|
СТБ ISO/IEC 27001-2011 "ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ" | |
1 Область применения 1.1 Общие положения Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими предприятиями, государственными органами, некоммерческими организациями). Настоящий стандарт устанавливает требования к разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и улучшению документально оформленной СМИБ в контексте общих бизнес-рисков организации. Стандарт устанавливает требования к внедрению средств управления безопасностью с учетом потребностей конкретных организаций и их подразделений. СМИБ разрабатывается с целью обеспечения выбора адекватных и соразмерных средств управления безопасностью, которые предназначены для защиты информационных активов и придают уверенность заинтересованным сторонам. Примечание 1 – Термин «бизнес» в настоящем стандарте следует понимать в широком смысле как основные виды деятельности для целей существования организации. Примечание 2 – ISO/IEC 27002 содержит руководство по внедрению, которое может использоваться при разработке средств управления. 1.2 Применение Требования, установленные в настоящем стандарте, являются общими и предназначены для применения всеми организациями независимо от вида, размера и характера деятельности. Если организация заявляет о соответствии настоящему стандарту, исключение любого из требований, указанных в разделах 4–8, недопустимо. Любое исключение средств управления, обусловленное необходимостью удовлетворения критерию приемлемости риска, должно быть обосновано, а также должны быть представлены объективные свидетельства того, что связанные риски приняты ответственными лицами. В случае исключения каких-либо средств управления заявления о соответствии настоящему стандарту неприемлемы, кроме случаев, когда такое исключение не влияет на способность и/или ответственность организации по обеспечению информационной безопасности, отвечающей требованиям, определенным при оценке риска, а также применимым правовым или другим обязательным требованиям. Примечание – Если организация уже имеет действующую систему менеджмента бизнес-процессов (например, связанную с ISO 9001 или ISO 14001), тогда в большинстве случаев предпочтительнее выполнять требования настоящего стандарта в рамках существующей системы менеджмента. 2 Нормативные ссылки Для применения настоящего стандарта необходим следующий ссылочный стандарт. Для недатированных ссылок применяют последнее издание ссылочного стандарта (включая все его изменения). ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Свод правил по менеджментуинформационной безопасности 3 Термины и определения В настоящем стандарте применяют следующие термины с соответствующими определениями: 3.1 актив (asset): Все, что имеет ценность для организации. [ISO/IEC 13335-1:2004] 3.2 доступность (availability): Свойство нахождения в состоянии готовности и пригодности для использования по запросу авторизованного логического объекта. [ISO/IEC 13335-1:2004] 3.3 конфиденциальность (confidentiality): Свойство, заключающееся в том, что информация не может стать доступной или открытой неавторизованным лицам, логическим объектам или процессам. [ISO/IEC 13335-1:2004] 3.4 информационная безопасность (information security): Сохранение конфиденциальности, целостности и доступности информации, а также другие свойства, такие как аутентичность, подотчетность, неопровержимость и безотказность. [ISO/IEC 17799:2005] 3.5 событие в области информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности или отказ средств защиты, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью. [ISO/IEC TR 18044:2004] 3.6 инцидент в области информационной безопасности (information security incident): Одно или ряд нежелательных или непредвиденных событий в области информационной безопасности, при которых имеется значительная вероятность компрометации бизнес-операций и угрозы информационной безопасности. [ISO/IEC TR 18044:2004] 3.7 система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): Часть общей системы менеджмента для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности, использующая подход, основанный на бизнес-рисках. Примечание – Система менеджмента включает структуру, политики, деятельность по планированию, ответственность, действия, процедуры, процессы и ресурсы организации. 