點擊數(shù):1127 來源: 包頭市信達咨詢有限公司 2022-04-02 20:18:47
遠程審核技術(shù)的出現(xiàn)為審核員和受審核方現(xiàn)場及設(shè)施之間的適時文件數(shù)據(jù)共享、音視頻連接提供了最佳可能方法。在認(rèn)證方案策劃階段,應(yīng)采用“遠程審核方案風(fēng)險評估數(shù)據(jù)模型”進行輔助決策;在遠程審核實施前,應(yīng)進行必要的信息和通信技術(shù)(ICT)“測試”;在遠程審核實施階段,應(yīng)使用安全的web會議應(yīng)用程序,采用一個安全的文檔共享工具以確保文件化信息的保密性和安全性;在危險環(huán)境區(qū)域,應(yīng)采用“本質(zhì)安全型”防爆移動電話(通過防爆認(rèn)證)。另外,小型組織信息化水平和人員信息技術(shù)能力較低是認(rèn)證機構(gòu)在實施遠程審核過程中需要思考并改善的問題。
現(xiàn)今,信息和通信技術(shù)(ICT )日趨成熟,應(yīng)用ICT技術(shù)可以優(yōu)化審核活動的有效性和效率,并為審核過程和結(jié)果的完整性及可信性提供支持和保障。遠程審核技術(shù)的出現(xiàn),為審核員和受審核方現(xiàn)場及設(shè)施之間的適時文件數(shù)據(jù)共享、音視頻連接提供了最佳可能方法,并使管理體系認(rèn)證能夠在旅行限制、現(xiàn)場限制等情況下得以繼續(xù)進行。但是,建立一個適時文件數(shù)據(jù)共享、音視頻連接的程序具有一定挑戰(zhàn)性。
認(rèn)證方案策劃階段
為配合實施遠程審核技術(shù)的實施,筆者所在機構(gòu)建立了一套“遠程審核方案風(fēng)險評估數(shù)據(jù)模型”。該模型充分考慮了CNAS《關(guān)于遠程審核活動的說明》(CNAS-EC-063:2021)實施遠程審核的三條基本原則。
認(rèn)證方案策劃人員在決定是否采用遠程審核時,應(yīng)用“遠程審核方案風(fēng)險評估數(shù)據(jù)模型”進行風(fēng)險評估,對風(fēng)險進行分級(關(guān)鍵、重大、輕微),評估結(jié)果通常會顯示采用遠程審核對不同項目的潛在影響,可用于輔助決策。“遠程審核方案風(fēng)險評估數(shù)據(jù)模型”風(fēng)險分級如下。
一是風(fēng)險分級為輕微影響時,認(rèn)證方案策劃人員即可確定可以采用遠程審核,不需要進一步使用的風(fēng)險評估工具或方法。
二是風(fēng)險分級為重大影響時,則要謹(jǐn)慎考慮,需要使用更為正式的風(fēng)險評估工具或方法來評估典型的風(fēng)險點。針對風(fēng)險點,認(rèn)證方案策劃人員需要確定降低或者消除風(fēng)險的控制措施,對實施風(fēng)險控制措施后的結(jié)果再進行評估,以證實風(fēng)險得以消除或者降低至可接受水平。后續(xù)在審核方案策劃階段,會提示審核組注意此類風(fēng)險,審核組需驗證控制措施的可行性,必要時需進一步補充更為詳細(xì)的控制措施,直至審核組有足夠的信心實施遠程審核,并在系統(tǒng)中確認(rèn)“風(fēng)險可接受”,認(rèn)證方案策劃人員才可以正式簽發(fā)遠程審核委任書。
三是風(fēng)險分級為關(guān)鍵影響時,通常不建議采用遠程審核,這類場景一般無法部署實施遠程審核,如食品或藥品、醫(yī)療器械的無菌生產(chǎn)操作、職業(yè)健康安全現(xiàn)場等。
審核方案策劃階段
在審核方案策劃階段,當(dāng)決定風(fēng)險分級為重大影響的項目實施遠程審核時,系統(tǒng)會向?qū)徍私M推送風(fēng)險警示,需要審核組驗證認(rèn)證方案策劃人員制定的風(fēng)險控制措施的可行性,并確定詳細(xì)的技術(shù)實施方案。在審核組和認(rèn)證方案策劃人員共同確認(rèn)后,項目遠程審核委任書才算正式生效。
為確保每次遠程審核的順利實施,審核組組長通常會在審核之前對受審方進行必要的ICT技術(shù)測試。根據(jù)具體情況,方案策劃人員應(yīng)充分考慮每個具體地點可用的ICT技術(shù)解決方案,建立包括WiFi網(wǎng)絡(luò)、蜂窩網(wǎng)絡(luò)(4G/5G)或混合網(wǎng)絡(luò)的技術(shù)參數(shù)要求。通過實踐發(fā)現(xiàn),超過100千字節(jié)/秒的數(shù)據(jù)傳輸速率足以實現(xiàn)穩(wěn)定的視頻傳輸,而在會議室使用LAN/WLAN或一些中小企業(yè)使用蜂窩網(wǎng)絡(luò)(4G/5G)時,通常會出現(xiàn)卡頓、斷網(wǎng)、延時情況。
遠程審核實施階段
在通信、適時視頻片段共享和文檔審核方面,通常采用安全的web會議應(yīng)用程序,如Microsoft Teams、Zoom。在遠程審核期間,審核組會選擇一個主要的和一個次要的網(wǎng)絡(luò)會議應(yīng)用程序,作為冗余措施的一部分,并允許遠程審核人員并行工作。這兩種網(wǎng)絡(luò)會議工具都可以安裝在帶有網(wǎng)絡(luò)攝像機的移動設(shè)備上,如平板電腦、智能手機、行政執(zhí)法儀等。認(rèn)證機構(gòu)應(yīng)為審核員配備便于工作使用的設(shè)備,同時配備允許安裝網(wǎng)絡(luò)會議應(yīng)用程序的操作系統(tǒng)。
為確保文件化信息的保密性、安全性,應(yīng)使用安全的文檔共享工具,為文檔和其他文件提供一個安全的存儲空間,這些存儲空間應(yīng)位于認(rèn)證機構(gòu)內(nèi)部或者租用的專用服務(wù)器,并且該服務(wù)器設(shè)在國內(nèi)。參加遠程審核的受審核方有權(quán)使用這一工具并予以加密,加密算法應(yīng)經(jīng)過計算機等級保護3級認(rèn)證,并事先發(fā)給受審核方確認(rèn),訪問服務(wù)器的密匙是系統(tǒng)隨機生成的,以便在遠程審核之前和期間上載所要求的保密或敏感文件,審核完畢后需加密銷毀。
對于常用的遠程審核采用技術(shù),筆者所在的機構(gòu)制定有《ICT常用技術(shù)應(yīng)用指南》,對內(nèi)部的六類人員進行培訓(xùn)和實操考核,考核合格后方可實施遠程審核,并將該指南作為公開文件,以便受審核方獲取。針對某些信息化技術(shù)基礎(chǔ)薄弱的受審核方,審核組長在審核策劃階段還會對其進行實操培訓(xùn)和指導(dǎo)。
另一個重要的技術(shù)問題是,什么樣的設(shè)備可以用來捕捉潛在危險制造區(qū)域的現(xiàn)場影像。經(jīng)摸排、試點、評估發(fā)現(xiàn),“本質(zhì)安全型”防爆移動電話(通過防爆認(rèn)證)可適用于如煉油廠、危險化學(xué)品等爆炸性環(huán)境中。