7.11 Управление данными и информацией

[texadmin]

17025 2019 7.11.1 Лаборатория должна иметь доступ ко всем данным и информации, необходимым для выполнения лабораторной деятельности.

7.11.2 Правильность функционирования систем(ы) управления информацией лаборатории, используемых(ой) для сбора, обработки, записи, представления результатов, хранения или поиска данных, в том числе правильность функционирования интерфейсов систем(ы) управления информацией лаборатории, должна(ы) быть проверена лабораторией перед внедрением в работу. При любых изменениях, включая изменения конфигурации программного обеспечения лаборатории или модификации коммерческого программного обеспечения, они должны быть утверждены, документированы и валидированы до введения их в действие.
Примечание 1 — В настоящем стандарте «системы управления информацией лаборатории» включают в себя управление данными и информацией, содержащимися как в компьютеризированных, так и в некомпьютеризированных системах. Некоторые из требований могут быть в большей степени применимы к компьютеризированным системам, чем к некомпьютеризированным системам.
Примечание 2 — Доступное на рынке коммерческое программное обеспечение при обычном его использовании в области, для которой оно предназначено, может считаться в достаточной степени валидированным.

7.11.3 Система(ы) управления информацией лаборатории, должна(ы):
a) быть защищена(ы) от несанкционированного доступа;
b) быть защищена(ы) от искажения или потери данных;
c) функционировать в условиях окружающей среды, которые соответствуют спецификациям поставщика или лаборатории, или, в случае некомпьютеризированных систем, создавать условия, обеспечивающие неизменность выполненных от руки записей и расшифровки;
d) поддерживаться в таком состоянии, которое обеспечивает целостность данных и информации;
e) включать регистрацию системных сбоев и соответствующих оперативных и корректирующих действий.

7.11.4 В том случае, если управление данной системой и ее поддержание осуществляется дистанционно или через внешнего поставщика, лаборатория должна обеспечить соответствие поставщика или оператора системы всем применимым требованиям настоящего стандарта.

7.11.5 Лаборатория должна обеспечивать, чтобы инструкции, руководства и справочные данные, относящиеся к системе(ам) управления информацией лаборатории, были легкодоступными для персонала.

7.11.6 Расчеты и передачи данных должны подвергаться надлежащим систематическим проверкам.

[Новости]

Это двадцать пятая статья по системам менеджмента качества (СМК) из цикла: «Стандарт ISO:2015 (ГОСТ Р ИСО 9001-2015). Сущность требований и их реализация при разработке и внедрении СМК». Статья содержит разъяснения требований стандарта и рекомендации по выполнению требований стандарта пункта 7.4 «Обмен информацией» для организаций, занимающихся проектами: «Разработка системы менеджмента качества по ISO 9001 (разработка СМК по ИСО 9001)», «Внедрение системы качества по ИСО 9001 (внедрение СМК по ИСО 9001)».

Требования ГОСТ Р ИСО 9001-2015 (ISO 9001:2015)
Организация должна определить порядок внутреннего и внешнего обмена информацией, относящейся к системе менеджмента качества, включая:
a) какая информация будет передаваться;
b) когда будет передаваться информация;
c) кому будет передаваться информация;
d) каким образом она будет передаваться;
e) кто будет передавать информацию.

Основываясь на определениях стандарта ГОСТ Р ИСО 9000-2015 (ISO 9000:2015), связанных с термином «информация», можно сформулировать следующее обобщенное определение: Информация — это значимые данные о продукции и(или) услуге, процессе, лицах (сотрудниках), организации, системе менеджмента качества (далее СМК), ресурсах, достигнутых результатах.

Информация может быть документированной и недокументированной. Документированная информация включает документацию, требуемую стандартом ГОСТ Р ИСО 9001-2015 (ISO 9001:2015), и документацию, необходимую для функционирования СМК (законы, постановления, государственные стандарты, стандарты организации, регламенты, положения, инструкции и т. п.), а также записи (отчеты, акты, журналы, справки, протоколы, информационные компьютерные программы и т. п.).

Порядок внутреннего и внешнего обмена информацией также может быть документированным или недокументированным.

Документированный порядок обмена информацией может быть определен в соответствующей внутренней или внешней документации. Например, порядок обмена информацией в виде отчетов по внутренним аудитам СМК определен в стандарте организации «Внутренние аудиты СМК», порядок обмена информацией по результатам совещаний в виде протоколов может быть определен в инструкции по делопроизводству, порядок обмена информаций по кадровому делопроизводству определен в нормативно-правовой документации Российской Федерации и т. д.

Для выполнения требований рассматриваемого пункта стандарта ГОСТ Р ИСО 9001-2015 (ISO 9001:2015) в организации необходимо определить: какая информация, когда, кому, каким образом и кто будет передавать информацию.

Ниже приведены правильные и неправильные формулировки в документации СМК, связанные с обменом информации в соответствии с требованиями пункта 7.4 стандарта ГОСТ Р ИСО 9001-2015 (ISO 9001:2015).

Не документированный порядок обмена информацией может быть определен, например, руководством организации и доведен до сведения персонала на общем собрании организации.

Для повышения эффективности работы в организациях создаются информационные системы — сеть каналов обмена информацией. Такими каналами могут быть, например, информационные компьютерные программы, электронные библиотеки внутренней и внешней документации, совещания, собрания, рабочие встречи, инструктажи, информационные стенды, корпоративный информационный сайт и многое другое.

