合规即服务解决制造复杂性|中小企业媒体

21 世纪供应链中的制造商面临着满足不断变化的质量和可追溯性要求的挑战。特别是在航空航天和国防领域，一个有缺陷的部件可能导致人身伤害或死亡，供应商通常需要确保交付的每个部件不仅符合规格，而且每个生产步骤都有清楚的记录。

挑战成倍增加当标准发生变化时——这几乎总是意味着，“当它们变得更严格时”——并且对于向多个 OEM 或行业供货并需要满足各种不同的质量和可追溯性实践的公司来说，情况会变得更加复杂。

Allison Giddens 是 Win-Tech 的联席总裁，这是一家通过 AS9100 认证的航空航天机械车间，他非常了解这一挑战。

“许多公司都在努力从 ISO 认证过渡到更严格的 AS9100标准，他们发现 AS 就像类固醇的 ISO，”她说。 “这更难，即使你gh 它仍然是关于制造环境中的文档和可追溯性。生产过程中有很多新问题需要注意。”

对于 Win-Tech 来说，这是经营成本的一部分。 “AS9100 证书意味着该行业或其他行业的任何公司都知道我们保持高水平的质量。他们可以认真对待我们，”吉登斯说。

但她说，实现这一点并不容易，对于面临多种文档和可追溯性要求的供应商来说，这就更难了。

质量保证即服务

正如 SaaS（软件即服务）外包资源 c承担维护和更新计算机软件的任务，第三方基于云的系统能够承担确保供应商能够通过认证满足一系列质量要求的责任。

Hawkins Glass 提供很好的例子。

为美国军方生产防弹玻璃组件的制造商需要能够跟踪嵌入其玻璃中的序列号，作为其质量文档的一部分。它还有一个劳动密集型制造和检验流程，需要将其自动化并集成到现有的企业资源规划程序 (ERP) 中。由于所有步骤完成后纸张的状况，所有检查表都必须扫描，通常需要手动扫描。

公司现在使用 TIP Technologies 的两个基于云的程序，TIPQA 和 TIPSFE。

TIPQA 于 1989 年首次发布，是最早的商用现成 (COTS) 质量管理解决方案之一。它已经发展成为一个完全基于网络的解决方案。

TIPQA 提供对质量指标、产品生命周期管理、车间控制和供应商质量协作的操作可见性。 TIPQA 还让其用户适应不断变化的市场和质量要求：ISO、DFARS、FAA 和 AS9100D 等行业标准可以在系统内轻松引用和验证，从而消除审计问题。

符合美国国防部可以在系统内跟踪和维护假冒零件避免、缓解和处置的要求。

通过将所有检查要求和数据捕获转移到 TIPQA，纸质检查表已成为过去，并且成为每批货物的所有序列号的简单报告可以轻松下载、保存或提供给客户。

“我们每天至少在文书工作上节省了四个小时或更多时间，”Hawkins Glass 首席财务官 Angel Eller 说。 “序列号不再被调换或未记录。系统强制规则扫描序列号 n 的条形码数字和反向检查以确保有效性。”

TIPSFE 车间执行解决方案提供了可操作的数据并增强了车间操作的可见性。它为公司提供实时信息，可以在整个企业内共享有关在制品的信息，并让团队通过单一用户界面进行沟通以更好地控制制造运营。

然后将此数据与客户的同步ERP 系统用于生产过程的完整画面。它提供了一个无纸化交付系统机制，其中包含详细的路线、工作说明和检查要求，以呈现一个完全无纸化的旅行者。

对制造和质量流程的操作和签核的可见性确保正确完成。

就 Hawkins Glass 而言，序列化从接收点开始，因为零件从 ERP 系统传输到 TIPQA 接收检验模块。跟踪产品序列化仅在 TIPQA 内管理，因为在 ERP 中这样做的复杂性被认为太具有挑战性。

随着生产装配从制造订单开始，序列化继续进行，TIPQA 对这些装配执行自动序列化，从而消除了操作员交互要求。通过还利用 TIPSFE 解决方案，霍金斯现在能够确保一致和准确的流程。

“我们现在对我们的序列号数据库以及提供给国防部和素数的信息充满信心。这使我们能够从车间中删除所有工作说明和图表，因为员工可以在系统中需要时立即看到它们。这是我们满足 NIST 和 CMMC 对 CUI 安全的要求的重要组成部分，”Eller 说。

网络危险增加

在满足不断变化的质量和效率期望的同时，供应商还面临着另一个问题：网络漏洞的威胁。

2020 年结束了 w有消息称，据推测由俄罗斯设计的大规模网络漏洞已深入美国政府和企业的多个设施。

“这个对手已经展示了利用软件供应链的能力，并展示了对Windows 网络，”政府警报说。 “对手很可能有其他尚未被发现的初始访问向量和策略、技术和程序。”

去年还推出了新的国防部网络安全成熟度模型认证计划 (CMMC)，它要求供应链的每个部分都获得一定级别的认证，并准备好让第三方评估人员检查该级别。

甚至在发现之前鉴于俄罗斯的违规行为，专家预计这种严格的要求可能很快就会从国防部扩展到其他政府承包的供应链。

被抓住一方面是能力惊人的对手，另一方面是更严格的监管环境，许多制造商发现他们需要快速培养高水平的网络安全能力。

这可能令人生畏。

Win-Tech 的 Giddens 指出，它之所以具有挑战性，部分原因在于它需要完全超出其规模和类型的企业过去发展所​​需的专业知识。

她将其与挑战进行了对比满足航空航天质量认证要求：“从 ISO 到 AS 的转变很困难——但至少它仍然是关于提高你的核心竞争力——你已经在做的事情。鉴于 CMMC 三级会议要求投入时间和资源来实施这些与您的核心制造能力无关的实践。”

