2011. szeptember VIII. évfolyam, 18. szám Hírek u h ÉMI-TÜV . v u t - i m e . w w Több biztonság w Nagyobb érték Az ÉMI-TÜV SÜD Kft. információs lapja Legfontosabb, amit tudni kell az ISO/IEC 27001 szerinti információbiztonság irányítási rendszerről Hőségriadó idején Furcsa nyár van mögöttünk, legalább is ha a korábbi nyarakhoz hasonlítjuk. Elcsépelt dolog, de az időjárással kell kezdeni, ezen a nyáron minden volt: tavasz, késő ősz, orkán, eső... és vissza-visszatérően igazi forró nyár is. A változásoknak nem volt semmilyen logikája. Valahogy ugyanez történt az üzleti életben is, a makrogazdaság érezhetően stabilizálódik, az államadó- ság csökken, de ezeknek hatásai még a napi üzleti életben nem ugyanígy érezhetők. A valutaárfolyamok ingadozása, a befektetők elbizonytalano- dása napi életünkre éppolyan szeszélyes hatással van, mint amilyen az időjárás is volt. Amit ebben a helyzetben tehetünk, az a napi pozícióink gondos őrzése mellett a jövőre való készülés, hogy az egyenletesen meg- induló gazdasággal majd az elsők között tudjuk felvenni és tartani a lépést. A korábbi évek gyakorlatának felülvizsgálata alapján elsőként Manage- ment Service osztályunk ügyfélkapcsolati rendszerét reformáljuk meg. Ezt követően természetesen többi egységeink gyakorlatát is górcső alá vesszük. Elkezdjük a korábban tervezett és átgondolt értékesítési rend- szerünk gyakorlati alkalmazását, korszerű ügyfélkapcsolati rendszert (CRM) vezetünk be, kapcsolódva a folyamatosan, lépésről lépésre be- vezetett SAP feltételeihez. Új piaci területeket tervezünk megindítani, mint például az acél szer- kezet-gyártók tanúsítását, épületenergetikai vizsgálati és tanúsítási tevékenység bevezetését, információbiztonsági rendszertanúsítást és folytatjuk az élelmiszeripar területén tett korábbi próbálkozásainkat is. 8 Legfontosabb, amit tudni kell az Működő és meglévő piaci területeinken elsősorban a szolgáltatási szín- ISO/IEC 27001 szerinti információbiztonság vonal növelése a feladat. Nem szabad megfeledkezni a regionális és irányítási rendszerről más nemzetközi együttműködés lehetőségeiről sem, így például az anyavállalatnál is bevezetett regionális irányítási rendszer jó kihaszná- lásával, társaságunk a régió Real Estate üzletága fejlődésének zászlós- hajója lehet. A mostani helyzetben, így a nyár végén szép és stabil jövőt vizionálunk és erős a hitünk, hogy ez nem csak a körülöttünk ólálkodó hőguta okozza. Szívélyes üdvözlettel: Dr. Madaras Gábor ügyvezető igazgató ÉMI-TÜV 4 Az EN 1090 szabványsorozat 14 Új lehetőségek az energia- 16 Élelmiszer-csomagolóanyagok, edé- 23 Célműszer a felvonók fékező követelményei 3. rész megtakarításban, az ISO 50001:2011 nyek és egyéb élelmiszerrel érintkező fogókészülékeinek vizsgálatára a tárgyak károsanyag-tartalma gyakorlatban Tartalom 4 Az EN 1090 szabványsorozat követelményei 3. rész 18 Csomagolások környezetvédelmi követelményeknek való megfelelőség-igazolása 6 Az EN 1090 szabványsorozat követelményei 4. rész 20 Pályázatokról kreatívan és közérthetően 8 Legfontosabb, amit tudni kell az ISO/IEC 27001 szerinti információbiztonság irányítási rendszerről 22 Célműszer a felvonók fékező fogókészülékeinek vizsgálatára a gyakorlatban 14 Új lehetőségek az energia-megtakarításban, az ISO 50001:2011 24 Futódaruk vizsgálata az épülő kecskeméti Mercedes gyárban 16 Élelmiszer-csomagolóanyagok, edények és egyéb élelmiszerrel érintkező tárgyak károsanyag-tartalma ÉMI-TÜV SÜD Minőségügyi és Dr. Madaras Gábor Biztonságtechnikai Kft. ügyvezető igazgató Központ: Budapesti iroda: H-2000 Szentendre, Dózsa György út 26. H-1043 