Раздел «анализ СМЗИ со стороны руководства»
Входные данные для анализа СМЗИ со стороны руководства должны включать в себя следующее моменты:
a) результаты аудитов и анализа СМЗИ;
b) обратная реакция заинтересованных сторон;
c) методики, продукты или процедуры, которые можно было бы использовать в организации для улучшения качества работы и результативности СМЗИ;
d) статус предупреждающих и корректирующих действий;
e) уязвимые места или угрозы, адекватно не рассмотренные в предыдущих оценках риска;
f) результаты измерений результативности;
g) последующие действия, вытекающие из предыдущего анализа со стороны руководства;
h) любые изменения, которые могли повлиять на СМЗИ;
i) рекомендации по улучшению.
Выходные данные анализа со стороны руководства должны включать в себя любые решения и действия, имеющие отношение к нижеследующему:
a) Улучшение результативности СМЗИ.
b) Обновление оценки риска и плана обработки риска.
c) Изменения процедур и средств управления, которые влияют на защиту информации.
d) Необходимые ресурсы.
e) Улучшение в том, как измеряется результативность средств управления.
Раздел «корректирующие действия, предупреждающие действия и Постоянное улучшение СМЗИ».
Организация должна постоянно улучшать результативности СМЗИ посредством:
- использования политики и целей защиты информации.
- использования результатов аудита.
- анализа наблюдаемых событий, корректирующих и предупреждающих действий.
- анализа со стороны руководства.
Организация должна предпринимать действия по устранению причины несоответствия требованиям СМЗИ для того, чтобы предотвращать повторение.
Документированная процедура для корректирующего действия должна определять требования для следующего:
a) выявление несоответствий;
b) определение причин несоответствий;
c) оценивание потребности в действиях, чтобы гарантировать, что несоответствия не возникнут снова;
d) определение и реализация требующихся корректирующих действий;
e) записывание результатов предпринятых действий;
f) анализ предпринятого корректирующего действия.
Организация должна определить действие для устранения причины возможного несоответствия требованиям СМЗИ для того, чтобы предотвратить его возникновение.
Предпринятые предупреждающие действия должны соответствовать негативному влиянию возможных проблем.
Документированная процедура для предупреждающего действия должна определять требования для следующего:
a) выявление возможных несоответствий и их причин;
b) оценивание потребности в действии, имеющем целью предотвратить случай несоответствия;
c) определение и реализация требуемого предупреждающего действия;
d) записывание результатов предпринятого действия;
e) анализ предпринятого предупреждающего действия.
Организация должна выявить изменившиеся риски и определить требования к предупреждающим действиям, сосредоточив внимание на значительно изменившихся рисках.
Приоритет предупреждающих действий должен быть определен на основе результатов оценки риска.
Список литературы
1) Герасимов, Б.Н. Управление качеством [Текст] : учеб. пособие / Б.Н. Герасимов, Ю.В. Чуриков. - М. : Вузовский учебник : ИНФРА-М, 2011. - 304 с.
2) Дунченко, Н.И. Управление качеством в отраслях пищевой промышленности : учеб. пособие / Н.И. Дунченко, М.Д. Магомедов, А.В. Рыбин. – 3-е изд. – М. : Дашков и К, 2010. – 212 с.
3) ИСО/МЭК 27001:2005 Международный стандарт системы менеджмента защиты информации
4) Рожков, В.Н. Управление качеством [Текст] : учебник / В.Н. Рожков. - М. : Форум, 2012. - 336 с.
5) Салимова, Т.Я. Управление качеством [Текст] : учебник / Т.Я. Салимова. – 5-е изд., стер. – М. : Омега-Л, 2011. – 416 с.
Раздел 6. «Проектирование систем менеджмента качества»
К.э.н., доцент Джано Джомаа
Вопрос 1. Мотивация принятия решения о разработке системы менеджмента качества, роль высшего руководства, разработка этапов работ по проектированию СМК, формирование рабочей структуры по проектированию СМК, обучения персонала.
Внутренние мотивы, побуждающие организацию осуществлять проектирование и разработку системы менеджмента качества:
а) улучшить деятельность организации и повысить эффективность управления;
б) снижение материальных и трудовых издержек;
в) увеличение прибыльности; эффективности и результативности в работе фирмы;
г) развитие и совершенствование производства;
д) повышение качества трудовой жизни;
е) совершенствование условий труда;
ж) избежать ошибок в работе, приводящих к появлению брака.
Это связано с тем, что СМК четко формулирует (описывает) действия по созданию качественной продукции или услуг, разрабатывает инструкции по их выполнению, а также контролирует эти действия;
З) совершенствование процесса ведения бизнеса на основе применения принципов менеджмента качества.
Внешние мотивы, побуждающие организацию осуществлять проектирование и разработку СМК:
а) первоначальный толчок к внедрению СМК вызван рыночными условиями (например, СМК требуется для получения крупного заказа или ее просит предъявить серьезный клиент);
б) удовлетворение запросов потребителей и обеспечение их уверенность в качестве получаемой продукции;
в) повышение конкурентоспособности продукции и организации в целом;
г) укрепление и расширение позиций бизнеса на рынке;
д) отдельные законодательные требования;
е) развитие научно-технического прогресса.
Роль высшего руководства в разработке СМК:
С помощью лидерства и реальных действий высшее руководство может создать обстановку, способствующую полному волочению работников и эффективной работе системы менеджмента качества.
Принципы менеджмента качества могут использоваться высшим руководством как основа для выполнения своей роли при:
а) разработке и поддержании политики и целей организации в области качества;
б) популяризации политики и целей в области качества во всей организации для повышения осознания, мотивации и вовлечения персонала;
в) ориентации всего персонала организации на требования потребителей;
г) внедрении соответствующих процессов, позволяющих выполнять требования потребителей и других заинтересованных сторон и достигать целей в области качества;
д) разработка, внедрении и поддержании в рабочем состоянии результативной и эффективной системы менеджмента качества для достижения поставленных целей в области качества;
е) обеспечении необходимыми ресурсами;
ж) проведении периодического анализа системы менеджмента качества;
з) принятии решений в отношении политики и целей в области качества;
и) принятии решений по мерам улучшения системы менеджмента качества
Методические рекомендации по разработке, внедрению, аудиту и сертификации СМК:
а) рекомендации руководства ИСО/ТК 176, включающие: этапы и процедуры внедрения СМК в организации;
б) рекомендации отечественных специалистов: сформированные на основе практического опыта внедрения и сертификации СМК на предприятиях РФ.