2014 Vol.02 KFQ Magazine 표준의진화 - EMS, ISMS, Compliance
Contents ISO 14001 개정소식 Compliance management ISO/IEC 27001:2013 전환식품안전 FSSC 22000 기타표준및재단동향 제주하계포럼안내 재단 7 월교육과정안내 2
ISO 14001 개정소식
ISO 14001 개정소식 ISO 14001 개정 국제표준은현재표준이여전히이해관계자의요구사항을충족시키는지에대하여일반적으로 5년단위로검토를하게됩니다. 환경경영시스템표준인 ISO 14001은 1996년에제정된이후 2004년에개정판이나와현재까지적용이되고있었습니다. ISO survey 결과다음사항들에대한업데이트의요구가있었으며, 2015년을목표로개정작업이이루어지고있습니다. ISO의 HLS 구조도입에따라다른경영시스템들과의통합을용이 변화하는이해관계자의기대사항과조직의 ecosystem을고려 규모가작은조직들의 ISO 14001 이행의용이 가치사슬, 공급사슬등에서의환경영향을관리 ISO 14001 개정일정 개정일정은다음과같으나, 이후남아있는일정들은 ISO/TC 207/CS 1/WG5 에의해변경될수있습니다. 2013년 3월 : 최초 Draft ISO/CD 14001.1 160페이지이상의코멘트수렴 2013년 10월 : CD2 (ISO/CD 14001.2) 발행 2014년 1월 ~5월 : 코멘트분석 2014년 9월 : DIS (ISO/DIS 14001) 발행. 12월까지이에대한타당성검토 2015년 4월 : FDIS (ISO 14001 FDIS) 발행 2015년 6월 : ISO 14001:2015 개정판발행 ISO 14001:2015 전환기간 구체적인일정은올해최종결정이나오겠지만, ISO 14001:2015로의전환기간은 2~3년정도가될전망입니다. 기존에인증받은 ISO 14001:2004 인증서는전환기간종료일까지만유효하게됩니다. 예를들어 ISO 14001: 2015가 2015년 7월에발행되면, 결정되는전환기간인 2018년 6월까지만 ISO 14001:2004 인증이유효하게됩니다. 4
ISO 14001 개정소식 주요변경사항들 구조적변화 HLS 도입 ISO TMB의 JTCG에서 Annex SL을개발하였는데, 이는경영시스템표준에대한기본구조및표준화된문서를제공했던 ISO s Guide 83 을대신합니다. 이는모든경영시스템표준에적용됩니다. 이에따라서 2012년이후에신규제정되거나개정되는경영시스템표준은 Annex SL에따라 HLS구조를취하게됩니다. ISO 14001:2015도 Annex SL에따라 HLS 구조를지니게되며, ISO 14001:2015 목차는다음과같이변경되게됩니다. [HLS구조에따른목차 ] 1. Scope 2. Normative references 3. Terms and definitions 4. Context of the organization 5. Leadership 6. Planning 7. Support 8. Operation 9. Performance evaluation 10. Improvement 내용적변화 7가지중점사항 1. 전략적인환경경영 ISO 14001:2015 에서포함된 조직의상황과이해관계자의니즈와기대에대한이해 는 EMS의범위를수립하고환경방침수립시조직이이를전략적으로고려함을보장하도록하는중요한부분입니다. 개정판에서는높은수준의리스크에대한고려와함께전략적인면과운영적인면둘다에서검토및고려가필요합니다. 2. 리더십 ISO 14001:2004에서는최고경영자에게환경방침을정하고, EMS에대한경영대리인을지명하여그성과를보고하게하고, 경영검토를수행하도록요구하고있습니다. 하지만개정될 ISO 14001:2015에서는최고경영자의환경경영에대한더많은많은개입과노력을요구하고있습니다. 5
