Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Minőségügy alapjai 4. Konzultációs rend  Információbiztonsági Irányítási Rendszer (IBIR)  Munkahelyi egészségvédelem és biztonság irányítási rendszere.

Hasonló előadás


Az előadások a következő témára: "Minőségügy alapjai 4. Konzultációs rend  Információbiztonsági Irányítási Rendszer (IBIR)  Munkahelyi egészségvédelem és biztonság irányítási rendszere."— Előadás másolata:

1 Minőségügy alapjai 4. Konzultációs rend  Információbiztonsági Irányítási Rendszer (IBIR)  Munkahelyi egészségvédelem és biztonság irányítási rendszere (MEBIR)  Hazard Analysis Critical Control Points (HACCP) – Veszélyelemzés és kritikus ellenőrzőpontok

2 INFORMÁCIÓBIZTONSÁG

3 (több mint 900 millió ismert sérülékenység) KIBERHADSEREGEK USA: 4,7 Milliárd $/év kibervédelemre (egy szimuláció során egy 20 fős hekkercsoport - egy lopakodó gép árának 10-edéért (50 millió $) - kiütötte az USA áram, telekommunikációs és pénzügyi rendszerét) OROSZORSZÁG: legnagyobb múlt és tapasztalat (botnet építés és bérbeadás, vírusírás, klasszikus hekkelés) KÍNA: fős kiberhadsereg, kémkedések 96%-a mögött ők állnak (Coca Cola 2,4 Milliárd $-os Kínai terjeszkedési kísérlet meghiúsítása)

4 MSZ ISO/IEC 27001:2006 (EN ISO/IEC 27001:2005) SZABVÁNYNAK MEGFELELŐ INFORMÁCIÓBIZTONSÁGI IRÁNYÍTÁSI RENDSZER IBIR = Információ Biztonsági Irányítási Rendszer ISMS = Information Security Management System

5 EU - biztonsági direktíva tervezet:  vállalatot érint a tagországokban (kritikus szektorokban: energia, közlekedés, bankok, egészségügy, közigazgatási intézmények, internetes cégek)  kötelező biztonsági kockázatelemzés  incidensek bejelentése egy nemzeti hatóság felé (központi koordináció) Mo-i információbiztonsági törvény: (2013 március)  nemzeti elektronikus adat- és információs vagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága  1-től 5-ig biztonsági osztályba sorolás és biztonsági szint megállapítás (különböző védelmi előírások)  események jelentése a Nemzeti Elektronikus Információvédelmi Hatóság felé

6 AZ INFORMÁCIÓBIZTONSÁG FOGALMAI: Bizalmasság, annak biztosítása, hogy az információ csak az arra felhatalmazottak számára legyen elérhető. Sértetlenség (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése. Rendelkezésre állás, annak biztosítása, hogy a felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges.

7 PÉLDÁK SÚLYOS ÜZEMZAVART ELŐIDÉZŐ OKOKRA

8 AZ MSZ ISO/IEC 27001:2006 FELÉPÍTÉSE: 1.Alkalmazási terület 2.Rendelkező hivatkozások 3.Szakkifejezések és meghatározásuk 4.Az információbiztonság irányítási rendszere 5.A vezetőség felelőssége 6.Belső ISMS-auditok (ISMS=Information Security Management System) 7.Az ISMS vezetőségi átvizsgálása 8.Az ISMS fejlesztése A melléklet (előírás): Szabályozási célok és intézkedések B melléklet (tájékoztatás): Az OECD-irányelvek és e nemzetközi szabvány C melléklet (tájékoztatás): Kapcsolat az ISO 9001:2000, az ISO 14001:2004 és e nemzetközi szabvány között

9 4. AZ INFORMÁCIÓBIZTONSÁG IRÁNYÍTÁSI RENDSZERE : 4.1. Általános követelmények A szervezetnek létre kell hoznia, be kell vezetnie, működtetnie kell, figyelemmel kell kísérnie, át kell vizsgálnia, fenn kell tartania és folyamatosan fejlesztenie kell egy dokumentált ISMS-t összefüggésben a szervezet általános működési tevékenységével és kockázataival, amelyekkel szembenéz.

10 4.2. Az ISMS kialakítása és irányítása Az ISMS kialakítása: (alkalmazási területek meghatározása, ISMS szabályzat, kockázatok -azonosítása, -elemzése, -kezelése, szabályozási célok, maradványkockázatok jóváhagyása, alkalmazhatósági nyilatkozat) Az ISMS bevezetése és működtetése: (kockázatjavítási terv kidolgozása és bevezetése, célok elérésére intézkedések bevezetése, intézkedések hatékonyságának mérése, képzési és tudatosítási programok, gazdálkodás az ISMS erőforrásokkal) Az ISMS figyelemmel kísérése és átvizsgálása: (átvizsgálni: célok teljesülését, a biztonsági intézkedéseket, kockázatfelméréseket, maradványkockázatokat, elfogadható kockázati szintet, belső audit, vezetőségi átvizsgálás) Az ISMS fenntartása és fejlesztése: (változások bevezetése az ISMS- be, megelőző és helyesbítő beavatkozások, érdekelt felek tájékoztatása a változásokról) 4. AZ INFORMÁCIÓBIZTONSÁG IRÁNYÍTÁSI RENDSZERE :

