內部及外部溝通或傳達的需要,包括下列事項:

    • 溝通或傳達事項;


    • 何時溝通;


    • 與誰溝通;


    • 如何溝通。

條文的意圖
確保有關 XXX MS的資訊在相關相關方之間有效傳達。

MSS 讀者指南
希望對 “ 溝通 ” 新增特定專業領域要求的 MSS 應考慮與其他需要溝通的條款的關係。 他們還可以諮詢其他MSS(見一般指南)。

HS 的其他條款需要有效溝通的主題包括,但不限於下列:

  • 有效的 XXX 管理和遵守 MSS 要求的重要性(見 5.1);


  • 政策(見 5.2);


  • 責任和權力(見 5.3);


  • MS 的績效(見 5.3);


  • 目標(見 6.2);


  • 稽核結果(見 9.2.2)。


此類額外要求的例子可能包括:

  • 多樣性方面(例如性別、語言、文化、識字、殘疾);


  • 確保內部和外部關注方的意見得到考慮。


7.5 文件化資訊

7.5.1 一般 

組織之 XXX 管理系統應包括下列內容:

a)本標準要求之文件化資訊

b)由組織所決定對 XXX 管理系統有效性,必要之文件化資訊


條文註釋:XXX 管理系統的文件化資訊範圍可能因組織而異,原因如下:

    • 組織規模, 以及其活動之型式、過程、產品及服務;


    • 各過程及其互動之複雜度;


    • 人員之能力。


7.5.2 建立和更新文件化資訊

於制訂及更新文件化資訊時,組織應確保適切之下列項目:

    • 識別及描述(例: 標題、日期、作者或參引號碼);


    • 格式(例: 語言、軟體版本、圖形)及媒體(例: 紙本、電子);


    • 合宜性及適切性之審查及核准。


7.5.3 對文件化資訊之控制

應控制 XXX 管理系統及本標準要求之文件化資訊,以確保下列事項:

a)其於需要處及需要時為可用及適用;

b)其受適切保護 (例: 防止漏失機密性、不當使用或漏失完整性)。

為控制文件化資訊,組織應於適當時,闡明下列活動:

    • 派送、存取、檢索及使用;


    • 儲存及保存, 包括可讀性之保存;


    • 變更之控制 (例: 版本控制);


    • 留存及屆期處置 (retention and disposition)。


於適當時,應識別及控制由組織所決定對 XXX 管理系統之規劃及運作為必要之外部來源的文件化資訊。

條文註釋:存取意謂關於文件化資訊僅可檢視之許可、或檢視及變更文件化資訊之許可及權限的決策等。

條文的意圖
定義為有效實施 MS 而需要建立、控制和維護的文件化資訊





這包括記錄在案的資訊,即:

  • 所有 MSS 都是必需的(如 7.5.1 和 HS 的相應條款所述);


  • 特定專業領域的 MSS 要求;以及


  • 由組織確定在其特定背景下進行必要的控制。

MSS 讀者指南
整個 7.5 的文字應與 “文件化資訊” 的定義一起考慮(見3.10)。 在新增特定專業領域的文字時,MSS 應瞭解 7.5.1 中註釋的意圖,以指出在定義文件化資訊的範圍時應考慮的因素,如組織的規模、型別和複雜性,以及人員的能力

MSS 可能會對特定於其專業領域的文件化資訊規定額外的要求。 例如,ISO 9001 特別要求控制外部提供商提供的 MS 所需的相關文件化資訊

希望對 “文件化資訊” 新增特定專業領域要求的 MSS 可以諮詢其他 MSS(見一般指南)以及以下內容:

  • ISO 30301,資訊和文件-記錄管理系統-要求


  • ISO 10013,品質管理系統-文件化資訊指南

MSS 讀者還應該知道,MS 需要文件化的資訊,可能與組織建立的其他資訊管理或文件系統整合。
8 運作
8.1 運作之規劃及控制

編撰說明:如果沒有在第 8 條中新增其他子條款,則此子條款標題將被刪除。

組織應規劃、實作及控制達成 XXX 要求事項所需之過程,並實作 6 中所決定之行動:

    • 為流程制定準則;


    • 根據準則對流程進行控制。

組織應保存文件化資訊,其程度必須具有足以達成其過程已依規劃執行之信心

組織應控制計劃中之變更,並審查非預期變更之後果,必要時採取行動以減輕任何負面影響。

組織應確保外部提供的與 XXX 管理系統相關的流程、產品或服務受到控制。

條文的意圖
要求組織透過在運作層面規劃、實施和控制其流程,來部署根據第 6條進行的規劃。 這包括任何外部提供的流程。 透過提及第 6 條,這一要求包括在確定流程控制範圍時考慮風險和機會、XXX 目標和變更規劃。

MSS 讀者指南
運作規劃可以比第 6。條中的規劃更詳細,以支援 6.1 和 6.2 中確定的計劃行動,並確保有效部署 6.3 中確定的任何計劃變更。

第 8 條通常是 HS 中 MSS 新增最特定專業領域要求的領域。 因此,在許多 MSS 中,第 8 條通常比其他條款長。

MSS 可能會新增特定專業領域的要求,以確保對操作流程的控制。 例如:

  • ISO 9001包括確定客戶要求、設計和開發、外部提供的流程、產品和服務、控制生產和服務提供、產品和服務交付的釋出以及控制不合格產出的要求;


  • ISO 14001包括從生命週期角度實施和控制流程的要求;


  • ISO 50001要求組織只有在缺乏控制可能導致偏離 XXX 政策或 XXX 目標的情況下才對流程建立控制;


  • ISO 55001將第 8 條的要求與 10.2 條的要求聯絡起來,考慮到當控制失敗時,組織可能需要採取糾正措施;


  • ISO 22000在定義對外部提供的產品、流程或服務的控制程度時應用了風險概念;


  • ISO/IEC 20000-1包括對一些服務管理流程的要求,包括配置管理、關係管理和資訊安全;


  • ISO/IEC 27001包括資訊安全風險評鑑和風險處理的操作要求。


  • ISO 30301包括設計和實施記錄流程、控制和系統的操作要求,將本條款與規範附件聯絡起來。

如果 MSS 需要新增與供應商(“ 流程、產品或服務的外部提供商 ”)相關的特定專業領域文字,他們應該作為第 8 條的一部分。這樣做。 他們還需要意識到,即使外部提供商不在 MS 的範圍之外,對外部提供的與 XXX MS 預期結果相關的流程、產品或服務的控制也在範圍內。 外部供應商可以包括組織的公司總部、關聯公司、供應商或組織要求提供流程、產品或服務的人。

9 績效評估
9.1 監督 (monitoring)、量測 (measurement)、分析 (analysis) 及評估 (evaluation)

組織應評估 XXX 績效及 XXX 管理系統之有效性。

該組織應確定:

    • 需要監督和測量的事項;


    • 監督、量測、分析及評估之適用方法,以確保有效的結果;


    • 執行監督及量測之時間;


    • 監督及量測結果應分析及評估之時間。

組織應保存適切之文件化資訊,作為監督及量測結果的證據。



條文的意圖
明確對 MS 及其流程(包括流程輸入和結果)的監測、測量、分析和評估的要求,以確定計劃活動實現和計劃結果的實現程度。

透過監測、測量、分析和評估獲得的資訊,旨在酌情用於組織的不同層次,以支援與各自活動相關的決策,並推動持續改進。

MSS 讀者指南
讀者應瞭解 3.19 和 3.20 中的 “ 監督 ” 和 “ 測量 ” 活動之間的差異。

建議在第 7 條中包括任何針對監測和測量資源的專業領域要求。




9.2 內部稽核

9.2.1 一般

組織應依規劃之期間施行內部稽核,以提供XXX 管理系統是否:

a)符合

      • 組織本身對其 XXX 管理系統之要求事項;


      • 本標準之要求事項;

b)有效實作 (effectively implemented)及維持 (maintained)。


9.2.2 稽核方案 (audit programme)

組織應規劃、建立、實作及維持稽核方案 (audit programme), 包括頻率、方法、責任、規劃要求事項及報告。

在建立內部稽核規劃時,組織應考慮相關流程的重要性和以往稽核的結果。

該組織應:

a)定義每次稽核的稽核目標、準則和範圍;

b)選擇稽核員施行稽核, 以確保稽核過程之客觀性 (objectivity) 公正性 (impartiality)

c)確保稽核之結果對相關管理階層報告。

應保存文件化資訊作為稽核方案實施稽核結果之證據。



條文的意圖
明確規劃、實施和維護內部稽核方案 (audit programme) 的要求,以促進對 MS 績效的評估,並定義所需的文件化資訊

MSS 讀者指南
MSS 稽核可參考

其他特定專業領域 MSS 稽核可以發現參考 ISO Auditing Practices Group 提供的指引:












9.3 管理審查

9.3.1 一般

最高管理階層應於規劃之期間,審查組織之XXX 管理系統,以確保其持續的適宜性 (suitability)、充分性 (adequacy)、有效性 (effectiveness)。


