Zarządzanie bezpieczeństwem - Zachodniopomorski Uniwersytet
Transkrypt
Zarządzanie bezpieczeństwem - Zachodniopomorski Uniwersytet
2015-05-17 ZachodniopomorskiUniwersytet Uniwersytet Technologiczny Technologiczny wwSzczecinie Zachodniopomorski Szczecinie WydziałInżynierii Inżynierii Mechanicznej Mechanicznej i Mechatroniki Wydział i Mechatroniki Dr inż. Agnieszka Terelak-Tymczyna Zarządzanie bezpieczeństwem Wykłady 2014/2015 Zaliczenie odbędzie się w formie testu Konsultacje: pok. 230 Zasady zaliczania Kontakt: [email protected] [email protected] Materiały dostępne na stronie : www.aterelak.zut.edu.pl Literatura 1. Szopa T.: Niezawodność i bezpieczeństwo. Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa, 2009. 2. Pamuła W.: Niezawodność i bezpieczeństwo. Wydawnictwo Politechniki Śląskiej, Gliwice, 2011. 3. K. Liderman: „Analiza ryzyka i ochrona informacji w systemach komputerowych”, Mikom PWN, 2008 4. Y. Y. Chong, E. M.Brown: „Zarządzanie ryzykiem projektu”, Dom Wydawniczy ABC, 2001 5. A. Białas: Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, 2007 6. W. Zawieska (red.), Ocena ryzyka zawodowego Tom 1 - Podstawy metodyczne, wydanie III zaktualizowane, Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy, Warszawa, 2004 7. J. Kowalski: Podstawy prawne ochrony pracy w Polsce. W: Bezpieczeństwo pracy i ergonomia., Red. nauk. D. Koradecka. Warszawa, CIOP 1999 8. K. Szczepańska: Metody i techniki TQM, Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa 2009, 9. J. Szlązak, N. Szlązak: Bezpieczeństwo i higiena pracy, Uczelniane Wydawnictwo NaukowoDydaktyczne AGH, Kraków 2005 10. Dyrektywy nowego podejścia UE – www.oznaczenie-ce.pl 11. PN-N-18001:2004 Systemy zarządzania bezpieczeństwem i higieną pracy. Wymagania. 12. PN-N-18002:2000 Systemy zarządzania bezpieczeństwem i higieną pracy. Ogólne wytyczne oceny ryzyka zawodowego. 13. PN-N-18004:2001 Systemy zarządzania bezpieczeństwem i higieną pracy. Wytyczne. 1 2015-05-17 Dr inż. Agnieszka Terelak-Tymczyna Wprowadzenie. Podstawowe pojęcia i definicje Definicja Wykłady 2014/2015 Zarządzanie bezpieczeństwem określa się jako pakiet działań dążących do osiągnięcia zamierzonego stanu bezpieczeństwa oraz utrzymywania go na określonym poziomie. Działania te dążą do minimalizacji prawdopodobieństwa wystąpienia zdarzeń niepożądanych oraz stwarzają możliwość do jego kontrolowania i monitorowania poprzez identyfikację zagrożeń oraz ocenę występującego ryzyka. Andrzej Białas Zarządzanie bezpieczeństwem jest to identyfikacja, ocena i ustalenie priorytetów wystąpienia ryzyka poprzez takie koordynowanie działaniami w przedsiębiorstwie aby zminimalizować, monitorować i kontrolować prawdopodobieństwo wystąpienia zjawisk niepożądanych. Zarządzanie bezpieczeństwem ZAGROŻENIE Definicja RYZYKO 2 2015-05-17 „Zagrożenie jest to możliwość powstania określonych strat, ustalana dla sytuacji powstałej po zajściu pojedynczego zdarzenia niepożądanego w rozpatrywanym systemie człowiek-technika-środowisko…” Tadeusz Szopa Definicja „Zagrożenie – to sytuacja niebezpieczna, w której występuje obiekt mogący doznać szkody lub obiekt, który może ponieść stratę w efekcie uaktywnienia się niebezpieczeństwa. Strata odnoszona jest do przedmiotów, które w wyniku niebezpiecznego zdarzenia mogą ulec uszkodzeniu lub zniszczeniu. Z kolei szkoda lub krzywda odnosi się do człowieka…” Jan i Nikodem Szlązak Definicja Zagrożenie spowodowane może być niżej wymienionymi przyczynami: • niesprzyjającym wpływem otoczenia, • błędami użytkownika popełnianymi w eksploatacji, szczególnie błędami sterowania, • niewłaściwym działaniem obiektu, na skutek uszkodzeń jego podzespołów. • Ryzyko w auditowaniu • • • Zagrożenie - zjawisko wywołane działaniem sił natury np. trzęsienia ziemi bądź związane z działalnością człowieka, które powoduje, że poczucie bezpieczeństwa maleje bądź zupełnie zanika. Zagrożenie związane z działalnością człowieka dzielimy na: - cywilizacyjne np. imprezy masowe, choroby społeczne - destrukcyjne np. terroryzm, przestępczość - gospodarcze np. zanieczyszczenie środowiska, wadliwe konstrukcje. Zagrożenie a ryzyko - choć oba te czynniki występują równolegle, nie należy ich ze sobą utożsamiać, gdyż podobnie jak przyczyna i skutek są to dwa odrębne zjawiska. Przykładowo zagrożenie mogą stanowić zwisające z dachu duże sople, podczas gdy ryzykiem jest przebywanie lub przechodzenie w miejscu, w którym jest możliwe uderzenie przez oderwany sopel. Ryzyko w przeciwieństwie do zagrożenia, wynika z dobrowolnego działania, czyli działań wewnątrz przedsiębiorstwa lub za jego zgodą. 3 2015-05-17 „Ryzyko nie jest najważniejszym elementem w ekonomii. Ważniejsze jest by ryzyko dostrzec i prawidłowo je ocenić”. Definicja Definicja Milton Friedman Laureat Nagrody Nobla z ekonomii • Etymologię słowa można znaleźć w kilku językach: • Ryzyko pochodzi z języka z języka łacińskiego, gdzie czasownik risicare znaczy „omijać coś” • Ryzyko pochodzi też z greki riza, które oznacza „rafę stanowiąca poważne zagrożenie podczas żeglugi na morzu” podobnie jak w języku włoskim ris(i)co oznacza „rafę, którą statek (kupiecki) powinien ominąć” i znaczy też : „mieć śmiałość, przekroczyć ustalone tradycją ograniczenia” • Ryzyko jest nieodłączną częścią każdej działalności człowieka. Ryzyko jest cechą wspólną ludzkich działań. • Można je zaobserwować w np. polityce, prawie, medycynie, nauce, ekonomii, zarządzaniu, życiu codziennym… • Należy je postrzegać jako niebezpieczeństwo, możliwość nieosiągnięcia postawionego celu czy zaplanowanych rezultatów • Ludzie obawiają się ryzyka bardziej, kiedy nie mają wpływu na nie w porównaniu z niepewnym działaniem podejmowanym świadomie. 4 2015-05-17 Definicja Definicja Definicja ZJAWISKO RYZYKA W DZIAŁALNOŚCI GOSPODARCZEJ • Ryzyko jest nieodłączną cechą działalności gospodarczej: przedsiębiorca jest specjalistą w podejmowaniu ryzyka i czerpaniu z niego zysków. Jednak przedsiębiorstwa są narażone na wiele rodzajów ryzyka, z których nie wszystkie przynoszą korzyści. Ryzyko, nawet nieznane, może stanowić istotne zagrożenie dla realizacji celów przedsiębiorstwa. • Ryzyko znane powoduje natomiast niepewność, co do efektów podejmowanych decyzji. • Każdy przedsiębiorca wie, ryzyko to nieodłączna i niezwykle istotna cecha każdego przedsięwzięcia gospodarczego • Ryzyko nie jest zjawiskiem absolutnie złym. Gdyby nie istniało, nie miałyby racji istnienia giełdy, instytucje ubezpieczeniowe, a także zwykłe przedsiębiorstwa. • Właściciele przedsiębiorstw mogą uzyskiwać dodatkowe korzyści tylko jeśli są narażeni na ryzyko. • Ponadto ryzyko nie wiąże się tylko z możliwością strat, ale także z szansą na dodatkowe przychody dla tych, którym sprzyja szczęście. • Jednak, jak wiemy z codziennych obserwacji, mało kto uważa ryzyko za zjawisko korzystne. • Ryzyko oznacza przecież, że nie jesteśmy w stanie przewidzieć rezultatów naszych działań czy nie wolelibyśmy uniknąć tego problemu? • W terminologii funkcjonują dwa terminy o podobnym znaczeniu: Ryzyko oraz Niepewność. W języku potocznym obydwa terminy często są wykorzystywane zamiennie, lecz dla osób zarządzających ryzykiem, znaczą coś całkiem różnego. • Ryzyko - to zjawisko obiektywne – oznacza połączenie możliwych efektów działania wraz z prawdopodobieństwem (obiektywnym) ich wystąpienia. • Niepewność - to stan umysłu – ze względu na występowanie ryzyka, lub naszą niewiedzę, nie jesteśmy w stanie przewidzieć efektów naszych działań. Tam gdzie jedna osoba odczuwa niepewność, inna, lepiej poinformowana, nie musi jej wcale odczuwać . • Ryzyko jest zawsze połączone z niepewnością, ale odwrotne twierdzenie nie jest prawdziwe. • Możemy odczuwać niepewność wynikającą wyłącznie z naszej niewiedzy o świecie 5 2015-05-17 „Ryzyko jest to możliwość pojawienia się określonych strat (szkód) w rozważanym systemie człowiek-technikaotoczenie w określonym czasie jego funkcjonowania…”. Definicja Tadeusz Szopa Przykład: Ryzyko i zagrożenie w odniesieniu do kierowcy pojazdu z nieaktualnym przeglądem technicznym Przejazd człowieka samochodem z miejsca pracy do miejsca zamieszkania związany jest z pewnym ryzykiem doznania uszczerbku na zdrowiu z powodu złego stanu technicznego pojazdu. Do takiej szkody raczej nie dochodzi jeżeli samochód przechodzi regularnie przeglądy techniczne z wynikiem pozytywnym. Kiedy natomiast pojawi się awaria hamulca, jako zdarzenia niepożądanego, sytuacja zmienia się diametralnie. W tym przypadku ryzyko doznania uszczerbku na zdrowiu przez kierującego pojazdem zwiększa się zaskakująco szybko. To właśnie to ryzyko poniesienia szkód, które łączy się z wystąpieniem zdarzenia niepożądanego, tj. awarii hamulca określa się jako zagrożenie. • Definicja z normy ISO 31000: Ryzyko Definicja „Skutek niepewności w odniesieniu do ustalonych celów” („Połączenie konsekwencji zdarzenia z prawdopodobieństwem jego wystąpienia”) Ryzyko- oznacza miarę i ocenę zagrożenia czy niebezpieczeństwa wynikającego albo z prawdopodobnych zdarzeń od nas niezależnych, albo z możliwych konsekwencji podjęcia decyzji. • • • • Uwaga nr 1: Skutek(wpływ) to odchylenie od spodziewanych założeń – pozytywny lub negatywny. Uwaga nr 2: Niepewność to stan, nawet częściowy, niewystarczającej ilości: informacji, znajomości rzeczy lub wiedzy, wydarzenia, jego konsekwencji lub prawdopodobieństwa jego wystąpienia Uwaga 3: Ryzyko jest często określane przez odniesienie do możliwych zdarzeń i konsekwencji lub ich połączenia. (Guide73) Słownictwo. Wytyczne dla standardów Uwaga nr 4: Ryzyko jest często wyrażone jako powiązanie konsekwencji wydarzenia (włączając zmiany okoliczności) i prawdopodobieństwo jego wystąpienia Z definicji ryzyka warto przytoczyć kilka najbardziej praktycznych: • „Ryzyko jako niepewność wystąpienia określonych skutków stanu natury. Jest pewną obiektywną prawidłowością charakterystyczna dla świata realnego, który dana jednostka subiektywnie postrzega i interpretuje” • „Ryzyko to niepewność związana z przyszłymi wydarzeniami wynikami decyzji” A.H Willet lub Definicja J.K Sinkey • „Ryzyko oznacza podejmowanie decyzji, które nie są optymalne z punktu widzenia założonego celu, ze względu na fakt niepełnej informacji” • „Ryzyko należy postrzegać jako kombinację prawdopodobieństwa wystąpienia jakiegoś zdarzenia oraz jego konsekwencji dla przedsiębiorstwa (konsekwencje pozytywne lub negatywne). • „Ryzyko - problem, zagrożenie, które może się urzeczywistnić” E.Kreim 6 2015-05-17 • Ustalenie kontekstu (pkt.2.9 wg PN-ISO 31000:2012) Definicja „Definiowane zewnętrznych i wewnętrznych parametrów, które powinny być uwzględnione podczas zarządzania ryzykiem, jak również podczas określania zakresu i kryteriów ryzyka dla polityki zarządzania ryzykiem”. • Kontekst wewnętrzny (pkt.2.11 wg PN-ISO 31000:2012) Definicja „Środowisko wewnętrzne, w którym organizacja dąży do osiągnięcia swoich celów” - Uwaga Kontekst wewnętrzny może uwzględniać: ład organizacyjny , strukturę organizacji, role i rozliczalność polityki, cele i strategie ustanowione w celu ich osiągnięcia zdolności rozumiane jako zasady i wiedza (np. kapitał, czas, ludzie, procesy, systemy i technologie) systemy informacyjne, przepływ informacji i procesy podejmowania decyzji (formalne i nieformalne) relacje z wewnętrznymi interesariuszami, ich postrzeganie i wartości kulturę organizacji normy, wytyczne i modele przyjęte przez organizację formę i zakres relacji zawartych w umowach • Kontekst zewnętrzny (pkt.2.11 wg PN-ISO 31000:2012) Definicja „Środowisko zewnętrzne, w którym organizacja dąży do osiągnięcia swoich celów” . Uwaga Kontekst zewnętrzny może uwzględniać: - środowisko kulturowe, społeczne, polityczne, prawne, regulacyjne, finansowe, technologiczne, ekonomiczne, naturalne oraz konkurencyjne środowisko niezależnie od rozpatrywanego zakresu: międzynarodowego, narodowego, regionalnego lub lokalnego - kluczowe czynniki i trendy mające wpływ na cele organizacji oraz - relacje z zewnętrznymi interesariuszami, ich postrzeganie i wartości 7 2015-05-17 • Ocena ryzyka (pkt.2.14 wg PN-ISO 31000:2012) Definicja „Całościowy proces identyfikacji ryzyka, analizy ryzyka oraz ewaluacji ryzyka”. • Analiza ryzyka (pkt.2.21 wg PN-ISO 31000:2012) „Proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzyka”. Uwaga1 Analiza ryzyka stanowi podstawę do ewaluacji ryzyka oraz określenia poziomu ryzyka Uwaga2 Analiza ryzyka zawiera estymacje ryzyka • Identyfikacja ryzyka (pkt.2.15 wg PN-ISO 31000:2012) Definicja „Proces wyszukiwania, rozpoznawania i opisywania ryzyka” Uwaga1 Identyfikacja ryzyka obejmuje rozpoznanie źródła ryzyka, zdarzeń, ich przyczyn i potencjalnych następstw”. Uwaga2 Identyfikacja ryzyka może obejmować dane historyczne, analizy teoretyczne, pozyskane opinie, opinie ekspertów oraz potrzeby interesariuszy. • Źródła ryzyka (pkt.2.16 wg PN-ISO 31000:2012) „Element, który sam lub w połączeniu z innymi ma wewnętrzny potencjał, aby powodować powstanie ryzyka” Uwaga Źródło ryzyka może być materialne i niematerialne. • Zdarzenie (pkt.2.17 wg PN-ISO 31000:2012) Definicja „Wystąpienie lub zmiana konkretnego zestawu okoliczności” Uwaga1 Zdarzenie może wystąpić jeden raz lub wielokrotnie i może mieć wiele przyczyn Uwaga2 Zdarzenie może dotyczyć czegoś, co nie wystąpiło Uwaga3 Zdarzenie może czasem być określane jako „incydent” lub „wypadek” Uwaga4 Zdarzenie bez następstw może być również określane jako „niedoszłe zdarzenie”, „incydent” , „sytuacja grożąca wypadkami” lub słowami „o mały włos”. 