NORMY ISO

Normy ISO

Wdrażana przez nas norma ISO 9001 jest jedną z najstarszych

Obecna jest ona na rynku już od ponad 25 lat! Ma ona nie tylko długą historię, ale jest też jedną z najczęściej wykorzystywanych przez przedsiębiorców. Obejmuje ona strategie zarządzania jakością, co z perspektywy rozwoju przedsiębiorstwa oraz pozyskiwania nowych klientów jest niezwykle ważne. Skupia się na ekonomicznym prowadzeniu produkcji, efektywnym realizowaniu dialogu z klientami oraz budowaniu wizerunku biznesowego partnera godnego zaufania.

Zarządzanie jakością w organizacji – norma ISO 9001

Międzynarodowa norma ISO 9001 precyzyjnie określa wymagania, jakie muszą spełniać systemy zarządzania jakością w danej organizacji. Skierowana jest ona do wszystkich podmiotów – niezależnie od ich wielkości, rodzaju czy branży w jakiej działają. Skierowana jest do organizacji, które muszą wykazać zdolność dostarczania do swoich Klientów towarów, wyrobów a także usług, zgodnych z ich wymaganiami, jak również przepisami. Do głównych wymagań, jakie na organizacje nakłada norma ISO 9001 należą m.in. prowadzenie dokumentacji i nadzorowanie jej, usystematyzowanie zarządzania zasobami czy ustalenie procesów realizacji wyrobów.

 

Norma uwzględnia osiem podstawowych zasad jakości, do których zaliczyć można zorientowanie na Klienta oraz zaangażowanie ludzi. Według założeń ISO 9001 efektywność działania organizacji zależy od jakości zachodzących w niej procesów. Zasadą jest również systemowe podejście do zarządzania (na zasadzie wzajemnych procesów) oraz stałe polepszanie funkcjonowania procesów. Z jej perspektywy ważne jest także tworzenie wzajemnych, korzystnych dla oby stron stosunków między przedsiębiorstwami, a dostawcami.

Aby uzyskać certyfikat normy ISO 9001 należy spełnić wymagania zawarte w rozdziałach normy. Certyfikat wydawany jest przez niezależną jednostkę badającą daną organizację pod kątem spełnienia procedur.

Jakie korzyści czekają na organizacje?

Istnieje wiele zalety wdrożenia w przedsiębiorstwie systemu zarządzania jakością, czyli dostosowania strategii działania do wymogów normy ISO 9001. Do najważniejszych należą między innymi:

Centrum Doskonalenia Zarządzania Meritum specjalizuje się w przygotowywaniu organizacji do pozytywnego przejścia audytu zewnętrznego, którego finalnym celem ma być uzyskanie certyfikatu od niezależnej instytucji. Naszym zadaniem jest przeprowadzenia Państwa przez cały proces – od początku, przez kompleksowe wdrożenie ISO 9001, aż po końcowy etap ostatecznej weryfikacji. Ta ostatnia faza może nastąpić nawet po kilku lub kilkunastu miesiącach po uzyskaniu certyfikatu. Dotychczas wszyscy prowadzeni przez nas klienci uzyskali certyfikaty.

W ramach naszej kompleksowej oferty proponujemy Państwu

Po uzyskaniu certyfikatu nie pozostawiamy naszych klientów samych sobie. Od wielu lat pomagamy im utrzymywać i doskonalić systemy zarządzania jakością zgodne z normą ISO 9001.

Norma ISO 14001

Jednym z coraz częściej stosowanych standardów podnoszących jakość polskich przedsiębiorstw jest ISO 14001. To norma w której Międzynarodowa Organizacja Normalizacyjna wyznaczyła wymagania dotyczące systemu zarządzania środowiskowego w organizacjach. Oznacza to, że odpowiada ona za efektywne zarządzanie polityką firmy odpowiedzialną za działania zgodne z ochroną środowiska naturalnego. Celem wprowadzania wszelkich zmian oraz optymalizowania procedur danego przedsiębiorstwa pod kątem normy jest zminimalizowanie wpływu wszelkich aktywności podmiotu gospodarczego na środowisko naturalne.

 

System zarządzania ochroną środowiska obejmuje działania ogólne, ukierunkowane na zminimalizowanie szkodliwego wpływu działalności człowieka na środowisko naturalne. Dzięki temu rozwiązanie to doskonale sprawdza się zarówno w dużych i rozbudowanych metropoliach, jak również małych społecznościach lokalnych.

Kto musi wdrożyć normę ISO 14001?

Wdrożenie normy ma za zadanie wypracowanie standardów funkcjonowania, a długofalowo również przyniesienie korzyści organizacjom, które

Tak naprawdę wdrożenie ISO 14001 zalecane jest więc zarówno niewielkim podmiotom, jak rozbudowanym, międzynarodowym korporacjom. Dostosowanie polityki działania do wymogów tej normy ma wpływ nie tylko na zwiększenie skuteczności ochrony środowiska oraz zminimalizowanie wpływu przedsiębiorstwa na dany ekosystem. Wdrożenie standardów środowiskowych ma także znaczenie wizerunkowe – z takich zmian oraz norm korzystają firmy odpowiedzialne, rozwijające się w dialogu z założeniami zrównoważonego rozwoju. Postawa ta jest doceniania przez coraz szersze grono konsumentów i kontrahentów na całym świecie.

Zakres normy ISO 14001

Pomimo tego, że ISO 14001 obejmuje przede wszystkim bardzo ogólne, uniwersalne kryteria strategii zarządzania, to jednak nie brakuje jej konkretnych wymogów.

 

Kryteria normy precyzyjnie określają m.in.:

Pomożemy Ci wprowadzić zmiany krok po kroku

Jedynie zaplanowane, przemyślane działanie może spowodować, że wdrożenie normy ISO 14001 przebiegnie gładko zarówno dla pracowników, jak i kierownictwa firmy. Nasi konsultanci podejmą krok po kroku działania mające na celu gładkie, a zarazem skuteczne wprowadzenie zmian. Należą do nich:

 

  1. Ocena organizacji – jej warunków geograficznych, kulturalnych i społecznych, funkcjonowania w branży itp. Bierzemy pod uwagę również rodzaj działalności i wielkość firmy.
  2. Przygotowanie merytoryczne kadry do realizowania celów, w postaci zaznajomienia ze standardami i procedurami normy czy sposobach na zapobieganie zanieczyszczeniom.
  3. Stopniowe wdrażanie zmian po dostosowaniu ich do funkcjonowania danej organizacji.
  4. Bieżąca kontrola i monitorowanie powodzenia projektu i korygowanie niedoskonałości.
  5. Przeprowadzanie dla personelu organizacji szkoleń i kursów pomagających zapoznać się z nowymi standardami i korzyściami z nich wypływającymi.

Co zyska organizacja wprowadzając normę ISO 14001?

Celem wprowadzenia normy ISO 14001 jest oczywiście zwiększenie troski o środowisko naturalne i pro ekologiczna postawa. Jednak jej wdrożenie przyniesie organizacji również doraźne korzyści – zarówno o charakterze materialnym, jak i związanym pozycją na rynku. Można zaliczyć do nich

Dla Państwa wygody program do dokumentowania systemu zarządzania jakością – Certus uzupełniony został o wymagane normą ISO 14001 elementy.

Istotą Systemu Zarządzania Bezpieczeństwem i Higieną Pracy jest zarządzanie działaniami na rzecz poprawy bezpieczeństwa i higieny pracy pracowników oraz osób trzecich znajdujących się na terenie przedsiębiorstwa.

 

System skupia się na:

W 1999 roku powstała Polska Norma PN-N 18001, która została znowelizowana w roku 2004. W marcu 2018 roku opublikowana została norma ISO 45001 zastępujaca dotychczasowe normy krajowe.

Co zyska organizacja wprowadzając normę ISO 14001?

Główne korzyści wynikające z posiadania wdrożonego Systemu Zarządzania Bezpieczeństwem i Higieną Pracy zgodnego z normą ISO 45001:

Przedsiębiorstwa, w których pracownicy są szczególnie narażeni na utratę zdrowia lub życia, powinny wprowadzić System Zarządzania Bezpieczeństwem i Higieną Pracy.

Bardzo często praktykowana jest integracja wdrożenia Systemu Zarządzania Bezpieczeństwem i Higieną Pracy z normą ISO 9001 – Systemem Zarządzania Jakością. Mechanizmy funkcjonowania systemu są bardzo podobne i możliwe do wykorzystania w przypadku procedur systemowych. Integracja systemów daje możliwość znacznego obniżenia kosztów ich wdrożenia.

Systemy zarządzania w bezpieczeństwie informacji

ISO 27001 - System zarządzania bezpieczeństwem informacji

Norma i wdrożenie ISO 27001

Współczesny biznes w dużej mierze opiera się na przekazywaniu, archiwizowaniu oraz zarządzaniu informacjami. Wszystkie te procesy muszą podlegać precyzyjnej ochronie. I właśnie te standardy reguluje norma ISO 27001. Jest rozwiązaniem przynoszącym narzędzia pozwalające na zabezpieczenie danych oraz zwiększenie kontroli dostępu do nich.

 

W celu pełnego zrozumienia znaczenia ISO 27001 warto zwrócić na chwilę uwagę na sam aspekt bezpieczeństwa informacji. Bywa ono utożsamiane z możliwościami technicznymi rozwiązań informatycznych zastosowanych w firmie. Często ceduje się to na szefów IT, którzy– nie znając strategicznych celów firmy – próbują zabezpieczyć wszystkie informacje przed zdiagnozowanymi zagrożeniami. Ryzykują w ten sposób z jednej strony niezadowolenie zarządzających, a z drugiej narażają się na użytkowników, którzy w zabezpieczeniach postrzegają ograniczenia wolności dostępu do danych. My staramy się do bezpieczeństwa informacji podchodzić w sposób biznesowy – potraktujemy ją, jako jeden z aktywów firmy a metody i zakres dostosujemy do wartości tego aktywu.

Od bezpieczeństwa do normy ISO 27001

Niezależnie od formy i sposobu przekazywania informacji w przedsiębiorstwie musi ona podlegać odpowiedniej i skutecznej ochronie. Wymagania związane z normą ISO 27001 precyzyjnie określają rozumienie i realizowanie aspektu bezpieczeństwa informacji. Są to trzy, podstawowe kryteria, czyli:

W konsekwencji wdrożenie ISO 27001 oznacza zarówno ograniczenie dostępu do informacji zadbanie o właściwe metody kompletowania oraz przetwarzania przechowywanych danych, jak również udostępnienie informacji osobom nieupoważnionym wówczas, gdy jest to konieczne.

