О стандартах информационной безопасности
Тема: О стандартах информационной безопасности
SYS пишет:
>>>Кстати, СМИБ абсолютно не зависит от АСУТП, так как она намного шире автоматизации...
===
Это точно - добрая половина мероприятий СМИБ у нас - организационные. АСУТП только добавляет новые угрозы.
Я полагал всегда (по наивности), что в авиации все еще круче...
Молчанов Юрий пишет:
Я полагал всегда (по наивности), что в авиации все еще круче...
===
Оно действительно круче,но многие вопросы не сведены в общую систему. Помнится пришлось как-то спорить с Александром Васильевичем Нерадько по вопросу: безопасность полетов и авиационная безопасность это две системы или это аспекты одной системы. Дискуссия завершилась поиском ответа на вопрос, к чему относится перевозка опасных грузов. Это только у здешних филофобов уран не имеет отношения к авиации. :))
А при авиаперевозках делящихся ядерных материалов вопросы информационной безопасности выходят на первое место, дураков и прочих неадекватов ведь очень много.
Кину кусочек из старенького ИСО 28000-2005:
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 средство (facility): Предназначенный для выполнения определенной функции или оказания услуги технологический комплекс, в том числе предприятие, обеспечивающее его функционирование, здание, сооружение, устройство или оборудование, а также транспортное средство.
Примечание - Данное определение включает в себя любой код программного обеспечения, являющийся ключевым для обеспечения безопасности и применения менеджмента безопасности.
3.2 безопасность (security): Сопротивление преднамеренному акту незаконного вмешательства, рассчитанному на нанесение вреда или ущерба цепи поставок или посредством цепи поставок.
3.3 менеджмент безопасности (security management): Систематизированные и скоординированные действия и методы, с помощью которых организация оптимально управляет своими рисками и связанными с ними потенциальными угрозами и воздействиями.
3.4 цель в области менеджмента безопасности (security management objective): Требуемый в интересах безопасности определенный результат или достижение, удовлетворяющее политику в области менеджмента безопасности.
Примечание - Важно, чтобы такие результаты были прямо или косвенно связаны с обеспечением продукции, поставок или услуг, предоставляемых всем бизнесом его клиентам или конечным пользователям.
3.5 политика в области менеджмента безопасности (security management policy): Совокупность намерений и стремлений организации в отношении безопасности, а также структура управления процессами и деятельностью в области безопасности, которые соответствуют политике организации и нормативным требованиям.
3.6 программы в области менеджмента безопасности (security management programmes): Методы, с помощью которых достигаются цели в области менеджмента безопасности.
3.7 задача в области менеджмента безопасности (security management target): Специальный уровень эксплуатации, который требуется для достижения цели в области менеджмента безопасности.
3.8 заинтересованное лицо (stakeholder): Физическое или юридическое лицо, заинтересованное в исполнении организацией своих функций, достижении успеха или влияющее на ее деятельность.
Примечание - Примерами таких лиц являются клиенты, акционеры, финансисты, страховщики, инспекторы, органы, учрежденные в соответствии с уставом, персонал, подрядчики, поставщики, общественные организации.
3.9 цепь поставок (supply chain): Взаимосвязанный набор ресурсов и процессов, начинающийся с получения сырья и простирающийся через доставку продукции или услуг конечному пользователю посредством транспортных систем.
Примечание - Цепь поставок может включать в себя продавцов, промышленные предприятия, логистические центры, внутренние центры распределения, дистрибьюторов, оптовых продавцов и других юридических лиц, ведущих к конечному пользователю.
3.9.1 фаза постконтроля (downstream): Действия, процессы и движения груза в цепи поставок, которые происходят после того, как груз выходит из-под непосредственного оперативного контроля организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваясь этим.
3.9.2 фаза предконтроля (upstream): Действия, процессы и движения груза в цепи поставок, которые происходят прежде, чем груз оказывается под непосредственным оперативным контролем организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваясь этим.
3.10 высшее руководство (top management): Лицо или группа лиц, руководящих и контролирующих работу организации на высшем уровне.
Примечание - Высшее руководство, особенно большой транснациональной организации, может не рассматриваться в личном плане как элемент, входящий в систему, описываемую настоящим стандартом; однако ответственность высшего руководства на всех уровнях системы должна четко прослеживаться.
3.11 постоянное улучшение (continual improvement): Периодически повторяющийся процесс усиления системы менеджмента безопасности для усовершенствования всей работы в отношении безопасности, соответствующей политике организации в этой области.
4.3 Оценка рисков безопасности и планирование
4.3.1 Оценка рисков безопасности
Организация должна разрабатывать и поддерживать в рабочем состоянии процедуры по своевременной идентификации угроз и оценке рисков, в том числе касающихся менеджмента безопасности, а также по определению и реализации необходимых мер административного управления. Идентификация угроз, отнесенных к охране и рискам, оценка и методы управления должны, как минимум, соответствовать характеру и масштабу выполняемой организацией деятельности. Эта оценка должна учитывать вероятность случая и все его последствия, включая:
a) угрозы и риски физического воздействия или повреждения, такие как функциональный отказ, непредвиденное повреждение, злонамеренное причинение вреда, террористический акт или преступное деяние;
b) угрозы и риски оперативного характера, включая контроль безопасности, человеческого фактора и других действий, которые влияют на деятельность, условия или безопасность организации;
c) события природного характера (бурю, наводнение и т. д.), из-за которых меры по обеспечению безопасности и технические средства охраны могут оказаться неэффективными;
d) внешние факторы, управляемые организацией, такие как непредоставление услуг и неисправность оборудования внешних поставщиков;
e) угрозы и риски со стороны заинтересованного лица, такие как отказ соблюдать нормативные требования или нанесение ущерба репутации или бренду;
f) конструкцию и установку средств охраны (замену, обслуживание и т. д.);
g) управление информацией и данными, а также связь;
h) угрозу непрерывности производственной деятельности.
