請回顧一下管理系統的定義:「管理系統是組織的一組相互關聯或相互作用的要素,用於建立政策和目標以及實現這些目標的過程」,簡單的說,一套管理系統的核心,在於過程 (Process)。
很多介紹ISMS的文章,只要講到文件一定會提到四個層次,其中過程會放在第二層,但第二層也會說明程序 (Procedure),然後在第三層提供程序的指引 (Guidelines) 或步驟 (Steps) 或工作指示 (Work Instruction),再於第四層放表單 (Form),為什麼要這樣放?前面的「何謂文件化資訊」有簡單的介紹,這裡要再深入一點,將它們的差別區分出來,這樣後面在面對文件化的要求時,才會對要放在哪一層有個底。
ISO 27000:2018中對過程的定義是:
Process is a set of interrelated or interacting activities which transforms inputs into outputs. (ISO 27000:2018 3.54)
過程是一組將輸入轉換為輸出之相互關聯或交互作用的活動。
簡單的說,一個過程必定會有輸入以及輸出,並且必定有一組相互關聯或交互作用的活動,例如軟體開發中的系統分析過程 (System Analysis Process),輸入是需求規格書,輸出是系統分析書,中間則是許多系統分析的工作 (Tasks) 或活動 (Activities),過程是可重覆使用的,只要在同一個過程中投入指定的輸入,即可得到指定的輸出,而這也是一套系統所必須達到的,因此在管理系統內會有多個實現政策和目標的「過程」。
過程指出了管理系統內某一項目標要達成時輸入、輸出及包含的活動,但其實過程並沒有指出「要做什麼活動」才能達到過程所需,這就是程序所需要定義的:
Procedure is specified way to carry out an activity or a process. (ISO 9000:2015)
程序是執行活動或過程的指定方式。
就字面上的意思來看,程序包含了有一個固定的流程,這個流程會將輸入轉換為輸出,只要依照這套固定的流程走,就一定能將指定的輸入轉換成指定的輸出,所以,過程內的活動會以程序來說明,簡言之,過程是較抽象較上層的概念,而程序則是較落地的執行作法,程序會比過程交代的細節會比較多,包含每個程序內的流程步驟,有些組織或制度會把程序設計得更加細緻,執行的人不需要想太多,照著做就可以了,這種程序稱為標準作業程序 (Standard Operation Procedure, SOP)。
然而,過程雖然有了程序把執行的方法落地,卻不一定能將所有的情境都匡列進來,能做成SOP的基本上都已經極度標準化,不需要考慮其他可能的影響因子,但許多組織的管理過程及程序無法做到SOP程度,尤其是非製造業的產業,受外來因子影響的程度相對較大,故同一套程序可能會有不同的執行方法,這時組織就需要對這些程序如何執行再進一步的細緻化定義或說明,這樣的說明即為指引,或稱為工作指示。
Work instruction is a detailed description of how to perform tasks. (ISO 10013:2021 3.1)
工作指示是一份如何執行工作的細節說明。
工作指示會清楚交代一件工作要如何執行、步驟、標準的方法、需要的素材以及輸出的預期結果等,按照指示即可由輸入產生規定的輸出,當程序無法清楚交代完整的細節時,多一份工作指示或指引會使程序的執行更容易得到正確的結果。
而過程要實現的目標即為管理系統的政策 (Policy),其階層如下圖,政策的部份留在下一回,先知道就好。
主條文 4.4 要求組織要依其標準建立、實作、維持及持續改善ISMS,包括所需「過程」及其「互動」。
在主條文5 (Clause 5) 開始一直到主條文10 (Clause 10),描述了一套ISMS所要執行的各項要求,在導入ISMS時,要將這些要求轉換為一套可執行的過程、定義出執行過程的程序、說明執行程序所需要的工作指示或指引,以及定義並產生證明過程已被執行的證據,也就是ISMS系統的實現 (realization)。
Management system realization is a process of establishing, documenting, implementing, maintaining and continuity improving a management system. (改寫自ISO 9000:2015 3.4.3)
管理系統的實現是一套建立、文件化、實作、維護與持續改善管理系統的過程。