 

Firmy, ich systemy i sieci stają w obliczu zagrożeń pochodzących z wielu źródeł, takich jak oszustwa dokonywane za pomocą komputera, szpiegostwo, sabotaż, wandalizm, pożar lub powódź. Źródła uszkodzeń takie, jak wirusy i hackerstwo komputerowe, ataki powodujące odmowę usługi czy celowe zniszczenie informacji stają się coraz powszechniejsze, ambitniejsze i bardziej wyrafinowane. Dlatego wdrożenie ISO 27001 uznać należy za skuteczną ochronę danych oraz zmianę korzystną dla całego przedsiębiorstwa.

Sposób wdrożenia ISO 27001

Norma ISO 27001 podpowiada, że bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw środków, do których należeć mogą polityki, praktyki, procedury, struktury organizacyjne i funkcje oprogramowania. Taki zestaw środków często nazywamy zabezpieczeniami. Pojawia się jednak pytanie, jaki poziom zabezpieczeń jest dla firmy odpowiedni. Oczywistym jest, że firma musi zabezpieczyć te informacje, których ochrona wynika z przepisów prawa np. dane osobowe.

 

Dlatego też należy dokonać szacowania ryzyka. Poprzez szacowanie ryzyka zgodnie z ISO 27001 można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz potencjalne skutki. Wydatki na zabezpieczenia powinny być odniesione do strat w działalności biznesowej, które mogłyby być rezultatem naruszeń bezpieczeństwa.

 

Trzeba pamiętać, że analiza (pod kątem normy ISO 27001) nie może ograniczać się jedynie do sfery informatyki i powinna dotyczyć również innych obszarów. Wyniki tego szacowania pomogą wskazać i określić właściwe działania kierownictwa oraz określić priorytety dla zarządzania ryzykiem odnoszącym się do bezpieczeństwa informacji. Ponadto, oszacowane ryzyko i wynikające z niego metody zabezpieczeń pozwalają na racjonalne wykorzystanie środków, jakie są przeznaczone na zapewnienie bezpieczeństwa. Pozwala na zachowanie równowagi przy przydzielaniu tych środków na bezpieczeństwo systemów informatycznych, bezpieczeństwo osobowe czy fizyczne.

 

Jednocześnie kierownictwo może świadomie określić:

Korzyści ISO 27001

Reasumując – jakie korzyści czekają na podmioty decydujące się wprowadzić normę ISO 27001? Oto niektóre z nich

ISO 27017 i 27018 - System zarządzania bezpieczeństwem informacji w chmurze

Technologia informacyjna – techniki bezpieczeństwa – Kodeks praktyk dotyczących środków kontroli bezpieczeństwa informacji oparty na normie ISO/IEC 27002 związanej z usługami w chmurze.

Norma ISO/IEC 27017 stosowana z serią norm ISO/IEC 27001 zapewnia dostawcom usług w chmurze i klientom korzystającym z usług w chmurze kontroli wytyczne w zakresie stosowania zabezpieczeń podnoszących poziom bezpieczeństwa usług. W przeciwieństwie do wielu innych norm związanych z technologią, w ramach normy ISO/IEC 27017 określono role i odpowiedzialności strony, aby pomóc zapewnić bezpieczeństwo i ochronę usług w chmurze na poziomie, porównywalnym z zawartych poziomem bezpieczeństwa w certyfikowanym systemie zarządzania informacjami.

 

W ramach normy zapewniono wskazówki oparte na technologii przetwarzania danych w chmurze dotyczące 37 zabezpieczeń uwzględnionych w ISO/IEC 27002, ale również wyróżniono siedem nowych zabezpieczeń danych w chmurze dotyczących następujących kwestii

Norma ISO/IEC 27018, stosowana wraz z ISO/IEC 27001, została opublikowana, aby Dostawcy Usług w Chmurze, których infrastruktura posiada certyfikat zgodności z normą, mogli powiedzieć swoim obecnym i potencjalnym klientom, że ich dane są chronione i nie będą wykorzystywane do żadnych celów, w odniesieniu do których nie została udzielona wyraźna zgoda.

ISO 27701 - System zarządzania informacją o prywatności

ISO/IEC 27701:2019 Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 dotyczące zarządzania informacjami o prywatności — Wymagania i wytyczne.

 

ISO/IEC 27701 to rozszerzenie do norm ISO/IEC 27001 Zarządzanie Bezpieczeństwem Informacji i ISO/IEC 27002 Zasady Zabezpieczania Informacji, które dotyczą kwestii zarządzania prywatnością informacji.

 

Ten międzynarodowy system zarządzania prywatnością, jest przewodnikiem po prywatności informacji, wyjaśniającym jak organizacja powinna zarządzać danymi osobowymi i wspierać działanie zgodnie z przepisami dotyczącymi prywatności na całym świecie.

 

Norma ISO/IEC 27701 przeznaczona jest dla wszystkich rodzajów organizacji, publicznych i prywatnych: firm, urzędów czy organizacji non-profit. 

 

W zakresie przedmiotowym norma określa wymagania a także zawiera wytyczne związane z ustanowieniem, wdrożeniem, utrzymywaniem i ciągłym doskonaleniem Systemu Zarządzania Informacjami o Prywatności (PIMS) w formie rozszerzenia ISO/IEC 27001 i ISO/IEC 27002. Norma to także rodzaj wytycznych dla administratorów i podmiotów przetwarzających. W zakresie podmiotowym norma znajduje zastosowanie do wszystkich typów organizacji, które przetwarzają informacje o prywatności jako administratorzy lub podmioty przetwarzające w ramach Systemu Zarządzania Bezpieczeństwem Informacji.

 

ISO/IEC 27005

ISO/IEC 27005 jest jedną z kilkunastu norm z rodziny ISO/IEC 27000 stanowiących zestaw narzędzi dotyczących cyberryzyka, z których wiodąca jest ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (Information technology – Security techniques – Information security management systems – Requirements).

Standard ISO/IEC 27005 dostarcza wskazówek do zastosowania podejścia do zarządzania ryzykiem w bezpieczeństwie informacji odpowiedniego do wszystkich organizacji.

ISO 22301-System zarządzania ciągłością działania (dawniej 25999)

Norma ISO 22301:2019

Ciągłość działania jest kluczowym zagadnieniem dla bezpiecznego i niezawodnego funkcjonowania firm i instytucji. Ale czy rzeczywiście są one przygotowane do zapewnienia ciągłości działania? A nawet jeśli one same podjęły wysiłek opracowania planów na wypadek wystąpienia zakłóceń lub przerw w ich działalności, to czy uzyskane efekty spełnią oczekiwania i skutecznie zabezpieczą przed utratą ciągłości działania? Wiele osób odpowiedzialnych za zapewnienie ciągłości działania w organizacjach niejednokrotnie zastanawia się, czy przygotowane plany ciągłości działania (BCP – business continuity plan), plany awaryjne dotyczące IT (DRP – disaster recovery plan) są planami skuteczne chroniącymi przed przerwami w działalności oraz czy są optymalne i adekwatne do potencjalnych skutków utraty ciągłości?
 

Pomocą w zarządzaniu ciągłością działania w organizacji jest norma ISO 22301:2019 System zarządzania ciągłością działania. Zawiera ona podpowiedź, w jaki sposób zaplanować, opracować i wdrożyć oraz monitorować i doskonalić system zarządzania ciągłością działania w celu zapewnienia odporności organizacji na niepożądane zdarzenia – niezależnie od branży i wielkości organizacji.

Jak ważne jest zapewnienie ciągłości działania wiedzą nie tylko te organizacje, które zostały podtopione, w których wybuchł pożar czy też miała miejsce przerwa w zasilaniu w energię elektryczną, ale również organizacje, których dostawcy usług nagle przestali dostarczać im surowce i towary lub spóźnili się z ich dostawą, wystąpiła poważna awaria maszyn produkcyjnych lub też zewnętrzne usługi informatyczne przestały być dostępne.

Proces zarządzania ciągłością działania

Ogólny schemat funkcjonowania procesu zarządzania ciągłością działania wg normy ISO 22301:2019 jest następujący:

Certyfikacja normy ISO 22301:2019

Po spełnieniu wymagań organizacja może certyfikować swój system zarządzania ciągłością działania na zgodność z wymaganiami ISO 22301:2019. 

ISO 28000-System zarządzania ciągłością działania

Norma ISO 28000 

Tematy związane z bezpieczeństwem są w chwili obecnej jednymi z najważniejszych kwestii dla funkcjonowania wszystkich rodzajów przedsiębiorstw, niezależnie od branży i obszaru działalności, ale samo pojęcie bezpieczeństwa dla każdej organizacji może już oznaczać zupełnie co innego.

 

W 2008 roku ukazała się norma ISO 28000 System zarządzania bezpieczeństwem łańcucha dostaw przeznaczona dla wszystkich organizacji biorących udział w procesie dostaw produktów, na każdym jego etapie, począwszy od wyboru kontrahentów, poprzez transport, spedycję, odprawy celne, magazynowanie itp.

 

Nadrzędnym celem systemu zarządzania bezpieczeństwem łańcucha dostaw wg normy ISO 28000 jest zapewnienie odpowiedniego poziomu bezpieczeństwa, poprzez wdrożenie i utrzymanie zabezpieczeń, przez każdego uczestnika łańcucha, tak aby zapewnić bezpieczeństwo całości. O sile łańcucha świadczy siła jego najsłabszego ogniwa.

Bezpieczeństwo łańcucha dostaw

System zarządzania bezpieczeństwem łańcucha dostaw oparty jest na strukturze innych norm ISO i promuje podejście oparte na analizie ryzyka, zapewnieniu zgodności z wymaganiami prawnymi i innymi, reagowaniu na awarie i zagrożenia mogące spowodować przerwanie łańcucha. Certyfikacja organizacji na zgodność z wymaganiami ISO 28000 zapewnia obiektywne potwierdzenie zdolności organizacji do zapewnienia wysokiego poziomu bezpieczeństwa powierzonych jej towarów.

 

W zakresie kontroli celnej dotyczącej bezpieczeństwa i ochrony przedsiębiorca posiadający certyfikat ISO 28000 może korzystać z następujących ułatwień:

Jeśli jesteś zainteresowany uzyskaniem dodatkowych informacji o wdrożeniu normy ISO 28000 prosimy o kontakt.

ISO 31000-Zarządzanie ryzykiem

Norma ISO 31000 – Zarządzanie ryzykiem

Jednym z najskuteczniejszych i jednocześnie najbardziej powszechnych systemów zmian jest norma ISO 31000. Swoją efektywność zawdzięcza przede wszystkim przyszłościowemu ukierunkowaniu, które pozwala wielu podmiotom sięgnąć po zespół narzędzi zapewniających im stabilny i długotrwały rozwój – niezależny od czynników zewnętrznych oraz zmiennej sytuacji na rynku. Warto więc bardzo uważnie przyjrzeć się problemom, dla których, w charakterze biznesowego antidotum, powołane do życia zostały nowe standardy ujęte w strategiach normy ISO 31000.