Организация должна быть уверена в том, что результаты оценки и эффект от такого контроля принимаются во внимание и, где это необходимо, оказывают влияние на:
a) цели и задачи в области менеджмента безопасности;
b) программы в области менеджмента безопасности;
c) определение требований к конструкции, спецификации и установке;
d) определение достаточности ресурсов, включая степень укомплектованности персоналом;
е) определение потребности в подготовке и приобретении необходимых навыков (см. 4.4.2);
f) развитие управления документами и данными (см. 4.4.6);
g) всю структуру управления организацией в отношении угроз и рисков.
Организация должна документировать и актуализировать вышеуказанную информацию.
Методология организации по идентификации и оценке угроз и рисков должна:
a) быть выбрана в соответствии с областью применения, характером и сроками с тем, чтобы иметь предупреждающий характер, а не подтверждающей факт случившегося;
b) включать в себя сбор информации, имеющей отношение к угрозам, отнесенным к охране и рискам;
c) предусматривать классификацию угроз и рисков и выбор соответствующих действий по предотвращению, устранению или управлению ими;
d) предусматривать мониторинг действий с тем, чтобы определять результативность и своевременность их выполнения (см. 4.5.1).
4.3.3 Цели в области менеджмента безопасности
Организация должна разрабатывать, документировать, внедрять и поддерживать в рабочем состоянии цели в области менеджмента безопасности с учетом соответствующих функций и уровней внутри организации. Цели должны исходить из политики в области менеджмента безопасности и соответствовать ей. В процессе разработки и анализа своих целей организация должна учитывать:
a) законодательные, нормативные и другие требования, регламентирующие безопасность;
b) угрозы и риски, влияющие на безопасность;
c) технологические и другие факторы;
d) финансовые, эксплуатационные и деловые требования;
e) мнения соответствующих заинтересованных лиц.
Цели в области менеджмента безопасности должны:
a) соответствовать обязательству организации по постоянному улучшению;
b) быть измеримыми (где применимо);
c) доводиться до сведения всего соответствующего персонала и третьих лиц, включая подрядчиков, имея в виду, что эти лица должны знать свои индивидуальные обязательства;
d) периодически анализироваться с тем, чтобы сохранять актуальность и согласованность с политикой в области менеджмента безопасности. Цели должны соответственно корректироваться там, где это необходимо.
4.3.4 Задачи в области менеджмента безопасности
Организация должна разрабатывать, документировать, внедрять и поддерживать в рабочем состоянии задачи в области менеджмента безопасности, соответствующие потребностям организации. Задачи должны исходить из целей в области менеджмента безопасности и соответствовать им.
Эти задачи должны:
a) быть на уровне необходимой детализации;
b) быть конкретными, измеримыми, решаемыми, значимыми и имеющими показатели времени (где это применимо);
c) быть доведены до сведения всего соответствующего персонала и третьих лиц, включая подрядчиков, имея в виду, что эти лица должны знать свои индивидуальные обязательства;
d) периодически анализироваться с тем, чтобы сохранить актуальность и соответствие целям в области менеджмента безопасности. Задачи должны соответственно корректироваться там, где это необходимо.
4.4.6 Управление операциями
Организация должна идентифицировать операции и действия, необходимые для:
a) достижения собственной политики в области менеджмента безопасности;
b) управления идентифицированными угрозами и рисками безопасности;
c) соответствия нормативным и иным требованиям, регламентирующим безопасность;
d) решения собственных задач в области менеджмента безопасности;
e) выполнения собственных программ в области менеджмента безопасности;
f) достижения требуемого уровня безопасности цепи поставок.
Организация должна обеспечивать реализацию этих операций и действий в особых условиях путем:
a) разработки, внедрения и поддержания в рабочем состоянии документированных процедур по управлению ситуациями, когда отсутствие таких процедур может привести к сбою в осуществлении операций и деятельности (см. вышеприведенные перечисления);
b) оценки любых угроз, возникающих в результате деятельности на фазе «предконтроля» в цепи поставок, и использования рычагов управления для смягчения их воздействия на организацию и других операторов цепи на фазе «постконтроля»;
c) разработки и внедрения требований в отношении товаров или услуг, которые влияют на безопасность, и доведения их до сведения поставщиков и подрядчиков.
Эти процедуры должны включать в себя управление проектированием, установкой, функционированием, восстановлением и модификацией элементов оборудования, средств и т. д., которые имеют отношение к безопасности. Если пересматриваются существующие договоренности или вводятся новые, то это может повлиять на функционирование и действия менеджмента безопасности. Поэтому организация должна заранее учитывать все связанные с этим угрозы и риски в отношении безопасности. Новые или пересмотренные договоренности или меры, подлежащие такому учету, включают в себя:
a) пересмотренные структуру, роли или ответственность в рамках организации;
b) пересмотренные политику, цели, задачи или программы в области менеджмента безопасности;
c) пересмотренные процессы и процедуры;
d) введение новой инфраструктуры, средств охраны или технологии, которые могут включать технику и/или программное обеспечение;
e) введение новых подрядчиков, поставщиков или персонала.
4.4.7 Готовность к действиям в чрезвычайной ситуации, реагирование и восстановление безопасности
Организация должна разрабатывать, внедрять и поддерживать в рабочем состоянии соответствующие планы и процедуры по определению потенциала и степени реагирования на происшествия, связанные с безопасностью и чрезвычайными ситуациями, а также для предотвращения и смягчения вероятных последствий, которые могут быть связаны с ними. Планы и процедуры должны содержать сведения по обеспечению и обслуживанию любого идентифицированного оборудования, средства или услуги. Такие сведения могут потребоваться во время или после реализации акта незаконного вмешательства или чрезвычайной ситуации.
Организация должна периодически анализировать эффективность своей готовности к действиям в чрезвычайных ситуациях, а также планы и процедуры реагирования и восстановления безопасности. Это особенно важно после акта незаконного вмешательства или чрезвычайной ситуации, произошедших в результате нарушений в области охраны или реализации угрозы. Организация должна периодически подвергать проверке эти процедуры, оценивая их результативность.
b) Намерение
Организация должна внедрять и поддерживать в рабочем состоянии мероприятия по обеспечению эффективного применения мер управления рисками, достижения политики и целей организации, исполнения задач в области менеджмента безопасности в соответствии с законодательными и другими требованиями, регламентирующими обеспечение безопасности и охраны.
c) Типовые входные данные
Типовые входные данные включают в себя:
- политику и цели в области менеджмента безопасности;
- результаты идентификации угроз и оценки рисков;
- применимые законодательные и другие требования, регламентирующие обеспечение безопасности и охраны.
d) Процесс
Организация должна внедрять процедуры по управлению идентифицированными рисками (включая риски, возникающие при взаимодействии с поставщиками, другими партнерами или операторами цепи поставок, а также посетителями). Следует документировать только те риски, реализация которых может привести к актам незаконного вмешательства или другим отклонениям от политики и целей в области менеджмента безопасности. Процедуры риска-менеджмента следует регулярно анализировать на адекватность и результативность. Изменения, идентифицированные как необходимые, следует внедрять в систему менеджмента безопасности.
В процедурах следует учитывать риски, возникающие на участках цепи поставок, контролируемых другими операторами, например, когда персонал организации непосредственно осуществляет свою деятельность на таких участках, что может потребовать проведения консультаций по вопросам обеспечения безопасности и охраны с такими операторами цепи поставок.
Ниже приведены некоторые примеры областей, в которых типичным образом возникают риски, а также примеры управления такими рисками.
1) Закупка или передача товаров и услуг и использование внешних ресурсов
Например:
- периодическое проведение оценки компетентности поставщиков по вопросам обеспечения безопасности;
- одобрение проектов оборудования или дооборудования техническими средствами охраны.
2) Формирование условий конфиденциальности самой деятельности
Например:
- определение условий конфиденциальности;
- предварительное определение и одобрение методов соблюдения конфиденциальности своей деятельности;
- предварительная оценка квалификации персонала для соблюдения конфиденциальности своей деятельности;
- процедуры контроля доступа в зоны осуществления деятельности, требующей конфиденциальности.
3) Обслуживание технических средств охраны
Например:
- введение ограничений и контроля доступа;
- проведение тестирования и технического обслуживания.
e) Типовые выходные данные
Типовые выходные данные включают в себя:
- процедуры;
- руководства по эксплуатации и техническому обслуживанию.
b) Намерение
Настоящий раздел затрагивает готовность, реагирование и восстановление после реализации акта незаконного вмешательства. Готовность к действиям в чрезвычайных ситуациях означает планирование, подготовку и предупреждающие действия, которые осуществляются вслед за актом незаконного вмешательства.
Организация должна активно оценивать угрозы и потребности реагирования по всем потенциальным актам незаконного вмешательства, определенным в процессе идентификации угроз и оценки рисков (см. 4.3.1). Для повышения эффективного реагирования организацией должны быть разработаны планы и процедуры реагирования, а также порядок действий в случае реализации акта незаконного вмешательства.
c) Типовые входные данные
Типовые входные данные включают в себя:
- идентификацию угроз и оценку рисков;
- наличие региональных федеральных органов исполнительной власти, осуществляющих свою деятельность в области обеспечения безопасности, а также подробные сведения о применимых мерах реагирования;
- законодательные, нормативные и другие требования;
- приобретенный опыт и анализ предыдущих актов незаконного вмешательства и чрезвычайных ситуаций, а также результаты последующих действий;
- положительный опыт, полученный другими подобными организациями после актов незаконного вмешательства и чрезвычайных ситуаций;
- данные о федеральных органах исполнительной власти, осуществляющих свою деятельность в области обеспечения безопасности;
- обзор проведенных учений и тренировок.
d) Процесс
Организация должна разрабатывать планы действий в чрезвычайных ситуациях, в которых должно быть определено и обеспечено проведение соответствующих мероприятий, а также предусмотрена регулярная проверка собственных способностей организации посредством проведения учений и тренировок. Планы готовности, реагирования и восстановления безопасности организации должны включать меры по восстановлению охраны, защите данных и оборудования, а также устойчивого обеспечения функционирования обеспечения безопасности и охраны.
Проведение учений и тренировок должно демонстрировать эффективность наиболее значимых разделов планов реагирования, а также завершенность процесса планирования. Наряду с теоретическими тренировками, которые могут быть полезны в процессе планирования, необходимо проводить практические учения. Результаты проведенных учений и тренировок должны анализироваться, а изменения в планы действий в чрезвычайных ситуациях, идентифицированные как необходимые, должны внедряться.
1) План реагирования и восстановления безопасности
Планы реагирования и восстановления безопасности должны содержать краткое описание действий в случае возникновения специфических ситуаций и включать в себя:
- идентификацию потенциальных актов незаконного вмешательства и чрезвычайных ситуаций;
- идентификацию лиц, принимающих на себя управление во время чрезвычайных ситуаций;
- подробные сведения о действиях персонала в чрезвычайной ситуации, включая действия сторонних лиц (подрядчиков, клиентов, посетителей), находящихся в зоне действия чрезвычайной ситуации, для которых может потребоваться эвакуация;
- ответственность, полномочия и обязанности персонала с определенными ролями в чрезвычайных ситуациях (например, персонал охраны, пожарной безопасности, персонал для оказания первой помощи, специалисты по радиоактивному или химическому заражению);
- процесс эвакуации;
- процессы, в которых описываются мероприятия по восстановлению условий безопасности и охраны в предельно короткие сроки;
- необходимые действия по идентификации, расположению и охране материалов, записей, данных и оборудования, имеющих отношение к обеспечению безопасности;
- взаимодействие с федеральными органами исполнительной власти;
- связь с заинтересованными лицами;
- информацию, необходимую во время чрезвычайных ситуаций, например схемы, данные по охране, процедуры, рабочие инструкции и данные по связи при оповещении;
- взаимодействие и связь с другими деловыми партнерами по цепи поставок;
- обеспечение целостности систем связи.
Привлечение сторонних организаций к планированию действий и реагированию в чрезвычайных ситуациях должно быть четко отражено в документах. Эти организации должны быть предупреждены о возможных обстоятельствах их участия и обеспечены всей необходимой информацией для содействия в подготовке планов участия в реагировании.
2) Технические средства охраны
Организация должна определять потребности в технических средствах охраны и обеспечивать их наличие в достаточном количестве. Технические средства охраны должны проходить периодическое тестирование и техническое обслуживание для обеспечения их постоянной пригодности.
3) Практические учения и тренировки
Практические учения и тренировки следует проводить согласно заранее установленным графикам. Где это возможно, должно поощряться проведение совместных учений с привлечением деловых партнеров по цепи поставок или федеральных органов исполнительной власти.
е) Типовые выходные данные
Типовые выходные данные включают в себя:
- документально оформленные планы и процедуры действий в чрезвычайных ситуациях при реагировании и восстановлении безопасности;
- перечень технических средств охраны;
- записи о проведенных проверках и тарировках технических средств охраны;
- проведение учений и тренировок;
- анализ проводимых учений и тренировок;
- выработку рекомендации по результатам проведенных анализов;
- улучшение вследствие внедрения рекомендаций;
- завершающие действия.
Думаю пока хватит, все равно мало кто столько много букафф асилит. :)))
Добавлю для читателей выписки из вступившего 1 июня 2011 года ГОСТ Р ИСО 9004-2010 МЕНЕДЖМЕНТ ДЛЯ ДОСТИЖЕНИЯ УСТОЙЧИВОГО УСПЕХА ОРГАНИЗАЦИИ
3. Термины и определения
В настоящем стандарте используются нижеприведенные термины и определения, а также те, которые содержатся в ИСО 9000.
3.1. Устойчивый успех <организации>: результат способности организации решать поставленные задачи и добиваться достижения долгосрочных целей.
3.2. Среда организации: сочетание внутренних и внешних факторов и условий, способных повлиять на достижение целей организации и ее поведение в отношении заинтересованных сторон.
4. Менеджмент для достижения устойчивого успеха организации
4.1. Общие положения
Для достижения устойчивого успеха высшее руководство должно принять подход на основе менеджмента качества. Систему менеджмента качества организации следует основывать на принципах, рассматриваемых в Приложении B. Эти принципы разъясняют понятия, лежащие в основе эффективной системы менеджмента качества. Для достижения устойчивого успеха высшему руководству следует применять эти принципы к системе менеджмента качества организации.
Организация должна развивать систему менеджмента качества организации с целью обеспечения:
- эффективного использования ресурсов;
- принятия решений на основе фактов;
- акцентирования внимания на удовлетворении запросов потребителей, а также потребностей и ожиданий других заинтересованных сторон.
Примечание. В настоящем стандарте термин "высшее руководство" относится к наивысшему уровню лиц, ответственных за принятие решений в организации, а термин "организация" охватывает всех работников организации. Это согласуется с определениями этих терминов, приведенными в ИСО 9000.
4.2. Устойчивый успех
Организация способна добиться устойчивого успеха за счет последовательного удовлетворения потребностей и ожиданий всех заинтересованных сторон сбалансированным образом на долгосрочной основе.
Среда организации подвержена постоянным изменениям и колебаниям, и для достижения устойчивого успеха высшему руководству организации следует:
- иметь долгосрочные планы на будущее;
- постоянно вести мониторинг и регулярно анализировать среду организации;
- выявлять все соответствующие заинтересованные стороны, оценивать их индивидуальные потенциальные воздействия на деятельность организации, а также определять сбалансированный подход к удовлетворению их потребностей и ожиданий;
- постоянно вовлекать заинтересованные стороны и информировать их о деятельности и планах организации;
- изучать возможность установления взаимовыгодных отношений с поставщиками, партнерами и другими заинтересованными сторонами;
- использовать разнообразные подходы, включая переговоры и посредничество, для уравновешивания зачастую разнящихся потребностей и ожиданий заинтересованных сторон;
- выявлять сопутствующие краткосрочные и долгосрочные риски и задействовать общую стратегию деятельности организации для их снижения;
- планировать будущие потребности в ресурсах (включая требуемую компетентность работников организации);
- устанавливать процессы, необходимые для реализации стратегии организации, обеспечивая их способность быстро реагировать на меняющиеся обстоятельства;
- регулярно оценивать выполнение текущих планов и процедур и осуществлять соответствующие корректирующие и предупреждающие действия;
- предусматривать наличие у работников организации возможностей для обучения, для собственного развития, а также для поддержания жизнеспособности организации;
- устанавливать и поддерживать в работоспособном состоянии процессы обеспечения нововведений и постоянного совершенствования.
4.3. Среда организации
Организации, будь то большие или малые, коммерческие или некоммерческие, работают в условиях, которые постоянно претерпевают изменения. Поэтому организация должна непрерывно вести мониторинг и анализировать среду организации для выявления, оценки и регулирования рисков, связанных с заинтересованными сторонами и их меняющимися потребностями и ожиданиями.
Высшее руководство должно своевременно принимать решения в отношении изменений и нововведений в организации с целью сохранения и улучшения показателей деятельности организации.
Примечание. Для получения более подробной информации о менеджменте рисков см. ИСО 31000.
4.4. Заинтересованные стороны, их потребности и ожидания
К заинтересованным сторонам относятся физические и юридические лица, создающие добавленную ценность для организации или так, или иначе заинтересованные в деятельности организации, или находящиеся под ее влиянием (таблица 1). Удовлетворение потребностей и ожиданий заинтересованных сторон способствует достижению организацией устойчивого успеха.
Таблица 1
Примеры заинтересованных сторон
и их потребностей и ожиданий
Заинтересованная сторона Потребности и ожидания
Потребители Качество, цена и своевременность поставки
продукции
Владельцы/акционеры Устойчивая рентабельность
Прозрачность
Работники организации Хорошие условия труда
Гарантия занятости
Нематериальные поощрения и денежные
вознаграждения
Поставщики и партнеры Взаимные выгоды и преемственность
Общество Защита окружающей среды
Этичное поведение
Выполнение законодательных и нормативных
требований
Примечание. Хотя большинство организаций дают аналогичные описания
своих заинтересованных сторон (например, потребители,
владельцы/акционеры, поставщики и партнеры, работники организации),
состав этих групп может значительно отличаться с течением времени и в
зависимости от организации, отрасли, нации и страны.
Помимо этого, потребности и ожидания отдельных заинтересованных сторон отличаются друг от друга, могут противоречить потребностям и ожиданиям других заинтересованных сторон или могут очень быстро меняться. Средства, с помощью которых выражаются и удовлетворяются такие потребности и ожидания, могут принимать самые различные формы, включая сотрудничество, взаимодействие, переговоры, аутсорсинг или прекращение какой-либо деятельности.
6. Менеджмент ресурсов
6.1. Общие положения
Организации следует определять внутренние и внешние ресурсы, требуемые для достижения краткосрочных и долгосрочных целей организации. Политика и подходы организации, связанные с менеджментом ресурсов, должны согласовываться с ее стратегией.
Для обеспечения результативного и эффективного использования ресурсов (таких как оборудование, сооружения, материалы, энергия, знания, финансы и персонал) должны быть введены в действие процессы для предоставления, размещения, мониторинга, оценивания, оптимизации, поддержания в должном состоянии и защиты таких ресурсов.
Для обеспечения наличия ресурсов для будущей деятельности организация должна определять и оценивать риски потенциального отсутствия соответствующих ресурсов и постоянно вести мониторинг текущего потребления ресурсов, чтобы выявить возможности для оптимизации их использования. Одновременно следует осуществлять поиск новых ресурсов, оптимизацию процессов и соответствующих технологий.
Организация должна периодически анализировать наличие и пригодность ресурсов, включая ресурсы, полученные на стороне, составлять планы и принимать соответствующие меры. Результаты таких анализов должны также использоваться как входные данные для проведения анализов стратегии, целей и планов организации.
6.2. Финансовые ресурсы
Высшему руководству следует определять финансовые потребности организации и определять необходимые финансовые ресурсы для обеспечения текущей и будущей деятельности организации. Финансовые ресурсы могут принимать самые разные формы, например наличные средства, ценные бумаги, ссуды или другие финансовые инструменты.
Организации следует устанавливать и поддерживать в соответствующем состоянии процессы мониторинга, управления и отражения в отчетности результативного размещения и эффективного использования финансовых ресурсов для достижения целей организации.
Представление отчетов по данным вопросам может также способствовать определению нерезультативной или неэффективной деятельности и принятию соответствующих мер по улучшению состояния дел. Финансовая отчетность о деятельности, связанной с работой системы менеджмента и соответствием продукции, должна использоваться в ходе анализов со стороны руководства.
Повышение результативности и эффективности системы менеджмента может положительно сказываться на финансовых показателях различными путями. В частности:
- внутри организации, за счет сокращения несоответствий процессов и продукции и устранения неэкономного расхода материалов и пустой траты времени;
- за пределами организации, за счет сокращения отказов продукции, стоимости компенсации по гарантиям, ответственности за качество продукции и другим правовым обязательствам, стоимости утраченных потребителей и рынков.
Примечание. ИСО 10014 содержит примеры того, как организация может выявлять и получать финансовые и экономические преимущества от применения принципов менеджмента качества, заложенных в стандартах ИСО серии 9000.
6.3. Человеческие ресурсы
6.3.1. Менеджмент человеческих ресурсов
Персонал является важным ресурсом любой организации, и его активное участие повышает способность организации создавать ценность для заинтересованных сторон. Высшему руководству следует, за счет своей лидирующей роли, формировать и поддерживать коллективное видение, коллективные ценности и внутреннюю среду, в которой персонал может быть полностью вовлечен в достижение целей организации.
Поскольку персонал является самым ценным и важным ресурсом любой организации, необходимо предусмотреть, чтобы условия его труда способствовали индивидуальному росту, обучению, передаче знаний и согласованности действий. Менеджмент человеческих ресурсов должен быть основан на планомерном, прозрачном, этичном и социально ответственном подходе. Организации следует обеспечивать понимание персоналом значимости своего вклада и своей роли.
Организации следует устанавливать процессы, дающие возможность персоналу:
- преобразовывать стратегические цели и цели, касающиеся процессов организации в индивидуальные производственные задачи и устанавливать планы по их решению;
- выявлять ограничения, препятствующие деятельности персонала;
- принимать на себя ответственность за решение проблем;
- оценивать личную результативность по итогам выполнения индивидуальных производственных заданий;
- активно изыскивать возможности для повышения своей компетентности и расширения опыта;
- способствовать согласованности действий и стимулировать тесное взаимодействие между отдельными исполнителями;
- обеспечивать обмен информацией, знаниями и опытом в рамках организации.
6.3.2. Компетентность персонала
С целью обеспечения необходимого уровня компетентности персонала организации следует устанавливать и обеспечивать выполнение плана повышения квалификации персонала и соответствующих процессов, способствующих выявлению, развитию и повышению уровня компетентности работников организации путем принятия следующих мер:
- определения уровня профессиональной и личной компетентности работников, которая может понадобиться организации в краткосрочной и долгосрочной перспективе согласно ее миссии, видения, стратегии, политике и целям;
- определения текущего уровня компетентности работников организации и расхождений между тем, что имеется и что требуется на настоящий момент и может потребоваться в будущем;
- осуществления действий, направленных на повышение и (или) достижение требуемого уровня компетентности работников с целью устранения расхождений;
- анализа и оценки результативности мер, принимаемых для достижения необходимого уровня компетентности работников;
- поддержания достигнутого уровня компетентности.
Примечание. См. ИСО 10015 для получения дополнительных методических указаний по повышению компетентности и подготовке кадров.
6.3.3. Вовлечение и мотивация персонала
Организации следует стимулировать понимание персоналом значимости и важности его обязанностей и деятельности в связи с созданием и предоставлением ценности потребителям и другим заинтересованным сторонам.
Для более активного вовлечения и мотивации своих работников организации следует рассмотреть возможность принятия таких мер, как:
- разработка процесса обмена знаниями и использования квалификации персонала, например программа сбора предложений по улучшению;
- внедрение соответствующей системы нематериального поощрения и денежного вознаграждения, основанной на индивидуальной оценке личных достижений;
- создание системы профессиональной аттестации и планирования служебного роста с целью стимулирования профессионального развития;
- постоянный анализ уровня удовлетворенности и потребностей и ожиданий персонала;
- предоставление возможностей для наставничества и индивидуального обучения.
Примечание. Для получения более подробной информации о вовлечении персонала см. соответствующий принцип менеджмента качества в Приложении B.
6.4. Партнеры и поставщики
6.4.1. Общие положения
Партнерами могут быть поставщики продукции, услуг, научно-технические и финансовые учреждения, государственные и негосударственные организации или другие заинтересованные стороны. Партнеры могут предоставлять любые ресурсы, как это согласовано и оговорено в партнерском соглашении.
Организация и ее партнеры взаимозависимы, и их взаимовыгодные отношения расширяют их возможности по созданию ценности. Организации следует рассматривать партнерство как специфическую форму отношений с поставщиками, при которых поставщики могут вкладывать свои средства и участвовать в прибылях или убытках по основным направлениям деятельности организации.
При рассмотрении возможности установления партнерских отношений организации следует принимать во внимание:
- предоставление, в случае необходимости, информации партнерам для получения от них максимального вклада;
- оказание поддержки партнерам путем предоставления им ресурсов (таких как информация, знания, опыт, технологии, процессы и совместное обучение);
- разделение прибылей и убытков с партнерами;
- улучшение деятельности партнеров.
Примечание. Для получения более подробной информации о "взаимовыгодных отношениях" см. соответствующий принцип менеджмента качества в Приложении B.
6.4.2. Выбор, оценка и расширение возможностей поставщиков и партнеров
Организации следует устанавливать и поддерживать в соответствующем состоянии процессы определения, выбора и оценки своих поставщиков и партнеров с целью постоянного расширения их возможностей и подтверждения того, что продукция или другие ресурсы, которые они предоставляют, отвечают потребностям и ожиданиям организации.
При выборе и оценке поставщиков и партнеров организации следует принимать во внимание:
- их вклад в деятельность организации и способность создавать ценность для организации и ее заинтересованных сторон;
- потенциал для постоянного расширения их возможностей;
- расширение своих собственных возможностей, которого можно добиться за счет сотрудничества с поставщиками и партнерами;
- риски, присущие отношениям с поставщиками и партнерами.
Вместе со своими поставщиками и партнерами организации следует стремиться к постоянному улучшению качества, упорядочению цен и совершенствованию условий поставки продукции, поступающей от поставщиков и партнеров, а также к обеспечению результативности их систем менеджмента на основе периодической оценки и получения информации об их деятельности.
Организации следует постоянно анализировать и укреплять отношения со своими поставщиками и партнерами с учетом соотношения между краткосрочными и долгосрочными целями.
6.5. Инфраструктура
Организации следует обеспечивать результативное и эффективное планирование, разработку и управление своей инфраструктурой. Следует периодически оценивать степень соответствия инфраструктуры целям организации. Необходимо уделять должное внимание:
- надежности инфраструктуры (включая ее готовность, безотказность, восстанавливаемость и обеспечение обслуживания);
- безопасности и защите;
- элементам инфраструктуры, относящимся к продукции и процессам;
- эффективности, стоимости, функциональным возможностям и условиям эксплуатации;
- влиянию инфраструктуры на производственную среду.
Организации следует определять и оценивать риски, связанные с инфраструктурой, и принимать меры по снижению рисков, включая разработку соответствующих планов действий в чрезвычайных обстоятельствах.
Примечание. Для получения более подробной информации о воздействиях на окружающую среду см. стандарты ИСО серии 14000.
6.6. Производственная среда
Организации следует создавать и обеспечивать наличие надлежащей производственной среды, требуемой для достижения устойчивого успеха организации и конкурентоспособности ее продукции. Надлежащая производственная среда как сочетание человеческих и физических факторов должна формироваться с учетом:
- творческих методов работы и возможностей для вовлечения всех сторон с целью реализации потенциала работников организации;
- правил и инструкций по технике безопасности и использования средств индивидуальной защиты;
- эргономики;
- психологических факторов, включая рабочую нагрузку и стрессовую обстановку;
- расположения рабочего места;
- удобств для работников организации;
- максимизации эффективности и минимизации потерь;
- температуры, влажности, освещенности, подачи воздуха;
- гигиены, чистоты, уровня шума, вибрации и загрязненности.
Производственная среда должна стимулировать производительность труда, творческий подход и хорошее самочувствие людей, работающих в организации или посещающих организацию (например, потребителей, поставщиков и партнеров). В то же время организации следует обеспечивать соответствие ее производственной среды действующим законодательным и нормативным требованиям и применение соответствующих стандартов (например, стандартов, касающихся экологического менеджмента и менеджмента охраны здоровья и безопасности труда).
6.7. Знания, информация и технологии
6.7.1. Общие положения
Организации следует устанавливать и поддерживать в работоспособном состоянии процессы управления знаниями, информацией и технологиями как особым видом ресурсов. Такие процессы должны затрагивать порядок выявления, получения, сохранения, защиты, использования и оценки потребности в данных ресурсах. Организации следует обмениваться такими знаниями, информацией и технологиями с заинтересованными сторонами по мере необходимости.
6.7.2. Знания
Высшему руководству следует оценивать, как организация определяет и защищает существующую базу знаний организации. Высшему руководству следует также рассматривать возможность получения знаний, требуемых для удовлетворения текущих и будущих потребностей организации, из внутренних и внешних источников, таких как научные и учебные учреждения. Необходимо принимать во внимание многие факторы при определении того, как выявлять, сохранять и защищать знания, в том числе:
- необходимость учиться на неудачах, потенциально опасных ситуациях и успехах;
- овладение знаниями и опытом работников организации;
- получение знаний от потребителей, партнеров и поставщиков;
- получение недокументированных знаний, имеющихся в организации;
- обеспечение действенной передачи информации важного содержания (особенно в каждой точке взаимодействия в цепочках поставки и производства);
- управление данными и записями.
6.7.3. Информация
Организации следует устанавливать и поддерживать в работоспособном состоянии процессы для сбора достоверных и полезных данных и преобразования таких данных в информацию, необходимую для принятия решений.
Сюда относятся процессы, требуемые для хранения, обеспечения безопасности, защиты, распространения и передачи данных и информации всем соответствующим сторонам. Системы сбора и передачи информации организации должны быть надежными в эксплуатации и доступными, что обеспечивает развитие их возможностей. Организации следует обеспечивать целостность, конфиденциальность и наличие информации, касающейся показателей ее деятельности, совершенствования процессов и состояния дел с достижением устойчивого успеха.
6.7.4. Технологии
Высшему руководству следует изучать технологические решения для повышения эффективности деятельности организации в таких областях, как процессы жизненного цикла продукции, маркетинг, бенчмаркинг, взаимодействие с потребителями, отношения с поставщиками и процессы, переданные сторонним исполнителям. Организации следует устанавливать процессы, необходимые для оценки:
- современного уровня развития технологий внутри и вне организации, включая новые тенденции;
- оптимальных затрат и экономических выгод;
- рисков, связанных с изменениями в технологии;
- конкурентной среды;
- своей способности оперативно реагировать на требования потребителей и поддержания конкурентоспособности.
Примечание. Для получения более подробной информации относительно путей защиты знаний см. стандарты ИСО серии 27000, касающиеся средств обеспечения безопасности информационных технологий.
6.8. Природные ресурсы
Наличие природных ресурсов является одним из факторов, который может влиять на устойчивый успех организации и ее способность выполнять требования потребителей и других заинтересованных сторон. Организации следует рассматривать риски и возможности, связанные с наличием и использованием энергии и природных ресурсов в краткосрочной и долгосрочной перспективе.
Организации следует уделять должное внимание увязке аспектов защиты окружающей среды с проектированием и разработкой продукции, а также разработке процессов для снижения выявленных рисков.
Организации следует стремиться к минимизации своих воздействий на окружающую среду в течение полного жизненного цикла своей продукции и своей инфраструктуры, начиная с проектирования, включая изготовление продукции или предоставление услуги и кончая реализацией, использованием и утилизацией продукции.
Примечание. Для получения более подробной информации см. стандарты ИСО серии 14000 по экологическому менеджменту.
9.3. Инновации
9.3.1. Общие положения
Изменения в среде организации могут потребовать инновационного подхода для удовлетворения потребностей и ожиданий заинтересованных сторон. Организации следует:
- определять потребность в инновационном подходе;
- устанавливать и поддерживать в надлежащем состоянии результативный и эффективный инновационный процесс;
- выделять необходимые ресурсы.
9.3.2. Применение
Инновации применимы ко всем уровням посредством изменений:
- в технологии или продукции (т.е. инновации, которые осуществляются не только в ответ на меняющиеся потребности и ожидания потребителей или других заинтересованных сторон, но и предвосхищают потенциальные изменения в среде организации и жизненных циклах продукции);
- в процессах (т.е. инновационные методы обеспечения жизненного цикла продукции или инновации для повышения стабильности процессов и снижения их изменчивости);
- в самой организации (т.е. инновационные изменения в организационно-правовой форме и организационной структуре);
- в системе менеджмента организации (т.е. инновации для обеспечения конкурентоспособности и использование новых возможностей в случае возникновения изменений в среде организации).
9.3.3. Сроки
При определении сроков внедрения инноваций, как правило, необходимо найти баланс между их важностью и ресурсами, выделяемыми на их проработку. Для планирования инноваций и установления инновационных приоритетов организации следует использовать процесс, согласующийся с ее стратегией. Организации следует поддерживать инновационные инициативы необходимыми ресурсами.
9.3.4. Процессы
На разработку, поддержание в работоспособном состоянии и менеджмент инновационных процессов может влиять:
- настоятельная потребность в инновациях;
- цели инновационного подхода и их воздействие на продукцию, процессы и структуры организации;
- заинтересованность руководства в инновациях;
- готовность персонала подвергнуть положение дел критическому изучению и изменить сложившуюся ситуацию;
- наличие или появление новых технологий.
9.3.5. Риски
Организации следует оценивать риски, связанные с плановой инновационной деятельностью, включая внимание, уделяемое воздействию потенциальных изменений на организацию, и разрабатывать предупреждающие действия для снижения таких рисков, включая формирование планов действий в чрезвычайных обстоятельствах в случае необходимости.
9.4. Обучение
Организация должна стимулировать осуществление улучшений и инноваций за счет обучения.
Для достижения устойчивого успеха организации необходимо внедрить процессы "обучения в масштабах организации" и "обучения путем объединения возможностей отдельных исполнителей с возможностями организации".
a) "Обучение в масштабах организации" предполагает:
- сбор информации о различных внутренних и внешних событиях и из различных внутренних и внешних источников, включая описания историй успеха и неудач;
- проникновение в суть вещей за счет углубленного изучения собранной информации.
b) "Обучение путем объединения возможностей отдельных исполнителей с возможностями организации" осуществляется посредством объединения знаний, моделей мышления и моделей поведения людей с ценностями организации. Данный процесс предполагает:
- создание ценностей организации на основе ее миссии, видения и стратегий;
- поддержку инициатив, связанных с обучением, и подтверждение высшим руководством своей лидирующей роли;
- развитие связей, стимулирование возможностей взаимодействия, интерактивности и обмена знаниями как внутри, так и вне организации;
- поддержание в должном состоянии систем обучения и совместного использования знаний;
- стимулирование, моральное и материальное поощрение повышения квалификации персонала за счет обучения и совместного использования знаний;
- высокую оценку творческого подхода, поддержку многообразия мнений различных работников организации.
Оперативный доступ к таким знаниям и их использование могут повысить способность организации управлять своим устойчивым успехом и поддерживать его на должном уровне.
Судя по отсутствию внимания пора наверное ветку закрывать. Слишком много букв! :)))
Чикай, Чикай. Как любил говаривать мой первый командир дивизиона Р-12У. Знавший СУ и все приборы до нюансов.
Это же ликбез. Здесь букф много не бывает, здесь системы подготовки не хватает.Даже если кто-то и не ответит, но запомнит, ИМХО уже хорошо.
![[image]](../../../pics.aviaport.ru/cache/news/170x/723423.jpg)