ISO 9001: új elképzelések, bővülő alkalmazás

Átírás

1 ÁLTALÁNOS ÉS IRÁNYÍTÁSI KÉRDÉSEK 1.5 ISO 9001: új elképzelések, bővülő alkalmazás Tárgyszavak: minőségirányítás; szabvány; minőségszabvány; HACCP; biztonság. Miután több mint félmillió szervezetet regisztráltak vagy tanúsítottak az ISO 9001, ill. ISO alapján, nem feltételezhető, hogy lezárult volna az irányítási rendszerek szabványainak (MSS, management system standards) fejlesztése. Tényadatok szerint az ISO 9001 alkalmazása továbbra is bővül, nem utolsó sorban a köré épülő nemzetközi ágazati okmányok révén. Tovább nő a szektorspecifikus (ágazatokra specializált) okmányok köre, mint pl. a TS (a gépkocsiipar műszaki specifikációja ). Az ISO 9001 térhódítása tehát folytatódik, még nem lépett történelmi kategóriába. Különös hangsúlyt kap a folyamat a nemzetbiztonsággal kapcsolatos problémák kezelhetősége szempontjából is. Nem véletlenül jelentkezik új megvilágításban az élelmiszerbiztonsági követelményrendszer (HACCP, hazard analysis critical control points) sem, ami az ISO 9001 alkalmazását jelenti az élelmiszeriparban és a mezőgazdaságban. Az informatikában is fontos; ezen a területen éppen hogy csak megalkottak két új okmányt az informatika biztonsága és a gyakorlati eljárás kérdéseiben. A HACCP és az ISO 9001 A HACCP rendszer évek óta alkalmazásban van, elfogadta az USA Élelmiszer és Gyógyszer Hatósága (Food and Drug Administration), valamint a Codex Alimentarius Commission elnevezésű nemzetközi szervezet, amely élelmiszerekkel kapcsolatos nemzeti szabványok, törvényi rendelkezések alapjait dolgozza ki. A HACCP két fő alapelve, amelyek megjelennek az élelmiszerbiztonsági menedzsmentrendszer nemzetközi szabványában, az ISO 22000:2005-ben is:

2 1. kockázatelemzést készíteni, felsorolva valamennyi potenciális kockázatot, elemezve azokat és kitérve a lehetséges szabályozó intézkedésekre, 2. meghatározni a kritikus ellenőrzési pontokat (CCP), 3. kialakítani az egyes CCP-kre vonatkozó kritikus határokat, 4. figyelőrendszert kialakítani valamennyi CCP-re, 5. kialakítani a kiigazító tevékenységek körét; az alkalmazás megköveteli az intézkedések előre kidolgozását olyan esetekre, amikor a figyelt mutatók kilépnek a megengedett értékhatárokból, 6. hitelesítési eljárásokat kialakítani, amelyek igazolják a HACCP hatékony működését, 7. kialakítani a dokumentálást és adatrögzítést, ill. -tárolást. Az ISO szabványt az ISO 9001 élelmiszeripari alkalmazására fejlesztették ki, és a tapasztalatok szerint jól illeszkedik az ISO 9001 minőségirányítási rendszeréhez. Az ISO TC 34 (élelmiszeripari termékekkel foglalkozó) Műszaki Bizottság az 1990-es évek végén kezdett dolgozni az ISO 9001 szabvány HCCP elveket is felölelő alkalmazási elveinek fejlesztésén. Ezt a törekvést számosan azért ellenezték, mert kevéssé tartják összeegyeztethetőnek az élelmiszerbiztonság ügyét olyan más kérdésekkel, mint a jó íz vagy a külső megjelenés. Az ISO első változata 2001-ben jelent meg. Lennének olyan, élelmiszerekkel kapcsolatos szabvány- és egyéb előírások, amelyeket be lehetett volna foglalni az ISO 9001 szabvány kereteibe, de a HACCP-t találták kellően elfogadottnak, széles körben elterjedtnek. Az ISO 22000:2005 már nem iránymutató anyag (mint amilyen pl. az ISO 15161), hanem követelményeket határoz meg olyan élelmiszerbiztonsági és irányítási rendszerhez, amelyet alkalmazva az élelmiszerellátó láncban működő szervezet igazolhatja képességét az élelmiszerbiztonságot veszélyeztető kockázatok ellenőrzésére, ill. elhárítására, gondoskodva arról, hogy az élelem az emberi fogyasztás idején is biztonságos legyen. Lehetővé teszi, hogy az adott szervezet az ISO ben előírt követelmények révén: olyan élelmiszerbiztonsági irányító rendszert tervezzen, valósítson meg, ill. működtessen, amelynek célja, hogy a felhasználási céljának megfelelően kezelt és elfogyasztott élelmiszerek biztonságosak legyenek; bemutassa a vonatkozó törvényes rendelkezéseknek megfelelő élelmiszer-biztonsági követelményeknek való megfelelést; értékelhesse és felmérje a vevők igényeit, valamint bemutathassa, hogy azok megfelelnek a kölcsönösen elfogadott vevői igé-

3 nyeknek, amelyek kapcsolódnak az élelmiszer-biztonsághoz, erősítve a vásárlók elégedettségét; hatékonyan közvetítse az élelmiszer-biztonsági kérdéseket a szervezet szállítói, ügyfelei, valamint az élelmiszerláncban részt vevő más érdekelt partnerek felé; gondoskodjon arról, hogy a szervezet megfelel a maga által hirdetett élelmiszer-biztonsági politikának; ezt a megfelelést bemutathassa az érdekelt, ill. érintett feleknek; keresse a lehetőséget az élelmiszerbiztonság-menedzsment rendszerének regisztrálására, külső szervezet általi tanúsítására, vagy készítsen önfelmérést és nyilatkozatot arról, hogy rendszere megfelel az ISO követelményeinek. Bár az ISO 9001:2000 elvei megtalálhatók az ISO szabványban, ez utóbbi mégsem tartalmazza a teljes szöveget, a cikkelyek tartalma és formátuma, valamint számozása hasonló, de nem azonos az előbbivel. Az ISO magába foglal egyes olyan elveket, amelyek nem szerepelnek az ISO 9001-ben (például a szükséghelyzetekre való felkészültség és reagálás). Van, aki az ISO szabványt QMS (minőségirányítási rendszer) formátumú HACCP-nek nevezi. Az ISO bevezethető ugyan önálló programként, de az ISO 9001-gyel kompatibilisként tervezték. Az ISO TC 34 Műszaki Bizottság az ISO számára ISO/TS 22004:2005 jelzéssel műszaki specifikációszerű bevezetési iránymutató anyagot készített. Új minőségirányítási projekt mezőgazdasági terményekhez Az USA-ban a földművelési tevékenység minőségirányítását az ISO 9001 szerint regisztrálják, és erőfeszítéseket tettek arra is, hogy az ISO 9001 ilyen irányú alkalmazására szabványosított iránymutató anyag is készüljön. A projekt a gabonatermesztésre összpontosítva indult; ma is sokan AG nek nevezik. Az adott téma az ISO TC 34 jelű munkacsoport megbízásai közé került mint az ISO 9001 szabvány egy szokásos alkalmazása azonban annál jelentősen tágabb témaköröket ölel fel, és valószínű, hogy számot fog kapni. Az AG 900 nemzetközi munka lesz, jelenlegi vázlatos tervezete az ISO hez hasonló formátumú. E tervezet 11 folyamattáblázata a gabonatermelési folyamatokat fedi le. Miután az amerikai gazdaságok mérete lényegesen nagyobb a más országokban talál-

4 hatóaknál, további munkát igényel a szabvány kisebb gazdaságokat is figyelembe vevő kialakítása. A közzététel céldátuma jelenleg Új informatikai biztonsági szabványok Az egyes iparágakra kialakított minőségirányítási szabványok mellett olyan területekre is kiterjed a szabványalkotás, mint az informatikai biztonsági menedzsmentrendszer-szabvány (MSS). E terület kulcsfontosságú nemzetközi szabványait: az ISO/IEC et és az ISO/IEC et 2005-ben tették közzé, az ISO TC 1 és a Nemzetközi Elektrotechnikai Bizottság (IEC) együttes munkájának eredményeképp. Az ISO/IEC szabványt többféle alkalmazásra szánták, pl. a következő témákkal foglalkozó szervezetek használatára, ill. a következő célokra: biztonsági követelmények és célok kialakítása, biztonsági kockázatok költséghatékony kezelése, gondoskodás törvények és szabályok betartásáról, folyamatok kereteként, ellenőrzés bevezetésére és irányítására, valamely szervezet sajátos biztonsági céljainak érdekében, új információbiztonság-irányítási folyamatok meghatározására (segédeszközként), segédeszközként meglevő információbiztonság-irányítási folyamatok azonosítására és tisztázására, a tárgyhoz tartozó tények nyújtása információbiztonsági politikával és direktívákkal kapcsolatosan kereskedelmi partnerek és olyan szervezetek számára, amelyekkel ők működési vagy kereskedelmi kapcsolatban vannak, üzleti tevékenységet elősegítő biztonságot nyújt, a tárgyhoz tartozó tények szolgáltatása a vevőknek az információbiztonságról, az információbiztonság-irányítási tevékenység helyzetének meghatározása a szervezet vezetése számára, az adott szervezet politikájával, direktíváival és alkalmazott szabványaival való egyezés mértékének meghatározása a szervezetek belső és külső auditorai számára. Más nemzetközi szabványokhoz hasonlóan az ISO/IEC nek is volt nemzeti megfelelője; ez esetben leginkább említésre érdemes a BS 7799 brit szabvány (Part 2).

5 Az ISO/IEC kísérőszabványa az ISO/IEC 17799, amely megadja az általános elveket és iránymutatást ad a kapcsolódó szabályozási/ellenőrzési célok legjobb gyakorlatához az információbiztonságban: biztonságpolitika, eszközmenedzsment, személyzettel kapcsolatos biztonsági kérdések, fizikai és környezeti biztonság, kommunikáció- és műveletirányítás, a hozzáférés szabályozása, információs rendszerek beszerzése, felépítése és karbantartása, információbiztonsági események kezelése, az üzleti tevékenység folytonosságának irányítása, az előírásoknak való megfelelés. Az ISO/IEC alkalmazható önmagában, vagy iránymutatásként az ISO/IEC hez, mindenesetre a dokumentum célja olyan követelmények teljesítése, amelyek kockázatfelmérésből adódnak. Az ISO 9001 alkalmazások fejlődésének, bővülésének irányai Az MSS rendszerszabványok száma évről évre nő, kétféle fejlődési irány mentén: 1. a rendszerek mind több tudományterülettel egészülnek ki, 2. mind több szektorspecifikus iparági minőségirányítási szabvány jelenik meg. Az új tudományterületek olyan helyzetekben kapcsolódnak be a biztonságmenedzsmentbe, amikor nyilvánvaló szükséglet merül fel különböző típusú kockázatok kezelésének szabványosítására. Ezeket az új MSS szabványokat többnyire az ISO hez hasonló modell és formátum szerint alakítják ki. Az előbbi típusúaktól teljesen eltérőek a szektorspecifikus minőségirányítási szabványok, ez esetben ugyanis az iparág, ill. szektor szükségletei szerint részletesebb előírásokra és alkalmazási útmutatókra van szükség. Törekvés volt arra, hogy egyetlen integrált MSS szabványt alkossanak a különböző diszciplínákat befoglalva. Ez irányban számos országban kezdtek fejlesztésbe, azonban várhatóan hosszabb idő szükséges még annak eldöntésére is, hogy ez a felfogás a siker reményével érvényesíthető-e. Itt általában elfeledkeznek arról, hogy a szektorspecifikus minőségirányítási szabványok fejlesztése más ügy, és egy-egy szektor

6 számára szükséges sajátosságok és részletezés nem szűnik meg egy integrált szabvánnyal. Összeállította: Cserhalmi Ferenc West, J. E.: New ideas and expanded use. = Quality Progress, 39. k. 4. sz p Codex Alimentarius. = ISO 22000:2005, Food Safety Management Systems Requirements for any Organization in the Food Chain, ISO ISO/TS 27004:2005 Food Safety Management Systems Guidance on the Application of ISO 22000:2005. ISO/IEC 27001:2005 Information Technology Security Techniques Information Security Management Systems Requirements, ISO, EGYÉB IRODALOM Evans, R. P.: Look to standards for secure plants. (Szabványok alkalmazása az üzemek biztonsága érdekében.) = InTech, 53. k. 5. sz p. 89.