Hallo,

ich habe hier mein nächstes "Problem".

Irgendwie gibt es doch einige Prozesse, die mir "Kopfzerbrechen" bereiten.
U. a. auch der Prozess "IT / EDV"

Gerne würde ich den Prozess beschreiben (wofür ist sie zuständig, wie ist der Ablauf für z. B. Anfragen für neue Hard- / Software, ...), damit geregelt ist, wie was funktioniert und wer wofür zuständig ist (dann kann sich keiner mehr "herausreden" von wegen: "hab ich nicht gewusst", "bin ich nicht für zuständig" ).
Aber leider habe ich momentan keine Idee wie.
Habt Ihr da eine "Lösung", einen Vorschlag oder vielleicht sogar eine Prozessbeschreibung, die ich dann natürlich auf unsere Gegebenheiten übertragen könnte?

Soweit ich weiss, schreibt die ISO 16949 ja nicht zwingend vor, einen solchen Prozess "ins Leben zu rufen".
Es müssen "nur" die daraus evtl. resultierenden Risiken (z. B. IT sichern vor Datenverlusten, Datensicherheit, Daten"klau", ...) beschrieben werden.
Oder sehe ich das falsch?

Ich hoffe, Ihr versteht mein Problem und könnt mir weiterhelfen.
Bisher war das so

VG
Silke

Hi,

Beispiel habe ich leider keines (welches ich zur Verfügung stellen kann). Am einfachsten ist es auf Basis des Turtles die Prozesse so einfach wie möglich zu definieren.

Pprinzipiell ist die "Einforderung von Prozessen" Grundverpflichtung der Leitung (z.B. TS 16949, Kap. 5.5.1 --> festlegung von Verantwortungen und Befugnissen). Zum zweiten ist die verpflichtung der Leitung entsprechende Rssourcen (Mitarbieter, Expertise, ...) zur Verfügung zu stellen, um das QM - System wirksam einführen zu können (--> Holfestellung für Dich). Zum dritten ist die Verantworung der Leitung das QM - System (= Wirksamkeit der Prozesse und das Zusammenspiel aller Prozesse)in geplanten Abständen bewerten (KPIs!!). Dies erfolgt (auch) im Management - Review --> Prozessleistung und Prozesskonformität.

Prinzipiell ist eine Organisation(unabhängig von ISO / TS verpflichtet z.B. Risikomanagement - Systeme einzuführen --> Kap. 0.4).

Ich denke, die organisation hat hier ein grundsätzlich falsches Verständnis, was Qualitäts Management und Qualitätsmanagement - Sytsem heißt ... und solange gibt es nur wenig Chancen etwas zu verändern.

Hallo Silke,
hoffentlich liegt da kein Verständnisproblem vor, nachdem Du so gezielt nach Einzelprozessen suchst. Eigentlich dient eine P-Beschreibung dazu, das darzustellen, was im Betrieb passiert.Korrekte Vorgehensweise wäre also, es so aufzumalen wie es in der Realität gemacht wird und dann zu prüfen, ob das so normenkonform ist.
Doch zur Sache: IT lässt sich nett aufgliedern:

Datensicherheit: das ist Virenschutz, fire wall und das Verbot, eigene Bildchen, Programme etc zu verwenden - ist alles recht einfach zu beschreiben.

Datensicherung: ganz tolles Thema: wenn Ihr Eure Datensicherung so organisiert habt, daß eine zeitlich unbegrenzte Datensicherung besteht, hast Du den größten Batzen der Problematik "Aufbewahrungsfristen" gleich mit abgehakt.einfach aufzeigen wann wer welche Datensicherung (Tag, Monat, Jahr...) machen muss und was passiert, wenn die Sicherung n.i.O ausfällt.

Datenschutz und Geheimhaltung: Deckst Du - so Du möchtest -sinnvoll im Bereich Personal ab, speziell: Personalbeschaffung. Datenschutzerklärung und Geheimhaltungsvereinbarung gleich als obligatorischen Anhang zum Arbeitsvertrag definieren - am besten beides noch als gelenktes Dokument.

Beschaffung von Hard- und software: kann ja ruhig Beschaffung bleiben - ist also im Einkauf ansiedelbar und zu behandeln wie alles andere MAterial das nicht zur Serienfertigung verwendet wird, keine Sonderregelung für IT.

Machen oder bleiben lassen: user help desk - also was machen die armen Leute, die DAU´s (dümmster anzunehmender user) wie mich betreuen müssen.

Und nu: Nachschlag oder nächstes Thema???
Grüßle
T

Guten Tag,

ich würde auf jeden Fall folgende Prozesse beschreiben (VA oder Prozessmodell).
- Datensicherung (Fileserver und ERP-System z.B. SAP)
- Archivierung (entweder automatisch oder auf Anforderung)
- Berechtigungskonzept (Anlegen, Löschen von User)
- Ressourcen (Hardware - Software), Serviceleistungen
- IT-Projekte


Gruß - Delice

Unter welchem Abschnitt der TS müsste man diese Prozesse beschreiben, unter Management von Resourcen oder Lenkung von Dateien und Dokumenten oder .....?

Viele Grüße kueppers

Hallo,

die Frage verstehe ich nicht? Willst du den Prozess IT/EDV beschreiben und ihm Normkapitel zuordnen, da passen beide von dir genannte, oder willst du einzelne Subprozesse IT/EDV nennen?

Bei uns ist die IT-Management, ein Service Prozess auf der Landkarte und hat über eine Prozessbeschreibung, die Aufgaben beschrieben, eben das genau das was meine Vorredner schon gesagt haben. Erfahrung ist, wir Auditieren den Prozess im Dreijahres Rhytmus intern, die externen Auditoren haben ihn, ebenso wie Controlling nicht auf der Liste, Er passt nur schlecht in das Prozessmodell der TS. Aber lass mich sarkastisch sien, wer baut seine Prozesse auch danach auf.

Gruß

TamTom

Hallo Kueppers,

Gem. ISO TS 16949 am besten mit folgenden Kapiteln:

4.2.4 Lenkung von Aufzeichnungen : Die Orga muss ein dokumentiertes Verfahren erstellen, um die Lenkungsmaßnahmen festzulegen, die für die Kennzeichnung, aufbewahrung, den Schutz und die Wiederauffindbarkeit und die Aufbewahrungsfrist von Aufzeichnungen, sowie die Vefügung über Aufzeichnungen erforderlich sind

4.2.4.1 Die Lenkung von Aufzeichnugnen muß gesetzlichen, behördlichen Anforderungen und Kundenanforderungen genügen

mfg
Rainer

Hallo Rainer,
,
das Thema Ressource würde ich nicht aussen vor lassen.

Ein moderenes Unternehmen funktioniert ohne EDV nicht, das Bedarf eines jährlichen Budget, etc.

Personal muss geschult sein um auch Neuereungen zu kennen etc.

Gruß

TamTom

Yupp - völlig korrekt,

das habe ich wohl überlesen.

Danke Tamara für den Hinweis

Gruß
Rainer

Hallo,

du kannst auch die ISO27001 als Guideline hinzu ziehen.
ISO27001 ist IT Security Management. Hier bekommst du reichlich Ideen zu dem Thema.

Übrigens, dies ist von BMW eine kundenspezifische Anforderung (ISO27001) die zu bewerten ist.

Gruß
Wolfgang