SEDEX

База данных SEDEX позволяет своим членам демонстрировать своим клиентам, что они уважают принципы бизнес-этики и социально-устойчивого производства.

Supplier Ethical Data Exchange (SEDEX) - это всемирная платформа для обмена информацией об этически устойчивом производстве в цепочке поставок. База данных SEDEX создана с целью обмена информацией о результатах аудитов между предприятиями в рамках цепи поставок на предмет социальной и этической ответственности.

Компании, которые проходят SEDEX-аудит распространяют данную информацию через базу данных SEDEX, что позволяет им доказать своим клиентам, что они уважают принципы бизнес-этики и социально-устойчивого производства. С другой стороны, клиенты могут эффективно управлять своими поставщиками в соответствии с этими принципами, тем самым снижая свои риски.
DQS CFS является официальным членом аудиторской группы Sedex Associate Auditor Group (AAG) и может проводить аудит Sedex SMETA по всему миру.

Преимущества для вашей организации:
• Повышение репутации организации
• Конкурентное преимущество
• Снижение рисков
• Улучшение отношений с поставщиками
• Один аудит вместо нескольких проверок
• Членство в базе Sedex

Категории членства Sedex
Участники могут быть зарегистрированы в Sedex базе как члены группы A, B или AB.
• Группа А: Конец цепочки поставок, обычно розничные торговцы, которые хотят управлять своими поставщиками через Sedex
• Группа B: Обычно это производители начала цепочки поставок, от которых требуют обмениваться данными об этичности их взаимодействия со своими клиентами
• AB группа: Обычно это переработчики и дистрибьюторы, находящиеся в центре цепочки поставок, которые, с одной стороны, получают информацию от своих поставщиков и, в свою очередь, у них запрашивают информацию о своих собственных этических показателях для своих клиентов

ISO 50001:2011 – энергоменеджмент

Прозрачность энергопотребления и повышение энергоэффективности

Повышение стоимости энергии, необходимость разумного и ответственного использования энергоресурсов и глобальный мировой кризис потребовали от многих предприятий и организаций конкретных действий по эффективному использованию энергии. На фоне строгих законодательных требований по защите климата и стимулов в виде различных программ финансовой помощи возрастает значение концепций устойчивого энергоменеджмента. Международный стандарт систем энергетического менеджмента ISO 50001, опубликованный в июне 2011 г, помогает организациям использовать все доступные возможности.

Цель ISO 50001 - поддержать организации в их стремлении структурировать и внедрить всеобъемлющую систему энергетического менеджмента и непрерывно повышать свою энергоэффективность. Идентификация и анализ всех энергетических аспектов, основанные на выполнении законодательных требований, позволяют сделать энергетические потоки прозрачными, снизить затраты и сократить выбросы парниковых газов.

Преимущества, получаемые предприятиями (организациями), внедрившими ISO 50001:
- Более прозрачная картина энергопотребления;
- Постоянное улучшение энергоэффективности путем мониторинга энергопотребления;
- Идентификация потенциалов сбережения энергии на основе анализа полученных данных;
- Сокращение затрат на энергию и снижение загрязнения окружающей среды;
- Повышение конкурентоспособности посредством применения более эффективных процессов;
- Соблюдение требований законодательства;
- Укрепление имиджа организации;
- Стимул для модернизации производства.

Для оформления запроса по ценовому предложению заполните форму

FSSC 22000
Food Safety Certification 22000 - Схема сертификация систем менеджмента безопасности пищевой продукции
Организацией GFSI (Global Food Safety Initiative) был поднят вопрос о возможности включения стандарта ISO 22000 в список признаваемых схем. Однако GFSI выдвигает более конкретные требования в отношении программ-предпосылок (Prerequisite Program Requirements), предусмотренных п.7.2 стандарта ISO 22000. Поэтому, Британским институтом стандартов в дополнение к стандарту ISO 22000 были разработаны спецификации PAS 220-2008 «Обязательные программы, обеспечивающие безопасность продуктов питания, для пищевой промышленности». Фонд сертификации безопасности пищевых продуктов (Нидерланды) на основе стандарта ISO 22000 и спецификаций PAS 220-2008 разработал «Схему сертификации систем менеджмента безопасности пищевых продуктов FSSC 22000» признанную GFSI и большими торговыми сетями. В 2012 году PAS 220-2008 были заменены идентичным им международным стандартом ISO/TS 22002-1:2009 — «Prerequisite programmes on food safety — Part 1: Food manufacturing» (Программы предварительных требований по безопасности пищевой продукции — Часть 1. Производство пищевой продукции).

FSSC 22000 - это схема сертификации для производителей пищевых продуктов, которая принадлежит Фонду сертификации безопасности пищевых продуктов и касается сторон, которые имеют отношение к процессу сертификации.
Такими сторонами в процессе сертификации выступают организации, производящие пищевые продукты, органы по сертификации, органы по аккредитации и Совет учредителей Фонда сертификации пищевой безопасности.

FSSC 22000 использует существующие стандарты ISO 22000:2005; ISO/TS 22002-1:2009, а также устанавливает критерии сертификации и состоит из вступительной части и четырех отдельных частей, в которых изложены требования и правила к:
• организациям, проходящим сертификацию;
• сертификационным органам, лицензированным Фондом на проведение сертификации;
• органам по аккредитации, аккредитующим ассоциированные сертифицирующие органы;
• правлению, состоящему из представителей заинтересованных сторон;
• экспертам сертификационных органов, дающим консультации по FSSC 22000.

Предприятия, имеющие сертификат ISO 22000:2005, могут продолжать совершенствовать свою систему, внедряя эти требования в таком объеме, как это изложено в ISO/TS 22002-1:2009, и предъявив усовершенствованную систему сертификационной организации, получить соответствующий сертификат в соответствии со схемой сертификации FSSC 22000.

Другие предприятия, чья система менеджмента безопасности пищевой продукции основана на принципах GMP или HACCP, могут использовать имеющуюся систему в качестве основы и внедрить дополнительные требования стандартов ISO 22000 и ISO/TS 22002-1:2009.

Основные преимущества FSSC 22000:
• признание со стороны Глобальной инициативы безопасности пищевых продуктов GFSI (Global Food Safety Initiative) и Европейского сотрудничества по аккредитации (ЕА);
• базируется на признанных международных стандартах;
• обширная область применения – производство продуктов питания (включая убой скота и корма для животных);
• обеспечивается допуск товаров в магазины крупных международных торговых сетей или дает «лицензию» на реализацию;
• снижаются риски в области безопасности пищевых продуктов;
• эффективно управляются внутренние процессы, и снижается риск возвратов;
• предупреждающий подход к обеспечению безопасности пищевых продуктов;
• углубленный и тщательный аудит системы менеджмента безопасности пищевой продукции.

Для оформления запроса по ценовому предложению заполните форму

ISO 27001:2013 – ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Обеспечение конфиденциальности, целостности и доступности информации

Что такое информационная безопасность? Для торговцев продуктами безопасности, понимание информационной безопасности ограничено тем, что они продают. Для многих директоров и менеджеров информационная безопасность - это то, что они не понимают и с чем должны справляться ИТ-менеджеры. Для большинства пользователей ИТ-оборудования информационная безопасность означает ограничение их деятельности.

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».
Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);
Целостность – обеспечение точности и полноты информации, а также методов ее обработки;
Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

ISO 27001:2013 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO 17799:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности. Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система управления СУИБ (Система управления информационной безопасностью) на основе стандарта ISO 27001 позволяет:
• Сделать большинство информационных активов наиболее понятными для менеджмента компании
• Выявлять основные угрозы безопасности для существующих бизнес-процессов
• Рассчитывать риски и принимать решения на основе бизнес-целей компании
• Обеспечить эффективное управление системой в критичных ситуациях
• Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
• Четко определить личную ответственность
• Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
• Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001
• Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
• Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
• Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям. Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001 и ISO 14001 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001.

Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем, что предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.

По стандарту ISO 27001:2013 проводится официальная сертификация системы управления информационной безопасностью.
Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

Этапы разработки и внедрения системы управления ИБ
Можно выделить следующие основные этапы разработки системы управления ИБ:
• Инвентаризация активов.
• Категорирование активов.
• Оценка защищенности информационной системы.
• Оценка информационных рисков.
• Обработка информационных рисков (в том числе определение конкретных мер для защиты ценных активов). Внедрение выбранных мер обработки рисков.
• Контроль выполнения и эффективности выбранных мер.
• Роль руководства компании в системе управления ИБ

Одним из основных условий эффективного функционирования системы управления ИБ является вовлеченность руководства компании в процесс управления ИБ. Все сотрудники должны понимать, что, во-первых, вся деятельность по обеспечению ИБ инициирована руководством и обязательна для выполнения, во-вторых, руководство компании лично контролирует функционирование системы управления ИБ, в-третьих, само руководство выполняет те же правила по обеспечению ИБ, что и все сотрудники компании.

Инвентаризация активов компании
Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности.
Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:
• информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
• программное обеспечение;
• материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
• сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
• сотрудники компании, их квалификация и опыт;
• нематериальные ресурсы (репутация и имидж компании).
Инвентаризация заключается в составлении перечня ценных активов компании. Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов.
Оценку критичности активов можно выполнять в денежных единица и в уровнях.

Принципы оценки критичности каждого указанного актива:
• информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия;
• программное обеспечение, материальные ресурсы и сервисы оцениваются с точки зрения их доступности или работоспособности.
• сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию.
• репутация компании оценивается в связи с информационными ресурсами.

Оценка информационных рисков
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.

Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Т.е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков - это полное устранение источника риска.

Передача рисков - перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска.

Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие риски требуют дальнейшей обработки, а какие можно принять.
По результатам оценки и обработки рисков разрабатывается Положение о применимости. Наличие этого документа обязательно для прохождения сертификации.

Документированные процедуры
Стандарт требует, чтобы все меры по снижению рисков были документально зафиксированы. Т.е. для эффективного управления ИБ необходимо наличие процедур, которые будут поддерживаться определенными документами (инструкциями, политиками, регламентами), выполняться определенными людьми. И каждая процедура должна быть отражена в соответствующем документе.

Документированные процедуры являются обязательным элементом системы управления ИБ. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ.

Основными документами по управлению ИБ являются
• Политика управления информационной безопасностью
• Политика информационной безопасности.
• Методики и инструкции,
• Процедуры обеспечения ИБ и управления ею.
• Регламент обеспечения физической безопасности.

Обучение сотрудников компании
Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием, целесообразно организовать обучение сотрудников с помощью системы дистанционного обучения, в рамках которой могут быть представлены различные курсы (как для пользователей, так и для специалистов), игровые методики обучения, тестирование.
Основная сложность может заключаться в проверке эффективности процедур системы управления ИБ. Т.е. для каждой процедуры необходимо разработать критерии, по которым будет проверяться ее эффективность, и, кроме этого, такие критерии требуется разработать для всей системы управления в целом.

Критериями оценки эффективности системы управления ИБ могут быть, например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ и пр.

Внедрение процедур системы управления ИБ
Внедрение процедур, как правило, заключается в информировании соответствующих сотрудников о правилах и сроках выполнения процедуры, регулярный контроль выполнения процедуры, а также оценка ее эффективности, внесение корректирующих и превентивных действий, то есть внедрение всего цикла PDCA-модели для каждой процедуры.

Для оформления запроса по ценовому предложению заполните форму


{spoiler title=Общая информация opened=0}
Группа стандартов ISO 27000 занимается обеспечением информационной безопасности организации.
На сегодняшний день есть 17 утвержденных и опубликованных стандартов группы ISO 27000.
Есть 4 вида групп стандартов:
• Стандарты для обзора и введения в терминологию;
• Стандарты, которые определяют обязательные требования к СУИБ (система управления информационной безопасностью);
• Стандарты, определяющие требования и рекомендации для аудита СУИБ;
• Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.
Стандарты для обзора и введения в терминологию:
ISO/IEC 27000:2009
– Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь.
Данный стандарт обеспечивает определение основной терминологии, которая используется в стандартах по информационной безопасности. В каждом стандарте есть и дополнительные термины. В данный момент разрабатывается новая версия стандарта ISO 27000.
Стандарты, которые определяют обязательные требования к СУИБ:
ISO/IEC 27001:2013
– Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
Это основной стандарт группы. Он определяет требования к разработке, внедрению, поддержке и улучшению систем менеджмента информационной безопасности. В данный момент разрабатывается новая версия стандарта ISO 27001.
Стандарты, определяющие требования и рекомендации для аудита СУИБ:
ISO/IEC 27006:2011 – Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности.
Этот стандарт расширяет требований стандарта ISO 17021 специально для органов, проводящих аудит и сертификацию СУИБ
ISO/IEC 27007:2011 – Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности. Стандарт ISO 27007 предлагает рекомендации по проведению аудитов СУИБ со стороны сертификационных организаций. Он полезен для аудиторов этих организаций.
ISO/IEC TR 27008:2011 – Информационные технологии. Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности.
Данный стандарт, как и ISO 27007 является дополнительным стандартом к ISO 19011:2011 специально для СУИБ. Он специализирован для аудита средств управления информационной безопасностью в организации
Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ:
ISO/IEC 27002:2013 – Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности.
Самый популярный стандарт группы после ISO 27001. Он дает отличные указания для разработки, внедрения, поддержки и совершенствовании СУИБ. Он является библией для консультантов.
ISO/IEC 27003:2010 – Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности.
Стандарт дает указания и методику для процессов разработки и внедрения СУИБ.
ISO/IEC 27004:2009 – Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности.
Стандарт является руководством для выбора, проектирования, управления и улучшения средств и методов измерения эффективности и результативности системы
ISO/IEC 27005:2011 – Информационные технологии. Методы защиты. Менеджмент рисков информационной безопасности.
Этот стандарт является одним из самых важных в группе. Несмотря на то, что он только указательный, а не обязательный стандарт, его назначение состоит в том, что управление рисками - один из самых важных процессов для информационной безопасности.
ISO/IEC 27011:2010 – Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций на основе ISO / IEC 27002.
Это специализированное руководство по СУИБ в телекоммуникационных организациях.
ISO/IEC 27031:2011 – Информационные технологии - Методы обеспечения защиты – Руководство для готовности информационных и коммуникационных технологий по обеспечению непрерывности бизнеса.
Новый, интересный стандарт - руководство по обеспечению непрерывности бизнеса в ИКТ ISO/IEC 27033-1:2009 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 1 – Обзор и понятия
Первый из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры
ISO/IEC 27033-3:2010 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 3 – Сетевые сценарии - Угрозы, методы проектирования и управления вопросами
Другой стандарт из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры - с практическим значением ISO/IEC 27034-1:2011 - Информационные технологии - Методы обеспечения защиты – Безопасность приложений – Част 1: Обзор и понятия
Первый из другой группы специализированных стандартов в области обеспечения информационной безопасности прикладного программного обеспечения.
ISO/IEC 27035:2011 - Информационные технологии - Методы обеспечения защиты – Управление инцидентами по информационной безопасности.
Один из ценных стандартов в группе с практической стоимостью в области управления инцидентами по информационной безопасностью.
ISO 27799:2008 - Информатика в здравоохранении. Менеджмент безопасности информации по стандарту ISO/IEC 27002
Это специализированное руководство по СУИБ в здравоохранении.
ISO/IEC 24762:2008 - Информационные технологии - Методы обеспечения защиты – Рекомендации по услугами для аварийного восстановления информационных и коммуникационных технологий.
Тоже интересный стандарт с точки зрения практических рекомендаций по обеспечению аварийного восстановления ИКТ
Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы. В настоящее время в различных стадиях подготовки находятся еще 25 новых стандартов, которые обеспечат необходимую помощь при разработке, внедрении, поддержании и улучшении СУИБ. {/spoiler}

Этот международный стандарт устанавливает рекомендации и общие принципы для инициализации, осуществления, поддержания и улучшения управления безопасностью информации в учреждении. Цели, выделенные в этом международном стандарте, обеспечивают общее руководство управления безопасностью информации на общепринятых показателях.
Цели управления и контроля этого международного стандарта предназначены, чтобы выполнить и осуществить защиту информации в соответствии с идентифицированной оценкой риска.
ISO/IEC 17799 может служить практическим руководством для того, чтобы разработать организационные стандарты защиты и эффективные действия управления защитой, а так же поддержать взаимное доверие при контактах между организациями.
Вторая редакция 15.06.2005 г. «Информационная технология — Методы защиты — Практическое руководство для менеджмента информационной безопасности».

Стандарты признаваемые GFSI

Ряд компаний, работающих в пищевом секторе, разработали свои собственные стандарты и программы аудита поставщиков. Существование более чем 20 таких различных схем во всем мире создает риски установления неравнозначных уровней пищевой безопасности, путаницы с требованиями, повышенные затраты и сложности для поставщиков, которые считали бы себя обязанными соответствовать многочисленным программам.

В связи с этим ведущие компании на рынке продовольства приняли решение о создании GFSI («Global Food Safety Initiative» – «Глобальной инициативы по пищевой безопасности») – это неприбыльная международная организация, созданная для повышения безопасности пищевой продукции в разных странах. GFSI играет важную роль в системах обеспечения безопасности продовольствия. Она объединяет всех ведущих участников мирового рынка продовольствия: розничные торговые сети, производителей, перевозчиков и других участников цепи поставок конечному потребителю, а также специалистов по пищевой безопасности и ученых. Более 20 крупнейших мировых производителей (Nestle, Danon и др.) и 20 крупнейших мировых торговых сетей (Carrefour, Tesco, ICA, Metro Cash&Carry, Migros, Ahold, Wal-Mart, Delhaize) составляют «ядро» GFSI. Соответствие требованиям пищевой безопасности достигается внедрением и сертификацией деятельности предприятий и поставщиков по стандартам, гарантирующим безопасность.

Наиболее известными и распространенными стандартами, признаваемыми GFSI являются: FSSC 22000 (Food Safety Certification 22000), International Food Standard (IFS) и BRC Global Standard for Food Safety. В их основе также лежат принципы HACCP.

Для оформления запроса по ценовому предложению заполните форму