Методический отдел СКЦ "Систус Консалт"

[Новости]

ISO 9001:2015 (ГОСТ Р ИСО 9001-2015). Пункт 7.5 «Документированная информация», подпункт 7.5.1 «Общие положения». Сущность требований и их реализация в СМК
Требования ГОСТ Р ИСО 9001-2015 (ISO 9001:2015)
Система менеджмента качества организации должна включать:
a) документированную информацию, требуемую настоящим стандартом;
b) документированную информацию, определенную организацией как необходимую для обеспечения результативности системы менеджмента качества.
Примечание — Объем документированной информации системы менеджмента качества одной организации может отличаться от другой в зависимости от:
— размера организации и вида ее деятельности, процессов, продукции и услуг;
— сложности процессов и их взаимодействия;
— компетентности работников.
К документам по процессам можно отнести стандарты организации (СТО), регламенты, технологические процессы, рабочие инструкции, планы производства, графики работ и т. п.

Примерами записей по процессам могут быть отчеты по результативности процессов, журналы учета работ, производственные отчеты, журналы приемки продукции, акты проверок технологий и т. п.

По документам и записям по целям в области качества можно привести следующие примеры: документ «Цели в области качества», документ «План мероприятий по достижению целей в области качества», протокол совещания с решениями по мониторингу целей в области качества, приказ руководителя организации о внесении изменений в «Цели в области качества», отчет о выполнении «Плана мероприятий по достижению целей в области качества», др.

К обязательным записям по стандарту ГОСТ Р ИСО 9000-2015 (ISO 9000:2015) относится документированная информация, которая указана в стандарте словами: «...регистрировать и сохранять документированную информацию...». Таких записей в ГОСТ Р ИСО 9000-2015 (ISO 9000:2015) более двадцати. Пример обязательных записей можно увидеть в пунктах стандарта: 4.4.2, 7.1.5.1, 7.1.5.2, 7.2, 8.2.3.2, 8.3.3, 8.3.4 и др.

Для обеспечения результативности СМК организация может на свое усмотрение разрабатывать и вводить в действие собственную документированную информацию. Такая документация (документы и записи) становится также обязательной для выполнения со стороны всего персонала организации. В этом случае эта документация определяется самой организацией как необходимая.

К документации, необходимой для функционирования СМК, следует также отнести законодательную и нормативно-правовую документацию, требования которой организация должна выполнять исходя из специфики деятельности, учитывая требования заинтересованных сторон, особенности региона в котором осуществляется деятельность, др. К такой документации можно отнести: законы, постановления, приказы министерств, ГОСТ, ОСТ, СанПиН, РД, др.

С увеличением размера организации и сложности ее деятельности, процессов, продукции и(или) услуг как правило, возрастает объем документированной информации СМК.

В общем случае с ростом компетентности персонала организации логично будет уменьшать объем документации СМК и степень ее детализации. Однако в организациях, работающих в области медицины, военного дела, авиации и т. п., объем документации СМК может быть большим независимо от размера организации или компетентности работников. И в таких организациях объем документации СМК будет определяться необходимостью гарантированного обеспечения результативности деятельности.


Методический отдел СКЦ "Систус Консалт"

[Новости]

ISO 9001:2015 (ГОСТ Р ИСО 9001-2015). Пункт 7.5 "Документированная информация", подпункт 7.5.2 "Создание и актуализация". Сущность требований и их реализация в СМК
Требования ГОСТ Р ИСО 9001-2015 (ISO 9001:2015)
При создании и актуализации документированной информации организация должна соответствующим образом обеспечить:
a) идентификацию и описание (например название, дата, автор, ссылочный номер);
b) формат (например, язык, версия программного обеспечения, графические средства) и носитель (например, бумажный или электронный);
c) анализ и одобрение с точки зрения пригодности и адекватности.

В соответствии с требованиями пункта 7.5.2 стандарта ГОСТ Р ИСО 9000-2015 (ISO 9000:2015) организация любыми приемлемыми для нее способами должна обеспечить, чтобы любая документированная информация (стандарт организации (СТО), стандарт предприятия (СТП), регламент, положение, карта, инструкция, отчет, акт, протокол, справка, журнал и т. п.) была идентифицирована и иметь соответствующий формат.

Идентификация документа или записи заключается в присвоении им отличительного идентификатора, например: обозначение или номер, название, дата, номер версии или редакции, ссылочный номер, фамилия и должность разработчика.

Любой документ или запись имеет формат (описание или содержание), включающее: титульный лист, тексты, таблицы, графики, формы и примеры заполнения в виде приложений, и др.

Для определения идентификации и формата документа и записи, а также их носителя (бумажный и(или) электронный) применяются как внешние, так и внутренние документированные процедуры. Например, к внешним документам можно отнести: стандарты Единой системы конструкторской документации (сокращенно ЕСКД) для конструкторской документации, стандарты по делопроизводству, архивному делу, по кадровому делопроизводству и т. п. Внутренней документацией может являться стандарт организации (СТО) по управлению документацией, СТО по управлению записями, инструкция по делопроизводству, др. В этих же документах приведены формы и шаблоны записей в тексте или в виде приложений к нормативным документам. Например: форма «Программы внутренних аудитов СМК» приведена в приложении к СТО «Внутренние аудиты СМК», форма «Акта о браке» размещена в СТО «Управление несоответствующими результатами процессов» также в виде приложения.

Как вариант, определить идентификацию и формат тех или иных видов документов и записей можно с использованием примеров и шаблонов.

При разработке и актуализации документов и форм записей в соответствии с требованиями пункта 7.5.2 стандарта ГОСТ Р ИСО 9000-2015 (ISO 9000:2015) организация должна проводить анализ и одобрение документированной информации с точки зрения пригодности и адекватности, а если сказать привычными словами — проводить их согласование и утверждение. Как правило, согласование проводят руководители разного уровня и ключевые специалисты, обладающие компетентностью в рассматриваемой области, а утверждение — руководитель организации или уполномоченные им его заместители.