11 4.3. A dokumentálás követelményei Az ISMS dokumentációja tartalmazza: Információbiztonsági szabályzatot és a szabályozási célokat; Az ISMS alkalmazási területét; Az ISMS-t támogató eljárásokat és intézkedéseket; Kockázatfelmérés módszertanának leírását; Kockázatfelmérési jelentést; Kockázatjavítási tervet; Bevezetett eljárások leírását; A szabvány által megkövetelt feljegyzéseket; Alkalmazhatósági nyilatkozatot. Dokumentumok és feljegyzések kezelésére dokumentált eljárást kell bevezetni. Dokumentum kibocsátás előtti jóváhagyás, frissítés utáni jóváhagyás, változás azonosítása, dokumentum azonosítás, rendelkezésre állás, dokumentum selejtezés 4. AZ INFORMÁCIÓBIZTONSÁG IRÁNYÍTÁSI RENDSZERE :

12 Dokumentumok ellenőrzése példa: fejléc/lábléc

13 5. A VEZETŐSÉG FELELŐSSÉGE 5.1. A vezetőség elkötelezettsége A vezetőség feladata és felelőssége a következők kialakítása: Információvédelmi szabályzat kialakítása Információvédelmi célok és tervek meghatározása Információvédelemért viselt feladat- és felelősségi körök Fontosság és elkötelezettség kommunikációja a dolgozók felé Erőforrás biztosítása az ISMS működtetéséhez, fejlesztéséhez Elfogadható kockázati szint meghatározása ISMS belső auditok elvégzésének biztosítása, és vezetőségi átvizsgálása 5.2 Erőforrás-gazdálkodás Szükséges erőforrások (ISMS kialakításhoz, bevezetéshez, működtetéshez, figyelemmel kíséréshez, átvizsgáláshoz, fenntartáshoz és fejlesztéshez) Képzés és tudatosság

14 Képzési karton példa:

15 6. BELSŐ ISMS-AUDITOK  Tervezett időszakonként le kell folytatni az ISMS belső felülvizsgálatát (belső auditját), amely igazolja: A megfelelést a szabványkövetelményeknek és jogszabályoknak; A megfelelést az információvédelmi követelményeknek; ISMS eredményes bevezetését, karbantartását; Az elvárásoknak megfelelő működést;  Belső auditról dokumentált eljárást kell kialakítani. Audit program: Auditálandó folyamat vagy terület állapota, fontossága Audit kritérium, terjedelem, gyakoriság Auditor kiválasztás (saját területet nem auditálhat) Belső auditról jelentés, feljegyzés

16 6. BELSŐ ISMS-AUDIT KÉRDÉSJEGYZÉK

17 7. Az ISMS vezetőségi átvizsgálása 7.1. Általános követelmények A vezetőségnek tervezett időszakonként át kell vizsgálnia az ISMS-ét, hogy biztosíthassa annak folyamatos alkalmasságát, megfelelőségét és eredményességét. Az eredményeket dokumentálni kell Az átvizsgálás bemenete Az ISMS auditjának és átvizsgálásainak eredményei Érdekelt felek visszajelzései Lehetséges, felhasználható technikák, termékek vagy eljárások Megelőző és helyesbítő tevékenységek helyzete Gyengepontok, fenyegetettségek Hatékonyság mérések eredményei (jelentett incidensek száma) Korábbi vezetőségi átvizsgálások eredményei Változások, amelyek hatással lehetnek az ISMS-re Fejlesztési javaslatok

18 7.3. Az átvizsgálás kimenete … tartalmazzon döntéseket, intézkedéseket a következőkkel kapcsolatban: Az ISMS eredményességének javítása; A kockázatkezelési terv frissítése; Információvédelmi eljárások módosítása; Az intézkedések hatékonyság-mérésének fejlesztése; Szerződéses kötelezettségek felülvizsgálata; Erőforrás-szükségletek. 7. Az ISMS vezetőségi átvizsgálása

19 8. Az ISMS fejlesztése 8.1. Folyamatos fejlesztés A vállalat folyamatosan javítsa az ISMS eredményességét … az információbiztonsági politika, a védelmi célok, a felülvizsgálati eredmények, a megfigyelt események elemzése, a helyesbítő és megelőző tevékenységek, a vezetőségi átvizsgálások használatán keresztül Helyesbítő tevékenység Dokumentált eljárást kell bevezetni intézkedések bevezetésére annak érdekében, hogy megelőzze bekövetkezett hibák, eltérések ismételt előfordulását Megelőző tevékenység Dokumentált eljárást kell bevezetni intézkedések bevezetésére annak érdekében, hogy megelőzze lehetséges hibák, eltérések ismételt előfordulását.

20 MEGELŐZŐ TEVÉKENYSÉG PÉLDA:

21 A5. Biztonsági szabályzat A6. Az információ-biztonság szervezete A7. Vagyontárgyak kezelése A8. Az emberi erőforrások biztonsága A9. Fizikai védelem és a környezet védelme A10. A kommunikáció és az üzemeltetés irányítása A11. Hozzáférés-ellenőrzés A12. Információs rendszerek beszerzése, fejlesztése és fenntartása A13. Információbiztonsági incidensek kezelése A14. Működés folytonosságának irányítása A15. Követelményeknek való megfelelés A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

22 A5. Biztonsági szabályzat A5.1. Információbiztonsági szabályzat Vezetésnek jóvá kell hagynia és rendszeresen ellenőrizni kell (vezetőségi átvizsgálás) A6. Az információbiztonság szervezete A6.1. Belső szervezet információbiztonsági vezető, katasztrófa menedzser, belső auditor, vagyontárgy gazdája, jogosultsági engedélyezési folyamat, titoktartási megállapodások A6.2. Külső ügyfelek Harmadik féllel kötött megállapodásokban információbiztonság tudatosítása A7. Vagyontárgyak kezelése A7.1. Felelősség a vagyontárgyakért Vagyonleltár, vagyontárgyak elfogadható használata A7.2. Információk osztályozása Értékük, érzékenységük, kritikusságuk (információs vagyonleltár ->A9) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

23 A8. Az emberi erőforrások biztonsága A8.1. Az alkalmazást megelőzően Feladat- és felelősségi körök, átvilágítás (végzettség, erkölcsi biz.), ISMS elfogadása (aláírás) A8.2. Az alkalmazás időtartama alatt Eljárások alkalmazása, oktatás és képzés, fegyelmi eljárás A8.3. Az alkalmazás megszűnése, illetve megváltozása Vagyontárgyak visszaszolgáltatása, hozzáférési jogok megszüntetése A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

24 A9. Fizikai védelem és a környezet védelme A9.1. Területek védelme, biztosítása - Fizikai biztonsági határzóna: határoló fal, kártyás beléptető rendszer, portaszolgálat, zárt irodák (Kiemelt, Védett, Nyilvános területek) (kulcs a zárban) - Külső és környezeti veszélyekkel szembeni védelem: tűzvész, áradás, földrengés, robbanás, polgári zavargás A9.2. Berendezések védelme Berendezések elhelyezése, közműszolgáltatások, kábelbiztonság, karbantartás, biztonságos selejtezés (adattörlés-felülírás!), kiviteli engedély (szerver szobában cső), (nyitott kapcsolószekrény a folyosón) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

25 A10. A kommunikáció és az üzemeltetés irányítása A10.1. Üzemeltetési eljárások és felelősségi körök Dokumentált üzemeltetési eljárások(mentés, karbantartás, adathordozók kezelése, postakezelés) változáskezelés (biztonsági hatásvizsgálat, változás jóváhagyása, publikálása) A10.2. Harmadik fél szolgáltatásnyújtásának irányítása Biztonsági intézkedések kiterjesztése, (felügyelt munkavégzés), beszállítói audit A10.3. Rendszertervezés és elfogadás Kapacitásmenedzsment (szűk keresztmetszetek, törzsállománytól való függés), elfogadás előtti teszt (bizonyíték, hogy az új rendszer nem befolyásolja hátrányosan a meglévő rendszert) A10.4. Védelem a rosszindulatú és a mobil kódok ellen Észlelési, megelőzési, helyreállítási intézkedések (pl BCP-ben), tudatosító eljárások (oktatás) A10.5. Biztonsági mentés Eljárás a mentésre (rendszeres mentés, rendszeres visszaállítási tesztek, páncél szekrény, másik épületben tárolás stb) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

26 A10.6. Hálózatbiztonság kezelése Hitelesítés (pl: eduroam), korlátozott hozzáférés, wifi titkosítás, hálózati forgalom naplózás A10.7. Adathordozók kezelése Az eltávolítható adathordozók (tiltása) kezelésére eljárás készítése, körültekintő selejtezés A10.8. Információcsere Fizikai adathordozók szállítása, elektronikus üzenetek küldése/fogadása (titkosított csatornán SSL), mellékletek szűrése, vírusirtó szűrés, VoIP beszélgetések rögzítése, központi nyomtatóra, faxra bizalmas dokumentum küldés A10.9. Elektronikus kereskedelmi szolgáltatások Nyilvános hálózaton áthaladó információk megóvása (nyílt wifi netbank), nyilvánosan hozzáférhető információk módosítástól való védelme A Figyelemmel követés (monitoring) Felhasználói tevékenység naplózása, adminisztrátori tevékenység naplózása, naplóinformációk védelme!!!, hibák naplózása, órajelek szinkronizálása (naplózás nélkül -> működés felfüggesztés) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

27 A11. Hozzáférés-ellenőrzés A11.1. A hozzáférés-ellenőrzéshez fűződő működési követelmény Hozzáférés-ellenőrzési szabályzat, a hozzáférésre vonatkozó működési és biztonsági követelmények alapján (a legkisebb jogosultság elvének alkalmazása). A11.2. Felhasználói hozzáférések irányítása Felhasználók regisztrálása (UID), jelszavak kezelése (ideiglenes jelszó, kötelező váltás, felhasználó változtathasson, utolsó 5 jelszó tiltása stb), felhasználói jogosultságok rendszeres átvizsgálása (munkakör változás) A11.3. Felhasználói felelősségek Jelszóhasználat: nyilatkozat személyes jelszavak bizalmas kezeléséről (sárga cetlik a monitoron ), őrizetlenül hagyott berendezések, „Tiszta asztal, tiszta képernyő” szabályzata A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

28 A11.4. Hálózati szintű hozzáférés-ellenőrzés Csak ahhoz a szolgáltatáshoz férjen hozzá a felhasználó, amihez jogosultsága van, felhasználó hitelesítése külső csatlakozás esetén is, berendezések azonosítása a hálózaton(MAC szűrés), távdiagnosztikai és konfigurációs portok védelme A11.5. Operációs rendszer szintű hozzáférés-ellenőrzés Felhasználó azonosítása és hitelesítése (egyedi UID), jelszókezelő rendszer (rendszeres jelszó csere, jó minőségű jelszavak kényszerítése), kapcsolati idő túllépés (inaktivitás), összeköttetés idejének korlátozása (munkaidő korlát) A11.6. Alkalmazás és információ szintű hozzáférés-ellenőrzés Alkalmazásokhoz való hozzáférés korlátozása (pl: 5 user 1 pswd használat ), érzékeny rendszerek elkülönítése (pl: gazdasági adatok külön VLAN) A11.7. Mobil számítógép használata és távmunka Mobil számítógépen tárolt adatok védelme (titkosítása), távmunka (pl: VPN) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

29 A12. Információs rendszerek beszerzése, fejlesztése és fenntartása A12.1. Információs rendszerek biztonsági követelményei Védelem beépítésének biztosítása az információs rendszerekbe A12.2. Helyes információfeldolgozás az alkalmazásokban Bemenő adatok ellenőrzése, feldolgozás ellenőrzése, kimenő adatok ellenőrzése A12.3. Titkosítási intézkedések Az információ védelme titkosítási eszközökkel (kriptográfiai technikák, kulcskezelés) A12.4. Rendszerfájlok biztonsága Szoftverek ellenőrzése üzemelő rendszerre való telepítés előtt, forráskódok védelme A12.5. Biztonság a fejlesztési és támogató folyamatokban Amikor üzemelő rendszerben történik változás, a szervezet működése szempontjából kritikus alkalmazásokat át kell vizsgálni. A12.6. Műszaki sebezhetőség kezelése A nyilvánosságra került műszaki sebezhetőségek kiaknázásából származó kockázatok csökkentése (biztonsági rések - update) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

30 A13. Információbiztonsági incidensek kezelése A13.1. Információbiztonsági események és gyengeségek jelentése Információbiztonsági események jelentése (vezetői csatornákon keresztül), biztonsági gyenge pontok jelentése (észlelt vagy feltételezett gyenge pontok kötelező jelentése) A13.2. Információbiztonsági incidensek és javító fejlesztések kezelése Vezetői felelősségek rögzítése, tanulságok levonása az incidensből, bizonyítékok gyűjtése, megőrzése, bemutatása A14. Működés folytonosságának irányítása A14.1. A működés folytonossága irányításának információ- biztonsági szempontjai Működésfolytonossági tervek (BCP) kidolgozása és megvalósítása, rendszeres felülvizsgálata A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

31 A15. Követelményeknek való megfelelés A15.1. Jogi követelményeknek való megfelelés Alkalmazandó jogszabályok, szellemi tulajdonjogok, adatvédelem és személyes adatok bizalmassága, információ feldolgozó eszközökkel való visszaélések megelőzése A15.2. Biztonsági szabályzatnak és szabványoknak való megfelelés, és műszaki megfelelőség Megfelelés a biztonsági szabályzatnak és a szabványoknak, műszaki megfelelés ellenőrzése (manuális/automatizált műszaki jelentés), behatolási vizsgálat vagy sebezhetőségi felérés A15.3. Információs rendszerek auditálásának szempontjai Auditálási intézkedések (audit ne zavarja a működést, csak olvasási jog, területtől független belső auditor), auditálási eszközök védelme (auditálási eszközök leválasztása a fejlesztési és üzemeltetési rendszerektől) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

