ISO 9001 mielletään tuotannon ja prosessien standardiksi, ja siksi sen IT-vaatimukset jäävät monessa konepajassa katveeseen. Se ei ole tietoturvastandardi eikä sisällä omaa IT-lukua. Silti useat sen vaatimuksista koskevat suoraan sitä, miten tieto ja järjestelmät pidetään kunnossa. Kun auditoija saapuu, juuri nämä kohdat paljastavat, onko laatujärjestelmä oikeasti hallinnassa vai pelkkä dokumentti jota kukaan ei avaa.3
Tässä on kolme IT:hen liittyvää vaatimusta, jotka pk-konepajoissa tunnetaan heikoimmin. Kaikki kolme on myös suoraviivaista laittaa kuntoon.
ISO 9001:2015 -standardin kohta 7.5 käsittelee dokumentoitua tietoa: työohjeita, menettelyjä, piirustuksia, tarkastuspöytäkirjoja ja muita tallenteita. Vaatimus ei ole vain se, että tieto on olemassa. Sen on oltava saatavilla oikeille ihmisille silloin, kun he sitä tarvitsevat, ja sitä on suojattava katoamiselta, luvattomalta muokkaukselta ja luottamuksellisuuden menetykseltä.
Käytännössä kyse on varmuuskopioinnista ja tiedon eheydestä. Konepajoilla tämä nojaa usein oletukseen "tiedostothan ovat siellä palvelimella". Auditoija osaa kysyä toisin: jos palvelin kaatuu tai joutuu kiristyshaittaohjelman kohteeksi huomenna, milloin varmuuskopio viimeksi palautettiin onnistuneesti? Varmuuskopio, jota ei ole koskaan testattu palauttamalla, ei ole vielä todiste mistään.
Mitä tehdä: Varmista, että laatujärjestelmän tiedosta on automaattinen varmuuskopio, jota säilytetään myös tuotantopalvelimen ulkopuolella, ja että palautus on testattu. Tämä on osa toimivaa IT-ympäristöä, ei erillinen ISO-projekti.
Sama kohta 7.5 vaatii, että dokumentoidun tiedon muutokset ja versiot ovat hallinnassa ja että vanhentuneiden versioiden tahaton käyttö estetään. Käytännön IT-vaatimus on kaksiosainen: käyttöoikeuksien hallinta (kuka saa nähdä ja kuka muokata) ja muutosten jäljitettävyys (kuka muutti, mitä ja milloin).
Konepajan arjessa tämä on yllättävän yleinen sudenkuoppa. Kun samaa työpiirustusta tai tarkastuslomaketta pyörii verkkolevyllä useampi versio ja kaikilla on muokkausoikeus kaikkeen, kukaan ei voi varmuudella sanoa, mikä versio on voimassa. Lattialle voi päätyä vanhentunut piirustus. Se on laatupoikkeama ennen kuin auditoija on ehtinyt edes mainita ISO:a.
Mitä tehdä: Rajaa muokkausoikeudet niille, jotka tietoa oikeasti ylläpitävät, ja anna muille luku- tai kommentointioikeus. Ota käyttöön järjestelmä, johon versiohistoria tallentuu automaattisesti. Tämä on yhtä paljon prosessikysymys kuin tekninen ratkaisu, ja se kannattaa miettiä yhdessä laadusta vastaavan kanssa.
Tämä yllättää monet. Standardin kohta 7.1.3 velvoittaa organisaation määrittämään, tarjoamaan ja ylläpitämään prosesseilleen tarvittavan infrastruktuurin. Infrastruktuuriin luetaan nimenomaisesti tieto- ja viestintäteknologia: laitteistot, ohjelmistot ja verkot. Toiminnanohjaus, CAD-järjestelmät ja koneita ohjaavat ohjelmistot kuuluvat tämän vaatimuksen piiriin siinä missä itse työstökoneetkin.
Olennaista on sana ylläpitää. Standardi ei määrää tiettyä tapaa, mutta se odottaa, että IT-ympäristöä hallitaan suunnitelmallisesti eikä korjata vasta kun jokin hajoaa. Pk-yrityksessä juuri tämä kytkee laatujärjestelmän ja IT:n toisiinsa: jos tuotantoa pyörittäviä järjestelmiä ylläpidetään ilman suunnitelmaa, kyse ei ole enää pelkästä IT-huolesta. Se luo myös laatupoikkeamia.
Mitä tehdä: Listaa, mitkä IT-järjestelmät ovat tuotannon ja laadun kannalta kriittisiä, ja varmista, että jokaisella on selkeä ylläpitovastuu ja -malli. Ulkoistettu, sopimukseen perustuva ylläpito täyttää vaatimuksen yhtä lailla kuin sisäinen, kunhan se on määritetty.
ISO 9001 ei vaadi konepajalta erillistä IT-järjestelmää. Se vaatii, että tieto on suojattu, hallittu ja saatavilla, ja että järjestelmiä ylläpidetään suunnitelmallisesti. Nämä kolme kohtaa — varmuuskopiointi ja tiedon eheys, käyttöoikeudet ja versionhallinta sekä IT-infrastruktuurin ylläpito — jäävät pienissä konepajoissa hoitamatta, ja juuri niitä auditoija osaa kysyä.
Kuntoon laittaminen ei vaadi laatuprojektia vaan toimivaa IT-kumppania. Kun nämä ovat järjestyksessä, ne palvelevat sertifioinnin lisäksi yrityksen jokapäiväistä toimintaa.
Ei. Tietoturvan oma standardi on ISO 27001. ISO 9001 on laadunhallintastandardi, mutta useat sen vaatimukset (etenkin kohdat 7.5 ja 7.1.3) kohdistuvat siihen, miten tietoa ja IT-järjestelmiä hallitaan.
Keskeisimmät ovat kohta 7.5 (dokumentoidun tiedon hallinta ja suojaaminen) ja kohta 7.1.3 (infrastruktuuri, johon luetaan myös tieto- ja viestintäteknologia).
Standardi ei määrää tiettyä varmuuskopiointitapaa, mutta se vaatii dokumentoidun tiedon suojaamisen katoamiselta ja eheyden menetykseltä. Testattu varmuuskopiointi on käytännön keino täyttää tämä.
Kyllä. Standardi ei edellytä sisäistä IT-osastoa. Olennaista on, että ylläpito on määritetty ja vastuut ovat selvät; sopimukseen perustuva ulkoistettu ylläpito täyttää vaatimuksen.
Tarvitsetko apua laatujärjestelmäsi IT-puolen kuntoon laittamisessa?
Tutustu IT-palveluihimme yrityksille tai ota yhteyttä, niin käydään ympäristösi läpi yhdessä.