Участники и процедура согласования и утверждения документированной информации определяются как внешней, так и внутренней нормативной документацией.

К внешней нормативной документации относятся различные ГОСТы по оформлению документации, например: ГОСТ Р 6.30, а также другие документы различного уровня. Причем с учетом специфики деятельности организации применение целого ряда внешних нормативных документов может носить обязательный характер.

Внутренними документами СМК, определяющими процедуры согласования и утверждения документированной информации, могут являться: СТО «Управление документацией», инструкция по делопроизводству, положения, рабочие инструкции, др.

В пункте 7.5.2 стандарта ГОСТ Р ИСО 9000-2015 (ISO 9000:2015) отсутствует требование о документировании того, каким образом организация будет обеспечивать идентификацию, описание, формат и носитель, анализ и одобрение документированной информации с точки зрения пригодности и адекватности. Поэтому соответствующие механизмы такого обеспечения могут быть устными и доводится до сведения персонала, например, при приеме на работу. Однако, зная преимущества документирования для результативного функционирования СМК, рекомендуется иметь в организации документированные процедуры управления документацией.


Методический отдел СКЦ "Систус Консалт"

[Новости]

ISO 9001:2015 (ГОСТ Р ИСО 9001-2015). Пункт 7.5 "Документированная информация", подпункт 7.5.3 "Управление документированной информацией". Сущность требований и их реализация в СМК. Часть 1
Требования ГОСТ Р ИСО 9001-2015 (ISO 9001:2015)
7.5.3.1 Документированная информация, требуемая системой менеджмента качества и настоящим стандартом, должна находиться под управлением в целях обеспечения:
a) ее доступности и пригодности, где и когда она необходима;
Примечание — Доступ подразумевает разрешение только просмотра документированной информации или разрешение просмотра с полномочиями по внесению изменений в документированную информацию.

Управление — это целенаправленное влияние на объект с целью его стабилизации или изменения в соответствии с поставленными задачами. В нашем случае под объектом понимается документированная информация. Напомним, к документированной информации системы менеджмента качества (далее СМК) могут относиться документы (внутреннего происхождения — стандарты организации, регламенты, положения, инструкции, др.; внешнего происхождения — законы, постановления, руководящие документы, ГОСТы, ОСТы, СанПиНы, др.) и записи (журналы, акты, протоколы, отчеты, справки, анкеты, данные информационных автоматизированных систем, др.).

В организации для каждого вида документированной информации, т. е. для каждого документа и(или) записи, должны быть определены требования к доступу, т. е. необходимо определить: кто, когда, в каком виде, на какой срок и т. д. может воспользоваться и каким образом воспользоваться (ознакомление, или ознакомление с разрешением на внесение изменений) конкретной документированной информацией. Например, для документа «Цели в области качества» могут быть определены следующие требования к доступу: все работники организации могут ознакомиться со сканированной копией в корпоративной электронной папке «СМК», доступ к оригиналу действующего и отмененного документа разрешен генеральному директору и заместителю генерального директора по качеству (директору по качеству).

Под пригодностью документированной информации следует понимать возможность ее полноценного использования с точки зрения ее актуальности, ее соответствия реальной деятельности, ее полного и разборчивого содержания в соответствии с установленными требованиями к формату, языку, носителю и др.

Требования ГОСТ Р ИСО 9001-2015 (ISO 9001:2015)
7.5.3.1 Документированная информация, требуемая системой менеджмента качества и настоящим стандартом, должна находиться под управлением в целях обеспечения:
b) ее достаточной защиты (например, от несоблюдения конфиденциальности, от ненадлежащего использования или потери целостности).

Документированная информация должна надежно защищаться от несоблюдения конфиденциальности (так называемая утечка информации), что включать защиту от несанкционированного доступа внутри организации и со стороны представителей сторонних организаций.

К ненадлежащему использованию документированной информации может относиться ее использование не по назначению и к такому использованию, которое может привести к утрате документированной информации.

К потери целостности документированной информации можно отнести отсутствие одной или нескольких страниц в документе или записи, неразборчивость (загрязнение, механические повреждения, некачественное копирование, др.), повреждение файлов с информацией, др.

К мерам защиты документированной информации можно отнести, например:

— применение порядка разработки, согласования и утверждения стандартов организации;
— использование механизма создания рабочих инструкций;
— применение требований к управлению внешней документации и к управлению внутренней документации;
— разграничение доступа к документированной информации внутри организации;
— ламинирование документации на бумажном носителе;
— разработка перечней документации, применяемой для конкретных видов деятельности, для конкретных подразделений и(или) для отдельных должностных лиц;
— другое.


Методический отдел СКЦ "Систус Консалт"

[дорош]

Добрый день, подскажите пожалуйста, как вы описывали этот процесс/процедуру? Буду очень благодарна)

[Павел_С]

Почему речь идет только о не компьютеризированных системах?

Добрый день, подскажите пожалуйста, как вы описывали этот процесс/процедуру? Буду очень благодарна)

Ох, поверьте, очень сложно.... Ни один эксперт на 3 обучениях толком не ответил на поставленный мною вопрос "что такое передачи данных в компьютеризированных системах и как обеспечить проверку правильности их функционирования?" (Это я как программист спрашивал). Бедные ИЛ((!

[Андрей Горбунов]

Павел_С,
возможно, на Ваш вопрос не могли ответить, потому, что он не совсем корректно сформулирован.
Требования раздела 7.11 в общем-то вполне понятны и выполнимы для лаборатории.
7.11.1 говорит о том, что у лаборатории должен быть доступ к необходимым данным и информации.
7.11.2 (в правильном, а не ГОСТовском, переводе) говорит о том, что лаборатория, до внедрения системы управления информацией, должна подтвердить ее пригодность для своих условий эксплуатации в части функциональности. Иными словами, должна думать, перед тем как покупать и ставить соответствующее ПО, подойдет оно или нет. Ну, и, соответственно, если вносятся в ПО изменения, то они должны быть санкционированы, документированы и их пригодность подтверждена.
7.11.3 устанавливает общие требования к системе, которые (по крайней мере, в части п.п. "a", "b") обеспечиваются разработчиком ПО и проверка выполнения этих требований (а также частично и п. "c") рассматриваемым ПО как раз и будет частью действий по п. 7.11.2. Выполнение пунктов c - e, по общему правилу, епархия ИТ-шников.
7.11.4 говорит о том, что если система управляется и поддерживается дистанционно или через внешнего поставщика, то будьте любезны обеспечить соответствие оператора и поставщика требованиям стандарта
7.11.5 - это про доступ к различным документам
7.11.6 указывает на то, что корректность расчетов и передачи данных должны проверяться не от случая к случаю, а систематически. Замечу, что здесь речь идет о передаче данных не только в компьютеризированных системах, но и, скажем, по телефону или иным способом.
Не вижу в этих требованиях ничего суперсложного для лаборатории.

[Павел_С]

не совсем корректно сформулирован.

В чем не корректность моего вопроса? Мне кажется Вы не совсем понимаете суть термина data transfers... Это, например в нашем случае, передача данных по протоколу ТСР/IP. Как Вы планируете его контролировать, да и еще и надлежащим образом?

[Андрей Горбунов]

Павел_С,
так я о том же: Вы пытаетесь трактовать термины и требования стандарта, как ИТ-шник и в этом как раз и состоит ошибка. Они имеют управленческий, а не ИТ-шный смысл. Никакого TCP/IP протокола там не подразумевается. Смысл простой: если вы передаете данные (любым способом - кричите в мегафон, по телефону, нарочным, электронной почтой и т.д.), то вы должны быть уверены в том, что эти данные переданы (и, строго говоря, поняты/интерпретированы) верно. Вот и все.
Способность лаборатории гарантировать правильную передачу (и интерпретацию) данных стандартом считается одним из аспектов ее компетентности.

[Павел_С]

пытаетесь трактовать термины и требования стандарта,

Позвольте с Вами не согласиться! Именно Вы в данный момент трактуете требования ГОСТ в свою пользу, а я пытаюсь исполнить (по крайней мере понять как их реально исполнить) конкретные и международно принятые требования. Знаете что такое мошенничество методом "социальной инженерии"? Именно из-за не исполнения этого пункта ГОСТ это в настоящее время возможно, к сожалению... А сколько мировых брендов из-за этого обанкротились (например, дженерал моторс)?
Поэтому за рубежом уже давно в всерьёз занялись решением этой проблемы, а у нас в стране пока еще такое же мнение как и у Вас. Извините, но это мое личное мнение....

[Андрей Горбунов]

Павел_С,
у меня нет намерения с Вами спорить. В защиту своей позиции я просто скажу, что общаюсь с одним из разработчиков ISO/IEC 17025 и представляю, какая концепция положена в основу стандарта. Более того, я занимаюсь системами менеджмента, в том числе, и стандартами ISO, опять же общаясь с членам соответствующих технических комитетов. И не без основания полагаю, что понимаю концепцию ISO в отношении систем менеджмента.
Вы же вправе думать, что хотите. Читающие ветку вправе принимать любое решение и отдавать предпочтение любой позиции.

[texadmin]

Павел_С,

это в настоящее время возможно, к сожалению

В нашем мире всё возможно, Вас не заставляют исключить все непредвиденные неприятности на 100%.
С Вашей трактовкой от проца в оперативную память тоже данные туда и обратно летят. Не дословно но 5000 сотрудников microsoft в год делают 35000 ошибок, их тоже выуживать предлагаете.
Вы купили прибор в составе компьютер, прибор прошёл поверку, По идее можете успокоится, ну для порядка запретите установку, отключите интернет, заклейте USB, опечатайте комп, напишите инструкцию, проверьте квалификацию сотрудников. Я на сервере так вообще систему заморозил, все что только получится, открывать, и редактировать файлы.

Всё что покупаете оценили как пригодно, и используете по назначению, по умолчанию можно считать пригодным, калькуляторы, антивирусы, процессоры.
Про хранение в файлах данных, об этом уже позаботились в критериях с помощью ЭЦП.

[Sokolov]

e) включать регистрацию системных сбоев и соответствующих оперативных и корректирующих действий.

Кто, как и где регистрирует системные сбои?

[Юляшка]

Тоже интересует кто как регистрирует системные сбои в небольших лабораториях, где нет IT отдела?
Ещё очень интересно какие они бывают (завис компьютер)?

В лаборатории только компьютер куда переносятся данные по проведённым измерениям, печатается протокол, производится отправка данных во ФГИС, НД в эл. виде.
Уже прилетело замечание с документарной проверки.

[Olga_Nesterova]

кто как регистрирует системные сбои

У нас написано, что при работе обнаружена неправильное функционирование систем (всплывающие окна, невозможность внесения или обработки информации, зависание окон и т.д.), то исполнитель должен приостановить работы и уведомить руководителя. Руководитель, при необходимости, инициирует процедуру по управлению работами, несоответствующими требованиям.
А дальше работы по другой инструкции.

[Мафи]

Уже прилетело замечание с документарной проверки.

их не удовлетворил ответ, что лаборатория маленькая???
мы выдаем в год протоколов 10, нам одного компа достаточно.

[WaRLoC]

Уже прилетело замечание с документарной проверки.

Пожалуйста поподробнее напишите, в чем именно замечание? Так же небольшая лаборатория, актуально)

[Муртаз]

Юляшка, напишите пожалуйста как "замечание" изложено в акте? такая проблема может вылезти и у других...

[texadmin]

Всей странной официально делаем, "не быть, а казаться."
Я бы разделил системные сбои на несколько уровней, разовые зависание это в порядке вещей, не все ошибки являются критическими.
Невозможность работы одного, нескольких сотрудников, невозможность работы всех, время простоя, нарушение целостности, конфиденциальности, потеря информации... это как минимум требует действий что бы в дальнейшем такого не случилось.
Опять же вспоминаем 17025 больше применим к ЛИС и инфраструктуре с данными ИЛ, а не контроль работы windows? Вряд ли для ил численностью в 10 человек имеет практическое применение журнал системных сбоев.

Отправлено спустя 3 часа 38 минут:

их не удовлетворил ответ, что лаборатория маленькая???

Есть пункт, нужно описать.

[Гость]

Добрый день! Подскажите, кто как описывает выполнение данного пункта:
7.11.4 В том случае, если управление данной системой и ее поддержание осуществляется дистанционно или через внешнего поставщика, лаборатория должна обеспечить соответствие поставщика или оператора системы всем применимым требованиям настоящего стандарта. - вот у нас ПО выпустил разработчик совместно с прибором...как "притянуть" его к 17025?

[chrrc]

Если ПО к прибору, то причем здесь дистанционное управление системой. По моему мнению этот пункт относится к случаю, если ЛИМС управляется админом дистанционно или данные хранятся в облаке.
А по поводу ПО к прибору мы прописали проверку версию ПО после проведения измерений. У ряда оборудования в руководстве по эксплуатации прописано проверка версии ПО или контрольной суммы перед началом работы. Мы эти этапы прописали в в рабочих инструкциях. Рядом с компьютерами находятся таблицы с идентификационными данными ПО.

[Korb88]

Добрый день. Кто смог внедрить в лаборатории ведение электронных документов? В частности журналов результатов, соответствующих требованиям 7.11?
Может посоветуете ПО на основе которого удалось это внедрить?

[cordek]

Добрый день. Кто смог внедрить в лаборатории ведение электронных документов? В частности журналов результатов, соответствующих требованиям 7.11?

Таких лабораторий много, только степень внедрения разная.

Может посоветуете ПО на основе которого удалось это внедрить?

ПО от разных поставщиков представлено на рынке в большом количестве. В основном все сертифицированы и на ИСО 9001 и на ГОСТ Р 53798-2010 (по лимс). все зависит от вашего бюджета, наличия технических и кадровых ресурсов.
в соответствии с п. 7.11.2 Примечание 2. Примечание 2 - "Доступное на рынке коммерческое программное обеспечение при обычном его использовании в области, для которой оно предназначено, может считаться в достаточной степени валидированным"
И лаборатории нет нужды дополнительно у себя валидировать это ПО.

Следует понимать, что по п. 7.5.1 Лаборатория должна обеспечивать наличие в технических записях для каждого вида лабораторной деятельности результатов, отчета и достаточной информации, позволяющей, если это возможно, идентифицировать факторы, влияющие на результат измерения и связанную с ним неопределенность измерений, а также обеспечить возможность повторного проведения данной лабораторной деятельности в условиях, максимально близких к первоначальным. Технические записи должны включать дату и сведения о персонале лаборатории, который несет ответственность за каждый вид лабораторной деятельности и за проверку данных и результатов. Первичные наблюдения, данные и расчеты должны быть записаны в момент, когда они были получены, и должны отождествляться с конкретной работой.
Вы сами должны проанализировать свой лабораторный процесс и определить какие записи вы сможете оперативно вносить в ЛИМС, а какие продолжите вести в бумажном журнале и потом переносить в ЛИМС.

[Itanium]

Вставлю таки свои 5 копеек в эту веселую тему...
Я считаю, что нужно хорошо понимать, а чего собственно хочется от системы, а еще лучше представлять себе как это должно работать, иначе результат обычно сильно разочаровывает. И в самом начале встает выбор - локальное решение, сетевое или облачное.
Я для себя давно уже выбрал облачные технологии по нескольким соображениям, локальное решение обычно завязанное на один ПК крайне неудобно. Для сетевого решения нужна сетевая инфраструктура, а нормальная сетевая инфраструктура находится далеко за пределами возможностей обычной лаборатории, босяцкие коробочки и раскоряка под столом в качестве сервера не рассматриваются в принципе.
Когда используешь облачные сервисы - то фактически на тебя работают сотни высококвалифицированных инженеров провайдера, и даже очень маленькая лаборатория может использовать очень продвинутые решения.

Хотя и здесь есть подводный камень - не знаю кто додумался вписать в ГОСТ требование "включать регистрацию системных сбоев". Конечно на облачных серверах Вы ничего включить не сможете. Однако при желании и здесь можно выкрутиться.
Использовал у себя журнал регистрации протоколов (с результатами) на Google tables. Выгрузка информации о 400 протоколов за неделю и пакетная загрузка во ФГИС занимала минут 10. В общем все работало замечательно 3 года, тем более, что все испытания - это прямые измерения проводимые в разных городах и это был единственный вариант организовать согласованную удаленную работу большого количества сотрудников.

Но в целом построить гибкую и удобную систему, которая бы еще и удовлетворяла требованиям
a) быть защищена(ы) от несанкционированного доступа;
b) быть защищена(ы) от искажения или потери данных;

очень не просто, тем более что защищенность от НСД понятие растяжимое - от обычного пароля на вход, до дорогих и сложных систем IDS/IPS.

[Пользователь удалён 3307]

b) быть защищена(ы) от искажения или потери данных;

Кстати в оригинальном ГОСТ'е по информационной безопасности ГОСТ Р ИСО/МЭК 27001-2006 речь идет о
"конфиденциальность, целостность и доступность". Защита от искажения - термин лукавый, ибо непонятно что считать искажением - повреждение носителя информации, сбой ПО или кривые ручки сотрудника, который "похерил" какие-то данные.

[cordek]

Кстати в оригинальном ГОСТ'е по информационной безопасности ГОСТ Р ИСО/МЭК 27001-2006 речь идет о
"конфиденциальность, целостность и доступность". Защита от искажения - термин лукавый, ибо непонятно что считать искажением - повреждение носителя информации, сбой ПО или кривые ручки сотрудника, который "похерил" какие-то данные.

да все вместе

[Пользователь удалён 3307]

да все вместе

Нет не вместе, проверка корректности ввода данных - это одна задача, а защита от потери данных в результате программно-аппаратного сбоя - это другая.

Сдается мне, что здесь та же самая история, что и с коммерческой тайной. Слышали звон... и воткнули в ГОСТ 17025, да еще и творчески отредактировали :)

Что касается обеспечения "конфиденциальности, целостности и доступности" , то на этот счет есть международный стандарт ISO 27001. Там все написано, как и чем эти вещи обеспечиваются. Если все это реализовывать как написано там, то получится примерно как еще одна аккредитация. Любой, кто занимался безопасностью это знает -
"пример подготовки к сертификации ISO 27001"
https://habr.com/ru/company/ruvds/blog/545742/

Здесь же, видимо, подразумевается что-то другое, но что как и в каком объеме - не знает видимо никто, включая саму Росаккредитацию. А посему требования могут варьироваться от "а пароли у Вас стоят", до DLP/IDS/IPS и т.д.
Дело в том, что на Западе к этим требованиям относятся без фанатизма, поэтому и работает все гармонично. У нас же от эксперта можно ожидать чего угодно.

[Olga_Nesterova]

У нас же от эксперта можно ожидать чего угодно.

Ладно уж кошмарить. Как и в случае с коммерческой тайной, можно во всем дойти до абсурда, читая попутные документы. Только экспертам это тоже не надо. Они, чай, не дураки, понимают в какой стране живем и как работают аккредитованные лица. И о нехватке персонала знают как никто. Вот такие туманные вопросы, как правило, подлежат обсуждению и к чему-то в итоге приходим без критических несоответствий.

[Пользователь удалён 3307]

можно во всем дойти до абсурда

А Вы напряжение и частоту в розетке утром измерили? :)))

[MarinaFilm]

А Вы напряжение и частоту в розетке утром измерили? :)))

обязательно! И особенно после внезапных отключений электричества

[Пользователь удалён 3307]

особенно после внезапных отключений электричества

Лучше пропишите в РК про усиленный контроль напряжения в сети при увеличении количества пятен на солнце, можно хоть как-то обосновать :)

[MarinaFilm]

Если при экспертах такое случится - то придется и это прописать.
На прошлом ПК во время демонстрации при эксперте вырубился свет, после включения электричества работу продолжили и тут же получили замечание - почему не проверили напряжение и частоту?
Так что не весь "бред" является бредом. Для кого-то это суровая реальность :-)

[texadmin]

Peacekeeper,
1. Постарайтесь не оскорблять экспертов, я уверен что с каждым Вы лично не знакомы что бы делать поспешные выводы, как минимум их компетентность намного выше чисто объективно, иметь опыт управления несколькими ИЛ, или аккумулировать опыт многих ИЛ при проверках, вещи несравнимы. Также мною были проведены исследования, независимая оценка наших экспертов 5 из 5, и не коррелирует с общей оценкой всей системы, корреляции 0,3 (если Вы понимаете о чём я). И к тому же уровень доверия к ним немного растёт, и это заметим в условиях что они не являются жданными гостями.
2. По поводу что же является целостность и доступность, при составлении СМК введите определения что бы иметь предметный разговор, и исходя из определения отстаивайте свою позиции перед экспертами, не обязательно определения должны быть из ГОСТ
Целостность информации — термин означающий, что данные не были изменены (т.е. данные уже имеются), как видите это не относится к ошибочному введению данных оператором, это уже "достоверность информации".
Доступность информации — гарантирующее, что лица имеющие доступ к информации в нужный момент смогут получить доступ.
И кстати Компетентность — могу, хочу, делаю.

[Пользователь удалён 3307]

Я считаю, что невозможно оскорбить экспертов, причем всех сразу :) Оскорбить можно только конкретного эксперта, чего я никогда не делал.
Мои критические замечания относятся к системе, частью которой являются и эксперты. И да, я не толерантен, совсем, и намерен и далее глупость называть глупостью. И тот, кто эту глупость с энтузиазмом внедряет в нашу с Вами жизнь, может прочитать и обидеться, или попробовать подумать - что он делает и зачем. Это его выбор.
Вы же вправе беспощадно удалять мои комментарии, если считаете их оскорбительными для кого-либо. Ваш ресурс - Ваши правила.
Не думаю, что нужно изобретать велосипед, все определения есть в ГОСТ Р ИСО/МЭК 27000-2012:
2.7 доступность (availability): Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
2.9 конфиденциальность (confidentiality): Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов (2.31).
2.25 целостность (integrity): Свойство сохранения правильности и полноты активов (2.3).

Но вопрос совсем не в этом. Вопрос в том, насколько это применимо для аккредитованной Лаборатории, так как это работает у нас...
На мой взгляд - изначальный замысел аккредитации - это исключительно статус Лаборатории, выросшей до уровня, позволяющего организовать у себя функционирование всех этих процессов так, как того требуют стандарты. Он не подразумевает аккредитацию вчера созданной лаборатории, состоящей из полутора землекопов и арендующей комнату в полуподвале :)
И я считаю большой ошибкой чиновников загнать в аккредитацию 90% всех лабораторий под предлогом того, что это эффективный инструмент по контролю за деятельностью "жуликоватого бизнеса". Т.е. это опять таки любимое занятие чиновника - перевалить свою работу на кого-то и "умыть руки". В результате и появляются убогие симуляции большинства процессов, ибо ничего другого такие лаборатории выдать не могут. Ну не применимо к такой лаборатории понятие "информационная безопасность - Свойство информации сохранять конфиденциальность, целостность и доступность.", так же как невозможно на даче построить самолет :) т.е. что-то летающее конечно можно, но самолетом это назвать сложно.

При этом одним Лабораториям выдают вот такое -
Персонал испытательной лаборатории
"нет "понимания целевого назначения данного процесса [мониторинга] для установления разрыва между имеющейся компетентностью и надлежащей у каждого работника, для того чтобы предпринимать своевременные действия по сохранению уровня компетентности работников"" (однозначно перл!)

и параллельно годами существуют вот такие Лаборатории -
"Мнение форумчан - я идеалист или это обычное дело"
Мнение форумчан - я идеалист или это обычное дело

Верните аккредитации исходный смысл и все станет на свои места.

[texadmin]

Ну вот видите нашли определения, на основе их и разрабатывайте процедуры, с ссылками, кто поспорит?

И да, я не толерантен, совсем, и намерен и далее глупость называть глупостью

Зачем же так, лучше наличие закона чем его отсутствие, и нет ничего плохого в 17025. Должен быть персонал, должно быть оборудование, в требованиях 17025, всего то страниц 20 текста. Если протоколы можно будет делать на коленке по телефону, стоимость будет рублей 300, а вместо 6и ИЛ, 3. А с таким как сейчас геморроем 3000 руб, разве не так рыночек работает? РА же отчитывалось ИЛ стало меньше, а Вы я так понимаю в лодке.

[cordek]

Здесь же, видимо, подразумевается что-то другое, но что как и в каком объеме - не знает видимо никто, включая саму Росаккредитацию. А посему требования могут варьироваться от "а пароли у Вас стоят", до DLP/IDS/IPS и т.д.
Дело в том, что на Западе к этим требованиям относятся без фанатизма, поэтому и работает все гармонично. У нас же от эксперта можно ожидать чего угодно.

Во первых сам ИСО 17025 не ссылается на ИСО 27001, то же самое относится и к ИСО 9001.
Таким образом декларирование работы лаборатории по ИСО 17025 не подразумевает необходимость работать по ИСО 27001 и сертифицироваться на этот ИСО.
В ИСО 17025 есть определения и есть определения в ИСО 9001 (ссылочный). Все остальные слова мы можем (имеем право) трактовать по общеупотребимым значениям с оглядкой на разъяснения аккредитующего органа и/или ILAC, APLAC и APAC (поскольку наш аккредитующий орган подписал документы о взаимопризнании).
Если вы обеспечиваете требования ИСО 27001, можете их прописать.

Если же вы считаете, что к каждому слову нужно находит определение из стандартов ИСО, то пожалуйста
"6.4.3 Лаборатория должна иметь процедуры обращения с оборудованием, его транспортировки, хранения, эксплуатации и планового обслуживания в целях обеспечения надлежащего функционирования и предотвращения загрязнения или повреждения."

ИСО 17359:2011* «Контроль состояния и диагностика машин. Общее руководство» (ISO 17359:2011 «Condition
monitoring and diagnostics of machines - General guidelines», IDT).
ИСО/ТО 12100-1-92 "Безопасность оборудования. Основные понятия, общие принципы конструирования. Часть 1. Основная терминология, методология"

И давайте соответствовать дружно, сертификаты получать. Хотя понятно, что это процедуры несоответствующие по масштабу и важности. В конце концов теперь есть риск-ориентированный подход и не надо самому все доводить до маразма.

[Olga_Nesterova]

не надо самому все доводить до маразма

Лучше и не скажешь.

[Пользователь удалён 3307]

Должен быть персонал, должно быть оборудование

Лаборатории существуют уже несколько веков, и всегда в них были и оборудование и персонал :))) Задолго до появления ГОСТ 17025.
Смысл этого ГОСТа совсем не в том, чтобы объяснить нам, что в лаборатории должно быть оборудование :)
Его смысл в стандартизации Лабораторий. В нем дается перечень правил, соблюдение которых как бы обеспечивает качество результатов.

И да, проблема не в ГОСТе, а в том как его применять. Как и любой инструмент - в умелых руках он может творить чудеса, а в не умелых приносит одни проблемы :)

[Пользователь удалён 3307]

надо самому все доводить до маразма

Ой, да што Вы говорите!!!

И вот это конечно же лучшая иллюстрация к Вашим словам -
"Персонал испытательной лаборатории
"нет "понимания целевого назначения данного процесса [мониторинга] для установления разрыва между имеющейся компетентностью и надлежащей у каждого работника, для того чтобы предпринимать своевременные действия по сохранению уровня компетентности работников""
Сейчас Лаборатория нагородит вокруг этого замечания кучу правил с которыми потом нужно будет жить.
И таких Лабораторий я видел множество, которых эксперты загоняли своими замечаниями в такое нагромождение правил и документов, в которых не то что испытания проводить, просто существовать сложно :)))

[Гость]

И вот это конечно же лучшая иллюстрация к Вашим словам -

Мы не знаем что там произошло, может сотрудники не бе не ме, и даже не представляют что такое аккредитованная ИЛ (такое встречается), тогда эксперт ещё по божеский поступил. Я например уверен в своих знаниях, и никто мне такие замечания не напишет.

[Гость]

Мы не знаем что там произошло

Ну да, не знаем...
Мне лично эксперт на аккредитации задвинул - а если у Вас сорока через окошко второй экземпляр протокола утащит? :)))
В результате печатаем 2 экземпляра протокола в бумажном виде, и еще подписываем протокол ЭЦП в электронном виде, который потом копируется в резервную копию, а потом в архив.
Всего и делов-то :)))

не надо самому все доводить до маразма

ную.

Это конечно же я сам себя до этого маразма довел...

[cordek]

Это конечно же я сам себя до этого маразма довел.

А у нас окна закрыты сеткой. Вот и всё.
А протоколы из лимс формируются и там сохраняются.

[texadmin]

Мне лично эксперт на аккредитации задвинул - а если у Вас сорока через окошко второй экземпляр протокола утащит? :)))

Эта сорока по всей стране рабочие журналы таскает , слышал, и не раз, вместе с экспертами приезжает.
Я не защищаю экспертное сообщество, я пытаюсь быть объективным.

Давайте попробуем поразмышлять (не руководство к действию).
Потеря рабочего журнала, или второго экземпляра протоколов - риски.
17025 Лаборатория несет ответственность за принятие решения о том, какие риски и возможности необходимо рассматривать.
И никакой эксперт не может заставить делать резервные копии именно этих записей.

Ну ладно решили сканировать и подписывать ЭЦП вторые экземпляры, по итогу у Вас получается СКАН протокола с ЭЦП, а не протокол. Посмотрите как правильно применять ЭЦП. Как пример в ФГИС скидываем, либо протокол подписанный ЭЦП, или скан, а не скан с ЭЦП.
Или другой пример, примут ли у Вас эксперты сканированный диплом подписанный ЭЦП?

Вспомним какой идеологии придерживались разработчики, насколько я знаю, что все должны перемещаться в электронный документооборот.
Примечание 1 - В настоящем стандарте "системы управления информацией лаборатории" включают в себя управление данными и информацией, содержащимися как в компьютеризированных, так и в некомпьютеризированных системах. Некоторые из требований могут быть в большей степени применимы к компьютеризированным системам, чем к некомпьютеризированным системам.

Ну и дальше всё клеится, один протокол бумажный, один у себя электронный подписанный ЭЦП, его и отправляем в ФГИС. Резервное копирование, уже не проблема, выдать дубликат протокола тоже. Либо файл подписанный ЭЦП, или распечатаны файл с картинкой ЭЦП, с надписью, копия электронного документа, оригинал там то, роспись, печать.

И в итоге, это не эксперты мудрят, это понимания нам всем не хватает.

А у нас окна закрыты сеткой. Вот и всё.

И нет объективных причин не делать резервные копии электронных документов ("протоколов", "рабочих записей"), так как риск их потери высок, а проблемы большие.

[Olga_Nesterova]

Вообще резервное копирование протоколов считаю излишним. При наличии стратегического запаса первичных данных любой протокол восстанавливается за 5 минут.

[cordek]

А у них нет других записей, сразу в протокол пишут.
А по честному, не защищая экспертное сообщество, скажу, что в лабораториях многие просто не могут объяснить эксперту свою СМК, поэтому у них и сороки таскают протокол.
Многие вопросы я с сотрудниками проговаривал, чтобы послушать их ответы, так вот в первые три-четыре раза многие вообще и двух слов связать не могут. А когда ВКС был, так опять ступор перед камерой, тоже приходилось тренироваться.
А всего-то нужно рассказать, что копируем то-то, храним так-то, востанавливаем так-то. И это касается любого процесса, если вам так проще распишите процессы стрелочками. А не можете сотрудниками словами объяснить, так записываете видео процесса и показываете.

[Пользователь удалён 3307]

распечатаны файл с картинкой ЭЦП, с надписью, копия электронного документа, оригинал там то, роспись, печать

И ромашки на полях :)

[Пользователь удалён 3307]

Я не защищаю экспертное сообщество, я пытаюсь быть объективным.
...
И в итоге, это не эксперты мудрят, это понимания нам всем не хватает.

Оно и видно... осталось посыпать голову пеплом и порвать на себе рубаху :)

[Пользователь удалён 3307]

в лабораториях многие просто не могут объяснить эксперту свою СМК, поэтому у них и сороки таскают протокол

Я думаю ни Вы, ни я тоже не сможем объяснить всю свою "СМК"... ибо ни один сумасшедший не держит в голове 100 страничный документ :)

Как-то наблюдал за процессом внедрения системы документооборота на большом заводе. Это только хождение документов, никаких испытаний. Была создана целая рабочая группа, и не маленькая. И люди далеко не тупые. Так вот - группа не смогла даже ТЗ выдать разработчику.
И уже после внедрения пару лет дотачивали эту систему. И все правила и маршруты в этой системе не знал никто.

Самое логичное решение - это государственная ФГИС. Лаборатория и так передает кучу данных об испытаниях, включая протоколы. Было бы логично формировать протоколы прямо во ФГИС, как это сделано например в Аргус-Лаборатория. Одновременно решаются вопросы и резервирования, и архивирования...

Ну и конечно же сороки протоколы таскают только в головах экспертов, и никогда в Лабораториях. И не нужно натягивать сову на глобус...

[cordek]

Ой не надо про Аргус-лабораторию, я в ней работал и могу сказать, что она на втором месте с конца после фгис Росаккредитации