Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и настоящим стандартом
В стандартах на системы менеджмента, таких как ИСО 9001, ИСО 14001 или ИСО/МЭК 27001, имеется раздел по документации, состоящий из подразделов, касающихся общего порядка управления документацией и записями, а именно: a) Общая часть оговаривает перечень документов, включая записи, которые должны быть включены в систему менеджмента. b) Подраздел по управлению документацией устанавливает требования к подготовке документов, их анализу, утверждению, управлению статусом пересмотра, распространению и наличию, обозначению и предотвращению неправильного использования. c) Подраздел по управлению записями устанавливает процедуры для подготовки записей, их идентификации, архивации, защиты, поиска, сроков хранения и изъятия из обращения. Хотя записи представляют собой особый вид документов, определяемый в стандартах системы менеджмента, документы, идентифицируемые или рассматриваемые как записи в каждой системе менеджмента, должны быть управляемыми для удовлетворения требований как к управлению документацией, так и к управлению записями на протяжении всего цикла от подготовки, распространения, использования до изъятия из обращения. Требования, установленные для управления записями в каждом стандарте на системы менеджмента, являются недостаточными сами по себе для применения и управления записями и документами. Настоящий стандарт дает рекомендации относительно того, как должным образом управлять записями и документами, требуемыми в других системах менеджмента. Для правильного формирования и управления записями настоящий стандарт определяет процессы управления записями и их назначение, как они должны осуществляться в рамках систем и как выбирать используемые технические средства. В Таблице В.1 показана взаимосвязь между процессами СМЗ и средствами управления, содержащимися в Приложении А настоящего стандарта и разделах других стандартов на системы менеджмента, касающихся документации. Таблица В.1 - Взаимосвязь между процессами СМЗ и средствами управления
Требования к документации Общие положения Документация системы менеджмента качества должна включать в себя: a) документально оформленные заявления о политике и целях в области качества; b) руководство по качеству; c) документированные процедуры и записи, требуемые настоящим стандартом; d) документы, включая записи, определенные организацией как необходимые ей для обеспечения эффективного планирования, осуществления процессов и управления ими |
Документация Документация системы экологического менеджмента должна содержать: a) экологическую политику, цели и задачи; b) описание области применения системы экологического менеджмента; c) описание основных элементов системы экологического менеджмента менеджмента и их взаимодействия, а также ссылки на соответствующие документы;
d) документы, включая записи, требуемые настоящим международным стандартом; е) документы, включая записи, определенные организацией как необходимые для обеспечения результативного планирования, функционирования и управления процессами, которые связаны со значимыми экологическими аспектами |
Требования к документации Общие положения Документация системы менеджмента информационной безопасности (СМИБ) должна включать: a) документированные заявления о политике (см. 4.2.1b)) и целях СМИБ; b) область применения СМИБ (см. 2.1а)); c) процедуры и средства управления в поддержку СМИБ; d) описание методологии оценки рисков (см. 4.2.1с)); e) отчет об оценке рисков (см. 4.2.1с)-4.2.1g)); f) план обработки рисков (см. 4.2.2b)); g) документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять результативность средств управления (см. 4.2.3с)); h) записи, требуемые настоящим международным стандартом (см. 4.3.3); i) заявление о применимости | * | ||||||||||||||||||||||||||||||||||||||||||||||||||||
Документация должна содержать записи об управленческих решениях, обеспечивать прослеживаемость действия до управленческих решений и принципов деятельности и обеспечивать воспроизводимость зарегистрированных результатов. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
Важно иметь возможность продемонстрировать зависимость результатов оценки рисков и процесса обработки рисков от выбранных средств управления и, соответственно, политики и целей СМИБ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
Документация должна содержать записи об управленческих решениях, обеспечивать прослеживаемость действия до управленческих решений и принципов деятельности и обеспечивать воспроизводимость зарегистрированных результатов. | * | * | * | ||||||||||||||||||||||||||||||||||||||||||||||||||||
Важно иметь возможность продемонстрировать зависимость результатов оценки рисков и процесса обработки рисков от выбранных средств управления и, соответственно, политики и целей СМИБ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
4.2.3 Управление документацией | 4.4.5 Управление документацией | 4.3.2 Управление документацией | * | * | |||||||||||||||||||||||||||||||||||||||||||||||||||
Документы системы менеджмента качества должны быть управляемыми. Записи, представляющие собой специальный вид документов, должны быть управляемыми согласно требованиям 4.2.4. | Документами, требуемыми системой экологического менеджмента и настоящим международным стандартом, необходимо управлять. Записи являются документами особого вида, и ими необходимо управлять в соответствии с требованиями 4.5.4. Организация должна установить, внедрить и поддерживать процедуру(ы) для одобрения документов перед выпуском на предмет их адекватности (4.4.5а)) | Документы, требуемые СМИБ, должны быть защищенными и управляемыми. Должна быть разработана документированная процедура для определения действий руководства, необходимых для одобрения документов перед выпуском на предмет их адекватности (4.3.2а)) | |||||||||||||||||||||||||||||||||||||||||||||||||||||
Должна быть разработана документированная процедура для определения средств управления, требуемых для официального одобрения документации с точки зрения ее адекватности до выпуска (4.2.3а)) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
Управление документацией | Для анализа и актуализации по мере необходимости и повторного официального одобрения документов (4.2.3 b)). | Для анализа, актуализации документов по мере необходимости и их повторного утверждения (4.4.5 b)). | Для анализа и актуализации документов по мере необходимости и их повторного утверждения (4.3.2 b)). | * | * | * | |||||||||||||||||||||||||||||||||||||||||||||||||
Для обеспечения идентификации изменений и статуса пересмотра документов (4.2.3 с)) | Для обеспечения идентификации изменений и текущего статуса пересмотра документов (4.4.5с)) | Для обеспечения идентификации изменений и текущего статуса пересмотра документов (4.3.2 с)) | |||||||||||||||||||||||||||||||||||||||||||||||||||||
Для обеспечения наличия соответствующих версий документов в местах их применения (4.2.3d)) | Для обеспечения наличия соответствующих версий документов в местах их применения (4.4.5d)) | Для обеспечения наличия соответствующих версий документов в местах их применения (4.3.2d)) | * | * | |||||||||||||||||||||||||||||||||||||||||||||||||||
Для обеспечения сохранения документов четкими и легко идентифицируемыми (4.2.3е)) | Для обеспечения удобочитаемости и идентифицируемости документов (4.4.5е)) | Для обеспечения удобочитаемости и идентифицируемости документов (4.3.2е)) | * | * | * | ||||||||||||||||||||||||||||||||||||||||||||||||||
Для обеспечения идентификации и управления рассылкой документов внешнего происхождения, определенных организацией как необходимые для планирования и функционирования системы менеджмента качества (4.2.3f)) | Для обеспечения идентификации и контроля распространения документов внешнего происхождения, определяемых организацией как необходимые для планирования и функционирования системы экологического менеджмента (4.4.5f)) | Для обеспечения идентификации документов внешнего происхождения (4.3.2g)). Для обеспечения контроля распространения документов (4.3.2h)) | * | * | * | ||||||||||||||||||||||||||||||||||||||||||||||||||
Для предотвращения непреднамеренного использования устаревших документов и применение соответствующей идентификации таких документов, оставленных для каких-либо целей (4.2.3g)) | Для предотвращения непреднамеренного использования устаревших документов и для обозначения таких документов соответствующим образом, если они сохранены для каких- либо целей (4.4.5g)) | Для предотвращения непреднамеренного использования устаревших документов (4.3.2i)). Для обозначения таких документов соответствующим образом, если они сохранены для каких- либо целей (4.3.2j)) Для обеспечения доступа к документам лицам, которые в них нуждаются, а также передачи, хранения и уничтожения их в соответствии с процедурами, применимыми к степени их конфиденциальности (4.3.2f)). | * | * | * | ||||||||||||||||||||||||||||||||||||||||||||||||||
Управление записями | 4.2.4 Управление записями | 4.5.4 Управление записями | 4.3.3 Управление записями | * | * | * | |||||||||||||||||||||||||||||||||||||||||||||||||
Для предоставления свидетельств соответствия требованиям и результативного функционирования системы менеджмента качества необходимо формировать и вести записи (4.2.4) | Организация должна создавать и вести записи, необходимые для демонстрации соответствия требованиям своей системы экологического менеджмента и настоящего международного стандарта, а также записи о достигнутых результатах (4.5.4) | Для получения свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо формировать и вести записи. Необходимо обеспечивать защиту и управление записями (4.3.3) | |||||||||||||||||||||||||||||||||||||||||||||||||||||
Записи должны оставаться четкими, легко идентифицируемыми и восстанавливаемыми (4.2.4) | Записи должны быть удобочитаемыми, идентифицируемыми и прослеживаемыми (4.5.4) | Записи должны оставаться четкими, легко идентифицируемыми и восстанавливаемыми (4.3.3) | * | * | * | * | |||||||||||||||||||||||||||||||||||||||||||||||||
Должна быть разработана документированная процедура для определения средств управления, необходимых для идентификации, хранения, защиты, восстановления, сохранения и изъятия записей (4.2.4) | Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуру или процедуры для идентификации, хранения, защиты, восстановления, сохранения и изъятия записей (4.5.4) | Должны быть документированы и внедрены средства управления, требуемые для идентификации, хранения, защиты, восстановления, определения сроков хранения и изъятия записей (4.3.3) | * | * | * | * | * | * | |||||||||||||||||||||||||||||||||||||||||||||||
СМИБ должна принимать во внимание все соответствующие нормативно-правовые требования и договорные обязательства (4.3.3) | * | ||||||||||||||||||||||||||||||||||||||||||||||||||||||
Следует вести и хранить записи об эффективности функционирования процесса, описанного в 4.2, и обо всех значительных инцидентах информационной безопасности, связанных со СМИБ (4.3.3) |
Приложение С
(справочное)
2020-03-17 | 137 | Обсуждений (0) |
5.00
из
|
Обсуждение в статье: Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и настоящим стандартом |
Обсуждений еще не было, будьте первым... ↓↓↓ |
Почему 1285321 студент выбрали МегаОбучалку...
Система поиска информации
Мобильная версия сайта
Удобная навигация
Нет шокирующей рекламы