ISO 14001 개정소식 내용적변화 7가지중점사항 3. 환경보호기존 ISO 14001:2004 에이어 2015년개정판에도 prevent of pollution을다루는데, 이에더하여아래세가지사항에대해서도 5.2 환경방침의비고에서다루고있습니다. Sustainable resource use, Climate change mitigation and adaptation, Protection of biodiversity and ecosystems. 이는 ISO 26000에서고려되는 4가지환경측면으로서, 강제적인요구사항은아니지만, 환경보호를위한구체적인의지의예로서다루어지면서, 조직에게이러한부분들을고려하고결정하도록권고하고있습니다. 4. 환경성과환경성과의지속적인개선에관한변화가있는데, 조직의방침에일관성을가지면서조직이스스로정한수준까지의배출가스, 폐수및물을줄이는등의목표를수립하고지속적인성과를개선하도록요구하고있습니다. 5. Lifecycle thinking ISO 14001:2004는활동, 제품, 서비스의영향을다룰필요를인식하고있지만, 주로조직의활동관리에초점이맞추어져있습니다. 하지만새롭게개정될 ISO 14001:2015 에서는조직외부의더넓은범위에서제품과서비스관련한환경측면의파악과평가시보다분명하게라이프사이클사고와가치사슬측면을다루고자하고있습니다. 또한전략적인환경고려, 설계및개발, 구매, 마케팅, 영업활동들과관련된분명한요구사항이나지침을포함합니다. 가치사슬에서의조직 Upstream - 공급자등 조직 Downstream 고객등 가치사슬을통한재료 / 제품의라이프사이클 6
ISO 14001 개정소식 내용적변화 7가지중점사항 6. 커뮤니케이션내부외부커뮤니케이션에대한커뮤니케이션전략개발이추가되었습니다. 이는커뮤니케이션되는정보의질에대한요구사항과담당자에의한환경경영시스템을개선하기위한제안사항을만들어내는매커니즘을포함합니다. 7. 문서화현재운영되는경영시스템에대하여컴퓨터와클라우드기반의시스템진화를고려하여, 개정판에서는 문서 와 기록 을대신하여 문서화된정보 라는용어가이의미를모두포함하여사용됩니다. [ 개정판의 ISO 14001 PDCA 모델 ] 7
ISO 19600 Compliance Management
ISO 19600 Compliance Management Compliance 이슈 컴플라이언스는통상법규준수 / 준법감시 / 내부통제등의의미로원래컴플라이언스의개념은자금세탁을예방하고적발하기위한목적에서금융부문에서발전된것이나오늘날에는공정거래, 환경등다양한영역으로확대되고있으며, 최근국내외에서기업의컴플라이언스프로그램에관한논의가활발해지고있습니다. 1989년 OECD에서는국제상거래관련부패문제를본격적으로다루기시작하였는데, 이후 OECD는국제상거래에있어부패를퇴치하고공정한경쟁을도모할목적으로부패의성격을분석하는등준비작업을거쳐 1994년과 1997년에각각 " 국제상거래시뇌물방지권고 " 를채택하였고, 1996년에는외국공무원에게뇌물로제공된돈에대해서는송금처리를금지하도록요청하는후속권고를채택하였습니다. 이어 1997년 7월부터 3차례의회의를통해뇌물방지협약 ( 정식명칭은국제상거래에있어서외국공무원에대한뇌물제공행위방지를위한협약 ) 문안에합의하였고, 1997년 12월각료급회의를개최하여각국이협약에서명하였습니다. 2013년발표된 OECD 뇌물방지협약이행평가보고서에는본협약에참가한 40개국에대해 4가지분류 ( 적극이행, 보통이행, 제한된이행, 이행이거의없는국가 ) 로평가를하였는데, 우리나라는이행이거의없는국가로분류되어있습니다. 이러한국가이미지는기업들의글로벌행보에제약사항이될수있는데, 이를타개하기위해기업의준법경영에대해국제사회가인정하는기준인 ISO 표준이대두되고있습니다. Compliance 에대한국제표준 ISO 19600 ISO 19600 표준은 2012년호주에서호주표준인 AS 8306을기반으로 ISO에컴플라이언스표준에대한개발을제안했습니다. 이제안이받아들여서 ISO/PC 271이결성되었고, 현재는 DIS 상태입니다. 본표준은 compliance management 에대한가이드라인으로개발되고있는데, 중소 / 중견기업들의적용을유도하기위함입니다. 9
범용표준 ISO 19600 Compliance Management 유연한가이드라인 ISO 19600 은조직이운영하고있는 Compliance management 에대한기존의접근방식을 개선하고넓히는것을지원하고자개발되었습니다. 또한 HLS 방식을따르기때문에, 기존 ISO 경영시스템들과통합되어적용될수있습니다. [ISO 경영시스템표준에대한 Plug-in 모델 ] 섹터표준예시 : 자동차 의료기기 석유가스산업 품질경영 환경경영 안전보건경영 핵심요소및요구사항 High Level Structure 특정가이드라인 예시 : Risk management Social responsibility Compliance management 예시 : 심사 문서화 범용가이드라인 리스크기반접근방식 Compliance management 는단순히법적요구사항을만족시키는이상의수준을요구합니다. 또한 Compliance 는광범위한이해관계자의요구와기대를만족시키는것과관련이있습니다. 따라서훌륭한선택을하고우선순위를정하는것은 Compliance management 의중요한부분입니다. ISO 19600은리스크경영표준인 ISO 31000과연계되어리스크기반접근방식을따릅니다. 조직이운영하고있는상황과환경을분석하여조직의컴플라이언스의무를결정해야합니다. 이는이해관계자의요구사항과니즈, 기대중어느것이조직이책임으로서준수해야할사항인지를결정하는것을의미합니다. 이러한결정은리스크평가에기반해서이루어져야합니다. 10
