電話:0472-6867234
手機:13739929001
傳真:0472-3351118
郵箱:xindazixun@sohu.com
地址:包頭市青山區文化路78号永盛成(chéng)大廈B座2405室
點擊數:947 來源: 包頭市仁傑投資信息咨詢有限公司 2022-04-02 20:18:47
遠程審核技術的出現爲審核員和受審核方現場及設施之間的适時文件數據共享、音視頻連接提供了最佳可能(néng)方法。在認證方案策劃階段,應采用“遠程審核方案風險評估數據模型”進(jìn)行輔助決策;在遠程審核實施前,應進(jìn)行必要的信息和通信技術(ICT)“測試”;在遠程審核實施階段,應使用安全的web會議應用程序,采用一個安全的文檔共享工具以确保文件化信息的保密性和安全性;在危險環境區域,應采用“本質安全型”防爆移動電話(通過(guò)防爆認證)。另外,小型組織信息化水平和人員信息技術能(néng)力較低是認證機構在實施遠程審核過(guò)程中需要思考并改善的問題。
現今,信息和通信技術(ICT )日趨成(chéng)熟,應用ICT技術可以優化審核活動的有效性和效率,并爲審核過(guò)程和結果的完整性及可信性提供支持和保障。遠程審核技術的出現,爲審核員和受審核方現場及設施之間的适時文件數據共享、音視頻連接提供了最佳可能(néng)方法,并使管理體系認證能(néng)夠在旅行限制、現場限制等情況下得以繼續進(jìn)行。但是,建立一個适時文件數據共享、音視頻連接的程序具有一定挑戰性。
認證方案策劃階段
爲配合實施遠程審核技術的實施,筆者所在機構建立了一套“遠程審核方案風險評估數據模型”。該模型充分考慮了CNAS《關于遠程審核活動的說明》(CNAS-EC-063:2021)實施遠程審核的三條基本原則。
認證方案策劃人員在決定是否采用遠程審核時,應用“遠程審核方案風險評估數據模型”進(jìn)行風險評估,對(duì)風險進(jìn)行分級(關鍵、重大、輕微),評估結果通常會顯示采用遠程審核對(duì)不同項目的潛在影響,可用于輔助決策。“遠程審核方案風險評估數據模型”風險分級如下。
一是風險分級爲輕微影響時,認證方案策劃人員即可确定可以采用遠程審核,不需要進(jìn)一步使用的風險評估工具或方法。
二是風險分級爲重大影響時,則要謹慎考慮,需要使用更爲正式的風險評估工具或方法來評估典型的風險點。針對(duì)風險點,認證方案策劃人員需要确定降低或者消除風險的控制措施,對(duì)實施風險控制措施後(hòu)的結果再進(jìn)行評估,以證實風險得以消除或者降低至可接受水平。後(hòu)續在審核方案策劃階段,會提示審核組注意此類風險,審核組需驗證控制措施的可行性,必要時需進(jìn)一步補充更爲詳細的控制措施,直至審核組有足夠的信心實施遠程審核,并在系統中确認“風險可接受”,認證方案策劃人員才可以正式簽發(fā)遠程審核委任書。
三是風險分級爲關鍵影響時,通常不建議采用遠程審核,這(zhè)類場景一般無法部署實施遠程審核,如食品或藥品、醫療器械的無菌生産操作、職業健康安全現場等。
審核方案策劃階段
在審核方案策劃階段,當決定風險分級爲重大影響的項目實施遠程審核時,系統會向(xiàng)審核組推送風險警示,需要審核組驗證認證方案策劃人員制定的風險控制措施的可行性,并确定詳細的技術實施方案。在審核組和認證方案策劃人員共同确認後(hòu),項目遠程審核委任書才算正式生效。
爲确保每次遠程審核的順利實施,審核組組長(cháng)通常會在審核之前對(duì)受審方進(jìn)行必要的ICT技術測試。根據具體情況,方案策劃人員應充分考慮每個具體地點可用的ICT技術解決方案,建立包括WiFi網絡、蜂窩網絡(4G/5G)或混合網絡的技術參數要求。通過(guò)實踐發(fā)現,超過(guò)100千字節/秒的數據傳輸速率足以實現穩定的視頻傳輸,而在會議室使用LAN/WLAN或一些中小企業使用蜂窩網絡(4G/5G)時,通常會出現卡頓、斷網、延時情況。
遠程審核實施階段
在通信、适時視頻片段共享和文檔審核方面(miàn),通常采用安全的web會議應用程序,如Microsoft Teams、Zoom。在遠程審核期間,審核組會選擇一個主要的和一個次要的網絡會議應用程序,作爲冗餘措施的一部分,并允許遠程審核人員并行工作。這(zhè)兩(liǎng)種(zhǒng)網絡會議工具都(dōu)可以安裝在帶有網絡攝像機的移動設備上,如平闆電腦、智能(néng)手機、行政執法儀等。認證機構應爲審核員配備便于工作使用的設備,同時配備允許安裝網絡會議應用程序的操作系統。
爲确保文件化信息的保密性、安全性,應使用安全的文檔共享工具,爲文檔和其他文件提供一個安全的存儲空間,這(zhè)些存儲空間應位于認證機構内部或者租用的專用服務器,并且該服務器設在國(guó)内。參加遠程審核的受審核方有權使用這(zhè)一工具并予以加密,加密算法應經(jīng)過(guò)計算機等級保護3級認證,并事(shì)先發(fā)給受審核方确認,訪問服務器的密匙是系統随機生成(chéng)的,以便在遠程審核之前和期間上載所要求的保密或敏感文件,審核完畢後(hòu)需加密銷毀。
對(duì)于常用的遠程審核采用技術,筆者所在的機構制定有《ICT常用技術應用指南》,對(duì)内部的六類人員進(jìn)行培訓和實操考核,考核合格後(hòu)方可實施遠程審核,并將(jiāng)該指南作爲公開(kāi)文件,以便受審核方獲取。針對(duì)某些信息化技術基礎薄弱的受審核方,審核組長(cháng)在審核策劃階段還(hái)會對(duì)其進(jìn)行實操培訓和指導。
另一個重要的技術問題是,什麼(me)樣(yàng)的設備可以用來捕捉潛在危險制造區域的現場影像。經(jīng)摸排、試點、評估發(fā)現,“本質安全型”防爆移動電話(通過(guò)防爆認證)可适用于如煉油廠、危險化學(xué)品等爆炸性環境中。
