Foro: 7.6 Control de los equipos de seguimiento y medición en ISO 9001

Punto 7.6 en empresa de Software

  • Beorn_87
    • 18/10/11 20:45
    • Imagen de Beorn_87
    • Reg.: 3/10/11
    • Posts: 4
    (0/0)

    Estimados,

     Actualmente me encuetntro desempeñando labores en una empresa productora de software. Estamos certificados con la Norma ISO 9001:2008, pero debemos adaptarla a la Guía ISO/IEC 90003:200.

     El tema es que para adaptarla no debe haber exclusiones. Actualmente el único punto que tenemos excluido es el 7.6.

    La única manera de medir/probar los desarrollos que realizamos es mediante casos de prueba y planillas de testing, pero elaborados por nosotros. Cómo podemos hacer para realizar un procedimiento de control de los dispositivos de seguimiento y medición.

     

  • Wilbert Arturo Vivas Torrez
    • 19/10/11 0:22
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2580
    (0/0)
    Beorn_87 escribió:

    Estimados,

     Actualmente me encuetntro desempeñando labores en una empresa productora de software. Estamos certificados con la Norma ISO 9001:2008, pero debemos adaptarla a la Guía ISO/IEC 90003:200.

     El tema es que para adaptarla no debe haber exclusiones. Actualmente el único punto que tenemos excluido es el 7.6.

    La única manera de medir/probar los desarrollos que realizamos es mediante casos de prueba y planillas de testing, pero elaborados por nosotros. Cómo podemos hacer para realizar un procedimiento de control de los dispositivos de seguimiento y medición.

     

    Hola, la norma ISO/IEC 90003 es una guía para aplicar la ISO 9001 en el software, no establece requisitos nuevos por lo tanto aplica la exclusión del apartado 7 cuando esto sea justificado y no minimice a la empresa en la generación de producto conforme.

    Saludos. 

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • David Saavedra Zárate
    • 19/10/11 1:03
    • Moderador
    • Imagen de David Saavedra Zárate
    • Reg.: 18/09/09
    • México
    • Posts: 4155
    (0/0)

    Hola:

    Muy cierto lo que dice Wilbert, no hay porqué buscarle cinco pies al gato sabiendo que tiene 4. Si no aplica se excluye, si aplica la medición se incluye. Así de sencillo. Ninguna norma u organización te va a pedir que si no aplica el 7.6 busques la manera de aplicarlo.

    Saludos

    _________________

    Atentamente

    Ing. David Saavedra Zárate

    Consultor y Director

    Sistemas Avanzados en Calidad
    www.sacalidad.com.mx
    www.qualyteam.com/es/

    sacalidad@live.com.mx
    director@sacalidad.com.mx

    móvil: (52) 5540784463

    Un Sistema de Gestión de la Calidad debe trabajar para nosotros, nunca nosotros para el sistema.

    Cursos y consultoría en campo/on line

    Costos especiales a miembros del portal en cursos, consultoría, paquete de procedimientos, materiales.

  • AntonioIH
    • 21/10/11 17:38
    • Imagen de AntonioIH
    • Reg.: 16/07/10
    • Posts: 79
    (0/0)

    El apartado 9.13 de la Norma ISO 17020 (esencialmente, la norma ISO 9001, pero adaptada al de los “organismos que realizan la inspección”) indica:

     

     Si el organismo de inspección utiliza ordenadores o equipos automatizados en relación con las inspecciones, debe asegurarse que: 

    a) el software informático es ensayado para confirmar su adecuación al uso;

    b) se establecen e implementan procedimientos para proteger la integridad de los datos;

    c) los ordenadores y equipos automatizados se mantienen para asegurar su correcto funcionamiento; y

    d) se establecen e implementan procedimientos para el mantenimiento de la seguridad de los datos”.

        

    Con respecto al apartado a):

     

    En primer lugar comentar que interpreto el requisito como chequear/verificar que el software funciona tal y como el fabricante dice que lo hace (vamos, el equivalente a verificar un modelo experimental en cualquier rama).

    ¿O quizá no tiene tanto alcance y se refiere a que lo que hemos adquirido sea eficaz: “1. f. Capacidad de lograr el efecto que se desea o se espera”?

     

    -          Para los programas comerciales (Office –word, Excel..-, Adobe Profesional…) entiendo que teniendo archivadas las facturas de compra (evidencia de que son ) bastaría, ya que se supone que los fabricantes son de probada solvencia y las pruebas ya las han realizado ellos (y aunque no se supusiera, casi ninguna empresa en el mundo tendría los medios para chequear programa de esa inmensidad de datos –o como se denomine- de programación).