Czym jest norma ISO 31000?

Wśród międzynarodowych norm, określających wysokie standardy zarządzania różnego rodzaju zasobami, norma ISO 31000 zajmuje szczególne miejsce. Odpowiada za zarządzanie ryzykiem – czynnikiem, który ma znaczący wpływ na rozwój biznesu, niezależnie od branży. Dynamika i zmienność, która reguluje procesy gospodarcze, wymaga od przedsiębiorców umiejętności zarządzania ryzykiem. Związane jest to z umiejętnością przeprowadzania dokładnych analiz oraz przygotowywania strategii, które pomimo zmian – nawet tych nieprzewidzianych – pozwolą przedsiębiorstwu utrzymać wysoką pozycję na rynku. Jest to również związane z zachowaniem odpowiedniej elastyczności oraz otwartości na zmiany, a dzięki temu – możliwości dostosowania się do zmieniających się oczekiwań i potrzeb konsumentów. Zarządzanie ryzykiem, w dłuższej perspektywie, jest więc nie tylko zabezpieczeniem płynnego działania przedsiębiorstwa, ale przede wszystkim stworzeniem nowoczesnej strategii rozwoju.

 

Zachowana dyscyplina w obszarze przestrzegania wytycznych ISO 31000 pomoże również w zwiększeniu wydajności pracy, a co za tym idzie – uczynieniu jej bardziej ekonomiczną. Zarządzanie ryzykiem ma bowiem na uwadze nie tylko przygotowanie przedsiębiorstwa do zmian, ale również do odpowiedzialnego wykorzystywania dostępnych mu zasobów. Norma ISO 31000 jest więc też planowaniem, ukierunkowanym na wieloletni rozwój.

Skąd pomysł na certyfikację?

Wszystkie organizacje zarządzają ryzykiem. Próbują przewidzieć przyszłość i podjąć takie działania, których efekt będzie najkorzystniejszy dla organizacji. Zarządzać ryzykiem można doraźnie, od przypadku do przypadku, ale w takiej sytuacji trochę trudno mówić o prawdziwym zarządzaniu ryzykiem, raczej o identyfikacji ryzyka. Co to znaczy zarządzanie ryzykiem?

 

Zarządzanie ryzykiem wg ISO 31000 obejmuje m.in. identyfikację ryzyka, ocenę i ewaluację ryzyka, postępowanie z ryzykiem oraz jego monitorowanie i związaną z nimi komunikację.

 

Jednym z celów powstania normy jest integracja procesu zarządzania ryzykiem z procesami zarządzania organizacją, a także z jej strategią i planowaniem, zarządzaniem, procesami raportowania, politykami, wartościami i kulturą.

 

Ogólne podejście określone w ISO 31000 dostarcza zasad i wytycznych do zarządzania jakimkolwiek rodzajem ryzyka w sposób systematyczny, przejrzysty i wiarygodny w obrębie dowolnego zakresu i kontekstu.

 

Zasady i wytyczne normy są uniwersalne i mogą być stosowane do zarządzania:

Wymagania ISO 31000

Na koniec zwrócimy jeszcze uwagę na wymagania, które wiążą się z podjęciem działań zmierzających do certyfikacji procesów zarządzania ryzykiem.

 

W trakcie samego audytu kontrolnego ocenie podlega bowiem:

ISO 13485-System zarządzania jakością dla wyrobów medycznych

Norma ISO 13485 zawiera szczegółowe wymagania dotyczące wyrobów medycznych i wyłącza niektóre wymagania ISO 9001. Wymagania normy ISO 13485 uzupełniają (nie zastępują) wymagania techniczne dotyczące wyrobu.

Cel normy ISO 13485

Norma ISO 13485 skierowana jest do organizacji, które projektują, produkują, instalują i serwisują wyroby medyczne a także dostarczają związane z nimi usługi, takich jak:

Normę ISO 13485 można zastosować w organizacjach wytwarzających wyroby medyczne odpowiadające definicji zawartej w normie ISO 13485. Zgodnie z nią wyrób medyczny to np.:

Korzyści płynące z wdrożenia systemu ISO 13485

W odróżnieniu od ISO 9001, norma ISO 13485 zogniskowana jest na bezpieczeństwie wyrobu i zgodności z wymaganiami formalnymi (przepisami), stąd zniknęło z niej “ciągłe doskonalenie” i “monitorowanie zadowolenia klienta”, które są istotnym elementem ISO 9001. Nie znaczy to jednak, że dla wyrobów medycznych dopuszczono “taryfę ulgową” – przeciwnie, norma ISO 13485 wprowadza inne, dalej idące mechanizmy w tym zakresie.

Standardy w branży spożywczej

HACCP

Norma i wdrożenie ISO 27001

Analiza zagrożeń i krytyczne punkty kontroli (również system HACCP od ang. Hazard Analysis and Critical Control Points – HACCP) – postępowanie mające na celu zapewnienie bezpieczeństwa żywności przez identyfikację i oszacowanie skali zagrożeń z punktu widzenia wymagań zdrowotnych żywności oraz ryzyka wystąpienia zagrożeń podczas przebiegu wszystkich etapów produkcji i obrotu żywnością. System HACCP pozwala na uzyskanie pewności, że w całym łańcuchu dostarczania produktu dla klienta końcowego, firmy wykonały wszystko dla bezpieczeństwa wyrobu i konsumenta, w odniesieniu do przepisów, zasad dobrej praktyki produkcyjnej, dobrej praktyki higienicznej i potrzeb klientów.

7 zasad systemu HACCP zawarto w art. 5 ust. 2 rozporządzenia (WE) nr 852/2004 Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie higieny środków spożywczych. Są one następujące:

 

Zasada 1 – Identyfikacja zagrożeń i opisanie środków zapobiegawczych.

Zasada 2 – Identyfikacja krytycznych punktów kontroli (CCP).

Zasada 3 – Identyfikacja limitów krytycznych.

Zasada 4 – Ustalenie systemu monitorowania CCP.

Zasada 5 – Określenie działań korygujących.

Zasada 6 – Ustalenie procedur weryfikacji systemu.

Zasada 7 – Ustalenie procedur i zapisów.

ISO 22000 - System zarządzania bezpieczeństwem żywności

Norma ISO 22000 jest standardem określającym wymagania wobec systemów zarządzania bezpieczeństwem żywności, obejmującym wszystkie organizacje w łańcuchu produkcji żywności – od upraw i hodowli po stół z żywnością.

 

Standard ISO 22000 przeznaczony jest dla firm, które chcą poddać certyfikacji tylko ISO 22000 albo zintegrować swoje systemy jakościowe, na przykład ISO 9001 z Systemem Zarządzania Bezpieczeństwem Żywności. 

 

Do wymagań tej normy oprócz podstawowych zagadnień przeniesionych z ISO 9001 włączono: system HACCP, zasady dobrych praktyk produkcyjnych, higienicznych i dystrybucyjnych. W celu ułatwienia procesu integracji wdrażania wymagań tej normy z innymi standardami ISO oparto je na schemacie ISO 9001 czy ISO 14001

 

FSSC 22000

To system certyfikacji bezpieczeństwa żywności oparty na istniejącej, uznanej na całym świecie normie ISO 22000 i uzupełniony o normy techniczne, takie jak ISO TS 22002-1 dla produkcji żywności i ISO TS 22002-4 dla produkcji opakowań. Certyfikacja systemu bezpieczeństwa żywności (FSSC 22000) w zakresie zarządzania bezpieczeństwem / jakością żywności i pasz jest uznanym na całym świecie systemem certyfikacji bezpieczeństwa żywności. Ma on zastosowanie do wszystkich organizacji w łańcuchu żywnościowym, niezależnie od wielkości i złożoności.

 

FSSC 22000 to norma bezpieczeństwa żywności Globalnej Inicjatywy na rzecz Bezpieczeństwa Żywności (GFSI). FSSC 22000 oparta jest na ISO 22000, programie wstępnym (PRP) odnoszącym się do branży oraz zdefiniowanych dodatkowych wymaganiach FSSC.

 

Ponieważ FSSC 22000 opiera się na normie ISO, umożliwia to zintegrowanie tego programu z innymi normami ISO tj. ISO 9001 czy ISO 14001.

BRC

Międzynarodowy standard bezpieczeństwa żywności opracowany w 1998 roku przez British Retail Consortium (Wielka Brytania). BRC to zbiór zaleceń i wytycznych dla firm działających w sektorze przemysłu spożywczego, zwłaszcza hipermarketów (przede wszystkim hipermarketów brytyjskich) oraz firm dostarczających produkty żywnościowe pod własnymi markami. Uzyskanie przez firmę certyfikatu BRC dla całej linii produktów lub dla konkretnego produktu marki ma gwarantować, że dany produkt pomyślnie przeszedł specjalistyczne testy i inspekcje, jest wysokiej jakości i jest bezpieczny dla konsumentów.

 

BRC w stosunku do firm działających w sektorze spożywczym wymaga m.in. posiadania systemu HACCP, udokumentowania systemu, w tym: księgi jakości, schematu organizacyjnego, zakresu odpowiedzialności, opisu surowców i wyrobów gotowych, wdrożenia zasad dobrej praktyki produkcyjnej i dobrej praktyki higienicznej, posiadania opisu pakowania produktu, jego ważności i zabezpieczenia przed zanieczyszczeniami oraz opracowania zasad higieny, szkolenia personelu z opracowanych procedur.

 

Inspektor / Specjalista ds. ochrony danych osobowych wg RODO

Inspektor ochrony danych osobowych wg RODO

Od 25 maja 2018 r. zaczęły obowiązywać nowe przepisy europejskie z zakresu ochrony danych osobowych – Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich (RODO). Przepisy te nakładają na administratorów danych osobowych (ADO) nowe obowiązki związane z wdrożeniem odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe. Administrator będzie musiał wykazać zgodność tych zabezpieczeń z wymaganiami prawnymi (zasada rozliczalności). Aby spełnić wskazane zadania może wystąpić potrzeba skorzystania z pomocy eksperta – Inspektora ochrony danych osobowych (IODO) powołanego przez ADO.

Rozporządzenie wskazuje, kiedy ADO ma obowiązek powołania IODO. Będzie to miało miejsce:

Niezależnie od wskazanego nakazu wskazane jest aby Inspektorzy byli powoływani również w organizacjach gdzie nie ma takiego obowiązku.

Do zadań Inspektora RODO należy:

Aby spełnić te wymagania Inspektor powinien mieć odpowiednie kompetencje z zakresu:

Przy ustalaniu niezbędnego poziomu wiedzy fachowej należy wziąć pod uwagę w szczególności prowadzone operacje przetwarzania danych oraz ochrony jaka jest wymagana podczas przetwarzania danych osobowych.