Budapest, Dugonics u. 11. Tel.: (+36) 26 501-120 Tel.: (+36) 1 399-3600 Fax: (+36) 26 501-150 Fax: (+36) 1 399-3603 www.emi-tuv.hu E-mail: [email protected] E-mail: [email protected] 4 Ipari szolgáltatások Az EN 1090 szabványsorozat követelményei 3. rész A megfelelőség értékelése (EN 1090-1, 6. fejezet) megállapítsa az esetleges hiányosságokat, azokat kiküszöbölje, ill. int ahogy cikksorozatunk előző részében ígértük, foly- bevezesse a gyártáshoz szükséges minőségirányítási eljárásokat. M tatjuk az EN 1090 szabványsorozat követelményeinek Az első típusvizsgálatot két külön részre osztja a szabvány. Az első a bemutatását. Ahogyan említettük, az EN 1090 szabványsorozat tervezést is végző, ill. a megfelelőségi nyilatkozatban a tervezésről követelményei sokban hasonlítanak a sokak által már ismert is nyilatkozó cégek kötelezettsége, amit „típusméretezésnek” német szabvány, a DIN 18800 szabványsorozat követelménye- (ITC - initial type calculation) nevez a szabvány. Ennek során a gyártó ihez, viszont szemléletmódja alapvetően eltérő. Ez az eltérés felméri a saját képességeit a statikai számítások szabvány szerinti leginkább a megfelelőség értékelésének megközelítésében elvégzésére, azaz hogy pl. rendelkezik-e a megfelelő szoftverekkel, mutatkozik meg, ezért ebben a részben ezzel foglalkozunk. a megfelelő képességű és gyakorlatú szakemberekkel, ismeri-e a vonatkozó Eurocode-okat, ezek alapján végig tud-e vinni egy sta- A megfelelőség értékelését két lépésben határozza meg a szab- tikai számítást, vannak-e erre megfelelően rögzített eljárásai, az vány. Az első lépés az első típusvizsgálat, a második lépés pedig adatok megőrzésére, visszakereshetőségére rendelkezik-e meg- az üzemi gyártásellenőrzés (ÜGYE) kiépítése és működtetése, felelő módszerekkel, stb. Ezt az önfelmérést, a típusméretezést, mely biztosítja a termékek folyamatos felügyeletét és rendszeres egy adott típustermék kapcsán dokumentáltan kell elvégeznie és tervezett ellenőrzését. annak eredményeit legalább öt évig meg kell őriznie. A típusvizsgálat alapja a típus, ill. termékcsalád. Ezek meghatá- A második feladat a gyártást (is) végző cégeké, akiknek el kell rozása a következőképp történik: végezniük az „első típusvizsgálatot” (ITT - initial type testing). • Acél szerkezeteknél a szabvány az anyagminőségen és a he- Ez a gyártási folyamat és a gyártó berendezések felmérését je- gesztési eljáráson keresztül határozza meg a termékcsalád lenti annak megítélésére, hogy a gyártó képes-e egy adott típusú (típus) képzését. Ez azt jelenti, hogy egy adott anyagminőségű szerkezetet a szabvány szerint legyártani. termékkel egy családba tartoznak a vele azonos, ill. nála ki- Ezt akkor kell elvégeznie a gyártónak, ha sebb szilárdságú anyagokból készült termékek, és az azonos • új (új terméktípusba, családba sorolható) terméket kezd el gyártani hegesztési eljárással hegesztett termékek. • olyan új gyártási eljárást vezet be, mely módosíthatja az érté- • Az alumínium szerkezeteknél az anyagcsoport és a hegesztési kelendő tulajdonságokat eljárás alapján lehet a termékeket családokba (típusokba) so- • magasabb kiviteli osztályra tér át. rolni. Az anyagcsoport itt az ötvözetkódok szerinti besorolást Mindezek során a már egyszer vizsgált tulajdonságokat nem kell jelenti. Ebben még további engedményeket ad a szabvány, újból vizsgálni. mégpedig, hogy a 7xxx ötvözetek magukban foglalják az összes többi ötvözetet, a 6xxx ötvözetek az 5xxx és 3xxx ötvözeteket, A vizsgálandó tulajdonságokat az 1. táblázat foglalja össze. Ezek az 5xxx ötvözetek pedig a 3xxx ötvözeteket. közül a tűzveszélyességet, a