9.3.2 管理審查輸入

管理審查應包括:

a)過往管理審查之議案的處理狀態;

b)與 XXX 管理系統有關之內部及外部議題的變更;

c)與 XXX 管理系統相關的關注方的需求和期望的變化;

d)關於 XXX 表現的資訊,包括以下趨勢

      • 不符合項目及矯正措施;


      • 監督及量測結果;


      • 稽核結果;

e)持續改進的機會。


9.3.3 管理審查結果

管理審查的結果應包括與持續改進機會有關的決定,以及對 XXX 管理系統的任何變更需求。

組織應保存文件化資訊,以作為管理審查結果之證據



條文的意圖
明確要求最高管理階層審查 MS,包括要涵蓋的資訊和預期結果。

最高管理階層參與管理審查,是推動 MS 變更(6.3)和直接持續改進優先事項(第 10 條)的機制,特別是在組織背景變更和偏離預期結果方面,同時也提供了發現潛在可改進機會 (opportunity for improvement, OFI) 的有利環境。



10 改善
10.1 持續改善

組織應持續改善 XXX 管理系統之合宜性、適切性及有效性




條文的意圖
指出 MS 的哪些方面需要不斷改善。

MSS 讀者指南
MSS 讀者需要意識到,HS 採用的術語持續改善 (continual improvement) ”,而不是連續改善 (continuous improvement) ”。

  • 在 MSS 的背景下,這些術語不是同義詞,因此應避免在特定專業領域的 MSS 中引入“連續改善 (continuous improvement)” 一詞。 


  •  “ 持續 (continual) ”意味著在一段時間內發生,但可能存在中斷的間隔 ; 與 “ 連續 (continuous) ”不同,後者表示發生而不中斷)。 


  • 在“ 持續改善 (continual improvement) ”的背景下,期望隨著時間的推移,改善會定期發生。 


  • MSS 讀者還需要意識到,在某些語言中,這兩個詞之間沒有區別。

如果 MSS 讀者希望包含有關 “ 適宜性 (suitability) ”和“充分性 (adequacy) ”等詞的指引,他們可以參考 9.3 提供的指引。

一些特定專業領域的 MSS 在第 10 條的開頭插入了 “ 一般 ” 子條款,包含但不限於下列不同型式的持續改善建議:

    • 矯正措施 (corrective action)、

    • 持續改善 (continual improvement)、

    • 突破性變化 (breakthrough change)、

    • 創新 (innovation) 和

    • 組織再造 (re-organization)。 


10.2 不符合 (nonconformity) 項目及矯正措施

不符合項目發生時,組織應有下列作為:

a)對不符合項目反應,並於適當時採取下列作為:

      • 採取行動以控制修正 (correction) 之;


      • 處理後果;

b)評估採取行動消除不符合原因的必要性,以便它確實不復發或發生在其他地方,透過:

      • 審查不符合事項;


      • 決定不符合項目之原因;


      • 決定是否有類似之不符合項目存在, 或可能發生;

c)實作所有所需行動;

d)審查所有所採取矯正措施 (corrective action) 之有效性;

e)如有必要,對 XXX 管理系統進行變更。

矯正措施應適合 (appropriate) 所發現的不符合事項的影響。

組織應保存文件化資訊,以作為下列事項之證據:

    • 不符合項目之本質及後續採取之所有行動;


    • 所有矯正措施之結果。



條文的意圖
指定需要的回應,以解決未滿足與流程、流程結果、產品、服務、MS 或影響 MS 實現預期結果能力的任何其他要求相關的要求。

MSS 讀者指南
MSS 讀者可能會規定額外的特定專業領域要求,以提供不符合要求和矯正措施的背景。 這可能是針對 MSS 的,也可能與監管要求有關。

在制定任何特定專業領域的要求時,MSS 應注意以下內容:

  • 修正 (correction) ”指的是“消除檢測到的不符合行為的行動”)和 “ 矯正措施 (corrective action) ”(“消除不符合原因並防止再次發生的行動”)之不同;


  • “ 組織應評估採取行動消除不符合原因的必要性” 和 “矯正措施應適合所發現的不符合事項的影響” 要求,已經說明組織識別或完全消除不符合原因的過程並不總是會發生,一般來說,組織會同時考慮技術上可行或成本效益。


  • HS 不使用 “ 預防措施 (preventive action) ”一詞,因此應避免這樣做。 為應對風險和機會而採取的行動(見 6.1)對潛在的負面影響具有預防性。




如果有任何其他需求,歡迎您與我們聯繫:info@tksg.global 


Last modified: Monday, 12 December 2022, 12:42 PM