 

Nasi konsultanci świadczą stałe usługi Inspektora Ochrony Danych Osobowych w firmach różnych branż, pomagają w opracowaniu dokumentacji. Zapraszamy również na szkolenia otwarte „Inspektor / Audytor RODO” oraz do zakupu szkoleń e-learningowych dla pracowników.

 

Specjalista ds. Ochrony Danych Osobowych

Inspektor ds. Ochrony Danych Osobowych nadzoruje i monitoruje przestrzeganie przepisów natomiast Specjalista odpowiada za ich wdrożenie w organizacji. Do jego zadań będzie należało opracowanie niezbędnych polityk, opracowanie rejestrów przetwarzania danych osobowych oraz wprowadzenie wspomnianych dokumentów w organizacji. Potrzebna do tego jest dogłębna znajomość obowiązujących przepisów oraz dobrych praktyk stosowanych w organizacjach. Zakres niezbędnej wiedzy może obejmować:

ISO 20000-1 - Zarządzanie usługami IT

Współczesny biznes w swoim codziennym rozwoju nieustannie bazuje na rozbudowanych procesach technologicznych. Norma ISO 20000-1 jest wyznacznikiem ich jakości oraz prawidłowego zarządzania – wyznacza standardy dla usług z branży IT opracowane przez Międzynarodową Organizację Normalizacyjną. Jej zadaniem jest wprowadzenie usystematyzowanych standardów działania organizacji z tej branży w zakresie efektywności i poprawności procesów. Jest więc narzędziem, które pomaga zadbać o najwyższą jakość zarządzania rozwiązaniami technologicznymi.

ISO 20000-1 – kto powinien je wdrożyć?

Wbrew pozorom wskazana norma nie ma ściśle ograniczonego grona adresatów. Obecnie większość firm na rynku ma mniej lub bardziej ścisły związek z branżą IT. Do organizacji, które mogą być zainteresowane jej wdrożeniem należą w szczególności:

Do grona naszych Klientów zaliczyć można również firmy z sektora finansowego czy zajmujące się rachunkowością i księgowością dla innych podmiotów. Dla tego wyspecjalizowanego sektora wysokiej jakości usługi i systemy informatyczne są kluczem do sprawnego funkcjonowania na rynku i pozyskiwania nowych Klientów.

 

Dostosowanie polityki zarządzania procesami IT do wymogów normy ISO 20000-1 w sposób oczywisty buduje przewagę konkurencyjną nad podmiotami, które nie decydują się na certyfikację swoich strategii. Dzięki certyfikacji klienci tych firm mogą mieć pewność, że środowiska informatyczne będą dobrze zarządzane a w przypadku outsourcingu, że otrzymają wysokiej jakości usługi informatyczne.

Jakie korzyści uzyska Twoja firma wdrażając ISO 20000-1?

Ciężko przytoczyć wszystkie pozytywne efekty, jakie będzie miało wdrożenie normy ISO 20000-1 w Twojej organizacji. Wśród najważniejszych wymienić można:

Przypominamy jednak, że takie korzyści mogą być osiągnięte jedynie po prawidłowym, stopniowym wdrożeniu. Należy podkreślić, że w dużej mierze norma czerpie z brytyjskiej normy BS 15000 oraz metodyki ITIL. Z tego też względu podmioty stosujące w codziennej pracy tak normę brytyjską, jak i metodykę ITIL nie powinny mieć najmniejszego problemu z wdrożeniem standardu ISO 20000-1. W ten sposób będą mogły nie tylko usprawnić politykę zarządzania, ale również znacznego podniesienia swojej wiarygodności.

 

Podmioty decydujące się na certyfikację powinny być w pełni świadome zakresu oddziaływania zmian w obszarze zarządzania usługami informatycznymi. Norma ISO 20000-1 stawia przed nimi konkretne wymagania – dostosowanie się do nich pozwoli firmom na zapewnienie odbiorcom świadczonych przez nie usług na realizowanie wszelkich działań na bardzo wysokim poziomie.

Według tego standardu na zarządzanie usługą składa się wiele procesów, takich jak m.in. zarządzanie

Jakie to będzie miało korzyści dla organizacji? Wszystkie powyższe elementy, dostosowane do kryteriów nowego standardu ISO 20000-1, pozwalają odbiorcom usług Państwa firmy mieć całkowitą pewność, że działania dostawcy realizowane będą na ustalonym poziomie oraz w precyzyjnie określonym czasie. Dzięki temu odbiorcy mogą mieć gwarancję ich dostępności oraz maksymalnego bezpieczeństwa.

Do czego w praktyce przyda się certyfikat ISO 20000-1?

Posiadając go firma przede wszystkim dostarczy Klientom niepodważalny dowód wysokiej jakości swoich usług, co ze względu na dużą konkurencję jest niezwykle istotne w branży IT. Oprócz tego wystawiony certyfikat ISO 20000-1 umożliwi podjęcie partnerskiej współpracy nie tylko z Polskimi, ale także zagranicznymi instytucjami – praca wszystkich podmiotów oparta będzie bowiem na takich samych, wysokich standardach.

Normy ISO

Normy ISO

Wdrażana przez nas norma ISO 9001 jest jedną z najstarszych

Obecna jest ona na rynku już od ponad 25 lat! Ma ona nie tylko długą historię, ale jest też jedną z najczęściej wykorzystywanych przez przedsiębiorców. Obejmuje ona strategie zarządzania jakością, co z perspektywy rozwoju przedsiębiorstwa oraz pozyskiwania nowych klientów jest niezwykle ważne. Skupia się na ekonomicznym prowadzeniu produkcji, efektywnym realizowaniu dialogu z klientami oraz budowaniu wizerunku biznesowego partnera godnego zaufania.

Zarządzanie jakością w organizacji – norma ISO 9001

Międzynarodowa norma ISO 9001 precyzyjnie określa wymagania, jakie muszą spełniać systemy zarządzania jakością w danej organizacji. Skierowana jest ona do wszystkich podmiotów – niezależnie od ich wielkości, rodzaju czy branży w jakiej działają. Skierowana jest do organizacji, które muszą wykazać zdolność dostarczania do swoich Klientów towarów, wyrobów a także usług, zgodnych z ich wymaganiami, jak również przepisami. Do głównych wymagań, jakie na organizacje nakłada norma ISO 9001 należą m.in. prowadzenie dokumentacji i nadzorowanie jej, usystematyzowanie zarządzania zasobami czy ustalenie procesów realizacji wyrobów.

 

Norma uwzględnia osiem podstawowych zasad jakości, do których zaliczyć można zorientowanie na Klienta oraz zaangażowanie ludzi. Według założeń ISO 9001 efektywność działania organizacji zależy od jakości zachodzących w niej procesów. Zasadą jest również systemowe podejście do zarządzania (na zasadzie wzajemnych procesów) oraz stałe polepszanie funkcjonowania procesów. Z jej perspektywy ważne jest także tworzenie wzajemnych, korzystnych dla oby stron stosunków między przedsiębiorstwami, a dostawcami.

Aby uzyskać certyfikat normy ISO 9001 należy spełnić wymagania zawarte w rozdziałach normy. Certyfikat wydawany jest przez niezależną jednostkę badającą daną organizację pod kątem spełnienia procedur.

Jakie korzyści czekają na organizacje?

Istnieje wiele zalety wdrożenia w przedsiębiorstwie systemu zarządzania jakością, czyli dostosowania strategii działania do wymogów normy ISO 9001. Do najważniejszych należą między innymi:

  • uporządkowany przebieg realizowanych procesów,
  • cykliczny i systematyczny przegląd czynności podejmowanych przez organizację (audyty wewnętrzne),
  • korzystanie ze sprawdzonych, rzetelnych dostawców i partnerów,
  • nieustanne sprawdzanie i analizowanie wymagań Klientów,
  • usprawniony nadzór nad stosowanymi procedurami, instrukcjami oraz inną niezbędną dokumentacją,
  • przyporządkowanie uprawnień i odpowiedzialni wszystkim pracownikom organizacji,
  • zapewnianie i planowanie zasobów ludzkich i materialnych,
  • usprawnienie komunikacji wewnątrz organizacji,
  • udział pracowników w wielu kursach i szkoleniach ISO 9001 realizowanych podczas wdrażania systemu zarządzania jakością.

Centrum Doskonalenia Zarządzania Meritum specjalizuje się w przygotowywaniu organizacji do pozytywnego przejścia audytu zewnętrznego, którego finalnym celem ma być uzyskanie certyfikatu od niezależnej instytucji. Naszym zadaniem jest przeprowadzenia Państwa przez cały proces – od początku, przez kompleksowe wdrożenie ISO 9001, aż po końcowy etap ostatecznej weryfikacji. Ta ostatnia faza może nastąpić nawet po kilku lub kilkunastu miesiącach po uzyskaniu certyfikatu. Dotychczas wszyscy prowadzeni przez nas klienci uzyskali certyfikaty.

W ramach naszej kompleksowej oferty proponujemy Państwu:

  • pełne doradztwo,
  • szkolenia oraz kursy (dotyczące normy ISO 9001 i innych standardów) – otwarte, zamknięte, stacjonarne i on-line,
  • program (Certus Process Modeler) do przygotowania dokumentacji w wersji elektronicznej,
  • program JBR Ryzyko do analizy ryzyka,
  • szkolenia e-learningowe (zarówno dla kierownictwa, pełnomocnika, audytorów wewnętrznych) – wszystkie produkty dostępne są w naszym sklepie online,
  • podręcznik „Jak samodzielnie wdrożyć ISO 9001:2015”,
  • e-booki (Zarządzanie procesami, Dokumentowanie systemu zarządzania jakością, Co trzeba wiedzieć o audytach wewnętrznych zgodnych z ISO 9001?) – zobacz oferowane produkty w naszym sklepie internetowym,
  • usprawnienie komunikacji wewnątrz organizacji,
  • udział pracowników w wielu kursach i szkoleniach ISO 9001 realizowanych podczas wdrażania systemu zarządzania jakością.

Po uzyskaniu certyfikatu nie pozostawiamy naszych klientów samych sobie. Od wielu lat pomagamy im utrzymywać i doskonalić systemy zarządzania jakością zgodne z normą ISO 9001.

Norma ISO 14001

Jednym z coraz częściej stosowanych standardów podnoszących jakość polskich przedsiębiorstw jest ISO 14001. To norma w której Międzynarodowa Organizacja Normalizacyjna wyznaczyła wymagania dotyczące systemu zarządzania środowiskowego w organizacjach. Oznacza to, że odpowiada ona za efektywne zarządzanie polityką firmy odpowiedzialną za działania zgodne z ochroną środowiska naturalnego. Celem wprowadzania wszelkich zmian oraz optymalizowania procedur danego przedsiębiorstwa pod kątem normy jest zminimalizowanie wpływu wszelkich aktywności podmiotu gospodarczego na środowisko naturalne.