8 2015-05-17 • Poziom ryzyka (pkt.2.23 wg PN-ISO 31000:2012) „Wielkość ryzyka lub kombinacji ryzyk, wyrażona w postaci kombinacji następstw oraz ich prawdopodobieństwa” • Postępowanie z ryzykiem (pkt.2.25 wg PN-ISO 31000:2012) Definicja „Proces modyfikacji ryzyka” Uwaga1 Postępowanie z ryzykiem może uwzględniać: - unikanie ryzyka poprzez decyzję o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko - podjecie lub zwiększenie ryzyka w celu wykorzystania szansy - usunięcie źródeł ryzyka - zmianę prawdopodobieństwa - zmianę następstw - dzielenie ryzyka wraz z inną strona lub stronami (łącznie z umowami) - retencję (zatrzymanie, ograniczenie zasięgu ryzyka ) na podstawie świadomej decyzji • Następstwo (konsekwencje) (pkt.2.18 wg PN-ISO 31000:2012) Definicja „Rezultat zdarzenia mający wpływ na cele” Uwaga1 Zdarzenie może prowadzić do wielu następstw Uwaga2 Następstwo może być pewne lub niepewne i może mieć wpływ pozytywny bądź negatywny na osiągnięcie celów Uwaga3 Następstwa mogą być wyrażone jakościowo lub ilościowo Uwaga4 Początkowe następstwa mogą się zwiększyć poprzez efekty uboczne • Prawdopodobieństwo (pkt.2.18 wg PN-ISO 31000:2012) „Możliwość, szansa wystąpienia zdarzenia” Uwaga1 W terminologii zarządzania ryzykiem termin „prawdopodobieństwo” jest używany w odniesieniu do możliwości wystąpienia jakiegoś zdarzenia, zarówno zdefiniowanego , mierzonego lub określonego obiektywnie lub subiektywnie , jakościowo lub ilościowo, jak i opisanego przy użyciu ogólnych terminów lub matematycznie (np. częstość w określonym przedziale czasu) • Ewaluacja ryzyka (pkt.2.24 wg PN-ISO Definicja 31000:2012) „Proces porównywania wyników analizy ryzyka z kryteriami ryzyka (cele, polityki ,normy, przepisy itd.) w celu stwierdzenia ,czy ryzyko i/lub jego wielkości są akceptowane lub tolerowane” • Ryzyko rezydualne (pkt.2.27 wg PN-ISO 31000:2012) „Ryzyko pozostające po zastosowaniu działań określonych w postępowaniu z ryzykiem” Uwaga1 Ryzyko rezydualne może zawierać ryzyko niezidentyfikowane Uwaga2 Ryzyko rezydualne jest nazywane również „ryzykiem podlegającym retencji” 9 2015-05-17 Ryzyko ISO opracowało nową międzynarodową normę ISO 31000 „General guidelines for principles and implementation of risk management”, którą przetłumaczono na język polski jako Zarządzanie ryzykeim PN-ISO 31000:2012-03P „Zarządzanie ryzykiem – Zasady i wytyczne” . • Zarządzanie ryzykiem wg ISO 31000 obejmuje m.in. identyfikację ryzyka, ocenę i ewaluację ryzyka, postępowanie z ryzykiem oraz jego monitorowanie i związaną z nimi komunikację. • W normie PN-ISO 31000 przedstawiono zalecane zasady dla osiągnięcia skuteczności zarządzania ryzykiem: Zarządzanie ryzykiem a) Zarządzanie ryzykiem tworzy i chroni wartość poprzez przyczynianie się do wzrostu pewności osiągania celów b) Zarządzanie ryzykiem powinno być integralną częścią wszystkich procesów w organizacji c) Zarządzanie ryzykiem jest częścią procesu podejmowania decyzji – świadome wybory, ustalone priorytety, d) Zarządzanie ryzykiem jednoznacznie odnosi się do niepewności e) Zarządzanie ryzykiem jest systematyczne, ustrukturyzowane oraz terminowe f) Zarządzanie ryzykiem wykorzystuje najlepsze dostępne informacje z wielu źródeł, w tym np. dane historyczne 10 Zarzadzanie ryzykiem 2015-05-17 g) Zarządzanie ryzykiem jest dopasowane do zewnętrznych i zewnętrznych uwarunkowań organizacji i profili ryzyk h) Zarządzanie ryzykiem bierze pod uwagę czynniki ludzkie i kulturowe – rozpoznaje możliwości percepcje oraz intencje osób wewnątrz i zewnątrz organizacji, które mogą ułatwić lub utrudnić osiągnięcie celów organizacji i) Zarządzanie ryzykiem jest przejrzyste i całościowe – dzięki odpowiedniemu terminowemu zaangażowaniu j) Zarządzanie ryzykiem jest dynamiczne iteracyjne oraz reaguje na zmiany w tym na nowe pojawiające się ryzyka k) Zarządzanie ryzykiem ułatwia ciągłe doskonalenie organizacji – doskonalenie poziomu dojrzałości systemu zarządzania 1. Ustalenie kontekstu 2. Identyfikacja ryzyka 3. Analiza ryzyka 4. Oszacowanie ryzyka 5. Odpowiedź na ryzyko (zabezpieczenie ryzyka) Ryzyko w auditowaniu Zarzadzanie ryzykiem Do procesu zarządzania ryzykiem należy 5 stopni: 11 2015-05-17 Analiza ryzyka i związane z tym metody zarządzania ryzykiem np. - Analiza drzewa błędów wg DIN25424-1/2 - Analiza FMEA wg IEC 60812 Zarzadzanie ryzykiem Analiza ryzyka dotyczy specyficznych obszarów np. • • • • • • Bezpieczeństwa maszyn i urządzeń - przewodnik do oceny ryzyka wg EN 1050 Ropa naftowa i przemysł wydobycia gazu –przybrzeżne urządzenia produkcyjne – wytyczne i procedury do wykrycia niebezpieczeństw oraz system rozkładu ryzyka wg ISO 17666 Windy i schody ruchome – procedury dotyczące analizy ryzyka wg ISO/TS 14798 Wyroby medyczne -zastosowanie zarządzania ryzykiem dla wyrobów medycznych wg EN ISO 14971 Produkty spożywcze - analiza zagrożeń i krytycznych punktów kontroli wg HACCP i FAO/ WHO Codex Alimentarius i ISO 22000 Zarządzanie środowiskiem –aspekty środowiskowe, gotowość i reakcje na awarie wg ISO 14001 Zarządzanie ryzykiem • Zarządzanie bezpieczeństwem i higiena pracy – wytyczne do oceny ryzyka zawodowego PN-N18002 • Technika informatyczna. Systemy zarządzania bezpieczeństwem informacji- SZBI. Wymagania wg ISO/IEC 27001:2013-09 • Technika informatyczna .Techniki bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji wg PN-ISO/IEC 27005:2010 • System zarządzania jakością. Wymagania dla dostawców do NATO. Analiza ryzyka przy zawieraniu kontraktów o charakterze militarnym wg standardu AQAP 2110 Ryzyko można zdefiniować na dwa sposoby: 1. definicja dystrybucyjna, w której ryzyko jest związane z wielkością możliwego rozkładu wyników; 2. definicja parametryczna związana z prawdopodobieństwem powstania straty i jej wielkości. 12 2015-05-17 Definicje parametryczne można podzielić na trzy rodzaje: 1. Ryzyko jest to prawdopodobieństwo powstania straty. 2. Ryzyko jest tym większe, im większa może być strata w wyniku podjętego działania 3. Ryzyko jest to iloczyn prawdopodobieństwa poniesienia straty i jej wielkości. Ryzyko = (szansa zaistnienia, czyli prawdopodobieństwo) x (konsekwencje – czyli strata) Rodzaje ryzyka Zarzadzanie ryzykiem MDR (Maksymalne Dopuszczalne Ryzyko) – wielkość funduszy, jakie organizacja może ponieść w przypadku występienia niekorzystnych zdarzeń i w dalszym ciągu utrzymać się na rynku. MDR = αFW + βZysk + γGwarancje α – część funduszy własnych (FW) ustalona jako maksymalny limit strat w przypadku totalnej katastrofy; β – część rocznego zysku operacyjnego brutto, pozwalającego na wchłonięcie skutków katastrofy; γ – szacunkowy wskaźnik odszkodowań jako ewentualnej rekompensaty pieniężnej lub technicznej w przypadku powstałych szkód. Rodzaj ryzyka Opis Obiektywne Wynik analizy części pożądanych i niepożądanych zdarzeń. Przykład: częstość występowania powodzi na danym obszarze Subiektywne Inaczej subiektywna ocena ryzyka, nacechowane jest indywidualnym spojrzeniem na sytuację. Przykład: Czyste Takie, którego wielkość można pomniejszyć przez ograniczenie strat, np. w wyniku ubezpieczenia się od ryzykownej czynności. Przykład: kradzież mienia zakładu pracy, awarie urządzeń Spekulacyjne Występuje w sytuacji, w której można zarówno zyskać, jak i stracić. Ryzyko to jest charakterystyczne dla działalności inwestycyjnej, giełdowej ale także zawodowej i pozazawodowej. Przykład: pominięcie wymaganych przepisami zabezpieczeń w cyklu technologicznym (ryzyko zawodowe) Statyczne Ryzyko wynikające ze statystyki zdarzeń mogących powodować szkody. Przykład: powódź występująca na określonym obszarze ze ściśle określoną częstotliwością i konsekwencjami. 13 Rodzaje ryzyka 2015-05-17 Rodzaj ryzyka Opis Dynamiczne Towarzyszące zmianom samego społeczeństwa, jest następstwem zmian zachodzących w gospodarce. Przykład: rozwój transportu lotniczego i związane z nim ryzyko terrorystyczne. Podstawowe Dotyczy całego społeczeństwa lub znacznej jego części. Przykład: recesja gospodarcza kraju i związane z nią skutki. Szczegółowe Dotyczy tylko niektórych grup ludzi a nawet jednostek. Przykład: ryzyko związane z pracą policji, górników Indywidualne Ryzyko na jakie wystawione są pojedyncze osoby, które rzadziej niż ogół decydują się na podjęcie ryzykownej czynności Zbiorowe Ryzyko to podejmują całe grupy ludzi lub nawet całe społeczeństwa. Przykład: kibice piłkarscy wszczynający bójki. Ryzyko w ISO/ DIS 9001:2014-05-09 Pkt .normy Treść o ryzyku Uwagi 0.5 Myślenie bazujące na ryzyku Wprowadzenie do normy 3.09 Definicja ryzyka Guide 73 :2009 4.4 f) …„określenie ryzyka i szans (możliwości) w zgodności z wymaganiem pkt.6.1 – Planowania SZJ Podejście procesowe 5.1.2 a) …” określenie ryzyka i szans (możliwości) , które wpływają na odpowiedniość wyrobów i usług oraz satysfakcji klienta Przywództwo i zaangażowanie w odniesieniu do potrzeb i oczekiwań klienta i usług …”planowanie SZJ z ustaleniem ryzyk i szans ” odpowiednich do potencjalnych skutków na zgodność … Działania w odniesieniu do ryzyka i szans 8.5.5 a) 6.1.1 6.1.2 a) ” zakres działań po dostawie zależy od ryzyka związanego z wyrobami i usługami”.. Działania po dostawie 9.2 ..”Program auditów powinien brać pod uwagę .. wystąpienie ryzyka…” Audit wewnętrzny 9.3.1 d) …Przegląd zarządzania powinien być planowany i uwzględniać : efektywność działań skierowanych na ryzyka i szanse… Dane wejściowe do przeglądu zarządzania Annex A.4 (informacyjny) Podejście bazujące na ryzyku Załącznik A –wykładnia nowej struktury normy Rodzaje ryzyka w przedsiębiorstwie: 1. Zewnętrzne: – – – – Ryzyko operacyjne (ustawodawstwo, łańcuch zaopatrzeniowy), Ryzyko finansowe (stopy procentowe, kursy walutowe, ryzyko kredytowe), Ryzyko strategiczne (konkurencja, fluktuacja popytu, zmiany struktury podmiotowej rynku), Niebezpieczeństwa ( umowy, otoczenie, majątek) Rodzaje ryzyka 2. Wewnętrzne: – – – – Płynność finansowa, Przepływy pieniężne, Systemy informatyczne, Kapitał intelektualny. 14 2015-05-17 Rodzaje ryzyka w przedsiębiorstwie: Bezpieczeństwo a analiza ryzyka Rodzaje ryzyka 1. Ryzyko polityczne (menedżerskie, strategiczne, etyczne) 2. Ryzyko instytucjonalne (ekonomiczne, finansowe, rynkowe) 3. Ryzyko techniczne (operacyjne, środowiskowe, systemów informacyjnych) Bezpieczeństwo wiąże się z ograniczeniem ryzyka, czyli wyeliminowaniem nieakceptowalnego ryzyka utraty życia lub zdrowia ludzkiego, bezpośrednio lub pośrednio, na wskutek wystąpienia zniszczeń w obiekcie lub w jego otoczeniu. Bezpieczeństwo funkcjonalne – część bezpieczeństwa zależna od samego systemu lub poprawnego działania urządzenia i jest związane z właściwą odpowiedzią na pobudzenie jego wejść. Bezpieczeństwo funkcjonalne Przykład : Czujnik w uzwojenie silnika, który wykrywa stan przegrzania i umożliwia wyłączenie silnika, zanim ulegnie on uszkodzeniu. 15 2015-05-17 Bezpieczeństwo funkcjonalne Bezpieczeństwo funkcjonalne powinno spełniać dwa rodzaje wymagań: 1. Na funkcje bezpieczeństwa, opracowane na podstawie wyników analizy hazardów (zagrożeń) określające, co funkcje powinny realizować i w jaki sposób. 