ISO 19600 Compliance Management ISO19600 의주요용어 Compliance : 조직의모든컴플라이언스의무를만족하는것비고 - 컴플라이언스는조직의문화와근무자의행동및태도에서내재화되어야지속가능하다. Compliance obligation : 조직이해야하거나준수하기로선택한요구사항비고 - 의무는적용되는법이나규제들과같은강제요구사항에서기인할수도있고, 조직및산업표준이나강령, 계약관계, 정부나사회미윤리표준의원칙과같은자발적의지에서기인할수도있다. Compliance Risk : 컴플라이언스목표에대한불확실성의영향비고 - 컴플라이언스리스크는조직의컴플라이언스의무에대한부적합의발생가능성이나그결과에의해특정될수있다. Noncompliance : 컴플라이언스의무의불충분비고 - Noncompliance는단건이나복수사건일수있으며, 시스템실패의결과는아니다. ISO 19600 의중요성 Compliance management 는항상중요한문제입니다. 올바른행동은결국회사의 운영자격 의기초가됩니다. 준수해야하는법적요구사항의수의증가와그요구사항의복잡함에대응하기위해서는조직내에서체계적이고계획된접근방법이필요로합니다. 조직이법과규제를더진지하게준수하고이행하는것에대한책임을받아들일때정부감사및감독기관으로부터혜택을받을수있습니다. 조직에서 Compliance management 의성숙도를평가함으로써, 그들은법을적용할수있는조직, 감독당국의규제준수관리의성숙도를평가함으로써감독당국은감사진행및감독유지에대한양적, 질적접근방식을적용할수있습니다. 본표준준수를통해조직의준법경영이준비가되어있기때문에당국의강도높은감사도유연하게대처하여많은시간손실및기업활동제한의어려움을피할수있습니다. 향후표준개발일정 2014년 7월에비엔나에서 ISO/PC 271 미팅을가져 DIS에대한투표및평가결과를리뷰하고, FDIS가발행될예정입니다. 따라서 2015년초에 ISO 표준으로제정될것이예상됩니다. 11
ISO/IEC 27001:2013 전환
ISO/IEC 27001:2013 전환 ISO/IEC 27001 개정 정보보안국제표준으로 ISO/IEC 27001:2005 가나온지 8 년인 2013 년에개정판 ISO/IEC 27001:2013 이나왔습니다. 이번개정판은 HLS 구조를채택하였으며, 이에따라다른 ISO 경영시스템 표준들과의일관성과통합성을지니고있기때문에, ISO 9001 이나 ISO 22301 인증시스템을구축한 조직들이더욱쉽게통합하여운영할수있습니다. 또한표준내리스크에대한부분은리스크 관리표준인 ISO 31000 에서의원칙과지침들을채택하였기때문에조직에서동일한리스크평가 방법론을적용할수있습니다. ISO/IEC 27001:2005 과의차이점 개정판인 ISO/IEC 27001:2013 은 HLS 구조로작성되었기때문에먼저구조적으로큰차이가 있습니다. [2005 vs. 2013 목차비교 ] 2005 2013 0. Introduction 1. Scope 2. Normative references 3. Terms and Definition 4.1 General 4.2.1 Establishing ISMS 4.2.2 Implementing 4.2.3 Checking 4.2.4 Acting 4.3 Documentation requirement 5. Management Responsibility 6. Internal Audit 7. Management review 8. Improvement 4. Context of the Organization 5. Leadership 6. Planning 7. Support 8. Operation 9. Performance evaluation 8. Improvement 13
ISO/IEC 27001:2013 전환 업데이트및신규컨셉 개정판에서는총 13 개의새롭거나기존의의미가변경된컨셉들이있습니다. 이는다음과같습니다. New/Updated concept Context of the organization Issues, risks and opportunities Interested parties Leadership Communication Explanation 조직이운영하고있는환경예방조치를대체함 Stakeholders 를대체함최고경영자에대한특정요구사항내외부커뮤니케이션모두에대한명백한요구사항 Information security objectives 정보보안목표는관련기능과레벨에서정해져야함. Risk assessment 자산, 위협, 취약점파악은더이상정보보안리스크파악을위한선행조건이아님. Risk owner Risk treatment plan Asset owner 를대체함 Risk treatment plan 의효과성은관리사항의효과성보다더욱중요하게여겨짐 Controls 관리사항들은 Annex A 에서선택되기보다는 risk treatment 의프로세스동안결정됨. Documented information Performance evaluation Continual improvement Documents 와 records 를대체함 ISMS 와 risk treatment plan 효과성의측정을포함 PDCA 외의방법으로사용가능 전환기한 한국인정지원센터의 ISO/IEC 27001:2013 인증전환에대한지침 에따르면, IAF 회원국들은 전환기간을표준발간일로부터 2 년이내인 2015 년 10 월 1 일까지라고명시되어있습니다. 따라서아직 ISO/IEC 27001:2005 인증을보유하고있는조직에서는모든것을새롭게정립하기보다는기존에운영하고있는 ISMS 시스템과개정표준의차이를분석하여서최소한으로변경해야할부분과다시생각해야할부분, 업데이트해야할부분, 이미만족하고있는부분, 도전해야할부분들을나눠서전략적으로개정판에대비해야할것입니다. 14
FSSC 22000 (Food Safety System Certification)
FSSC 22000 FSSC 22000 개요 FSSC 22000 은국제식품안전협회 (GFSI) 에의해승인된식품안전규격입니다. FSSC 22000은 ISO22000, HACCP, BRC 및 IFS와같이이미잘알려진기존국제식품규격뿐만아니라 PAS 220 규격의식품안전요소들과기타추가요구사항이결합된식품안전규격입니다. 본규격의개발에는네슬레, 다논, 유니레버, 크라프트등글로벌식품기업들이참여하여산업의식품안전요구사항들이잘반영되어있으며, ISO 22000를기반으로하기때문에다른 ISO 경영시스템표준들과통합이가능합니다. 특히코카콜라와같은글로벌기업들이협력사에 GFSI 승인규격인증을받도록요구하고있어업계에서의니즈가갈수록증대되고있습니다. FSSC 22000 제정과정 - 1938 : GMP 시행 (FDA) - 1960s : HACCP Principle 제정 - 1990s : SQF / BRC 규격 (GFSI 승인 ) - 2004 : IFS( 국제식품규격 ) / 식품안전재단설립 - 2005 : ISO 22000:2005 발행 (GFSI 미승인-PRPs 지침이없음 ) - 2008 : PAS 220:2008 발행 (PRPs for ISO 22000:2005) - 2009 : FSSC 22000 발행 (GFSI 승인 ) 16
FSSC 22000 FSSC 22000 주요요소 1. Requirement of ISO 22000:2005( 기본요구사항 ) 2. PAS 220:2008(PRPs 요구사항명시 ) 기존 (ISO 22000:2005) 건축물의구조및배치 / 작업장및작업공간의배치 / 유틸리티-공기, 용수, 에너지 / 폐기물처리 / 장비의적합성, 세척및유지보수 / 구입자재관리 / 교차오염의방지수단 / 세척및소독 / 방역관리 / 개인위생관리및편의시설 추가 (PAS 220:2008) 재작업 / 제품리콜절차 / 물류창고업무 / 제품, 고객정보 / 식품방어, 생물학적경계및생물학적테러 3. 추가요구사항 (FSSC 22000) 적용가능한외부, 규제및법적요구사항목록 / 고객요구사항 식품안전시스템은요구사항준수를보증하고증명 식품안전에영향을미칠수있는모든서비스 ( 유틸리티, 운송및유지보수포함 ) 의요구사항을규정, 문서화, 실행및감독을보증 적용범위 FSSC 22000 은다음과같은제조업자에적용할수있습니다. 부패하기쉬운동물제품 ( 포장육, 가금류, 달걀, 유제품및생선제품등 ), 도축및도축전은제외함 부패하기쉬운식물제품 ( 예. 포장과일및신선주스, 저장과일, 포장채소, 저장채소등 ), 유통기한이긴제품 ( 예. 캔제품, 비스킷, 스낵류, 오일, 식수, 음료수, 파스타, 밀가루, 설탕, 소금등 ) 식품원재료 ( 예. 첨가제, 비타민및바이오배양제 ), 기술보조제는제외함. 17