 

System zarządzania ochroną środowiska obejmuje działania ogólne, ukierunkowane na zminimalizowanie szkodliwego wpływu działalności człowieka na środowisko naturalne. Dzięki temu rozwiązanie to doskonale sprawdza się zarówno w dużych i rozbudowanych metropoliach, jak również małych społecznościach lokalnych.

Kto musi wdrożyć normę ISO 14001?

Wdrożenie normy ma za zadanie wypracowanie standardów funkcjonowania, a długofalowo również przyniesienie korzyści organizacjom, które

  • pragną wykazać swój odpowiedzialny stosunek oraz stanowisko wobec troski o środowisko naturalne,
  • wykazują gotowość do wprowadzenia zmian pozwalających na minimalizację ich oddziaływania na przyrodę.

Tak naprawdę wdrożenie ISO 14001 zalecane jest więc zarówno niewielkim podmiotom, jak rozbudowanym, międzynarodowym korporacjom. Dostosowanie polityki działania do wymogów tej normy ma wpływ nie tylko na zwiększenie skuteczności ochrony środowiska oraz zminimalizowanie wpływu przedsiębiorstwa na dany ekosystem. Wdrożenie standardów środowiskowych ma także znaczenie wizerunkowe – z takich zmian oraz norm korzystają firmy odpowiedzialne, rozwijające się w dialogu z założeniami zrównoważonego rozwoju. Postawa ta jest doceniania przez coraz szersze grono konsumentów i kontrahentów na całym świecie.

Zakres normy ISO 14001

Pomimo tego, że ISO 14001 obejmuje przede wszystkim bardzo ogólne, uniwersalne kryteria strategii zarządzania, to jednak nie brakuje jej konkretnych wymogów.

 

Kryteria normy precyzyjnie określają m.in.:

  • konieczność dokumentowania działań związanych z wdrożeniem nowych standardów oraz ich realizacją,
  • obowiązek prowadzenia dokumentacji w ramach Polityki Środowiskowej,
  • potrzebę przeprowadzenia audytu wstępnego, na podstawie którego wyznaczone zostają obszary wymagające modyfikacji,
  • strategie wdrażania i funkcjonowania normy.

Pomożemy Ci wprowadzić zmiany krok po kroku

Jedynie zaplanowane, przemyślane działanie może spowodować, że wdrożenie normy ISO 14001 przebiegnie gładko zarówno dla pracowników, jak i kierownictwa firmy. Nasi konsultanci podejmą krok po kroku działania mające na celu gładkie, a zarazem skuteczne wprowadzenie zmian. Należą do nich:

  1. Ocena organizacji – jej warunków geograficznych, kulturalnych i społecznych, funkcjonowania w branży itp. Bierzemy pod uwagę również rodzaj działalności i wielkość firmy.
  2. Przygotowanie merytoryczne kadry do realizowania celów, w postaci zaznajomienia ze standardami i procedurami normy czy sposobach na zapobieganie zanieczyszczeniom.
  3. Stopniowe wdrażanie zmian po dostosowaniu ich do funkcjonowania danej organizacji.
  4. Bieżąca kontrola i monitorowanie powodzenia projektu i korygowanie niedoskonałości.
  5. Przeprowadzanie dla personelu organizacji szkoleń i kursów pomagających zapoznać się z nowymi standardami i korzyściami z nich wypływającymi.

Co zyska organizacja wprowadzając normę ISO 14001?

Celem wprowadzenia normy ISO 14001 jest oczywiście zwiększenie troski o środowisko naturalne i pro ekologiczna postawa. Jednak jej wdrożenie przyniesie organizacji również doraźne korzyści – zarówno o charakterze materialnym, jak i związanym pozycją na rynku. Można zaliczyć do nich:

  • poprawa konkurencyjności firmy, korzystny wpływ na jej wizerunek i sposób odbierania zarówno przez klientów, inwestorów, jak i wspólników (działanie zgodnie z normą ISO 14001 jest obecnie uznawane za standard w renomowanych branżach),
  • możliwość startowania w różnych programach, ukierunkowanych na ochronę środowiska (pozwala to na skorzystanie z licznych dofinansowań unijnych),
  • usystematyzowanie stanu formalno-prawnego firmy,
  • możliwość szybszego oraz łatwiejszego uzyskania pozwoleń (np. na rozbudowę),
  • znacząca redukcja wytwarzanych odpadów (oraz zanieczyszczeń) – wiążą się z tym także mniejsze koszty redukcji i usuwania odpadów,
  • znacznie lepsze, oparte na wzajemnym zaufaniu, stosunki organizacji ze społecznością lokalną oraz jej władzami.

Dla Państwa wygody program do dokumentowania systemu zarządzania jakością – Certus uzupełniony został o wymagane normą ISO 14001 elementy.

Istotą Systemu Zarządzania Bezpieczeństwem i Higieną Pracy jest zarządzanie działaniami na rzecz poprawy bezpieczeństwa i higieny pracy pracowników oraz osób trzecich znajdujących się na terenie przedsiębiorstwa.

 

System skupia się na:

  • wykrywaniu ewentualnych przyczyn wypadków i ich eliminowaniu, zanim doprowadzą one do niepożądanych zdarzeń,
  • na wypracowaniu sposobów skutecznego reagowania na sytuacje już zaistniałe, związane z wystąpieniem wypadków i awarii oraz zapobieganiu chorobom zawodowym.

W 1999 roku powstała Polska Norma PN-N 18001, która została znowelizowana w roku 2004. W marcu 2018 roku opublikowana została norma ISO 45001 zastępujaca dotychczasowe normy krajowe.

Co zyska organizacja wprowadzając normę ISO 14001?

Główne korzyści wynikające z posiadania wdrożonego Systemu Zarządzania Bezpieczeństwem i Higieną Pracy zgodnego z normą ISO 45001:

  • zmniejszenie ryzyka wystąpienia wypadków przy pracy i chorób zawodowych,
  • spełnienie wymagań przepisów bhp w ramach spójnego systemu,
  • zmniejszenie ilości i uciążliwości wizyt PIP i służb bhp,
  • łatwiejsze pozyskiwanie pracowników dzięki renomie przedsiębiorstwa,
  • podniesienie świadomości pracowników w zakresie bhp.

Przedsiębiorstwa, w których pracownicy są szczególnie narażeni na utratę zdrowia lub życia, powinny wprowadzić System Zarządzania Bezpieczeństwem i Higieną Pracy.

Bardzo często praktykowana jest integracja wdrożenia Systemu Zarządzania Bezpieczeństwem i Higieną Pracy z normą ISO 9001 – Systemem Zarządzania Jakością. Mechanizmy funkcjonowania systemu są bardzo podobne i możliwe do wykorzystania w przypadku procedur systemowych. Integracja systemów daje możliwość znacznego obniżenia kosztów ich wdrożenia.

Systemy zarządzania w bezpieczeństwie informacji

ISO 27001 - System zarządzania bezpieczeństwem informacji

Norma i wdrożenie ISO 27001

Współczesny biznes w dużej mierze opiera się na przekazywaniu, archiwizowaniu oraz zarządzaniu informacjami. Wszystkie te procesy muszą podlegać precyzyjnej ochronie. I właśnie te standardy reguluje norma ISO 27001. Jest rozwiązaniem przynoszącym narzędzia pozwalające na zabezpieczenie danych oraz zwiększenie kontroli dostępu do nich.

 

W celu pełnego zrozumienia znaczenia ISO 27001 warto zwrócić na chwilę uwagę na sam aspekt bezpieczeństwa informacji. Bywa ono utożsamiane z możliwościami technicznymi rozwiązań informatycznych zastosowanych w firmie. Często ceduje się to na szefów IT, którzy– nie znając strategicznych celów firmy – próbują zabezpieczyć wszystkie informacje przed zdiagnozowanymi zagrożeniami. Ryzykują w ten sposób z jednej strony niezadowolenie zarządzających, a z drugiej narażają się na użytkowników, którzy w zabezpieczeniach postrzegają ograniczenia wolności dostępu do danych. My staramy się do bezpieczeństwa informacji podchodzić w sposób biznesowy – potraktujemy ją, jako jeden z aktywów firmy a metody i zakres dostosujemy do wartości tego aktywu.

Od bezpieczeństwa do normy ISO 27001

Niezależnie od formy i sposobu przekazywania informacji w przedsiębiorstwie musi ona podlegać odpowiedniej i skutecznej ochronie. Wymagania związane z normą ISO 27001 precyzyjnie określają rozumienie i realizowanie aspektu bezpieczeństwa informacji. Są to trzy, podstawowe kryteria, czyli:

  • poufność,
  • integralność,
  • dostępność.

W konsekwencji wdrożenie ISO 27001 oznacza zarówno ograniczenie dostępu do informacji zadbanie o właściwe metody kompletowania oraz przetwarzania przechowywanych danych, jak również udostępnienie informacji osobom nieupoważnionym wówczas, gdy jest to konieczne.

 

Firmy, ich systemy i sieci stają w obliczu zagrożeń pochodzących z wielu źródeł, takich jak oszustwa dokonywane za pomocą komputera, szpiegostwo, sabotaż, wandalizm, pożar lub powódź. Źródła uszkodzeń takie, jak wirusy i hackerstwo komputerowe, ataki powodujące odmowę usługi czy celowe zniszczenie informacji stają się coraz powszechniejsze, ambitniejsze i bardziej wyrafinowane. Dlatego wdrożenie ISO 27001 uznać należy za skuteczną ochronę danych oraz zmianę korzystną dla całego przedsiębiorstwa.

Sposób wdrożenia ISO 27001

Norma ISO 27001 podpowiada, że bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw środków, do których należeć mogą polityki, praktyki, procedury, struktury organizacyjne i funkcje oprogramowania. Taki zestaw środków często nazywamy zabezpieczeniami. Pojawia się jednak pytanie, jaki poziom zabezpieczeń jest dla firmy odpowiedni. Oczywistym jest, że firma musi zabezpieczyć te informacje, których ochrona wynika z przepisów prawa np. dane osobowe.

 

Dlatego też należy dokonać szacowania ryzyka. Poprzez szacowanie ryzyka zgodnie z ISO 27001 można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz potencjalne skutki. Wydatki na zabezpieczenia powinny być odniesione do strat w działalności biznesowej, które mogłyby być rezultatem naruszeń bezpieczeństwa.

 

Trzeba pamiętać, że analiza (pod kątem normy ISO 27001) nie może ograniczać się jedynie do sfery informatyki i powinna dotyczyć również innych obszarów. Wyniki tego szacowania pomogą wskazać i określić właściwe działania kierownictwa oraz określić priorytety dla zarządzania ryzykiem odnoszącym się do bezpieczeństwa informacji. Ponadto, oszacowane ryzyko i wynikające z niego metody zabezpieczeń pozwalają na racjonalne wykorzystanie środków, jakie są przeznaczone na zapewnienie bezpieczeństwa. Pozwala na zachowanie równowagi przy przydzielaniu tych środków na bezpieczeństwo systemów informatycznych, bezpieczeństwo osobowe czy fizyczne.