     

     

    -          Para las aplicaciones informáticas hechas a medida, entiendo que debería verificarse y documentarse (no sé si en informática existen otros métodos menos convencionales. P. ej. como que la aplicación contenga su propio sistema de chequeo con registros de lo que hace, quien lo hace, dia y hora de la acción realizada…).

    O como se dice en este post “mediante casos de prueba y planillas de testing”.

    Si se hace así, ¿qué grado de detalle deben poseer las planillas? Supongo que habrá planillas generales, válidas para cualquier aplicación (funcionamiento bases de datos, operaciones lógicas… y demás historias que haya que verificar ¿?) y posiblemente también específicas para la aplicación (supongo que no será lo mismo una aplicación para gestionar la producción de digamos una fábrica de geles –producto- que una aplicación para gestionar el servicio prestado por un organismo de inspección –servicio-.)

    ¿Podrían enviar algún ejemplo de planilla?   

     

    Con respecto al apartado b):

     

    ¿Qué debe contemplar un procedimiento para que se considere que  protege la integridad de los datos contenidos en ordenadores y equipos automatizados?

       

     

    Con respecto al apartado c):

     

    Como supongo que parar garantizar este requisitos debe existir también un procedimiento, ¿qué debe contemplar un procedimiento de mantenimiento de ordenadores y equipos automatizados para garantizar, con un alto grado de probabilidad, su correcto funcionamiento?

    Supongo que variará en función del tipo de equipos y su uso. Pero en el caso de oficinas (pc ), ¿alguien sabe donde localizar de un “procedimiento de mantenimiento de ordenadores y equipos automatizados” que detalle las tareas mínimas a realizar, su frecuencia y posea formato para el registro de estas acciones?   

     

    Con respecto al apartado d):

     

    En este caso, entiendo que sería suficiente con cumplir la legislación (cada país la suya) vigente en materia de protección de datos, ¿no?

    ¿O quizá tiene otra interpretación este apartado d?

  • Francisco
    • 21/10/11 17:45
    • Imagen de Francisco
    • Reg.: 26/09/11
    • Chile
    • Posts: 49
    (0/0)

    Creo que te fuiste por otro lado... el punto 9.13 dice claramente "Si el organismo de inspección utiliza ordenadores o equipos automatizados en relación con las inspecciones..."

    Es decir, todo lo que agregas a continuación de esa frase, no aplica para la empresa de software de Beorn.

    Saludos,

    Francisco 

  • Wilbert Arturo Vivas Torrez
    • 21/10/11 18:09
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2580
    (0/0)

    Creo que estamos confundiendo magnesia con magnesio [a mi parecer] la ISO/IEC 17020 está enfocada para organismos que realizan inspección osea unidades de verificación (UV) que son organismos que no certifican sino verifican, lor organismos que certifican son los Organismos de Certificación (OC) acreditados bajo la ISO/IEC 17021, dichas normas solo aplican a ellos mismos para su acreditación y no a los clientes que desean ser verificados o certificados, Beorn_87 esta utilizando la ISO/IEC 90003 [una guía de aplicación de ISO 9001 que no es certificable] para adaptar la ISO 9001 en software que:

     

    • es parte de un contrato comercial con otra organización,
    • es un producto disponible en el mercado,
    • es usado como un proceso de apoyo de una organización,
    • es parte de un hardware, o
    • está relacionado a servicios de software

     

     Saludos.

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • AntonioIH
    • 23/10/11 15:57
    • Imagen de AntonioIH
    • Reg.: 16/07/10
    • Posts: 79
    (0/0)

    Posiblemente debería haber creado un nuevo post y no incluir mi duda en este. Sé que a lo que se está refiriendo el que abrió el post no es lo que yo pregunto, pero considero que son temas análogos y por eso lo hice.

    Un organismo de inspección tiene que ACREDITARSE (que no certificarse) en la ISO 17020 para poder actuar. Y en el caso de los Organismos de Control (digamos que, en España, son entidadesreconocida legalmente -real decreto- delegadas de la Administración. Vamos, lo que venían haciendo los funcionarios de Industria, externalizado a empresas privadas; manteniendo, eso sí, la Administración intactas las competencias en materia de inspección tanto de los propios organsimos de control como de los item inspeccionados por estos) es preciso la autorización previa de la Administración (al menos en España. Aunque el Tribunal Supremo anuló recientemente la obligación de autorizarse...) para poder actuar. Y, correcto, los organismos de inspección INSPECCIONAN, aunque también, en numerosas ocasiones se usa como sinónimo verificar.

