Temat: Przekazanie danych/wyników z Auditów wew.
Piotr Maciejewski:
Katarzyna i Grzegorz zwrócili uwage na dwa istotne wątki. Reasumując gdybym był silnym klientem i mój dostawca z łańcucha (sieci) byłby dla mnie kluczowy to niedowierzałbym żadnym certyfikato wystawionym nawet przez JC posiadające akredytację samego św. Judy Tadeusza (patron spraw beznadziejnych) i samemu robił audit moim, zaufanym i wyszkolonym personelem.
W praktyce tak się dzieje. Moi klienci (wdrażałem u nich np ISO 9001), dostawcy wyrobów np dla motoryzacji, Ikea, sieci supermarketów, bez względu na to czy mają certyfikat i przez kogo wydany są audytowani przez swoich klientów.
Przy czym to, że klient nas audytuje nie zwalnia go w cudowny sposób ze stosowania się do zasad bezpieczeństwa obowiązujących u nas. Co ciekawe, prościej jest zrozumieć, że BHP obowiązuje i magazyny wizytuje w kasku, kamizelce zwanej pokemonem, w noskach albo wręcz obuwiu twardym, o tyle przy bezpieczeństwie informacji to my potrafimy zapomnieć go wdrożyć.
Raport z audytu wewnętrznego, zewnętrznego, jakiegokolwiek, ale dotyczącego naszej firmy, to po prostu informacje. Konkretne, namacalne, z określonej kategorii. W wielu przypadkach niestety, nie są klasyfikowane jako tajemnica przedsiębiorstwa (art 11 ust 4 ustawy o zwalczaniu nieuczciwej konkurencji). A jest to podstawa do przyjęcia oświadczenia w normalnej procedurze dopuszczenia do informacji stanowiących TP. Dzięki czemu uzyskujemy bacik w postaci wszystkich artów z ustawy, ale też z KK - art 266 kodeksu karnego dość mocno i wyraźnie oddziałuje na wyobraźnię audytorów na referencyjnym i nagle mimo szeregu zgromadzonych informacji, w raporcie znajduje się ich niewiele. ;-)
Co do siły i wartości ustawy i tajemnicy przedsiębiorstwa - proszę zwrócić uwagę nawet na przepisy prawa krajowego. Ustawa o kosmetykach, farmaceutykach etc. Nawet w przypadku inspektorów organów państwowych ona obowiązuje i zapisana jest wprost w ustawie jako dobro, które trzeba chronić. A jej ujawnienie może być tylko po to, żeby ostrzec przed produktem "niebezpiecznym" lub naprawdę niebezpiecznym.
Podsumuję, bo wyszedł mi elaborat. Informacje o charakterze organizacyjnym, zgodnie z definicja tajemnicy przedsiębiorstwa mogą być nią objęte. Takimi informacjami na 100% jest ISO - czy w ogóle systemy zarządzania. W związku z tym moim zdaniem rozwiązaniem najbardziej adekwatnym, jeśli chcemy chronić informacje zawarte w naszej dokumentacji systemowej, jest wciągnięcie ich jako TP. I stosowanie zasad dostępu i dystrybucji zgodnie z ustalonymi zasadami.
пропозиції роботи