2. Na integralność, wypracowane na podstawie wyników szacowania ryzyka, a określających prawdopodobieństwo, że funkcja bezpieczeństwa zadziała niepoprawnie. Pewna maszyna ma niebezpieczne wirujące ostrze, osłonięte pokrywą umocowaną na zawiasach, która musi być odchylana podczas konserwacji urządzenia. Podniesienie pokrywy powinno wyłączyć napęd, zanim dojdzie do zranienia operatora. Przykład Podczas analizy hazardu zidentyfikowano hazard towarzyszący czyszczeniu ostrza. Należy zapewnić by uniesienie pokrywy o wyżej niż 5 mm doprowadzało do wyłączenia napędu i zadziałania hamulca. Ponadto wyznaczono czas hamowania - 1 s. W ten sposób powstała specyfikacja funkcji bezpieczeństwa, czyli pewnego elementu automatyki wbudowanego do systemu, który w ciągu 1 s od uniesienia pokrywy na wysokość 5 mm ma zatrzymać maszynę. Oszacowanie ryzyka sprowadza sic do oceny skuteczności funkcji bezpieczeństwa. Jego celem jest uzyskanie przekonania, ze zachowanie integralności funk j i bezpieczeństwa jest wystarczające, by nikt nie był narażany na nieakceptowalne ryzyko podczas konserwacji maszyny, wynikające z istnienia hazardu. Szkodą może tu być zranienie ręki operatora, a nawet jej utrata. W tym wypadku wielkość ryzyka zależy takie od częstości prowadzenia prac konserwacyjnych. Wymagany w tym przypadku poziom integralności sił zależy od rodzaju uszkodzenia i częstości, z jaką operator jest w ten sposób narażany. 1. Zależne od konstruktora: – – Błędy w specyfikacjach systemu, sprzętu , oprogramowania; Niekompletne specyfikacje bezpieczeństwa, np. nie uwzględnienie pewnych trybów pracy. Czynniki zagrożeń 2. Sprawcze: – – – – – Błąd ludzki Przypadkowe uszkodzenie sprzętowe Błąd oprogramowania Wahania zasilania Zjawiska zachodzące w środowisku elektromagnetyczne, przegrzanie itp.) ( zakłócenia 16 Identyfikacja i wycena wartości chronionych 2015-05-17 Pierwszym etapem analizy ryzyka jest identyfikacja i wycena wartości chronionych. Warunkiem koniecznym, aby zbudować efektywny system zarządzania ryzykiem, jest zidentyfikowanie aktywów narażonych na ryzyko oraz ustalenie, jakiego rodzaju wartości mogą zostać utracone. Aktywa organizacji są to wszelkie wartości materialne i niematerialne mające znaczenie dla osiągnięcia wyznaczonych celów organizacji. Dla każdego rodzaju aktywów należy rozważyć, na czym polega ich wartość dla organizacji i które cechy aktywów powinny być chronione w warunkach ryzyka. Proces Cel procesu Czynniki ryzyka Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Procesy zarządzania Zarządzanie Zapewnienie spójności polityką i Polityki Ryzyka z strategią polityką przedsiębiorstwa. Zapewnienie jedności planowanych zadań strategicznych i celów procesów – Zarządzanie Zapewnienie płynności finansami i finansowej i dodatnich wynikami wyników finansowych przedsiębiorstwa – Proces Cel procesu – – – – zmienność otoczenia politycznego i gospodarczego system informatyczny ocena czynników sukcesu (trafność w prowadzeniu analizy swot) skłonność kardy menadżerskiej do ryzyka wiedza i zaangażowanie pracowników Zmiany fiskalne przepisów bankowych – terminowość opłacania faktur przez klientów – stabilność rynków zbytu – decyzje inwestycyjne kierownictwa – system informacyjny – wiedza i umiejętności pracowników Czynniki ryzyka Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Procesy zarządzania Zarządzanie strukturą organizacyj ną Zapewnienie adekwatności organizacyjnej do strategii i zadań operacyjnych oraz wymagań otoczenia prawne-go przedsiębiorstwa Zarządzanie Utrzymanie Systemu Systemem Zarządzania Ryzykiem Zarządzania Ryzykiem (utrzymani e i rozwój systemu) – – – – – system informacyjny zmienność relacji prawnych opór przed zmianami kultura organizacyjna wiedza i zaangażowanie pracowników – – – – kwalifikacje menedżerów decyzje kierownictwa bazy danych system informatyczny 17 2015-05-17 Proces Cel procesu Czynniki ryzyka Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Procesy doskonalenia Audity wewnętrzn e Zapewnienie – system informatyczny sprawności – zaangażowanie i umiejętności funkcjonowania auditorów Systemu Zarządzania Ryzykiem przez bieżące monitorowanie procesów i wskazania dotyczące podwyższania jakości ich funkcjonowania Działania korygujące i zapobiegaw cze Korygowanie wad procesów jak też zapobieganie im z wykorzystaniem wyników auditów wewnętrznych Proces Cel procesu – – – – bazy danych system komunikacji wewnętrznej elastyczność procesów kwalifikacje pracowników Czynniki ryzyka Procesy tworzące wartość dodaną Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Marketing Rozpoznawanie potrzeb rynku budowlanego oraz zachowań klientów (potrzeb, wymagań, satysfakcji), a także rynku dostawców surowców i materiałów oraz usług. Celem dodatkowym jest budowanie dobrego wizerunku przedsiębiorstwa – – – – – Projektowani Zapewnienie stosowania e i rozwój nowoczesnych rozwiązań produktów wyrobów i usług, będących w zakresie działalności przedsiębiorstwa – – – – – – – – – Proces Cel procesu system informacyjny zmienność popytu potencjał rynku pozycja konkurencyjna siła oddziaływania środków promocji kwalifikacje marketerów system informatyczny ocena możliwości spełnienia wymagań klientów kwalifikacje pracowników możliwości techniczne elastyczność linii produkcyjnych ocena oddziaływania produktów na środowisko naturalne dostępność nowoczesnych technologii środki finansowe Czynniki ryzyka Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Procesy tworzące wartość dodaną Planowani e produkcji Logistyka Zapewnienie, że proces planowania produkcji przebiega w kontrolowanych warunkach tak, aby w pełni osiągnąć zgodność wyrobu/usługi z wymaganiami uzgodnionymi pomiędzy klientem a dostawcą (wewnętrznymi i zewnętrznymi) – – Zapewnienie zakupów, dostaw i transportu surowców, materiałów i usług o cechach spełniających wymagania poszczególnych procesów – – – – – – – – – – – – system informatyczny bazy danych — w tym bazy normatywne niezbędnych zasobów pracy (robocizny, materiałów, sprzętu) kwalifikacje pracowników dokładność w precyzowaniu wymagań klienta oszacowanie potrzeb materiałowych (ilościowe i jakościowe) stosunki z kontrahentami zmienność cen materiałów zmiany warunków dostaw terminowość dostaw Zapasy system kontroli jakości materiałów przestrzeganie przez dostawców norm technicznych awarie maszyn i urządzeń warunki przechowywania surowców i wyrobów 18 2015-05-17 Proces Cel procesu Czynniki ryzyka Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Procesy tworzące wartość dodaną Wytwarzan Realizacja procesów wyie twórczych w sposób bezpieczny wyrobów dla pracowników i otoczenia, a także gwarantujący wymaganą jakość produktów – zapewnienie materialnych czynników produkcji możliwość naboru pracowników zaangażowanie pracowników w wykonywaną pracę kwalifikacje i doświadczenie pracowników awarie maszyn i urządzeń technicznych bezpieczeństwo osób — bhp (oświetlenie, hałas, wibracja, temperatura, czynniki chemiczne, stres) zanieczyszczenie środowiska naturalnego – – – – – – Obsługa klienta Tworzenie wartości dla klienta przez zapewnienie wysokiej jakości obsługi we wszystkich fazach kontaktu z klientem zewnętrznym – – – system informatyczny procedury dotyczące spisania umowy komunikacja i relacje z klientem w czasie produkcji wyrobu czy świadczenia usługi terminowość dostaw obsługa posprzedażna kwalifikacje i zaangażowanie – – – Proces Cel procesu Czynniki ryzyka Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Procesy wspomagające Zarządzanie Zapewnienie infrastrukturą poprawnego techniczną funkcjonowania infrastruktury technicznej w celu spełniania wymagań jakości obsługiwanych procesów – postęp techniczny – kradzieże – zanieczyszczenie środowiska naturalnego Zarządzanie zasobami ludzkimi – – Proces Zapewnienie prawidłowego dostosowania liczby i kwalifikacji pracowników do wypełniania zadań stanowiskowych Cel procesu dobór liczbowy pracowników kwalifikacje i zaangażowanie pracowników rynek pracy system komunikacji wewnętrznej – – Czynniki ryzyka Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Procesy wspomagające Nadzór nad środowiskie m pracy i środowiskie m naturalnym Zarządzanie komunikacją wewnętrzną - system informatyczn y Zapewnienie, wymaganego prawem i dobrem pracowników, stanu środowiska pracy, umożliwiającego poprawne wykonywanie zadań produkcyjnych (bhp), a także minimalizować zagrożeń dla środowiska naturalnego oraz uniezależnienie – – – system informatyczny narażenia pracowników w procesie pracy aktualność stanowiskowych kart ryzyka zawodowego zanieczyszczenie środowiska naturalnego zmienność wymagań środowiskowych polityka środowiskowa państwa Sprawne zarządzania komunikacją wewnętrzną w celu zapewnienia jednoznaczności wymagań klientów wewnętrznych i zewnętrznych – – – system informatyczny kultura organizacyjna stabilność kadry – – – 19 Identyfikacja zagrożeń Identyfikacja zagrożeń 2015-05-17 Aspekt ryzyka Źródło ryzyka Techniczny Własności fizyczne Własności materiałowe Własności radiacyjne Testowanie i modelowanie Integracja i interfejs Architektura oprogramowania Bezpieczeństwo Zmiany wymogów Wykrywanie błędów Środowisko operacyjne Sprawdzone/niesprawdzon e technologie Złożoność systemu Rzadkie lub specjalne zasoby Programowy Dostępność materiałów Dostępność personelu Umiejętność personelu Bezpieczeństwo Zabezpieczenia Wpływ środowiskowy Problemy komunikacyjne Przerwy w pracy Zmiany wymogów Wsparcie polityczne Stabilność kontrahentów Struktura finansowania Zmiany regulacyjne Aspekt ryzyka Źródło ryzyka Obsługowy Niezawodność i utrzymywalność Szkolenie i wsparcie szkolenia Sprzęt Kwestie dotyczące zasobów ludzkich Bezpieczeństwo systemu Dane techniczne Udogodnienia Zgodność operacyjna Łatwość transportu Wsparcie zasobów informatycznych Pakowanie, przeładunek, przechowywanie Kosztowy Wrażliwość na ryzyko − Techniczne − Programowe − Obsługowe Wrażliwość na ryzyko harmonogramowe Wielkość kosztów ogólnych i kosztów ogólnego zarządu Błąd szacowania Harmonogramow y Wrażliwość na ryzyko − Techniczne − Programowe − Obsługowe Wrażliwość na ryzyko kosztowe Stopień równoczesności Liczba elementów tworzących ścieżkę krytyczną Błąd szacowania Metodyka procesu zarządzania ryzykiem Etapy postępowania Kolejność etapów Nazwa etapu Etap I Wybór obszaru badawczego Etap II Identyfikacja ryzyka Ustalenie indykatorów ryzyka Budowa katalogu ryzyka Etap III Ocena ryzyka Etap IV Manipulowanie ryzykiem Możliwe do wykorzystania metody lub techniki Analiza Kwestionariusz Wywiad Metody inwentyczne Analiza portfelowa: -analiza orientacji przedsiębiorstwa -- arkusz punktowej oceny ryzyka -- wielostopniowa analiza portfelowa -Arkusze szans i ryzyka Katalog ryzyka Metody probablistycznostatystyczne Analiza wrażliwości Metody scenariuszowe Analiza profilowa Metody operacyjne Unikanie Redukcja lub eliminacja Przeniesienie Podjęcie 20 2015-05-17 Analiza ryzyka Analiza ryzyka – czynności identyfikacji (środowiska, zagrożeń, podatności, potencjalnych strat) oraz oszacowania i oceny ryzyka Szacowanie ryzyka – metoda częstościowa Ocena ryzyka Metody oceny ryzyka: 1. 2. indeksowa – tzw. metoda częstościowa ilościowa, gdzie oszacowanie wartości ryzyka wiąże się z wykorzystaniem miar liczbowych – wartość zasobów informacyjnych jest określana kwotowo, częstotliwość wystąpienia zagrożenia liczbą przypadków, a podatność wartością prawdopodobieństwa ich utraty, 3. jakościowa, gdzie oszacowanie wartości ryzyka wiąże się z: – opisem jakościowym wartości aktywów, określeniem skal jakościowych dla częstotliwości wystąpienia zagrożeń i podatności na dane zagrożenie, albo – opisem tzw. scenariuszy zagrożeń poprzez przewidywanie głównych czynników ryzyka, które powodują i wskazują, w jaki sposób system kontroli wewnętrznej może zostać ominięty przez oszustwo lub nieszczęśliwy wypadek. Przykład: Niech możliwość całkowitego spalenia serwerowni wynosi raz na 20 lat, a poniesione w takim przypadku całkowite straty wynoszą 100 tys. zł. Niech możliwość kradzieży służbowego laptopa o wartości 10 tys. zł wynosi raz na 2 lata. Jaka będzie wartość ryzyka? 