veszélyes anyagok kibocsátását és a tartósságot nem kell vizsgálni. Vizsgálandók tehát: Első típusvizsgálat • a megengedett méret- és alakeltérések betartása, Az első típusvizsgálat lefolytatását az EN 1090-1 6.2 pontja írja • a hegeszthetőség, elő. Nagyon fontos leszögezni, hogy ezt a típusvizsgálatot nem a • a törési szívósság, tanúsító szervezet (notified body) végzi, hanem a gyártó maga. A • a teherviselő képesség (állékonyság), „típusvizsgálat” megnevezés is félreérthető lehet, mert ezzel a • a kifáradási szilárdság, kifejezéssel általában termékvizsgálatot kapcsolunk össze, aminek • a tűzállóság, az eredménye valamilyen típustanúsítvány. Itt nem erről van szó, • az ütésállóság. e szabvány értelmében a típusvizsgálat leginkább képességvizs- Ezek a gyakorlatban azt jelentik, hogy igazoltan a megfelelő gálatot jelent. Az első típusvizsgálat célja, hogy a gyártó felmér- anyagokat kell alkalmazni, a megfelelő Eurocode-ok szerint kell je saját képességeit a szabvány szerinti gyártás kivitelezésére, elkészíteni a termékspecifikációt és az EN 1090-2, ill. -3 szerint Ipari szolgáltatások 5 információ kell gyártani. A gyártónak természetesen csak azokat a tulaj- felelő anyagok alkalmazása és azok kiviteli osztálynak megfelelő donságokat kell vizsgálnia, melyekről a választott megfelelőség nyomonkövetése. Legyenek írásos vizsgálati és ellenőrzési tervek ÉMI-TÜV SÜD Kft. Czibere Gábor értékelési eljárás szerint a CE jelölésen, ill. a megfelelőségi nyi- és dokumentumok, a nemmegfelelőségek kezelése legyen szabá- szakértő latkozatban nyilatkoznia kell. lyozva. Összefoglalva tehát kijelenthetjük, hogy az ÜGYE rendszer tel.: 06 26 501 140 biztosítja, hogy az EN 1090-2, -3 követelményeit a gyártás során [email protected] Itt kapcsolódunk a megfelelőség értékelés másik nagy szakaszához, dokumentáltan betartsák és az visszakereshetően igazolható legyen. az üzemi gyártásellenőrzés (ÜGYE) kiépítéséhez és működtetéséhez. Ahhoz ugyanis, hogy a fentiekben ki tudja jelenteni a gyártó, hogy A megfelelőség kijelentése a terméket az EN 1090-2, ill. -3 szerint gyártotta, működőképes A gyártó a termék megfelelőségéről egyrészt magán a CE jelen, ÜGYE rendszerének kell lennie, melyet a típusterméke kapcsán másrészt a megfelelőségi nyilatkozatban nyilatkozik. Ezek tartalmát dokumentáltan felül kell vizsgálnia és ennek a felülvizsgálatnak az a szabvány a választott megfelelőség-értékelési eljárástól függően eredményét az üzem és az üzemi gyártásellenőrzés alapv izsgálata, írja elő. Lényeges viszont, hogy a megfelelőségi nyilatkozatban a majd folyamatos felügyelete során a Notified Body számára be gyártónak csak azokról a terméktulajdonságokról kell nyilatkoznia, kell tudni mutatnia. Mit is takar tehát pontosan az üzemi gyár- melyeket az általa választott megfelelőség értékelési eljárás előír. tásellenőrzési rendszer? Ha pl. olyan eljárást választott, melynek során a tervezést nem ő Az üzemi gyártásellenőrzés rendszere végzi, akkor a tervezéssel kapcsolatban nem kell megfelelőségi Az üzemi gyártásellenőrzési rendszer biztosítja azt, hogy a gyártó kijelentést tennie. A megfelelőségi nyilatkozatok és CE jelek tar- által forgalomba hozott termékek ténylegesen teljesítik a meg- talmát a szabvány ZA melléklete határozza meg. felelőségi nyilatkozatban kijelentett tulajdonságokat. Az ÜGYE Előretekintés rendszernek írásos eljárásutasításokon, rendszeres ellenőrzéseken Sorozatunk következő részében azokkal a speciális eljárásvizsgá- és vizsgálatokon kell alapulnia. Ennek során egy már meglévő EN latokkal fogunk foglalakozni, melyek minden acélszerkezetgyártó