Идентификация критических контрольных точек и система их мониторинга

Для каждой опасности, управление которой будет осуществляться согласно плану ХАССП, следу­ет идентифицировать критическую контрольную точку, в которой будут выполняться идентифицирован­ные мероприятия по управлению.

Следует определить критические пределы, соблюдение которых в каждой критической точке управления будет контролироваться мониторингом.

Критические пределы должны быть установлены для обеспечения приемлемого идентифициро­ванного уровня опасности, угрожающей безопасности пищевой продукции, для конечной про­дукции.

Критические пределы должны быть измеряемыми.

Следует документально представить обоснование для выбора критических пределов.

Если устанавливаются критические пределы, определение которых основано на субъективной оценке [например, посредством визуальной проверки продукции, процесса, обращения с продукцией и т. д.), то для их применения следует разработать инструкции или научно-техническую документацию и/или использовать персонал, имеющий соответствующее образование и профессиональную подготовку.

Для каждой критической контрольной точки следует разработать систему мониторинга, позволяю­щую подтвердить тот факт, что критическая контрольная точка находится под контролем. Система дол­жна охватывать все намеченные измерения или наблюдения, имеющие отношение к критическим пределам.

Система мониторинга — это применяемые методы, инструкции и записи в отношении:

а) измерений или наблюдении, которые обеспечивают получение результатов о пределах приемлемых временных рамок;

б) используемых устройств;

в) применяемых методов калибровки;

г) периодичности мониторинга;

д) полномочий и ответственности за проведение мониторинга и оценку результатов мониторинга;

е) требований к ведению записей и методов ведения записей.

Методы и периодичность мониторинга должны обеспечивать выявление случаев превышения кри­тических пределов и ликвидацию несоответствующей продукции прежде, чем она будет использована или употреблена в пищу.

Управление несоответствиями.

Организация должна гарантировать, что в случае превышения критических пределов в критических контрольных точках или в случае потери управления в рамках производственных про­грамм обязательных предварительных мероприятий конечная продукция, на которую оказала воздействие такая ситуация, будет идентифицирована и будет осуществлено соответствующее управ­ление в отношении ее использования и выпуска.

Должна быть разработана и применена документально оформленная процедура в отношении:

а) идентификации и оценки конечной продукции, на которую оказала воздействие вышеуказанная ситуация, чтобы определить, как следует обращаться с такой продукцией;

б) анализа осуществленной коррекции.

Продукция, изготовленная в условиях превышения критических пределов, является потенциально опасной и подлежит обращению в соответствии с требование стандарта. Продукция, изготовленная в условиях несоб­людения производственных программ обязательных предварительных мероприятий, должна быть оце­нена в отношении причин несоответствия и результирующего воздействия на безопасность пищевой продукции. Если необходимо, то к ней должны быть применены меры в соответствии с требованием стандарта. Результаты оценки должны быть оформлены в виде записей.

Корректирующие действия должны быть предприняты в случае превышения критических преде­лов или недостаточного соответствия производственным программам обязательных предва­рительных мероприятии.

Каждая партия продукции, для которой было выявлено несоответствие, может быть выпущена как безопасная продукция только в том случае, если выполняется одно из следующих условий:

а) наличие свидетельства о том, что другое средство управления, кроме системы мониторинга, подтверждает, что мероприятия по управлению были результативными;

б) наличие свидетельства о том, что объединенный эффект мероприятий по управлению, изме­ренный для данной конкретной продукции, соответствует предусмотренному результату выполнения работы (т.е. соблюдены приемлемые уровни идентифицированной опасности определенные согласно стандарта);

в) результаты выборки, анализа и/или других верификационных действий подтверждают, что пар­тия продукции, для которой было выявлено несоответствие, имеет приемлемые идентифицированные уровни рассматриваемых опасностей, угрожающих безопасности пищевой продукции.

После выполнения оценки, подтвердившей, что партия продукции является неприемлемой для выпуска, данная продукция должна быть ликвидирована одним из следующих способов:

а) переработкой или дальнейшей обработкой в рамках или вне рамок организации, которая по­зволяет обеспечить устранение или снижение до приемлемых уровней опасности, угрожающей безо­пасности пищевой продукции;

б) уничтожением и/или удалением в виде отходов.

Изъятую продукцию следует изолировать или хранить под контролем до тех пор, пока она не будет уничтожена, использована для других целей, кроме первоначально предусмотренного применения, идентифицирована как безопасная для первоначального (или другого) предусмотренного применения или повторно переработана способом, позволяющим получить безопасную продукцию.

Информация о причине, объемах и результате изъятия должна быть оформлена в виде записей и передана высшему руководству в виде входных данных для анализа со стороны руководства.

Организация должна верифицировать и вести записи в отношении результативности программы изъятия, используя соответствующие методы, например фиктивное изъятие или изъятие в соотве­тствии с установившейся практикой.

Постоянство улучшений.

Высшее руководстве должно обеспечить непрерывное улучшение эффективности системы ме­неджмента безопасности пищевой продукции, применяя для этого обмен информацией, анализ со стороны руководства, валидацию комбинаций мероприятий по управ­лению корректирующими действиями, оценку результатов отдельных верификационных проверок, анализ результатов верификационной деятельности, а также актуализацию системы менеджмента безопасности пищевой продукции.

5.​ Международный стандарт системы менеджмента защиты информации ИСО/МЭК 27001:2005. Область применения и краткое содержание.

1. ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC 27 Объединенного технического комитета JTC 1.

Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности(СМИБ).

Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной без.

ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Система менеджмента защиты информации: часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

Общие положения: этот международный стандарт был подготовлен для того, чтобы предоставить модель для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения Системы Менеджмента Защиты Информации (СМЗИ).

Процессный подход: этот международный стандарт принимает процессный подход для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения СМЗИ организации.

Этот международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA1), которая применяется для структуризации всех процессов СМЗИ.

Модель PDCA, примененная к процессам СМЗИ:

Планирование (создайте СМЗИ): установите политику, цели, процессы и процедуры, относящиеся к менеджменту рисков и улучшению защиты информации для выдачи результатов в соответствии с общей политикой и целями организации.

Осуществление (внедрите и эксплуатируйте СМЗИ): реализуйте и эксплуатируйте политику, средства управления, процессы и процедуры в области СМЗИ.

Действие (постоянно контролируйте и анализируйте СМЗИ): оценивайте и, где применимо, измеряйте показатели процессов по отношению к политике, целям и практическому опыту в области СМЗИ, доложите результаты руководству для анализа.

Проверка (поддерживайте в рабочем состоянии и улучшайте СМЗИ): осуществляйте корректирующие и предупреждающие действия, основанные на результатах внутреннего аудита СМЗИ и анализа со стороны руководства, или на другой значимой информации для того, чтобы достичь постоянного улучшения СМЗИ.

Совместимость с другими системами менеджмента: этот международный стандарт совмещен с ISO 9001:2000 и ISO 14001:2004 для того, чтобы поддерживать согласованную и комплексную реализацию и работу со связанными стандартами менеджмента. Одна должным образом разработанная система менеджмента может, таким образом, удовлетворить требованиям всех этих стандартов.

Область применения: требования, установленные в этом международном стандарте, носят общий характер и предназначены для применения ко всем организациям, независимо от типа, размера и характера.

2. Термины и определения:

Актив -что-либо, что имеет ценность для организации.

Доступность -свойство быть доступным и годным к употреблению по требованию уполномоченного лица.

Конфиденциальность -свойство, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам

Защита информации -сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность.

Событие в системе защиты информации -выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение политики защиты информации или нарушения в работе средств защиты, или прежде неизвестная ситуация, которая может иметь значение для защиты.

Инцидент в системе защиты информации -одно или серия нежелательных или неожиданных событий в системе защиты информации, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.

Целостность - свойство оберегания точности и полноты активов.

Остаточный риск -риск, остающийся после обработки риска.

Принятие риска - решение взять на себя риск.

Анализ риска -систематическое использование информации для выявления источников и для оценки степени риска.

Основные разделы стандарта:

- Система менеджмента защиты информации

- Ответственность руководства

- Внутреннее аудиты СМЗИ

- Анализ СМЗИ со стороны руководства

- УЛУЧШЕНИЕ СМЗИ.

3. Система менеджмента защиты информации включает следующие пункты:

- общие требования;

- создание СМЗИ;

- Реализация и эксплуатация СМЗИ;

- Контроль и анализ СМЗИ;

- Поддерживать в рабочем состоянии и улучшать СМЗИ;

- требования к документации (общие положения);

- Управление документами;

- Управление записями.

Общие требования Системы менеджмента защиты информации:

организация должна создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать документированную СМЗИ в контексте целостной деловой деятельности организации и рисков, с которыми она сталкивается.

Для создания СМЗИ организация должна сделать следующее:

1) Определить область приложения и границы СМЗИ;

2) Определить политику в отношении СМЗИ;

3) Определить подход к оценке риска в организации;

4) Выявить риски;

5) Проанализировать риск и оценить значительность риска;

6) Выявить и оценить возможности для обработки рисков;

7) Выбрать цели управления и средства управления для обработки риска;

8) Получить утверждение руководства предлагаемого остаточного риска;

9) Получить разрешение руководства на реализацию и работу СМЗИ;

10) Подготовить Заявление о применимости.

Документация СМЗИ должна включать следующее:

a) документированное заявление о политике и целях СМЗИ;

b) область приложения СМЗИ;

c) процедуры и средства управления в поддержку СМЗИ;

d) описание методологии оценки рисков;

e) отчет об оценке рисков;

f) план обработки рисков;

g) документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять результативность средств управления;

h) записи, требуемые этим международным стандартом;

i) Заявление о применимости.

Документы, требуемые СМЗИ, должны быть защищены и должны управляться.

Управление записями:

Записи должны создаваться и поддерживаться в рабочем состоянии для того, чтобы обеспечивать подтверждение соответствия требованиям и результативной работы СМЗИ. Записи должны быть защищены и должны управляться.

Раздел Ответственности руководства включает следующие пункты:

- обязательства руководства;

- обеспечение ресурсами;

- подготовка, осведомленность и компетентность.

В разделе «Внутреннее аудиты СМЗИ» указывается что:

Организация должна проводить внутренние аудиты СМЗИ через запланированные интервалы, с целью определить следующее аспекты:

a) соответствуют ли требованиям этого международного стандарта и относящихся к ним законов или нормы;

b) соответствуют ли выявленным требованиям защиты информации;

c) эффективно ли реализуются и поддерживаются в рабочем состоянии;

d) выполняются ли, как ожидается цели управления, средства управления, процессы и процедуры СМЗИ организации.

Что делать, если нет взаимности? А теперь спустимся с небес на землю. Приземлились? Продолжаем разговор...

ЧТО ТАКОЕ УВЕРЕННОЕ ПОВЕДЕНИЕ В МЕЖЛИЧНОСТНЫХ ОТНОШЕНИЯХ? Исторически существует три основных модели различий, существующих между...

Что будет с Землей, если ось ее сместится на 6666 км? Что будет с Землей? - задался я вопросом...

Конфликты в семейной жизни. Как это изменить? Редкий брак и взаимоотношения существуют без конфликтов и напряженности. Через это проходят все...

Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте: