Управление несоответствиями.

Организация должна гарантировать, что в случае превышения критических пределов в критических контрольных точках или в случае потери управления в рамках производственных про­грамм обязательных предварительных мероприятий конечная продукция, на которую оказала воздействие такая ситуация, будет идентифицирована и будет осуществлено соответствующее управ­ление в отношении ее использования и выпуска.

Должна быть разработана и применена документально оформленная процедура в отношении:

а) идентификации и оценки конечной продукции, на которую оказала воздействие вышеуказанная ситуация, чтобы определить, как следует обращаться с такой продукцией;

б) анализа осуществленной коррекции.

Продукция, изготовленная в условиях превышения критических пределов, является потенциально опасной и подлежит обращению в соответствии с требование стандарта. Продукция, изготовленная в условиях несоб­людения производственных программ обязательных предварительных мероприятий, должна быть оце­нена в отношении причин несоответствия и результирующего воздействия на безопасность пищевой продукции. Если необходимо, то к ней должны быть применены меры в соответствии с требованием стандарта. Результаты оценки должны быть оформлены в виде записей.

Корректирующие действия должны быть предприняты в случае превышения критических преде­лов или недостаточного соответствия производственным программам обязательных предва­рительных мероприятии.

Каждая партия продукции, для которой было выявлено несоответствие, может быть выпущена как безопасная продукция только в том случае, если выполняется одно из следующих условий:

а) наличие свидетельства о том, что другое средство управления, кроме системы мониторинга, подтверждает, что мероприятия по управлению были результативными;

б) наличие свидетельства о том, что объединенный эффект мероприятий по управлению, изме­ренный для данной конкретной продукции, соответствует предусмотренному результату выполнения работы (т.е. соблюдены приемлемые уровни идентифицированной опасности определенные согласно стандарта);

в) результаты выборки, анализа и/или других верификационных действий подтверждают, что пар­тия продукции, для которой было выявлено несоответствие, имеет приемлемые идентифицированные уровни рассматриваемых опасностей, угрожающих безопасности пищевой продукции.

После выполнения оценки, подтвердившей, что партия продукции является неприемлемой для выпуска, данная продукция должна быть ликвидирована одним из следующих способов:

а) переработкой или дальнейшей обработкой в рамках или вне рамок организации, которая по­зволяет обеспечить устранение или снижение до приемлемых уровней опасности, угрожающей безо­пасности пищевой продукции;

б) уничтожением и/или удалением в виде отходов.

Изъятую продукцию следует изолировать или хранить под контролем до тех пор, пока она не будет уничтожена, использована для других целей, кроме первоначально предусмотренного применения, идентифицирована как безопасная для первоначального (или другого) предусмотренного применения или повторно переработана способом, позволяющим получить безопасную продукцию.

Информация о причине, объемах и результате изъятия должна быть оформлена в виде записей и передана высшему руководству в виде входных данных для анализа со стороны руководства.

Организация должна верифицировать и вести записи в отношении результативности программы изъятия, используя соответствующие методы, например фиктивное изъятие или изъятие в соотве­тствии с установившейся практикой.

Постоянство улучшений.

Высшее руководстве должно обеспечить непрерывное улучшение эффективности системы ме­неджмента безопасности пищевой продукции, применяя для этого обмен информацией, анализ со стороны руководства, валидацию комбинаций мероприятий по управ­лению корректирующими действиями, оценку результатов отдельных верификационных проверок, анализ результатов верификационной деятельности, а также актуализацию системы менеджмента безопасности пищевой продукции.

5.​ Международный стандарт системы менеджмента защиты информации ИСО/МЭК 27001:2005. Область применения и краткое содержание.

1. ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC 27 Объединенного технического комитета JTC 1.

Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности(СМИБ).

Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной без.

ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Система менеджмента защиты информации:часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

Общие положения:этот международный стандарт был подготовлен для того, чтобы предоставить модель для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения Системы Менеджмента Защиты Информации (СМЗИ).

Процессный подход:этот международный стандарт принимает процессный подход для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения СМЗИ организации.

Этот международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA1), которая применяется для структуризации всех процессов СМЗИ.

Модель PDCA, примененная к процессам СМЗИ:

Управление несоответствиями. - student2.ru

Планирование (создайте СМЗИ):установите политику, цели, процессы и процедуры, относящиеся к менеджменту рисков и улучшению защиты информации для выдачи результатов в соответствии с общей политикой и целями организации.

Осуществление (внедрите и эксплуатируйте СМЗИ): реализуйте и эксплуатируйте политику, средства управления, процессы и процедуры в области СМЗИ.

Действие (постоянно контролируйте и анализируйте СМЗИ): оценивайте и, где применимо, измеряйте показатели процессов по отношению к политике, целям и практическому опыту в области СМЗИ, доложите результаты руководству для анализа.

Проверка (поддерживайте в рабочем состоянии и улучшайте СМЗИ): осуществляйте корректирующие и предупреждающие действия, основанные на результатах внутреннего аудита СМЗИ и анализа со стороны руководства, или на другой значимой информации для того, чтобы достичь постоянного улучшения СМЗИ.

Совместимость с другими системами менеджмента: этот международный стандарт совмещен с ISO 9001:2000 и ISO 14001:2004 для того, чтобы поддерживать согласованную и комплексную реализацию и работу со связанными стандартами менеджмента. Одна должным образом разработанная система менеджмента может, таким образом, удовлетворить требованиям всех этих стандартов.

Область применения: требования, установленные в этом международном стандарте, носят общий характер и предназначены для применения ко всем организациям, независимо от типа, размера и характера.

2. Термины и определения:

Актив -что-либо, что имеет ценность для организации.

Доступность -свойство быть доступным и годным к употреблению по требованию уполномоченного лица.

Конфиденциальность -свойство, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам

Защита информации -сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность.

Событие в системе защиты информации -выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение политики защиты информации или нарушения в работе средств защиты, или прежде неизвестная ситуация, которая может иметь значение для защиты.

Инцидент в системе защиты информации -одно или серия нежелательных или неожиданных событий в системе защиты информации, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.

Целостность - свойство оберегания точности и полноты активов.

Остаточный риск -риск, остающийся после обработки риска.

Принятие риска - решение взять на себя риск.

Анализ риска -систематическое использование информации для выявления источников и для оценки степени риска.

Основные разделы стандарта:

- Система менеджмента защиты информации

- Ответственность руководства

- Внутреннее аудиты СМЗИ

- Анализ СМЗИ со стороны руководства

- УЛУЧШЕНИЕ СМЗИ.

3. Система менеджмента защиты информации включает следующие пункты:

- общие требования;

- создание СМЗИ;

- Реализация и эксплуатация СМЗИ;

- Контроль и анализ СМЗИ;

- Поддерживать в рабочем состоянии и улучшать СМЗИ;

- требования к документации (общие положения);

- Управление документами;

- Управление записями.

Общие требования Системы менеджмента защиты информации:

организация должна создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать документированную СМЗИ в контексте целостной деловой деятельности организации и рисков, с которыми она сталкивается.

Для создания СМЗИ организация должна сделать следующее:

1) Определить область приложения и границы СМЗИ;

2) Определить политику в отношении СМЗИ;

3) Определить подход к оценке риска в организации;

4) Выявить риски;

5) Проанализировать риск и оценить значительность риска;

6) Выявить и оценить возможности для обработки рисков;

7) Выбрать цели управления и средства управления для обработки риска;

8) Получить утверждение руководства предлагаемого остаточного риска;

9) Получить разрешение руководства на реализацию и работу СМЗИ;

10) Подготовить Заявление о применимости.

Документация СМЗИ должна включать следующее:

a) документированное заявление о политике и целях СМЗИ;

b) область приложения СМЗИ;

c) процедуры и средства управления в поддержку СМЗИ;

d) описание методологии оценки рисков;

e) отчет об оценке рисков;

f) план обработки рисков;

g) документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять результативность средств управления;

h) записи, требуемые этим международным стандартом;

i) Заявление о применимости.

Документы, требуемые СМЗИ, должны быть защищены и должны управляться.

Управление записями:

Записи должны создаваться и поддерживаться в рабочем состоянии для того, чтобы обеспечивать подтверждение соответствия требованиям и результативной работы СМЗИ. Записи должны быть защищены и должны управляться.

Раздел Ответственности руководства включает следующие пункты:

- обязательства руководства;

- обеспечение ресурсами;

- подготовка, осведомленность и компетентность.

В разделе «Внутреннее аудиты СМЗИ» указывается что:

Организация должна проводить внутренние аудиты СМЗИ через запланированные интервалы, с целью определить следующее аспекты:

a) соответствуют ли требованиям этого международного стандарта и относящихся к ним законов или нормы;

b) соответствуют ли выявленным требованиям защиты информации;

c) эффективно ли реализуются и поддерживаются в рабочем состоянии;

d) выполняются ли, как ожидается цели управления, средства управления, процессы и процедуры СМЗИ организации.

Наши рекомендации