ISO 9001, vagy EN ISO 3834 szerinti minőségirányítási rendszer számára újdonságot jelentenek. Az EN 1090-2 szabvány szerinti felhasználható, ill. az ÜGYE rendszer ebbe integrálható. ugyanis a gyártónak eljárás-utasítást kell készítenie, ill. eljárás vizsgálatot kell lefolytatnia a termikus vágási eljárásokra, a láng- Az ÜGYE rendszerben meg kell határozni a felelősségeket, a jo- gal egyengetésre és a felületvédelemre, valamint külön előírások gosultságokat és a szervezeti, munkaköri kapcsolatokat. Első és vannak a mechanikus vágásokra, a lyukasztásra, az alakításra. legfontosabb feladat, hogy ki kell nevezni az üzemi gyártásellen- Foglalkozunk továbbá egyéb érdekes kérdésekkel, mint a hegesztő- őrzés vezetőjét, aki összefogja az ÜGYE rendszert és felelős annak felelősökre vonatkozó képzettségi előírások, vizsgáló személyzet, megfelelő működtetéséért. Legyen biztosított a kiviteli osztálynak hegesztési eljárások. Cikksorozatunk a honlapunkon is olvasható, megfelelő képzettségű személyzet, a mérőeszközök le gyenek el- ill. onnan letölthető. lenőrzöttek és kalibráltak, a gyártóeszközök legyenek megfelelően karbantartottak. Legyen biztosított a termékspe cifikációnak meg- Czibere Gábor, szakértő, ÉMI-TÜV SÜD Kft. 6 Ipari szolgáltatások Az EN 1090 szabványsorozat követelményei 4. rész cikksorozatunk korábbi fejezeteiben ismertetésre ke- A szerelési tervnek az alábbiakat kell tartalmaznia: A rültek a szabványsorozat bevezetésével kapcsolatos • a helyszíni kapcsolatok helyét és típusát, teendők, a szabványsorozat struktúrája, illetve az általános • a szerelési egységek méretét, tömegét és helyét, gyártói háttér, a megfelelőséghez szükséges követelmények, • a szerelési sorrendet, az ÜGYE, ami szükséges a szabvány szerint a CE jelölés ki- • a szerelés közbeni stabilitás biztosításának módját, ideiglenes adásához az építőipari szerkezetekként felhasználni kívánt merevítések szükségességét, helyét, kialakítását, acél- és alumíniumszerkezetek esetében. • az együttdolgozó szerkezetek betonozásának feltételeit, • az ideiglenes szerkezetek eltávolításának feltételeit, módszerét, Annak ellenére, hogy a szabvány az acél- és alumíniumszerkezetek • egyéb munkavédelmi szempontból kockázatot jelentő tényezőket, gyártójára, és elsődlegesen a gyártási folyamatok ellenőrzésére • a pillérek és az alaptestek kapcsolati kialakítását, befogott vonatkozik, a szabvány előírásokat fogalmaz meg a termékből szerkezet esetén a kehelyalap kiöntési módját, összeállított épületszerkezetekre is. Az ÜGYE folyamatának a • a szükséges túlemeléseket, az előfeszítések módszerét és szabványelőírások szerint ki kell terjednie a helyszíni szerelési ellenőrzési módját, tevékenységekre is. A vizsgálatoknak érintenie kell az építési • a szükséges emelő berendezéseket, az emelési segédszer- helyszín előkészítésével kapcsolatos feladatokat, illetve az elké- kezeteket. szített szerkezet geometriai megfelelőségét. Jelen cikkünkben az EN 1090 szabványsorozat által előírt helyszíni A szerelési munkák megkezdése előtt rendelkezésre kell állnia a vizsgálatokkal kívánunk foglalkozni. szerelési rajzoknak (alaprajz, oldalnézet, alapozás, burkolatkiosz- tás), amelyen az alaprajzokat és oldalnézeteket kell feltüntetni Az építési helyszín megfelelőségét mindig ellenőrizni kell a sze- olyan léptékben, amelyben valamennyi elem szerelési jele ábrá- relési munkafolyamatok megkezdése előtt. A szerelési munkafo- zolható. Az alaprajzi nézeten ábrázolni kell a tengelyvonalakat, lyamatok addig nem kezdhetők meg, ameddig az építési helyszín valamint minden, az általánostól eltérő, különleges tűrésekkel nem felel meg az adott szerkezetépítésre készített acélszerkezeti kapcsolatos követelményeket. Az alapozási tervnek tartalmaznia szerelési munkavédelmi tervben foglaltaknak, illetve nem készült el a szerelési terv, a szerelési rajzokkal együtt. A munkavédelmi tervben ki kell térni az alábbiakra: • a darutelepítés helyére és a telepítés módjára (szükséges-e gépalap, mobil daru esetén a daru közlekedési útvonala bizto- sított-e szerelés közben, stb.), • a szerelési helyszín megközelítési útvonalainak meghatározására, • a szerelési folyamatoknál a biztonságos talajállapotra vonat- kozó előírásokra, • a szerkezet alátámasztásának biztonságára (ideiglenes, szere- lés közbeni, esetleg a végleges alátámasztás szerelés közbeni alkalmazása), • az építéshelyen meglévő akadályok (közművek, légvezetékek, esetleg megvédendő növényzet, stb.) elhelyezkedésére, az akadályok kezelési módjára , • az elemek szállításának (szállítási sorrend, szállítóeszközök, szál - lítási tárolási segédszerkezetek szükségessége) megszervezésére, • egyéb kapcsolódó szerkezetek hatásainak figyelembe vételére. Ipari szolgáltatások 7 információ kell az alaptestek helyét és az acélszerkezet elhelyezési irányát; A beállítás pontosságának növeléséhez, az illeszkedések hiányossá- az oldalnézeten (építmény metszeten) az egyes födémek szintjeit. gainak kiküszöböléséhez mechanikus kötések kialakításakor bélés- ÉMI-TÜV SÜD Kft. Poles János A szerelési rajzokon fel kell tüntetni minden 5 tonnánál nehezebb lemezek is alkalmazhatók. A csavarkötések maradó hézagainak ki osztályvezető elem vagy egység tömegét és a tömegközéppontját. A szerelési kell elégíteni a szabványban előírt követelményeit. A csomópontok tel.: 06 1 399 3616 tervnek tartalmaznia kell a burkolati lemezek szerelési rajzait (a mechanikus kapcsolatainak beállítása végezhető tolótüskével is. [email protected] lemez típusát, vastagságát, anyagminőségét, hosszát és jelét). Amennyiben a csavarlyukak (illetve egyéb kötőelem, pl. szegecs A szerelési rajzok tartalmazzák továbbá a kötőelemek típusát, a esetében annak lyukai) nem illeszkednek, akkor a hiba kijavításá- lerögzítés sorrendjét és a rögzítés különleges előírásait; a lemez- nak módját a műszaki leírásban rögzítettekkel összhangban kell burkolat tartószerkezeti szerepét, a helyszíni gyártás körülményeit, meghatározni. Illeszkedési hibák kiküszöbölését feldörzsöléssel, a kapcsolatok pontos helyét. A helyszínen összeállítandó elemeket vagy koronamaróval célszerű megoldani. szerelési jellel kell ellátni. Azonos jellel láthatók el azok az elemek, amelyek minden vonatkozásban egyformák. Amennyiben az alak- És végül a szerelések ellenőrzéséről: jukból nem egyértelmű, úgy az egyes elemek irányát is jelölni kell. Minden elvégzett ellenőrzést dokumentálni kell. Alaptestek eseté- Az acélszerkezetek elemeit úgy kell kezelni és tárolni, hogy a sé- ben ellenőrizni kell azok magassági és alaprajzi helyzetét, továbbá rülés kockázatát minimalizáljuk. Különös gondot kell fordítani az az állapotukat a szerelés megkezdése előtt szemrevételezéssel. emelési segédszerkezetekre, hogy emelés közben ne sérüljenek Csak akkor kezdhető a szerelés, ha az alaptestek megfelelőek. az építési acélszerkezetek. Az építési helyszínen tárolt szerkezeti Az elkészült szerkezetek állapotát közvetlenül az átadása előtt kell elemeket száraz körülmények között kell tartani. A szállítás közben ellenőrizni. Meg kell vizsgálni, hogy az egyes szerkezeti elemek megsérült felületeket megfelelő állapotba kell hozni. nem torzultak-e, vagy nem túlterheltek-e. Amennyiben a tervező a műszaki leírásban próbaszerelést ír elő, A szabvány D mellékletében szereplő geometriai eltérésekre vo- úgy pontosan meg kell jelölni a próbaszerelés tárgyát és célját, natkozó előírásoknak (hamarosan újabb cikk keretében részlete- valamint a próbaszerelés elfogadási feltételeit. Kivitelező próba- sen tárgyaljuk) meg kell felelni, ebben az esetben fogadható el a szerelést végezhet akkor is, ha a tervező azt nem írja elő. Kivitelező szerkezet, ellenkező esetben azt javítani kell. próbaszerelést végezhet, ha ez alapján mutatható ki egyértelműen, A mérések, ellenőrzések gyakoriságát ellenőrzési tervben kell hogy az egyes elemek összeillenek; ha előre ki kell értékelni, hogy rögzíteni még a helyszíni szerelés megkezdése előtt. megfelelő stabilitású-e az alkalmazni kívánt szerelési sorrend; A műszaki leírásban további vizsgálatokat és vizsgálati módsze- illetve ha a helyszíni szerelésre kevés idő áll rendelkezésre, és reket is elő lehet írni, az értékelési módszerrel együtt. További kivitelező kalkulálni szeretné a teljes szerkezet szerelési idejét. vizsgálatokat is előírhat az építtető, a tervező, illetve az acélszer- kezet gyártója. Néhány gondolat a szerelési módszerekről, a szabvány tük- rében: Poles János, osztályvezető Az acélszerkezetek szerelését a szerelési terv szerint kell végezni ÉMI-TÜV SÜD Kft. úgy, hogy közben folyamatosan gondoskodni kell a szerkezet sta- bilitásáról. A szerkezet szerelése közben a már elkészült szerke- zideetnigelke nbeizsto snzseárgkeoszentaekk kbeőlll laednóndieó atze ridheeikg,l ean sezse treerlhéeski kseolr (röennsdúblőy,l 9. Európai Nyomástartó Berendezések Konferencia adódó ideiglenes többletterhek, stb.) szemben. Az ideiglenes 2011. június 8-9, München mtanaaze evrostérk aeeg nmvlleieí,tám géares embseki ekz sktedzoatedn priégskcsáe sa gozm eolsaetzsetegaatrtn,ieá t é elmúéslgtsa án ysnve zkeo tveámlíelstl sho jkzuakiétaatolótlyat aetmkk zeí.tit nleAa dasn ssabi,zédb ehkdar oi eagagln éyafn sá naihz ekcies éghlbylyaúaües ,ki nzdaöngemnáíi tglikshkleéeoalk-r-l INmdkoéyenonlyfm 9e aá.r e salnetlakcgarinátlóaon gm Btyöemobrbaebbln ,mkd eeeibnrzübté les3t en0mk 0a e-K agtoénrnem vfneaedrkteetöeznrékbcs ieraréne s( Emaztu e TrkgoÜörpVzeee nSald nÜ2e 0DPz ér oCesrsrssesoz áupkgroeebrr tüóE lslqő,z u Eeeiurpuvrmreóózpepéánasbtié óCkbloo,e nnÁnff zeeasrrziee áEnnbuccóreilaó )é,.p sAa i tóságát. Gondoskodni kell arról, hogy szerelés közben (az átadás Amerikából. előtt) a szerkezet egyetlen részére se kerüljön olyan teher, amely mrákaéömllaszíitzrökaaétontdt r iaa a,a nn é ssdeszzó meek rri a oekklellaedézklhselv a taáuntlólteatá okkkn íazmt ápamáscniorsih oekaalal maevttg éaooegrkknalaeodbtgz őbcnee sasana . kk vnA aéaap gkgscklyzeso erogrér leskasszezta oezhbek beaatel dtyvá. z kalAelilíatzatél ámaebskleereíat nmak kneneeylik-l,i A•••z NvKiAdeeázetmr eúie lzjésm eeEvtétN kfenöő ky1z ,eti3 é fk(4eE m4klueü5árll óőiöé psanssá bkaénöözg zk v,úő íeavjs ü téENklgNieo)e ztk1 iőéef3sikr4ee h8dvsa0o kBs elktoodaödnekvylleó:-e ktsme ásl.gmz Aaeé r aeknzípyn eeeai ui a,ér óaskp áza aro oivr káko örsehvzlak eéettsóer ü lapml éisaésvcnéáiyb jheceaikn the.áelőszuí rkkáé sapozek üs, tzk.eö-- rült, szintben van illetve függőleges, és az ideiglenes kapcsolatok meltetők, a gyártók és a Notified Body-k szemszögéből. megfelelően ki vannak alakítva. 8 Menedzsment szolgáltatások Legfontosabb, amit tudni kell az ISO/IEC 27001 szerinti információbiztonság irányítási rendszerről A modern, tudásalapú információs társadalmak vállalatainak lényeges üzleti adataik feldolgozá- sára komplex és gyors IT rendszerekre van szükségük. Igaz, az információtechnika nagyon sok folyamatot megkönnyít, azonban kockázatokat is tartalmaz. Ezért különösen fontos az érzékeny adatok teljes körű védelme. Az alkalmazott információtechnika megbízhatósága és biztonsága ezáltal a vállalat döntő sikertényezőjévé válik. ISO/IEC 27001 használatával összefüggésben keletkező kockázatok szisztema- tikus azonosításától és elemzésétől kezdve egészen a megfelelő Átláthatóság és biztonság a rendszerrel ellenőrző, védelmi mechanizmusok bevezetéséig és fenntartásáig. A PDCA ciklus Miért az ISO/IEC 27001? Az információbiztonság irányítási rendszer egy folytonosan is- gyre fontosabbá válik az információvédelem. A vállalat métlődő folyamat. Alapja az úgynevezett PDCA modell (Plan- E üzleti sikerében ugyanis döntő értéket jelentenek az Do-Check-Act), amely az összes lényeges biztonsági szempontot információk. Ezek kezelése és védelme elsődleges fontos- támogatja a strukturált megvalósítás folyamán. Vállalatuk poten- ságú a prioritások rangsorában. Az információk, különösen ciális kockázatai a PDCA modell segítségével állapíthatók meg és az elektronikusan feldolgozott adatok, folyamatos fenyege- elemezhetők, továbbá meghatározhatók a szükséges tevékenysé- téseknek és kockázatoknak vannak kitéve, ezért növekednek gek, intézkedések. Ezáltal válik lehetővé a kockázatok folyamatos a biztonságukkal szemben támasztott olyan követelmények, felügyelete, mértékük optimalizálása, és folyamatosan szemmel mint a rendelkezésre állás, a bizalmas jelleg és a sértetlen- tarthatják a lényeges biztonsági célokat. ség. A követelmények magukba foglalják az információs és kommunikációs rendszereknek a hálózaton keresztül érkező Mit eredményez az információbiztonság irányítási rend- mind gyakoribb és súlyosabb támadásokkal szembeni védel- szer (ISMS)? mét, például a lopásokból keletkező veszteségek és a külső behatások miatti károk megakadályozását éppúgy, mint az Védje vállalata tudását, ezáltal értékeit, és biztosítson magának emberi hiba okozta következmények minimalizálását. versenyelőnyöket ISO/IEC 27001 szerinti ISMS-szel: Ahhoz, hogy ezen lehetséges tényezőkkel szemben hatékonyan • Jobban érthetővé válnak az üzleti követelmények lehessen fellépni, nem elegendő kizárólag technikai-szervezé- • Információk fenyegetések elleni védelme si intézkedéseket tenni. Az átfogó védelem alapfeltétele, hogy • Gyenge pontok egyszerűbb azonosítása minden munkatárs minden szinten biztonságtudatos magatartást • Információk folyamatos rendelkezésre állása, ezáltal folyamatos tanúsítson. Az információbiztonság irányítási rendszer (ISMS) ISO/ üzletmenet biztosítása IEC 27001 nemzetközi szabvány alapján történő bevezetése és al- • A vállalat iránti erős bizalom kiépítése az üzletfelekben kalmazása támogatást nyújt a vállalatok számára az információk • Hírnév veszélyeztetésének kisebb kockázata Menedzsment szolgáltatások 9 Melyek az információbiztonság alapjai? Az információbiztonság irányítási rendszer (ISMS) figyelembe veszi az adott információ összefüggéseit és nem csak azok elektronikus Az ISO/IEC 27001 szabvány az információ három lényeges jellemző- hasznosítására koncentrál: jére fókuszál: rendelkezésre állás, bizalmas jelleg és sértetlenség. • Az információ többet jelent, mint az elektronikus tárolás és Ezek a jegyek a vállalat által teljesítendő összes külső követel- feldolgozás ményben – például KontraG, Basel II, SOX vagy könyvvizsgálói • Az információbiztonság nem csak az IT biztonságot foglalja követelmények – megtalálhatók. magába • A biztonság bizalmas jelleget, sértetlenséget és rendelkezés- Az üzleti szempontból kritikus információk szükség esetén ren- re állást jelent delkezésre állnak. • A menedzsment nem csak technikai rendszerekből és eszkö- zökből áll Rendelkezésre állás Az üzleti szem- Mit követel az információbiztonság? Csak jogosult pontból kritikus használók férhetnek Információk Az információbiztonság magában foglalja az IT rendszerek és az információk teljesek az információkhoz és megbízhatók azokban tárolt adatok biztonságát szolgáló technológiát, valamint az összes, ezzel összefüggő folyamatok irányítását. Ennek során Bizalmasság Sértetlenség lényeges a rendszerszemlélet. Magával a tűzfalak és a vírusvé- delem beszerzésével még nem tettünk meg minden szükséges Az információknak nemcsak formális követelményeknek kell ele- intézkedést. A megbízható védelem garantálása szempontjából get tenniük, hanem különböző elvárásoknak is meg kell felelniük. ennél is fontosabb a strukturált tervezés és a biztonsági intézke- Lényeges aspektusok a hitelesség, felelősség, állékonyság és dések irányítása és kontrollja. letagadhatatlanság. Technológia Követelmények Információk Elvárások rendszerek, eszközök, architektúra, stb. Rendelkezésre állás Hitelesség Sértetlenség IT adatok Felelősség Irányítás IS politika, IS felelősség, tudatosság, oktatás, jelentéskészítés, Bizalmasság Állékonyság folyamatos üzemvitel illetve folyamatos működés fenntartása, Tagadhatatlanság folyamatok, stb. 10 Menedzsment szolgáltatások Mit tartalmaz az ISO/IEC 27001? Az ISO/IEC 27001 két részből áll: az irányítási rendszerből és a szükséges intézkedésekből (kontrollok), amelyeket mindenképpen figye- lembe kell venni. Az alábbi ábra vázlatosan mutatja be a két rész tartalmát. Áttekintés Az irányítási rendszer alapja az ISO 9001 alapkoncepciója Tartalmak Irányítási rendszer Biztonsági intézkedések meghatározása az alábbiak által: ISO/IEC 27001 PDCA ciklus Irányítás és felelősség Kockázatmenedzsment Dokumentálás Azonosítás Oktatás Értékelés Értékek meghatározása Vezetőségi átvizsgálás Intézkedések gyakorlati átültetése Belső auditok A biztonsági intézkedések (kontrollok) a következő aspektusokat érintik: • fizikai biztonság • biztonság a fejlesztés során • személyi biztonság • biztonsági események • IT működés biztonsága • eljárás vészhelyzetben • belépési és hozzáférési védelem • megfelelőség Hogyan történik az ISO/IEC 27001 bevezetése? Hat lépés szükséges az Önök ISO/IEC 27001 szerinti információvédelmi irányítási rendszerének bevezetéséhez. A bevezetés 1. lépés Érvényességi terület (scope) és az ISMS határai 6 lépése Az érvényességi terület tisztázása annak megállapítására, hogy mely területeken kell alkalmazni az információvédel- mi irányítási rendszert. 2. lépés IS politika meghatározása Az információvédelmi politika meghatározása a definiált érvényességi terület számára. 3. lépés A vállalati értékek (vagyon) kockázatának feltárása. Melyek a gyenge pontok? Milyen veszélyekre kell számítani? Vagyon azonosítása, értékelése Gyenge pontok azonosítása Veszélyek azonosítása Következmények értékelése Az üzleti kockázatok listája 4. lépés Kockázatmenedzselés Milyen súlyúak a kockázatok? Mely kockázatok elviselhető szintűek? Azonosított kockázat A kockázat elviselhető mértéke Az azonosított kockázat jelentősége 2. kritérium 1. kritérium Intézkedés szükséges Elviselhető kockázat 5. lépés A szükséges intézkedések (kontrollok) meghatározása az üzleti céloknak megfelelően. 6. lépés Az Alkalmazhatósági Nyilatkozat készítése az ISO/IEC 27001 szabvány használhatóságáról (Statement of Applicability). A hozott intézkedések összefoglalása.
Description: