耶!上完課、通過考試之後,是不是就可以出去稽核客戶了咧?
是不是可以執行稽核活動,然後就可以稽他!稽爆他!然後就擁有能不能發證的權利了嗎?
是不是能無所畏懼?為所欲為?無法無天?
不是!並.不.是!
在成為稽核員之前都會有相關培訓課程都會提到相關稽核員的職業守則,
最重要的就是相關道德的操守、舞弊、貪汙、收賄、詐欺都是不可取的行為。
還有很多細則的情境跟案例都是需要遵守的規範,這個在教育訓練中會提到,或是針對有部份有疑慮的情境,可以再反應給公司的前輩做討論。
稽核員\主導稽核員還是有主管機關的,稽核員如果在執行稽核時,如果有賄賂、貪腐或是不符合稽核員規範的行為,那麼輕則警告,重則開除,甚至有被起訴的案例,相關的規範或守則,通常在到職後就會需要簽署,相關的範例可以參考 SGS《誠信規範》
所以呢~以下的認證單位都是非官方性。
驗證證書最重要的就是驗證單位(CB) 左上,認證單位(AB) 左下。
國際認可論壇(International Accreditation Forum):
ISO 17020:AB 認證單位 / 發證單位:法國(COFRAC) / 美國(ANAB) / 英國(OKAS) / 德國(Dudc) / 中國(CNAS)
但台灣的財團法人全國認證基金會(TAF),前身是標檢局;中國的稽核員是需要國家考試才有資格。
ISO 17021:CB 驗證單位:艾法諾(AFNOR)/ BSI/ SGS / RUV / TCIC
ISO 27001:企業組織或單位
舉例:如果我今天要成立一家驗證單位,我要取得 ISO 17021,並且定期受認證單位查核。
政府單位 A、B 級為必要;其他就可以參考其精神。
PS.27001 資訊安全管理、27701:2019 隱私資訊管理、22301 BCM (ESG 企業經營管理)、29100 隱私框架
相關新聞:
他的稽核員資格被撤銷了- 質量與認證:https://www.gushiciku.cn/dc_tw/109585959
內部稽核人員應遵守下列原則:
誠正:稽核人員應誠實正直以提供對其判斷寄予信賴之基礎。
客觀-稽核人員進行蒐集、評估及溝通之稽核活動時時,應表現最高度專業客觀性。
保密-稽核人員應尊重其所獲得資訊之所有權,,
但有法律或道德義務應予揭露者不在此限。
適任-稽核人員於提供稽核服務時,應能運用所需之知識、技能及經驗。
或可以參考中華民國內部稽核協會-職業道德規範:https://www.iia.org.tw/standarditl.aspx?id=88
美國國家標準協會 - 美國品質學會委員會 (ANAB):https://anab.ansi.org/
中國合格評定國家認可委員會(CNAS):http://www.cnas.org.cn/
Raad voor Accreditatie (RvA):http://www.rva.nl/home/
英國驗證服務局 (UKAS):http://www.ukas.com/
台灣財團法人全國認證基金會(TAF):http://www.taftw.org.tw/wSite/mp?mp=1
以上的認證機構都是經過國際認可協會(TAF) 認可的機構,所以都有資格做發證,
最多可能在驗證項目或是標準項目、人天計算會有不同驗證要求,或是幣別訂價上有些微的差別,基本上差異不大。
TAF 認可驗證機構名錄:https://www.bsmi.gov.tw/wSite/public/Data/f1437634507694.pdf
為什麼會特別提到主管機關呢?
因為第三方驗證組織或單位發證有效都是受國際級認證組織的管轄。
相關新聞:如果BSI和SGS核發的ISO 27001證書,沒有全國認證基金會TAF標誌,還有效嗎?
大綱:
驗證公司 BSI 和 SGS 遭到全國認證基金會(TAF)於資通安全管理系統核可名單中減列。
** >> 代表證書無法使用TAF標誌,無法再提供TAF發證 **
企業客戶若有 ANAB 或 UKAS 核發 ISO 27001 證書,仍為有效;
資安法規定取得TAF證書,有三年緩衝期;BSI 和 SGS將於 3 個月後申請增列
** >>後續已申請增列,故目前均為有效 **
此次BSI和SGS遭到減列的原因之一,也在稽核人員有能力,但沒有保持驗證的公正性,導致適任性遭到質疑;因為資安的重要性越來越高,國際潮流也都會開始從嚴審查,因此,未來TAF對於資訊安全管理系統驗證單位的審查,都會根據此次的評鑑標準,作為未來所有資安管理系統驗證機構一致性的評鑑指標。
所以在驗證的時候,也會考慮驗證的發證單位,就給大家參考。
iThome鐵人賽
看影片追技術