Назначение стандарта ИСО 9001:2011.
Назначение стандарта ИСО 9001:2011.
МС ИСО 9001 предназначен для разработки и внедрения систем менеджмента качества предприятий с целью последующей сертификации или для заключения контрактов с другими предприятиями, которые предъявляют требования к стабильности и надежности выполнения контрактных обязательств.
Модель системы менеджмента качества.
В основе Модели управления качеством по ISO 9001:2011 лежат не 20 ключевых элементов как при ИСО 9001:1994, а модель процесса. При этом никакой ориентации на конкретный тип производителей нет.
Применение процессного подхода при разработке, внедрении и улучшении результативности и эффективности СМК, направлен на повышении удовлетворенности заинтересованных сторон.
Требования к СМК, установленные в ИСО 9001:2011, являются общими и применимыми к организациям в любых сферах их деятельности (производство, здравоохранение, образование, услуги и т. д.).
Стандарт ИСО 9001:2011 определяет, что необходимо делать для внедрения системы менеджмента качества, но не определяет как это делать.
Методы, как реализовать то или иное требование стандарта предприятие выбирает само, исходя из своих потребностей и возможностей.
Модель процесса управления качеством, в соответствии с международным стандартом ISO 9001, состоит из пяти разделов:
- «Система менеджмента качества»;
- «Ответственность руководства»;
- «Менеджмент ресурсов»;
- «Процессы жизненного цикла продукции»;
- «Измерение, анализ и улучшение».
На рис. 1 представлена основанная на процессах система менеджмента качества, описанная в семействе стандартов ИСО серии 9000. Этот рисунок показывает, что заинтересованные стороны играют значительную роль в предоставлении «входов» в организацию. Мониторинг удовлетворенности заинтересованных сторон требует оценивания информации, относящейся к восприятию заинтересованными сторонами того, в какой степени были удовлетворены их потребности и ожидания. Модель, показанная на рис. 1, не показывает процессы на детальном уровне.
Рис. 1. Модель системы менеджмента качества
Общие требования в разделе «Система менеджмента качества»
1) Организация должна разработать, документально оформить, внедрить, поддерживать в рабочем состоянии СМК и постоянно улучшать ее результативность в соответствии с требованиями ИСО 9001:2011
2) Организация должна:
- определить процессы, необходимые для СМК, и их применение во всей организации;
- определить последовательность и взаимодействие этих процессов;
- определить критерии и методы, необходимые для обеспечения результативности как при осуществлении, так и при управлении этими процессами;
- обеспечивать наличие ресурсов и информации для функционирования этих процессов и их мониторинга;
- осуществлять мониторинг, измерение и анализ этих процессов;
- принимать меры, необходимые для достижения запланированных результатов и постоянного улучшения этих процессов.
3) Если организация решает передать сторонним организациям выполнение какого-либо процесса, влияющего на соответствие продукции требованиям, она должна обеспечить со своей стороны контроль за этим процессом. Управление им должно быть определено в системе менеджмента качества.
Требования к документации в разделе «Система менеджмента качества».
Документация на систему качества должна содержать:
- изложение политики и целей в сфере качества;
- руководство по качеству;
- методики, требуемые этим стандартом;
- документы, необходимые организации для обеспечения эффективности планирования и исполнения процессов, управления ими;
- протоколы качества.
Объем документации может быть различным в зависимости от:
- размера организации;
- сложности процессов;
- компетентности персонала.
Руководство по качеству как один из документов СМК включает следующие аспекты:
- содержание системы менеджмента качества с подробным описанием и обоснованием всех исключений;
- созданные для системы качества документированные методики или ссылки на них;
- описание взаимодействия между процессами системы качества.
- руководство по качеству не обязательно должно быть оформлено в виде отдельного документа. Оно может быть компиляцией документов системы менеджмента качества.
- руководство по качеству может быть оформлено в виде отдельного документа или в виде нескольких томов.
Документированная методика должна содержать способы контроля, необходимые для:
- утверждения документов, как соответствующих требованиям перед их выпуском;
- пересмотра документов и, в случае необходимости, их актуализации с повторным утверждением;
- обозначения на документах их литеры изменения и номера редакции, т.е. определения текущего статуса пересмотра документов;
- обеспечения наличия документов на местах их использования;
- обеспечения сохранности документов в состоянии, пригодном для их использования;
- обеспечения идентификации внешних документов и управления их распространением;
- исключения случайного использования документов, которые устарели, или их идентификации, если они сохраняются для каких-либо целей.
Протоколы качества должны оформляться и сохраняться в виде, пригодном для чтения с возможностью их быстрого поиска и подбора.
Должна быть разработана методика, в которой установлены способы контроля, необходимые для идентификации, хранения, подбора, изъятия протоколов качества.
Ответственность руководства
В стандарте требуется от руководства выполнения следующих аспектов:
1) доведения до ведома организации идеи важности выполнения требований потребителей и законодательства;
2) установления политики в области качества;
3) обеспечения принятия определенных целей в области качества, которые должны быть соизмеримы и согласованы с политикой в области качества;
4) разрабатывать планы для достижения поставленных целей;
5) определять и доводить до сведения персонала меру его ответственности и полномочия;
6) назначать представителя руководства по качеству из состава руководства с возложением на него соответствующих обязанностей;
7) обеспечивать внутренний обмен информацией;
8) проводить регулярный анализ СМК.
Менеджмент ресурсов
В данном разделе рассматривается что, организация должна определить и удовлетворить потребность в ресурсах, необходимых для внедрения и обеспечения функционирования системы управления качеством.
Менеджмент ресурсов предусматривает требования:
1) к человеческим ресурсам (персоналу);
2) к инфраструктуре;
3) к производственной среде.
Требования к человеческим ресурсам
В стандарте определено, что персонал, выполняющий работы, которые
отражаются на качестве продукта, должен быть компетентным за счет образования, подготовки, навыков и опыта.
В стандарте указано, что организация должна:
1) периодически определить необходимую компетентность персонала;
2) осуществить подготовку персонала;
3) оценить результативность проведенных мероприятий;
4) убедиться в том, что персонал осведомлен о необходимости и
важности своей деятельности в достижении целей в сфере качества;
5) вести учет данных об обучении, подготовке, навыках и опыте
персонала.
Определение компетентности персонала может быть через анализ выполнения работ, оценку финансовых и других показателей, а также путем обеспечения обратной связи с потребителем.
В стандарте указывается, что сама организация определяет каким образом необходимо проводить обучение и подготовка персонала.
Это может быть в виде теоретических занятий и лекций, практических занятий, передачи опыта, тренинга, а также обучение при помощи современных технологий (через интернет, компакт-диски и пр.).
Результативность обучения организация может определить сама различными способами. Это могут быть экзамены, тесты, и периодические проверки, а также косвенные показатели: например, сокращение брака, повышение производительности труда и др.
Результаты обучения и подготовки персонала должны быть документированными.
Для этого могут использоваться свидетельства, дипломы, списки посещаемости, результаты экзаменов и тестов, удостоверения об обучении и т.д.
Требования к инфраструктуре
Организация должна определить, образовать и поддерживать инфраструктуру, необходимую для обеспечения выполнения требований к продукции.
К инфраструктуре можно отнести производственное помещение, рабочее пространство, средства труда и оборудование, вспомогательные службы, информационные и коммуникационные технологии, транспортные средства и др.
Требования к производственной среде
Требуется, чтобы организация определила и организовала рабочую среду, необходимую для обеспечения соблюдения требований к продукции.
Необходимо учитывать все факторы рабочей среды, которые необходимы для обеспечения выполнения всех требований к продукции.
Планирование процессов жизненного цикла продукции
Организация должна планировать и разрабатывать процессы, необходимые для обеспечения жизненного цикла продукции. Планирование процессов жизненного цикла продукции должно быть согласовано с требованиями к другим процессам системы менеджмента качества.
Проектирование и разработка
Организация должна планировать и управлять проектированием и разработкой продукции. В ходе планирования проектирования и разработки организация должна устанавливать
a) стадии проектирования и разработки,
b) проведение анализа, верификацию и валидацию, соответствующих каждой стадии проектирования и разработки,
c) ответственность и полномочия в области проектирования и разработки.
Верификация должна осуществляться в соответствии с запланированными мероприятиями, чтобы удостовериться, что выходные данные проектирования и разработки соответствуют входным требованиям. Записи результатов верификации и всех необходимых действий должны поддерживаться в рабочем состоянии.
Валидация проекта и разработки должна осуществляться в соответствии с запланированными мероприятиями, чтобы удостовериться, что полученная в результате продукция соответствует требованиям к установленному или предполагаемому использованию, если оно известно. Где это практически целесообразно, валидация должна быть завершена до поставки или применения продукции. Записи результатов валидации и всех необходимых действий должны поддерживаться в рабочем состоянии.
4) Закупки
Организация должна обеспечивать соответствие закупленной продукции установленным требованиям к закупкам. Тип и степень управления, применяемые по отношению к поставщику и закупленной продукции, должны зависеть от ее воздействия на последующие стадии жизненного цикла продукции или готовую продукцию.
Организация должна оценивать и выбирать поставщиков на основе их способности поставлять продукцию в соответствии с требованиями организации. Должны быть разработаны критерии отбора, оценки и повторной оценки. Записи результатов оценивания и любых необходимых действий, вытекающих из оценки, должны поддерживаться в рабочем состоянии.
Производство и обслуживание
Организация должна планировать и обеспечивать производство и обслуживание в управляемых условиях. Управляемые условия должны включать, если это целесообразно,
a) наличие информации, описывающей характеристики продукции,
b) наличие рабочих инструкций, в случае необходимости,
c) использование соответствующего оборудования,
d) наличие и применение контрольных и измерительных приборов,
e) проведение мониторинга и измерений, и
f) осуществление выпуска, поставки и действий после поставки продукции.
Предупреждающие действия
Организация должна определить с целью устранения причин потенциальных несоответствий для предупреждения их появления. Предупреждающие действия должны соответствовать возможным последствиям потенциальных проблем.
Для предупреждающих действий должна быть разработана документированная процедура для определения требований к
a) установлению потенциальных несоответствий и их причин,
b) оцениванию необходимости действий с целью предупреждения появления несоответствий,
c) определению и осуществлению необходимых действий,
d) записям результатов предпринятых действий,
e) анализу результативности предпринятых предупреждающих действий.
2. Международные стандарты систем экологического менеджмента серии ИСО 14000. Экологические аспекты и экологическое воздействие. Планирование на основе значимых экологических аспектов. Законодательные основы по охране окружающей среды. Требования по ГОСТ Р ИСО 14001-2007. Совместимость с системой менеджмента качества.
1. Международные стандарты систем экологического менеджментасерии ИСО 14000 - это серия международных стандартов по управлению окружающей средой.
ИСО 14000 – разработаны техническим комитетом ИСО /ТК 207, международной организацией по стандартизации (ИСО), для оказания помощи предприятиям, в построение эффективных экологических систем менеджмента (СЭМ).
Международные стандарты ИСО 14000 предназначены для обеспечения организаций элементами эффективной системы управления окружающей средой, с целью достижения экологических и экономических целей.
Состав серии стандартов ИСО 14000 :
МС ИСО 14001:2004 «Системы экологического менеджмента.
Требования и руководство по применению»
МС ИСО 14004:2004 «Системы экологического менеджмента.
Руководящие указания по принципам, системам и методам обеспечения функционирования».
Внедрение и сертификация систем экологического менеджмента в РФ проводится только по стандарту ГОСТ Р ИСО 14001-2007
В МС ИСО 14001 рассматриваются понятия окружающей среды, экологического аспекта, экологического воздействия и др.
Окружающая среда – это окружение, в котором функционирует организация, включая воздух, воду, землю, природные ресурсы, флору, фауну, людей и их взаимодействие.
Экологический аспект – это элемент деятельности организации, ее продукции или услуг, который может взаимодействовать с окружающей средой. Значимый экологический аспект оказывает или может оказать значительное воздействие на окружающую среду.
Экологическое воздействие – это любое изменение в окружающей среде, положительное или отрицательное, полностью или частично являющееся результатом деятельности организации, ее продукции или услуг.
2. Планирование на основе значимых экологических аспектов.
Организация должна разработать, выполнять и поддерживать в рабочем состоянии процедуру(ы) :
а) идентификации экологических аспектов своей деятельности, продукции и услуг в рамках установленных границ системы экологического менеджмента, которые она может контролировать и на которые она предположительно может оказывать влияние, с учетом планируемых или новых разработок, новых или измененных видов деятельности, продукции и услуг;
б) определения тех аспектов, которые оказывают или могут оказывать значительные воздействия на окружающую среду (т.е. значимых экологических аспектов).
Организация должна документально оформлять эту информацию и поддерживать ее в актуальном состоянии.
Организация должна гарантировать, что значимые экологические аспекты принимаются во внимание при внедрении и функционировании ее системы экологического менеджмента.
Организация может контролировать напрямую, те экологические аспекты, которые входят в сферу управления организации.
Прямые экологические аспекты включают:
а) выбросы в воздух;
б) сбросы в воду;
в) сбросы на грунт;
г) использование сырья и природных ресурсов;
д) использование энергии;
е) тепловое загрязнение, излучение, вибрации и т.д.;
ж) отходы и побочные продукты;
з) физические характеристики, такие как размер, форма, цвет, внешний вид.
В дополнение к экологическим аспектам, которые организация может контролировать напрямую, организация должна также рассматривать косвенные экологические аспекты.
Косвенные экологические аспекты – это аспекты, которые не входят в сферу управления организации.
Косвенные экологические аспекты включают:
а) проектирование и разработка;
б) процесс производства;
в) упаковка и транспортировка;
г) результаты экологической деятельности и деятельность подрядчиков и поставщиков;
д) управление отходами;
е) выделение и распределение сырья и природных ресурсов;
ж) распределение, использование и окончание жизненного цикла продукции;
з) дикий мир и биоразнообразие.
Контроль экологических аспектов продукции, которая поставляется организации и влияние на эти аспекты существенно меняются в зависимости от положения организации на рынке и ее поставщиков.
Организации, которые сами занимаются проектированием продукции, могут в значительной степени влиять на такие аспекты с помощью изменения, например, одного входного материала, в то время как организации, которым поставляют продукцию с характеристиками, заданными внешней стороной, имеет мало возможностей для управления аспектом.
Изменение окружающей среды, неблагоприятное или положительное, которое частично или полностью вытекает из экологических аспектов, называется воздействием на окружающую среду. Взаимосвязь между экологическим аспектом и воздействием заключается в том, что аспект является причиной воздействия.
При сборе информации по значимым экологическим аспектам, организация должна учитывать необходимость сохранять информацию для исторических целей, а также ее использование для разработки и внедрения ее системы экологического менеджмента.
Процесс определения и оценки экологических аспектов не направлен на изменение или увеличение обязательств организации перед законодательством.
Требования по ГОСТ Р ИСО 14001-2007.
Требования данного стандарта включают общие требования и экологическую политику.
Общие требования
Организация должна разработать, документально оформить, внедрить, поддерживать и последовательно улучшать систему экологического менеджмента в соответствии с требованиями настоящего международного стандарта и определить, как будут выполняться эти требования.
Организация должна определить и документально оформить границы своей системы экологического менеджмента.
Внедрение системы экологического менеджмента, описанной в настоящем международном стандарте, должно привести к улучшению результатов экологической деятельности.
Международный стандарт ИСО 14001 основан на условии, что организация будет периодически анализировать и оценивать свою систему экологического менеджмента для того, чтобы определить возможности для улучшения и осуществления этих улучшений.
Темп, масштаб и временные рамки процесса последовательного улучшения определяются самой организацией с учетом экономических и других обстоятельств.
Улучшение в системе экологического менеджмента должно привести к дальнейшему улучшению результатов экологической деятельности.
Международный стандарт требует от организации:
а) определить подходящую для организации экологическую политику,
б) определить экологические аспекты, связанные с ее прошлой, настоящей или планируемой деятельностью, продукцией и услугами, с тем, чтобы определить существенные воздействия на окружающую среду,
в) идентифицировать применимые к организации законодательные и другие требования, с которыми она согласилась,
г) идентифицировать приоритеты и установить соответствующие экологические цели и задачи;
д) разработать организационную схему и программу(ы) для реализации экологической политики, достижения экологических целей и задач;
е) способствовать планированию, контролю, мониторингу, предупреждающим и корректирующим действиям, аудиту и анализу, с тем, чтобы обеспечить как соответствие системы экологического менеджмента установленной политике, так и способность адаптироваться к изменяющимся обстоятельствам.
Системы управления на основе стандартов серии ИСО 14000 требуют пересмотра функционирования всех объектов предприятия, так или иначе связанных с воздействием на окружающую среду. Поэтому разработка и внедрение таких систем во многом перекликается с элементами построения системы управления качеством.
Следует выделить следующие основные группы элементов:
- политику организации в области управления качеством (охраны окружающей среды);
- цели, задачи, планирование деятельности организации;
измерение, анализ и улучшение;
- корректирующие и предупреждающие воздействия;
анализ со стороны руководства;
- структуру и ответственность;
- мониторинг и измерение;
- постоянное улучшение.
Обе системы призваны улучшать имидж организации, ориентировать ее деятельность на потребителя, снижать полную себестоимость ее товаров и услуг, обеспечивать устойчивые конкурентные преимущества на рыночном пространстве.
Получение сертификата в области управления охраной окружающей среды, как и сертификация предприятия на стандарты серии ИСО-9000, не является гарантией успеха и пропуском в мир высоких прибылей и доверия потребителя. Только каждодневная работа всей организации в соответствии с принципами, заложенными в стандарты, обучение персонала и постоянное совершенствование деятельности смогут стать залогом будущего успеха.
3. Международный стандарт охраны здоровья и безопасности труда OHSAS 18001:2007. Планирование на основе идентификации опасностей и оценки рисков. Цели и программы менеджмента в области охраны здоровья и безопасности труда. Подготовка и компетентность персонала. Внешние и внутренние коммуникации. Управление операциями. Подготовленность к аварийным ситуациям и реагирование на них. Аудиты и анализ со стороны руководства.
Планирование на основе идентификации опасностей и оценки рисков.
Организация должна установить и поддерживать в рабочем состоянии процедуры для идентификации существующих опасностей, оценки рисков и внедрения необходимых мер управления. Это должно охватывать:
- рутинные и нерутинные виды деятельности;
- деятельность всего персонала, имеющего доступ к рабочему месту (включая контракторов и посетителей);
- оборудование на рабочем месте, представленное организацией или другими лицами.
Организация должна обеспечить использование результатов проведенной оценки и результатов мероприятий по управлению рисками при постановке целей в области безопасности труда и охраны здоровья. Данная информация должна быть документироваться и подвергаться актуализации.
Методология организации по идентификации опасности и оценке риска должна:
- быть определена с учетом масштабов последствий, характера и длительности воздействия, чтобы обеспечить ее проактивный (предупреждающий) характер, а не реактивный (после произошедшего события);
- обеспечить классификацию рисков и идентификацию тех, которые должны быть устранены или управляемы мерами;
- быть согласована с оперативными наработками и сопоставлена с возможностями используемых мер по управлению риском;
- представлять исходные данные для определения требований к производственному оборудованию, идентификации потребности в обучении персонала и/или разработке мер оперативного контроля;
- предусмотреть отслеживание исполнения требуемых действий для обеспечения эффективности и своевременности их внедрения.
Подготовка и компетентность персонала.
Персонал должен быть компетентным для выполнения задач, которые могут влиять на безопасность и здоровье на рабочем месте.
Компетентность следует определять, на основании соответствующего образования, подготовки и производственного опыта.
Организация должна разработать и поддерживать в рабочем состоянии процедуры, которые обеспечивают осведомленность работников каждого соответствующего уровня и должности, о:
- важности следованию политике в области безопасности труда и охраны здоровья;
- последствиях их трудовой деятельности, на безопасность и здоровье работника;
- потенциальных последствиях в случае отступления от установленных операционных процедур.
Процедуры обучения персонала должны принимать в расчет различные уровни:
- обязанности, способности и грамотности;
- риск.
Управление операциями.
Организация должна идентифицировать те операции и виды деятельности, которые связаны с идентифицированными рисками, где нужно применить меры по управлению. Организация должна планировать эти виды деятельности, включая поддержание в рабочем состоянии, чтобы они проводились в установленных условиях путем:
а) разработки и поддержания в рабочем состоянии документированных процедур;
б) определения в процедурах операционных критериев;
в) разработки и поддержания в рабочем состоянии процедур, относящихся к идентифицированным рискам;
г) разработки и поддержания в рабочем состоянии процедур для проектирования рабочего места, технологического процесса, установок, механизмов.
Требования к документации
Документация системы менеджмента безопасности пищевой продукции должна включать в себя.
a) документально оформленное заявление в области обеспечения безопасности пищевой продукции и о соответствующих целях организации;
b) документально оформленное процедуры и записи, требуемые coгласно настоящему стандарту;
c) документы, необходимые организации для эффективной разработки, внедрения и актуализации системы менеджмента безопасности пищевой продукции.
Планирование и реализация безопасной продукции
Организация должна планировать, разрабатывать, внедрять и применять процессы производства безопасной продукции.
Организация должна обеспечивать результативность запланированных видов деятельности и любых изменений, вносимых в них. Эта деятельность включает в себя выполнение программ обязательных предварительных мероприятий, производственных программ обязательных предварительны к мероприятий и/или плана ХАССП.
Предварительная необходимая программа (ПНП) или программы обязательных предварительных мероприятий (PRP)– это основные условия и виды деятельности по обеспечению безопасности пищевой продукции, которые необходимы для поддержания гигиенических условий на всех этапах цепи создания пищевой продукции, приемлемых для производства, обращения и поставки конечной продукции и безопасной пищевой продукции для употребления человека в пищу.
Требуемые программы обязательных предварительных мероприятий зависят от места в цепи создания пищевой продукции, в котором работает организация, а также от типа организации.
Постоянство улучшений.
Высшее руководстве должно обеспечить непрерывное улучшение эффективности системы менеджмента безопасности пищевой продукции, применяя для этого обмен информацией, анализ со стороны руководства, валидацию комбинаций мероприятий по управлению корректирующими действиями, оценку результатов отдельных верификационных проверок, анализ результатов верификационной деятельности, а также актуализацию системы менеджмента безопасности пищевой продукции.
5. Международный стандарт системы менеджмента защиты информации ИСО/МЭК 27001:2005. Область применения и краткое содержание.
1. ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC 27 Объединенного технического комитета JTC 1.
Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности(СМИБ).
Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной без.
ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.
Система менеджмента защиты информации:часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.
Общие положения:этот международный стандарт был подготовлен для того, чтобы предоставить модель для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения Системы Менеджмента Защиты Информации (СМЗИ).
Процессный подход:этот международный стандарт принимает процессный подход для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения СМЗИ организации.
Этот международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA1), которая применяется для структуризации всех процессов СМЗИ.
Модель PDCA, примененная к процессам СМЗИ:
Планирование (создайте СМЗИ):установите политику, цели, процессы и процедуры, относящиеся к менеджменту рисков и улучшению защиты информации для выдачи результатов в соответствии с общей политикой и целями организации.
Осуществление (внедрите и эксплуатируйте СМЗИ): реализуйте и эксплуатируйте политику, средства управления, процессы и процедуры в области СМЗИ.
Действие (постоянно контролируйте и анализируйте СМЗИ): оценивайте и, где применимо, измеряйте показатели процессов по отношению к политике, целям и практическому опыту в области СМЗИ, доложите результаты руководству для анализа.
Проверка (поддерживайте в рабочем состоянии и улучшайте СМЗИ): осуществляйте корректирующие и предупреждающие действия, основанные на результатах внутреннего аудита СМЗИ и анализа со стороны руководства, или на другой значимой информации для того, чтобы достичь постоянного улучшения СМЗИ.
Совместимость с другими системами менеджмента: этот международный стандарт совмещен с ISO 9001:2000 и ISO 14001:2004 для того, чтобы поддерживать согласованную и комплексную реализацию и работу со связанными стандартами менеджмента. Одна должным образом разработанная система менеджмента может, таким образом, удовлетворить требованиям всех этих стандартов.
Область применения: требования, установленные в этом международном стандарте, носят общий характер и предназначены для применения ко всем организациям, независимо от типа, размера и характера.
2. Термины и определения:
Актив -что-либо, что имеет ценность для организации.
Доступность -свойство быть доступным и годным к употреблению по требованию уполномоченного лица.
Конфиденциальность -свойство, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам
Защита информации -сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность.
Событие в системе защиты информации -выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение политики защиты информации или нарушения в работе средств защиты, или прежде неизвестная ситуация, которая может иметь значение для защиты.
Инцидент в системе защиты информации -одно или серия нежелательных или неожиданных событий в системе защиты информации, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.
Целостность - свойство оберегания точности и полноты активов.
Остаточный риск -риск, остающийся после обработки риска.
Принятие риска - решение взять на себя риск.
Анализ риска -систематическое использование информации для выявления источников и для оценки степени риска.
Основные разделы стандарта:
- Система менеджмента защиты информации
- Ответственность руководства
- Внутреннее аудиты СМЗИ
- Анализ СМЗИ со стороны руководства
- УЛУЧШЕНИЕ СМЗИ.
3. Система менеджмента защиты информации включает следующие пункты:
- общие требования;
- создание СМЗИ;
- Реализация и эксплуатация СМЗИ;
- Контроль и анализ СМЗИ;
- Поддерживать в рабочем состоянии и улучшать СМЗИ;
- требования к документации (общие положения);
- Управление документами;
- Управление записями.
Общие требования Системы менеджмента защиты информации:
организация должна создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать документированную СМЗИ в контексте целостной деловой деятельности организации и рисков, с которыми она сталкивается.
Для создания СМЗИ организация должна сделать следующее:
1) Определить область приложения и границы СМЗИ;
2) Определить политику в отношении СМЗИ;
3) Определить подход к оценке риска в организации;
4) Выявить риски;
5) Проанализировать риск и оценить значительность риска;
6) Выявить и оценить возможности для обработки рисков;
7) Выбрать цели управления и средства управления для обработки риска;
8) Получить утверждение руководства предлагаемого остаточного риска;
9) Получить разрешение руководства на реализацию и работу СМЗИ;
10) Подготовить Заявление о применимости.
Документация СМЗИ должна включать следующее:
a) документированное заявление о политике и целях СМЗИ;
b) область приложения СМЗИ;
c) процедуры и средства управления в поддержку СМЗИ;
d) описание методологии оценки рисков;
e) отчет об оценке рисков;
f) план обработки рисков;
g) документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять результативность средств управления;
h) записи, требуемые этим международным стандартом;
i) Заявление о применимости.
Документы, требуемые СМЗИ, должны быть защищены и должны управляться.
Управление записями:
Записи должны создаваться и поддерживаться в рабочем состоянии для того, чтобы обеспечивать подтверждение соответствия требованиям и результативной работы СМЗИ. Записи должны быть защищены и должны управляться.
Раздел Ответственности руководства включает следующие пункты:
- обязательства руководства;
- обеспечение ресурсами;
- подготовка, осведомленность и компетентность.
В разделе «Внутреннее аудиты СМЗИ» указывается что:
Организация должна проводить внутренние аудиты СМЗИ через запланированные интервалы, с целью определ