    Aquí no entran para nada la entidades de certificación, que son las CERTIFICAN a las entidades que así desean realizarlo, p. ej. conforme a la ISO 9001.

     -------------------

    Me he limitado a transcribir los REQUISITOS que impone la ISO 17020 respecto a ordenadores y equipos automatizados. Y a continuación a planear dudas para que debatamos sobre el alcance de los mismos, planteando casos concretos (que es lo que entiendo debe hacerse en los foros. Esto es, bajar al detalle y no quedarse sólo en las generalidades y lugares comunes. Y que conste que este foro me parece muy bueno, aunque alguna vez, las respuestas creo que toman esa salida fácil).

    Nota: Estoy de acuerdo con respecto a la norma de software que parece que lo único que hace es interpretar los requisitos de la Norma ISO 9001. En el caso de la ISO 17020, si bien <es> la ISO 9001 adaptada a los organismos de inspección, puede ser que al elaborarla algunos de los requisitos de la 9001 se hayan superado y desconozco si el caso planteado de los ordenadores pudiera pertenecer a este supuesto. (Yo sé seguro de algunos requisitos que se han rebajado).  Y, lógicamente, en este caso no es una guía, sino que la acreditación solo puede hacerse frente a la ISO 17020.

    Vayamos al grano. Entiendo que la Norma ISO 17020 no solo se refiere a equipos de medida que almacen (o además traten) datos digamos imprescindibles para evaluar la conformidad del item inspeccionado. Cuando uno hace cualquier inspección tiene que cumplimentar unas listas de chequeo en campo y luego hacer un informe o un certificado para enviar al cliente. Y esto último se hace en la oficina con ordenadores de sobremesa. Y por lo tanto estos ordenadores se están usando <dentro> del proceso de inspección.

    Es más, la inspección muchas veces incluye una revisión documental (oficina) y una inspección en campo. La revisión documental se hace en la oficina y, muchas veces, las listas de chequeo se cumplimentan directamente en word (y no en papel) y se transforman a pdf para firmarlas digitamente (firma electrónica).

    Por lo tanto me parecen perfectamente pertinentes mis dudas. ¿Qué opinan?

  • Wilbert Arturo Vivas Torrez
    • 24/10/11 18:47
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2580
    (0/0)
    AntonioIH escribió:

    Posiblemente debería haber creado un nuevo post y no incluir mi duda en este. Sé que a lo que se está refiriendo el que abrió el post no es lo que yo pregunto, pero considero que son temas análogos y por eso lo hice.

    Un organismo de inspección tiene que ACREDITARSE (que no certificarse) en la ISO 17020 para poder actuar. Y en el caso de los Organismos de Control (digamos que, en España, son entidadesreconocida legalmente -real decreto- delegadas de la Administración. Vamos, lo que venían haciendo los funcionarios de Industria, externalizado a empresas privadas; manteniendo, eso sí, la Administración intactas las competencias en materia de inspección tanto de los propios organsimos de control como de los item inspeccionados por estos) es preciso la autorización previa de la Administración (al menos en España. Aunque el Tribunal Supremo anuló recientemente la obligación de autorizarse...) para poder actuar. Y, correcto, los organismos de inspección INSPECCIONAN, aunque también, en numerosas ocasiones se usa como sinónimo verificar.

    Aquí no entran para nada la entidades de certificación, que son las CERTIFICAN a las entidades que así desean realizarlo, p. ej. conforme a la ISO 9001.

     -------------------

    Me he limitado a transcribir los REQUISITOS que impone la ISO 17020 respecto a ordenadores y equipos automatizados. Y a continuación a planear dudas para que debatamos sobre el alcance de los mismos, planteando casos concretos (que es lo que entiendo debe hacerse en los foros. Esto es, bajar al detalle y no quedarse sólo en las generalidades y lugares comunes. Y que conste que este foro me parece muy bueno, aunque alguna vez, las respuestas creo que toman esa salida fácil).

    Nota: Estoy de acuerdo con respecto a la norma de software que parece que lo único que hace es interpretar los requisitos de la Norma ISO 9001. En el caso de la ISO 17020, si bien <es> la ISO 9001 adaptada a los organismos de inspección, puede ser que al elaborarla algunos de los requisitos de la 9001 se hayan superado y desconozco si el caso planteado de los ordenadores pudiera pertenecer a este supuesto. (Yo sé seguro de algunos requisitos que se han rebajado).  Y, lógicamente, en este caso no es una guía, sino que la acreditación solo puede hacerse frente a la ISO 17020.

