Mitä ISO 9001 -sertifiointi vaatii IT:ltä? Kolme asiaa, jotka jäävät konepajoilla usein hoitamatta

ISO 9001 mielletään tuotannon ja prosessien standardiksi, ja siksi sen IT-vaatimukset jäävät monessa konepajassa katveeseen. Se ei ole tietoturvastandardi eikä sisällä omaa IT-lukua. Silti useat sen vaatimuksista koskevat suoraan sitä, miten tieto ja järjestelmät pidetään kunnossa. Kun auditoija saapuu, juuri nämä kohdat paljastavat, onko laatujärjestelmä oikeasti hallinnassa vai pelkkä dokumentti jota kukaan ei avaa.3

Tässä on kolme IT:hen liittyvää vaatimusta, jotka pk-konepajoissa tunnetaan heikoimmin. Kaikki kolme on myös suoraviivaista laittaa kuntoon.

1. Dokumentoitu tieto on suojattava katoamiselta

ISO 9001:2015 -standardin kohta 7.5 käsittelee dokumentoitua tietoa: työohjeita, menettelyjä, piirustuksia, tarkastuspöytäkirjoja ja muita tallenteita. Vaatimus ei ole vain se, että tieto on olemassa. Sen on oltava saatavilla oikeille ihmisille silloin, kun he sitä tarvitsevat, ja sitä on suojattava katoamiselta, luvattomalta muokkaukselta ja luottamuksellisuuden menetykseltä.

Käytännössä kyse on varmuuskopioinnista ja tiedon eheydestä. Konepajoilla tämä nojaa usein oletukseen "tiedostothan ovat siellä palvelimella". Auditoija osaa kysyä toisin: jos palvelin kaatuu tai joutuu kiristyshaittaohjelman kohteeksi huomenna, milloin varmuuskopio viimeksi palautettiin onnistuneesti? Varmuuskopio, jota ei ole koskaan testattu palauttamalla, ei ole vielä todiste mistään.

Mitä tehdä: Varmista, että laatujärjestelmän tiedosta on automaattinen varmuuskopio, jota säilytetään myös tuotantopalvelimen ulkopuolella, ja että palautus on testattu. Tämä on osa toimivaa IT-ympäristöä, ei erillinen ISO-projekti.

2. Kuka saa muokata tietoa, ja näkyykö se?

Sama kohta 7.5 vaatii, että dokumentoidun tiedon muutokset ja versiot ovat hallinnassa ja että vanhentuneiden versioiden tahaton käyttö estetään. Käytännön IT-vaatimus on kaksiosainen: käyttöoikeuksien hallinta (kuka saa nähdä ja kuka muokata) ja muutosten jäljitettävyys (kuka muutti, mitä ja milloin).

Konepajan arjessa tämä on yllättävän yleinen sudenkuoppa. Kun samaa työpiirustusta tai tarkastuslomaketta pyörii verkkolevyllä useampi versio ja kaikilla on muokkausoikeus kaikkeen, kukaan ei voi varmuudella sanoa, mikä versio on voimassa. Lattialle voi päätyä vanhentunut piirustus. Se on laatupoikkeama ennen kuin auditoija on ehtinyt edes mainita ISO:a.

Mitä tehdä: Rajaa muokkausoikeudet niille, jotka tietoa oikeasti ylläpitävät, ja anna muille luku- tai kommentointioikeus. Ota käyttöön järjestelmä, johon versiohistoria tallentuu automaattisesti. Tämä on yhtä paljon prosessikysymys kuin tekninen ratkaisu, ja se kannattaa miettiä yhdessä laadusta vastaavan kanssa.

3. IT-järjestelmät ovat infrastruktuuria, jota on ylläpidettävä suunnitelmallisesti

Tämä yllättää monet. Standardin kohta 7.1.3 velvoittaa organisaation määrittämään, tarjoamaan ja ylläpitämään prosesseilleen tarvittavan infrastruktuurin. Infrastruktuuriin luetaan nimenomaisesti tieto- ja viestintäteknologia: laitteistot, ohjelmistot ja verkot. Toiminnanohjaus, CAD-järjestelmät ja koneita ohjaavat ohjelmistot kuuluvat tämän vaatimuksen piiriin siinä missä itse työstökoneetkin.

Olennaista on sana ylläpitää. Standardi ei määrää tiettyä tapaa, mutta se odottaa, että IT-ympäristöä hallitaan suunnitelmallisesti eikä korjata vasta kun jokin hajoaa. Pk-yrityksessä juuri tämä kytkee laatujärjestelmän ja IT:n toisiinsa: jos tuotantoa pyörittäviä järjestelmiä ylläpidetään ilman suunnitelmaa, kyse ei ole enää pelkästä IT-huolesta. Se luo myös laatupoikkeamia.

Mitä tehdä: Listaa, mitkä IT-järjestelmät ovat tuotannon ja laadun kannalta kriittisiä, ja varmista, että jokaisella on selkeä ylläpitovastuu ja -malli. Ulkoistettu, sopimukseen perustuva ylläpito täyttää vaatimuksen yhtä lailla kuin sisäinen, kunhan se on määritetty.

Yhteenveto

ISO 9001 ei vaadi konepajalta erillistä IT-järjestelmää. Se vaatii, että tieto on suojattu, hallittu ja saatavilla, ja että järjestelmiä ylläpidetään suunnitelmallisesti. Nämä kolme kohtaa — varmuuskopiointi ja tiedon eheys, käyttöoikeudet ja versionhallinta sekä IT-infrastruktuurin ylläpito — jäävät pienissä konepajoissa hoitamatta, ja juuri niitä auditoija osaa kysyä.

Kuntoon laittaminen ei vaadi laatuprojektia vaan toimivaa IT-kumppania. Kun nämä ovat järjestyksessä, ne palvelevat sertifioinnin lisäksi yrityksen jokapäiväistä toimintaa.

Usein kysytyt kysymykset

Onko ISO 9001 tietoturvastandardi?

Ei. Tietoturvan oma standardi on ISO 27001. ISO 9001 on laadunhallintastandardi, mutta useat sen vaatimukset (etenkin kohdat 7.5 ja 7.1.3) kohdistuvat siihen, miten tietoa ja IT-järjestelmiä hallitaan.

Mitkä ISO 9001:n kohdat koskevat IT:tä?

Keskeisimmät ovat kohta 7.5 (dokumentoidun tiedon hallinta ja suojaaminen) ja kohta 7.1.3 (infrastruktuuri, johon luetaan myös tieto- ja viestintäteknologia).

Vaatiiko ISO 9001 varmuuskopiointia?

Standardi ei määrää tiettyä varmuuskopiointitapaa, mutta se vaatii dokumentoidun tiedon suojaamisen katoamiselta ja eheyden menetykseltä. Testattu varmuuskopiointi on käytännön keino täyttää tämä.

Riittääkö ulkoistettu IT-ylläpito ISO 9001:n vaatimuksiin?

Kyllä. Standardi ei edellytä sisäistä IT-osastoa. Olennaista on, että ylläpito on määritetty ja vastuut ovat selvät; sopimukseen perustuva ulkoistettu ylläpito täyttää vaatimuksen.

Tarvitsetko apua laatujärjestelmäsi IT-puolen kuntoon laittamisessa?

Tutustu IT-palveluihimme yrityksille tai ota yhteyttä, niin käydään ympäristösi läpi yhdessä.

Tästä muihin ajankohtaisiin
Midaren toimitusjohtaja Niko Haapamäki.

Haluatko kuulla lisää?

Haluatko saada lisätietoa lisätietoa palveluistamme? Jätä yhteystietosi, niin otan sinuun yhteyttä!
Niko Haapamäki, asiantuntija / tekoäly & automatisointi