21 Szacowanie ryzyka - metoda ilościowa Szacowanie ryzyka - metoda ilościowa Szacowanie ryzyka - metoda częstościowa 2015-05-17 Przykład: Niech możliwość całkowitego spalenia serwerowni wynosi raz na 20 lat, a poniesione w takim przypadku całkowite straty wynoszą 100 tys. zł. R = 100 000 x 1/20 = 5 000 Niech możliwość kradzieży służbowego laptopa o wartości 10 tys. zł wynosi raz na 2 lata. R = 10 000 x ½ = 5 000 Metoda ilościowa oznacza, że prawdopodobieństwo interesującego zdarzenia wyliczane jest na podstawie danych statystycznych. Prawdopodobieństwo w przypadku kradzieży laptopa na poziomie 0,1 może oznaczać, że w ciągu 2 lat było 10 prób kradzieży , z których tylko jedna się powiodła. Pracownicy pewnej instytucji w trakcie angażowania do pracy dostają kartę magnetyczną ze zdjęciem, wypisanymi danymi osobowymi, służbowymi oraz PIN-em. Karta magnetyczna służy jako przepustka okazywana strażnikowi przy bramie oraz jako elektroniczny klucz otwierający te drzwi ( i tylko te), które wolno otworzyć danemu pracownikowi. Hipotetyczny system komputerowy jest chroniony następującymi zabezpieczeniami fizycznymi i programowymi {b1, b2, b4,b4,b5} 1. strażnik przy wejściu do budynku sprawdzający przepustki (b1), 2. elektroniczne zabezpieczenia wejść (czytnik karty magnetycznej + PIN) do korytarzy (b2), 3. elektroniczne zabezpieczenia wejść do pomieszczeń służbowych (j.w. – b3) 4. elektroniczne zabezpieczenie komputera (b4: czytnik kart _ klawiatura wprowadzania PIN-u) 5. login i hasło (b5) konieczne do uruchomienia sesji. 22 2015-05-17 0,2 Strażnik nie zatrzymał intruza Strażnik zatrzymał intruza 0,8 Zabezpieczenia korytarza nie przepuściły intruza 0,7 0,3 Zabezpieczenia korytarza przepuściły intruza Zabezpieczenia pomieszczenia nie przepuściły intruza 0,7 0,3 Zabezpieczenia pomieszczenia przepuściły intruza Zabezpieczenia komputera nie przepuściły intruza 0,7 0,3 Zabezpieczenia komputera przepuściły intruza Login i hasło niepoprawne 0,6 0,4 Login i hasło poprawne Penetracja systemu nie powiodła się Szacowanie ryzyka - metoda ilościowa Szacowanie ryzyka - metoda ilościowa Zdarzenie inicjujące (próba fizycznego dostępu do komputera) Penetracja systemu skuteczna Nieupoważniona osoba dostała się do komputera i uruchomiła w nim sesje z uprawnieniami legalnego użytkownika P= 0,2 *0,3*0,3*0,3*0,4 = 0,00216 Metody jakościowe oceny ryzyka: Metoda wstępnej analizy ryzyka i hazardu (PRA/PHA) Metoda HAZOP Metoda FMEA Metoda drzewa błędów FTA Metoda drzewa zdarzeń ETA Analiza przyczynowo-skutkowa CCA Ocena ryzyka 1. 2. 3. 4. 5. 6. 23 FMEA metodyka przeprowadzania analizy Szacowanie ryzyka - metoda jakościowa Szacowanie ryzyka - metoda jakościowa 2015-05-17 Założenia: 1. Wartości zasobów zostały ocenione w skali liczbowej od 0 do 4. 2. Zostały wypełnione ankiety, w których każdemu rodzajowi wcześniej zidentyfikowanego zagrożenia i każdej grupie zasobów, których dotyczy zagrożenie: a) Przypisano miarę poziomu zagrożenia w skali (niski, średni, wysoki) b) Przypisano miarę poziomu podatności zasobu w skali (niski, średni, wysoki) 3. Przyjęto arbitralnie punktową skalę miary ryzyka w postaci liczb całkowitych z przedziału (0-8). Poziom zagrożenia Niski Poziom podatności N Ś W N Ś W N Ś W 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 Wartość zasobu Średni Wysoki Definicja celu analizy Plan działań zaradczych Powołanie grupy roboczej Analiza ilościowa – ponowne szacowanie czynników ryzyka Zakres i termin badania Dekompozycja funkcjonalna NIE Zbieranie danych TAK Analiza jakościowa wad Wdrożenie działań zaradczych Analiza ilościowa wad Liczba priorytetowa R wyższa od przyjętego poziomu NIE Aktualny stan zadowalający – brak działań zaradczych Liczba priorytetowa R mniejsza od przyjętego poziomu TAK NIE Nadzór nad działaniami zaradczymi Wyniki zgodne z założeniami TAK Zakończenie analizy FMEA 24 Przykład FTA 2015-05-17 Powiadomiono straż pożarną Zadziałały zraszacze Przykład ETA Przykład ETA Pożar Ujawnienie informacji poufnych prezesa 25 Wysokie Szkody Wysokie szkody w razie realizacji zagrożenia i niska możliwość jego realizacji (średnie ryzyko) Niskie Szacowanie ryzyka – mapa ryzyka 2015-05-17 Niskie szkody w razie realizacji zagrożenia i niska możliwość jego realizacji (niskie ryzyko) Wysokie szkody w razie realizacji zagrożenia i wysoka możliwość jego realizacji (wysokie ryzyko) Niskie szkody w razie realizacji zagrożenia i wysoka możliwość jego realizacji (średnie ryzyko) Niska Wysoka Możliwość realizacji zagrożenia Dr inż. Agnieszka Terelak-Tymczyna Bezpieczeństwo i higiena pracy Wykłady 2014/2015 Podstawowe definicje: BHP Według W. Szuberta, ochrona pracy jest to: system środków prawnych, ekonomicznych, organizacyjnych i technicznych, służących zapewnieniu pracownikom bezpieczeństwa i ochrony zdrowia w procesie pracy, przy czym przez system należy rozumieć zbiór uporządkowanych jednostek tworzących całość organizacyjną, służących jednemu celowi OCHRONA PRACY – system środków prawnych, ekonomicznych, organizacyjnych i technicznych służących zapewnieniu pracownikom bezpieczeństwa i ochrony zdrowia w procesie pracy. 26 2015-05-17 Podstawowe definicje: BHP BEZPIECZEŃSTWO I HIGIENA PRACY – ogół norm prawnych oraz środków badawczych, organizacyjnych i technicznych mających na celu stworzenie pracownikowi takich warunków pracy, aby mógł on wykonywać pracę w sposób produktywny, bez narażania go na nieuzasadnione ryzyko wypadku lub choroby zawodowej oraz nadmierne obciążenie fizyczne i psychiczne. Podstawowe definicje: PRACOWNIK – osoba zatrudniona napodstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę (art.2 k.p.) BHP BHP PRACODAWCA – jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudnia pracowników (art.3 k.p.). 27 2015-05-17 W systemie zarządzania wdrażanym zgodnie z normą PN-N18001 wymagania przepisów prawa mają wpływ przede wszystkim na ukształtowanie następujących elementów: BHP identyfikacja zagrożeń i ocena ryzyka zawodowego, struktura, odpowiedzialność i uprawnienia, szkolenie, świadomość, kompetencje i motywacja, komunikowanie się, partycypacja pracowników, dokumentacja systemu zarządzania bezpieczeństwem i higieną pracy sterowanie operacyjne pracami i działaniami związanymi ze znaczącymi zagrożeniami, gotowość do reagowania na wypadki przy pracy i awarie, monitorowanie, zapisy. PN-N-18001:2004 Systemy zarządzania bezpieczeństwem i higieną pracy. Wymagania. PN-N-18002:2011 Systemy zarządzania bezpieczeństwem i higieną pracy. Ogólne wytyczne oceny ryzyka zawodowego. PN-N-18004:2001 Systemy zarządzania bezpieczeństwem i higieną pracy. Wytyczne. i Systemy zarządzania higieną pracy. Wytyczne BHP PN-N-18011:2006 bezpieczeństwem auditowania. Model systemu zarządzania BHP przyjęty w normie PN-N 18001:2004 Ciągłe doskonalenie Przegląd dokonywany przez kierownictwo Zaangażowanie kierownictwa oraz polityka BHP BHP Planowanie Sprawdzanie oraz działania korygujące i zapobiegawcze Wdrażanie i funkcjonowanie 28 2015-05-17 Ciągłe doskonalenie Zaangażowanie kierownictwa oraz polityka BHP Przegląd dokonywany przez kierownictwo Planowanie Sprawdzanie oraz działania korygujące i zapobiegawcze Wdrażanie i funkcjonowanie BHP 4.2. Zaangażowanie kierownictwa oraz polityka BHP 4.2.1. Zaangażowanie najwyższego kierownictwa 4.2.2 Polityka BHP 4.2.3. Współudział pracowników Ciągłe doskonalenie Zaangażowanie kierownictwa oraz polityka BHP Przegląd dokonywany przez kierownictwo Planowanie Sprawdzanie oraz działania korygujące i zapobiegawcze Wdrażanie i funkcjonowanie BHP 4.3 Planowanie 4.3.1 Wymagania ogólne 4.3.2 Wymagania prawne i inne 4.3.3. Cele ogólne i szczegółowe 4.3.4. Planowanie działań Ciągłe doskonalenie Przegląd dokonywany przez kierownictwo Zaangażowanie kierownictwa oraz polityka BHP Planowanie BHP Sprawdzanie oraz działania korygujące i zapobiegawcze Wdrażanie i funkcjonowanie 4.4 Wdrażanie i funkcjonowanie 4.4.1 Struktura, odpowiedzialność i uprawnienia 4.4.2. Zapewnienie zasobów 4.4.3 szkolenie, świadomość, kompetencje i motywacja 4.4.4. Komunikowanie się 29 2015-05-17 Ciągłe doskonalenie Przegląd dokonywany przez kierownictwo Zaangażowanie kierownictwa oraz polityka BHP Planowanie Sprawdzanie oraz działania korygujące i zapobiegawcze Wdrażanie i funkcjonowanie BHP 4.4.5 Dokumentacja systemu zarządzania bezpieczeństwem i higieną pracy 4.4.5.1 Poszanowania ogólne 4.4.5.2. Nadzór nad dokumentami 4.4.5.3 Nadzór nad zapisami 4.4.6 Zarządzanie ryzykiem zawodowym 4.4.7 Organizowanie zagrożeń Ciągłe doskonalenie Zaangażowanie kierownictwa oraz polityka BHP Przegląd dokonywany przez kierownictwo Planowanie Sprawdzanie oraz działania korygujące i zapobiegawcze Wdrażanie i funkcjonowanie BHP 4.4.8 Zapobieganie, gotowość i reagowanie na wypadki i awarie 4.4.9 Zakupy 4.4.10 Podwykonawstwo Ciągłe doskonalenie Przegląd dokonywany przez kierownictwo Zaangażowanie kierownictwa oraz polityka BHP Planowanie BHP Sprawdzanie oraz działania korygujące i zapobiegawcze Wdrażanie i funkcjonowanie 4.5 Sprawdzanie oraz działania korygujące 4.5.1. Monitorowanie 4.5.2 Badanie wypadków przy pracy, chorób zawodowych, zdarzeń potencjalnie wypadkowych 4.5.3 Audyt 4.5.4 Niezgodności oraz działania korygujące i zapobiegawcze 30 2015-05-17 Ciągłe doskonalenie Przegląd dokonywany przez kierownictwo Zaangażowanie kierownictwa oraz polityka BHP Planowanie Sprawdzanie oraz działania korygujące i zapobiegawcze Wdrażanie i funkcjonowanie BHP 4.6 Przegląd zarzadzania 4.7. Ciągłe doskonalenie BHP PN-N-18001 może być stosowana przez organizacje, których celem jest: wdrożenie, utrzymywanie i doskonalenie systemu zarządzania bezpieczeństwem i higieną pracy postępowanie zgodne z ustaloną we własnym zakresie polityką bezpieczeństwa i higieny pracy zadeklarowanie postępowania zgodnego z wymaganiami tej normy dążenie do uzyskania potwierdzenia przez organizację zewnętrzną zgodność systemu zarządzania bhp z wymaganiami niniejszej normy. BHP Ryzyko zawodowe – to prawdopodobieństwo wystąpienia niepożądanych zdarzeń związanych z wykonywaną pracą powodujących straty w szczególności wystąpienia u pracowników niekorzystnych skutków zdrowotnych w wyniku zagrożeń zawodowych w środowisku pracy lub sposobu wykonywania pracy 31 Norma 18002:2000 Norma 18002:2000 BHP 2015-05-17 Do identyfikacji zagrożeń, a następnie oceny ryzyka zawodowego wykorzystywane są informacje dotyczące: 1. lokalizacji stanowiska pracy i realizowanych na nim zadań 2. osób pracujących na tym stanowisku 3. stosowanych środków, materiałów i operacji technologicznych 4. wykonywanych czynności oraz sposobu i czasu ich wykonywania 5. wymagań przepisów i norm dotyczących stanowiska pracy 6. zidentyfikowanych zagrożeń 7. możliwych skutków występujących zagrożeń 8. stosowanych środków ochronnych 9. wypadków przy pracy oraz chorób zawodowych Źródłami tych informacji mogą być: • dane techniczne o stosowanych na stanowisku maszynach i urządzeniach: • dokumentacja techniczno-ruchowa i instrukcje stanowiskowe, • wyniki pomiarów czynników szkodliwych i/lub niebezpiecznych, a także uciążliwych, występujących na stanowisku pracy, • dokumentacja dotycząca wypadków przy pracy, zdarzeń potencjalnie wypadkowych, chorób zawodowych oraz awarii, • przepisy prawne i inne dokumenty normatywne, • literatura naukowo-techniczna, • karty charakterystyk substancji chemicznych itp. Informacji o analizowanym stanowisku mogą dostarczyć również: • obserwacja środowiska pracy, • obserwacja zadań wykonywanych na stanowisku pracy, • obserwacja zadań wykonywanych poza stanowiskiem pracy, • wywiady z pracownikami, • obserwacja czynników zewnętrznych, które mogą wpłynąć na stanowisko pracy (np. prace wykonywane przez pracowników na innych stanowiskach pracy, czynniki atmosferyczne), • analiza organizacji działań, których celem jest zapewnienie właściwych warunków pracy. 