Дополнительно к госам. . . . 3 страница

c) оценивать результативность предпринятых действий;

d) поддерживать в рабочем состоянии записи об образовании, подготовке, мастерстве, опыте и квалификации;

е) организация должна гарантировать, что весь имеющий отношение к делу персонал отдает себе отчет в значимости и важности их деятельности в области защиты информации и в том, какой вклад они вносят в достижение целей СМЗИ.

В разделе «внутреннее аудиты СМЗИ» указывается что:

Организация должна проводить внутренние аудиты СМЗИ через запланированные интервалы, с целью определить следующее аспекты:

a) соответствуют ли требованиям этого международного стандарта и относящихся к ним законов или нормы;

b) соответствуют ли выявленным требованиям защиты информации;

c) эффективно ли реализуются и поддерживаются в рабочем состоянии;

d) выполняются ли, как ожидается цели управления, средства управления, процессы и процедуры СМЗИ организации.

При проведении внутреннего аудита СМЗИ необходимо учитывать следующее моменты:

- Программа аудиты должна быть спланирована с учетом статуса и важности процессов и областей, которые нужно проверять, а также результатов предыдущих аудитов.

- Необходимо определить критерии, область приложения, частота и методы аудита.

- Выбор аудиторов и проведение аудитов должны гарантировать объективность и беспристрастность процесса аудита.

- Аудиторы не должны проверять свою собственную работу.

- Ответственность за планирование и проведение аудитов и требования для планирования и проведения аудитов, а также для сообщения результатов и поддержания записей в рабочем состоянии, должны быть определены в документированной процедуре.

- Руководство, ответственное за проверяемую область, должно гарантировать, что действия по устранению обнаруженных несоответствий и их причины предпринимаются без ненужной задержки.

- После проведения внутреннего аудита необходимо провести верификацию предпринятых действий и составление отчета по результатам верификации.

Раздел «анализ СМЗИ со стороны руководства»

Входные данные для анализа СМЗИ со стороны руководства должны включать в себя следующее моменты:

a) результаты аудитов и анализа СМЗИ;

b) обратная реакция заинтересованных сторон;

c) методики, продукты или процедуры, которые можно было бы использовать в организации для улучшения качества работы и результативности СМЗИ;

d) статус предупреждающих и корректирующих действий;

e) уязвимые места или угрозы, адекватно не рассмотренные в предыдущих оценках риска;

f) результаты измерений результативности;

g) последующие действия, вытекающие из предыдущего анализа со стороны руководства;

h) любые изменения, которые могли повлиять на СМЗИ;

i) рекомендации по улучшению.

Выходные данные анализа со стороны руководства должны включать в себя любые решения и действия, имеющие отношение к нижеследующему:

a) Улучшение результативности СМЗИ.

b) Обновление оценки риска и плана обработки риска.

c) Изменения процедур и средств управления, которые влияют на защиту информации.

d) Необходимые ресурсы.

e) Улучшение в том, как измеряется результативность средств управления.

Раздел «корректирующие действия, предупреждающие действия и Постоянное улучшение СМЗИ».

Организация должна постоянно улучшать результативности СМЗИ посредством:

- использования политики и целей защиты информации.

- использования результатов аудита.

- анализа наблюдаемых событий, корректирующих и предупреждающих действий.

- анализа со стороны руководства.

Организация должна предпринимать действия по устранению причины несоответствия требованиям СМЗИ для того, чтобы предотвращать повторение.

Документированная процедура для корректирующего действия должна определять требования для следующего:

a) выявление несоответствий;

b) определение причин несоответствий;

c) оценивание потребности в действиях, чтобы гарантировать, что несоответствия не возникнут снова;

d) определение и реализация требующихся корректирующих действий;

e) записывание результатов предпринятых действий;

f) анализ предпринятого корректирующего действия.

Организация должна определить действие для устранения причины возможного несоответствия требованиям СМЗИ для того, чтобы предотвратить его возникновение.

Предпринятые предупреждающие действия должны соответствовать негативному влиянию возможных проблем.

Документированная процедура для предупреждающего действия должна определять требования для следующего:

a) выявление возможных несоответствий и их причин;

b) оценивание потребности в действии, имеющем целью предотвратить случай несоответствия;

c) определение и реализация требуемого предупреждающего действия;

d) записывание результатов предпринятого действия;

e) анализ предпринятого предупреждающего действия.

Организация должна выявить изменившиеся риски и определить требования к предупреждающим действиям, сосредоточив внимание на значительно изменившихся рисках.

Приоритет предупреждающих действий должен быть определен на основе результатов оценки риска.

Основное содержание и назначение стандарта ИСО 9001-2015. Модель системы менеджмента качества. Общие положения и понимание контекста организации. Лидерство. Планирование СМК. Обеспечение СМК. Оценка и улучшение СМК.

Формированию концепции ИСО 9001:2015 предшествовала огромная работа по опросу экспертного сообщества и пользователей стандарта более чем в 100 странах мира. Было обработано свыше 10 тыс. предложений, в результате чего сформировано техническое задание на разработку стандарта ИСО 9001:2015.

Новая версия стандарта ISO 9001 существенно изменилась по сравнению с версией 2008 года.

С момента публикации ISO 9001:2015 запланирован 3-летний переходный период. Это означает, что стандарт ISO 9001: 2008 будет действовать до сентября 2018 года, а переход к новой версии ISО 9001:2015 до сентября 2018 года может происходить в процессе очередных наблюдательных или ресертификационных аудитов с увеличением трудоемкости.

Структура стандарта ISO 9001:2015 включает в себя следующие разделы:

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Контекст организации

5. Лидерство

6. Планирование

7. Обеспечение

8. Функционирование

9. Оценка результатов деятельности

10. Улучшение

Возможные преимущества организации от внедрения системы менеджмента качества на базе данного Международного Стандарта следующие:

a) способность постоянно поставлять продукты и услуги, которые соответствуют требованиям потребителя, законодательным и иным нормативным требованиям;

b) облегчение реализации возможностей повысить удовлетворенность потребителей;

c) обработка рисков и реализация возможностей, связанных с контекстом организации и ее задачами;

d) возможность продемонстрировать соответствие установленным требованиям к системе менеджмента качества.

Настоящий Международный Стандарт использует процессный подход, который включает в себя цикл Plan-Do-Check-Act (PDCA) и мышление, основанное на оценке рисков.

Процессный подход позволяет организации планировать ее процессы и их взаимодействие. Цикл PDCA позволяет организации гарантировать, что ее процессы обеспечены ресурсами и управляются надлежащим образом, а также, что возможности для улучшения выявляются и реализуются.

Рис. 1. Представление структуры ИСО 9001:2015 в формате цикла PDCA

Мышление, основанное на оценке рисков, позволяет организации выявить факторы, которые могут вызывать отклонения ее процессов и системы менеджмента качества от запланированных результатов, задействовать защитные механизмы для снижения негативного влияния и обеспечить максимальную реализацию возможностей при их появлении. Постоянное соответствие требованиям и выявление будущих потребностей и ожиданий создает вызовы для организаций во все более динамичной и сложной среде. Чтобы добиться этих целей организация может найти необходимым использование различных форм совершенствования в дополнении к коррекциям и постоянному улучшению, таких как кардинальные изменения, инновации и реорганизация.

Контекст организации. Раздел включает в себя 4 подраздела:

4.1 Понимание организации и ее окружения. В этом разделе стандарт требует определить внутренние и внешние условия работы организации (ее окружение) которые влияют на результат работы и на систему качества.

4.2 Понимание потребностей и ожиданий заинтересованных сторон. От организации требуется определить заинтересованные стороны, которые оказывают влияние на систему качества, определить требования заинтересованных сторон и осуществлять регулярный мониторинг этих требований.

4.3 Область действия системы менеджмента качества. В соответствии с требованиями данного раздела стандарта ИСО 9001:2015 организация должна определить границы применения системы качества. Границы применения должны быть документально определены.

4.4 Система менеджмента качества и процессы организации. Этот раздел во многом схож с разделом 4.1 версии стандарта ISO 9001:2008. Организация должна определить процессы необходимые для системы качества и управлять этими процессами. Дополнительно, организация должна определить риски и возможности каждого процесса.

Лидерство. Раздел включает в себя 3 подраздела:

5.1 Лидерство и обязательства. Раздел включает в себя требования к высшему руководству организации. Высшее руководство должно демонстрировать свое лидерство в системе менеджмента качества и взять на себя обязательства по внедрению и управлению этой системой. Другой составляющей лидерства и обязательства высшего руководства является демонстрация приверженности ориентации на потребителя.

5.2 Политика в области качества. В соответствии с ISO 9001:2015 высшее руководство должно разрабатывать, анализировать и пересматривать политику в области качества. Политика в области качества должна быть документирована.

5.3 Роли, ответственность и полномочия в организации. Требования этого раздела обязывают высшее руководство организации определить ответственность и полномочия и распределить необходимые роли в организации для работы системы качества, исполнения процессов, и выполнения требований потребителей.

Планирование системы менеджмента качества. Раздел включает в себя три подраздела:

6.1 Действия по реагированию на риски и возможности. Это принципиально новый блок требований ISO 9001:2015. Организация должна определить риски и возможности, которые способны повлиять на систему качества и результаты работы организации. Также требуется создать план реагирования на риски и возможности.

6.2 Цели в области качества и планирование достижения целей. В соответствии с требованиями данного раздела организация должна установить цели в области качества для всех уровней, функций и процессов. Для достижения целей должны быть разработаны планы.

6.3 Планирование изменений. Если организация определит необходимость в изменениях системы качества, то такие изменения должны выполняться в соответствии с разработанными планами.

Обеспечение. Этот раздел включает в себя пять подразделов:

7.1 Ресурсы. Раздел представляет общие требования по управлению ресурсами, требования по управлению человеческими ресурсами, инфраструктурой и производственной средой, ресурсами для проведения мониторинга и измерений, а также требования по управлению знаниями.

7.2 Компетенции. По своему содержанию, требования данного раздела схожи с требованиями п.п. 6.2 стандарта ISO 9001:2008. Он содержит в себе требования к компетенции персонала организации.

7.3 Осведомленность. Здесь ИСО 9001:2015 устанавливает требования к осведомленности персонала по вопросам политики и целей в области качества, результативности системы качества и выполнению требований системы менеджмента качества.

7.4 Взаимодействия. Этот раздел стандарта ISO 9001:2015 требует от организации определить внешние и внутренние взаимодействия, которые могут повлиять на систему качества.

7.5 Документированная информация. Стандарт ИСО 9001:2015 вводит новое понятие, которое заменяет собой применяющиеся в версии 2008 г. понятия «документированная процедура» и «записи». Раздел содержит общие требования к документированной информации, требования к ее созданию и обновлению, а также требования по управлению документированной информацией.

Функционирование. В состав этого раздела входят семь подразделов:

8.1 Планирование и управление процессами. В соответствии с требованиями данного раздела организация должна планировать, применять и управлять процессами, необходимыми для системы качества.

8.2 Определение требований к продукции и услугам. По требованиям этого раздела ISO 9001:2015 организация должна определить и установить процессы взаимодействия с потребителями, определить требования, связанные с продукцией и услугами и проводить регулярный анализ требований, связанных с продукцией и услугами. Для выполнения этих требований должны быть определены и установлены соответствующие процессы.

8.3 Разработка и проектирование продукции и услуг. В этом разделе представлены общие требования по проектированию и разработке, требования по планированию проектирования и разработке, проектированию и разработке входных данных, проектированию и разработке методов контроля, проектированию и разработке выходных данных, проектированию и разработке изменений.

8.4 Управление внешним обеспечением продукции и услуг. Требования этого раздела схожи с требованиями раздела 7.4 стандарта ISO 9001:2008 по управлению закупками. В раздел включены общие требования по управлению внешним обеспечением, требования к виду и степени управления внешним обеспечением, требования по управлению информацией по внешнему обеспечению.

8.5 Сохранение продукции и услуг. Этот раздел содержит требования по управлению готовой продукцией и услугами, требования по идентификации и прослеживаемости, сохранению собственности потребителя или внешнего поставщика, защите продукции и действиям после поставки, а также по управлению изменениями продукции.

8.6 Выпуск продукции и предоставление услуги. В данном разделе ISO 9001:2015 определены требования по выполнению действий до поставки продукции потребителю.

8.7 Управление несоответствующими процессами, продукцией или услугами. Требования этого раздела определяют необходимые действия организации в случае возникновения несоответствий в процессах, продукции или услугах.

Оценка результатов деятельности. Раздел включает в себя три подраздела:

9.1 Мониторинг, измерения, анализ и оценка. В раздел включены общие требования по проведению мониторинга, измерений, анализу и оценке, требования по измерению удовлетворенности потребителей, а также требования по анализу и оценке работы организации и системы качества.

9.2 Внутренний аудит. Здесь представлены требования по планированию, организации и проведению внутренних аудит. В целом, требования данного раздела схожи с требованиями п.п. 8.2.2 стандарта ISO 9001:2008.

9.3 Анализ системы менеджмента. Раздел содержит требования к высшему руководству организации. Высшее руководство должно планировать и регулярно проводить анализ системы менеджмента организации.

Улучшения. Раздел включает в себя три подраздела.

10.1 Общие требования. В этом разделе определены требования по проведению улучшений в процессах, продукции и услугах, а также системе менеджмента качества организации.

10.2 Несоответствия и корректирующие действия. Здесь представлены требования по действиям организации в случае обнаружения несоответствий. Также, этот раздел определяет необходимость проведения корректирующих действий.

10.3 Непрерывное улучшение. Требования этого раздела обязывают организацию использовать свои возможности для непрерывного совершенствования результатов работы и системы менеджмента качества.

Ключевыми изменениями в новой версии стандарта ISO 9001:2015 являются требования по оценке рисков, а также подход, основанный на управлении рисками при проектировании и разработке системы менеджмента.

Дата добавления: 2017-01-13; Просмотров: 261; Нарушение авторских прав?; Мы поможем в написании вашей работы!