سیستم مدیریت کیفیت ISO / TS 16949 : 2009 - بند 7-1-3 رازداری
سیستم مدیریت کیفیت ISO / TS 16949 : 2009 - بند 7-1-3 رازداری
حسین عبدی
مشاور مدیریت و سیستم های مدیریت کیفیت
مقدمه
اگر شرکت شما در صنعت خودرو فعال است و قطعات یا مجموعه های خودرو را تولید می کند، مطمئنا آگاهی دارید که در صنعت خودرو، مشتریان پیش از عقد قرارداد خرید محصولات، یعنی قطعات و مجموعه های خودرو، مدارک و اسناد مختلفی را در اختیار شما به عنوان سازنده قرار می دهند تا شما بتوانید روی سفارش آنها مطالعه و تحلیل کرده و نسبت به امکانسنجی فنی و مالی اقدام نموده و پس از تأیید آن نسبت به طراحی فرآیند ساخت، تولید نمونه اولیه، تولید یک روز خط و نهایتا تولید انبوه اقدام نمایید.
مدارکی که مشتری در اختیار شما قرار می دهد عمدتا شامل موارد زیر می باشد.
· نقشه محصول به صورت مدرک کاغذی یا فایل کامپیوتری
· نمونه قطعه
· طرح تست و آزمون Test Plan
· استاندارد ها و مدارک مرجع
· طرح بسته بندی
· سوابق مشکلات کیفی
· دستورالعمل های آزمون ها و تست های عملکردی
· الزامات ایمنی، قانونی یا استانداردهای اجباری محصول
· و برخی مدارک دیگر با توجه به نوع محصول
به جز مدارک که شامل داده ها و اطلاعات فنی و کیفی می باشند ممکن است مشتری اقلام دیگری را جهت تسهیل جریان تولید یا کنترل کیفیت و بازرسی محصول را در اختیار شما قرار دهد مانند
1. دستگاه ها و ماشین آلات تولید
2. ابزارهای اندازه گیری مانند گیج
3. تجهیزات تست و آزمون
4. ابزارهای تولیدی مانند قالب، مدل، فیکسچر، جیگ و . . .
5. مواد اولیه
6. قطعات نیم ساخته
7. و سایر
همانطور که آگاهی دارید صحنه ی صنعت، میدان رقابت می باشد و مشتری شما که ممکن است خودروساز بوده یا برای خودروساز، سازنده و مونتاژ کننده مجموعه های خودرو باشد، با دیگر خودروسازان و شرکت های فعال در زمینه ی تولید قطعات خودرو و زنجیره ی تأمین آن درحال رقابت می باشد. به جهت اهمیت این موضوع سیستم مدیریت کیفیت ایزو تی اس که خاص صنعت خودروسازی می باشد به این مسئله پرداخته و در بند 7-1-3- به صورت زیر آن را بیان نموده است.
متن استاندارد
بند 7-1-3 رازداری
سازمان باید نسبت به رازداری در مورد محصولات تحت قرارداد با مشتری، پروژه های تحت توسعه و اطلاعات مرتبط با محصول اطمینان حاصل نماید.
در میدان رقابت یکی از نکاتی که بسیار اهمیت دارد عدم نشت اطلاعات می باشد که می تواند شامل اطلاعات مهندسی، کیفی، مالی و فنی باشد. مشتری مطمئنا خود رویه های جهت این امر طراحی کرده و آن را اجرا می نماید اما هنگامی که مشتری اطلاعات خود را در اختیار شما قرار می دهد بسیار حائز اهمیت است که شما نسبت به اطلاعاتی که در اختیار دارید کاملا احساس مسئولیت کرده و ضمن ایجاد امنیت کافی برای آنها، امانتدار خوبی باشید و با انجام رویه ای مدون اطمینان کافی را به دست آورید که اطلاعات ارزشمند مشتری پیش شما به صورت امانت بوده و خواسته یا ناخواسته در اختیار نامحرم قرار نخواهد گرفت.