32 2015-05-17 Metodę przeprowadzenia analizy ustala zespól oceniający ryzyko zawodowe. Norma 18002:2000 Do oceny stanu faktycznego pracodawca powinien prowadzić wcześniej następujące rejestry (katalogi), które pozwalają na ocenę tegoż stanu i identyfikację zagrożeń: 1. rejestr pomiarów czynników szkodliwych i niebezpiecznych na stanowiskach pracy, na których takie czynniki występują przy czym dla każdego wytypowanego stanowiska powołany jest oddzielny rejestr. Rejestry te powinny być przechowywane przez 40 lat, mają one postać odpowiednich formularzy że wskazaniem: czasu, miejsca, rodzaju pomiaru i osoby dokonującej pomiaru. Jeżeli czynnikami szkodliwymi są czynniki rakotwórcze wówczas należy prowadzić rejestr tych czynników oraz rejestr pracowników narażonych na działanie tych czynników. BHP Na etapie identyfikacji przydatna jest przede wszystkim dotychczasowa wiedza na temat zagrożeń występujących na analizowanym stanowisku. W każdym przypadku zaleca się sprawdzić, czy wszystkie zagrożenia zostały zidentyfikowane i czy dostępne na ich temat informacje (jak np. wyniki pomiarów i obliczeń wartości wielkości charakteryzujących zagrożenie) są wystarczające do oceny ryzyka zawodowego. BHP Do identyfikacji zagrożeń można zastosować metodę list kontrolnych, które mogą być opracowywane na przykład z wykorzystaniem wykazów czynników szkodliwych i/lub niebezpiecznych, zawartych w odpowiednich przepisach i normach. W niektórych przypadkach może się okazać potrzebne przyjęcie bardziej zaawansowanych metod identyfikacji zagrożeń. 2. rejestr wypadków przy pracy zawierający: 1. nazwiska poszkodowanych 2. opis wypadków 3. skutki dla poszkodowanego w wypadku przy pracy 4. świadczenia, które przysługują poszkodowanemu z tytułu wypadku przy pracy (unormowane w Kodeksie Pracy) 5. miejsce i data wypadku 3. rejestr chorób zawodowych zawiera zarówno stwierdzone, jak i przypuszczalne przypadki chorób zawodowych oraz ich skutków. W rejestrze tym powinny się znajdować: 1. nazwiska chorych 2. rodzaj choroby zawodowej 3. wyniki postępowania 4. skutki choroby zawodowej 33 2015-05-17 4. dokumentacja związana z eksploatacją obiektu, gdzie zostało zlokalizowane stanowisko pracy, w której odnotowywane są okresowe wyniki kontroli stanu sprawności technicznej (budynku i instalacji) – na ogół raz na trzy miesiące BHP Konieczne jest również posiadanie dokumentacji związanej z samym procesem technologicznym, maszynami i urządzeniami oraz materiałami stosowanymi w produkcji. Norma 18002:2011 Ogólne zasady przygotowania oceny ryzyka zawodowego Zaleca się przeprowadzać ocenę ryzyka zawodowego okresowo i zawsze wówczas, gdy wykorzystywane do jego oceny informacje straciły swoją aktualność, a w szczególności w następujących sytuacjach: • przy tworzeniu nowych stanowisk pracy, • przy wprowadzaniu zmian na stanowiskach pracy (np. technologicznych lub organizacyjnych), • po zmianie obowiązujących wymagań, odnoszących się do ocenianych stanowisk pracy. • po wprowadzeniu zmian w stosowanych środkach ochronnych. Schemat oceny ryzyka zawodowego oraz wynikających z niej działań 1.Zebranie informacji potrzebnych do oceny ryzyka zawodowego 2.Identyfikacja zagrożeń 3.Oszacowanie ryzyka zawodowego Norma 18002:2000 4.Wyznaczanie dopuszczalności ryzyka zawodowego 5.Czy są potrzebne działania korygujące i/lub zapobiegawcze 6.Opracowanie planu działań korygujących i/lub zapobiegawczych 7.Okresowe przeprowadzanie oceny ryzyka zawodowego 8.Realizacja planu 34 2015-05-17 Norma 18002:2000 Oszacowanie ryzyka zawodowego związanego poszczególnymi zagrożeniami zidentyfikowanymi stanowiskach pracy polega na ustaleniu: • prawdopodobieństwa wystąpienia zagrożeń, • ciężkości szkodliwych następstw tych zagrożeń. z na Oszacowanie ryzyka zawodowego można przeprowadzać w różny sposób, w zależności od potrzeb organizacji. Zaleca się przede wszystkim takie sposoby szacowania ryzyka zawodowego, których stosowanie nie wymaga wiedzy specjalistycznej i które mogą być w prosty sposób wykorzystywane przez osoby przeprowadzające oceny. Równocześnie istotne jest, aby otrzymane wyniki oszacowania były w pełni wystarczające do wyznaczenia jego dopuszczalności i właściwego planowania działań korygujących i zapobiegawczych. Tablica 1 - Oszacowanie ryzyka zawodowego w skali trójstopniowej Ciężkość następstw Prawdopodobieństwo Mała Norma 18002:2011 Mało prawdopodobne Prawdopodobne Wysoce prawdopodobne małe Średnia Duża małe średnie 1 1 2 małe średnie duże 1 2 3 średnie duże duże 2 3 3 Tablica 1 - Oszacowanie ryzyka zawodowego w skali pięciostopniowej Ciężkość następstw Prawdopodobieństwo Mała Norma 18002:2011 Mało prawdopodobne Prawdopodobne Wysoce prawdopodobne bardzo małe Średnia Duża małe średnie 1 2 3 małe średnie duże 2 3 4 średnie duże bardzo duże 3 4 5 35 2015-05-17 Przy oszacowaniu ryzyka zawodowego zgodnie z tablicami 1 i 2 ciężkość szkodliwych następstw zagrożenia i prawdopodobieństwo ich wystąpienia można określić stosując niżej wymienione wskazówki: • do następstw o małej szkodliwości zalicza się te urazy i choroby, które nie powodują długotrwałych dolegliwości i absencji w pracy; są to czasowe pogorszenia stanu zdrowia, takie jak niewielkie stłuczenia i zranienia, podrażnienia oczu, objawy niewielkiego zatrucia, bóle głowy itp. do następstw o średniej szkodliwości zalicza się te urazy i choroby, które powodują niewielkie, ale długotrwałe lub nawracające okresowo dolegliwości i są związane z okresami absencji; są to np. zranienia, oparzenia II stopnia na niewielkiej powierzchni ciała, alergie skórne, nieskomplikowane złamania, zespoły przeciążeniowe układu mięśniowo-szkieletowego (np. zapalenie ścięgna) itp., do następstw o dużej szkodliwości zalicza się te urazy i choroby, które powodują ciężkie i stale dolegliwości i/lub śmierć: są to np. oparzenia III stopnia, oparzenia II stopnia dużej powierzchni ciała, amputacje, skomplikowane złamania z następową dysfunkcją, choroby nowotworowe, toksyczne uszkodzenia narządów wewnętrznych i układu nerwowego w wyniku narażenia na czynniki chemiczne, zespół wibracyjny, zawodowe uszkodzenia słuchu, astma, zaćma itp. Norma 18002:2011 • • • • Norma 18002:2011 • do mało prawdopodobnych zalicza się te następstwa zagrożeń, które nie powinny wystąpić podczas całego okresu aktywności zawodowej pracownika, do prawdopodobnych zalicza się te następstwa zagrożeń, które mogą wystąpić nie więcej niż kilkakrotnie podczas okresu aktywności zawodowej pracownika, do wysoce prawdopodobnych zalicza się te następstwa zagrożeń, które mogą wystąpić wielokrotnie podczas okresu aktywności zawodowej pracownika, Tam, gdzie jest to możliwe, zaleca się oszacować ryzyko zawodowe na podstawie wartości wielkości charakteryzujących narażenie. Tablica 3 - Ogólne zasady oszacowania ryzyka zawodowego w skali trójstopniowej na podstawie wartości wielkości charakteryzujących narażenie Norma 18002:2011 Wartość wielkości charakteryzującej narażenie (P) Oszacowanie ryzyka zawodowego P> Pmax duże Pmax > P > 0,5 Pmax średnie P < 0,5 Pmax małe UWAGA - P max - wartość dopuszczalna wielkości charakteryzującej narażenie, ustalana na ogół na podstawie odpowiednich przepisów (może to być odpowiednia wartość NDS - najwyższego dopuszczalnego stężenia lub NDN -najwyższego dopuszczalnego natężenia). W przypadku braku ustalonych wymagań przy jej ustalaniu można wykorzystać opinie ekspertów i/lub wziąć pod uwagę opinie pracowników, 36 2015-05-17 Norma 18002:2011 Wyznaczenie dopuszczalności ryzyka zawodowego Podstawowym kryterium dopuszczalności ryzyka zawodowego są wymagania odpowiednich przepisów prawnych i innych dokumentów normatywnych. W przypadku braku takich wymagań , zaleca się, aby organizacje ustalały własne kryteria dopuszczalności ryzyka zawodowego z uwzględnieniem opinii ekspertów z dziedziny bezpieczeństwa i higieny pracy, własnych doświadczeń, oraz opinii pracowników i/lub ich przedstawicieli, Dążąc do poprawy warunków pracy, organizacje mogą również ustalać własne kryteria dopuszczalności ryzyka zawodowego, oparte na wymaganiach wyższych niż wymagania przepisów prawnych i innych dokumentów normatywnych, Tablica 4 - Ogólne zasady wyznaczania dopuszczalności ryzyka zawodowego oraz zalecenia dotyczące działań wynikających z oceny tego ryzyka (oszacowanie w skali trójstopniowej) Oszacowanie ryzyka zawodowego Norma 18002:2011 Duże Dopuszczalność ryzyka zawodowego Niezbędne działania niedopuszczalne Jeżeli ryzyko zawodowe jest związane z pracą już wykonywaną, działania w celu jego zmniejszenia należy podjąć natychmiast (np. przez zastosowanie środków ochronnych). Planowana praca nie może być rozpoczęta do czasu zmniejszenia ryzyka zawodowego do poziomu dopuszczalnego. Zaleca się zaplanowanie i podjęcie działań, których celem jest zmniejszenie ryzyka zawodowego. Średnie dopuszczalne Małe Konieczne jest zapewnienie. że ryzyko zawodowe pozostaje co najwyżej na tym samym poziomie. Tablica 5 - Ogólne zasady wyznaczania dopuszczalności ryzyka zawodowego oraz zalecenia dotyczące działań wynikających z oceny tego ryzyka (oszacowanie w skali pięciostopniowej) Oszacowanie ryzyka zawodowego Dopuszczalność ryzyka zawodowego Praca nie może być rozpoczęta ani kontynuowana do czasu zmniejszenia ryzyka zawodowego do poziomu dopuszczalnego. Bardzo duże Norma 18002:2011 Niezbędne działania Duże Jeżeli ryzyko zawodowe jest związane z pracą już wykonywaną. działania w celu jego zmniejszenia należy podjąć natychmiast (np. przez zastosowanie środków ochronnych). Planowana praca nie może być rozpoczęta do czasu zmniejszenia ryzyka zawodowego do poziomu dopuszczalnego. Średnie Zaleca się zaplanowanie i podjęcie działań, których celem jest zmniejszenie ryzyka zawodowego. niedopuszczalne Małe Bardzo małe dopuszczalne Zaleca się rozważenie możliwości dalszego zmniejszania poziomu ryzyka zawodowego lub zapewnienie. że ryzyko zawodowe pozostaje najwyżej na tym samym poziomie. Nie jest konieczne prowadzenie żadnych działań. 37 2015-05-17 Działania wynikające z oceny ryzyka zawodowego Norma 18002:2011 Norma 18002:2011 Wyniki oceny ryzyka zawodowego stanowią podstawę planowania działań korygujących i zapobiegawczych na stanowiskach pracy. Przy planowaniu i podejmowaniu działań korygujących lub zapobiegawczych w celu eliminacji lub ograniczenia zagrożeń i związanego z nimi ryzyka zawodowego, zaleca się stosować środki ochronne w następującej kolejności: 1. środki techniczne eliminujące lub ograniczające zagrożenia u źródła; 2. środki ochrony zbiorowej; 3. środki organizacyjne i proceduralne (procedury lub instrukcje bezpiecznej pracy); 4. środki ochrony indywidualnej. PRZYKŁAD Przy pracach w wykopach jednym z zagrożeń jest zasypanie pracownika. Skutkiem takiego zdarzenia może być śmierć. Pracownik sporadycznie pracuje w głębokich wykopach. W ciągu ostatnich 10 lat w zakładzie nie zdarzył się taki wypadek. Szacowanie parametrów ryzyka: • ciężkość następstw: duża szkodliwość - śmierć, • prawdopodobieństwo następstw: mało prawdopodobne – następstwa zagrożenia, które nie powinno wystąpić podczas całego okresu aktywności zawodowej pracownika. Wartościowanie ryzyka: Na przecięciu wartości (tablica 4 – skala trójstopniowa) poziomo „mało prawdopodobne” i pionowo „szkodliwość duża” otrzymujemy wartość ryzyka „ryzyko średnie” – dopuszczalne. Działania profilaktyczne: Dla ryzyka średniego o poziomie dopuszczalnym zaleca się zaplanowanie i podjęcie działań, których celem jest zmniejszenie ryzyka zawodowego. ZachodniopomorskiUniwersytet Uniwersytet Technologiczny Technologiczny wwSzczecinie Zachodniopomorski Szczecinie WydziałInżynierii Inżynierii Mechanicznej Mechanicznej i Mechatroniki Wydział i Mechatroniki Zarządzanie bezpieczeństwem bezpieczeństwo wyrobu dr inż. Agnieszka Terelak-Tymczyna 38 2015-05-17 Ogólne bezpieczeństwo produktu Akty prawne dotyczące ogólnego bezpieczeństwa produktu: Dyrektywa 2001/95/WE - Ogólne bezpieczeństwo produktu Ustawa z dnia 12 grudnia 2003 r. o ogólnym bezpieczeństwie produktów (Dz. U. Nr 229, poz. 2275, z późn. zm.) Ogólne bezpieczeństwo produktu Niniejszą dyrektywę stosuje się w odniesieniu do wszystkich produktów. Każdy z jej przepisów stosuje się w przypadku braku przepisów szczególnych ustawodawstwa Wspólnoty, regulujących bezpieczeństwo danych produktów. W przypadku gdy produkty podlegają szczególnym wymogom związanym z bezpieczeństwem, narzuconym przez ustawodawstwo wspólnotowe, niniejszą dyrektywę stosuje się wyłącznie w odniesieniu do aspektów i zagrożeń lub kategorii zagrożeń nieobjętych tymi wymogami. Ogólne bezpieczeństwo produktu Ustawa z dnia 12 grudnia 2003 r. o ogólnym bezpieczeństwie produktów (Dz. U. Nr 229, poz. 2275, z późn. zm.) Ustawa określa ogólne wymagania dotyczące bezpieczeństwa produktów, obowiązki producentów i dystrybutorów w zakresie bezpieczeństwa produktów oraz zasady i tryb sprawowania nadzoru w celu zapewnienia bezpieczeństwa produktów wprowadzanych na rynek. 