Раздел «анализ смзи со стороны руководства»

Входные данные для анализа СМЗИ со стороны руководства должны включать в себя следующее моменты:

a) результаты аудитов и анализа СМЗИ;

b) обратная реакция заинтересованных сторон;

c) методики, продукты или процедуры, которые можно было бы использовать в организации для улучшения качества работы и результативности СМЗИ;

d) статус предупреждающих и корректирующих действий;

e) уязвимые места или угрозы, адекватно не рассмотренные в предыдущих оценках риска;

f) результаты измерений результативности;

g) последующие действия, вытекающие из предыдущего анализа со стороны руководства;

h) любые изменения, которые могли повлиять на СМЗИ;

i) рекомендации по улучшению.

Выходные данные анализа со стороны руководства должны включать в себя любые решения и действия, имеющие отношение к нижеследующему:

a) Улучшение результативности СМЗИ.

b) Обновление оценки риска и плана обработки риска.

c) Изменения процедур и средств управления, которые влияют на защиту информации.

d) Необходимые ресурсы.

e) Улучшение в том, как измеряется результативность средств управления.

Раздел «Корректирующие действия, предупреждающие действия и постоянное улучшение СМЗИ».

Организация должна постоянно улучшать результативности СМЗИ посредством:

- использования политики и целей защиты информации.

- использования результатов аудита.

- анализа наблюдаемых событий, корректирующих и предупреждающих действий.

- анализа со стороны руководства.

Организация должна предпринимать действия по устранению причины

несоответствия требованиям СМЗИ для того, чтобы предотвращать повторение.

Документированная процедура для корректирующего действия должна определять требования для следующего:

a) выявление несоответствий;

b) определение причин несоответствий;

c) оценивание потребности в действиях, чтобы гарантировать, что несоответствия не возникнут снова;

d) определение и реализация требующихся корректирующих действий;

e) записывание результатов предпринятых действий;

f) анализ предпринятого корректирующего действия.

ДОПОЛНИТЕЛЬНО К ГОСАМ!!!!

Основное содержание и назначение стандарта ИСО 9001-2015. Модель системы менеджмента качества. Общие положения и понимание контекста организации. Лидерство. Планирование СМК. Обеспечение СМК. Оценка и улучшение СМК.

 

Формированию концепции ИСО 9001:2015 предшествовала огромная работа по опросу экспертного сообщества и пользователей стандарта более чем в 100 странах мира. Было обработано свыше 10 тыс. предложений, в результате чего сформировано техническое задание на разработку стандарта ИСО 9001:2015.

Новая версия стандарта ISO 9001 существенно изменилась по сравнению с версией 2008 года.

С момента публикации ISO 9001:2015 запланирован 3-летний переходный период. Это означает, что стандарт ISO 9001: 2008 будет действовать до сентября 2018 года, а переход к новой версии ISО 9001:2015 до сентября 2018 года может происходить в процессе очередных наблюдательных или ресертификационных аудитов с увеличением трудоемкости.

Структура стандарта ISO 9001:2015 включает в себя следующие разделы:

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Контекст организации

5. Лидерство

6. Планирование

7. Обеспечение

8. Функционирование

9. Оценка результатов деятельности

10. Улучшение

Возможные преимущества организации от внедрения системы менеджмента качества на базе данного Международного Стандарта следующие:

a) способность постоянно поставлять продукты и услуги, которые соответствуют требованиям потребителя, законодательным и иным нормативным требованиям;

b) облегчение реализации возможностей повысить удовлетворенность потребителей;

c) обработка рисков и реализация возможностей, связанных с контекстом организации и ее задачами;

d) возможность продемонстрировать соответствие установленным требованиям к системе менеджмента качества.

Настоящий Международный Стандарт использует процессный подход, который включает в себя цикл Plan-Do-Check-Act (PDCA) и мышление, основанное на оценке рисков.

Процессный подход позволяет организации планировать ее процессы и их взаимодействие. Цикл PDCA позволяет организации гарантировать, что ее процессы обеспечены ресурсами и управляются надлежащим образом, а также, что возможности для улучшения выявляются и реализуются.

Рис. 1. Представление структуры ИСО 9001:2015 в формате цикла PDCA

Мышление, основанное на оценке рисков, позволяет организации выявить факторы, которые могут вызывать отклонения ее процессов и системы менеджмента качества от запланированных результатов, задействовать защитные механизмы для снижения негативного влияния и обеспечить максимальную реализацию возможностей при их появлении. Постоянное соответствие требованиям и выявление будущих потребностей и ожиданий создает вызовы для организаций во все более динамичной и сложной среде. Чтобы добиться этих целей организация может найти необходимым использование различных форм совершенствования в дополнении к коррекциям и постоянному улучшению, таких как кардинальные изменения, инновации и реорганизация.

Контекст организации. Раздел включает в себя 4 подраздела:

4.1 Понимание организации и ее окружения. В этом разделе стандарт требует определить внутренние и внешние условия работы организации (ее окружение) которые влияют на результат работы и на систему качества.

4.2 Понимание потребностей и ожиданий заинтересованных сторон. От организации требуется определить заинтересованные стороны, которые оказывают влияние на систему качества, определить требования заинтересованных сторон и осуществлять регулярный мониторинг этих требований.

4.3 Область действия системы менеджмента качества. В соответствии с требованиями данного раздела стандарта ИСО 9001:2015 организация должна определить границы применения системы качества. Границы применения должны быть документально определены.

4.4 Система менеджмента качества и процессы организации. Этот раздел во многом схож с разделом 4.1 версии стандарта ISO 9001:2008. Организация должна определить процессы необходимые для системы качества и управлять этими процессами. Дополнительно, организация должна определить риски и возможности каждого процесса.

Лидерство. Раздел включает в себя 3 подраздела:

5.1 Лидерство и обязательства. Раздел включает в себя требования к высшему руководству организации. Высшее руководство должно демонстрировать свое лидерство в системе менеджмента качества и взять на себя обязательства по внедрению и управлению этой системой. Другой составляющей лидерства и обязательства высшего руководства является демонстрация приверженности ориентации на потребителя.

5.2 Политика в области качества. В соответствии с ISO 9001:2015 высшее руководство должно разрабатывать, анализировать и пересматривать политику в области качества. Политика в области качества должна быть документирована.

5.3 Роли, ответственность и полномочия в организации. Требования этого раздела обязывают высшее руководство организации определить ответственность и полномочия и распределить необходимые роли в организации для работы системы качества, исполнения процессов, и выполнения требований потребителей.

Планирование системы менеджмента качества. Раздел включает в себя три подраздела:

6.1 Действия по реагированию на риски и возможности. Это принципиально новый блок требований ISO 9001:2015. Организация должна определить риски и возможности, которые способны повлиять на систему качества и результаты работы организации. Также требуется создать план реагирования на риски и возможности.

6.2 Цели в области качества и планирование достижения целей. В соответствии с требованиями данного раздела организация должна установить цели в области качества для всех уровней, функций и процессов. Для достижения целей должны быть разработаны планы.

6.3 Планирование изменений. Если организация определит необходимость в изменениях системы качества, то такие изменения должны выполняться в соответствии с разработанными планами.

Обеспечение. Этот раздел включает в себя пять подразделов:

7.1 Ресурсы. Раздел представляет общие требования по управлению ресурсами, требования по управлению человеческими ресурсами, инфраструктурой и производственной средой, ресурсами для проведения мониторинга и измерений, а также требования по управлению знаниями.

7.2 Компетенции. По своему содержанию, требования данного раздела схожи с требованиями п.п. 6.2 стандарта ISO 9001:2008. Он содержит в себе требования к компетенции персонала организации.

7.3 Осведомленность. Здесь ИСО 9001:2015 устанавливает требования к осведомленности персонала по вопросам политики и целей в области качества, результативности системы качества и выполнению требований системы менеджмента качества.

7.4 Взаимодействия. Этот раздел стандарта ISO 9001:2015 требует от организации определить внешние и внутренние взаимодействия, которые могут повлиять на систему качества.

7.5 Документированная информация. Стандарт ИСО 9001:2015 вводит новое понятие, которое заменяет собой применяющиеся в версии 2008 г. понятия «документированная процедура» и «записи». Раздел содержит общие требования к документированной информации, требования к ее созданию и обновлению, а также требования по управлению документированной информацией.

Функционирование. В состав этого раздела входят семь подразделов:

8.1 Планирование и управление процессами. В соответствии с требованиями данного раздела организация должна планировать, применять и управлять процессами, необходимыми для системы качества.

8.2 Определение требований к продукции и услугам. По требованиям этого раздела ISO 9001:2015 организация должна определить и установить процессы взаимодействия с потребителями, определить требования, связанные с продукцией и услугами и проводить регулярный анализ требований, связанных с продукцией и услугами. Для выполнения этих требований должны быть определены и установлены соответствующие процессы.

8.3 Разработка и проектирование продукции и услуг. В этом разделе представлены общие требования по проектированию и разработке, требования по планированию проектирования и разработке, проектированию и разработке входных данных, проектированию и разработке методов контроля, проектированию и разработке выходных данных, проектированию и разработке изменений.

8.4 Управление внешним обеспечением продукции и услуг. Требования этого раздела схожи с требованиями раздела 7.4 стандарта ISO 9001:2008 по управлению закупками. В раздел включены общие требования по управлению внешним обеспечением, требования к виду и степени управления внешним обеспечением, требования по управлению информацией по внешнему обеспечению.

8.5 Сохранение продукции и услуг. Этот раздел содержит требования по управлению готовой продукцией и услугами, требования по идентификации и прослеживаемости, сохранению собственности потребителя или внешнего поставщика, защите продукции и действиям после поставки, а также по управлению изменениями продукции.

8.6 Выпуск продукции и предоставление услуги. В данном разделе ISO 9001:2015 определены требования по выполнению действий до поставки продукции потребителю.

8.7 Управление несоответствующими процессами, продукцией или услугами. Требования этого раздела определяют необходимые действия организации в случае возникновения несоответствий в процессах, продукции или услугах.

Оценка результатов деятельности. Раздел включает в себя три подраздела:

9.1 Мониторинг, измерения, анализ и оценка. В раздел включены общие требования по проведению мониторинга, измерений, анализу и оценке, требования по измерению удовлетворенности потребителей, а также требования по анализу и оценке работы организации и системы качества.

9.2 Внутренний аудит. Здесь представлены требования по планированию, организации и проведению внутренних аудит. В целом, требования данного раздела схожи с требованиями п.п. 8.2.2 стандарта ISO 9001:2008.

9.3 Анализ системы менеджмента. Раздел содержит требования к высшему руководству организации. Высшее руководство должно планировать и регулярно проводить анализ системы менеджмента организации.