کنترل مدارک
اگر الزامات استاندارد ایزو تی اس را پیاده سازی و مستقر نموده و گواهینامه آن را اخذ نموده اید مطمئنا رویه ای برای کنترل مدارک به صورت کلی و روشی برای کنترل مدارک فنی به صورت خاص تهیه و تدوین کرده اید و آن را اجرا نموده اید.
تهیه و تدوین روش اجرایی کنترل مدارک فنی باعث می شود تهیه، تدوین، بازنگری، تأیید، تصویب و توزیع مدارک فنی به صورتی منظم و تحت کنترل صورت پذیرد. همین اقدام اولیه تا حدودی مدارک فنی را به صورت عمومی تحت کنترل قرار می دهد اما کافی نمی باشد.
دومین اقدام شما که عمدتا دیده ام سازمان های اندکی به آن توجه خاص دارند تعیین و مشخص کردن سطوح دسترسی به اطلاعات می باشد. توجه داشته باشید که شما در هنگام مشخص کردن مسئولان و قسمت هایی که بایستی نسخه ای از اسناد و مدارک فنی را داشته باشند یعنی فهر ست توزیع نسخ، تا حدی این مهم را به انجام می رسانید اما تعیین سطح دسترسی میزان امنیت اطلاعات را ارتقاء داده و اطمینان شما را نسبت به تحت کنترل بودن رویه بهبود می دهد.
مثال برای تعیین سطوح دسترسی به این صورت است که فقط مدیر مهندسی امکان دسترسی به همه ی اطلاعات را دارد یا مسئول کنترل مدارک به سبب مسئولیت خود می تواند به همه ی اطلاعات مشتری یا مدارکی که در شرکت شما تهیه شده و حاوی اطلاعات مشتری می باشد دسترسی داشته باشد. همچنین برای کارشناسان واحد مهندسی، بازرگانی شامل فروش و خرید، کنترل کیفیت و خصوصا مشتریان دیگر و تأمین کنندگان مشخص کنید که مجاز هستند به چه اطلاعاتی دسترسی داشته باشند.
ارتباط با بیرون شرکت که به دو گروه مشتریان و تأمین کنندگان تقسیم می شوند حائز اهمیت بسیار است. ممکن است شما یک محصول خاص را به بیش از یک مشتری بفروشید. دراینجا اهمیت رازداری و محرمانه نگهداشتن اطلاعات هر مشتری بیشتر می باشد.
بسیار پیش آمده است که یک مشتری در تولید،کنترل، بازرسی و آزمون یک محصول با صرف هزینه وسرمایه گذاری به روش های مناسب و منحصر به خود دست پیدا کرده است و به موجب آن واجد تمایز عملکردی شده است.
مثالی در مورد امانتداری اموال مشتری، سخت افزار
به عنوان مثال در یک کارخانه بزرگ تولید کننده قطعات خودرو با این مورد برخوردم که
مشتری، یک گیج کنترلی مخصوص طراحی کرده و آن را ساخته بود تا شرکت تأمین کننده، محصولی را که برای او تولید می کردند به صورت دقیق و بدون خطا و با سرعت بسیار بالا، کنترل کند و قطعات منطبق را از نامنطبق جدا کنند و ازسالم بودن قطعات اطمینان حاصل کنند. قطعاتی که با گیج نامنطبق تشخیص داده شده بود را جداگانه دسته بندی کرده و برای مشتری ارسال می نمودند تا مشتری خط تولید خود را مطابق آن محصول دارای مقداری انحراف تنظیم کرده و بدون مشکل عملیات تولیدی را روی آنها انجام می دادند درحالی که اگر قطعات به صورت مخلوط داخل خط تولید می شدند به دلیل تنظیم خط تنها برای محصول سالم، تعداد بسیار زیادی از قطعات، ضایعات می شدند.
در این وضعیت اگر طرح و نقشه گیج را به شما داده تا آن را بسازید یا مشتری خود گیج را ساخته و به شما داده است باید حتی از دیده شدن آن گیج توسط افراد سازمان مشتری دیگر در مواقع بازدید و . . . جلوگیری نمایید. اما در سازمانی که در بالا مثال آن را گفتم به دلیل ارتباط نزدیک مدیریت و نزدیکی جغرافیایی، خود گیج را به یک مشتری دیگر که رقیب عمده ی شرکت اول محسوب می شد دادند و آن شرکت نیز از روی آن الگوبرداری کرده و مشابه آن گیج را ساخت.
در این شرایط نقش شما به عنوان تأمین کننده بسیار مهم است که تکنولوژی تولید یا بازرسی که مشتری بدان دست پیدا کرده است را محرمانه نگهداشته و از عدم نشت اطلاعات به مشتریان دیگر شما و رقبای شرکت مشتری اطمینان کامل کسب نمایید.
امنیت نرم افزاری اطلاعات
در کنار امنیت سخت افزاری اطلاعات، امنیت نرم افزاری مدارک، داده ها و اطلاعات نیز نقشی عمده دارند. تعیین سطوح دسترسی به مدارک نرم افزاری و فایل های کامپیوتری در شبکه ی داخلی سازمان اولین اقدامی است که در امنیت نرم افزاری اطلاعات باید انجام دهید. همچنین استفاده از نرم افزارهای امنیتی در مواردی که اطلاعات روی وب سایت شرکت یا پورتال سازمانی برای استفاده ی پرسنل سازمان در نقاط مختلف جغرافیایی قرار دارد از مواردی است که باید به صورت دقیق مدنظر قرار گیرد تا بتوان از نفوذ به وب سایت و سرقت اطلاعات جلوگیری کرد.
ISMS - سيستم مديريت امنيت اطلاعات - Information Security Management System
استاندارد ایزو تی اس به بیان خلاصه ای برای رعایت رازداری بسنده کرده و سیستم یا روش خاصی را برای امنیت اطلاعات الزام نکرده است اما شما خود می توانید از نکات، الزامات و توصیه های ارائه شده در استانداردهای سری ISO 27000 استفاده کرده و در جهت امنیت اطلاعات سازمان، آن ها را به کار ببندید.
فرصت هايي که از وجود يک برنامه اثربخش امنيت اطلاعات براي سازمان ايجاد مي شود، مي تواند شامل موارد زير باشد
· برقراري ارتباط با مشتريان بصورتي مطمئن، مقرون به صرفه، و به موقع
· ايجاد مبادلات با يکپارچگي بيشتر و محيط خصوصي تر، که موجب حصول اطمينان در کسب و کار، رضايت مشتري و ايجاد فضاي محرمانه براي او خواهد شد و وفاداري پايدار مشتري را در پي خواهد داشت
· ارتقاء سطح تعهد تأمين کنندگان در پاسخ به مشتريان، براساس تعامل به موقع و مطمئن با زنجيره تأمين سازمان
· ايجاد سطح دسترسي ايمن تر براي کارکنان داخلي و خارجي سازمان توسط ابزارهاي گوناگون نظير نرم افزارهاي کاربردي
· ايجاد و برقرار نگهداشتن سطوح محرمانگي در ساختار امنيت سازمان، بطوريکه احتمال مراجعه مشتريان را براي دريافت کالا يا خدمت افزايش دهد. به عبارت ديگر همان طور که قوانين و مقررات در ايجاد فضاي اطمينان براي کسب و کار، داراي کاربردي مؤثر است، وجود جلوه اي از يک سازمان مبتني بر اخلاق، با فرهنگي دال بر انجام کارهاي درست و انجام درست کارها به صورت توأمان به همراه امنيت، براي سازمان، ارزش هاي مشهودي در بازار ايجاد مي كند.
شایسته است در صورتی که مکانیزم هایی را برای محرمانه نگهداشتن اطلاعات مشتری، پیاده سازی کرده اید به مشتری خود اطلاع رسانی کرده و این اطمینان را به وی بدهید که دانش فنی و تکنولوژی او نزد شما امانت بوده و به خوبی از آن حفاظت می گردد. مطئمن باشید که این اقدام، رضایت مشتری را از شما افزایش داده و در گسترش همکاری شما با مشتری فعلی وحتی دیگر مشتریان شما تأثیر مثبت خواهد داشت.