    Vayamos al grano. Entiendo que la Norma ISO 17020 no solo se refiere a equipos de medida que almacen (o además traten) datos digamos imprescindibles para evaluar la conformidad del item inspeccionado. Cuando uno hace cualquier inspección tiene que cumplimentar unas listas de chequeo en campo y luego hacer un informe o un certificado para enviar al cliente. Y esto último se hace en la oficina con ordenadores de sobremesa. Y por lo tanto estos ordenadores se están usando <dentro> del proceso de inspección.

    Es más, la inspección muchas veces incluye una revisión documental (oficina) y una inspección en campo. La revisión documental se hace en la oficina y, muchas veces, las listas de chequeo se cumplimentan directamente en word (y no en papel) y se transforman a pdf para firmarlas digitamente (firma electrónica).

    Por lo tanto me parecen perfectamente pertinentes mis dudas. ¿Qué opinan?

    Me has confundido un poco AntonioIH, aclarame si tu primer post fue una duda personal y no hacia alución al tema de Beorn  para poder centrarme en ella, y si es como estoy mencionando y es un tema nuevo, tienes t toda la razón, debiste abrir un tema nuevo para evitar confusiones Tongue out.

    Saludos. 

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • AntonioIH
    • 24/10/11 22:23
    • Imagen de AntonioIH
    • Reg.: 16/07/10
    • Posts: 79
    (0/0)

    Sí, sería un caso nuevo y es una duda mía, pero que sería aplicable a cualquier entidad que esté acreditada conforme a ISO 17020 y no sepa como intrepretar el requisito de la norma.

    Notas: Lo incluí porque hablaba de software y por si el informático que abrió el post podría colgar alguna de sus planillas tipo que usa para chequear las aplicaciones informáticas que desarrollan.

    Y también para que los expertos en ISO 9001 comentéis cuales son los requisitos que esta norma exige a los ordenadores y al software (si es más restrictiva o menos que la ISO 17020).

  • AntonioIH
    • 27/10/11 14:07
    • Imagen de AntonioIH
    • Reg.: 16/07/10
    • Posts: 79
    (0/0)

    Estimado Wilbert, ¿que opinas? Me interesa bastante tu opinión.

     

    Nota 1: por cierto, además de los pc de sobremesa casi todas las oficinas, por pequeñas que sean , tienen un servidor (es mi caso). Supongo que las acciones a realizar sobre este y su periocidad serán mayores.

    Nota 2: Creo que con el cloud computing (http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_nube) podría evitarse mucho de este trabajo (aunque no todo, p. ej. el mantenimiento de los ordenadores), ya que entiendo que equivaldría a subcontratra este servicio; por lo que bastaria con archivar los registros de  las acciones realizadas por el proveedor y evaluarlo periódicamente, ¿no? Aunque, al menos en empresas pequeñas y en España, creo que no se lleva mucho de momento esto del cloud computing ¿?

  • Wilbert Arturo Vivas Torrez
    • 31/10/11 23:45
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2580
    (0/0)
    AntonioIH escribió:

    El apartado 9.13 de la Norma ISO 17020 (esencialmente, la norma ISO 9001, pero adaptada al de los “organismos que realizan la inspección”) indica:

     

     Si el organismo de inspección utiliza ordenadores o equipos automatizados en relación con las inspecciones, debe asegurarse que: 

    a) el software informático es ensayado para confirmar su adecuación al uso;

    b) se establecen e implementan procedimientos para proteger la integridad de los datos;

    c) los ordenadores y equipos automatizados se mantienen para asegurar su correcto funcionamiento; y

    d) se establecen e implementan procedimientos para el mantenimiento de la seguridad de los datos”.

        

    Con respecto al apartado a):

     

    En primer lugar comentar que interpreto el requisito como chequear/verificar que el software funciona tal y como el fabricante dice que lo hace (vamos, el equivalente a verificar un modelo experimental en cualquier rama).

    ¿O quizá no tiene tanto alcance y se refiere a que lo que hemos adquirido sea eficaz: “1. f. Capacidad de lograr el efecto que se desea o se espera”?

     

    -          Para los programas comerciales (Office –word, Excel..-, Adobe Profesional…) entiendo que teniendo archivadas las facturas de compra (evidencia de que son ) bastaría, ya que se supone que los fabricantes son de probada solvencia y las pruebas ya las han realizado ellos (y aunque no se supusiera, casi ninguna empresa en el mundo tendría los medios para chequear programa de esa inmensidad de datos –o como se denomine- de programación).

      

     

    -          Para las aplicaciones informáticas hechas a medida, entiendo que debería verificarse y documentarse (no sé si en informática existen otros métodos menos convencionales. P. ej. como que la aplicación contenga su propio sistema de chequeo con registros de lo que hace, quien lo hace, dia y hora de la acción realizada…).

    O como se dice en este post “mediante casos de prueba y planillas de testing”.

    Si se hace así, ¿qué grado de detalle deben poseer las planillas? Supongo que habrá planillas generales, válidas para cualquier aplicación (funcionamiento bases de datos, operaciones lógicas… y demás historias que haya que verificar ¿?) y posiblemente también específicas para la aplicación (supongo que no será lo mismo una aplicación para gestionar la producción de digamos una fábrica de geles –producto- que una aplicación para gestionar el servicio prestado por un organismo de inspección –servicio-.)

    ¿Podrían enviar algún ejemplo de planilla?   

     

    Tanto para software comercial como para software hecho a la medida debes probar que dichos programas informáticos sean útiles para su uso, como ejemplo básico podría decir que para realizar hojas de cálculos no utilizaras un software de dibujo, en el área de >> documentos  << puedes encontrar ejemplos, de lo contrario te puedo decir que comparaciones de cálculos hechos a mano y en la pc te servirían, y con estos datos hacer estudios de r&R, el nivel de detalle varía con la complejidad de tus actividades.

     

    Con respecto al apartado b):

     

    ¿Qué debe contemplar un procedimiento para que se considere que  protege la integridad de los datos contenidos en ordenadores y equipos automatizados?

     

    Te comento que con respaldos programados podrías atacar este punto [recomiendo 1 vez al mes]

       

     

    Con respecto al apartado c):

     

    Como supongo que parar garantizar este requisitos debe existir también un procedimiento, ¿qué debe contemplar un procedimiento de mantenimiento de ordenadores y equipos automatizados para garantizar, con un alto grado de probabilidad, su correcto funcionamiento?

    Supongo que variará en función del tipo de equipos y su uso. Pero en el caso de oficinas (pc ), ¿alguien sabe donde localizar de un “procedimiento de mantenimiento de ordenadores y equipos automatizados” que detalle las tareas mínimas a realizar, su frecuencia y posea formato para el registro de estas acciones?   

     Un mantenimiento debe tocar temas como limpieza interna, externa mantenimiento de SO, y análisis contra malware.

    Con respecto al apartado d):

     

    En este caso, entiendo que sería suficiente con cumplir la legislación (cada país la suya) vigente en materia de protección de datos, ¿no?

    ¿O quizá tiene otra interpretación este apartado d?}

     

    Es importante cumplir la ley de protección de datos de cada país, sin embargo tu como organización debes garantizar que no exista fuga de información, contraseñas de acceso a personas definidas y registro de accesos a los ordenadores de esas personas puede ser utila para prevenir esas fugas. Te recomiendo leer la norma ISO/IEC 27001. 

     

    Te respondí en tu propio post en negrita y subrayado.

    Saludos. 

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • Wilbert Arturo Vivas Torrez
    • 1/11/11 0:08
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2580
    (0/0)
    AntonioIH escribió:

    Posiblemente debería haber creado un nuevo post y no incluir mi duda en este. Sé que a lo que se está refiriendo el que abrió el post no es lo que yo pregunto, pero considero que son temas análogos y por eso lo hice.

    Un organismo de inspección tiene que ACREDITARSE (que no certificarse) en la ISO 17020 para poder actuar. Y en el caso de los Organismos de Control (digamos que, en España, son entidadesreconocida legalmente -real decreto- delegadas de la Administración. Vamos, lo que venían haciendo los funcionarios de Industria, externalizado a empresas privadas; manteniendo, eso sí, la Administración intactas las competencias en materia de inspección tanto de los propios organsimos de control como de los item inspeccionados por estos) es preciso la autorización previa de la Administración (al menos en España. Aunque el Tribunal Supremo anuló recientemente la obligación de autorizarse...) para poder actuar. Y, correcto, los organismos de inspección INSPECCIONAN, aunque también, en numerosas ocasiones se usa como sinónimo verificar.

    Aquí no entran para nada la entidades de certificación, que son las CERTIFICAN a las entidades que así desean realizarlo, p. ej. conforme a la ISO 9001.

