<驗證專欄>組織的管理資訊系統與PDCA

14/08/19

本文主旨不是討論ISO 9001 與 ISMS(資安管理系統) 或CMMI(成熟度指標) 之間的關聯性,是希望以組織之管理資訊系統(MIS)為觀點的PDCA在運作上可能的考慮方向,同時,這裡所指的管理資訊系統是廣泛覆蓋生產及服務業但也不排除資訊服務業的假設。

先來做一個管理資訊系統盤點,在此例舉 一個典型組織MIS 管理可能的內容,並做一個模仿ISO/OSI 7 Layer 架構從硬體層到應用層的分類安排如下(未列舉到的設備及應用由讀者可自行分類) :

第1.類層、基礎設施 : 溫度、溼度、控制、消防設施、公共電源、UPS、發電機、機房門禁、監視系統、Internet 服務商(通常是電信業)、PBX 及電話網路。
第2.類層、伺服器及網路設備 : 在此特別指稱Server及網路設備的硬體,包含自身之主機板、記憶體及硬碟、網路交換機Layer2/Layer3 Switch、路由器、有線網路及Router。 
第3.類層、作業系統韌體虛擬機: 載於主機板上之韌體及硬碟內之作業系統,補丁及升版、VM 虛擬主機包含虛擬動態或指定配置之CPU記憶體及硬碟資源。
第4.類層、資料儲存設備 : 本機硬碟、磁碟(硬碟)陣列、雲端硬碟。
第5.類層、服務應用軟體 : 組織使用之應用系統、ERP、CRM、文件系統如Office等、使用雲端應用服務(SaaS),另外,針對病毒安裝的防毒軟體、Firewall、流量控制器、Wifi AP及AP Controller、監控或偵測軟體、AD、DHCP及 eMail Server等。

有了以上的概觀之後,我們回到品質管理系統的本質PDCA上來討論。品質管理系統的本質之一是PDCA循環的套用,做為組織品質持續改善的框架。這套PDCA計劃 - 執行 - 檢查 - 行動與前面所做的盤點分類在這裡我們可以以下的角度來檢視:

ㄧ 、計劃(Plan) 
Item 1. MIS做為一個業務支援單位,使用者需求及期望為何?使用者的主要考量可能是第2.類層的網路服務及第5.類層的服務應用軟體的便利性。
Item 2. 組織在備援、備份、補丁及升版需求蒐集及計畫,風險及機會分析,在這裡組織可以考量第1.類層到第5.類層的管理。
Item 3. 哪些設備及服務要委外?包含IDC服務之主機代管;這就會牽涉到第2.類層到第5.類層的管理,若有此服務,則組織應考量如何確保服務品質;另外資安及個資安全則是如何在委外服務過程中確保?
Item 4. 組織應用雲端服務使用範圍為何?是SaaS、PaaS、IaaS? 組織有無評估相對應的風險?組織可檢視如同 Item3 的考量及確保。
Item 5. 針對組織內部使用單位的SLA 的需求及委外服務的SLA 的需求,如何與組織QMS目標的結合? 
Item 6. 哪一類或哪一些設備要做備援?哪種備援?Heart Standby、Warm Standby 亦或Cold Standby?理由為何?這裡組織可能要考量第1.類層到第4.類層的管理。
Item 7. 哪一種的服務資料要做備份?做差異備份或全備份的週期為何?原地備份及異地備份的計畫,建議此議題要考量使用者的期望及第5.類層的服務應用軟體特性。
Item 8. 資訊安全及個資保護的方法。

二 、執行(Do) 
Item 1. 有無確實執行、備援、備份、補丁及升版計畫,證據在哪?組織在第1.類到第5.類如何運作及管理這個議題?
Item 2. 組織應用雲端服務的方式,有足夠的安全機制嗎?效率如何? 
Item 3. 備援的切換練習如何執行?組織在第1.類層到第4.類層施行的證據為何?
Item 4. 備份的資料還原測試效果如何?依據備份的類型,服務回覆的資料會有多長的時間差異?使用者的期望被滿足了嗎?還是MIS只能Do the best 盡力了呢? 
Item 5. 災難復元DRP有無執行?這個災難假設是否會合理發生?復元服務及資料是否有確效?
Item 6. 執行風險及機會應對以及文件化資訊的有無。

三 、檢查(Check)  
Item 1. 檢視組織在”執行”(Do) 的執行成果。 
Item 2. 委外服務商提供的效能為何?尤其是第1.類層有關的網路服務商。
Item 3. 內部使用單位的SLA 的檢討,及委外服務的SLA的檢討。 
Item 4. 雲端服務的效能。 
Item 5. 資訊安全性及個資保護的效能,有無資安事件 (CIA的被破壞)發生?

四 、行動(Action)  
檢視所有的不符合,持續改善。

結論
MIS 服務的效益不僅可以促進資訊服務在組織資訊的CIA上的提升,並可因此強化品質管理系統的效果;此外,藉由PDCA的檢視,可以提升組織管理資訊系統的品質,兩者應該是相輔相乘的。

稽核員 周勝洪Mark Chou 
台灣衛理國際品保驗證股份有限公司

聯絡我們

BVC台灣衛理

+886 (02) 2570 7655

bvcertification@tw.bureauveritas.com
  • 阿爾及利亞
  • 安哥拉
  • 阿根廷
  • Armenia
  • 澳洲
  • 奧地利
  • 亞塞拜然
  • 巴哈馬
  • 巴林
  • 孟加拉共和國
  • 巴貝多
  • 白俄羅斯
  • 比利時
  • 貝南
  • 百慕達(群島)
  • 玻利維亞
  • Bosnia and Herzegovina
  • 波紮那
  • 巴西
  • 汶萊
  • 保加利亞
  • 布吉納法索
  • 蒲隆地
  • 柬埔寨
  • 喀麥隆
  • 加拿大
  • 維德角共和國
  • 中非共和國
  • 查德
  • 智利
  • 中國
  • 哥倫比亞
  • 剛果
  • 剛果(民主共和國)
  • 哥斯大黎加
  • 象牙海岸
  • 克羅埃西亞
  • 古巴
  • 庫拉索
  • 捷克共和國
  • 丹麥
  • 吉布地
  • 多明尼加共和國
  • 厄瓜多爾
  • 埃及
  • 薩爾瓦多
  • 赤道幾內亞
  • 厄立特里亞
  • 愛沙尼亞
  • 衣索比亞
  • 斐濟
  • 芬蘭
  • 法國
  • 法屬西印度群島
  • 加彭
  • 喬治亞
  • 德國
  • 迦納
  • 直布羅陀
  • 希臘
  • 格林蘭島
  • 瓜地馬拉
  • 幾內亞
  • 幾內亞比索
  • 洪都拉斯
  • 匈牙利
  • 冰島
  • 印度
  • 印尼
  • 伊拉克
  • 以色列
  • 義大利
  • 日本
  • 約旦
  • 哈薩克斯坦
  • 肯尼亞
  • 韓國(南韓)
  • 科威特
  • 拉脫維亞
  • 黎巴嫩
  • 賴比瑞亞
  • 利比亞
  • 立陶宛
  • 盧森堡
  • 馬達加斯加
  • 馬拉威
  • 馬來西亞
  • 馬利
  • 馬爾他
  • 茅利塔尼亞
  • 墨西哥
  • 蒙特內哥羅共和國
  • 摩洛哥
  • 莫三比克
  • Myanmar
  • 那米比亞
  • 荷蘭
  • 荷屬安地列斯群島
  • 紐西蘭
  • 尼加拉瓜
  • 尼日
  • 奈及利亞
  • 挪威
  • 阿曼
  • 巴基斯坦
  • 巴拿馬
  • 巴拉圭
  • 秘魯
  • 菲律賓
  • 波蘭
  • 葡萄牙
  • 波多黎各
  • 卡達
  • 羅馬尼亞
  • 俄羅斯
  • 盧安達
  • 聖皮耶與密克隆群島
  • 沙烏地阿拉伯
  • 塞內加爾
  • 塞爾維亞
  • 塞席爾群島
  • 獅子山共和國
  • 新加坡
  • 斯洛伐克
  • 斯洛維尼亞共和國
  • 索馬利亞
  • 南非(共和國)
  • 西班牙
  • 斯里蘭卡
  • 蘇利南共和國
  • 瑞典
  • 瑞士
  • 敘利亞
  • 坦尚尼亞 (聯合共和國)
  • 泰國
  • 多哥共和國
  • 千里達及托巴哥
  • 突尼西亞
  • 土耳其
  • 土庫曼
  • 烏干達
  • 烏克蘭
  • 阿拉伯聯合大公國
  • 英國
  • 美國
  • 烏拉圭
  • 烏茲別克斯坦
  • 委內瑞拉
  • 越南
  • 葉門
  • 尚比亞
  • 辛巴威
  • 其他相關網站
  • 非洲
  • 全球網站
  • 中東
  • 東南亞
請選擇您需要的產業、服務或資產
您的產業

您的資產

我們的服務