39 2015-05-17 Ogólne bezpieczeństwo produktu Ustawę stosuje się do: 1. produktów, dla których przepisy odrębne nie określają szczegółowych wymagań dotyczących bezpieczeństwa; 2. zagrożeń związanych z produktami, dla których przepisy odrębne określają szczegółowe wymagania dotyczące bezpieczeństwa, jeżeli zagrożenia te nie są objęte przez przepisy odrębne. 3. w odniesieniu do produktów, dla których przepisy odrębne określają szczegółowe wymagania dotyczące bezpieczeństwa - w zakresie, w jakim nie regulują tego przepisy odrębne 4. Przepisów ustawy nie stosuje się do urządzeń używanych w celu świadczenia usług na rzecz konsumentów, w szczególności do urządzeń obsługiwanych przez usługodawcę, którymi konsumenci przemieszczają się lub podróżują. Ogólne bezpieczeństwo produktu Definicje: produkt - rzecz ruchomą nową lub używaną, jak i naprawianą lub regenerowaną przeznaczoną do użytku konsumentów lub co do której istnieje prawdopodobieństwo, że może być używana przez konsumentów, nawet jeżeli nie była dla nich przeznaczona, dostarczaną lub udostępnianą przez producenta lub dystrybutora, zarówno odpłatnie, jak i nieodpłatnie, w tym również w ramach świadczenia usługi; produktem nie jest rzecz używana dostarczana jako antyk albo jako rzecz wymagająca naprawy lub regeneracji przed użyciem, o ile dostarczający powiadomił konsumenta o tych właściwościach rzeczy; Ogólne bezpieczeństwo produktu producent: a) przedsiębiorcę prowadzącego na terytorium Rzeczypospolitej Polskiej lub w Unii Europejskiej działalność polegającą na wytwarzaniu produktu albo każdą inną osobę, która występuje jako wytwórca, umieszczając na produkcie bądź do niego dołączając swoje nazwisko, nazwę, znak towarowy bądź inne odróżniające oznaczenie, a także osobę, która naprawia lub regeneruje produkt, b) przedstawiciela wytwórcy, a jeżeli wytwórca nie wyznaczył przedstawiciela - importera produktu, w przypadkach gdy wytwórca nie prowadzi działalności na terytorium Rzeczypospolitej Polskiej ani w Unii Europejskiej, c) przedsiębiorcę uczestniczącego w dowolnym etapie procesu dostarczania lub udostępniania produktu, jeżeli jego działanie może wpływać na właściwości produktu związane z jego bezpieczeństwem; 40 2015-05-17 Ogólne bezpieczeństwo produktu dystrybutor - przedsiębiorcę uczestniczącego w dowolnym etapie procesu dostarczania lub udostępniania produktu, którego działalność nie wpływa na właściwości produktu związane z jego bezpieczeństwem; Ogólne bezpieczeństwo produktu wypadek konsumencki - zaistniałe w związku z używaniem produktów zdarzenie nagłe, którego następstwem jest zgon albo uszkodzenie ciała wymagające udzielenia pomocy medycznej, w szczególności skaleczenie, zatrucie, oparzenie, ugryzienie lub użądlenie; Ogólne bezpieczeństwo produktu wprowadzenie na rynek - dostarczanie lub udostępnianie przez producenta lub dystrybutora produktu dystrybutorowi lub konsumentowi; wprowadzenie na rynek polski - dostarczenie lub udostępnienie produktu po raz pierwszy na terytorium Rzeczypospolitej Polskiej 41 2015-05-17 Ogólne bezpieczeństwo produktu Produktem bezpiecznym jest produkt, który w zwykłych lub w innych, dających się w sposób uzasadniony przewidzieć, warunkach jego używania, z uwzględnieniem czasu korzystania z produktu, a także, w zależności od rodzaju produktu, sposobu uruchomienia oraz wymogów instalacji i konserwacji, nie stwarza żadnego zagrożenia dla konsumentów lub stwarza znikome zagrożenie, dające się pogodzić z jego zwykłym używaniem i uwzględniające wysoki poziom wymagań dotyczących ochrony zdrowia i życia ludzkiego. Ogólne bezpieczeństwo produktu Przy ocenie bezpieczeństwa produktu uwzględnia się: 1. cechy produktu, w tym jego skład, opakowanie, instrukcję montażu i uruchomienia, a także - biorąc pod uwagę rodzaj produktu instrukcję instalacji i konserwacji; 2. oddziaływanie na inne produkty, jeżeli można w sposób uzasadniony przewidzieć, że będzie używany łącznie z innymi produktami; 3. wygląd produktu, jego oznakowanie, ostrzeżenia i instrukcje dotyczące jego użytkowania i postępowania z produktem zużytym oraz wszelkie inne udostępniane konsumentowi wskazówki lub informacje dotyczące produktu; 4. kategorie konsumentów narażonych na niebezpieczeństwo w związku z używaniem produktu, w szczególności dzieci i osoby starsze. Ogólne bezpieczeństwo produktu Produkt, który nie spełnia bezpiecznym. ww. wymagań, nie jest produktem Do stwierdzenia, że produkt nie jest bezpieczny, nie wystarcza możliwość osiągnięcia wyższego poziomu bezpieczeństwa lub dostępność innych produktów stwarzających mniejsze zagrożenia dla konsumentów. Przy dokonywaniu oceny, czy produkt stwarza poważne zagrożenie, przez które rozumie się wymagające natychmiastowych działań naruszenie wymagań bezpieczeństwa, uwzględnia się bezpośrednie lub odsunięte w czasie skutki używania produktu, w tym stopień i prawdopodobieństwo utraty zdrowia lub życia przez konsumentów, stopień narażenia poszczególnych kategorii konsumentów oraz możliwość prawidłowej oceny ryzyka przez konsumentów i możliwości jego uniknięcia. 42 2015-05-17 Ogólne bezpieczeństwo produktu W przypadku gdy brak jest szczegółowych przepisów Wspólnoty Europejskiej dotyczących bezpieczeństwa określonego produktu, produkt wprowadzony na rynek polski uznaje się za bezpieczny, jeżeli spełnia określone odrębnymi przepisami polskimi szczegółowe wymagania dotyczące bezpieczeństwa produktów. Domniemywa się, że produkt zgodny z normami zharmonizowanymi w rozumieniu przepisów o systemie oceny zgodności jest produktem bezpiecznym w zakresie wymagań objętych tymi normami. Ogólne bezpieczeństwo produktu W przypadku braku przepisów lub norm zharmonizowanych, albo jeżeli produkt nie jest zgodny z normami zharmonizowanymi, bezpieczeństwo produktu ocenia się w szczególności z uwzględnieniem: 1. spełniania przez produkt dobrowolnych norm krajowych państw członkowskich Unii Europejskiej przenoszących normy europejskie, innych niż normy zharmonizowane w rozumieniu przepisów o systemie oceny zgodności; 2. spełniania przez produkt Polskich Norm; 3. zaleceń Komisji Europejskiej określających wskazówki co do oceny bezpieczeństwa produktu; 4. obowiązujących w danym sektorze zasad dobrej praktyki odnoszących się do bezpieczeństwa produktów; 5. aktualnego stanu wiedzy i techniki; 6. uzasadnionych oczekiwań konsumentów co do bezpieczeństwa produktu. Ogólne bezpieczeństwo produktu Spełnianie przez produkt powyższych wymagań, nie wyłącza możliwości stosowania środków określonych ustawą, jeżeli organ nadzoru stwierdzi, że pomimo zgodności z tymi wymaganiami produkt nie jest bezpieczny. 43 2015-05-17 Ogólne bezpieczeństwo produktu Obowiązki producenta: Producent jest zobowiązany wprowadzać na rynek wyłącznie produkty bezpieczne. W zakresie prowadzonej działalności, jest zobowiązany dostarczać konsumentom informacje: 1. umożliwiające im ocenę zagrożeń związanych z produktem w czasie zwykłego lub możliwego do przewidzenia okresu jego używania, jeżeli takie zagrożenia nie są, przy braku odpowiedniego ostrzeżenia, natychmiast zauważalne; 2. dotyczące możliwości przeciwdziałania tym zagrożeniom. Ponadto zobowiązany jest podejmować działania odpowiednie do właściwości dostarczanego produktu: • umożliwiające uzyskiwanie przez tego producenta wiedzy o zagrożeniach, które produkt może stwarzać; • mające na celu uniknięcie zagrożeń, w tym - o ile jest to niezbędne umożliwiające wycofanie produktu z rynku, właściwe i skuteczne ostrzeżenie konsumentów lub wycofanie produktu od konsumentów. Ogólne bezpieczeństwo produktu Działania, te mogą w szczególności polegać na: umieszczeniu na produkcie lub jego opakowaniu nazwy i adresu producenta oraz oznaczenia identyfikującego produkt lub, w razie potrzeby, partię produktu, chyba że nieumieszczenie takich informacji jest uzasadnione; przeprowadzaniu badań próbek wprowadzonych na rynek produktów, analizowaniu skarg konsumentów oraz, w miarę potrzeby, prowadzeniu rejestru tych skarg oraz bieżącym informowaniu dystrybutorów o prowadzonej w ten sposób kontroli. Ogólne bezpieczeństwo produktu Obowiązki dystrybutora: Dystrybutor jest zobowiązany działać z należytą starannością w celu zapewnienia bezpieczeństwa produktów, w szczególności przez niedostarczanie produktów, o których wie lub o których, zgodnie z posiadanymi informacjami i doświadczeniem zawodowym, powinien wiedzieć, że nie spełniają one wymagań bezpieczeństwa. Jest zobowiązany uczestniczyć w monitorowaniu bezpieczeństwa produktów wprowadzonych na rynek 44 2015-05-17 Ogólne bezpieczeństwo produktu Organem sprawującym nadzór nad ogólnym bezpieczeństwem produktów w zakresie określonym ustawą jest Prezes Urzędu Ochrony Konkurencji i Konsumentów, który wykonuje swoje zadania przy pomocy Inspekcji Handlowej. Ogólne bezpieczeństwo produktu W przypadku stwierdzenia, że produkt nie jest bezpieczny, organ nadzoru w drodze decyzji: 1. w przypadku produktów, które nie zostały wprowadzone na rynek: a. nakazuje wyeliminowanie zagrożeń stwarzanych przez produkt, b. zakazuje wprowadzania produktu na rynek i nakazuje podjęcie czynności niezbędnych do zapewnienia przestrzegania tego nakazu; 2. w przypadku produktów wprowadzonych na rynek, nakazuje: a. wyeliminowanie zagrożeń stwarzanych przez produkt, b. natychmiastowe wycofanie produktu z rynku, c. ostrzeżenie konsumentów, określając termin i formę ostrzeżenia, d. wycofanie produktu od konsumentów i jego zniszczenie Ogólne bezpieczeństwo produktu Wycofanie produktu z rynku polega na odebraniu przez producenta produktu od dystrybutorów oraz zakazaniu prezentowania i oferowania przez dystrybutorów takiego produktu konsumentom. Wycofanie produktu od konsumentów i jego zniszczenie może zostać nakazane wyłącznie w przypadku, gdy inne działania byłyby niewystarczające dla zapobieżenia poważnym zagrożeniom powodowanym przez produkt. 45 2015-05-17 Ogólne bezpieczeństwo produktu Konsumentowi będącemu w posiadaniu produktu, w odniesieniu do którego wydano decyzję nakazującą wycofanie od konsumentów, przysługuje roszczenie o odkupienie produktu za kwotę, za jaką produkt został nabyty, bez względu na stopień jego zużycia. Roszczenie to przysługuje konsumentowi: 1. wobec dystrybutora, od którego konsument nabył produkt, o ile konsument posiada dowód zakupu produktu; 2. wobec producenta produktu, jeżeli konsument nie dysponuje dowodem zakupu. Ogólne bezpieczeństwo produktu Kto, w związku z prowadzoną działalnością, wprowadza na rynek produkty niespełniające wymagań bezpieczeństwa, podlega: • grzywnie, • karze ograniczenia wolności albo • pozbawienia wolności do roku. Jeżeli sprawca grzywnie. działa nieumyślnie, podlega Bezpieczeństwo wyrobu Znak „B” czy Oznaczenie „CE” 46 2015-05-17 Bezpieczeństwo wyrobu Znak bezpieczeństwa „B” jest znakiem dobrowolnym, producent nie ma obowiązku umieszczania tego znaku na swoich wyrobach. Oznaczenie „CE” jest znakiem obowiązkowym, jeśli wyrób podlega jednej z dyrektyw unijnych. Bezpieczeństwo wyrobu Znak B umieszczony na wyrobie: stanowi dla klienta i sprzedawcy informację, że bezpieczeństwo wyrobu zostało potwierdzone przez niezależną od producenta jednostkę oceniającą, świadczy o tym, że wyrób spełnia wymagania określone przez krajowe i europejskie standardy i przepisy prawne. Bezpieczeństwo wyrobu Znak B stanowi dla konsumenta istotną gwarancję bezpieczeństwa, ponieważ w procesie oceny bierze udział niezależna jednostka o potwierdzonych kompetencjach, a oceny, według określonej procedury, dokonują niezależni od producenta eksperci. Badaniu podlega nie tylko wyrób gotowy ale także proces produkcji co gwarantuje, że produkt będzie miał takie same właściwości, gwarantuje niezmienność jakości produktu. 47 2015-05-17 Bezpieczeństwo wyrobu Znak bezpieczeństwa B jest potwierdzeniem, że dany wyrób, używany zgodnie z zasadami określonymi przez producenta, nie stanowi zagrożenia dla życia, zdrowia, mienia i środowiska. Bezpieczeństwo wyrobu Korzyści wynikające ze stosowania znaku B: • • • potwierdzenie bezpieczeństwa użytkowania wyrobu i stabilności jego produkcji przez niezależną, znaną na rynku unijnym jednostkę certyfikującą (oceniającą), wzrost zaufania klientów krajowych i zagranicznych do wyrobu, gwarancja dla konsumentów, że zakupiony towar jest w najwyższym stopniu bezpieczny. Bezpieczeństwo wyrobu Oznakowanie CE jest formą deklaracji producenta, że jego wyrób spełnia wymagania wszystkich mających do niego zastosowanie dyrektyw Nowego Podejścia. O ile dyrektywy nie przewidują inaczej, oznakowanie CE jest obowiązkowe i musi być umieszczone na wyrobie, zanim zostanie on wprowadzony na rynek lub oddany do użytku. 