     -------------------

    Me he limitado a transcribir los REQUISITOS que impone la ISO 17020 respecto a ordenadores y equipos automatizados. Y a continuación a planear dudas para que debatamos sobre el alcance de los mismos, planteando casos concretos (que es lo que entiendo debe hacerse en los foros. Esto es, bajar al detalle y no quedarse sólo en las generalidades y lugares comunes. Y que conste que este foro me parece muy bueno, aunque alguna vez, las respuestas creo que toman esa salida fácil).

    Nota: Estoy de acuerdo con respecto a la norma de software que parece que lo único que hace es interpretar los requisitos de la Norma ISO 9001. En el caso de la ISO 17020, si bien <es> la ISO 9001 adaptada a los organismos de inspección, puede ser que al elaborarla algunos de los requisitos de la 9001 se hayan superado y desconozco si el caso planteado de los ordenadores pudiera pertenecer a este supuesto. (Yo sé seguro de algunos requisitos que se han rebajado).  Y, lógicamente, en este caso no es una guía, sino que la acreditación solo puede hacerse frente a la ISO 17020.

    No se por qué mencionas que la ISO/IEC 17020 es la ISO 9001 adaptada a las UV, te comento que todas las normas que toques de la ISO o ISO/IEC y sean requisitos para establecer un sistema de gestión para certificar o acreditar tocará los mismos temas que toca la ISO 9001 en cuanto a responsabilidad de la dirección, gestión de recursos, elaboración del producto y medición, análisis y mejora, si bien no siempre de manera tan abierta y con el mismo tema, tendra parte donde requisite similaridades acorde al área. Ahora la ISO 9001 toca el tema de evaluar procesos que generan productos conformes de manera regular, las normas de acreditación son más exigentes ya que la certificación se lleva a cabo mediante la evaluación contra una sola norma, la acreditación es contra una norma y las demás normas que apliquen a lo que vayas a acreditar.

     

    Vayamos al grano. Entiendo que la Norma ISO 17020 no solo se refiere a equipos de medida que almacen (o además traten) datos digamos imprescindibles para evaluar la conformidad del item inspeccionado. Cuando uno hace cualquier inspección tiene que cumplimentar unas listas de chequeo en campo y luego hacer un informe o un certificado para enviar al cliente. Y esto último se hace en la oficina con ordenadores de sobremesa. Y por lo tanto estos ordenadores se están usando <dentro> del proceso de inspección.

    Es más, la inspección muchas veces incluye una revisión documental (oficina) y una inspección en campo. La revisión documental se hace en la oficina y, muchas veces, las listas de chequeo se cumplimentan directamente en word (y no en papel) y se transforman a pdf para firmarlas digitamente (firma electrónica).

    Por lo tanto me parecen perfectamente pertinentes mis dudas. ¿Qué opinan?

     

    Conteste en tu propio post lo que consideré dudas.

    Saludos. 

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • Wilbert Arturo Vivas Torrez
    • 1/11/11 0:22
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2580
    (0/0)
    AntonioIH escribió:

    Estimado Wilbert, ¿que opinas? Me interesa bastante tu opinión.

     

    Nota 1: por cierto, además de los pc de sobremesa casi todas las oficinas, por pequeñas que sean , tienen un servidor (es mi caso). Supongo que las acciones a realizar sobre este y su periocidad serán mayores.

    Como te comenté, el detalle al que trabajarás el púnto 9.13 depende del uso que le des al equipo. 

    Nota 2: Creo que con el cloud computing (http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_nube) podría evitarse mucho de este trabajo (aunque no todo, p. ej. el mantenimiento de los ordenadores), ya que entiendo que equivaldría a subcontratra este servicio; por lo que bastaria con archivar los registros de  las acciones realizadas por el proveedor y evaluarlo periódicamente, ¿no? Aunque, al menos en empresas pequeñas y en España, creo que no se lleva mucho de momento esto del cloud computing ¿?

    Con cloud computing necesitas analizar cómo garantizas 9.13 b), 9.13 c) y 9.13 d) en los servidores donde se guarda la información, además el hecho de que tu "subcontrates" como dices el servicio, tu eres el único responsable por el cumplimiento del apartado 9.13 y debes justificar el porqué seleccionaste dicho tipo de servicio.

    Te conteste en tu post.

    Saludos.

    PS la norma de acreditación ISO/IEC 17020 debido a que fue elaborada por la ISO en conjunto con la IEC. 

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas