Minőségügy alapjai 4. Konzultációs rend  Információbiztonsági Irányítási Rendszer (IBIR)  Munkahelyi egészségvédelem és biztonság irányítási rendszere.

Slides:



Advertisements
Hasonló előadás
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Advertisements

PTE PMMK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 4. ELŐADÁS.
Humán rendszerek, közszféra
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.
DOKUMENTUMKEZELÉS.
Validálás & verifikálás
Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország
MinőségIrányítási Rendszer (MIR) elektronikus dokumentációjához
Minőségirányítás a felsőoktatásban
Munkavédelmi előírások rendszere
Állam munkavédelmi feladatai
Előadó: Bellovicz Gyula igazságügyi szakértő
HACCP-előírások, alapvető higiéniai követelmények a vendéglátó üzletekben. Szoboszlai Gyula.
1 Gazdaság és környezet Előadó: Nagy Tamás. 2 Általános környezetvédelmi kérdések a vállalatoknál A gazdasági, piaci és környezeti körülmények miatt egyre.
A HACCP rendszer és alkalmazása
Szoftverminőség biztosítása A minőségirányítási kézikönyv
A belső kontroll rendszer hatékony működtetése
Európai M u n k a h e l y i Biztonsági és Egészségvédelmi Ügynökség Kockázatértékelés - feladatok és felelősségek.
A MINŐSÉGIRÁNYÍTÁSI RENDSZER
Környezetközpontú irányítása rendszerek MSZ14001.
Munkahelyi egészség és biztonság
7. hét: Az EN ISO 14001:2005 KIR szabvány
HEFOP hét: az ISO 9001:2008-es szabványnak megfelelő minőségirányítási rendszer II. rész A diákhoz itt kellene beszúrni a tanári magyarázatokat.
8. hét: A munkahelyi egészségvédelem és
10. hét: A HACCP rendszer, mint egy ágazati rendszer
9. hét: A munkahelyi egészségvédelem és
3. hét: az ISO 9001:2008-es szabványnak megfelelő
SOX audit lépései, elvárások a CIO-val szemben
Ipari katasztrófáknyomában 6. előadás1 Mélységi védelem Célok: Eszközök meghibásodása és emberi hibák esetén bekövetkező meghibásodások kompenzálása A.
Előadó: Bellovicz Gyula igazságügyi szakértő
MUNKAVÉDELEM 2006/2007. tanév II. félév MEBIR. Munkahelyi egészségvédelem és biztonság MEB Feltételek, és tényezők, amelyek hatással vannak a munkavállalók,
Készítette: Szirmai István
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Minőségbiztosítási ismeretek
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Környezeti elemek védelme II. Talajvédelem KÖRNYEZETGAZDÁLKODÁSI MÉRNÖKI MSc TERMÉSZETVÉDELMI MÉRNÖKI MSc Gazdálkodási modul Gazdaságtudományi ismeretek.
Mit láthatunk a honlapon? Az előző ISO 9001 szabvány szerint kiadott tanúsítványok (várhatóan) az új ISO 9001 szabvány kiadását követő 24 hónapig.
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Stipkovits István ISZ auditor SGS Hungária Kft.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
HACCP rendszer.
avagy a zártság dilemmái
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
PTE PMMIK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 5. ELŐADÁS.
Munkára képes állapot ellenőrzésének anomáliája a munkahelyen Poór László ügyvezető.
KÖRNYEZETKÖZPONTÚ IRÁYÍTÁSI RENDSZER KIR=EMS MSZ EN ISO 14001: HEFOP Minőségügy alapjai 3.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
A MINŐSÉGIRÁNYÍTÁSI RENDSZERT TÁMOGATÓ SZOFTVEREK FELADATAI Adatbázisok Word dokumentumok PDF dokumentumok HTML dokumentumok Szövegszerkesztés Szövegszerkesztés.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
ISO/IEC Software Asset Management szabvány
Az ISO 9001 jelenlegi helyzete
Szenzor Gazdaságmérnöki Kft.
8. hét: A munkahelyi egészségvédelem és
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
3. hét: az ISO 9001:2008-es szabványnak megfelelő
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
MUNKAVÉDELMI ELLENŐRZÉS ZÖKKENŐMENTESEN? munkabiztonsági szakmérnök
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Az SZMBK Intézményi Modell
Előadás másolata:

Minőségügy alapjai 4. Konzultációs rend  Információbiztonsági Irányítási Rendszer (IBIR)  Munkahelyi egészségvédelem és biztonság irányítási rendszere (MEBIR)  Hazard Analysis Critical Control Points (HACCP) – Veszélyelemzés és kritikus ellenőrzőpontok

INFORMÁCIÓBIZTONSÁG

(több mint 900 millió ismert sérülékenység) KIBERHADSEREGEK USA: 4,7 Milliárd $/év kibervédelemre (egy szimuláció során egy 20 fős hekkercsoport - egy lopakodó gép árának 10-edéért (50 millió $) - kiütötte az USA áram, telekommunikációs és pénzügyi rendszerét) OROSZORSZÁG: legnagyobb múlt és tapasztalat (botnet építés és bérbeadás, vírusírás, klasszikus hekkelés) KÍNA: fős kiberhadsereg, kémkedések 96%-a mögött ők állnak (Coca Cola 2,4 Milliárd $-os Kínai terjeszkedési kísérlet meghiúsítása)

MSZ ISO/IEC 27001:2006 (EN ISO/IEC 27001:2005) SZABVÁNYNAK MEGFELELŐ INFORMÁCIÓBIZTONSÁGI IRÁNYÍTÁSI RENDSZER IBIR = Információ Biztonsági Irányítási Rendszer ISMS = Information Security Management System

EU - biztonsági direktíva tervezet:  vállalatot érint a tagországokban (kritikus szektorokban: energia, közlekedés, bankok, egészségügy, közigazgatási intézmények, internetes cégek)  kötelező biztonsági kockázatelemzés  incidensek bejelentése egy nemzeti hatóság felé (központi koordináció) Mo-i információbiztonsági törvény: (2013 március)  nemzeti elektronikus adat- és információs vagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága  1-től 5-ig biztonsági osztályba sorolás és biztonsági szint megállapítás (különböző védelmi előírások)  események jelentése a Nemzeti Elektronikus Információvédelmi Hatóság felé

AZ INFORMÁCIÓBIZTONSÁG FOGALMAI: Bizalmasság, annak biztosítása, hogy az információ csak az arra felhatalmazottak számára legyen elérhető. Sértetlenség (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése. Rendelkezésre állás, annak biztosítása, hogy a felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges.

PÉLDÁK SÚLYOS ÜZEMZAVART ELŐIDÉZŐ OKOKRA

AZ MSZ ISO/IEC 27001:2006 FELÉPÍTÉSE: 1.Alkalmazási terület 2.Rendelkező hivatkozások 3.Szakkifejezések és meghatározásuk 4.Az információbiztonság irányítási rendszere 5.A vezetőség felelőssége 6.Belső ISMS-auditok (ISMS=Information Security Management System) 7.Az ISMS vezetőségi átvizsgálása 8.Az ISMS fejlesztése A melléklet (előírás): Szabályozási célok és intézkedések B melléklet (tájékoztatás): Az OECD-irányelvek és e nemzetközi szabvány C melléklet (tájékoztatás): Kapcsolat az ISO 9001:2000, az ISO 14001:2004 és e nemzetközi szabvány között

4. AZ INFORMÁCIÓBIZTONSÁG IRÁNYÍTÁSI RENDSZERE : 4.1. Általános követelmények A szervezetnek létre kell hoznia, be kell vezetnie, működtetnie kell, figyelemmel kell kísérnie, át kell vizsgálnia, fenn kell tartania és folyamatosan fejlesztenie kell egy dokumentált ISMS-t összefüggésben a szervezet általános működési tevékenységével és kockázataival, amelyekkel szembenéz.

4.2. Az ISMS kialakítása és irányítása Az ISMS kialakítása: (alkalmazási területek meghatározása, ISMS szabályzat, kockázatok -azonosítása, -elemzése, -kezelése, szabályozási célok, maradványkockázatok jóváhagyása, alkalmazhatósági nyilatkozat) Az ISMS bevezetése és működtetése: (kockázatjavítási terv kidolgozása és bevezetése, célok elérésére intézkedések bevezetése, intézkedések hatékonyságának mérése, képzési és tudatosítási programok, gazdálkodás az ISMS erőforrásokkal) Az ISMS figyelemmel kísérése és átvizsgálása: (átvizsgálni: célok teljesülését, a biztonsági intézkedéseket, kockázatfelméréseket, maradványkockázatokat, elfogadható kockázati szintet, belső audit, vezetőségi átvizsgálás) Az ISMS fenntartása és fejlesztése: (változások bevezetése az ISMS- be, megelőző és helyesbítő beavatkozások, érdekelt felek tájékoztatása a változásokról) 4. AZ INFORMÁCIÓBIZTONSÁG IRÁNYÍTÁSI RENDSZERE :

4.3. A dokumentálás követelményei Az ISMS dokumentációja tartalmazza: Információbiztonsági szabályzatot és a szabályozási célokat; Az ISMS alkalmazási területét; Az ISMS-t támogató eljárásokat és intézkedéseket; Kockázatfelmérés módszertanának leírását; Kockázatfelmérési jelentést; Kockázatjavítási tervet; Bevezetett eljárások leírását; A szabvány által megkövetelt feljegyzéseket; Alkalmazhatósági nyilatkozatot. Dokumentumok és feljegyzések kezelésére dokumentált eljárást kell bevezetni. Dokumentum kibocsátás előtti jóváhagyás, frissítés utáni jóváhagyás, változás azonosítása, dokumentum azonosítás, rendelkezésre állás, dokumentum selejtezés 4. AZ INFORMÁCIÓBIZTONSÁG IRÁNYÍTÁSI RENDSZERE :

Dokumentumok ellenőrzése példa: fejléc/lábléc

5. A VEZETŐSÉG FELELŐSSÉGE 5.1. A vezetőség elkötelezettsége A vezetőség feladata és felelőssége a következők kialakítása: Információvédelmi szabályzat kialakítása Információvédelmi célok és tervek meghatározása Információvédelemért viselt feladat- és felelősségi körök Fontosság és elkötelezettség kommunikációja a dolgozók felé Erőforrás biztosítása az ISMS működtetéséhez, fejlesztéséhez Elfogadható kockázati szint meghatározása ISMS belső auditok elvégzésének biztosítása, és vezetőségi átvizsgálása 5.2 Erőforrás-gazdálkodás Szükséges erőforrások (ISMS kialakításhoz, bevezetéshez, működtetéshez, figyelemmel kíséréshez, átvizsgáláshoz, fenntartáshoz és fejlesztéshez) Képzés és tudatosság

Képzési karton példa:

6. BELSŐ ISMS-AUDITOK  Tervezett időszakonként le kell folytatni az ISMS belső felülvizsgálatát (belső auditját), amely igazolja: A megfelelést a szabványkövetelményeknek és jogszabályoknak; A megfelelést az információvédelmi követelményeknek; ISMS eredményes bevezetését, karbantartását; Az elvárásoknak megfelelő működést;  Belső auditról dokumentált eljárást kell kialakítani. Audit program: Auditálandó folyamat vagy terület állapota, fontossága Audit kritérium, terjedelem, gyakoriság Auditor kiválasztás (saját területet nem auditálhat) Belső auditról jelentés, feljegyzés

6. BELSŐ ISMS-AUDIT KÉRDÉSJEGYZÉK

7. Az ISMS vezetőségi átvizsgálása 7.1. Általános követelmények A vezetőségnek tervezett időszakonként át kell vizsgálnia az ISMS-ét, hogy biztosíthassa annak folyamatos alkalmasságát, megfelelőségét és eredményességét. Az eredményeket dokumentálni kell Az átvizsgálás bemenete Az ISMS auditjának és átvizsgálásainak eredményei Érdekelt felek visszajelzései Lehetséges, felhasználható technikák, termékek vagy eljárások Megelőző és helyesbítő tevékenységek helyzete Gyengepontok, fenyegetettségek Hatékonyság mérések eredményei (jelentett incidensek száma) Korábbi vezetőségi átvizsgálások eredményei Változások, amelyek hatással lehetnek az ISMS-re Fejlesztési javaslatok

7.3. Az átvizsgálás kimenete … tartalmazzon döntéseket, intézkedéseket a következőkkel kapcsolatban: Az ISMS eredményességének javítása; A kockázatkezelési terv frissítése; Információvédelmi eljárások módosítása; Az intézkedések hatékonyság-mérésének fejlesztése; Szerződéses kötelezettségek felülvizsgálata; Erőforrás-szükségletek. 7. Az ISMS vezetőségi átvizsgálása

8. Az ISMS fejlesztése 8.1. Folyamatos fejlesztés A vállalat folyamatosan javítsa az ISMS eredményességét … az információbiztonsági politika, a védelmi célok, a felülvizsgálati eredmények, a megfigyelt események elemzése, a helyesbítő és megelőző tevékenységek, a vezetőségi átvizsgálások használatán keresztül Helyesbítő tevékenység Dokumentált eljárást kell bevezetni intézkedések bevezetésére annak érdekében, hogy megelőzze bekövetkezett hibák, eltérések ismételt előfordulását Megelőző tevékenység Dokumentált eljárást kell bevezetni intézkedések bevezetésére annak érdekében, hogy megelőzze lehetséges hibák, eltérések ismételt előfordulását.

MEGELŐZŐ TEVÉKENYSÉG PÉLDA:

A5. Biztonsági szabályzat A6. Az információ-biztonság szervezete A7. Vagyontárgyak kezelése A8. Az emberi erőforrások biztonsága A9. Fizikai védelem és a környezet védelme A10. A kommunikáció és az üzemeltetés irányítása A11. Hozzáférés-ellenőrzés A12. Információs rendszerek beszerzése, fejlesztése és fenntartása A13. Információbiztonsági incidensek kezelése A14. Működés folytonosságának irányítása A15. Követelményeknek való megfelelés A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A5. Biztonsági szabályzat A5.1. Információbiztonsági szabályzat Vezetésnek jóvá kell hagynia és rendszeresen ellenőrizni kell (vezetőségi átvizsgálás) A6. Az információbiztonság szervezete A6.1. Belső szervezet információbiztonsági vezető, katasztrófa menedzser, belső auditor, vagyontárgy gazdája, jogosultsági engedélyezési folyamat, titoktartási megállapodások A6.2. Külső ügyfelek Harmadik féllel kötött megállapodásokban információbiztonság tudatosítása A7. Vagyontárgyak kezelése A7.1. Felelősség a vagyontárgyakért Vagyonleltár, vagyontárgyak elfogadható használata A7.2. Információk osztályozása Értékük, érzékenységük, kritikusságuk (információs vagyonleltár ->A9) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A8. Az emberi erőforrások biztonsága A8.1. Az alkalmazást megelőzően Feladat- és felelősségi körök, átvilágítás (végzettség, erkölcsi biz.), ISMS elfogadása (aláírás) A8.2. Az alkalmazás időtartama alatt Eljárások alkalmazása, oktatás és képzés, fegyelmi eljárás A8.3. Az alkalmazás megszűnése, illetve megváltozása Vagyontárgyak visszaszolgáltatása, hozzáférési jogok megszüntetése A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A9. Fizikai védelem és a környezet védelme A9.1. Területek védelme, biztosítása - Fizikai biztonsági határzóna: határoló fal, kártyás beléptető rendszer, portaszolgálat, zárt irodák (Kiemelt, Védett, Nyilvános területek) (kulcs a zárban) - Külső és környezeti veszélyekkel szembeni védelem: tűzvész, áradás, földrengés, robbanás, polgári zavargás A9.2. Berendezések védelme Berendezések elhelyezése, közműszolgáltatások, kábelbiztonság, karbantartás, biztonságos selejtezés (adattörlés-felülírás!), kiviteli engedély (szerver szobában cső), (nyitott kapcsolószekrény a folyosón) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A10. A kommunikáció és az üzemeltetés irányítása A10.1. Üzemeltetési eljárások és felelősségi körök Dokumentált üzemeltetési eljárások(mentés, karbantartás, adathordozók kezelése, postakezelés) változáskezelés (biztonsági hatásvizsgálat, változás jóváhagyása, publikálása) A10.2. Harmadik fél szolgáltatásnyújtásának irányítása Biztonsági intézkedések kiterjesztése, (felügyelt munkavégzés), beszállítói audit A10.3. Rendszertervezés és elfogadás Kapacitásmenedzsment (szűk keresztmetszetek, törzsállománytól való függés), elfogadás előtti teszt (bizonyíték, hogy az új rendszer nem befolyásolja hátrányosan a meglévő rendszert) A10.4. Védelem a rosszindulatú és a mobil kódok ellen Észlelési, megelőzési, helyreállítási intézkedések (pl BCP-ben), tudatosító eljárások (oktatás) A10.5. Biztonsági mentés Eljárás a mentésre (rendszeres mentés, rendszeres visszaállítási tesztek, páncél szekrény, másik épületben tárolás stb) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A10.6. Hálózatbiztonság kezelése Hitelesítés (pl: eduroam), korlátozott hozzáférés, wifi titkosítás, hálózati forgalom naplózás A10.7. Adathordozók kezelése Az eltávolítható adathordozók (tiltása) kezelésére eljárás készítése, körültekintő selejtezés A10.8. Információcsere Fizikai adathordozók szállítása, elektronikus üzenetek küldése/fogadása (titkosított csatornán SSL), mellékletek szűrése, vírusirtó szűrés, VoIP beszélgetések rögzítése, központi nyomtatóra, faxra bizalmas dokumentum küldés A10.9. Elektronikus kereskedelmi szolgáltatások Nyilvános hálózaton áthaladó információk megóvása (nyílt wifi netbank), nyilvánosan hozzáférhető információk módosítástól való védelme A Figyelemmel követés (monitoring) Felhasználói tevékenység naplózása, adminisztrátori tevékenység naplózása, naplóinformációk védelme!!!, hibák naplózása, órajelek szinkronizálása (naplózás nélkül -> működés felfüggesztés) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A11. Hozzáférés-ellenőrzés A11.1. A hozzáférés-ellenőrzéshez fűződő működési követelmény Hozzáférés-ellenőrzési szabályzat, a hozzáférésre vonatkozó működési és biztonsági követelmények alapján (a legkisebb jogosultság elvének alkalmazása). A11.2. Felhasználói hozzáférések irányítása Felhasználók regisztrálása (UID), jelszavak kezelése (ideiglenes jelszó, kötelező váltás, felhasználó változtathasson, utolsó 5 jelszó tiltása stb), felhasználói jogosultságok rendszeres átvizsgálása (munkakör változás) A11.3. Felhasználói felelősségek Jelszóhasználat: nyilatkozat személyes jelszavak bizalmas kezeléséről (sárga cetlik a monitoron ), őrizetlenül hagyott berendezések, „Tiszta asztal, tiszta képernyő” szabályzata A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A11.4. Hálózati szintű hozzáférés-ellenőrzés Csak ahhoz a szolgáltatáshoz férjen hozzá a felhasználó, amihez jogosultsága van, felhasználó hitelesítése külső csatlakozás esetén is, berendezések azonosítása a hálózaton(MAC szűrés), távdiagnosztikai és konfigurációs portok védelme A11.5. Operációs rendszer szintű hozzáférés-ellenőrzés Felhasználó azonosítása és hitelesítése (egyedi UID), jelszókezelő rendszer (rendszeres jelszó csere, jó minőségű jelszavak kényszerítése), kapcsolati idő túllépés (inaktivitás), összeköttetés idejének korlátozása (munkaidő korlát) A11.6. Alkalmazás és információ szintű hozzáférés-ellenőrzés Alkalmazásokhoz való hozzáférés korlátozása (pl: 5 user 1 pswd használat ), érzékeny rendszerek elkülönítése (pl: gazdasági adatok külön VLAN) A11.7. Mobil számítógép használata és távmunka Mobil számítógépen tárolt adatok védelme (titkosítása), távmunka (pl: VPN) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A12. Információs rendszerek beszerzése, fejlesztése és fenntartása A12.1. Információs rendszerek biztonsági követelményei Védelem beépítésének biztosítása az információs rendszerekbe A12.2. Helyes információfeldolgozás az alkalmazásokban Bemenő adatok ellenőrzése, feldolgozás ellenőrzése, kimenő adatok ellenőrzése A12.3. Titkosítási intézkedések Az információ védelme titkosítási eszközökkel (kriptográfiai technikák, kulcskezelés) A12.4. Rendszerfájlok biztonsága Szoftverek ellenőrzése üzemelő rendszerre való telepítés előtt, forráskódok védelme A12.5. Biztonság a fejlesztési és támogató folyamatokban Amikor üzemelő rendszerben történik változás, a szervezet működése szempontjából kritikus alkalmazásokat át kell vizsgálni. A12.6. Műszaki sebezhetőség kezelése A nyilvánosságra került műszaki sebezhetőségek kiaknázásából származó kockázatok csökkentése (biztonsági rések - update) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A13. Információbiztonsági incidensek kezelése A13.1. Információbiztonsági események és gyengeségek jelentése Információbiztonsági események jelentése (vezetői csatornákon keresztül), biztonsági gyenge pontok jelentése (észlelt vagy feltételezett gyenge pontok kötelező jelentése) A13.2. Információbiztonsági incidensek és javító fejlesztések kezelése Vezetői felelősségek rögzítése, tanulságok levonása az incidensből, bizonyítékok gyűjtése, megőrzése, bemutatása A14. Működés folytonosságának irányítása A14.1. A működés folytonossága irányításának információ- biztonsági szempontjai Működésfolytonossági tervek (BCP) kidolgozása és megvalósítása, rendszeres felülvizsgálata A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

A15. Követelményeknek való megfelelés A15.1. Jogi követelményeknek való megfelelés Alkalmazandó jogszabályok, szellemi tulajdonjogok, adatvédelem és személyes adatok bizalmassága, információ feldolgozó eszközökkel való visszaélések megelőzése A15.2. Biztonsági szabályzatnak és szabványoknak való megfelelés, és műszaki megfelelőség Megfelelés a biztonsági szabályzatnak és a szabványoknak, műszaki megfelelés ellenőrzése (manuális/automatizált műszaki jelentés), behatolási vizsgálat vagy sebezhetőségi felérés A15.3. Információs rendszerek auditálásának szempontjai Auditálási intézkedések (audit ne zavarja a működést, csak olvasási jog, területtől független belső auditor), auditálási eszközök védelme (auditálási eszközök leválasztása a fejlesztési és üzemeltetési rendszerektől) A MELLÉKLET: SZABÁLYOZÁSI CÉLOK ÉS INTÉZKEDÉSEK

Előadás összefoglalása  Információbiztonság alapfogalmai: Bizalmasság, sértetlenség, rendelkezésre állás  Példák súlyos üzemzavart előidéző okokra  ISMS tervezése, bevezetése működtetése, ellenőrzése, szabályozása, fejlesztése  Melléklet: Szabályozási célok és intézkedések

A MUNKAHELYI EGÉSZSÉGVÉDELEM ÉS BIZTONSÁG IRÁNYÍTÁSI RENDSZERE MEBIR MSZ ISO 28001:2008

MEBIR ELŐZMÉNY A munkavédelemről szóló évi XCIII. törvényben jelenik meg erőteljesen. A munkavédelem alapvető célja:  a munkavállalók egészségének és munkavégző képességének a megóvása  a munkakörülmények humanizálása  a munkabalesetek megelőzése  a foglalkozással összefüggő megbetegedések megelőzése A munkabalesetek és a munkához kapcsolódó egészségügyi veszélyek megelőzése a munkáltatók, a munkavállalók és az állam közös érdeke, de alapvetően a munkáltató feladata, illetve kötelessége.

MEBIR MODELL Folyamatos fejlesztés MEB-politika Tervezés Bevezetés és működtetés Ellenőrzés Vezetőségi átvizsgálás

„A szervezet alakítson ki, dokumentáljon, vezessen be, tartson fenn és folyamatosan fejlesszen egy MEB irányítási rendszert.” A szervezet határozza meg és dokumentálja a MEB irányítási rendszerének alkalmazási területét. MEBIR ÁLTALÁNOS KÖVETELMÉNYEK

A felső vezetőség határozza meg és hagyja jóvá a szervezet MEB-politikáját :  tartalmazza a sérülések és az egészségkárosodás megelőzése, továbbá a MEB-irányítás és a MEB működés folyamatos fejlesztése iránti elkötelezettséget;  tartalmazza legalább a mindenkori alkalmazandó jogszabályi követelmények teljesítése iránti elkötelezettséget;  megadja a MEB-célok kitűzésének és átvizsgálásának keretét;  dokumentált, bevezetett és szinten tartott legyen;  legyen ismert, álljon rendelkezésre, kerüljön felülvizsgálatra MEBIR POLITIKA

A veszélyazonosítás, a kockázatértékelés és a kockázat kézben tartásának tervezése. A veszélyazonosítás, a kockázatértékelés és a kockázat kézben tartásának tervezése során a szervezetnek meg kell felelnie a hatályos jogszabályi előírásoknak és követelményeknek, amelyek nem mondanak ellent az MSZ 28001:2008-nak. TERVEZÉS

A veszélyazonosítási és kockázatértékelési eljárás(ok)nak figyelembe kell venniük:  a rutin- és a nem rutintevékenységeket;  a munkahelyen előforduló összes személy tevékenységét (beleértve az alvállalkozókat és látogatókat is);  a munkaterületek, a folyamatok, üzembe helyezések, a gépek/berendezések, a működtetési eljárások és a munkaszervezés megtervezését, beleértve ezek hozzáigazítását az emberi képességekhez.  a MEBIR módosításait, beleértve az ideigleneseket is, és azok hatásait a működésre, a folyamatokra és a tevékenységre; TERVEZÉS

A szabályozások meghatározásakor vagy a meglévő szabályozások változtatásának mérlegelésekor a kockázatok csökkentését úgy kell megfontolni, hogy a következő hierarchia érvényesüljön:  megszüntetés;  helyettesítés;  műszaki szabályozások;  jelzések/figyelmeztetések és/vagy igazgatási szabályozások;  személyi védőeszközök. TERVEZÉS

 Releváns jogszabályok meghatározása  A szervezetnek ezt az információt folyamatosan naprakész állapotban kell tartania.  A szervezetnek a felügyelete alatt munkát végző személyeket és más érdekelt feleket a jogszabályokról és egyéb követelményekről tájékoztatnia kell. JOGI ÉS EGYÉB KÖVETELMÉNYEK

A szervezet hozzon létre, vezessen be és tartson fenn programo(ka)t céljainak eléréséhez. A program(ok) legalább a következőket tartalmazza(ák):  a célok eléréséhez a felelősségi és hatáskörök meghatározását a szervezet érintett tevékenységeihez és szintjeihez; és  azokat az eszközöket és időbeli kereteket, amelyekkel ezeket el kell érni. A programo(ka)t rendszeres és tervezett időközönként át kell vizsgálni és ha szükséges, megfelelően ki kell egészíteni, hogy biztosítsák a célok elérését. CÉLOK ÉS PROGRAMOK

Erőforrások, feladatok, felelősségi kör, számonkérhetőség és hatáskör  szükséges a szerepek, a felelősségi körök és a hatáskörök meghatározása, dokumentálása és közlése  a vezetőség képviselőjének kinevezése Felkészültség, képzés és tudatosság A szervezet biztosítsa, hogy minden személy, aki a szervezet megbízása alapján olyan feladatokat lát el, amelyek jelentős hatást gyakorolnak a MEB-re, legyen felkészült megfelelő oktatás, képzés vagy tapasztalat alapján, és erről őrizzenek meg feljegyzéseket. BEVEZETÉS ÉS MŰKÖDTETÉS

Kommunikáció, részvétel és konzultáció  belső kommunikáció a szervezet különböző szintjei és tevékenységei között;  alvállalkozókkal és a munkahelyre látogatókkal való kommunikáció  külső érdekelt felektől érkező lényeges információk  munkatársak részvétele (veszélyazonosításba, események kivizsgálásába, politika és célok kialakításába, képviselet MEBIR-ben) A dokumentumok kezelése BEVEZETÉS ÉS MŰKÖDTETÉS

Dokumentáció A MEBIR dokumentációjának tartalmaznia kell a következőket:  a MEB-politikát és -célokat;  a MEBIR alkalmazási területének leírását;  a MEBIR fő elemeinek és ezek kölcsönhatásainak leírását és hivatkozásokat a kapcsolódó dokumentumokra,  a feljegyzéseket, utasításokat, eljárásokat BEVEZETÉS ÉS MŰKÖDTETÉS

A dokumentumok kezelése A szervezet hozzon létre, vezessen be és tartson fenn eljárás(oka)t:  jóváhagyás kiadás előtt;  naprakésszé tétel és újbóli jóváhagyás;  érvényes kiadási állapot azonosítása;  rendelkezésre állás;  elavult dokumentumok kivonása BEVEZETÉS ÉS MŰKÖDTETÉS

A működés szabályozása A szervezetnek meg kell határoznia azokat a műveleteket és tevékenységeket, amelyek összefüggésbe hozhatók az azonosított veszély(ekk)el, és amelyekre a MEB-kockázat(ok) kezelése érdekében szabályozást szükséges bevezetni. BEVEZETÉS ÉS MŰKÖDTETÉS

Felkészültség és reagálás a vészhelyzetre A szervezetnek létre kell hoznia, be kell vezetnie és fenn kell tartania eljárásokat  a lehetséges vészhelyzetek felismerésére;  az ilyen vészhelyzetekre való reagálásra. A szervezetnek időszakonként ki is kell próbálnia a vészhelyzetekre reagálás eljárása(i)t, ha ez megvalósítható szükség szerint, bevonva az érdekelt feleket is. BEVEZETÉS ÉS MŰKÖDTETÉS

A teljesítmény mérése és figyelemmel kísérése  megvalósul-e a MEB politika, és teljesülnek-e a MEB célok,  bevezették-e a kockázatértékelés módszereit, és eredményesen működnek-e,  levonták-e a következtetéseket a MEBIR hibáiból, beleértve a veszélyes eseményeket (baleseteket, majdnem baleseteket és megbetegedéseket),  eredményesek-e a munkavállalók és az érdekelt felek számára szervezett tudatosítási, képzési, kapcsolattartási és tanácskozási programok,  kidolgozták-e a MEBIR átvizsgálására és/vagy fejlesztésére alkalmas információt és használják-e azt. ELLENŐRZÉS

Az események kivizsgálása, nem megfelelőség, helyesbítő tevékenység és megelőző tevékenység  alapvető MEB hiányosságok,  helyesbítő megelőző tevékenységek lehetősége,  folyamatos fejlesztés lehetősége,  kivizsgálások eredményei, Audit MEBIR eredményességének vizsgálata ELLENŐRZÉS