48 2015-05-17 Bezpieczeństwo wyrobu Oznakowanie CE symbolizuje zgodność ze wszystkimi wymaganiami nałożonymi na wytwórcę wyrobu poprzez dyrektywy wymagające takiego znakowania. Jeśli oznakowanie jest umieszczone na wyrobie, stanowi deklarację osoby fizycznej lub prawnej (nanoszącej lub odpowiedzialnej za jego naniesienie), że wyrób jest zgodny ze wszystkimi mającymi do niego odniesienie wymaganiami oraz że został poddany właściwym procedurom oceny zgodności. Dlatego też państwa członkowskie nie mogą ograniczać dostępu do rynku i zezwalania na eksploatację wyrobom oznakowanym CE, jeśli nie można udowodnić, że wyrób nie spełnia postawionych mu warunków. Bezpieczeństwo wyrobu Oznakowanie CE jest obowiązkowe i musi być umieszczone zanim wyrób zostanie wprowadzony na rynek, chyba że konkretna dyrektywa stanowi inaczej. Jeśli wyrób podlega kilku dyrektywom, z których każda wymaga umieszczenia oznakowania CE, oznakowanie to oznacza, że wyroby są zgodne ze wszystkimi wymaganiami tych dyrektyw. Wyrób nie może być oznakowany symbolem CE, jeśli nie jest objęty żadną dyrektywą, która wymaga jego umieszczenia Bezpieczeństwo wyrobu Znak CE musi być umieszczony przez producenta lub upoważnionego przedstawiciela ustanowionego na terytorium Wspólnoty. Jeśli z różnych względów oznakowanie musi zostać powiększone lub zmniejszone, należy zachować odpowiednie proporcje. Znak CE umieszczony na samym wyrobie lub na tabliczce znamionowej musi znajdować się w widocznym miejscu, być czytelny i nieusuwalny. Jeśli jest to niemożliwe lub nie może być zagwarantowane ze względu na rodzaj wyrobu, oznakowanie CE powinno być umieszczone na opakowaniu (jeżeli takie istnieje) oraz w dołączonych do wyrobu dokumentach (jeżeli odpowiednia dyrektywa wymaga takich dokumentów). Jeżeli w fazę kontroli produkcji zaangażowana jest jednostka notyfikowana, jej numer identyfikacyjny powinien być umieszczony za oznakowaniem CE. Numer jednostki notyfikowanej musi być umieszczony na odpowiedzialność tej jednostki przez producenta lub jego upoważnionego przedstawiciela 49 2015-05-17 Bezpieczeństwo wyrobu Oznakowanie CE jest jedynym oznakowaniem symbolizującym wypełnienie przez producenta wyrobu wszystkich ciążących na nim obowiązków, wynikających z dyrektyw przewidujących oznakowanie CE i mających zastosowanie do tego wyrobu. Państwa członkowskie winny powstrzymać się od wprowadzania do swoich przepisów jakichkolwiek odniesień do innych oznaczeń zgodności niż oznakowanie CE, które byłyby sprzeczne z zadaniami oznakowania CE. Bezpieczeństwo wyrobu Wyrób może posiadać dodatkowe oznakowania i znaki, jeśli: 1. pełnią one inną funkcję niż oznakowanie CE; 2. nie będą mylone ze znakiem CE; 3. nie ograniczają czytelności i widoczności oznakowania CE. Bezpieczeństwo wyrobu Zgodnie z dyrektywami Nowego Podejścia producentem jest osoba odpowiedzialna za zaprojektowanie i wyprodukowanie wyrobu z zamiarem wprowadzenia go na rynek pod własnym nazwiskiem lub pod własną nazwą. Odpowiedzialność producenta ciąży również na każdej osobie fizycznej lub prawnej, która składa, pakuje, przetwarza lub etykietuje gotowe wyroby z zamiarem umieszczenia ich na rynku Wspólnoty pod własnym nazwiskiem lub własną nazwą. Co więcej, odpowiedzialność producenta dotyczy każdego, kto zmienia przeznaczenie wyrobu w taki sposób, że zachodzi potrzeba dostosowania się do innych wymagań zasadniczych, lub też tego, kto istotnie modyfikuje lub odnawia wyrób (tworzy więc nowy wyrób) z zamiarem wprowadzenia go na rynek Wspólnoty. 50 2015-05-17 Bezpieczeństwo wyrobu Bezpieczeństwo wyrobu Aktywne implanty medyczne Active implantable medical devices Aktywny implantowany wyrób medyczny oznacza każdy aktywny wyrób medyczny, przeznaczony do wprowadzania do ciała ludzkiego oraz częściowo wprowadzone do ciała drogą zabiegu chirurgicznego lub poprzez interwencję medyczną do otworu naturalnego i przeznaczony do pozostawania w nim po zakończeniu procedury Dźwigi Lifts Dźwig oznacza urządzenie obsługujące określone poziomy, posiadające kabinę poruszającą się wzdłuż prowadnic, które są sztywne, nachylone pod kątem większym niż 15o do poziomu i przeznaczone do transportu osób, osób i towarów, włącznie towarów, jeśli kabina jest dostępna (to znaczy, jeśli osoba może wejść do niej bez trudności) i wyposażona w urządzenia sterujące umieszczone wewnątrz kabiny lub w zasięgu osoby będącej wewnątrz. Kompatybilność elektromagnetyczna Electromagnetic compatibility (EMC) Niniejsza Dyrektywa dotyczy urządzeń, które mogą powodować zakłócenia elektromagnetyczne lub na których działanie mogą mieć wpływ takie zakłócenia. Bezpieczeństwo wyrobu Maszyny Machinery Maszyna oznacza zestaw połączonych wzajemnie części lub podzespołów, z których przynajmniej jeden jest ruchomy, przy czym odpowiednie człony wykonawcze, obwody sterowania i zasilania itp., połączone są w całość dla wykonania konkretnej czynności, szczególnie dla przetwarzania, obróbki, przemieszczania lub pakowania materiałów. Materiały wybuchowe do użytku cywilnego Explosives for civil uses Materiały wybuchowe oznaczają materiały i artykuły uważane za takie przez zalecenia Organizacji Narodów Zjednoczonych dotyczące transportu towarów niebezpiecznych oraz należące do klasy 1 określonej w tych zaleceniach. Nieautomatyczne urządzenia ważące Non-automatic weighing instruments Waga jest to przyrząd pomiarowy służący do określenia masy ciała przez wykorzystanie działania na to ciało siły grawitacji. Waga może także służyć do określania innych, związanych z masą wielkości, ilości, parametrów albo właściwości. Waga nieautomatyczna jest to waga, wymagająca interwencji operatora podczas ważenia. 51 2015-05-17 Bezpieczeństwo wyrobu Niskonapięciowe wyroby elektryczne Low voltage electrical equipment (LVD) Sprzęt elektryczny oznacza każdy sprzęt przeznaczony do użytku przy napięciu w zakresie pomiędzy 50 V i 1000 V prądu przemiennego oraz pomiędzy 75 V i 1500 V prądu stałego Proste zbiorniki ciśnieniowe Simple pressure vessels Niniejsza dyrektywa dotyczy prostych zbiorników ciśnieniowych wytwarzanych seryjnie. Prosty zbiornik ciśnieniowy oznacza dowolny zbiornik spawany podlegający nadciśnieniu wewnętrznemu większemu niż 0,5 bar, przeznaczony do przechowywania powietrza lub azotu i nie przeznaczony do ogrzewania płomieniem. Sprawność energetyczna chłodziarek i zamrażarek Energy efficiency for electric refrigerators and freezers Dyrektywa "Sprawność energetyczna chłodziarek i zamrażarek" odnosi się do nowych chłodziarek, urządzeń przechowalniczych i zamrażarek do użytku domowego i ich zestawów, zasilanych z sieci energetycznej. Bezpieczeństwo wyrobu Sprawność energetyczna kotłów wodnych Energy efficiency of hot water boilers Dyrektywa "Sprawność energetyczna kotłów wodnych" ustala wymagania w odniesieniu do sprawności nowych kotłów wodnych grzewczych opalanych paliwami ciekłymi lub gazowymi, których moc nominalna jest nie mniejsza niż 4 kW i nie większa niż 400 kW. Sprawność energetyczna stabilizatorów do oświetlenia jarzeniowego Energy efficiency requirements for ballasts for fluorescent lighting Niniejsza dyrektywa ma zastosowanie do zasilanych z sieci elektrycznej stabilizatorów dla źródeł światła jarzeniowego (zgodnie z określeniem podanym w Normie Europejskiej EN 50294 z grudnia 1998 r., punkt 3.4) Nie są objęte niniejszą dyrektywą następujące rodzaje stabilizatorów: stabilizatory wbudowane w lampach, stabilizatory zaprojektowane specjalnie do opraw oświetleniowych, przeznaczonych do montażu w meblach, stanowiące niewymienialną część oprawy oświetleniowej, która nie może być badana oddzielnie od oprawy (zgodnie z Normą Europejską EN 60920, klauzula 2.1.3), i stabilizatory przeznaczone na eksport poza Wspólnotę, albo jako samodzielne elementy, albo wbudowane w oprawy oświetleniowe. Bezpieczeństwo wyrobu Środki ochrony indywidualnej Personal protective equipment (PPE) Środki ochrony indywidualnej - urządzenia lub wyposażenie przeznaczone do noszenia bądź trzymania przez użytkownika tych środków, w celu jego ochrony przed jednym lub większą liczbą zagrożeń, które mogą mieć wpływ na jego bezpieczeństwo i zdrowie podczas wykonywania czynności, jak również wszelkie akcesoria i dodatki przeznaczone do tego celu. Urządzenia do użytku w atmosferach wybuchowych Equipment for use in explosive atmospheres Niniejsza dyrektywa ma zastosowanie do urządzeń i systemów ochronnych, przeznaczonych do użytku w przestrzeniach zagrożonych wybuchem oraz urządzeń zabezpieczających, sterujących i regulacyjnych przeznaczonych do użytku na zewnątrz przestrzeni zagrożonych wybuchem, lecz które są wymagane lub przyczyniają się do bezpiecznego funkcjonowania urządzeń i systemów ochronnych wobec zagrożeń wybuchowych. Urządzenia ciśnieniowe Pressure equipment Dyrektywa "Urządzenia ciśnieniowe" odnosi się do projektowania, wytwarzania i oceny zgodności urządzeń ciśnieniowych i ich zespołów, dla których najwyższe dopuszczalne ciśnienie PS jest większe niż 0,5 bara. 52 2015-05-17 Bezpieczeństwo wyrobu Urządzenia gazowe Gas appliances W zakresie dyrektywy "Urządzenia gazowe" znajdują się: urządzenia spalające paliwa gazowe używanych do gotowania, ogrzewania, przygotowywania gorącej wody, chłodzenia, oświetlenia lub prania, w których - w odpowiednich przypadkach - temperatura wody nie przekracza 105 oC, zwanych dalej "urządzeniami". Za urządzenia uważa się również palniki z wymuszonym ciągiem oraz urządzenia grzewcze przeznaczone do wyposażenia w takie palniki, urządzenia zabezpieczające, urządzenia sterujące lub urządzenia regulacyjne i podzespoły, oprócz palników z wymuszonym ciągiem i urządzeń grzewczych przeznaczonych do wyposażenia w takie palniki, umieszczanych na rynku oddzielnie w celach handlowych i zaprojektowanych w celu wbudowania do urządzenia spalającego paliwo gazowe lub zmontowania w celu stworzenia takiego urządzenia. Zabawki Toys Zabawka oznacza dowolny produkt lub materiał zaprojektowany lub wyraźnie przewidziany do używania w czasie zabawy przez dzieci do 14 lat. Bezpieczeństwo wyrobu Urządzenia medyczne Medical devices Urządzenie medyczne oznacza dowolny przyrząd, aparat, urządzenie, materiał lub inny artykuł, stosowany samodzielnie lub w połączeniu, obejmujący oprogramowanie niezbędne do jego właściwego zastosowania zamierzonego przez wytwórcę, który ma być używany dla istot ludzkich w celu: diagnozy, prewencji, monitorowania leczenia lub złagodzenia choroby, diagnozy, monitorowania, leczenia, łagodzenia lub rekompensaty zranienia albo upośledzenia; badania, wymiany lub zmiany anatomii lub procesu fizjologicznego; kontroli urodzin Urządzenia diagnostyczne in vitro In vitro diagnostic medical devices Wyrób medyczny do diagnostyki in vitro wyrób medyczny będący odczynnikiem, produktem odczynników, wzorcem odniesienia, materiałem kontrolnym, zestawem, przyrządem, sprzętem lub systemem stosowanym samodzielnie lub w połączeniu, przeznaczonym przez wytwórcę do stosowania in vitro, w celu badania próbek pobranych z organizmu ludzkiego, włączając próbki krwi i tkanek. Do wyrobów medycznych do diagnostyki in vitro zalicza się także pojemniki na próbki. Bezpieczeństwo wyrobu Urządzenia linowe do przewozu osób Cableway installations for persons Urządzenia linototorowe do przewozu osób są to wszelkie urządzenia, które są projektowane, wytwarzane, montowane i użytkowane w celu transportu osób. Urządzenia te wykorzystują elementy nośne albo mechanizmy do ciągnięcia, przy czym elementem zapewniającym zawieszenie i/lub trakcję jest lina ułożona w osi ruchu. Wyposażenie radiowe i terminali telekomunikacyjnych Radio and telecommunications terminal equipment Niniejsza dyrektywa odnosi się do urządzeń końcowych. Urządzenie końcowe oznacza urządzenie przeznaczone do podłączenia do sieci telekomunikacji publicznej, tj.: do podłączenia bezpośredniego do końcówki sieci telekomunikacji publicznej lub do współpracy z publiczną siecią telekomunikacyjną dołączoną bezpośrednio lub pośrednio do końcówki sieci telekomunikacji publicznej w celu nadawania, przetwarzania lub odbierania informacji. System połączeń może być kablowy, radiowy, optyczny lub inny elektromagnetyczny, Wyroby budowlane Construction products Wyrób budowlany oznacza każdy wyrób wyprodukowany w celu wbudowania go na stałe w obiekty budowlane obejmujące zarówno budynki, jak i budowle inżynierskie. 53 2015-05-17 Bezpieczeństwo wyrobu Ustawa z dnia 30 sierpnia 2002 r. o systemie oceny zgodności (Dz. U. z 2004 r. Nr 204, poz. 2087 j.t., z późn. zm.). 85/374/EWG - Odpowiedzialność za produkt niebezpieczny 98/34/WE - Procedura informowania w zakresie norm i przepisów technicznych 2001/95/WE - Ogólne bezpieczeństwo produktu 2002/49/WE - Ocena i zarządzanie poziomem hałasu w środowisku 2009/105/WE (przedtem: 87/404/EWG - Proste zbiorniki ciśnieniowe (SPVD)) 89/106/EWG - Wyroby budowlane (CPD) 89/686/EWG - Środki ochrony indywidualnej (PPED) 90/396/EWG - Urządzenia gazowe (GAD) 92/42/EWG - Efektywność energetyczna kotłów (BED) 94/9/WE - Atmosfery wybuchowe (ATEX) 95/16/WE - Dźwigi (Lifts) 97/23/WE - Urządzenia ciśnieniowe (PED) 2006/42/WE - Maszyny (MD) (z dniem 29.12.2009 r. zastąpiła dyrektywę 98/37/WE) 2004/108/WE - Kompatybilność elektromagnetyczna (EMC) (z dniem 20.07.2007 zastąpiła dyrektywę 89/336/EWG) 2006/95/WE - Niskie napięcia (LVD) (z dniem 16.01.2007 r. zastąpiła dyrektywę 73/23/WE) Dr inż. Agnieszka Terelak-Tymczyna Bezpieczeństwo informacji Bezpieczeństwo informacji Wykłady 2014/2015 Wraz ze wzrostem znaczenia informacji we współczesnym świecie oraz z rozwojem technik przetwarzania informacji istotnym zagadnieniem w dzisiejszym świecie jest zapewnienie bezpieczeństwa informacji. Informacje będące w posiadaniu firm i urzędów posiadają swoją realną wartość i mogą być podatne na zagrożenia takie jak, np.: kradzież, zniszczenie czy zafałszowanie. 54 2015-05-17 Ustawa o ochronie danych osobowych. Bezpieczeństwo informacji Ustawa o ochronie informacji niejawnych. Ustawa o publicznej. dostępie do informacji Ustawa o prawie autorskim i prawach pokrewnych. Rodzina norm z serii 27000 Bezpieczeństwo informacji Bezpieczeństwo informacji PN-ISO/IEC 27001:2014 - Technika informatyczna -Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania. PN-ISO/IEC 27002:2014 - Technika informatyczna -Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji PN-ISO/IEC 27005:2010 - Technika informatyczna -Techniki bezpieczeństwa -Zarządzanie ryzykiem w bezpieczeństwie informacji PN-ISO/IEC 27006:2009 -Technika informatyczna - Techniki bezpieczeństwa -Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji Poszczególne rozdziały normy poświęcone są takim zagadnieniom, jak: 1. Polityka bezpieczeństwa; 2. Organizacja bezpieczeństwa informacji; 3. Zarządzanie aktywami; 4. Bezpieczeństwo zasobów ludzkich; 5. Bezpieczeństwo fizyczne i środowiskowe; 6. Zarządzanie systemami i sieciami; 7. Kontrola dostępu; 8. Zarządzanie ciągłością działania; 9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych; 10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji; 11. Zgodność z wymaganiami prawnymi i własnymi standardami. 55 Bezpieczeństwo informacji 2015-05-17 Planuj - ustanowienie SZBI - ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji. Wykonuj - wdrożenie i eksploatacja SZBI wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur. Bezpieczeństwo informacji Bezpieczeństwo informacji Sprawdzaj - monitorowanie i przegląd SZBI pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu. Działaj - utrzymanie i doskonalenie SZBI podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego auditu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI. Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma PNISO/IEC 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka (Załącznik A, Tablica A.1). Załącznik A jest obligatoryjny. 56 PN-ISO/IEC 17799:2007 Technika informatyczna -Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji. Norma ta zawiera zestaw najlepszych praktyk, które można zastosować w organizacji w celu podniesienia poziomu bezpieczeństwa informacji. Norma ISO/IEC w odróżnieniu od norm z serii ISO TR 13335 (polski odpowiednik PN-I-13335-1:1999 Technika informatyczna -Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - Pojęcia i modele bezpieczeństwa systemów informatycznych) nie dotyczy tylko i wyłącznie zagadnień teleinformatycznych, lecz obejmuje także inne obszary takie jak bezpieczeństwo osobowe i fizyczne. Bezpieczeństwo informacji Bezpieczeństwo informacji 2015-05-17 Właściwości ( atrybuty) bezpieczeństwa wg PN-13335-1 Określenie Poufność Właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom Autentyczność Właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana; dotyczy użytkowników, procesów, systemów lub nawet instytucji; autentyczność jest związana z badaniem, czy ktoś lub coś jest tym lub czym za kogo lub za co się podaje Bezpieczeństwo informacji Nazwa Dostępność Właściwość bycia dostępnym i możliwym do wykorzystania na żądanie w założonym czasie przez kogoś lub coś, kto lub co ma do tego prawo Integralność danych Właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany Integralność systemu Właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Integralność Integralność danych oraz integralność systemu Rozliczalność Właściwość zapewniająca, że działania podmiotu mogą być jednoznacznie przypisane tylko temu podmiotowi Niezawodność Właściwość oznaczająca spójne, zamierzone zachowanie i skutki 57 Bezpieczeństwo informacji Bezpieczeństwo informacji 2015-05-17 Korzyści 1. bezpieczeństwo wszystkich informacji korporacyjnych, zwiększenie wartości firmy 2. jasne określenie uprawnień i odpowiedzialności pracowników 3. realizacja celów firmy poprzez eliminowanie zagrożeń 4. zagwarantowanie kontrahentom, powierzającym certyfikowanym organizacjom swoje dane/informacje, że są one bezpieczne 5. pełna integracja z systemem zarządzania jakością i informatycznym w firmie 1. poufność - daje gwarancję, że informacje są dostępne tylko i wyłącznie dla autoryzowanych osób - pracowników, posiadających prawo dostępu do danych 2. integralność zabezpiecza ona dokładność i kompletność zarówno informacji, jak też i stosowanych metod jej ochrony 3. dostępność - gwarancja, że użytkownicy posiadający stosowne uprawnienia mają stały dostęp do informacji i zgromadzonych zasobów. Bezpieczeństwo informacji Polityka bezpieczeństwa informacji Jest to zbiór spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione. 58 2015-05-17 Polityka bezpieczeństwa informacji Bezpieczeństwo informacji Powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania). Bezpieczeństwo informacji Polityka bezpieczeństwa informacji Projektując mechanizmy ochrony informacji należy określić następujące elementy: • model bezpieczeństwa • mechanizmy kontroli dostępu • poziomy uprawnień (jakie poziomy uprawnień istnieją i jakie są zasady ich przyznawania) • mechanizmy identyfikacji i zapewnienie autentyczności (na poziomie fizycznym i systemów) • śledzenie zdarzeń w systemie (jakie mechanizmy/programy/procedury stosowane są do śledzenia zmian w systemach) Polityka bezpieczeństwa informacji Bezpieczeństwo informacji Do podstawowych zaliczamy: • • • • • • • elementów polityki bezpieczeństwa Zabezpieczenia lokalizacyjne, Zabezpieczenie sprzętowe (serwer i stacje robocze), Zabezpieczenia programowe, Analiza architektury sieci lokalnej, Archiwizacja danych, Kontrola dostępu do systemu (system haseł i praw), Szkolenia użytkowników systemu. 59 2015-05-17 Zabezpieczenia lokalizacyjne Bezpieczeństwo informacji Pod pojęciem zabezpieczenia lokalizacyjne rozumieć należy: Lokalizację serwerów: bazy danych, plików, aplikacji (pomieszczenie przestronne, wentylowane, ognioodporne, itp.), Usytuowanie stacji roboczych, Dostęp tylko osób upoważnionych Bezpieczeństwo informacji Zabezpieczenie sprzętowe Zabezpieczenia sprzętowe stanowią jeden z podstawowych elementów polityki bezpieczeństwa przedsiębiorstwa. Najważniejszym obiektem zabezpieczeń jest serwer danych. Podstawowym zabezpieczeniem sprzętowym jest zagregowanie dysków w macierz dyskową RAID (Redundant Array of Inexpensive Disks), co umożliwia ochronę pamięci masowej przed awarią dysku, a tym samym stanowi to ochronę przed utratą danych. Bezpieczeństwo informacji Zabezpieczenie programowe Zabezpieczenia programowe zorientowane są głównie na zapewnienie wysokiego poziomu ochrony: infrastruktury teleinformatycznej, przetwarzanych i przechowywanych informacji, treści pochodzących z Internetu. Do podstawowych zabezpieczeń programowych zaliczamy: • • • • Systemy Firewall (ang. ściana ogniowa) Systemy przeciwdziałania włamaniom Detection System) Systemy kontroli treści (www , e- mail) Systemy antywirusowe IDS (Intrusion 60 2015-05-17 Bezpieczeństwo informacji Analiza architektury sieci lokalnej Schemat architektury sieci lokalnej przy wykorzystaniu sieci pośredniczącej Bezpieczeństwo informacji Archiwizacja danych Archiwizacja danych jest jednym z podstawowych zadań jakie powinno być realizowane przez administratora systemu informatycznego. Kopia bezpieczeństwa umożliwia odtworzenie danych w razie uszkodzenia sprzętu, kradzieży, pożaru, itp. Dlatego zaleca się wykonywanie archiwizacji codziennie. Archiwizacja może być wykonywana na różnego rodzaju nośnikach: • Magnetycznym, • Magnetooptycznym, • Optycznym. Kontrola dostępu do systemu W wielu systemach operacyjnych istnieje standardowe oprogramowanie służące do uwierzytelniania użytkowników. Najczęściej spotykane metody wykorzystują hasła. Bezpieczeństwo informacji Ponadto dostęp do Zintegrowanego Informatycznego Systemu Zarządzania powinien wymagać osobnego logowania. Oprócz haseł w systemach stosowane mogą być inne sposoby zabezpieczenia przed nielegalnym dostępem. Należą do nich: • • • • • Automatyczne kończenie sesji roboczej użytkownika w przypadku długiego okresu braku sygnałów z terminala świadczących o pracy, Blokowanie konta, do którego wykonano wiele kolejnych nieudanych prób dostępu, Prowadzenie historii haseł i uniemożliwienie ponownego używania hasła wykorzystanego w przeszłości, Blokowanie konta, na którym nie pracowano dłuższy okres czasu, Wymuszenie zmiany hasła co określony czas. 61 2015-05-17 Szkolenia użytkowników systemu Bezpieczeństwo informacji Użytkownicy systemu IT odgrywają kluczową rolę w zachowaniu bezpieczeństwa tego systemu oraz danych przedsiębiorstwa. Dlatego podstawową rolą administratora w zakresie bezpieczeństwa systemu informatycznego jest zorganizowanie szkoleń dla użytkowników dotyczących prawidłowego i bezpiecznego korzystania z systemu IT oraz możliwych zagrożeń. Przyczyny awarii systemów IT Źródło: opracowanie dr hab. P. Bała, Uniwersytet Mikołaja Kopernika w Toruniu, 2005 r. Obowiązki informacji administratora bezpieczeństwa Do głównych obowiązków administratora bezpieczeństwa informacji zgodnie z treścią zawartą w §3 rozporządzenia MSWiA z dnia 3 czerwca 1998 r należy: Bezpieczeństwo informacji • Zabezpieczenie i kontrola pomieszczeń, w których przetwarzane są dane osobowe, Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych, Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem oraz nie były udostępniane osobom nieupoważnionym, Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych, • • • • Obowiązki informacji • Bezpieczeństwo informacji • • • administratora bezpieczeństwa Nadzór nad systemem komunikacji w sieci komputerowej oraz przesyłaniem danych za pośrednictwem urządzeń teletransmisji, Dopilnowanie, aby ekrany monitorów stanowisk komputerowych, na których przetwarzane są dane osobowe, automatycznie się wyłączały po upływie ustalonego czasu nieaktywności użytkownika, Dopilnowanie pomieszczeń, w których znajdują się monitory stanowisk dostępu do danych osobowych i ustawienie w sposób aby uniemożliwić osobom niepowołanym wgląd w dane, Podjęcie działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych. 62 2015-05-17 Wybrane metody i wspomagające: 1. komputerowe narzędzia Metodyka opracowana w instytucie NIST (National Institute Bezpieczeństwo informacji of Standards and Technology) 2. 3. 4. 5. 6. 7. 8. 9. Metodyka szacowania zagrożeń i ryzyka (TRA) opracowana w CSE (Communications Security Establishment) Metodyka CORA i komputerowe narzędzia wspierające Metodyka i oprogramowanie CRAMM Oprogramowanie COBRA Metoda IRIS Oprogramowanie RiskPAC Oprogramowanie ASSET i in. 63