32 Előadás összefoglalása  Információbiztonság alapfogalmai: Bizalmasság, sértetlenség, rendelkezésre állás  Példák súlyos üzemzavart előidéző okokra  ISMS tervezése, bevezetése működtetése, ellenőrzése, szabályozása, fejlesztése  Melléklet: Szabályozási célok és intézkedések

33 A MUNKAHELYI EGÉSZSÉGVÉDELEM ÉS BIZTONSÁG IRÁNYÍTÁSI RENDSZERE MEBIR MSZ ISO 28001:2008

34 MEBIR ELŐZMÉNY A munkavédelemről szóló évi XCIII. törvényben jelenik meg erőteljesen. A munkavédelem alapvető célja:  a munkavállalók egészségének és munkavégző képességének a megóvása  a munkakörülmények humanizálása  a munkabalesetek megelőzése  a foglalkozással összefüggő megbetegedések megelőzése A munkabalesetek és a munkához kapcsolódó egészségügyi veszélyek megelőzése a munkáltatók, a munkavállalók és az állam közös érdeke, de alapvetően a munkáltató feladata, illetve kötelessége.

35

36

37

38

39

40 MEBIR MODELL Folyamatos fejlesztés MEB-politika Tervezés Bevezetés és működtetés Ellenőrzés Vezetőségi átvizsgálás

41 „A szervezet alakítson ki, dokumentáljon, vezessen be, tartson fenn és folyamatosan fejlesszen egy MEB irányítási rendszert.” A szervezet határozza meg és dokumentálja a MEB irányítási rendszerének alkalmazási területét. MEBIR ÁLTALÁNOS KÖVETELMÉNYEK

42 A felső vezetőség határozza meg és hagyja jóvá a szervezet MEB-politikáját :  tartalmazza a sérülések és az egészségkárosodás megelőzése, továbbá a MEB-irányítás és a MEB működés folyamatos fejlesztése iránti elkötelezettséget;  tartalmazza legalább a mindenkori alkalmazandó jogszabályi követelmények teljesítése iránti elkötelezettséget;  megadja a MEB-célok kitűzésének és átvizsgálásának keretét;  dokumentált, bevezetett és szinten tartott legyen;  legyen ismert, álljon rendelkezésre, kerüljön felülvizsgálatra MEBIR POLITIKA

43 A veszélyazonosítás, a kockázatértékelés és a kockázat kézben tartásának tervezése. A veszélyazonosítás, a kockázatértékelés és a kockázat kézben tartásának tervezése során a szervezetnek meg kell felelnie a hatályos jogszabályi előírásoknak és követelményeknek, amelyek nem mondanak ellent az MSZ 28001:2008-nak. TERVEZÉS

44 A veszélyazonosítási és kockázatértékelési eljárás(ok)nak figyelembe kell venniük:  a rutin- és a nem rutintevékenységeket;  a munkahelyen előforduló összes személy tevékenységét (beleértve az alvállalkozókat és látogatókat is);  a munkaterületek, a folyamatok, üzembe helyezések, a gépek/berendezések, a működtetési eljárások és a munkaszervezés megtervezését, beleértve ezek hozzáigazítását az emberi képességekhez.  a MEBIR módosításait, beleértve az ideigleneseket is, és azok hatásait a működésre, a folyamatokra és a tevékenységre; TERVEZÉS

45 A szabályozások meghatározásakor vagy a meglévő szabályozások változtatásának mérlegelésekor a kockázatok csökkentését úgy kell megfontolni, hogy a következő hierarchia érvényesüljön:  megszüntetés;  helyettesítés;  műszaki szabályozások;  jelzések/figyelmeztetések és/vagy igazgatási szabályozások;  személyi védőeszközök. TERVEZÉS

46  Releváns jogszabályok meghatározása  A szervezetnek ezt az információt folyamatosan naprakész állapotban kell tartania.  A szervezetnek a felügyelete alatt munkát végző személyeket és más érdekelt feleket a jogszabályokról és egyéb követelményekről tájékoztatnia kell. JOGI ÉS EGYÉB KÖVETELMÉNYEK

47 A szervezet hozzon létre, vezessen be és tartson fenn programo(ka)t céljainak eléréséhez. A program(ok) legalább a következőket tartalmazza(ák):  a célok eléréséhez a felelősségi és hatáskörök meghatározását a szervezet érintett tevékenységeihez és szintjeihez; és  azokat az eszközöket és időbeli kereteket, amelyekkel ezeket el kell érni. A programo(ka)t rendszeres és tervezett időközönként át kell vizsgálni és ha szükséges, megfelelően ki kell egészíteni, hogy biztosítsák a célok elérését. CÉLOK ÉS PROGRAMOK

48 Erőforrások, feladatok, felelősségi kör, számonkérhetőség és hatáskör  szükséges a szerepek, a felelősségi körök és a hatáskörök meghatározása, dokumentálása és közlése  a vezetőség képviselőjének kinevezése Felkészültség, képzés és tudatosság A szervezet biztosítsa, hogy minden személy, aki a szervezet megbízása alapján olyan feladatokat lát el, amelyek jelentős hatást gyakorolnak a MEB-re, legyen felkészült megfelelő oktatás, képzés vagy tapasztalat alapján, és erről őrizzenek meg feljegyzéseket. BEVEZETÉS ÉS MŰKÖDTETÉS

49 Kommunikáció, részvétel és konzultáció  belső kommunikáció a szervezet különböző szintjei és tevékenységei között;  alvállalkozókkal és a munkahelyre látogatókkal való kommunikáció  külső érdekelt felektől érkező lényeges információk  munkatársak részvétele (veszélyazonosításba, események kivizsgálásába, politika és célok kialakításába, képviselet MEBIR-ben) A dokumentumok kezelése BEVEZETÉS ÉS MŰKÖDTETÉS

50 Dokumentáció A MEBIR dokumentációjának tartalmaznia kell a következőket:  a MEB-politikát és -célokat;  a MEBIR alkalmazási területének leírását;  a MEBIR fő elemeinek és ezek kölcsönhatásainak leírását és hivatkozásokat a kapcsolódó dokumentumokra,  a feljegyzéseket, utasításokat, eljárásokat BEVEZETÉS ÉS MŰKÖDTETÉS

51 A dokumentumok kezelése A szervezet hozzon létre, vezessen be és tartson fenn eljárás(oka)t:  jóváhagyás kiadás előtt;  naprakésszé tétel és újbóli jóváhagyás;  érvényes kiadási állapot azonosítása;  rendelkezésre állás;  elavult dokumentumok kivonása BEVEZETÉS ÉS MŰKÖDTETÉS

52 A működés szabályozása A szervezetnek meg kell határoznia azokat a műveleteket és tevékenységeket, amelyek összefüggésbe hozhatók az azonosított veszély(ekk)el, és amelyekre a MEB-kockázat(ok) kezelése érdekében szabályozást szükséges bevezetni. BEVEZETÉS ÉS MŰKÖDTETÉS

53 Felkészültség és reagálás a vészhelyzetre A szervezetnek létre kell hoznia, be kell vezetnie és fenn kell tartania eljárásokat  a lehetséges vészhelyzetek felismerésére;  az ilyen vészhelyzetekre való reagálásra. A szervezetnek időszakonként ki is kell próbálnia a vészhelyzetekre reagálás eljárása(i)t, ha ez megvalósítható szükség szerint, bevonva az érdekelt feleket is. BEVEZETÉS ÉS MŰKÖDTETÉS

54 A teljesítmény mérése és figyelemmel kísérése  megvalósul-e a MEB politika, és teljesülnek-e a MEB célok,  bevezették-e a kockázatértékelés módszereit, és eredményesen működnek-e,  levonták-e a következtetéseket a MEBIR hibáiból, beleértve a veszélyes eseményeket (baleseteket, majdnem baleseteket és megbetegedéseket),  eredményesek-e a munkavállalók és az érdekelt felek számára szervezett tudatosítási, képzési, kapcsolattartási és tanácskozási programok,  kidolgozták-e a MEBIR átvizsgálására és/vagy fejlesztésére alkalmas információt és használják-e azt. ELLENŐRZÉS

55 Az események kivizsgálása, nem megfelelőség, helyesbítő tevékenység és megelőző tevékenység  alapvető MEB hiányosságok,  helyesbítő megelőző tevékenységek lehetősége,  folyamatos fejlesztés lehetősége,  kivizsgálások eredményei, Audit MEBIR eredményességének vizsgálata ELLENŐRZÉS

56 A felső vezetőség vizsgálja át a MEBIR működését annak értékelésére, hogy a rendszer bevezetése teljeskörű-e és megfelelő marad-e a kinyilatkoztatott MEB politika és MEB célok eléréséhez. Az átvizsgálásokat a felső vezetőség rendszeresen (évente legalább egyszer) végezze el VEZETŐSÉGI ÁTVIZSGÁLÁS

57 Bemenő adatok:  baleseti statisztikákat,  a belső és külső MEBIR auditok eredményeit,  az előző átvizsgálás óta a rendszerben végrehajtott helyesbítő intézkedéseket,  a (tényleges vagy a gyakorlat céljaira utánzott) vészhelyzetekről készült jelentéseket,  a vezetés megbízottjának jelentését a rendszer általános működéséről,  a munkahelyi vezetők jelentéseit a rendszer helyi eredményességéről,  jelentéseket a veszélyazonosítás, a kockázatértékelés és a kockázat kézben tartásának folyamatairól. VEZETŐSÉGI ÁTVIZSGÁLÁS

58  Kockázatértékelés (pl építkezés helyszínenként, telephelyenként)  Vészhelyzeti tervek (tűz, robbanás, leesés, )  Vészhelyzeti tervek oktatása, tesztelése (tűzriadó)  Építkezés kivitelezésén: védősisak, láthatósági mellény, állványzat védőkorláttal (bizonyítvánnyal)  Termelő szervezetnél: kesztyű, védő szemüveg, zajvédő, porvédő GYAKORLATI PÉLDÁK

59

60

61 Előadás összefoglalása  A MEBIR szabvány felépítése  A MEBIR működési szabályozása  Az integrált menedzsment rendszerek összetevői.

62 ÉLELMISZER-BIZTONSÁG HACCP (Hazard Analysis Critical Control Points - veszélyelemzés és kritikus ellenőrzőpontok)

63 A HACCP az angol Hazard Analysis Critical Control Points névből képzett mozaikszó. A magyar megfelelője a Veszélyelemzés, kritikus szabályozási pontok. A HACCP az élelmiszerek előállításával, fogyasztásra való elkészítésével kapcsolatos tudományos és gyakorlati ismeretekre épülő módszeres megközelítés, amely a nyersanyag előállítástól a fogyasztóig az élelmiszerlánc minden eleméhez, műveletéhez meghatározza a hozzá tartozó veszélyeket és a megelőzésükre szolgáló szabályozó módszereket, valamint azokat a pontokat, ahol a szabályozás segítségével a veszélyek kiküszöbölhetők – ezek a kritikus szabályozási pontok. A HACCP RENDSZER BEMUTATÁSA

64 A HACCP rendszer a veszélyek keletkezésével, megelőzésével és kiküszöbölésével oly módon foglalkozik, hogy egyedileg – termékenként illetve folyamatonként – vizsgálja meg a technológiát és a feldolgozás körülményeit. Így tehát az adott termékre, technológiára vonatkozó egyedi biztonsági tervnek mondható, ezáltal az élelmiszerbiztonság elérésének és a fogyasztók védelmének leghatékonyabb eszköze. A HACCP RENDSZER BEMUTATÁSA

65 A HACCP minden olyan tényezőt figyelembe vesz, amely az adott élelmiszer-előállítási folyamatban befolyásolhatja a produktum minőségét, biztonságát. A HACCP rendszer a termék biztonságát a termék tulajdonságainak, a technológiai folyamat alapjainak ismeretében oly módon tervezi meg, hogy a tudományos és technológiai ismeretek fejlődésével napvilágra kerülő újabb veszélyek, illetve a kifejlesztésre kerülő új módszerek is folyamatosan beépíthetők a rendszerbe. A HACCP RENDSZER BEMUTATÁSA

66 1.Veszélyelemzés végzése 2.A Kritikus Szabályozási Pontok (CCP-k) meghatározása 3.A kritikus határérték(ek) meghatározása 4.A CCP szabályozását felügyelő rendszer felállítása 5.A helyesbítő tevékenységek meghatározása 6.Az igazolásra szolgáló eljárások megállapítása annak megerősítésére, hogy a HACCP rendszer hatékonyan működik 7.Dokumentáció létrehozása, amely tartalmaz ezen alapelvekhez és alkalmazásukhoz tartozó minden eljárást és nyilvántartást A HACCP 7 ALAPELVE

67 A HACCP rendszer keretrendszerként is működik. Kialakításának eredményeként magába integrálja, így kielégíti: - a jogszabályi előírásokat, melyek a társadalmi elvárásokat is közvetítik, - a termelés számára a megfelelő munkaerőt, - a megfelelő anyagfelhasználást, - a megfelelő technológiát, - a megfelelő berendezéseket és eszközöket, - a megfelelő mérési módszereket, A HACCP INTEGRÁLÓ SZEREPE

68

69 A HACCP az utólagos ellenőrzés helyett a hibák megelőzését segíti elő. A rendszer természetesen nem tudja teljesen kizárni a hibákat, de jelentősen tudja csökkenteni előfordulásuk gyakoriságát. Módszeres és dokumentált elemzés, amely az előírásokat a kritikus pontokra irányítja. A rendszer alkalmazása növeli az élelmiszer- biztonságot és a megbízhatóságot. A HACCP ALKALMAZÁSÁNAK ELŐNYEI

70 - Felhívja a figyelmet, hogy mely területeken van szükség további javításra, fejlesztésre. - csökkenti a veszteségeket, elősegíti a költségtakarékos szabályozásokat. - Alkalmas a jogi védelemre, a kötelező gondosság bizonyítására vitás esetekben. -A jól működtetett és dokumentált rendszer bizonyítja azt, hogy a gyártó minden elvárhatót megtett a biztonság érdekében, a mégis bekövetkező baj forrását és felelősét máshol kell keresni (pl. beszállítók, forgalmazók). - Alapul szolgál az ISO 9000 szerinti rendszerhez. - Javítja a folyamatok ellenőrzését és szabályozását a kitűzött minőségi előírások érdekében, valamint növeli a vevők bizalmát a vállalat és termékei iránt. A HACCP ALKALMAZÁSÁNAK ELŐNYEI

71 Élelmiszer biztonság: Az élelmiszer olyan állapota, amelyben a fizikai, kémiai, biológiai veszély vagy károsodás bekövetkezésének valószínűségét egy elfogadható szint alatt korlátozzák. Az élelmiszer biztonság a minőség legfontosabb eleme. Érvényesítés (validálás): Bizonyítékok gyűjtése arra vonatkozóan, hogy a HACCP- terv elemei hatékonyak. A HACCP FOGALOMRENDSZERE

72 Feljegyzés: Olyan dokumentum, amely tevékenységekről vagy elért eredményekről objektív bizonyítékot szolgáltat. Felügyelet: Megfigyelések vagy mérések tervezett sorozatának végzésére irányuló tevékenység, annak megállapítására, hogy a CCP szabályozás alatt áll. A HACCP FOGALOMRENDSZERE

73 GHP (Good Hygiene Practice) - Jó Higiéniai Gyakorlat: Mindazon higiéniai eljárások, szabályozások összessége, amelyek az élelmiszer-biztonság és az élelmiszer egészséges-tápláló jellegének biztosításához szükségesek, az elsődleges (agrár) termelés, begyűjtés, beszállítás, feldolgozás, termelés, forgalmazás, szolgáltatás valamennyi szakaszában. A HACCP FOGALOMRENDSZERE

74 GMP (Good Manufacturing Practice) - Jó Gyártási Gyakorlat: Mindazon technológiai, szervezési, műszaki eljárások, amelyek elvégzését a szakma képviselői a tudományos, gazdasági ismeretek alapján szükségesnek tartanak arra, hogy a vevők által megkövetelt egyenletes minőségű, biztonságos terméket állítsanak elő. A HACCP FOGALOMRENDSZERE

75 Helyesbítő tevékenység: Bármely olyan intézkedés, amelyet akkor kell megtenni, ha kritikus szabályozási pont (CCP) felügyelete a szabályozottság csökkenését, elvesztését jelzi. Igazolás (verifikálás): A felügyelettől eltérő módszerek, eljárások, vizsgálatok és más értékelések alkalmazása, a HACCP- tervnek való megfelelés megállapítására. A HACCP FOGALOMRENDSZERE

76 Kritikus határérték: Olyan előírás, amely elválasztja az elfogadhatóságot a nem elfogadhatóságtól. Kritikus Szabályozási Pont: Olyan pont, amelynél szabályozást lehet alkalmazni és az lényeges valamely élelmiszer-biztonsági veszély megelőzéséhez, kiküszöböléséhez vagy elfogadható szintre csökkentéséhez. A HACCP FOGALOMRENDSZERE

77 Megfelelőségi felülvizsgálat: A CCP-k megfelelőségének rendszeres és független belső vizsgálata, a veszélyek helyes azonosítása érdekében. Minősítés: Folyamat annak igazolására, hogy a szervezet képes az előírt követelmények teljesítésére. Nem megfelelőség: Valamely előírt követelmény nem teljesülése. Nyomon követhetőség: Az a lehetőség, hogy a termék, illetve a termék összetevőinek előélete, alkalmazása vagy elhelyezése megállapítható a feljegyzett azonosító adatok segítségével. A HACCP FOGALOMRENDSZERE

78 Rendszer felülvizsgálat (önellenőrzés): Rendszeres és független belső vizsgálat annak meghatározására, hogy a HACCP tevékenységek, illetve ezek eredményei megfelelnek-e a tervezett intézkedéseknek, ezeket az intézkedéseket hatékonyan és dokumentált módon bevezették-e, valamint az intézkedések alkalmasak-e a célok elérésére. A HACCP FOGALOMRENDSZERE

79 Szabályozó intézkedés: Bármely olyan intézkedés és tevékenység, amelyet egy élelmiszer-biztonsági veszély megelőzésére, kiküszöbölésére vagy elfogadható szintre csökkentésére lehet használni. Utasítás: A minőségügyi feladatok és azok végrehajtási módszerének leírását tartalmazó dokumentum. Veszély: Az élelmiszerben előforduló biológiai, kémiai vagy fizikai hatású anyag, vagy az élelmiszer olyan állapota, amely káros egészségügyi hatást okozhat. A HACCP FOGALOMRENDSZERE

80  A HACCP rendszer legfontosabb fogalmai.  A HACCP rendszer elemei.  A HACCP alkalmazásának előnyei. Előadás összefoglalása

81 KÖSZÖNÖM A FIGYELMET Következő előadás címe: Teljes körű minőségmenedzsment (TQM) Következő előadás megértéséhez ajánlott ismeretek kulcsszavai: teljes elkötelezettség, vevőközpontúság, folyamatok folyamatos javítása


Letölteni ppt "Minőségügy alapjai 4. Konzultációs rend  Információbiztonsági Irányítási Rendszer (IBIR)  Munkahelyi egészségvédelem és biztonság irányítási rendszere."

Hasonló előadás


Google Hirdetések