기타표준동향및재단동향 제주하계포럼안내 재단 7 월교육과정안내
기타표준동향및재단동향 ISO 45001 개정소식 ( 현 OHSAS 18001) 현안전보건경영시스템인 OHSAS 18001 가 ISO 45001로제정됩니다. ISO 45001이제정된이후에는 OHSAS 18001 을대체하게됩니다. 현재개정작업중인 ISO 9001, ISO 14001와마찬가지로 HLS 구조를가지게될것이며, 제정된이후에는기존 OHSAS 18001 인증사들은 ISO 45001 로전환기간동안전환해야할것으로예상됩니다. 개발일정 2014년 5월 ISO/CD 45001 2015년 2월 ISO/DIS 45001 2016년 3월 ISO/FDIS 45001 2016년 ISO 45001 제정 ISO 39001 심사원과정성황리에마쳐 KFQ에서도로교통안전 (Road Traffic Safety) 경영시스템인 ISO 39001:2012 심사원과정을 5/13~5/16 (4일간) 진행하였습니다. 한국심사자격인증원 (KAR) 의공식과정으로국내최초로진행된본심사원과정은 JQA 에바토위원을강사로진행하였으며, ISO 39001 제도에많은관심을가지고있는교통안전공단에서도전문가양성을위해 9명이참여하였습니다. 이를통해 KFQ는 ISO 39001인증위한기틀을마련하였습니다. ISO 22716 화장품 GMP 인증서비스시작 KFQ에서화장품 GMP에대한국제표준인 ISO 22716 인증서비스를시작하였습니다. EU는최근개정된 Cosmetics Regulation 에서 ISO 22716을화장품제조사에게의무적용토록하였으며, 각국에서화장품분야의 GMP로서 ISO 22716을권장또는채택함에따라이제 ISO 22716 인증은선택사항이아니라수출을위한필수사항이되어가고있습니다. 식약처의 CGMP도 ISO 22716을따라개정되었기때문에식약처의 CGMP와함께준비하여국내 / 국외를아우르는통합 GMP를구축하시기바랍니다. ( 문의 : 02-2025-9052~4 ) KFQ, EFfCI 에화장품원료 GMP 공식인증기관으로지정 KFQ에서유럽화장품원료협회인 EFfCI의공인된인증기관으로지정 (http://effci.com/wp-content/uploads/2014/06/recognised-certifyingbodies-2014-05.pdf) 되었습니다. 화장품원료제조사들은유럽수출을위해화장품원료 GMP 인증이필수입니다. EFfCI 인증이필요한국내화장품원료제조사들은외국계인증기관을통하지않고, KFQ를통해원활히인증받으실수있습니다. 19
제주하계포럼안내 저희재단에서제주 New Summer Forum 를진행합니다. 관심있는분들은 02-2025-9163 / jejuforum@kfq.or.kr 로연락주시기바랍니다. 20
재단 7 월교육과정안내 저희한국품질재단공개교육은국내외산업현장의전문지식과경영환경의최신트렌드를반영하여, 다양한고객의역량및개개인의요구에대응하는국내최고의교육서비스를제공합니다. 자세한교육일정은 http://www.kfq.or.kr/edu/edu_main.asp 에서확인하시기바랍니다. 21
KFQ 인증안내 인증절차안내 WHY KFQ? 국내 1 호인증기관 KFQ 는국내 ISO 인증사업을함께해온국내 1 호인증기관으로서국내외전산업분야에걸쳐품질, 환경, 안전, 에너지, 정보통신, 식품등의경영시스템인증을선도적으로보급해왔습니다. 수준높은심사기법 KFQ 는 20 여년간축적된심사노하우를바탕으로풍부한실무경험을가진전문가들을최고의심사원들로구성하여고객에게실질적인도움이되는차별화된서비스를제공하고있습니다 KFQ 의인증서비스 KFQ 는다음과같은다양한인증서비스를제공하고있습니다. ISO 9001 ISO 14001 ISO/TS 16949 OHSAS 18001 ISO 50001 TL 9000 ISO 22000 ISO/TS 29001 GMS ISO/IEC 27001 ISO/IEC 20000 ISO 10002 KFQ 9004 ISO 29990 ISO 22716 ISO 39001 EFfCI Beyond Quality Success with KFQ www.kfq.or.kr 인증상담 : Tel. 02)2025-9052~4 FAX. 02)2025-9029 150-803 서울시금천구가산동 371-28 우림라이온스밸리 B 동 13 층