直到最近，“网络安全”还没有更多意义比普遍意识到员工她说，应该避免点击奇怪的链接并偶尔更改密码。 “所以，现在，在整个企业范围内，你将不得不花时间学习一些你不擅长的东西，或者找到拥有这方面知识并依赖他们的人——这有其自身的缺点。

这使得 CMMC 成为一种不同于严苛的航空航天质量要求的挑战。吉登斯说：“这始终与产品质量、准时交货、成本节约和流程效率有关。” “这不是‘你确定中国人找不到 F-35 计划吗？’我的意思是，这不是我们习惯的谈话。”

Giddens 说她和她制造业供应链中的同行了解网络安全要求的必要性。 “但对于较小的企业来说，我们一次只能戴这么多帽子。因此，这是一个真正的挑战。”

Cyber​​secu安全即服务

随着 CMMC 要求推动制造商重新调整其安全操作，许多人会考虑任务的复杂性和他们的内部资源，并且在做出与用户平行的决策时质量保证即服务提供商得出的结论是，他们需要求助于外部资源，例如托管安全服务，以帮助他们可靠地达到并保持所需的 CMMC 水平。

“托管安全提供商 NeoSystems 的客户主管格雷格·鲍尔斯 (Greg Powers) 说，“我每周接到来自此类公司的两到四个电话”。 “有时这些公司很高兴有机会第一次参与国防项目——突然间他们被要求进行 CMMC Level 3，他们不知道该怎么做。”

新系统他说，首先要对新客户进行 CMMC 要求方面的基础教育。该公司评估制造商当前的网络安全实践，然后设计和构建解决方案以满足其特定需求。基础设施到位后，Neosystems 将全面负责管理客户的网络安全。

“我们处理所有 CMMC 3 级要求，并对网络安全合规性承担全部责任，”Powers 说。 “我们将确保客户的安全程序能够顺利通过 CMMC 审核。”

服务包括：

• 安全程序管理：“我们开发和维护所有所需的管理安全控制措施，包括政策、计划、评估和审计所需的合规证据，”Powers 说。
• 边界保护：通过严格管理的防火墙、入侵防御系统、数据丢失防护、反恶意软件、Web 内容过滤、电子邮件过滤、多因素身份验证和网络管理。 “对于基于云的系统，我们管理支持的云服务以维护合规性所需的安全配置，”他说。
• 端点保护：端点设备（笔记本电脑、工作站、移动设备和服务器）的全面合规性。 Powers 说：“我们建立了一个安全强化的基准配置，包括备份、恢复和加密，我们安排并执行所有必要的操作系统和应用程序更新。”
• 漏洞和配置管理：“我们承担责任用于识别和解决由软件缺陷和客户网络、服务器、数据库和应用程序配置错误引起的潜在安全弱点和风险，”他说。
• 托管检测和响应：“我们提供必要的技术和服务见面CMMC 对网络、服务器、数据库和应用程序日志收集和监控以及分析和报告的要求——所有这些都是识别和响应潜在网络安全威胁和恶意活动所必需的，”他说。

但是“文化”呢？

尽管第三方系统在质量和网络安全控制方面提供了许多优势，但仍有制造商持谨慎态度——至少一开始是这样。

他们保持沉默的一个原因是，从一个角度来看，依靠外部技术来“解决”问题听起来太容易了。

制造业在教育其自身方面有着悠久而成功的传统工人学习全新的系统以保持企业竞争力。

例如，在 20 世纪 80 年代中期，摩托罗拉引入了六西格码系统来改进流程，而丰田生产系统则普及了对流程的需求和方法的，精益制造。

因为然后，采取了类似的方法来实施生态驱动的“绿色制造”。

在每种情况下，每个学科的专家都在谈论建立企业范围内的“精益文化”，或者质量或其他一些有价值的概念。

我们的目标是向企业中的每位员工灌输对概念的理解。

随着 OEM 开始意识到这些系统的价值，他们他们不仅为自己的企业采用它们，而且还向供应商施加压力以采用它们，并能够通过按时提供优质零件并记录他们的流程来证明他们的成就。考虑不同级别的精益认证或实现六西格码中不同级别“腰带”的系统——武术训练的回声。

对于在全公司范围内建立质量或安全文化的倡导者, 企业中的关键人物需要投入培训——教育和努力工作——需要学习和实施一门学科。为了执行纪律，他们需要做相当于学习武术的事情。

从这种心态来看，使用第三方服务看起来就像跳过所有这些并雇用保镖。持续改进从何而来？

但一个必须排除另一个吗？

Win-Tech 的 Allison Giddens 不这么认为。

“使用像 NeoSystems 提供的那些外部派生系统并不意味着没有必要让您的团队了解质量和网络安全问题，”她说。

“事实上，这两个应该齐头并进：车间机器操作员需要了解他所看到的零件变化数据，即使他不再需要手动测量和编写文档。而且他当然需要了解危险，比如说，心不在焉地将错误的闪存驱动器插入正在运行的笔记本电脑中实施该计划——即使我们希望网络安全系统能够赶上失误。”

她对质量和安全知识与 TIP Technologies 和 NeoSystems 等供应商提供的系统之间的关系进行了类比：

p>

“想象一下，您正在开车，到达一个拥挤的十字路口，而且没有交通标志或信号灯。 Driver's Ed 教你应该发生什么。右边的人先上，大家轮流上。如果每个人都知道这一点，我们都会安全地通过十字路口并上路。

“但这并不意味着如果十字路口的红绿灯亮着，我们就不会过得更好。 ”