3.8 целостность (integrity): Свойство сохранения точности и полноты активов. [ISO/IEC 13335-1:2004] 3.9 остаточный риск (residual risk): Риск, остающийся после обработки риска. [ISO/IEC Guide 73:2002] 3.10 принятие риска (risk acceptance): Решение о принятии риска. [ISO/IEC Guide 73:2002] 3.11 анализ риска (risk analysis): Систематическое использование информации для идентификации источников и определения риска. [ISO/IEC Guide 73:2002] 3.12 оценка риска (risk assessment): Общий процесс анализа и оценивания риска. [ISO/IEC Guide 73:2002] 3.13 оценивание риска (risk evaluation): Процесс сравнения определенного ранее риска с установленными критериями риска для определения его значимости. [ISO/IEC Guide 73:2002] 3.14 менеджмент риска (risk management): Координированные действия по руководству и управлению организацией в отношении риска. [ISO/IEC Guide 73:2002] 3.15 обработка риска (risk treatment): Процесс выбора и применения мер для изменения риска. [ISO/IEC Guide 73:2002] Примечание – В настоящем стандарте термин «средство управления» используется в качестве синонима к слову «мера». 3.16 положение о применимости (statement of applicability): Документально оформленное положение, описывающее цели и средства управления, соответствующие и применимые к системе менеджмента информационной безопасности организации. Примечание – Цели и средства управления основываются на результатах и выводах процедур оценки и обработки рисков, правовых и законодательных требованиях, контрактных обязательствах и бизнес-требованиях организации к информационной безопасности. 4 Система менеджмента информационной безопасности 4.1 Общие требования Организация должна разработать, внедрить, обеспечить функционирование, осуществлять мониторинг, анализировать, поддерживать и постоянно улучшать документально оформленную СМИБ в контексте бизнес-деятельности организации и рисков, с которыми она сталкивается. Описанный в настоящем стандарте процесс основывается на модели PDCA, показанной на рисунке 1. Рисунок 1 – Модель PDCA применительно к процессам СМИБ 4.2 Разработка системы менеджмента информационной безопасности и управление ею 4.2.1 Разработка системы менеджмента информационной безопасности Организация должна: a) определить область применения и границы распространения СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, включая подробные сведения и обоснование любых исключений из области применения (см. 1.2); b) определить политику СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, которая: 1) включает инфраструктуру для постановки целей и устанавливает основные направления и принципы деятельности в области информационной безопасности; 2) принимает во внимание бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности; 3) согласуется со стратегией менеджмента рисков организации, в соответствии с которой будет осуществляться разработка и поддержка СМИБ; 4) разрабатывает критерии для оценивания рисков [см. 4.2.1, перечисление c)]; 5) одобрена руководством. Примечание – В настоящем стандарте политика СМИБ рассматривается как документ более высокого уровня по отношению к политикам информационной безопасности. Эти политики могут быть описаны в одном документе; c) определить подход к оценке рисков в организации: 1) определять методологию оценки рисков в соответствии с требованиями СМИБ, в том числе требованиями информационной безопасности бизнеса, правовыми и другими обязательными требованиями; 2) разработать критерии принятия рисков и идентифицировать приемлемые уровни риска [см. 5.1, перечисление f)]. Выбранная методология оценки рисков должна обеспечивать сопоставимые и воспроизводимые результаты. Примечание – Существуют различные методологии оценки рисков. Примеры таких методологий рассмотрены в ISO/IEC TR 13335-3 «Информационные технологии. Руководство по управлению безопасностью информационных технологий. Часть 3. Методы менеджмента безопасности IT»; d) идентифицировать риски: 1) идентифицировать активы в пределах области применения СМИБ и владельцев данных активов. Термин «владелец» определяет лицо или логический объект, на которые руководством возложена ответственность за управление созданием, разработкой, поддержкой, использованием и безопасностью активов. Термин «владелец» не означает, что данное лицо фактически имеет права собственности на этот актив; 2) идентифицировать угрозы для этих активов; 3) идентифицировать уязвимости, которые могут возникнуть при этих угрозах; 4) идентифицировать последствия для активов, к которым могут привести потеря конфиденциальности, целостности и доступности; e) анализировать и оценивать риски: 1) провести оценку воздействий бизнеса на организацию, которые могут возникать в результате нарушений безопасности с учетом последствий потери конфиденциальности, целостности или доступности активов; 2) провести оценку реальной вероятности нарушения безопасности с учетом доминирующих угроз и уязвимостей, а также последствий, связанных с этими активами, и используемых в настоящее время средств управления; 3) определить уровни рисков; 4) определить, являются ли риски приемлемыми или требуют ли обработки с использованием критериев приемлемости рисков, установленных в 4.2.1, перечисление c)2); f) идентифицировать и оценивать возможные варианты обработки рисков. Возможные действия включают: 1) применение соответствующих средств управления; 2) сознательное и объективное принятие рисков при условии, что они полностью удовлетворяют политикам организации и критериям принятия рисков [см. 4.2.1, перечисление c)2)]; 3) избежание рисков; 4) передачу соответствующих бизнес-рисков другим сторонам, например страховым компаниям, поставщикам; g) выбирать цели и средства управления для обработки рисков. Цели и средства управления должны выбираться и использоваться так, чтобы обеспечить соответствие требованиям, идентифицированным в процессе оценки и обработки рисков. При этом должны учитываться критерии принятия рисков [см. 4.2.1, перечисление c)2)], а также правовые, другие обязательные и контрактные требования. Цели и средства управления должны быть частью этого процесса и выбираться из числа приведенных в приложении A как соответствующие для охвата идентифицированных требований. Перечень целей и средств управления, приведенный в приложении A, не является исчерпывающим, и могут быть выбраны дополнительные цели и средства управления. Примечание – В приложении A содержится полный перечень целей и средств управления, которые в большинстве случаев были определены как характерные для организаций. Пользователи настоящего стандарта должны обращаться к приложению A как к отправной точке для выбора средства управления и обеспечения того, что ни один из основных вариантов средств управления не был упущен; h) получить одобрение руководства по предлагаемым остаточным рискам; i) получить санкцию руководства на внедрение и обеспечение функционирования СМИБ; j) разработать положение о применимости. Положение о применимости должно включать: 1) цели и средства управления, выбранные в соответствии с 4.2.1 [перечисление g)], и обоснование этого выбора; 2) реализуемые в настоящее время цели и внедряемые средства управления [см. 4.2.1, перечисление e)2)]; 3) исключенные цели и средства управления, предусмотренные приложением A, и обоснование их исключения. Примечание – Положение о применимости содержит свод решений, касающихся обработки рисков. Обоснование исключений обеспечивает перекрестную проверку, позволяющую определить, что ни одно средство управления не было непреднамеренно исключено. 4.2.2 Внедрение и обеспечение функционирования системы менеджмента информационной безопасности Организация должна: a) разработать план обработки рисков, в котором идентифицированы соответствующие действия руководства, ресурсы, ответственность и приоритеты в отношении менеджмента рисков информационной безопасности (см. раздел 5); b) реализовывать план обработки рисков для достижения идентифицированных целей управления, который включает финансирование и распределение ролей и ответственности; c) внедрить средства управления, выбранные в соответствии с 4.2.1 [перечисление g)], для достижения целей управления; d) определять способ измерения результативности выбранных средств управления или групп средств управления и установить, как должны будут выполняться данные измерения для оценки результативности средств управления, с целью получения сопоставимых и воспроизводимых результатов [см. 4.2.3, перечисление c)]. Примечание – Измерение результативности средств управления позволяет руководителям и персоналу определить, насколько средства управления позволяют достигать запланированных целей управления; e) реализовывать программы по подготовке и повышению осведомленности (см. 5.2.2); f) осуществлять менеджмент функционирования СМИБ; g) осуществлять менеджмент ресурсов СМИБ (см. 5.2); h) внедрить процедуры и другие средства управления, позволяющие обеспечить быстрое обнаружение событий и реагирование на инциденты в области безопасности [см. 4.2.3, перечисление a)]. 4.2.3 Мониторинг и анализ системы менеджмента информационной безопасности Организация должна: a) выполнять процедуры мониторинга и анализа и применять другие средства управления, для того чтобы: 1) своевременно обнаруживать ошибки в результатах обработки; 2) своевременно идентифицировать неудавшиеся и успешные попытки нарушения и инциденты в области безопасности; 3) предоставить руководству возможность определить, что деятельность по обеспечению безопасности реализуется посредством делегирования полномочий персоналу или внедряется с применением информационных технологий; 4) способствовать обнаружению событий в области безопасности и таким образом предотвращать инциденты в области безопасности посредством использования показателей; 5) определять, являются ли предпринятые действия результативными для устранения нарушений безопасности; b) регулярно проводить анализ результативности СМИБ (включая оценку соответствия политике и целям СМИБ и анализ средств управления), принимая во внимание результаты аудитов безопасности, инциденты, результаты измерений результативности, предложения и обратную связь от всех заинтересованных сторон; c) измерять результативность средств управления с целью верификации соответствия требованиям безопасности; d) анализировать оценки рисков через запланированные интервалы, а также остаточные риски и идентифицированные приемлемые уровни риска, принимая во внимание изменения в: 1) организации; 2) технологиях; 3) бизнес-целях и процессах; 4) идентифицированных угрозах; 5) результативности применяемых средств управления; 6) внешних событиях, таких как изменения в правовых или других обязательных требованиях, контрактных обязательствах и изменения социально-психологического климата; e) проводить внутренние аудиты СМИБ через запланированные интервалы (см. раздел 6). Примечание – Внутренние аудиты, иногда называемые аудитами первой стороной, проводятся организацией самостоятельно или от ее имени для внутренних целей; f) регулярно проводить анализ СМИБ со стороны руководства, чтобы гарантировать адекватность ее области применения и идентификацию улучшений в процессах СМИБ (см. 7.1); g) обновлять планы в области безопасности, учитывая результаты деятельности по мониторингу и анализу; h) вести записи действий и событий, которые могли повлиять на результативность или функционирование СМИБ (см. 4.3.3). 4.2.4 Поддержка и улучшение системы менеджмента информационной безопасности Организация должна регулярно: a) внедрять идентифицированные улучшения в СМИБ; b) предпринимать соответствующие корректирующие и предупреждающие действия в соответствии с 8.2 и 8.3. Извлекать уроки из опыта других организаций и самой организации в области обеспечения безопасности; c) обеспечивать обмен информацией о действиях и улучшениях со всеми заинтересованными сторонами с уровнем детализации, соответствующим обстоятельствам, и при необходимости согласовывать дальнейшую деятельность; d) обеспечивать, что улучшения достигают намеченных целей. 4.3 Требования к документации 4.3.1 Общие положения Документация должна включать записи решений руководства, обеспечивать прослеживаемость действий по решениям руководства и политикам и воспроизводимость записанных результатов. Важно обеспечить возможность продемонстрировать обратную связь от выбранных средств управления к результатам оценки рисков и процесса обработки рисков и, следовательно, к политике и целям СМИБ. Документация СМИБ должна включать: a) документально оформленные заявления о политике [см. 4.2.1, перечисление b)] и целях СМИБ; b) область применения СМИБ [см. 4.2.1, перечисление a)]; c) процедуры и средства управления, поддерживающие СМИБ; d) описание методологии оценки рисков [см. 4.2.1, перечисление c)]; e) отчет об оценке рисков [см. 4.2.1, перечисления c) – g)]; f) план обработки рисков [см. 4.2.2, перечисление b)]; g) документированные процедуры, необходимые для результативного планирования, обеспечения функционирования и управления процессами в области информационной безопасности, и описание того, как измерять результативность средств управления [см. 4.2.3, перечисление c)]; h) записи, требуемые согласно настоящему стандарту (см. 4.3.3); i) положение о применимости. Примечание 1 – Там, где в настоящем стандарте употребляется термин «документированная процедура», это означает, что процедура разработана, документально оформлена, внедрена и поддерживается в рабочем состоянии. Примечание 2 – Степень документированности СМИБ в разных организациях может различаться в зависимости от: – размера организации и вида деятельности; – области применения и сложности требований безопасности и системы, менеджмент которой осуществляется. Примечание 3 – Документы и записи могут быть в любой форме и на носителях любого типа. 4.3.2 Управление документами Документы, требуемые СМИБ, должны быть защищены и находиться под управлением. Должна быть разработана документированная процедура для определения действий по осуществлению менеджмента, необходимых для: a) одобрения документов на адекватность до их выпуска; b) анализа, актуализации по мере необходимости и повторного одобрения документов; c) обеспечения идентификации изменений и текущего статуса пересмотра документов; d) обеспечения наличия соответствующих версий документов в местах их применения; e) обеспечения сохранения документов четкими и легко идентифицируемыми; f) обеспечения доступности документов тем, кто в них нуждается, и передачи, хранения и уничтожения документов в соответствии с процедурами, применимыми к их классификации; g) обеспечения идентификации документов внешнего происхождения; h) обеспечения управления распространением документов; i) предотвращения непреднамеренного использования устаревших документов; j) применения соответствующей идентификации устаревших документов, оставленных для каких-либо целей. 4.3.3 Управление записями Для предоставления свидетельств соответствия требованиям и результативного функционирования СМИБ необходимо установить и вести записи. Записи должны быть защищены и находиться под управлением. В СМИБ должны быть учтены любые соответствующие правовые или другие обязательные требования и контрактные обязательства. Записи должны оставаться четкими, легко идентифицируемыми и доступными. Средства управления, необходимые для идентификации, хранения, защиты, извлечения, определения сроков хранения и изъятия записей, должны быть документированы и внедрены. Записи должны отражать выполнение процессов, определенных в соответствии с 4.2, и все случаи возникновения инцидентов информационной безопасности, связанных со СМИБ. Пример – Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудита, заполненные формы авторизации доступа. 5 Ответственность руководства 5.1 Обязательства руководства Руководство должно предоставить свидетельства принятых обязательств по разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и улучшению СМИБ посредством: a) установления политики СМИБ; b) обеспечения установления целей и разработки планов СМИБ; c) определения ролей и ответственности в области информационной безопасности; d) доведения до сведения организации важности достижения целей в области информационной безопасности и соответствия политике в области информационной безопасности, ее ответственности перед законом и необходимости постоянного улучшения; e) выделения достаточных ресурсов для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ (см. 5.2.1); f) установления критериев принятия рисков и их приемлемых уровней; g) обеспечения проведения внутренних аудитов СМИБ (см. раздел 6); h) проведения анализа СМИБ со стороны руководства (см. раздел 7). 5.2 Менеджмент ресурсов 5.2.1 Обеспечение ресурсами Организация должна определить и предоставить ресурсы, необходимые для: a) разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ; b) обеспечения поддержки бизнес-требований процедурами информационной безопасности; c) идентификации и изучения правовых и других обязательных требований и контрактных обязательств в области безопасности; d) поддержания адекватной безопасности посредством правильного применения всех внедренных средств управления; e) проведения анализа при необходимости и принятия соответствующих мер по его результатам; f) повышения результативности СМИБ при необходимости. 5.2.2 Подготовка, осведомленность и компетентность Организация должна обеспечить, чтобы весь персонал, который наделен ответственностью, определенной в СМИБ, обладал достаточной компетентностью для выполнения поставленных задач путем: a) определения необходимой компетентности для персонала, выполняющего работу, которая влияет на СМИБ; b) обеспечения подготовки или осуществления других действий (например, наем компетентного персонала) для удовлетворения этих потребностей; c) оценивания результативности предпринятых действий; d) поддержания в рабочем состоянии записей об образовании, подготовке, навыках, опыте и квалификации (см. 4.3.3). Организация должна также обеспечить осведомленность персонала об актуальности и важности его деятельности в области информационной безопасности и вкладе в достижение целей СМИБ. 6 Внутренние аудиты системы менеджмента информационной безопасности Организация должна проводить внутренние аудиты СМИБ через запланированные интервалы, чтобы определить, что цели управления, средства управления, процессы и процедуры СМИБ: a) соответствуют требованиям настоящего стандарта и соответствующим законодательным или другим обязательным требованиям; b) соответствуют идентифицированным требованиям в области информационной безопасности; c) результативно внедряются и поддерживаются; d) функционируют должным образом. Программа аудита должна планироваться с учетом статуса и важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов. Должны быть определены критерии, область, частота и методы аудита. Выбор аудиторов и проведение аудитов должны обеспечивать объективность и беспристрастность процесса аудита. Аудиторы не должны проводить аудит своей собственной работы. Ответственность и требования для планирования и проведения аудита и для отчетности о результатах и ведения записей (см. 4.3.3) должны быть установлены в документированной процедуре. Руководство, несущее ответственность за область, подлежащую аудиту, должно обеспечить, чтобы действия по устранению обнаруженных несоответствий и их причин предпринимались без необоснованной задержки. Последующие действия должны включать верификацию предпринятых действий и составление отчета о результатах верификации (см. раздел 8). Примечание 1 – Рекомендации, приведенные в ISO 19011 «Руководство по аудиту систем менеджмента качества и/или систем экологического менеджмента», могут быть полезны для проведения внутреннего аудита СМИБ. 7 Анализ системы менеджмента информационной безопасности со стороны руководства 7.1 Общие положения Руководство должно через запланированные интервалы (не менее одного раза в год) анализировать СМИБ организации в целях обеспечения ее постоянной пригодности, адекватности и результативности. В анализ следует включать оценку возможностей для улучшения и потребности в изменениях СМИБ, в том числе политики и целей информационной безопасности. Результаты анализа должны быть четко документированы, а записи должны поддерживаться в рабочем состоянии (см. 4.3.3). 7.2 Входные данные для анализа Входные данные для анализа со стороны руководства должны включать: a) результаты аудитов и анализов СМИБ; b) обратную связь от заинтересованных сторон; c) методы, средства или процедуры, которые могут быть использованы в организации для улучшения функционирования и повышения результативности СМИБ; d) статус предупреждающих и корректирующих действий; e) уязвимости или угрозы, которые не были адекватно учтены при предыдущей оценке рисков; f) результаты измерений результативности; g) действия, предпринятые по итогам предыдущих анализов со стороны руководства; h) любые изменения, которые могли повлиять на СМИБ; i) рекомендации по улучшению. 7.3 Выходные данные анализа Выходные данные анализа со стороны руководства должны включать все решения и действия, относящиеся к: a) повышению результативности СМИБ; b) обновлению плана оценки и обработки рисков; c) изменению процедур и средств управления, влияющих на информационную безопасность, с целью обеспечения реагирования на внутренние или внешние события, которые могут оказать воздействие на СМИБ, включая изменения в: 1) бизнес-требованиях; 2) требованиях безопасности; 3) бизнес-процессах, обеспечивающих выполнение существующих бизнес-требований; 4) правовых или других обязательных требованиях; 5) контрактных обязательствах; 6) уровнях риска и/или критериях принятия рисков; d) потребностям в ресурсах; e) улучшению способов измерения результативности средств управления. 8 Улучшение системы менеджмента информационной безопасности 8.1 Постоянное совершенствование Организация должна постоянно повышать результативность СМИБ посредством использования политики в области информационной безопасности, целей в области информационной безопасности, результатов аудитов, анализа событий по результатам мониторинга, корректирующих и предупреждающих действий и анализа со стороны руководства (см. раздел 7). 8.2 Корректирующие действия Организация должна предпринимать действия по устранению причин несоответствий требованиям СМИБ с целью предупреждения их повторного возникновения. Документированная процедура по корректирующим действиям должна определять требования к: a) идентификации несоответствий; b) определению причин несоответствий; c) оцениванию необходимости действий, чтобы избежать повторения несоответствия; d) определению и осуществлению необходимых корректирующих действий; e) записям результатов предпринятых действий (см. 4.3.3); f) анализу предпринятых корректирующих действий. 8.3 Предупреждающие действия Организация должна определять действия по устранению причин потенциальных несоответствий требованиям СМИБ с целью предупреждения их возникновения. Предпринимаемые предупреждающие действия должны соответствовать последствиям потенциальных проблем. Документированная процедура по предупреждающим действиям должна определять требования к: a) идентификации потенциальных несоответствий и их причин; b) оцениванию необходимости действий для предупреждения возникновения несоответствий; c) определению и осуществлению необходимых предупреждающих действий; d) записям результатов предпринятых действий (см. 4.3.3); e) анализу предпринятых предупреждающих действий. Организация должна идентифицировать изменившиеся риски и идентифицировать требования к предупреждающим действиям, акцентируя внимание на существенно изменившихся рисках. Приоритетность предупреждающих действий должна определяться на основе результатов оценки рисков. Примечание – Действия по предупреждению несоответствий часто более экономически выгодны, чем корректирующие действия.
|
Дата добавления: 2015-11-04; просмотров: 80 | Нарушение авторских прав
<== предыдущая лекция | | | следующая лекция ==> |
!В каком из следующих случаев ряд , сходится: 2) ; 3) | | | Общие требования к компетентности испытательных и калибровочных лабораторий |