 

Jednocześnie kierownictwo może świadomie określić:

  • politykę bezpieczeństwa informacji zgodną z ISO 27001,
  • podział odpowiedzialności związanych z bezpieczeństwem informacji,
  • niezbędne szkolenia w dziedzinie bezpieczeństwa informacji,
  • zasady zgłaszania przypadków naruszenia bezpieczeństwa,
  • zasady zarządzania ciągłością działania firmy.

Korzyści ISO 27001

Reasumując – jakie korzyści czekają na podmioty decydujące się wprowadzić normę ISO 27001? Oto niektóre z nich

  • minimalizacja ryzyka związanego z utratą danych (także wskutek ich kradzieży),
  • znaczące podniesienie prestiżu przedsiębiorstwa – zarówno Klienci, jak i Kontrahenci z pewnością docenią dbałość o zachowanie jak najwyższych standardów bezpieczeństwa danych,
  • gwarancja zgodności realizowanych strategii z wymogami prawnymi,
  • możliwość podjęcia natychmiastowych reakcji w przypadku wykrycia jakichkolwiek zmian bądź nieprawidłowości.

ISO 27017 i 27018 - System zarządzania bezpieczeństwem informacji w chmurze

Technologia informacyjna – techniki bezpieczeństwa – Kodeks praktyk dotyczących środków kontroli bezpieczeństwa informacji oparty na normie ISO/IEC 27002 związanej z usługami w chmurze.

Norma ISO/IEC 27017 stosowana z serią norm ISO/IEC 27001 zapewnia dostawcom usług w chmurze i klientom korzystającym z usług w chmurze kontroli wytyczne w zakresie stosowania zabezpieczeń podnoszących poziom bezpieczeństwa usług. W przeciwieństwie do wielu innych norm związanych z technologią, w ramach normy ISO/IEC 27017 określono role i odpowiedzialności strony, aby pomóc zapewnić bezpieczeństwo i ochronę usług w chmurze na poziomie, porównywalnym z zawartych poziomem bezpieczeństwa w certyfikowanym systemie zarządzania informacjami.

 

W ramach normy zapewniono wskazówki oparte na technologii przetwarzania danych w chmurze dotyczące 37 zabezpieczeń uwzględnionych w ISO/IEC 27002, ale również wyróżniono siedem nowych zabezpieczeń danych w chmurze dotyczących następujących kwestii

  • zakres odpowiedzialności podmiotów w relacjach między dostawcami danych w chmurze a klientami korzystającymi z chmury,
  • usunięcie/zwrot aktywów po rozwiązaniu umowy,
  • ochrona i oddzielenie środowiska wirtualnego klienta,
  • konfiguracja maszyny wirtualnej,
  • działania i procedury administracyjne związane z środowiskiem przetwarzania danych w chmurze,
  • monitorowanie działań w chmurze klientów korzystających z usług przetwarzania danych w chmurze,
  • dostosowanie środowiska sieci wirtualnej i środowiska chmury obliczeniowej.

Norma ISO/IEC 27018, stosowana wraz z ISO/IEC 27001, została opublikowana, aby Dostawcy Usług w Chmurze, których infrastruktura posiada certyfikat zgodności z normą, mogli powiedzieć swoim obecnym i potencjalnym klientom, że ich dane są chronione i nie będą wykorzystywane do żadnych celów, w odniesieniu do których nie została udzielona wyraźna zgoda.

ISO 27701 - System zarządzania informacją o prywatności

ISO/IEC 27701:2019 Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 dotyczące zarządzania informacjami o prywatności — Wymagania i wytyczne.

 

ISO/IEC 27701 to rozszerzenie do norm ISO/IEC 27001 Zarządzanie Bezpieczeństwem Informacji i ISO/IEC 27002 Zasady Zabezpieczania Informacji, które dotyczą kwestii zarządzania prywatnością informacji.

 

Ten międzynarodowy system zarządzania prywatnością, jest przewodnikiem po prywatności informacji, wyjaśniającym jak organizacja powinna zarządzać danymi osobowymi i wspierać działanie zgodnie z przepisami dotyczącymi prywatności na całym świecie.

 

Norma ISO/IEC 27701 przeznaczona jest dla wszystkich rodzajów organizacji, publicznych i prywatnych: firm, urzędów czy organizacji non-profit. 

 

W zakresie przedmiotowym norma określa wymagania a także zawiera wytyczne związane z ustanowieniem, wdrożeniem, utrzymywaniem i ciągłym doskonaleniem Systemu Zarządzania Informacjami o Prywatności (PIMS) w formie rozszerzenia ISO/IEC 27001 i ISO/IEC 27002. Norma to także rodzaj wytycznych dla administratorów i podmiotów przetwarzających. W zakresie podmiotowym norma znajduje zastosowanie do wszystkich typów organizacji, które przetwarzają informacje o prywatności jako administratorzy lub podmioty przetwarzające w ramach Systemu Zarządzania Bezpieczeństwem Informacji.

 

ISO/IEC 27005

ISO/IEC 27005 jest jedną z kilkunastu norm z rodziny ISO/IEC 27000 stanowiących zestaw narzędzi dotyczących cyberryzyka, z których wiodąca jest ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (Information technology – Security techniques – Information security management systems – Requirements).

Standard ISO/IEC 27005 dostarcza wskazówek do zastosowania podejścia do zarządzania ryzykiem w bezpieczeństwie informacji odpowiedniego do wszystkich organizacji.

ISO 22301-System zarządzania ciągłością działania (dawniej 25999)

Norma ISO 22301:2019

Ciągłość działania jest kluczowym zagadnieniem dla bezpiecznego i niezawodnego funkcjonowania firm i instytucji. Ale czy rzeczywiście są one przygotowane do zapewnienia ciągłości działania? A nawet jeśli one same podjęły wysiłek opracowania planów na wypadek wystąpienia zakłóceń lub przerw w ich działalności, to czy uzyskane efekty spełnią oczekiwania i skutecznie zabezpieczą przed utratą ciągłości działania? Wiele osób odpowiedzialnych za zapewnienie ciągłości działania w organizacjach niejednokrotnie zastanawia się, czy przygotowane plany ciągłości działania (BCP – business continuity plan), plany awaryjne dotyczące IT (DRP – disaster recovery plan) są planami skuteczne chroniącymi przed przerwami w działalności oraz czy są optymalne i adekwatne do potencjalnych skutków utraty ciągłości?
 

Pomocą w zarządzaniu ciągłością działania w organizacji jest norma ISO 22301:2019 System zarządzania ciągłością działania. Zawiera ona podpowiedź, w jaki sposób zaplanować, opracować i wdrożyć oraz monitorować i doskonalić system zarządzania ciągłością działania w celu zapewnienia odporności organizacji na niepożądane zdarzenia – niezależnie od branży i wielkości organizacji.

Jak ważne jest zapewnienie ciągłości działania wiedzą nie tylko te organizacje, które zostały podtopione, w których wybuchł pożar czy też miała miejsce przerwa w zasilaniu w energię elektryczną, ale również organizacje, których dostawcy usług nagle przestali dostarczać im surowce i towary lub spóźnili się z ich dostawą, wystąpiła poważna awaria maszyn produkcyjnych lub też zewnętrzne usługi informatyczne przestały być dostępne.

Proces zarządzania ciągłością działania

Ogólny schemat funkcjonowania procesu zarządzania ciągłością działania wg normy ISO 22301:2019 jest następujący:

  • zidentyfikuj, co jest dla organizacji najważniejsze z punktu widzenia potencjalnych strat (BIA – Business Impact Analysis – Analiza Wpływu na Biznes),
  • zidentyfikuj, jakie zagrożenia mogą doprowadzić do zakłócenia działalności organizacji,
  • opracuj sposoby reakcji na zakłócenia (BCP – Business Continuity Plans – Plany Ciągłości Działania),
  • sprawdź, czy opracowane sposoby reakcji są skuteczne (testy, ćwiczenia i symulacje).

Certyfikacja normy ISO 22301:2019

Po spełnieniu wymagań organizacja może certyfikować swój system zarządzania ciągłością działania na zgodność z wymaganiami ISO 22301:2019. 

ISO 28000-System zarządzania ciągłością działania

Norma ISO 28000 

Tematy związane z bezpieczeństwem są w chwili obecnej jednymi z najważniejszych kwestii dla funkcjonowania wszystkich rodzajów przedsiębiorstw, niezależnie od branży i obszaru działalności, ale samo pojęcie bezpieczeństwa dla każdej organizacji może już oznaczać zupełnie co innego.

 

W 2008 roku ukazała się norma ISO 28000 System zarządzania bezpieczeństwem łańcucha dostaw przeznaczona dla wszystkich organizacji biorących udział w procesie dostaw produktów, na każdym jego etapie, począwszy od wyboru kontrahentów, poprzez transport, spedycję, odprawy celne, magazynowanie itp.

 

Nadrzędnym celem systemu zarządzania bezpieczeństwem łańcucha dostaw wg normy ISO 28000 jest zapewnienie odpowiedniego poziomu bezpieczeństwa, poprzez wdrożenie i utrzymanie zabezpieczeń, przez każdego uczestnika łańcucha, tak aby zapewnić bezpieczeństwo całości. O sile łańcucha świadczy siła jego najsłabszego ogniwa.

Bezpieczeństwo łańcucha dostaw

System zarządzania bezpieczeństwem łańcucha dostaw oparty jest na strukturze innych norm ISO i promuje podejście oparte na analizie ryzyka, zapewnieniu zgodności z wymaganiami prawnymi i innymi, reagowaniu na awarie i zagrożenia mogące spowodować przerwanie łańcucha. Certyfikacja organizacji na zgodność z wymaganiami ISO 28000 zapewnia obiektywne potwierdzenie zdolności organizacji do zapewnienia wysokiego poziomu bezpieczeństwa powierzonych jej towarów.

 

W zakresie kontroli celnej dotyczącej bezpieczeństwa i ochrony przedsiębiorca posiadający certyfikat ISO 28000 może korzystać z następujących ułatwień:

  • podlega mniejszej niż inni przedsiębiorcy liczbie kontroli fizycznej i kontroli dokumentów,
  • w przypadku wytypowania go do kontroli przeprowadzana jest ona w sposób priorytetowy,
  • uprawnienia do wcześniejszego powiadomienia o wytypowaniu przesyłki do kontroli,
  • uprawnienia do składania przywozowej deklaracji skróconej z ograniczonym zakresem danych bezpieczeństwa,
  • możliwości wnioskowania o przeprowadzenie kontroli w innym miejscu niż urząd celny.