A felső vezetőség vizsgálja át a MEBIR működését annak értékelésére, hogy a rendszer bevezetése teljeskörű-e és megfelelő marad-e a kinyilatkoztatott MEB politika és MEB célok eléréséhez. Az átvizsgálásokat a felső vezetőség rendszeresen (évente legalább egyszer) végezze el VEZETŐSÉGI ÁTVIZSGÁLÁS

Bemenő adatok:  baleseti statisztikákat,  a belső és külső MEBIR auditok eredményeit,  az előző átvizsgálás óta a rendszerben végrehajtott helyesbítő intézkedéseket,  a (tényleges vagy a gyakorlat céljaira utánzott) vészhelyzetekről készült jelentéseket,  a vezetés megbízottjának jelentését a rendszer általános működéséről,  a munkahelyi vezetők jelentéseit a rendszer helyi eredményességéről,  jelentéseket a veszélyazonosítás, a kockázatértékelés és a kockázat kézben tartásának folyamatairól. VEZETŐSÉGI ÁTVIZSGÁLÁS

 Kockázatértékelés (pl építkezés helyszínenként, telephelyenként)  Vészhelyzeti tervek (tűz, robbanás, leesés, )  Vészhelyzeti tervek oktatása, tesztelése (tűzriadó)  Építkezés kivitelezésén: védősisak, láthatósági mellény, állványzat védőkorláttal (bizonyítvánnyal)  Termelő szervezetnél: kesztyű, védő szemüveg, zajvédő, porvédő GYAKORLATI PÉLDÁK

Előadás összefoglalása  A MEBIR szabvány felépítése  A MEBIR működési szabályozása  Az integrált menedzsment rendszerek összetevői.

ÉLELMISZER-BIZTONSÁG HACCP (Hazard Analysis Critical Control Points - veszélyelemzés és kritikus ellenőrzőpontok)

A HACCP az angol Hazard Analysis Critical Control Points névből képzett mozaikszó. A magyar megfelelője a Veszélyelemzés, kritikus szabályozási pontok. A HACCP az élelmiszerek előállításával, fogyasztásra való elkészítésével kapcsolatos tudományos és gyakorlati ismeretekre épülő módszeres megközelítés, amely a nyersanyag előállítástól a fogyasztóig az élelmiszerlánc minden eleméhez, műveletéhez meghatározza a hozzá tartozó veszélyeket és a megelőzésükre szolgáló szabályozó módszereket, valamint azokat a pontokat, ahol a szabályozás segítségével a veszélyek kiküszöbölhetők – ezek a kritikus szabályozási pontok. A HACCP RENDSZER BEMUTATÁSA

A HACCP rendszer a veszélyek keletkezésével, megelőzésével és kiküszöbölésével oly módon foglalkozik, hogy egyedileg – termékenként illetve folyamatonként – vizsgálja meg a technológiát és a feldolgozás körülményeit. Így tehát az adott termékre, technológiára vonatkozó egyedi biztonsági tervnek mondható, ezáltal az élelmiszerbiztonság elérésének és a fogyasztók védelmének leghatékonyabb eszköze. A HACCP RENDSZER BEMUTATÁSA

A HACCP minden olyan tényezőt figyelembe vesz, amely az adott élelmiszer-előállítási folyamatban befolyásolhatja a produktum minőségét, biztonságát. A HACCP rendszer a termék biztonságát a termék tulajdonságainak, a technológiai folyamat alapjainak ismeretében oly módon tervezi meg, hogy a tudományos és technológiai ismeretek fejlődésével napvilágra kerülő újabb veszélyek, illetve a kifejlesztésre kerülő új módszerek is folyamatosan beépíthetők a rendszerbe. A HACCP RENDSZER BEMUTATÁSA

1.Veszélyelemzés végzése 2.A Kritikus Szabályozási Pontok (CCP-k) meghatározása 3.A kritikus határérték(ek) meghatározása 4.A CCP szabályozását felügyelő rendszer felállítása 5.A helyesbítő tevékenységek meghatározása 6.Az igazolásra szolgáló eljárások megállapítása annak megerősítésére, hogy a HACCP rendszer hatékonyan működik 7.Dokumentáció létrehozása, amely tartalmaz ezen alapelvekhez és alkalmazásukhoz tartozó minden eljárást és nyilvántartást A HACCP 7 ALAPELVE

A HACCP rendszer keretrendszerként is működik. Kialakításának eredményeként magába integrálja, így kielégíti: - a jogszabályi előírásokat, melyek a társadalmi elvárásokat is közvetítik, - a termelés számára a megfelelő munkaerőt, - a megfelelő anyagfelhasználást, - a megfelelő technológiát, - a megfelelő berendezéseket és eszközöket, - a megfelelő mérési módszereket, A HACCP INTEGRÁLÓ SZEREPE

A HACCP az utólagos ellenőrzés helyett a hibák megelőzését segíti elő. A rendszer természetesen nem tudja teljesen kizárni a hibákat, de jelentősen tudja csökkenteni előfordulásuk gyakoriságát. Módszeres és dokumentált elemzés, amely az előírásokat a kritikus pontokra irányítja. A rendszer alkalmazása növeli az élelmiszer- biztonságot és a megbízhatóságot. A HACCP ALKALMAZÁSÁNAK ELŐNYEI

- Felhívja a figyelmet, hogy mely területeken van szükség további javításra, fejlesztésre. - csökkenti a veszteségeket, elősegíti a költségtakarékos szabályozásokat. - Alkalmas a jogi védelemre, a kötelező gondosság bizonyítására vitás esetekben. -A jól működtetett és dokumentált rendszer bizonyítja azt, hogy a gyártó minden elvárhatót megtett a biztonság érdekében, a mégis bekövetkező baj forrását és felelősét máshol kell keresni (pl. beszállítók, forgalmazók). - Alapul szolgál az ISO 9000 szerinti rendszerhez. - Javítja a folyamatok ellenőrzését és szabályozását a kitűzött minőségi előírások érdekében, valamint növeli a vevők bizalmát a vállalat és termékei iránt. A HACCP ALKALMAZÁSÁNAK ELŐNYEI

Élelmiszer biztonság: Az élelmiszer olyan állapota, amelyben a fizikai, kémiai, biológiai veszély vagy károsodás bekövetkezésének valószínűségét egy elfogadható szint alatt korlátozzák. Az élelmiszer biztonság a minőség legfontosabb eleme. Érvényesítés (validálás): Bizonyítékok gyűjtése arra vonatkozóan, hogy a HACCP- terv elemei hatékonyak. A HACCP FOGALOMRENDSZERE

Feljegyzés: Olyan dokumentum, amely tevékenységekről vagy elért eredményekről objektív bizonyítékot szolgáltat. Felügyelet: Megfigyelések vagy mérések tervezett sorozatának végzésére irányuló tevékenység, annak megállapítására, hogy a CCP szabályozás alatt áll. A HACCP FOGALOMRENDSZERE

GHP (Good Hygiene Practice) - Jó Higiéniai Gyakorlat: Mindazon higiéniai eljárások, szabályozások összessége, amelyek az élelmiszer-biztonság és az élelmiszer egészséges-tápláló jellegének biztosításához szükségesek, az elsődleges (agrár) termelés, begyűjtés, beszállítás, feldolgozás, termelés, forgalmazás, szolgáltatás valamennyi szakaszában. A HACCP FOGALOMRENDSZERE

GMP (Good Manufacturing Practice) - Jó Gyártási Gyakorlat: Mindazon technológiai, szervezési, műszaki eljárások, amelyek elvégzését a szakma képviselői a tudományos, gazdasági ismeretek alapján szükségesnek tartanak arra, hogy a vevők által megkövetelt egyenletes minőségű, biztonságos terméket állítsanak elő. A HACCP FOGALOMRENDSZERE

Helyesbítő tevékenység: Bármely olyan intézkedés, amelyet akkor kell megtenni, ha kritikus szabályozási pont (CCP) felügyelete a szabályozottság csökkenését, elvesztését jelzi. Igazolás (verifikálás): A felügyelettől eltérő módszerek, eljárások, vizsgálatok és más értékelések alkalmazása, a HACCP- tervnek való megfelelés megállapítására. A HACCP FOGALOMRENDSZERE

Kritikus határérték: Olyan előírás, amely elválasztja az elfogadhatóságot a nem elfogadhatóságtól. Kritikus Szabályozási Pont: Olyan pont, amelynél szabályozást lehet alkalmazni és az lényeges valamely élelmiszer-biztonsági veszély megelőzéséhez, kiküszöböléséhez vagy elfogadható szintre csökkentéséhez. A HACCP FOGALOMRENDSZERE

Megfelelőségi felülvizsgálat: A CCP-k megfelelőségének rendszeres és független belső vizsgálata, a veszélyek helyes azonosítása érdekében. Minősítés: Folyamat annak igazolására, hogy a szervezet képes az előírt követelmények teljesítésére. Nem megfelelőség: Valamely előírt követelmény nem teljesülése. Nyomon követhetőség: Az a lehetőség, hogy a termék, illetve a termék összetevőinek előélete, alkalmazása vagy elhelyezése megállapítható a feljegyzett azonosító adatok segítségével. A HACCP FOGALOMRENDSZERE

Rendszer felülvizsgálat (önellenőrzés): Rendszeres és független belső vizsgálat annak meghatározására, hogy a HACCP tevékenységek, illetve ezek eredményei megfelelnek-e a tervezett intézkedéseknek, ezeket az intézkedéseket hatékonyan és dokumentált módon bevezették-e, valamint az intézkedések alkalmasak-e a célok elérésére. A HACCP FOGALOMRENDSZERE

Szabályozó intézkedés: Bármely olyan intézkedés és tevékenység, amelyet egy élelmiszer-biztonsági veszély megelőzésére, kiküszöbölésére vagy elfogadható szintre csökkentésére lehet használni. Utasítás: A minőségügyi feladatok és azok végrehajtási módszerének leírását tartalmazó dokumentum. Veszély: Az élelmiszerben előforduló biológiai, kémiai vagy fizikai hatású anyag, vagy az élelmiszer olyan állapota, amely káros egészségügyi hatást okozhat. A HACCP FOGALOMRENDSZERE

 A HACCP rendszer legfontosabb fogalmai.  A HACCP rendszer elemei.  A HACCP alkalmazásának előnyei. Előadás összefoglalása

KÖSZÖNÖM A FIGYELMET Következő előadás címe: Teljes körű minőségmenedzsment (TQM) Következő előadás megértéséhez ajánlott ismeretek kulcsszavai: teljes elkötelezettség, vevőközpontúság, folyamatok folyamatos javítása