Организация должна гарантировать, что в случае превышения критических пределов в критических контрольных точках или в случае потери управления в рамках производственных про­грамм обязательных предварительных мероприятий конечная продукция, по которую оказала воздействие такая ситуация, будет идентифицирована и будет осуществлено соответствующее управ­ление в отношении ее использования и выпуска.

Должна быть разработана и применена документально оформленная процедура в отношении:

а) идентификации и оценки конечной продукции, на которую оказала воздействие вышеуказанная ситуация, чтобы определить, как следует обращаться с такой продукцией;

б) анализа осуществленной коррекции.

Продукция, изготовленная в условиях превышения критических пределов, является потенциально опасной и подлежит обращению в соответствии с требование стандарта. Продукция, изготовленная в условиях несоб­людения производственных программ обязательных предварительных мероприятий, должна быть оце­нена в отношении причин несоответствия и результирующего воздействия на безопасность пищевой продукции. Если необходимо, то к ней должны быть применены меры в соответствии с требованием стандарта. Результаты оценки должны быть оформлены в виде записей.

Все исправления должны быть одобрены ответственным лицом и оформлены в виде записей вместе с информацией о характере несоответствия, его причинах и последствиях, включая информа­цию, требуемую для обеспечения прослеживаемости несоответствующих партий.

Каждая партия продукции, для которой было выявлено несоответствие, может быть выпущена как безопасная продукция только в том случае, если выполняется одно из следующих условий:

а) наличие свидетельства о том, что другое средство управления, кроме системы мониторинга, подтверждает, что мероприятия по управлению были результативными;

б) наличие свидетельства о том, что объединенный эффект мероприятий по управлению, изме­ренный для данной конкретной продукции, соответствует предусмотренному результату выполнения работы (т.е. соблюдены приемлемые уровни идентифицированной опасности определенные согласно стандарта);

в) результаты выборки, анализа и/или других верификационных действий подтверждают, что пар­тия продукции, для которой было выявлено несоответствие, имеет приемлемые идентифицированные уровни рассматриваемых опасностей, угрожающих безопасности пищевой продукции.

Постоянство улучшений.

Высшее руководстве должно обеспечить непрерывное улучшение эффективности системы ме­неджмента безопасности пищевой продукции, применяя для этого обмен информацией, анализ со стороны руководства, валидацию комбинаций мероприятий по управ­лению и корректирующих действии, оценку результатов отдельных верификационных проверок, анализ результатов верификационной деятельности, а также актуализацию системы менеджмента безопасности пищевой продукции.

Организация должна провести валидацию прежде чем внедрить мероприятия по управлению в рамках производственных программ обяза­тельных предварительных мероприятий и плана ХАССП, а также после внесения любого изменения в них для того, чтобы:

а) выбранные мероприятия по управлению обеспечивали предусмотренное управление опасностями, угрожающими безопасности пищевой продукции, для которой они предназначены;

б) мероприятия по управлению были результативными и обеспечивали в комбинации управление идентифицированными опасностями, угрожающими безопасности пищевой продукции, таким образом, чтобы конечная продукция соответствовала требованиям безопасности, установленным в соответству­ющих нормативных документах.

Если результат валидации показывает, что один или оба из указанных элементов невозможно подтвердить, то мероприятие по управлению и/или комбинацию мероприятий по управлению следует модифицировать и повторно оценить.

Модификация может включать внесение изменений а мероприятия по управлению (т.е. измене­ние параметров процесса, повышение степени обязательности и/или их комбинации) и/или изменения, касающиеся сырьевых материалов, производственных технологии, характеристик конечной продукции, методов распределения и/или предусмотренного применения конечной продукции.

33. Международный стандарт системы менеджмента защиты информации ИСО/МЭК 27001:2005. Область применения и краткое содержание.

ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC 27 Объединенного технического комитета JTC 1.

Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности(СМИБ).

Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной без.

ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Система менеджмента защиты информации: часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

Общие положения: этот международный стандарт был подготовлен для того, чтобы предоставить модель для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения Системы Менеджмента Защиты Информации (СМЗИ).

Область применения: требования, установленные в этом международном стандарте, носят общий характер и предназначены для применения ко всем организациям, независимо от типа, размера и характера.

Термины и определения:

Актив - что-либо, что имеет ценность для организации.

Доступность - свойство быть доступным и годным к употреблению по требованию уполномоченного лица.

Конфиденциальность - свойство, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам

Защита информации - сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность.

Событие в системе защиты информации - выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение политики защиты информации или нарушения в работе средств защиты, или прежде неизвестная ситуация, которая может иметь значение для защиты.

Инцидент в системе защиты информации - одно или серия нежелательных или неожиданных событий в системе защиты информации, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.

Целостность - свойство оберегания точности и полноты активов.

Остаточный риск - риск, остающийся после обработки риска.

Принятие риска - решение взять на себя риск.

Анализ риска - систематическое использование информации для выявления источников и для оценки степени риска.

Основные разделы стандарта:

- Система менеджмента защиты информации

- Ответственность руководства

- Внутреннее аудиты СМЗИ

- Анализ СМЗИ со стороны руководства

- УЛУЧШЕНИЕ СМЗИ.

Система менеджмента защиты информации включает следующие пункты:

- общие требования;

- создание СМЗИ;

- Реализация и эксплуатация СМЗИ;

- Контроль и анализ СМЗИ;

- Поддерживать в рабочем состоянии и улучшать СМЗИ;

- требования к документации (общие положения);

- Управление документами;

- Управление записями.

Общие требования Системы менеджмента защиты информации:

организация должна создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать документированную СМЗИ в контексте целостной деловой деятельности организации и рисков, с которыми она сталкивается.

Дисциплина «Проектирование систем менеджмента»

Мотивация принятия решения о разработке системы менеджмента качества, роль высшего руководства, разработка этапов работ по проектированию СМК, формирование рабочей структуры по проектированию СМК, обучения персонала.

Внутренние мотивы, побуждающие организацию осуществлять проектирование и разработку системы менеджмента качества:

а) улучшить деятельность организации и повысить эффективность управления;

б) снижение материальных и трудовых издержек;

в) увеличение прибыльности; эффективности и результативности в работе фирмы;

г) развитие и совершенствование производства;

д) повышение качества трудовой жизни;

е) совершенствование условий труда;

ж) избежать ошибок в работе, приводящих к появлению брака.

Это связано с тем, что СМК четко формулирует (описывает) действия по созданию качественной продукции или услуг, разрабатывает инструкции по их выполнению, а также контролирует эти действия;

З) совершенствование процесса ведения бизнеса на основе применения принципов менеджмента качества.

Внешние мотивы, побуждающие организацию осуществлять проектирование и разработку СМК:

а) первоначальный толчок к внедрению СМК вызван рыночными условиями (например, СМК требуется для получения крупного заказа или ее просит предъявить серьезный клиент);

б) удовлетворение запросов потребителей и обеспечение их уверенность в качестве получаемой продукции;

в) повышение конкурентоспособности продукции и организации в целом;

г) укрепление и расширение позиций бизнеса на рынке;

д) отдельные законодательные требования;

е) развитие научно-технического прогресса.

Роль высшего руководства в разработке СМК:

С помощью лидерства и реальных действий высшее руководство может создать обстановку, способствующую полному волочению работников и эффективной работе системы менеджмента качества.

Принципы менеджмента качества могут использоваться высшим руководством как основа для выполнения своей роли при:

а) разработке и поддержании политики и целей организации в области качества;

б) популяризации политики и целей в области качества во всей организации для повышения осознания, мотивации и вовлечения персонала;

в) ориентации всего персонала организации на требования потребителей;

г) внедрении соответствующих процессов, позволяющих выполнять требования потребителей и других заинтересованных сторон и достигать целей в области качества;

д) разработка, внедрении и поддержании в рабочем состоянии результативной и эффективной системы менеджмента качества для достижения поставленных целей в области качества;

е) обеспечении необходимыми ресурсами;

ж) проведении периодического анализа системы менеджмента качества;

з) принятии решений в отношении политики и целей в области качества;

и) принятии решений по мерам улучшения системы менеджмента качества

Методические рекомендации по разработке, внедрению, аудиту и сертификации СМК:

а) рекомендации руководства ИСО/ТК 176, включающие: этапы и процедуры внедрения СМК в организации;

б) рекомендации отечественных специалистов: сформированные на основе практического опыта внедрения и сертификации СМК на предприятиях РФ.