Jeśli jesteś zainteresowany uzyskaniem dodatkowych informacji o wdrożeniu normy ISO 28000 prosimy o kontakt.

ISO 31000-Zarządzanie ryzykiem

Norma ISO 31000 – Zarządzanie ryzykiem

Jednym z najskuteczniejszych i jednocześnie najbardziej powszechnych systemów zmian jest norma ISO 31000. Swoją efektywność zawdzięcza przede wszystkim przyszłościowemu ukierunkowaniu, które pozwala wielu podmiotom sięgnąć po zespół narzędzi zapewniających im stabilny i długotrwały rozwój – niezależny od czynników zewnętrznych oraz zmiennej sytuacji na rynku. Warto więc bardzo uważnie przyjrzeć się problemom, dla których, w charakterze biznesowego antidotum, powołane do życia zostały nowe standardy ujęte w strategiach normy ISO 31000.

Czym jest norma ISO 31000?

Wśród międzynarodowych norm, określających wysokie standardy zarządzania różnego rodzaju zasobami, norma ISO 31000 zajmuje szczególne miejsce. Odpowiada za zarządzanie ryzykiem – czynnikiem, który ma znaczący wpływ na rozwój biznesu, niezależnie od branży. Dynamika i zmienność, która reguluje procesy gospodarcze, wymaga od przedsiębiorców umiejętności zarządzania ryzykiem. Związane jest to z umiejętnością przeprowadzania dokładnych analiz oraz przygotowywania strategii, które pomimo zmian – nawet tych nieprzewidzianych – pozwolą przedsiębiorstwu utrzymać wysoką pozycję na rynku. Jest to również związane z zachowaniem odpowiedniej elastyczności oraz otwartości na zmiany, a dzięki temu – możliwości dostosowania się do zmieniających się oczekiwań i potrzeb konsumentów. Zarządzanie ryzykiem, w dłuższej perspektywie, jest więc nie tylko zabezpieczeniem płynnego działania przedsiębiorstwa, ale przede wszystkim stworzeniem nowoczesnej strategii rozwoju.

 

Zachowana dyscyplina w obszarze przestrzegania wytycznych ISO 31000 pomoże również w zwiększeniu wydajności pracy, a co za tym idzie – uczynieniu jej bardziej ekonomiczną. Zarządzanie ryzykiem ma bowiem na uwadze nie tylko przygotowanie przedsiębiorstwa do zmian, ale również do odpowiedzialnego wykorzystywania dostępnych mu zasobów. Norma ISO 31000 jest więc też planowaniem, ukierunkowanym na wieloletni rozwój.

Skąd pomysł na certyfikację?

Wszystkie organizacje zarządzają ryzykiem. Próbują przewidzieć przyszłość i podjąć takie działania, których efekt będzie najkorzystniejszy dla organizacji. Zarządzać ryzykiem można doraźnie, od przypadku do przypadku, ale w takiej sytuacji trochę trudno mówić o prawdziwym zarządzaniu ryzykiem, raczej o identyfikacji ryzyka. Co to znaczy zarządzanie ryzykiem?

 

Zarządzanie ryzykiem wg ISO 31000 obejmuje m.in. identyfikację ryzyka, ocenę i ewaluację ryzyka, postępowanie z ryzykiem oraz jego monitorowanie i związaną z nimi komunikację.

 

Jednym z celów powstania normy jest integracja procesu zarządzania ryzykiem z procesami zarządzania organizacją, a także z jej strategią i planowaniem, zarządzaniem, procesami raportowania, politykami, wartościami i kulturą.

 

Ogólne podejście określone w ISO 31000 dostarcza zasad i wytycznych do zarządzania jakimkolwiek rodzajem ryzyka w sposób systematyczny, przejrzysty i wiarygodny w obrębie dowolnego zakresu i kontekstu.

 

Zasady i wytyczne normy są uniwersalne i mogą być stosowane do zarządzania:

  • ryzykiem operacyjnym,
  • ryzykiem finansowym,
  • ryzykiem dotyczącym bezpieczeństwa informacji,
  • ryzykiem związanym z zarządzaniem ciągłością działania,
  • ryzykiem korporacyjnym,
  • ryzykiem w systemie antykorupcyjnym,
  • i innych.

Wymagania ISO 31000

Na koniec zwrócimy jeszcze uwagę na wymagania, które wiążą się z podjęciem działań zmierzających do certyfikacji procesów zarządzania ryzykiem.

 

W trakcie samego audytu kontrolnego ocenie podlega bowiem:

  • ogólna zgodność z wymogami ISO 31000,
  • ocena świadomości zmian wśród pracowników (audytorzy przeprowadzają rozmowy kontrolne),
  • wskazanie zarówno mocnych, jak i słabych punktów wraz z planem rozwojowym (harmonogram dalszych zmian),
  • wstępna identyfikacja i diagnoza ryzyk, z którymi dany podmiot może się zetknąć,
  • wskazanie alternatywnych rozwiązań (przede wszystkim metod działania).

ISO 13485-System zarządzania jakością dla wyrobów medycznych

Norma ISO 13485 zawiera szczegółowe wymagania dotyczące wyrobów medycznych i wyłącza niektóre wymagania ISO 9001. Wymagania normy ISO 13485 uzupełniają (nie zastępują) wymagania techniczne dotyczące wyrobu.

Cel normy ISO 13485

  • ułatwienie zharmonizowania wymagań przepisów dotyczących wyrobów medycznych z systemami zarządzania jakością.

Norma ISO 13485 skierowana jest do organizacji, które projektują, produkują, instalują i serwisują wyroby medyczne a także dostarczają związane z nimi usługi, takich jak:

  • producenci wyrobów medycznych klasy IIa, IIb i III,
  • producenci wyrobów medycznych klasy I,
  • firmy instalujące, serwisujące wyroby medyczne oraz producenci komponentów do wyrobów medycznych,
  • organizacje świadczące usługi związane z wyrobami medycznymi,
  • importerzy i dystrybutorzy wyrobów medycznych.

Normę ISO 13485 można zastosować w organizacjach wytwarzających wyroby medyczne odpowiadające definicji zawartej w normie ISO 13485. Zgodnie z nią wyrób medyczny to np.:

  • narzędzie,
  • aparat,
  • maszyna,
  • przyrząd,
  • implant,
  • odczynnik in vitro,
  • pogram,
  • materiał.

Korzyści płynące z wdrożenia systemu ISO 13485

  • podniesienie bezpieczeństwa i efektywności wytwarzanych urządzeń,
  • poprawa jakości świadczonych usług,
  • uporządkowanie dokumentacji wewnętrznej w przedsiębiorstwie,
  • redukcja ryzyka niewłaściwej pracy urządzeń,
  • wzrost konkurencyjności na rynku,
  • lepszy dostęp do rynku krajowego i zagranicznego.

W odróżnieniu od ISO 9001, norma ISO 13485 zogniskowana jest na bezpieczeństwie wyrobu i zgodności z wymaganiami formalnymi (przepisami), stąd zniknęło z niej “ciągłe doskonalenie” i “monitorowanie zadowolenia klienta”, które są istotnym elementem ISO 9001. Nie znaczy to jednak, że dla wyrobów medycznych dopuszczono “taryfę ulgową” – przeciwnie, norma ISO 13485 wprowadza inne, dalej idące mechanizmy w tym zakresie.

Standardy w branży spożywczej

HACCP

Norma i wdrożenie ISO 27001

Analiza zagrożeń i krytyczne punkty kontroli (również system HACCP od ang. Hazard Analysis and Critical Control Points – HACCP) – postępowanie mające na celu zapewnienie bezpieczeństwa żywności przez identyfikację i oszacowanie skali zagrożeń z punktu widzenia wymagań zdrowotnych żywności oraz ryzyka wystąpienia zagrożeń podczas przebiegu wszystkich etapów produkcji i obrotu żywnością. System HACCP pozwala na uzyskanie pewności, że w całym łańcuchu dostarczania produktu dla klienta końcowego, firmy wykonały wszystko dla bezpieczeństwa wyrobu i konsumenta, w odniesieniu do przepisów, zasad dobrej praktyki produkcyjnej, dobrej praktyki higienicznej i potrzeb klientów.

7 zasad systemu HACCP zawarto w art. 5 ust. 2 rozporządzenia (WE) nr 852/2004 Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie higieny środków spożywczych. Są one następujące:

Zasada 1 – Identyfikacja zagrożeń i opisanie środków zapobiegawczych.

Zasada 2 – Identyfikacja krytycznych punktów kontroli (CCP).

Zasada 3 – Identyfikacja limitów krytycznych.

Zasada 4 – Ustalenie systemu monitorowania CCP.

Zasada 5 – Określenie działań korygujących.

Zasada 6 – Ustalenie procedur weryfikacji systemu.

Zasada 7 – Ustalenie procedur i zapisów.

7 zasad systemu HACCP zawarto w art. 5 ust. 2 rozporządzenia (WE) nr 852/2004 Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie higieny środków spożywczych. Są one następujące:

ISO 22000 - System zarządzania bezpieczeństwem żywności

Norma ISO 22000 jest standardem określającym wymagania wobec systemów zarządzania bezpieczeństwem żywności, obejmującym wszystkie organizacje w łańcuchu produkcji żywności – od upraw i hodowli po stół z żywnością.

 

Standard ISO 22000 przeznaczony jest dla firm, które chcą poddać certyfikacji tylko ISO 22000 albo zintegrować swoje systemy jakościowe, na przykład ISO 9001 z Systemem Zarządzania Bezpieczeństwem Żywności. 

 

Do wymagań tej normy oprócz podstawowych zagadnień przeniesionych z ISO 9001 włączono: system HACCP, zasady dobrych praktyk produkcyjnych, higienicznych i dystrybucyjnych. W celu ułatwienia procesu integracji wdrażania wymagań tej normy z innymi standardami ISO oparto je na schemacie ISO 9001 czy ISO 14001

 

FSSC 22000

To system certyfikacji bezpieczeństwa żywności oparty na istniejącej, uznanej na całym świecie normie ISO 22000 i uzupełniony o normy techniczne, takie jak ISO TS 22002-1 dla produkcji żywności i ISO TS 22002-4 dla produkcji opakowań. Certyfikacja systemu bezpieczeństwa żywności (FSSC 22000) w zakresie zarządzania bezpieczeństwem / jakością żywności i pasz jest uznanym na całym świecie systemem certyfikacji bezpieczeństwa żywności. Ma on zastosowanie do wszystkich organizacji w łańcuchu żywnościowym, niezależnie od wielkości i złożoności.

 

FSSC 22000 to norma bezpieczeństwa żywności Globalnej Inicjatywy na rzecz Bezpieczeństwa Żywności (GFSI). FSSC 22000 oparta jest na ISO 22000, programie wstępnym (PRP) odnoszącym się do branży oraz zdefiniowanych dodatkowych wymaganiach FSSC.

 

Ponieważ FSSC 22000 opiera się na normie ISO, umożliwia to zintegrowanie tego programu z innymi normami ISO tj. ISO 9001 czy ISO 14001.

BRC

Międzynarodowy standard bezpieczeństwa żywności opracowany w 1998 roku przez British Retail Consortium (Wielka Brytania). BRC to zbiór zaleceń i wytycznych dla firm działających w sektorze przemysłu spożywczego, zwłaszcza hipermarketów (przede wszystkim hipermarketów brytyjskich) oraz firm dostarczających produkty żywnościowe pod własnymi markami. Uzyskanie przez firmę certyfikatu BRC dla całej linii produktów lub dla konkretnego produktu marki ma gwarantować, że dany produkt pomyślnie przeszedł specjalistyczne testy i inspekcje, jest wysokiej jakości i jest bezpieczny dla konsumentów.

 

BRC w stosunku do firm działających w sektorze spożywczym wymaga m.in. posiadania systemu HACCP, udokumentowania systemu, w tym: księgi jakości, schematu organizacyjnego, zakresu odpowiedzialności, opisu surowców i wyrobów gotowych, wdrożenia zasad dobrej praktyki produkcyjnej i dobrej praktyki higienicznej, posiadania opisu pakowania produktu, jego ważności i zabezpieczenia przed zanieczyszczeniami oraz opracowania zasad higieny, szkolenia personelu z opracowanych procedur.

 

Inspektor / Specjalista ds. ochrony danych osobowych wg RODO

Inspektor ochrony danych osobowych wg RODO

Od 25 maja 2018 r. zaczęły obowiązywać nowe przepisy europejskie z zakresu ochrony danych osobowych – Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich (RODO). Przepisy te nakładają na administratorów danych osobowych (ADO) nowe obowiązki związane z wdrożeniem odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe. Administrator będzie musiał wykazać zgodność tych zabezpieczeń z wymaganiami prawnymi (zasada rozliczalności). Aby spełnić wskazane zadania może wystąpić potrzeba skorzystania z pomocy eksperta – Inspektora ochrony danych osobowych (IODO) powołanego przez ADO.

Rozporządzenie wskazuje, kiedy ADO ma obowiązek powołania IODO. Będzie to miało miejsce:

  • w przypadku wszystkich organów i podmiotów publicznych niezależnie od zakresu przetwarzanych danych,
  • poprawa jaw stosunku do podmiotów, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby, kości świadczonych usług,
  • w przypadku, gdy działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Niezależnie od wskazanego nakazu wskazane jest aby Inspektorzy byli powoływani również w organizacjach gdzie nie ma takiego obowiązku.

Do zadań Inspektora RODO należy:

  • informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o spoczywających na nich obowiązkach,
  • monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym:
    • podział obowiązków,
    • działania zwiększające świadomość,
    • szkolenia personelu uczestniczącego w operacjach przetwarzania,
    • powiązane z tym audyty.
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
  • współpraca z organem nadzorczym,
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami dotyczącymi oceny skutków, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Aby spełnić te wymagania Inspektor powinien mieć odpowiednie kompetencje z zakresu:

  • znajomości RODO,
  • wiedzy fachowej na temat prawa,
  • praktyk w dziedzinie ochrony danych,
  • umiejętności wypełnienia zadań wskazanych powyżej.

Przy ustalaniu niezbędnego poziomu wiedzy fachowej należy wziąć pod uwagę w szczególności prowadzone operacje przetwarzania danych oraz ochrony jaka jest wymagana podczas przetwarzania danych osobowych.

 

Nasi konsultanci świadczą stałe usługi Inspektora Ochrony Danych Osobowych w firmach różnych branż, pomagają w opracowaniu dokumentacji. Zapraszamy również na szkolenia otwarte „Inspektor / Audytor RODO” oraz do zakupu szkoleń e-learningowych dla pracowników.

 

Specjalista ds. Ochrony Danych Osobowych

Inspektor ds. Ochrony Danych Osobowych nadzoruje i monitoruje przestrzeganie przepisów natomiast Specjalista odpowiada za ich wdrożenie w organizacji. Do jego zadań będzie należało opracowanie niezbędnych polityk, opracowanie rejestrów przetwarzania danych osobowych oraz wprowadzenie wspomnianych dokumentów w organizacji. Potrzebna do tego jest dogłębna znajomość obowiązujących przepisów oraz dobrych praktyk stosowanych w organizacjach. Zakres niezbędnej wiedzy może obejmować:

  • obowiązki przedsiębiorstwa w kwestii ochrony danych.
  • grupy danych osobowych,
  • poziomy zabezpieczeń,
  • obszary zabezpieczeń tj. Zabezpieczenie budynku, Zabezpieczenie pomieszczeń, Zabezpieczenie komputerów stacjonarnych, Zabezpieczenie urządzeń mobilnych, Zagrożenia i podatności urządzeń mobilnych, Zabezpieczenie przechowywania, Zabezpieczenie nośników z danymi osobowymi,
  • warunki i zasady przetwarzania danych osobowych,
  • zgody na przetwarzanie danych osobowych,
  • rejestry przetwarzania danych osobowych,
  • rejestr kategorii czynności przetwarzania,
  • upoważnienia do przetwarzania danych,
  • realizacja praw osób fizycznych,
  • obowiązki w przypadku pozyskania danych nie od osoby, której dane dotyczą,
  • minimalne wymogi umowy o powierzenie danych osobowych,
  • naruszenie ochrony danych.

ISO 20000-1 - Zarządzanie usługami IT

Współczesny biznes w swoim codziennym rozwoju nieustannie bazuje na rozbudowanych procesach technologicznych. Norma ISO 20000-1 jest wyznacznikiem ich jakości oraz prawidłowego zarządzania – wyznacza standardy dla usług z branży IT opracowane przez Międzynarodową Organizację Normalizacyjną. Jej zadaniem jest wprowadzenie usystematyzowanych standardów działania organizacji z tej branży w zakresie efektywności i poprawności procesów. Jest więc narzędziem, które pomaga zadbać o najwyższą jakość zarządzania rozwiązaniami technologicznymi.

ISO 20000-1 – kto powinien je wdrożyć?

Wbrew pozorom wskazana norma nie ma ściśle ograniczonego grona adresatów. Obecnie większość firm na rynku ma mniej lub bardziej ścisły związek z branżą IT. Do organizacji, które mogą być zainteresowane jej wdrożeniem należą w szczególności:

  • przedsiębiorstwa samodzielnie zarządzające procesami technologicznymi,
  • firmy zlecające zarządzanie nimi podmiotom z zewnętrz,
  • organizacje świadczące i organizujące usługi IT dla innych firm,
  • wszystkim podmiotom, którym zależy na budowaniu pozytywnego wizerunku, nowoczesnej firmy, działającej zgodnie z najwyższymi standardami w branży IT.

Do grona naszych Klientów zaliczyć można również firmy z sektora finansowego czy zajmujące się rachunkowością i księgowością dla innych podmiotów. Dla tego wyspecjalizowanego sektora wysokiej jakości usługi i systemy informatyczne są kluczem do sprawnego funkcjonowania na rynku i pozyskiwania nowych Klientów.

 

Dostosowanie polityki zarządzania procesami IT do wymogów normy ISO 20000-1 w sposób oczywisty buduje przewagę konkurencyjną nad podmiotami, które nie decydują się na certyfikację swoich strategii. Dzięki certyfikacji klienci tych firm mogą mieć pewność, że środowiska informatyczne będą dobrze zarządzane a w przypadku outsourcingu, że otrzymają wysokiej jakości usługi informatyczne.

Jakie korzyści uzyska Twoja firma wdrażając ISO 20000-1?

Ciężko przytoczyć wszystkie pozytywne efekty, jakie będzie miało wdrożenie normy ISO 20000-1 w Twojej organizacji. Wśród najważniejszych wymienić można:

  • lepsze porozumienie firm działających a branży IT z ich Klientami i partnerami biznesowymi,
  • kontrola kosztów, a tym samym ograniczenie niepotrzebnych wydatków,
  • stała kontrola poziomu jakości i utrzymywanie usług stale na najwyższym stopniu,
  • wyznaczenie planów i strategii na przyszłość w jasny, przejrzysty sposób, co ułatwi osiąganie założonych przez firmę celów.

Przypominamy jednak, że takie korzyści mogą być osiągnięte jedynie po prawidłowym, stopniowym wdrożeniu. Należy podkreślić, że w dużej mierze norma czerpie z brytyjskiej normy BS 15000 oraz metodyki ITIL. Z tego też względu podmioty stosujące w codziennej pracy tak normę brytyjską, jak i metodykę ITIL nie powinny mieć najmniejszego problemu z wdrożeniem standardu ISO 20000-1. W ten sposób będą mogły nie tylko usprawnić politykę zarządzania, ale również znacznego podniesienia swojej wiarygodności.

 

Podmioty decydujące się na certyfikację powinny być w pełni świadome zakresu oddziaływania zmian w obszarze zarządzania usługami informatycznymi. Norma ISO 20000-1 stawia przed nimi konkretne wymagania – dostosowanie się do nich pozwoli firmom na zapewnienie odbiorcom świadczonych przez nie usług na realizowanie wszelkich działań na bardzo wysokim poziomie.

Według tego standardu na zarządzanie usługą składa się wiele procesów, takich jak m.in. zarządzanie

  • poziomem usługi (SLA),
  • pojemnością,
  • ciągłością i dostępnością usługi,
  • bezpieczeństwem informacji,
  • zmianą,
  • raportowaniem poziomu usług.

Jakie to będzie miało korzyści dla organizacji? Wszystkie powyższe elementy, dostosowane do kryteriów nowego standardu ISO 20000-1, pozwalają odbiorcom usług Państwa firmy mieć całkowitą pewność, że działania dostawcy realizowane będą na ustalonym poziomie oraz w precyzyjnie określonym czasie. Dzięki temu odbiorcy mogą mieć gwarancję ich dostępności oraz maksymalnego bezpieczeństwa.

Do czego w praktyce przyda się certyfikat ISO 20000-1?

Posiadając go firma przede wszystkim dostarczy Klientom niepodważalny dowód wysokiej jakości swoich usług, co ze względu na dużą konkurencję jest niezwykle istotne w branży IT. Oprócz tego wystawiony certyfikat ISO 20000-1 umożliwi podjęcie partnerskiej współpracy nie tylko z Polskimi, ale także zagranicznymi instytucjami – praca wszystkich podmiotów oparta będzie bowiem na takich samych, wysokich standardach.

Copyright 2019 – centrum-doskonalenia.pl