Что такое конфиденциальность? Реализация выполнения требований в Руководстве по качеству. Принципы конфиденциальности, требования и рекомендации к деятельности лаборатории. Создание системы обеспечения конфиденциальности.
Что такое Конфиденциальность?
Основы конфиденциальности
Принципы конфиденциальности
Требования в области конфиденциальности, относящиеся к лаборатории
Реализация требований
Заявление об обеспечении конфиденциальности
Все организации и отдельные лица имеют право на защиту любой предоставляемой ими информации, которая составляет их собственность. Такая информация называется конфиденциальной.
Конфиденциальность – состояние, не допускающее раскрытия информации.
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» дает следующее определение:
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Основными документами, регулирующими принципы и требования к обеспечению конфиденциальности информации, являются:
Федеральный закон «О коммерческой тайне» определяет:
Федеральным законом «Об информации, информационных технологиях и защите информации» определены следующие основные положения:
Федеральным законом «О персональных данных» определены следующие основные положения:
Организация должна выполнять требования данного законодательства.
Все организации и отдельные лица имеют право на защиту любой предоставляемой ими информации, которая составляет их собственность.
Чтобы получить доступ к информации, необходимой для проведения эффективной деятельности, необходимо гарантировать, что конфиденциальная информация не будет раскрыта.
Обеспечение равновесия между требованиями, связанными с конфиденциальностью и раскрытием информации, влияет на доверие заинтересованных сторон и на их понимание значения осуществляемой деятельности.
ГОСТ 17025 включает раздел 4.2. Конфиденциальность, которым определены следующие требования к лабораториям:
4.2.1. Лаборатория должна на основе юридически значимых обязательств нести ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности. Лаборатория должна заранее информировать заказчика об информации, которую она намерена разместить в свободном доступе. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком (например, с целью реагирования на жалобы). Вся иная информация считается представляющей коммерческую тайну и должна рассматриваться в качестве конфиденциальной.
4.2.2. Если в соответствии с законодательством или договорными отношениями лаборатория должна раскрыть конфиденциальную информацию, она должна уведомить заказчика или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.
4.2.3. Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), должна быть конфиденциальной между заказчиком и лабораторией. Сведения о поставщике (источнике) этой информации должны быть конфиденциальными для лаборатории и не должны передаваться ее заказчику, если это не согласовано с источником данной информации.
4.2.4. Персонал, включая любых членов комитетов, подрядчиков, персонал внешних органов или отдельных лиц, действующих от имени лаборатории, должен соблюдать конфиденциальность всей информации, полученной или созданной в ходе выполнения лабораторной деятельности, за исключением случаев, предусмотренных законодательством.
В целях обеспечения конфиденциальности в лаборатории необходимо создать систему, которая включала бы принятие мер технического, организационного и юридического характера, достаточных для ограждения информации от несанкционированного доступа третьих лиц.
Для этого:
1. Опишем, что будет включать система и определим, как лаборатория будет обеспечивать конфиденциальность.
2. Определим обязательства лаборатории по обеспечению конфиденциальности информации.
3. Определим процедуры системы менеджмента, которые позволят обеспечить конфиденциальность информации.
Это целесообразно сделать в Руководстве по качеству.
4. Предусмотрим организационной структурой организации ограничение доступа к информации о лабораторной деятельности.
5. Проведем идентификацию и оценку рисков.
6. Ограничим доступ к месту хранения архивных документов, содержащих информацию о результатах исследований.
7. Учтем в рамках должностных и рабочих инструкций персонала ответственность за обеспечение конфиденциальности при выполнении своих обязанностей.
8. Определим в должностных и рабочих инструкциях, чем персонал должен руководствоваться при выполнении своих обязанностей, связанных с использованием конфиденциальной информации.
Опишем в Руководстве по качеству, что будет включать система обеспечения конфиденциальности:
1. Обязательства лаборатории обеспечить конфиденциальность информации о заказчике, полученной от самого заказчика или от иных лиц, а также информации о результатах исследований.
2. Разделение доступа к конфиденциальной информации. Ограничение доступа к информации о результатах исследований (испытаний, измерений) в организации.
Это организуется путем разграничения функциональных обязанностей персонала внутри организаций в рамках должностных и рабочих инструкций, а также путем формирования соответствующей организационной структуры.
3. Процедуры системы менеджмента, реализованные с учетом обеспечения конфиденциальности информации.
К данным процедурам относятся: управление персоналом, требования к структуре, рассмотрение запросов, тендеров и договоров, предоставление отчетов о результатах, жалобы (претензии), управление данными и информацией, управление записями, внутренние аудиты.
4. Архив для хранения документов, содержащих информацию о результатах исследований.
Определим, какими элементами мы будем обеспечивать систему:
В описании обеспечения системы конфиденциальности необходимо указать ссылки на соответствующие разделы Руководства по качеству и реквизиты внутренних документов, регламентирующих соответствующие процедуры. Также важно заявить, что компоненты системы обеспечивают конфиденциальность. Дадим утверждения об этом.
Из пункта 4.2.1. ГОСТ 17025 следует:
Организация и лаборатория несут ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности.
Лаборатория заранее информирует заказчика об информации, которую она намерена разместить в свободном доступе, передать в соответствии с требованием законодательства путем включения соответствующих особенностей в договор (контракт) с заказчиком или уведомив заказчика в письменном виде. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком (например, с целью реагирования на жалобы). Вся иная информация считается представляющей коммерческую тайну и рассматривается в качестве конфиденциальной.
Из пункта 4.2.2. ГОСТ 17025 следует:
Если в соответствии с законодательством или договорными отношениями лаборатория должна раскрыть конфиденциальную информацию, она должна уведомить заказчика или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.
Отметим, что примером случая передачи информации является предоставление отчетности в соответствии с требованиями Приказа № 704 «Об утверждении Положения о составе сведений о результатах деятельности аккредитованных лиц, об изменениях состава их работников и о компетентности этих работников, об изменениях технической оснащенности, представляемых аккредитованными лицами в Федеральную службу по аккредитации, порядке и сроках представления аккредитованными лицами таких сведений в Федеральную службу по аккредитации». Об этом заказчик должен быть уведомлен заранее. Например, включением соответствующей особенности в состав договора на оказание лабораторных услуг.
Из пункта 4.2.3. ГОСТ 17025 следует:
Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), является конфиденциальной между заказчиком и организацией. Сведения об источнике этой информации являются конфиденциальными и не передаются заказчику, если это не согласовано с источником данной информации.
Из пункта 4.2.4. ГОСТ 17025 следует:
Персонал организации, субподрядчиков, персонал внешних органов или отдельных лиц, действующих от имени лаборатории, должен соблюдать конфиденциальность всей информации, полученной или созданной в ходе выполнения лабораторной деятельности, за исключением случаев, предусмотренных законодательством.
5 января 2021 г. 18:30
Практикум по пп. 8.5.1 и 8.5.2
Лаборатория должна идентифицировать риски и возможности, чтобы предотвратить сбои и добиться улучшений. Необходимо интегрировать эти действия в систему менеджмента и оценить их ...
Практикум по 6.4
Лаборатория должна быть оснащена всем необходимым оборудованием. Важно учитывать ISO 17034.
Подтверждение калибровки оборудования. Все приборы идентифицируются, неисправные ...
Практикум по п. 7.10.1 c)
Процедура должна обеспечивать проведение оценки значимости несоответствующей установленным требованиям работы, в том числе анализ ее воздействия на предыдущие результаты.
Практикум по п. 7.2.1
Лаборатория должна обеспечивать актуальность и доступность всех методов и методик, используемых в работе,
и следовать установленным процедурам. Отклонения от методов допускаются только при техническом ...