Получите образец ТУ или ГОСТа за 3 минуты

Получите ТУ или ГОСТ на почту за 4 минуты

ГОСТ Р ИСО 28004-1-2019 Системы менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 1. Общие принципы

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ГОСТР

ИСО 28004-1—

2019

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 1

Общие принципы

(ISO 28004-1:2007/Сог.1:2012, ЮТ)

Издание официальное

Москва

Стандартинформ

2020

Предисловие

1    ПОДГОТОВЛЕН Автономной некоммерческой организацией «Международный менеджмент, качество, сертификация» (АНО «ММКС») совместно с Обществом с ограниченной ответственностью «Палекс» (ООО «Палекс»), Ассоциацией по сертификации «Русский Регистр» на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. № 1436-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 28004-1:2007/Изм.1:2012 «Системы менеджмента безопасности цепи поставок — Руководство по внедрению ИСО 28000 — Часть 1. Общие принципы» (ISO 28004-1:2007/Cor.1:2012 «Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 1: General principles». IDT), включая изменения и техническую поправку Сог.1:2012

5    ВЗАМЕН ГОСТ Р 53661-2009 (ИСО 28004:2006)

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации» Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© ISO. 2007 — Все права сохраняются © Стандартинформ. оформление. 2020

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

При внесении изменений в политику и систему менеджмента безопасности организации они должны быть доведены до сведения всех заинтересованных сторон.

е) Типовые выходные данные/результаты

Типовые выходные данные/результаты являются всеобъемлющей, кратко изложенной, понятной политикой в области безопасности, которая сообщается всей организации и заинтересованным сторонам. при необходимости

4.3 Оценка рисков безопасности и планирование

Политика

Аудит

Обратная связь по итогам оценки производительности

Внедрение и эксплуатация

Рисунок 3 — Планирование

4.3.1 Оценка риска безопасности

а) Требования ИСО 28000

Организация должна устанавливать и поддерживать в рабочем состоянии процедуры постоянной идентификации и оценки угроз безопасности и рисков, связанных с менеджментом безопасности, а также определения и реализации необходимых мер управления. Методы идентификации, оценки и управления угрозами безопасности и рисками должны соответствовать характеру и масштабу операций. Эта оценка должна учитывать вероятность события и все его последствия, включая:

a)    угрозы и риски физического отказа, такие как функциональный сбой, случайный ущерб, злонамеренный ущерб, террористические или преступные действия;

b)    угрозы и риски операционного характера, включая контроль безопасности, человеческий фактор и другие действия, которые влияют на результаты деятельности, состояние или безопасность организации;

c)    события природного характера (штормы, наводнения и т. д.), которые могут сделать мероприятия по безопасности и технические средства охраны неэффективными;

d)    внешние факторы, находящиеся под контролем организации, такие как сбои в поставляемом извне оборудовании и услугах;

e)    угрозы и риски заинтересованных сторон, такие как несоблюдение нормативных требований или ущерб репутации или бренду;

О проектирование и установка охранного оборудования, включая замену, техническое обслуживание и т. д.;

д)    управление информацией и данными, связь;

h) угрозы непрерывности деятельности организации.

Организация должна обеспечить, чтобы результаты этих оценок и влияние этих мер управления учитывались и. при необходимости, вносили вклад:

a)    в цели и целевые показатели менеджмента безопасности;

b)    программы менеджмента безопасности;

c)    определение требований к проектированию, спецификации и установке;

d)    определение адекватных ресурсов, включая штатное расписание;

е)    определение потребностей в обучении и навыках (см. 4.4.2);

О разработку оперативного управления (см. 4 4.6);

д) общую структуру менеджмента угроз и рисков организации.

Организация должна документировать и поддерживать вышеуказанную информацию в актуальном состоянии.

Методология идентификации угроз и рисков организации должна:

a)    быть выбрана в соответствии с областью применения, спецификой деятельности и сроками, чтобы гарантировать проактивный, а не реактивный характер действий;

b)    включать сбор информации, связанной с угрозами и рисками безопасности;

c)    предусматривать классификацию путей выявления тех угроз и рисков, которых следует избегать, устранять или которыми необходимо управлять;

d)    обеспечить мониторинг действий для обеспечения эффективности и своевременности их реализации (см. 4.5.1).

Ь) Намерения

После осуществления процесса идентификации угроз, оценки рисков и менеджмента рисков организация должна иметь общее представление о значительном риске, угрозах безопасности и уязвимостях в своей области деятельности.

Процессы идентификации угроз, оценки риска и менеджмента риска и их результаты должны стать основой всей системы безопасности. Следует обратить особое внимание на то. чтобы взаимосвязи между процессами идентификации угроз безопасности, оценки риска, менеджмента риска и другими элементами системы менеджмента безопасности были четко проработаны и были очевидными.

Целью настоящего стандарта является установление принципов, по которым организация может определить, являются ли подходящими и достаточными для работы процессы идентификации угроз, оценки рисков и управления рисками. Выдача рекомендации относительно того, каким образом следует осуществить эти действия, не является целью настоящего стандарта.

Использование организацией процессов идентификации угроз безопасности, оценки риска и управления рисками должно способствовать постоянному и своевременному выявлению, оценке и контролю своих рисков безопасности.

Во всех случаях следует учитывать возможность стандартных и нестандартных операций внутри организации и возникновения чрезвычайных ситуаций.

Сложность процессов идентификации угроз безопасности, оценки рисков менеджмента риска в значительной степени зависит от таких факторов, как размер организации, ситуация на рабочих местах, характер, сложность и значимость угроз безопасности. Цель ИСО 28000:2007 (см. п. 4.3.1) заключается в том. чтобы небольшие организации с низким риском для безопасности не проводили сложную идентификацию угроз безопасности, оценку риска, управления рисками и масштабные учения.

При внедрении процессов идентификации угроз, оценки риска и менеджмента риска организация должна принимать во внимание затраты и время на выполнение данных процессов, а также доступность достоверных данных.

Информация, уже разработанная для нормативных или других целей, может быть использована в регулировании этих процессов. Организация также может принимать во внимание степень существующего управления практического контроля рассматриваемой угрозой безопасности. С этой целью следует определить масштаб угрозы безопасности, учитывая входные и выходные данные (результаты). связанные с ее текущими и прежними действиями, процессами, продуктами и/или услугами организации.

Оценку риска безопасности должен проводить квалифицированный персонал с использованием признанных документированных методик.

Организация без существующей системы менеджмента безопасности может руководствоваться своей текущей позицией в отношении рисков безопасности посредством оценки риска. С целью реализации этой позиции должны быть рассмотрены угрозы безопасности, с которыми сталкивается организация. в качестве основы для создания системы менеджмента безопасности. Организация должна рассмотреть возможность включения (но не ограничиваясь этим) следующих пунктов при проведении первого анализа:

–    нормативно-законодательные требования;

–    идентификация угроз безопасности, с которыми сталкивается организация;

–    идентификация угроз безопасности и информации о рисках в соответствующих организациях (полиция, службы безопасности);

–    изучение всех существующих практик, процессов и процедур менеджмента безопасности;

–    оценка обратной связи по результатам расследований предыдущих инцидентов и чрезвычайных ситуаций.

Целесообразный подход к оценке риска может включать чек-листы (контрольные списки), собеседования. непосредственные инспекции и измерения, результаты предыдущих аудитов системы менеджмента или другие проверки в зависимости от характера деятельности организации. Данные действия следует осуществлять по документированной и воспроизводимой методологии.

Необходимо отметить, что первичный обзор рекомендуется для создания базового направления, но он не заменяет реализацию структурированного систематического подхода, приведенного в 4.3.1.

c)    Типовые входные данные

Типовые входные данные включают следующие аспекты:

–    нормативно-законодательные и другие требования по безопасности (см. 4.3.2);

–    политику в области безопасности (см 4.2);

–    записи об инцидентах;

–    несоответствия (см. 4,5.3);

–    результаты аудитов системы менеджмента безопасности (см. 4.5.5);

–    обмен информацией с персоналом и другими заинтересованными сторонами (см. 4.4.3);

–    информацию, полученную от привлеченных консультантов по безопасности, анализ и улучшение деятельности на рабочих местах (эта информация может иметь проактивный и реактивный характер реагирования);

–    информацию о наиболее эффективных методиках, типичных случаях в отношении рисков безопасности организации, инцидентах и чрезвычайных ситуациях в других организациях;

–    отраслевые стандарты;

–    предписания со стороны федеральных органов;

–    информацию об объектах, средствах организации, процессах, деятельности организации, включая:

–    детали изменений процедур,

–    планы расположения предприятия.

–    руководства по процессам и операционные процедуры.

–    данные по безопасности,

–    данные мониторинга (см. 4.5.1).

d)    Процесс

1) Идентификация угроз, оценка риска и управление рисками

i) Общие положения

Меры по управлению риском должны отражать принцип устранения или снижения до практически достижимого минимального риска безопасности, где это практически осуществимо, либо путем уменьшения вероятности возникновения, либо потенциальной серьезности последствий от инцидента, связанного с безопасностью. Процессы идентификации угроз, оценки рисков и управления рисками являются ключевыми инструментами менеджмента риска.

Процессы идентификации угроз, оценки рисков и управления рисками значительно различаются в разных отраслях — от простых оценок до сложного количественного анализа с внушительной документацией. Организация должна планировать и внедрять такие процессы идентификации угроз, оценки рисков, управления рисками, которые отвечают ее потребностям и ситуациям на рабочем месте и обеспечивают соответствие законодательным требованиям в области безопасности.

Процессы выявления угроз безопасности, оценки рисков и менеджмента риска должны быть позиционированы как проактивные, а не как реактивные меры. т. е должны предшествовать введению новых или пересмотренных действий или процедур. Любое необходимое снижение риска и мероприятия по управлению рисками, которые определены, должны быть внедрены до реализации изменений.

Организация должна обеспечивать надлежащую квалификацию персонала, постоянно актуализировать свою методологию, документацию, данные и записи об идентификации угроз, оценке риска и управлении риском в отношении текущей деятельности, а также расширять их для того, чтобы проанализировать новые события и новые (или измененные) виды деятельности, прежде чем эти нововведения будут реализованы.

Процессы идентификации угроз, оценки рисков и менеджмента риска должны применяться не только к текущим операциям/видам детальности объекта и процедурам, но также к периодическим или случайным видам деятельности/процедурам.

Наряду с учетом рисков безопасности и рисков, связанных с деятельностью, осуществляемой собственным персоналом, организация должна принимать во внимание риски для безопасности и ри-

ски. возникающие в связи с деятельностью подрядчиков и посетителей, а также с использованием продуктов или услуг, предоставляемых ей другими организациями.

10 Процессы

Процессы идентификации угроз, оценки риска и менеджмента риска должны быть документированы и включать следующие элементы:

–    идентификацию угроз безопасности;

–    оценку рисков с применением существующих (или предполагаемых) мероприятий по управлению рисками (с учетом подверженности конкретной угрозе безопасности, вероятности возникновения, сбоев в мероприятиях по управлению, потенциальной серьезности последствий, травм, повреждений и непрерывности работы);

–    оценку приемлемости текущего и остаточного риска;

–    определение необходимых дополнительных мер по управлению риском;

–    оценку того, являются ли мероприятия менеджмента риска достаточными для снижения риска до приемлемого уровня.

Дополнительно процессы должны учитывать следующее:

–    характер, сроки, объем и методологию для любой формы идентификации угроз, оценки рисков и менеджмента риска;

–    применимые нормативно-законодательные требования по безопасности или другие требования;

–    функции и полномочия персонала, ответственного за выполнение процессов;

–    уровень компетентности и потребности в обучении (см. 4.4.2) для персонала, который должен выполнять процессы. В зависимости от характера или типа используемых процессов организации может потребоваться оказание внешних рекомендаций или услуг;

–    информацию, представленную сотрудниками безопасности, относительно проверок и действий по непрерывному улучшению (эти действия могут быть реактивными или проактивными).

Ж) Последующие действия

После реализации процессов идентификации угроз, оценки рисков и менеджмента риска;

–    должны быть четкие доказательства того, что любые корректирующие или предупреждающие действия (см. 4.5.2), определенные как необходимые, отслеживаются на предмет их своевременного завершения. Для этого может потребоваться дальнейшая идентификация угроз и оценка риска для того, чтобы отразить предложенные изменения в мерах по управлению рисками и определить пересмотренные оценки остаточного риска;

–    обратная связь о результатах и ходе выполнения корректирующих или предупреждающих действий должна быть направлена руководству в качестве исходных данных для анализа установления пересмотренных или новых целей по безопасности (см. 4.6);

–    организация должна самостоятельно устанавливать соответствие компетенции персонала, выполняющего конкретные задания по безопасности, тому уровню, который определен процессом оценки риска при осуществлении необходимых мероприятий менеджмента риска;

–    должна быть обратная связь по использованию опыта эксплуатации в будущем вышеперечисленных процессов для внесения поправок в них или в данные, на которых они основаны, если это применимо.

2) Действия после первоначальной идентификации угроз, оценки рисков и менеджмента рисков (см. также 4.6)

Процессы идентификации угроз безопасности, оценки рисков и менеджмента рисков следует пересматривать в заранее установленное время или в тот период, который указан в заявлении о политике безопасности. Допустимо, если заранее установленное время определяется руководством и может являться частью процесса анализа, проводимого со стороны руководства (см. 4.6).

Этот период может варьироваться в зависимости от следующих соображений:

–    характер угрозы безопасности;

–    степень риска;

–    изменения в деятельности организации.

Анализ следует также проводить 8 том случае, если изменения, осуществляемые в организации, ставят под сомнение обоснованность действующих оценок рисков. Такие изменения могут включать в себя следующие элементы:

–    расширение, сокращение, реструктуризация, изменения в обьектах/инфраструктуре или аспектах цепи поставок;

–    перераспределение обязанностей;

–    изменение методов работы или моделей поведения при угрозах безопасности со стороны внешних источников.

е) Типовые выходные данные/результаты

Должны быть разработаны документированные процедуры для следующих элементов:

–    идентификация угроз безопасности;

–    определение рисков, связанных с идентифицированными угрозами. Указание уровня рисков, связанных с каждой угрозой безопасности, и их допустимости;

–    описание или ссылка на мероприятия по мониторингу и управлению рисками (см. 4.4.6 и 4.5.1), особенно тех рисков, которые неприемлемы;

–    цель безопасности и действия по снижению выявленных рисков (см. 4.3.3) и любые последующие действия для мониторинга прогресса в их снижении, при необходимости;

–    определение требований к компетентности и обучению для реализации мероприятий по управлению (см. 4.4.2);

–    необходимые мероприятия по управлению, описанные как элементы управления операциями/ деятельностью системы (4.4.6);

–    записи, генерируемые каждой из вышеупомянутых процедур.

4.3.2 Нормативно-законодательные и другие требования по безопасности

а) Требования ИСО 28000

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры:

a)    по идентификации и обеспечению доступа к применимым нормативно-законодательным и иным требованиям, связанным с угрозой ее безопасности и рисками, которые установлены для организации;

b)    определению того, как данные требования применяются к угрозам и рискам безопасности.

Организация должна поддерживать эту информацию в актуальном состоянии. Организация

должна передавать соответствующую информацию о нормативно-законодательных и иных требованиях своим сотрудникам и другим соответствующим третьим сторонам, включая подрядчиков.

b)    Намерения

Организация должна знать и надлежащим образом реагировать на вводимые нормативно-законодательные и другие требования и доводить до соответствующего персонала данную информацию.

Данное требование 4.3.2 из ИСО 28000:2007 предназначено для повышения осведомленности и понимания нормативно-законодательных требований и обязательств, однако не является обязанностью по созданию библиотек юридических или иных документов, потребность в которых минимальна.

c)    Типовые входные данные

Типовые входные данные включают в себя следующие позиции:

–    сведения о цепи поставок организации;

–    результаты идентификации угроз безопасности, оценки рисков и менеджмента риска (см. 4.3.1);

–    лучшие практики (например, кодексы, рекомендации отраслевых ассоциаций);

–    законодательные требования, правительственные кодексы, надлежащие методики и правила межправительственных и торговых ассоциаций;

–    список источников информации;

–    национальные, региональные или международные стандарты;

–    требования по внутренней работе организации;

–    требования заинтересованных сторон;

–    процессы управления динамикой цепи поставок.

d)    Процесс

Должны быть идентифицированы существующие нормативно-законодательные и другие требования в области безопасности. Организация должна определить наиболее соответствующие средства для доступа и сохранения информации, включая средства медиаподдержки (например, бумага, компакт-диск, дисковод. Интернет), а также оценить, какие и где именно требования применяются и кому предназначены.

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают следующие аспекты:

–    процедуры идентификации и оценки информации и ее поддержания в актуальном состоянии;

–    идентификация требований, которые применимы, и где именно они применимы (может быть в виде реестров);

–    требования (фактический текст, резюме или анализ, где это уместно), находящиеся на местах, определенных организацией;

–    процедура мониторинга новых законодательных требований по безопасности.

4.3.3 Цели в области менеджмента безопасности

Организация должна разработать, внедрить и поддерживать в рабочем состоянии документированные цепи менеджмента безопасности для соответствующих функций и уровней управления внутри организации. Цели должны быть определены и согласованы с политикой. При установлении и пересмотре своих целей организация должна учитывать;

a)    действующие нормативно-законодательные требования по безопасности;

b)    угрозы и риски, связанные с безопасностью;

c)    технологические и другие факторы;

d)    финансовые, операционные и другие требования организации;

e)    мнения соответствующих заинтересованных сторон.

Цели менеджмента безопасности должны:

a)    соответствовать обязательствам организации по постоянному улучшению;

b)    быть измеримыми (где это возможно);

c)    быть доведены до сведения всех соответствующих сотрудников и третьих лиц. включая подрядчиков, с целью обеспечения их осведомленности об индивидуальных обязанностях;

d)    периодически пересматриваться для обеспечения актуальности и соответствия политике менеджмента безопасности. При необходимости цели менеджмента безопасности должны быть соответствующим образом изменены.

а) Требования ИСО 28000

b)    Намерения

Необходимо обеспечить, чтобы во всей организации (где это практически возможно) были определены измеримые цели безопасности в соответствии с политикой безопасности.

c)    Типовые входные данные

Типовые входные данные включают следующие аспекты:

–    политика и цели, относящиеся к деятельности организации в целом;

–    политика безопасности, включая обязательства по постоянному улучшению (см. 4.2);

–    результаты идентификации угроз безопасности, оценки рисков и менеджмента риска (см. 4.3.1);

–    нормативно-законодательные и другие требования (см. 4.3.2);

–    технологические варианты;

–    финансовые, операционные и бизнес-требования;

–    проблемы сотрудников и заинтересованных сторон (см. 4.4.3);

–    информация, поступающая от сотрудников по безопасности, относительно оценки и действий по улучшению ситуации на рабочем месте (эти действия могут быть реактивными или проактивными по своему характеру);

–    анализ установленных целей безопасности;

–    записи о выявленных несоответствиях безопасности, инцидентах и материальном ущербе:

–    результаты анализа со стороны руководства (см. 4,6).

d)    Процесс

Используя входные данные, руководство организации должно идентифицировать, разработать и определить приоритеты по целям в области безопасности.

При установлении целей по безопасности особое внимание следует уделять информации или данным, поступающим от тех лиц. которых это может персонально касаться, в связи с тем. что подобные обращения могут помочь обеспечить их разумность и более широкое признание. Также полезно рассмотреть информацию или данные, полученные от источника, внешнего по отношению к организации. например: от подрядчиков, поставщиков, деловых партнеров, полиции и спецслужб или заинтересованных сторон.

Совещания соответствующих уровней руководства управления для разработки целей по безопасности следует проводить регулярно (например, на ежегодной основе). В некоторых организациях при необходимости допустимо документировать процесс разработки целей по безопасности.

Цели по безопасности должны охватывать как проблемы корпоративной безопасности в целом, так и проблемы безопасности, специфичные для цепи поставок, отдельных функций и уровней в организации.

Для каждой цели по безопасности должны быть определены измеримые показатели, при наличии возможности, позволяющие контролировать выполнение цели по безопасности.

Цели по безопасности должны быть разумными и достижимыми для организации, а также позволяющими осуществлять их контроль, направленный на программу производственной деятельности. В организации должен быть график выполнения для реализации каждой цели по безопасности.

Цели по безопасности могут быть разбиты на отдельные подцели в зависимости от размера организации. сложности цели безопасности и времени ее достижения Должны быть четкие связи между различными уровнями целей и измеримыми показателями по безопасности.

Примеры целей безопасности по безопасности включают в себя:

–    снижение уровня риска;

–    внедрение дополнительных функций в систему менеджмента безопасности;

–    шаги, предпринятые для улучшения существующих объектов;

–    устранение или уменьшение частоты конкретного инцидента.

Цели по безопасности должны быть доведены до соответствующего персонала [например, посредством обучения или групповых инструктажей (см. 4.4.2)] и подробно изложены через программы менеджмента безопасности (см. 4.3.4).

е) Типовые выходные данные/результаты

Типовые выходные данные/результаты включают документированные, измеримые (где это практически реализуемо) цели по безопасности относительно каждой функции в организации.

4.3.4 Целевые показатели в области менеджмента безопасности

Организация должна установить, внедрить и поддерживать в рабочем состоянии документированные целевые показатели менеджмента безопасности, соответствующие потребностям организации. Целевые показатели должны быть развернуты и соответствовать целям менеджмента безопасности.

Эти целевые показатели должны быть:

a)    развернутыми, конкретными, измеримыми, достижимыми, реалистичными и ограниченными во времени (где это практически осуществимо) (SMART):

b)    доведенными до сведения всех соответствующих сотрудников и третьих лиц. включая подрядчиков. с целью обеспечения их осведомленности об индивидуальных обязанностях;

c)    периодически пересматриваемыми, чтобы убедиться в том. что они остаются актуальными и соответствуют целям менеджмента безопасности. При необходимости целевые показатели должны быть соответствующим образом изменены.

Требования ИСО 28000

b)    Намерения

Целевые показатели устанавливаются для достижения целей организации в пределах ограниченного промежутка времени.

c)    Типовые входные данные

Типовые входные данные включают в себя:

–    политику и цели, относящиеся к деятельности организации в целом;

–    политику безопасности, включая обязательства по постоянному улучшению (см. 4.2);

–    результаты идентификации угроз, оценки риска и менеджмента риска (см. 4.3.1);

–    нормативно-законодательные требования (см. 4.3.2);

–    технологические варианты;

–    финансовые, операционные требования и бизнес-требования;

–    проблемы сотрудников и заинтересованных сторон (см. 4.4.3);

–    информацию, полученную от сотрудников, по безопасности, оценке и улучшению работы на местах (эта деятельность может быть реактивной и проактивной по своему характеру);

–    анализ разработанных целей по безопасности;

–    записи о прошлых несоответствиях и инцидентах, связанных с безопасностью;

–    результаты анализа со стороны руководства (см. 4.6).

d)    Процесс

Процесс определен в программах безопасности и представляет собой достижимые целевые показатели для выполнения целей.

Используя входные данные организации, соответствующее руководство должно определить и установить приоритеты для достижения целевых показателей. Целевые показатели должны быть конкретными, основанными на временной шкале и измеримыми.

При установлении целевых показателей безопасности особое внимание следует уделять информации или данным, полученным от тех лиц. у кого с наибольшей вероятностью будут персональные целевые показатели безопасности, так как это способствует разумности установления показателей и облегчению их восприятия в организации. Также полезно рассмотреть входные данные, поступающие от внешних источников, например: от подрядчиков, поставщиков, деловых партнеров, представителей федеральных органов или заинтересованных сторон.

Совещания соответствующих уровней руководства по разработке целевых показателей безопасности следует проводить после изменения целей по безопасности. В некоторых организациях допускается документировать процесс установления целевых показателей безопасности.

Целевые показатели безопасности должны охватывать как проблемы корпоративной безопасности в целом, так и проблемы безопасности, характерные для цепи поставок, отдельных функций и определенных уровней в организации.

Для каждого целевого показателя должен быть разработан конкретный количественный индикатор. Этот индикатор должен обеспечивать возможность мониторинга выполнения целевых показателей безопасности.

Целевые показатели безопасности должны быть разумными и достижимыми для организации, а также позволяющими осуществлять их контроль, направленный на производственную деятельность. Следует установить временную шкалу для реализации каждого целевого показателя по безопасности.

Целевые показатели по безопасности могут быть подразделены на отдельные подпоказатели в зависимости от размера организации, сложности целевого показателя безопасности и временной шкалы. Должна быть установлена четкая взаимосвязь между различными уровнями целей и целевых показателей.

Примеры типов целей безопасности включают в себя:

–    снижение уровня риска в течение определенного периода времени;

–    внедрение конкретных новых технологий для снижения риска или смягчения воздействия угроз безопасности;

–    конкретные шаги, предпринимаемые для улучшения существующих объектов в конкретные сроки;

–    устранение или уменьшение частоты возникновения конкретного инцидента.

Целевые показатели безопасности должны быть доведены до соответствующего персонала (например, посредством обучения или групповых инструктажей; см. 4.4.2) и подробно изложены в программе менеджмента безопасности (см. 4.3.4).

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают в себя документированные, измеримые, где это практически возможно, целевые показатели безопасности относительно каждой функции в организации.

4.3.5 Программы менеджмента безопасности

а) Требования ИСО 28000

Организация должна установить, внедрить и поддерживать в рабочем состоянии программы менеджмента безопасности для достижения своих целей и выполнения целевых показателей.

Программы должны быть оптимизированы, расставлены по приоритетам, и организация должна обеспечить результативную и экономически эффективную реализацию этих программ.

Программы должны включать документацию, которая описывает:

а) распределение ответственности и полномочий для достижения целей и целевых показателей менеджмента безопасности;

Ь) средства и сроки достижения целей и целевых показателей менеджмента безопасности. Программы менеджмента безопасности должны периодически пересматриваться на предмет их пригодности для обеспечения эффективности и соответствия целям и задачам. При необходимости в программы должны быть внесены соответствующие изменения.

b)    Намерения

Программы менеджмента безопасности должны быть напрямую связаны с целями и целевыми показателями. В каждой программе должно быть описано, как организация преобразует свои цепи и обязательства в политике в определенные действия для достижения цели безопасности и целевых показателей. Программа потребует разработки стратегий и планов действий, которые должны быть документированы и доведены до сведения персонала. Прогресс реализации программы в отношении достижения заявленной цели должен находиться под контролем, анализироваться и документально оформляться. Стратегия программы сдерживания и минимизации последствий должна быть основана на результатах идентификации угроз и опасностей, оценке рисков (например, анализ воздействия, оценка программы, оперативный опыт).

c)    Типовые входные данные

Типовые входные данные включают в себя следующие элементы:

–    цели и целевые показатели по безопасности;

–    нормативно-законодательные и другие требования;

–    результаты идентификации угроз безопасности, оценки рисков и менеджмента рисков;

–    сведения о деятельности организации;

–    информация, полученная на основе выполненных работ по обеспечению безопасности, проверке и улучшению деятельности работников на рабочем месте (эти действия могут быть реактивными или проактивными по своей природе);

–    анализ реальных возможностей с учетом новых различных или действующих технологических вариантов;

–    действия по постоянному улучшению деятельности;

–    ресурсы, необходимые для достижения целей безопасности организации.

d)    Процесс

Программы менеджмента безопасности должны определять:

–    ответственность за достижение целей;

–    средства для достижения целей;

–    временные рамки достижения целей.

В рамках программы следует рассмотреть возможность снижения угрозы с помощью методологических и технологических вариантов и опыта других организаций, принимая во внимание финансовые, операционные и бизнес-требования, а также мнения партнеров и заинтересованных сторон.

В программе должно быть предусмотрено распределение соответствующей ответственности и полномочий относительно каждой задачи и определены временные рамки для каждого отдельного задания для соответствия общей шкале времени установленной цели безопасности. Следует также предусмотреть распределение необходимых ресурсов из наиболее адекватных источников (например, финансовые, человеческие, оборудование, логистика) для каждого задания.

В тех случаях, когда предполагается внесение значительных изменений или модификаций в методах работы, процессах, оборудовании или средствах, в программе должны быть предусмотрены учения по идентификации новых угроз безопасности и оценке рисков. В курсе программы управления безопасностью следует уделить внимание консультациям с соответствующим персоналом относительно ожидаемых изменений.

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают разработанные и документированные программы менеджмента безопасности для достижения целей и целевых показателей (см. 4.3.3 и 4.3.4).

4.4 Внедрение и функционирование

Планирование

Аудит

Обратная связь по итогам оценки производительности

и корректирующие действия

Рисунок 4 — Внедрение и функционирование

4.4.1 Структура, ответственность и полномочия по менеджменту безопасности

а) Требования ИСО 28000

Для выполнения политики, целей, целевых показателей и программ менеджмента безопасности организация должна установить и поддерживать организационную структуру, распределение ответственности и полномочий.

Данные организационная структура, ответственность и полномочия должны быть определены, задокументированы и доведены до сведения лиц. ответственных за внедрение и поддержание системы в рабочем состоянии.

Высшее руководство должно предоставить свидетельства своей приверженности разработке и внедрению системы (процессов) менеджмента безопасности и постоянному повышению ее эффективности за счет:

a)    назначения представителя высшего руководства, который (независимо от других обязанностей) несет ответственность за общее проектирование, обслуживание, документирование и улучшение системы менеджмента безопасности организации;

b)    назначения представителя (представителей) руководства с необходимыми полномочиями для обеспечения реализации целей и целевых показателей;

c)    выявления и мониторинга требований и ожиданий заинтересованных сторон организации и принятие надлежащих и своевременных мер для управления этими ожиданиями;

d)    обеспечения необходимыми ресурсами;

e)    учета негативного влияния, которое могут оказать политика менеджмента в области безопасности, цели, целевые показатели, программы и т. д. на другие аспекты деятельности организации;

0 обеспечения того, чтобы любые программы по безопасности, созданные в любом подразделении организации, дополняли систему менеджмента безопасности организации;

д) информирования организации о важности соблюдения требований управления безопасностью и выполнения политики;

h)    обеспечения того, чтобы угрозы и риски, связанные с безопасностью, оценивались и включались в систему менеджмента риска и угроз организации, если это применимо;

i)    обеспечения жизнеспособности целей, целевых показателей и программ менеджмента безопасности.

b)    Намерения

Для облегчения эффективного управления безопасностью необходимо, чтобы роли, обязанности и полномочия были определены, задокументированы и доведены до соответствующего персонала. Только ответственный за безопасность персонал (см. определение в разделе 3) должен быть задействован для реализации критических задач безопасности. Должны быть предоставлены адекватные источники ресурсов для четкого выполнения заданий по безопасности

c)    Типовые входные данные

Типовые входные данные включают следующее:

– организационную структуру;

Содержание

1    Область применения………………………………………………………..1

2    Нормативные ссылки………………………………………………………..2

3    Термины, определения и сокращения……………………………………………2

4    Требования к системе менеджмента безопасности цепи поставок……………………….3

4.1    Общие требования………………………………………………………4

4.2    Политика в области менеджмента безопасности…………………………………4

4.3    Оценка рисков безопасности и планирование…………………………………..7

4.4    Внедрение и функционирование……………………………………………16

4.5    Контроль и корректирующие действия……………………………………….26

4.6    Анализ со стороны руководства и постоянное улучшение…………………………37

Приложение А (справочное) Соответствие между стандартами ИСО 28000:2007. ИСО 14001:2004

и ИСО 9001:2000 ………………………………………………..40

Библиография……………………………………………………………..44

–    идентификацию рисков, оценку рисков и результаты управления рисками;

–    цели, целевые показатели и программы по безопасности;

–    нормативные и законодательные требования;

–    должностные инструкции;

–    перечень квалифицированных сотрудников службы безопасности, которые прошли и/или должны пройти оценку благонадежности.

d) Процесс

1)    Обзор

Должны быть определены обязанности и полномочия тех лиц, на которых возложена ответственность в системе менеджмента безопасности, включая четкое определение обязанностей на пересечении различных функций.

Такие определения могут, в частности, потребоваться для следующих категорий сотрудников:

–    высшее руководство;

–    руководители среднего звена на всех уровнях организации;

–    ответственные за подрядчиков и посетителей, которые имеют доступ к помещению и его работникам;

–    ответственные за обучение по безопасности;

–    ответственные за оборудование и операции, которые имеют решающее значение для безопасности;

–    сотрудники, прошедшие оценку благонадежности, или другие специалисты по безопасности внутри организации;

–    сотрудники службы безопасности, предоставляющие консультации на проводимых форумах

Однако организация должна доводить до сведения сотрудников информацию и непреложность

ее реализации относительно того, что безопасность — это ответственность каждого сотрудника организации. а не только ответственность тех. кто наделен определенными обязанностями в системе менеджмента безопасности.

2)    Определение ответственности высшего руководства

В обязанности высшего руководства должны входить разработка политики организации в области безопасности и обеспечение внедрения системы менеджмента безопасности. В рамках этого обязательства высшее руководство должно провести выборы и назначить конкретного представителя руководства с определенными обязанностями и полномочиями для внедрения системы менеджмента безопасности. В крупных или сложных по структуре организациях может быть назначено несколько ответственных представителей.

3)    Определение ответственности представителя руководства

Представитель руководства в области менеджмента безопасности должен нести ответственность и иметь полномочия по обеспечению того, чтобы система менеджмента безопасности была внедрена и документирована. Представитель руководства в области менеджмента безопасности должен иметь постоянный доступ к высшему руководству и поддерживаться другим персоналом, которому делегированы обязанности по мониторингу работы всех функций безопасности организации. Представитель руководства должен регулярно получать информацию о функционировании системы и активно участвовать в регулярном рассмотрении и определении целей безопасности. Следует обеспечить, чтобы любые другие обязанности или функции, возложенные на этих сотрудников, не вступали в противоречие с выполнением ими обязанностей по обеспечению безопасности.

4)    Определение ответственности линейного руководства (менеджеров среднего звена)

Ответственность руководителей среднего звена должна включать обеспечение того, что управление безопасностью осуществляется в пределах его зоны действия. В тех случаях, когда ответственность за вопросы безопасности возложена исключительно на руководителе среднего звена, роль и обязанности отдельной функции безопасности в организации должны быть надлежащим образом определены во избежание двусмысленности в отношении ответственности и полномочий. С этой целью следует проводить мероприятия по разрешению любого конфликта, возникающего из-за проблем безопасности, с одной стороны, и соображений производительности — с другой, путем перехода на более высокий уровень управления.

5)    Документирование ролей и ответственности

Ответственность и полномочия по безопасности должны быть задокументированы по форме, выбранной организацией. Это может быть одна или несколько из следующих форм (при этом организация может выбрать альтернативную форму):

Введение

ИСО 28000 2007 «Спецификация для систем менеджмента безопасности цепи поставок» и настоящий стандарт разработаны в связи с необходимостью разработки унифицированного стандарта системы управления цепями поставок с целью оценки и сертификации системы управления безопасностью, а также руководства по реализации данного стандарта.

ИСО 28000 согласован со стандартами систем менеджмента ИСО 9001:2000 «Качество» и ИС014001:2004 «Экология», что будет способствовать интеграции систем качества, охраны окружающей среды и управления цепями поставок организаций.

Кахздый пункт/подпункт настоящего стандарта предваряет полные требования ИСО 28000, после которых следует соответствующее руководство. Нумерация разделов и пунктов настоящего стандарта соответствует нумерации разделов и пунктов ИСО 28000.

При целесообразности настоящий стандарт может быть пересмотрен или изменен, в случае пересмотра положений ИСО 28000

Настоящий стандарт не подразумевает включение всех необходимых положений договора, заключенного между операторами цепи поставок, поставщиками и заинтересованными сторонами, однако пользователи несут ответственность за его правильное применение.

Соблюдение требований настоящего стандарта не освобождает от исполнения юридических обязательств.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 1

Общие принципы

Security management systems for the supply chain.

Guidelines for the implementation of ISO 28000 Part 1 General principles

Дата введения — 2020—07—01

1 Область применения

Настоящий стандарт содержит общие рекомендации по применению ИСО 28000:2007 «Спецификация дпя систем управления безопасностью для цепи поставок».

В настоящем стандарте приведены основные принципы ИСО 28000. отражающие намерения, типовые входные данные, процессы и типовые выходные данные требований ИСО 28000, что направлено на четкое толкование и эффективное внедрение ИСО 28000.

ИСО 28000

1 Область применения

Настоящий стандарт определяет требования к системе управления безопасностью, включая аспекты, являющиеся критическими для обеспечения безопасности цепи поставок. Менеджмент безопасности связан со многими другими аспектами управления деятельностью. Данные аспекты включают в себя все виды деятельности, управляемые или находящиеся под влиянием организации, которые воздействуют на безопасность цепи поставок. Эти аспекты должны рассматриваться непосредственно там и тогда, где и когда они оказывают влияние на менеджмент безопасности, включая транспортирование этих товаров в цепи поставок.

Настоящий стандарт применим к организациям всех размеров (от малых до многонациональных). занятым в производстве, обслуживании, хранении, транспортировании на любом этапе производства или цепи поставок, которые заинтересованы в том. чтобы:

a)    создавать, внедрять, поддерживать и улучшать систему менеджмента безопасности;

b)    обеспечивать соответствие заявленной политике менеджмента безопасности;

c)    демонстрировать такое соответствие другим;

d)    добиться сертификации/регистрации системы менеджмента безопасности аккредитованным органом сертификации третьей стороны;

e)    самостоятельно определять и декларировать соответствие настоящему стандарту.

Настоящий стандарт не распространяется на дополнительные требования к указанным в ИСО 28000 и не предусматривает обязательных способов для внедрения ИСО 28000.

Издание официальное

Существуют нормативные и законодательные требования и кодексы, которые касаются некоторых требований настоящего стандарта. Требование дублирующей демонстрации соответствия целью настоящего стандарта не является.

Организации, выбирающие сертификацию третьей стороной, могут дополнительно продемонстрировать. что они вносят значительный вклад в безопасность цепи поставок

2    Нормативные ссылки

В настоящем стандарте нормативные ссылки отсутствуют. Этот пункт включен для того, чтобы сохранить нумерацию, аналогичную ИСО 28000.

3    Термины, определения и сокращения

В настоящем стандарте используются следующие термины с соответствующими определениями:

3.1    средство (facility): Установки, машины, имущество, здания, транспортные средства, корабли, портовые сооружения и другие объекты инфраструктуры или установки и связанные с ними системы, которые имеют четко выраженную и поддающуюся количественной оценке функцию деятельности или услуги.

Примечание — Данный термин включает любой программный продукт, имеющий решающее значение для обеспечения безопасности и применения менеджмента безопасности

3.2    безопасность (security): Противодействие преднамеренному, несанкционированному действию. предназначенному для причинения вреда или повреждения цепи поставок.

3.3    менеджмент безопасности (security management): Систематическая и скоординированная деятельность и практики, посредством которых организация оптимально управляет своими рисками, а также связанными с ними потенциальными угрозами и их влиянием.

3.4    цель менеджмента безопасности (security management objective): Конкретный результат или достижение требуемого уровня безопасности в целях соответствия политике менеджмента безопасности.

Примечание — Крайне важно, чтобы такие результаты были прямо или косвенно связаны с реализацией продуктов, товаров или услуг, предоставляемых всей компанией своим клиентам или конечным потребителям

3.5    политика менеджмента безопасности (security management policy): Общие намерения и направления деятельности организации, связанные с безопасностью и структурой для контроля процессов и деятельности, связанных с безопасностью, которые вытекают из политики и нормативных требований организации и согласуются с ними.

3.6    программы менеджмента безопасности (security management programmes): Средства, с использованием которых достигается цель управления безопасностью.

3.7    целевые показатели менеджмента безопасности (security management target): Определенный уровень результатов деятельности, необходимый для достижения цели менеджмента безопасности.

3.8    заинтересованная сторона/стейкхолдер (stakeholder): Физическое или юридическое лицо, заинтересованное в эффективности, успехе или результативности деятельности организации.

Примечание — Например, клиенты, акционеры, финансовые компании, страховые компании, регулирующие органы, государственные органы, сотрудники, подрядчики, поставщики, профсоюзы или общество

3.9    цепь поставок (supply chain): Набор взаимосвязанных ресурсов и процессов, который начинается с поиска сырья и распространяется через доставку продуктов или услуг конечному потребителю посредством различных видов транспорта.

Примечание — Цепь поставок может включать поставщиков логистических услуг, производственные мощности, внутренние распределительные центры, дистрибьюторов, оптовых торговцев и другие организации, которые ведут к конечному пользователю.

3.9.1    фаза постконтроля (downstream): Действия, процессы и движения груза в цепи поставок, которые происходят после того, как груз выходит из-под непосредственного оперативного контроля организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим.

3.9.2    фаза предконтроля (upstream): Действия, процессы и движения груза в цепи поставок, которые происходят прежде, чем груз оказывается под непосредственным оперативным контролем организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим.

3.10    высшее руководство (top management). Лицо или группа людей, осуществляющих руководство и управление организацией на самом высоком уровне.

Примечание — Высшее руководство (особенно большой транснациональной организации) может не рассматриваться в личном плане как элемент, входящий в систему, описываемую настоящим стандартом Однако ответственность высшего руководства на всех уровнях системы должна четко прослеживаться

3.11    постоянное улучшение (continual improvement): Повторяющийся процесс совершенствования системы менеджмента безопасности с целью улучшения общих показателей безопасности в соответствии с политикой безопасности организации.

В настоящем стандарте применены термины и определения по ИСО 28000, а также следующие термины с соответствующими определениями:

3.12    риск (risk): Вероятность возникновения угрозы безопасности организации и ее последствия.

3.13    проверка благонадежности (security cleared): Процесс верификации надежности людей, которые будут иметь доступ к конфиденциальным материалам в отношении безопасности организации.

3.14    угроза (threat): Возможное преднамеренное действие или ряд действий, которые могут нанести ущерб любой из заинтересованных сторон, объектам, операциям, цепи поставок, обществу, экономической стабильности или непрерывности деятельности и целостности организации.

Политика

менеджмента

безопасности

Планирование безопасности:

–    оисмса риска;

–    нормативно-законодательные требования;

–    цели и задачи безопасности;

–    программы менеджмента безопасности

Внедрение и функционирование: – ответственность и компетентность; обмен информацией; документация; управление операциями; готовность к чрезвычайным ^ обстоятельствам

Анализ со стороны руководства и постоянное улучшение

Рисунок 1 — Элементы системы менеджмента безопасности

4 Требования к системе менеджмента безопасности цепи поставок

Контроль и корректирующие действия:

•    измерения и мониторинг;

–    система оценки; -несоответствия

и предупреждающие действия;

•    записи;

–    аудит

4.1 Общие требования

а) Требования ИСО 28000

Организация должна разработать, задокументировать, внедрять, поддерживать в рабочем состоянии систему менеджмента безопасности, постоянно улучшать ее результативность для выявления угроз безопасности, оценки рисков, контроля и смятения их последствий.

Организация должна постоянно повышать эффективность своей деятельности в целом в соответствии с требованиями, изложенными в настоящем разделе.

Организация должна определить область применения своей системы менеджмента безопасности. Если организация решает передать на аутсорсинг определенный процесс, влияющий на соответствие требованиям настоящего стандарта, то она должна обеспечить контроль таких процессов. Необходимые средства контроля и обязанности по контролю за выполнением данных процессов должны быть определены в системе менеджмента безопасности.

b)    Намерения

Организация должна разработать и поддерживать в рабочем состоянии систему менеджмента, которая соответствует всем требованиям ИСО 28000 Это может помочь организации в соблюдении правил безопасности и нормативно-законодательных требований.

Уровень детализации и сложности системы менеджмента безопасности, обьем документации и выделенные ей ресурсы зависят от размера и специфики структуры организации, а также характера ее деятельности.

Организация, руководствуясь свободой выбора и гибкостью в определении своих границ, может принять решение о внедрении ИСО 28000 в полном обьеме исключительно в конкретных подразделениях или для определенных видов деятельности.

Организации следует взвешенно относиться к вопросам определения границ и области применения системы менеджмента, чтобы не ограничивать свою сферу деятельности, исключая из оценки операцию или вид деятельности, необходимые для осуществления деятельности организации в целом или влияющие на безопасность ее сотрудников и других заинтересованных сторон.

Если требования ИСО 28000 применяют для проведения конкретной операции, то политика безопасности. разработанная другими подразделениями организации, может быть использована отдельным блоком операций/видов деятельности, способствующим выполнению требований ИСО 28000. В этом случае политика безопасности может быть подвергнута незначительному пересмотру или изменению для обеспечения ее применимости к осуществлению работы конкретного операционного подразделения или к виду деятельности организации

c)    Типовые входные данные

Все требования, указанные в ИСО 28000.

d)    Типовые выходные данные/результат

Типовым результатом является эффективно внедренная и поддерживаемая система управления безопасностью, которая помогает организации осуществлять улучшение.

4.2 Политика в области менеджмента безопасности

Рассмотрение

i

Политика

Рисунок 2 — Политика менеджмента безопасности

Планирование

а) Требования ИСО 28000

Высшее руководство организации должно утвердить общую политику менеджмента в области безопасности. Политика должна:

a)    соответствовать другим политикам организации;

b)    определять структуру, которая позволяет разрабатывать конкретные цели, целевые показатели и программы менеджмента безопасности;

c)    соответствовать общей структуре управления угрозами и рисками безопасности в организации;

d)    соответствовать угрозам организации, характеру и масштабам ее деятельности;

e)    четко формулировать общие цели управления безопасностью;

О включать обязательство постоянно улучшать процесс управления безопасностью;

д) включать обязательство соблюдать действующие нормативно-законодательные и иные требования. применимые к организации;

h)    быть официально одобренной высшим руководством;

i)    быть задокументирована, внедрена и поддерживаться в рабочем состоянии;

j)    быть доведена до сведения всего соответствующего персонала и третьих лиц. включая подрядчиков и посетителей, с целью ознакомления этих лиц с их индивидуальными обязательствами, связанными с менеджментом безопасности;

k)    быть доступной для заинтересованных сторон, если это необходимо;

l)    обеспечивать пересмотр политики в случае приобретения или слияния с другими организациями или другого изменения сферы деятельности организации, которая может повлиять на непрерывность или актуальность системы менеджмента безопасности.

Примечание — Для внутреннего использования в организации допускается детализированная политика менеджмента безопасности, которая содержит цели по направлениям деятельности организации для управления системой менеджмента безопасности (части которой могут быть конфиденциальными), и общедоступная (не конфиденциальная) версия, содержащая общие цели для распространения среди основных заинтересованных сторон и других заинтересованных лиц

b)    Намерения

Политика безопасности — это краткое изложение обязательств высшего руководства по обеспечению безопасности деятельности организации. Политика безопасности формирует общие направления и устанавливает принципы действий для организации, определяет цели безопасности и результаты деятельности всей организации. Политика безопасности должна быть разработана, утверждена высшим руководством организации и документально оформлена.

c)    Типовые входные данные

При разработке политики в области безопасности руководство должно рассмотреть следующие вопросы в отношении своей цепи поставок:

–    политика и цели деятельности организации представляет собой единое целое;

–    рассмотрение прошлых и настоящих результатов деятельности в области безопасности с целью стабильности организации;

–    потребности заинтересованных сторон;

–    необходимость и возможность постоянного улучшения и эффективного роста;

–    потребность в ресурсах;

–    вклад сотрудников;

–    участие подрядчиков, заинтересованных сторон и другого внештатного персонала.

d)    Процесс

При разработке и утверждении политики в области безопасности высшее руководство должно учитывать пункты, перечисленные ниже.

Эффективно сформулированная и доведенная до персонала политика в области безопасности должна:

1) соответствовать характеру и масштабу рисков безопасности организации.

Идентификация угроз, оценка риска и управление рисками должны быть отражены в политике безопасности организации, что является основой эффективной системы менеджмента безопасности.

Политика безопасности должна включать видение будущего организации. Оно должно быть реалистичным и не учитывать природу рисков, с которыми сталкивается организация;

2)    включать обязательства относительно постоянного улучшения.

Глобальные угрозы в сфере безопасности усиливают давление на организацию с целью снижения риска инцидентов в цепи поставок. Помимо исполнения национальных правовых и нормативных обязательств. а также других нормативно-законодательных требований и руководств, подготовленных соответствующими организациями, такими как Всемирная торговая организация (ВТО), организация должна стремиться к улучшению своих показателей безопасности и совершенствованию собственной системы менеджмента безопасности эффективным и действенным образом для удовлетворения меняющихся глобальных торговых, деловых и нормативно-законодательных требований.

Планируемые результаты улучшений должны быть отражены в целях по безопасности (см. 4.3.2) и программах менеджмента безопасности (см. 4.3.5), а также в политике в области безопасности. При этом заявление о политике безопасности может включать в себя обязательства в расширенной области действия;

3)    включать обязательство, как минимум, соответствовать действующим нормативно-законодательным и другим требованиям, относящимся к организации.

Необходимо, чтобы организация соответствовала применимым регуляторным требованиям. Обязательство политики в области безопасности — это публичное признание организацией того, что она обязана соблюдать законодательные или другие юридически обязательные требования или принятые добровольно, такие как рамочные стандарты безопасности ВТО.

Примечание — Термин «другие юридически обязательные требования» может означать, например, корпоративные политики или политики объединений, собственные внутренние стандарты организации, спецификации и коды надлежащей практики, которые организация обязалась выполнять),

4)    документироваться, внедряться и поддерживаться в рабочем состоянии.

Планирование и подготовка — это основной способ эффективного внедрения. Часто предложения о политике безопасности, а также цели в области безопасности являются нереалистичными, так как на них не выделяются соответствующие средства и компетентный персонал. Перед публичным декларированием политики следует предусмотреть, чтобы все необходимые финансовые ресурсы, другие источники и высокопрофессиональные сотрудники были задействованы в реализации целей в области безопасности в запланированный период.

Для того чтобы обеспечить результативность политики в области безопасности, необходимо, чтобы она была документально оформлена, актуализировалась и периодически пересматривалась на предмет ее приемлемости;

5)    доводиться до всего персонала для информирования сотрудников об их персональной ответственности за безопасность.

Вовлечение и ответственность персонала является важнейшим условием эффективной безопасности организации.

Сотрудники должны быть осведомлены о влиянии управления безопасностью на качество их собственной рабочей среды. Сотрудников следует поощрять к активному участию в управлении безопасностью.

Персонал (на всех уровнях, включая уровни управления) не сможет внести эффективный вклад в управление безопасностью, если он не вполне четко понимает политику безопасности организации и свои обязанности и не обладает в полной мере компетентностью для выполнения необходимых задач.

Для того чтобы сотрудники вносили эффективный вклад в управление безопасностью, необходимо, чтобы организация доводила до сведения всех сотрудников свою политику и цели безопасности и предоставляла инструментарий, чтобы у них была структура, с помощью которого они могли бы оценить свои результаты в области безопасности;

6)    быть доступной для заинтересованных сторон.

Лицо или группа лиц (как внутренние, так и внешние), работа которых связана с показателями безопасности организации или попадающие под их влияние, будут заинтересованы в заявлении о политике безопасности. Следовательно, должен существовать процесс для доведения до них политики безопасности и обеспечивать ознакомление с политикой безопасности заинтересованных сторон при необходимости;

7)    пересматриваться на предмет постоянной пригодности и соответствия деятельности организации.

В связи с изменениями правовых и законодательных норм политику в области безопасности и систему менеджмента безопасности организации следует регулярно пересматривать для обеспечения их актуальности и эффективности.

1 Область применения

2 Нормативные ссылки

3 Термины, определения и сокращения

4 Требования к системе менеджмента безопасности цепи поставок

     4.1 Общие требования

     4.2 Политика в области менеджмента безопасности

     4.3 Оценка рисков безопасности и планирование

     4.4 Внедрение и функционирование

     4.5 Контроль и корректирующие действия

     4.6 Анализ со стороны руководства и постоянное улучшение

Приложение А (справочное) Соответствие между стандартами ИСО 28000:2007, ИСО 14001:2004 и ИСО 9001:2000

Библиография

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30
Николай Иванов

Эксперт по стандартизации и метрологии! Разрешительная и нормативная документация.

Оцените автора
Все-ГОСТЫ РУ
Добавить комментарий

ГОСТ Р ИСО 28004-1-2019 Системы менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 1. Общие принципы

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ГОСТР

ИСО 28004-1—

2019

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 1

Общие принципы

(ISO 28004-1:2007/Сог.1:2012, ЮТ)

Издание официальное

Москва

Стандартинформ

2020

Предисловие

1    ПОДГОТОВЛЕН Автономной некоммерческой организацией «Международный менеджмент, качество, сертификация» (АНО «ММКС») совместно с Обществом с ограниченной ответственностью «Палекс» (ООО «Палекс»), Ассоциацией по сертификации «Русский Регистр» на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. № 1436-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 28004-1:2007/Изм.1:2012 «Системы менеджмента безопасности цепи поставок — Руководство по внедрению ИСО 28000 — Часть 1. Общие принципы» (ISO 28004-1:2007/Cor.1:2012 «Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 1: General principles». IDT), включая изменения и техническую поправку Сог.1:2012

5    ВЗАМЕН ГОСТ Р 53661-2009 (ИСО 28004:2006)

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации» Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© ISO. 2007 — Все права сохраняются © Стандартинформ. оформление. 2020

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

При внесении изменений в политику и систему менеджмента безопасности организации они должны быть доведены до сведения всех заинтересованных сторон.

е) Типовые выходные данные/результаты

Типовые выходные данные/результаты являются всеобъемлющей, кратко изложенной, понятной политикой в области безопасности, которая сообщается всей организации и заинтересованным сторонам. при необходимости

4.3 Оценка рисков безопасности и планирование

Политика

Аудит

Обратная связь по итогам оценки производительности

Внедрение и эксплуатация

Рисунок 3 — Планирование

4.3.1 Оценка риска безопасности

а) Требования ИСО 28000

Организация должна устанавливать и поддерживать в рабочем состоянии процедуры постоянной идентификации и оценки угроз безопасности и рисков, связанных с менеджментом безопасности, а также определения и реализации необходимых мер управления. Методы идентификации, оценки и управления угрозами безопасности и рисками должны соответствовать характеру и масштабу операций. Эта оценка должна учитывать вероятность события и все его последствия, включая:

a)    угрозы и риски физического отказа, такие как функциональный сбой, случайный ущерб, злонамеренный ущерб, террористические или преступные действия;

b)    угрозы и риски операционного характера, включая контроль безопасности, человеческий фактор и другие действия, которые влияют на результаты деятельности, состояние или безопасность организации;

c)    события природного характера (штормы, наводнения и т. д.), которые могут сделать мероприятия по безопасности и технические средства охраны неэффективными;

d)    внешние факторы, находящиеся под контролем организации, такие как сбои в поставляемом извне оборудовании и услугах;

e)    угрозы и риски заинтересованных сторон, такие как несоблюдение нормативных требований или ущерб репутации или бренду;

О проектирование и установка охранного оборудования, включая замену, техническое обслуживание и т. д.;

д)    управление информацией и данными, связь;

h) угрозы непрерывности деятельности организации.

Организация должна обеспечить, чтобы результаты этих оценок и влияние этих мер управления учитывались и. при необходимости, вносили вклад:

a)    в цели и целевые показатели менеджмента безопасности;

b)    программы менеджмента безопасности;

c)    определение требований к проектированию, спецификации и установке;

d)    определение адекватных ресурсов, включая штатное расписание;

е)    определение потребностей в обучении и навыках (см. 4.4.2);

О разработку оперативного управления (см. 4 4.6);

д) общую структуру менеджмента угроз и рисков организации.

Организация должна документировать и поддерживать вышеуказанную информацию в актуальном состоянии.

Методология идентификации угроз и рисков организации должна:

a)    быть выбрана в соответствии с областью применения, спецификой деятельности и сроками, чтобы гарантировать проактивный, а не реактивный характер действий;

b)    включать сбор информации, связанной с угрозами и рисками безопасности;

c)    предусматривать классификацию путей выявления тех угроз и рисков, которых следует избегать, устранять или которыми необходимо управлять;

d)    обеспечить мониторинг действий для обеспечения эффективности и своевременности их реализации (см. 4.5.1).

Ь) Намерения

После осуществления процесса идентификации угроз, оценки рисков и менеджмента рисков организация должна иметь общее представление о значительном риске, угрозах безопасности и уязвимостях в своей области деятельности.

Процессы идентификации угроз, оценки риска и менеджмента риска и их результаты должны стать основой всей системы безопасности. Следует обратить особое внимание на то. чтобы взаимосвязи между процессами идентификации угроз безопасности, оценки риска, менеджмента риска и другими элементами системы менеджмента безопасности были четко проработаны и были очевидными.

Целью настоящего стандарта является установление принципов, по которым организация может определить, являются ли подходящими и достаточными для работы процессы идентификации угроз, оценки рисков и управления рисками. Выдача рекомендации относительно того, каким образом следует осуществить эти действия, не является целью настоящего стандарта.

Использование организацией процессов идентификации угроз безопасности, оценки риска и управления рисками должно способствовать постоянному и своевременному выявлению, оценке и контролю своих рисков безопасности.

Во всех случаях следует учитывать возможность стандартных и нестандартных операций внутри организации и возникновения чрезвычайных ситуаций.

Сложность процессов идентификации угроз безопасности, оценки рисков менеджмента риска в значительной степени зависит от таких факторов, как размер организации, ситуация на рабочих местах, характер, сложность и значимость угроз безопасности. Цель ИСО 28000:2007 (см. п. 4.3.1) заключается в том. чтобы небольшие организации с низким риском для безопасности не проводили сложную идентификацию угроз безопасности, оценку риска, управления рисками и масштабные учения.

При внедрении процессов идентификации угроз, оценки риска и менеджмента риска организация должна принимать во внимание затраты и время на выполнение данных процессов, а также доступность достоверных данных.

Информация, уже разработанная для нормативных или других целей, может быть использована в регулировании этих процессов. Организация также может принимать во внимание степень существующего управления практического контроля рассматриваемой угрозой безопасности. С этой целью следует определить масштаб угрозы безопасности, учитывая входные и выходные данные (результаты). связанные с ее текущими и прежними действиями, процессами, продуктами и/или услугами организации.

Оценку риска безопасности должен проводить квалифицированный персонал с использованием признанных документированных методик.

Организация без существующей системы менеджмента безопасности может руководствоваться своей текущей позицией в отношении рисков безопасности посредством оценки риска. С целью реализации этой позиции должны быть рассмотрены угрозы безопасности, с которыми сталкивается организация. в качестве основы для создания системы менеджмента безопасности. Организация должна рассмотреть возможность включения (но не ограничиваясь этим) следующих пунктов при проведении первого анализа:

–    нормативно-законодательные требования;

–    идентификация угроз безопасности, с которыми сталкивается организация;

–    идентификация угроз безопасности и информации о рисках в соответствующих организациях (полиция, службы безопасности);

–    изучение всех существующих практик, процессов и процедур менеджмента безопасности;

–    оценка обратной связи по результатам расследований предыдущих инцидентов и чрезвычайных ситуаций.

Целесообразный подход к оценке риска может включать чек-листы (контрольные списки), собеседования. непосредственные инспекции и измерения, результаты предыдущих аудитов системы менеджмента или другие проверки в зависимости от характера деятельности организации. Данные действия следует осуществлять по документированной и воспроизводимой методологии.

Необходимо отметить, что первичный обзор рекомендуется для создания базового направления, но он не заменяет реализацию структурированного систематического подхода, приведенного в 4.3.1.

c)    Типовые входные данные

Типовые входные данные включают следующие аспекты:

–    нормативно-законодательные и другие требования по безопасности (см. 4.3.2);

–    политику в области безопасности (см 4.2);

–    записи об инцидентах;

–    несоответствия (см. 4,5.3);

–    результаты аудитов системы менеджмента безопасности (см. 4.5.5);

–    обмен информацией с персоналом и другими заинтересованными сторонами (см. 4.4.3);

–    информацию, полученную от привлеченных консультантов по безопасности, анализ и улучшение деятельности на рабочих местах (эта информация может иметь проактивный и реактивный характер реагирования);

–    информацию о наиболее эффективных методиках, типичных случаях в отношении рисков безопасности организации, инцидентах и чрезвычайных ситуациях в других организациях;

–    отраслевые стандарты;

–    предписания со стороны федеральных органов;

–    информацию об объектах, средствах организации, процессах, деятельности организации, включая:

–    детали изменений процедур,

–    планы расположения предприятия.

–    руководства по процессам и операционные процедуры.

–    данные по безопасности,

–    данные мониторинга (см. 4.5.1).

d)    Процесс

1) Идентификация угроз, оценка риска и управление рисками

i) Общие положения

Меры по управлению риском должны отражать принцип устранения или снижения до практически достижимого минимального риска безопасности, где это практически осуществимо, либо путем уменьшения вероятности возникновения, либо потенциальной серьезности последствий от инцидента, связанного с безопасностью. Процессы идентификации угроз, оценки рисков и управления рисками являются ключевыми инструментами менеджмента риска.

Процессы идентификации угроз, оценки рисков и управления рисками значительно различаются в разных отраслях — от простых оценок до сложного количественного анализа с внушительной документацией. Организация должна планировать и внедрять такие процессы идентификации угроз, оценки рисков, управления рисками, которые отвечают ее потребностям и ситуациям на рабочем месте и обеспечивают соответствие законодательным требованиям в области безопасности.

Процессы выявления угроз безопасности, оценки рисков и менеджмента риска должны быть позиционированы как проактивные, а не как реактивные меры. т. е должны предшествовать введению новых или пересмотренных действий или процедур. Любое необходимое снижение риска и мероприятия по управлению рисками, которые определены, должны быть внедрены до реализации изменений.

Организация должна обеспечивать надлежащую квалификацию персонала, постоянно актуализировать свою методологию, документацию, данные и записи об идентификации угроз, оценке риска и управлении риском в отношении текущей деятельности, а также расширять их для того, чтобы проанализировать новые события и новые (или измененные) виды деятельности, прежде чем эти нововведения будут реализованы.

Процессы идентификации угроз, оценки рисков и менеджмента риска должны применяться не только к текущим операциям/видам детальности объекта и процедурам, но также к периодическим или случайным видам деятельности/процедурам.

Наряду с учетом рисков безопасности и рисков, связанных с деятельностью, осуществляемой собственным персоналом, организация должна принимать во внимание риски для безопасности и ри-

ски. возникающие в связи с деятельностью подрядчиков и посетителей, а также с использованием продуктов или услуг, предоставляемых ей другими организациями.

10 Процессы

Процессы идентификации угроз, оценки риска и менеджмента риска должны быть документированы и включать следующие элементы:

–    идентификацию угроз безопасности;

–    оценку рисков с применением существующих (или предполагаемых) мероприятий по управлению рисками (с учетом подверженности конкретной угрозе безопасности, вероятности возникновения, сбоев в мероприятиях по управлению, потенциальной серьезности последствий, травм, повреждений и непрерывности работы);

–    оценку приемлемости текущего и остаточного риска;

–    определение необходимых дополнительных мер по управлению риском;

–    оценку того, являются ли мероприятия менеджмента риска достаточными для снижения риска до приемлемого уровня.

Дополнительно процессы должны учитывать следующее:

–    характер, сроки, объем и методологию для любой формы идентификации угроз, оценки рисков и менеджмента риска;

–    применимые нормативно-законодательные требования по безопасности или другие требования;

–    функции и полномочия персонала, ответственного за выполнение процессов;

–    уровень компетентности и потребности в обучении (см. 4.4.2) для персонала, который должен выполнять процессы. В зависимости от характера или типа используемых процессов организации может потребоваться оказание внешних рекомендаций или услуг;

–    информацию, представленную сотрудниками безопасности, относительно проверок и действий по непрерывному улучшению (эти действия могут быть реактивными или проактивными).

Ж) Последующие действия

После реализации процессов идентификации угроз, оценки рисков и менеджмента риска;

–    должны быть четкие доказательства того, что любые корректирующие или предупреждающие действия (см. 4.5.2), определенные как необходимые, отслеживаются на предмет их своевременного завершения. Для этого может потребоваться дальнейшая идентификация угроз и оценка риска для того, чтобы отразить предложенные изменения в мерах по управлению рисками и определить пересмотренные оценки остаточного риска;

–    обратная связь о результатах и ходе выполнения корректирующих или предупреждающих действий должна быть направлена руководству в качестве исходных данных для анализа установления пересмотренных или новых целей по безопасности (см. 4.6);

–    организация должна самостоятельно устанавливать соответствие компетенции персонала, выполняющего конкретные задания по безопасности, тому уровню, который определен процессом оценки риска при осуществлении необходимых мероприятий менеджмента риска;

–    должна быть обратная связь по использованию опыта эксплуатации в будущем вышеперечисленных процессов для внесения поправок в них или в данные, на которых они основаны, если это применимо.

2) Действия после первоначальной идентификации угроз, оценки рисков и менеджмента рисков (см. также 4.6)

Процессы идентификации угроз безопасности, оценки рисков и менеджмента рисков следует пересматривать в заранее установленное время или в тот период, который указан в заявлении о политике безопасности. Допустимо, если заранее установленное время определяется руководством и может являться частью процесса анализа, проводимого со стороны руководства (см. 4.6).

Этот период может варьироваться в зависимости от следующих соображений:

–    характер угрозы безопасности;

–    степень риска;

–    изменения в деятельности организации.

Анализ следует также проводить 8 том случае, если изменения, осуществляемые в организации, ставят под сомнение обоснованность действующих оценок рисков. Такие изменения могут включать в себя следующие элементы:

–    расширение, сокращение, реструктуризация, изменения в обьектах/инфраструктуре или аспектах цепи поставок;

–    перераспределение обязанностей;

–    изменение методов работы или моделей поведения при угрозах безопасности со стороны внешних источников.

е) Типовые выходные данные/результаты

Должны быть разработаны документированные процедуры для следующих элементов:

–    идентификация угроз безопасности;

–    определение рисков, связанных с идентифицированными угрозами. Указание уровня рисков, связанных с каждой угрозой безопасности, и их допустимости;

–    описание или ссылка на мероприятия по мониторингу и управлению рисками (см. 4.4.6 и 4.5.1), особенно тех рисков, которые неприемлемы;

–    цель безопасности и действия по снижению выявленных рисков (см. 4.3.3) и любые последующие действия для мониторинга прогресса в их снижении, при необходимости;

–    определение требований к компетентности и обучению для реализации мероприятий по управлению (см. 4.4.2);

–    необходимые мероприятия по управлению, описанные как элементы управления операциями/ деятельностью системы (4.4.6);

–    записи, генерируемые каждой из вышеупомянутых процедур.

4.3.2 Нормативно-законодательные и другие требования по безопасности

а) Требования ИСО 28000

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры:

a)    по идентификации и обеспечению доступа к применимым нормативно-законодательным и иным требованиям, связанным с угрозой ее безопасности и рисками, которые установлены для организации;

b)    определению того, как данные требования применяются к угрозам и рискам безопасности.

Организация должна поддерживать эту информацию в актуальном состоянии. Организация

должна передавать соответствующую информацию о нормативно-законодательных и иных требованиях своим сотрудникам и другим соответствующим третьим сторонам, включая подрядчиков.

b)    Намерения

Организация должна знать и надлежащим образом реагировать на вводимые нормативно-законодательные и другие требования и доводить до соответствующего персонала данную информацию.

Данное требование 4.3.2 из ИСО 28000:2007 предназначено для повышения осведомленности и понимания нормативно-законодательных требований и обязательств, однако не является обязанностью по созданию библиотек юридических или иных документов, потребность в которых минимальна.

c)    Типовые входные данные

Типовые входные данные включают в себя следующие позиции:

–    сведения о цепи поставок организации;

–    результаты идентификации угроз безопасности, оценки рисков и менеджмента риска (см. 4.3.1);

–    лучшие практики (например, кодексы, рекомендации отраслевых ассоциаций);

–    законодательные требования, правительственные кодексы, надлежащие методики и правила межправительственных и торговых ассоциаций;

–    список источников информации;

–    национальные, региональные или международные стандарты;

–    требования по внутренней работе организации;

–    требования заинтересованных сторон;

–    процессы управления динамикой цепи поставок.

d)    Процесс

Должны быть идентифицированы существующие нормативно-законодательные и другие требования в области безопасности. Организация должна определить наиболее соответствующие средства для доступа и сохранения информации, включая средства медиаподдержки (например, бумага, компакт-диск, дисковод. Интернет), а также оценить, какие и где именно требования применяются и кому предназначены.

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают следующие аспекты:

–    процедуры идентификации и оценки информации и ее поддержания в актуальном состоянии;

–    идентификация требований, которые применимы, и где именно они применимы (может быть в виде реестров);

–    требования (фактический текст, резюме или анализ, где это уместно), находящиеся на местах, определенных организацией;

–    процедура мониторинга новых законодательных требований по безопасности.

4.3.3 Цели в области менеджмента безопасности

Организация должна разработать, внедрить и поддерживать в рабочем состоянии документированные цепи менеджмента безопасности для соответствующих функций и уровней управления внутри организации. Цели должны быть определены и согласованы с политикой. При установлении и пересмотре своих целей организация должна учитывать;

a)    действующие нормативно-законодательные требования по безопасности;

b)    угрозы и риски, связанные с безопасностью;

c)    технологические и другие факторы;

d)    финансовые, операционные и другие требования организации;

e)    мнения соответствующих заинтересованных сторон.

Цели менеджмента безопасности должны:

a)    соответствовать обязательствам организации по постоянному улучшению;

b)    быть измеримыми (где это возможно);

c)    быть доведены до сведения всех соответствующих сотрудников и третьих лиц. включая подрядчиков, с целью обеспечения их осведомленности об индивидуальных обязанностях;

d)    периодически пересматриваться для обеспечения актуальности и соответствия политике менеджмента безопасности. При необходимости цели менеджмента безопасности должны быть соответствующим образом изменены.

а) Требования ИСО 28000

b)    Намерения

Необходимо обеспечить, чтобы во всей организации (где это практически возможно) были определены измеримые цели безопасности в соответствии с политикой безопасности.

c)    Типовые входные данные

Типовые входные данные включают следующие аспекты:

–    политика и цели, относящиеся к деятельности организации в целом;

–    политика безопасности, включая обязательства по постоянному улучшению (см. 4.2);

–    результаты идентификации угроз безопасности, оценки рисков и менеджмента риска (см. 4.3.1);

–    нормативно-законодательные и другие требования (см. 4.3.2);

–    технологические варианты;

–    финансовые, операционные и бизнес-требования;

–    проблемы сотрудников и заинтересованных сторон (см. 4.4.3);

–    информация, поступающая от сотрудников по безопасности, относительно оценки и действий по улучшению ситуации на рабочем месте (эти действия могут быть реактивными или проактивными по своему характеру);

–    анализ установленных целей безопасности;

–    записи о выявленных несоответствиях безопасности, инцидентах и материальном ущербе:

–    результаты анализа со стороны руководства (см. 4,6).

d)    Процесс

Используя входные данные, руководство организации должно идентифицировать, разработать и определить приоритеты по целям в области безопасности.

При установлении целей по безопасности особое внимание следует уделять информации или данным, поступающим от тех лиц. которых это может персонально касаться, в связи с тем. что подобные обращения могут помочь обеспечить их разумность и более широкое признание. Также полезно рассмотреть информацию или данные, полученные от источника, внешнего по отношению к организации. например: от подрядчиков, поставщиков, деловых партнеров, полиции и спецслужб или заинтересованных сторон.

Совещания соответствующих уровней руководства управления для разработки целей по безопасности следует проводить регулярно (например, на ежегодной основе). В некоторых организациях при необходимости допустимо документировать процесс разработки целей по безопасности.

Цели по безопасности должны охватывать как проблемы корпоративной безопасности в целом, так и проблемы безопасности, специфичные для цепи поставок, отдельных функций и уровней в организации.

Для каждой цели по безопасности должны быть определены измеримые показатели, при наличии возможности, позволяющие контролировать выполнение цели по безопасности.

Цели по безопасности должны быть разумными и достижимыми для организации, а также позволяющими осуществлять их контроль, направленный на программу производственной деятельности. В организации должен быть график выполнения для реализации каждой цели по безопасности.

Цели по безопасности могут быть разбиты на отдельные подцели в зависимости от размера организации. сложности цели безопасности и времени ее достижения Должны быть четкие связи между различными уровнями целей и измеримыми показателями по безопасности.

Примеры целей безопасности по безопасности включают в себя:

–    снижение уровня риска;

–    внедрение дополнительных функций в систему менеджмента безопасности;

–    шаги, предпринятые для улучшения существующих объектов;

–    устранение или уменьшение частоты конкретного инцидента.

Цели по безопасности должны быть доведены до соответствующего персонала [например, посредством обучения или групповых инструктажей (см. 4.4.2)] и подробно изложены через программы менеджмента безопасности (см. 4.3.4).

е) Типовые выходные данные/результаты

Типовые выходные данные/результаты включают документированные, измеримые (где это практически реализуемо) цели по безопасности относительно каждой функции в организации.

4.3.4 Целевые показатели в области менеджмента безопасности

Организация должна установить, внедрить и поддерживать в рабочем состоянии документированные целевые показатели менеджмента безопасности, соответствующие потребностям организации. Целевые показатели должны быть развернуты и соответствовать целям менеджмента безопасности.

Эти целевые показатели должны быть:

a)    развернутыми, конкретными, измеримыми, достижимыми, реалистичными и ограниченными во времени (где это практически осуществимо) (SMART):

b)    доведенными до сведения всех соответствующих сотрудников и третьих лиц. включая подрядчиков. с целью обеспечения их осведомленности об индивидуальных обязанностях;

c)    периодически пересматриваемыми, чтобы убедиться в том. что они остаются актуальными и соответствуют целям менеджмента безопасности. При необходимости целевые показатели должны быть соответствующим образом изменены.

Требования ИСО 28000

b)    Намерения

Целевые показатели устанавливаются для достижения целей организации в пределах ограниченного промежутка времени.

c)    Типовые входные данные

Типовые входные данные включают в себя:

–    политику и цели, относящиеся к деятельности организации в целом;

–    политику безопасности, включая обязательства по постоянному улучшению (см. 4.2);

–    результаты идентификации угроз, оценки риска и менеджмента риска (см. 4.3.1);

–    нормативно-законодательные требования (см. 4.3.2);

–    технологические варианты;

–    финансовые, операционные требования и бизнес-требования;

–    проблемы сотрудников и заинтересованных сторон (см. 4.4.3);

–    информацию, полученную от сотрудников, по безопасности, оценке и улучшению работы на местах (эта деятельность может быть реактивной и проактивной по своему характеру);

–    анализ разработанных целей по безопасности;

–    записи о прошлых несоответствиях и инцидентах, связанных с безопасностью;

–    результаты анализа со стороны руководства (см. 4.6).

d)    Процесс

Процесс определен в программах безопасности и представляет собой достижимые целевые показатели для выполнения целей.

Используя входные данные организации, соответствующее руководство должно определить и установить приоритеты для достижения целевых показателей. Целевые показатели должны быть конкретными, основанными на временной шкале и измеримыми.

При установлении целевых показателей безопасности особое внимание следует уделять информации или данным, полученным от тех лиц. у кого с наибольшей вероятностью будут персональные целевые показатели безопасности, так как это способствует разумности установления показателей и облегчению их восприятия в организации. Также полезно рассмотреть входные данные, поступающие от внешних источников, например: от подрядчиков, поставщиков, деловых партнеров, представителей федеральных органов или заинтересованных сторон.

Совещания соответствующих уровней руководства по разработке целевых показателей безопасности следует проводить после изменения целей по безопасности. В некоторых организациях допускается документировать процесс установления целевых показателей безопасности.

Целевые показатели безопасности должны охватывать как проблемы корпоративной безопасности в целом, так и проблемы безопасности, характерные для цепи поставок, отдельных функций и определенных уровней в организации.

Для каждого целевого показателя должен быть разработан конкретный количественный индикатор. Этот индикатор должен обеспечивать возможность мониторинга выполнения целевых показателей безопасности.

Целевые показатели безопасности должны быть разумными и достижимыми для организации, а также позволяющими осуществлять их контроль, направленный на производственную деятельность. Следует установить временную шкалу для реализации каждого целевого показателя по безопасности.

Целевые показатели по безопасности могут быть подразделены на отдельные подпоказатели в зависимости от размера организации, сложности целевого показателя безопасности и временной шкалы. Должна быть установлена четкая взаимосвязь между различными уровнями целей и целевых показателей.

Примеры типов целей безопасности включают в себя:

–    снижение уровня риска в течение определенного периода времени;

–    внедрение конкретных новых технологий для снижения риска или смягчения воздействия угроз безопасности;

–    конкретные шаги, предпринимаемые для улучшения существующих объектов в конкретные сроки;

–    устранение или уменьшение частоты возникновения конкретного инцидента.

Целевые показатели безопасности должны быть доведены до соответствующего персонала (например, посредством обучения или групповых инструктажей; см. 4.4.2) и подробно изложены в программе менеджмента безопасности (см. 4.3.4).

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают в себя документированные, измеримые, где это практически возможно, целевые показатели безопасности относительно каждой функции в организации.

4.3.5 Программы менеджмента безопасности

а) Требования ИСО 28000

Организация должна установить, внедрить и поддерживать в рабочем состоянии программы менеджмента безопасности для достижения своих целей и выполнения целевых показателей.

Программы должны быть оптимизированы, расставлены по приоритетам, и организация должна обеспечить результативную и экономически эффективную реализацию этих программ.

Программы должны включать документацию, которая описывает:

а) распределение ответственности и полномочий для достижения целей и целевых показателей менеджмента безопасности;

Ь) средства и сроки достижения целей и целевых показателей менеджмента безопасности. Программы менеджмента безопасности должны периодически пересматриваться на предмет их пригодности для обеспечения эффективности и соответствия целям и задачам. При необходимости в программы должны быть внесены соответствующие изменения.

b)    Намерения

Программы менеджмента безопасности должны быть напрямую связаны с целями и целевыми показателями. В каждой программе должно быть описано, как организация преобразует свои цепи и обязательства в политике в определенные действия для достижения цели безопасности и целевых показателей. Программа потребует разработки стратегий и планов действий, которые должны быть документированы и доведены до сведения персонала. Прогресс реализации программы в отношении достижения заявленной цели должен находиться под контролем, анализироваться и документально оформляться. Стратегия программы сдерживания и минимизации последствий должна быть основана на результатах идентификации угроз и опасностей, оценке рисков (например, анализ воздействия, оценка программы, оперативный опыт).

c)    Типовые входные данные

Типовые входные данные включают в себя следующие элементы:

–    цели и целевые показатели по безопасности;

–    нормативно-законодательные и другие требования;

–    результаты идентификации угроз безопасности, оценки рисков и менеджмента рисков;

–    сведения о деятельности организации;

–    информация, полученная на основе выполненных работ по обеспечению безопасности, проверке и улучшению деятельности работников на рабочем месте (эти действия могут быть реактивными или проактивными по своей природе);

–    анализ реальных возможностей с учетом новых различных или действующих технологических вариантов;

–    действия по постоянному улучшению деятельности;

–    ресурсы, необходимые для достижения целей безопасности организации.

d)    Процесс

Программы менеджмента безопасности должны определять:

–    ответственность за достижение целей;

–    средства для достижения целей;

–    временные рамки достижения целей.

В рамках программы следует рассмотреть возможность снижения угрозы с помощью методологических и технологических вариантов и опыта других организаций, принимая во внимание финансовые, операционные и бизнес-требования, а также мнения партнеров и заинтересованных сторон.

В программе должно быть предусмотрено распределение соответствующей ответственности и полномочий относительно каждой задачи и определены временные рамки для каждого отдельного задания для соответствия общей шкале времени установленной цели безопасности. Следует также предусмотреть распределение необходимых ресурсов из наиболее адекватных источников (например, финансовые, человеческие, оборудование, логистика) для каждого задания.

В тех случаях, когда предполагается внесение значительных изменений или модификаций в методах работы, процессах, оборудовании или средствах, в программе должны быть предусмотрены учения по идентификации новых угроз безопасности и оценке рисков. В курсе программы управления безопасностью следует уделить внимание консультациям с соответствующим персоналом относительно ожидаемых изменений.

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают разработанные и документированные программы менеджмента безопасности для достижения целей и целевых показателей (см. 4.3.3 и 4.3.4).

4.4 Внедрение и функционирование

Планирование

Аудит

Обратная связь по итогам оценки производительности

и корректирующие действия

Рисунок 4 — Внедрение и функционирование

4.4.1 Структура, ответственность и полномочия по менеджменту безопасности

а) Требования ИСО 28000

Для выполнения политики, целей, целевых показателей и программ менеджмента безопасности организация должна установить и поддерживать организационную структуру, распределение ответственности и полномочий.

Данные организационная структура, ответственность и полномочия должны быть определены, задокументированы и доведены до сведения лиц. ответственных за внедрение и поддержание системы в рабочем состоянии.

Высшее руководство должно предоставить свидетельства своей приверженности разработке и внедрению системы (процессов) менеджмента безопасности и постоянному повышению ее эффективности за счет:

a)    назначения представителя высшего руководства, который (независимо от других обязанностей) несет ответственность за общее проектирование, обслуживание, документирование и улучшение системы менеджмента безопасности организации;

b)    назначения представителя (представителей) руководства с необходимыми полномочиями для обеспечения реализации целей и целевых показателей;

c)    выявления и мониторинга требований и ожиданий заинтересованных сторон организации и принятие надлежащих и своевременных мер для управления этими ожиданиями;

d)    обеспечения необходимыми ресурсами;

e)    учета негативного влияния, которое могут оказать политика менеджмента в области безопасности, цели, целевые показатели, программы и т. д. на другие аспекты деятельности организации;

0 обеспечения того, чтобы любые программы по безопасности, созданные в любом подразделении организации, дополняли систему менеджмента безопасности организации;

д) информирования организации о важности соблюдения требований управления безопасностью и выполнения политики;

h)    обеспечения того, чтобы угрозы и риски, связанные с безопасностью, оценивались и включались в систему менеджмента риска и угроз организации, если это применимо;

i)    обеспечения жизнеспособности целей, целевых показателей и программ менеджмента безопасности.

b)    Намерения

Для облегчения эффективного управления безопасностью необходимо, чтобы роли, обязанности и полномочия были определены, задокументированы и доведены до соответствующего персонала. Только ответственный за безопасность персонал (см. определение в разделе 3) должен быть задействован для реализации критических задач безопасности. Должны быть предоставлены адекватные источники ресурсов для четкого выполнения заданий по безопасности

c)    Типовые входные данные

Типовые входные данные включают следующее:

– организационную структуру;

Содержание

1    Область применения………………………………………………………..1

2    Нормативные ссылки………………………………………………………..2

3    Термины, определения и сокращения……………………………………………2

4    Требования к системе менеджмента безопасности цепи поставок……………………….3

4.1    Общие требования………………………………………………………4

4.2    Политика в области менеджмента безопасности…………………………………4

4.3    Оценка рисков безопасности и планирование…………………………………..7

4.4    Внедрение и функционирование……………………………………………16

4.5    Контроль и корректирующие действия……………………………………….26

4.6    Анализ со стороны руководства и постоянное улучшение…………………………37

Приложение А (справочное) Соответствие между стандартами ИСО 28000:2007. ИСО 14001:2004

и ИСО 9001:2000 ………………………………………………..40

Библиография……………………………………………………………..44

–    идентификацию рисков, оценку рисков и результаты управления рисками;

–    цели, целевые показатели и программы по безопасности;

–    нормативные и законодательные требования;

–    должностные инструкции;

–    перечень квалифицированных сотрудников службы безопасности, которые прошли и/или должны пройти оценку благонадежности.

d) Процесс

1)    Обзор

Должны быть определены обязанности и полномочия тех лиц, на которых возложена ответственность в системе менеджмента безопасности, включая четкое определение обязанностей на пересечении различных функций.

Такие определения могут, в частности, потребоваться для следующих категорий сотрудников:

–    высшее руководство;

–    руководители среднего звена на всех уровнях организации;

–    ответственные за подрядчиков и посетителей, которые имеют доступ к помещению и его работникам;

–    ответственные за обучение по безопасности;

–    ответственные за оборудование и операции, которые имеют решающее значение для безопасности;

–    сотрудники, прошедшие оценку благонадежности, или другие специалисты по безопасности внутри организации;

–    сотрудники службы безопасности, предоставляющие консультации на проводимых форумах

Однако организация должна доводить до сведения сотрудников информацию и непреложность

ее реализации относительно того, что безопасность — это ответственность каждого сотрудника организации. а не только ответственность тех. кто наделен определенными обязанностями в системе менеджмента безопасности.

2)    Определение ответственности высшего руководства

В обязанности высшего руководства должны входить разработка политики организации в области безопасности и обеспечение внедрения системы менеджмента безопасности. В рамках этого обязательства высшее руководство должно провести выборы и назначить конкретного представителя руководства с определенными обязанностями и полномочиями для внедрения системы менеджмента безопасности. В крупных или сложных по структуре организациях может быть назначено несколько ответственных представителей.

3)    Определение ответственности представителя руководства

Представитель руководства в области менеджмента безопасности должен нести ответственность и иметь полномочия по обеспечению того, чтобы система менеджмента безопасности была внедрена и документирована. Представитель руководства в области менеджмента безопасности должен иметь постоянный доступ к высшему руководству и поддерживаться другим персоналом, которому делегированы обязанности по мониторингу работы всех функций безопасности организации. Представитель руководства должен регулярно получать информацию о функционировании системы и активно участвовать в регулярном рассмотрении и определении целей безопасности. Следует обеспечить, чтобы любые другие обязанности или функции, возложенные на этих сотрудников, не вступали в противоречие с выполнением ими обязанностей по обеспечению безопасности.

4)    Определение ответственности линейного руководства (менеджеров среднего звена)

Ответственность руководителей среднего звена должна включать обеспечение того, что управление безопасностью осуществляется в пределах его зоны действия. В тех случаях, когда ответственность за вопросы безопасности возложена исключительно на руководителе среднего звена, роль и обязанности отдельной функции безопасности в организации должны быть надлежащим образом определены во избежание двусмысленности в отношении ответственности и полномочий. С этой целью следует проводить мероприятия по разрешению любого конфликта, возникающего из-за проблем безопасности, с одной стороны, и соображений производительности — с другой, путем перехода на более высокий уровень управления.

5)    Документирование ролей и ответственности

Ответственность и полномочия по безопасности должны быть задокументированы по форме, выбранной организацией. Это может быть одна или несколько из следующих форм (при этом организация может выбрать альтернативную форму):

Введение

ИСО 28000 2007 «Спецификация для систем менеджмента безопасности цепи поставок» и настоящий стандарт разработаны в связи с необходимостью разработки унифицированного стандарта системы управления цепями поставок с целью оценки и сертификации системы управления безопасностью, а также руководства по реализации данного стандарта.

ИСО 28000 согласован со стандартами систем менеджмента ИСО 9001:2000 «Качество» и ИС014001:2004 «Экология», что будет способствовать интеграции систем качества, охраны окружающей среды и управления цепями поставок организаций.

Кахздый пункт/подпункт настоящего стандарта предваряет полные требования ИСО 28000, после которых следует соответствующее руководство. Нумерация разделов и пунктов настоящего стандарта соответствует нумерации разделов и пунктов ИСО 28000.

При целесообразности настоящий стандарт может быть пересмотрен или изменен, в случае пересмотра положений ИСО 28000

Настоящий стандарт не подразумевает включение всех необходимых положений договора, заключенного между операторами цепи поставок, поставщиками и заинтересованными сторонами, однако пользователи несут ответственность за его правильное применение.

Соблюдение требований настоящего стандарта не освобождает от исполнения юридических обязательств.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 1

Общие принципы

Security management systems for the supply chain.

Guidelines for the implementation of ISO 28000 Part 1 General principles

Дата введения — 2020—07—01

1 Область применения

Настоящий стандарт содержит общие рекомендации по применению ИСО 28000:2007 «Спецификация дпя систем управления безопасностью для цепи поставок».

В настоящем стандарте приведены основные принципы ИСО 28000. отражающие намерения, типовые входные данные, процессы и типовые выходные данные требований ИСО 28000, что направлено на четкое толкование и эффективное внедрение ИСО 28000.

ИСО 28000

1 Область применения

Настоящий стандарт определяет требования к системе управления безопасностью, включая аспекты, являющиеся критическими для обеспечения безопасности цепи поставок. Менеджмент безопасности связан со многими другими аспектами управления деятельностью. Данные аспекты включают в себя все виды деятельности, управляемые или находящиеся под влиянием организации, которые воздействуют на безопасность цепи поставок. Эти аспекты должны рассматриваться непосредственно там и тогда, где и когда они оказывают влияние на менеджмент безопасности, включая транспортирование этих товаров в цепи поставок.

Настоящий стандарт применим к организациям всех размеров (от малых до многонациональных). занятым в производстве, обслуживании, хранении, транспортировании на любом этапе производства или цепи поставок, которые заинтересованы в том. чтобы:

a)    создавать, внедрять, поддерживать и улучшать систему менеджмента безопасности;

b)    обеспечивать соответствие заявленной политике менеджмента безопасности;

c)    демонстрировать такое соответствие другим;

d)    добиться сертификации/регистрации системы менеджмента безопасности аккредитованным органом сертификации третьей стороны;

e)    самостоятельно определять и декларировать соответствие настоящему стандарту.

Настоящий стандарт не распространяется на дополнительные требования к указанным в ИСО 28000 и не предусматривает обязательных способов для внедрения ИСО 28000.

Издание официальное

Существуют нормативные и законодательные требования и кодексы, которые касаются некоторых требований настоящего стандарта. Требование дублирующей демонстрации соответствия целью настоящего стандарта не является.

Организации, выбирающие сертификацию третьей стороной, могут дополнительно продемонстрировать. что они вносят значительный вклад в безопасность цепи поставок

2    Нормативные ссылки

В настоящем стандарте нормативные ссылки отсутствуют. Этот пункт включен для того, чтобы сохранить нумерацию, аналогичную ИСО 28000.

3    Термины, определения и сокращения

В настоящем стандарте используются следующие термины с соответствующими определениями:

3.1    средство (facility): Установки, машины, имущество, здания, транспортные средства, корабли, портовые сооружения и другие объекты инфраструктуры или установки и связанные с ними системы, которые имеют четко выраженную и поддающуюся количественной оценке функцию деятельности или услуги.

Примечание — Данный термин включает любой программный продукт, имеющий решающее значение для обеспечения безопасности и применения менеджмента безопасности

3.2    безопасность (security): Противодействие преднамеренному, несанкционированному действию. предназначенному для причинения вреда или повреждения цепи поставок.

3.3    менеджмент безопасности (security management): Систематическая и скоординированная деятельность и практики, посредством которых организация оптимально управляет своими рисками, а также связанными с ними потенциальными угрозами и их влиянием.

3.4    цель менеджмента безопасности (security management objective): Конкретный результат или достижение требуемого уровня безопасности в целях соответствия политике менеджмента безопасности.

Примечание — Крайне важно, чтобы такие результаты были прямо или косвенно связаны с реализацией продуктов, товаров или услуг, предоставляемых всей компанией своим клиентам или конечным потребителям

3.5    политика менеджмента безопасности (security management policy): Общие намерения и направления деятельности организации, связанные с безопасностью и структурой для контроля процессов и деятельности, связанных с безопасностью, которые вытекают из политики и нормативных требований организации и согласуются с ними.

3.6    программы менеджмента безопасности (security management programmes): Средства, с использованием которых достигается цель управления безопасностью.

3.7    целевые показатели менеджмента безопасности (security management target): Определенный уровень результатов деятельности, необходимый для достижения цели менеджмента безопасности.

3.8    заинтересованная сторона/стейкхолдер (stakeholder): Физическое или юридическое лицо, заинтересованное в эффективности, успехе или результативности деятельности организации.

Примечание — Например, клиенты, акционеры, финансовые компании, страховые компании, регулирующие органы, государственные органы, сотрудники, подрядчики, поставщики, профсоюзы или общество

3.9    цепь поставок (supply chain): Набор взаимосвязанных ресурсов и процессов, который начинается с поиска сырья и распространяется через доставку продуктов или услуг конечному потребителю посредством различных видов транспорта.

Примечание — Цепь поставок может включать поставщиков логистических услуг, производственные мощности, внутренние распределительные центры, дистрибьюторов, оптовых торговцев и другие организации, которые ведут к конечному пользователю.

3.9.1    фаза постконтроля (downstream): Действия, процессы и движения груза в цепи поставок, которые происходят после того, как груз выходит из-под непосредственного оперативного контроля организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим.

3.9.2    фаза предконтроля (upstream): Действия, процессы и движения груза в цепи поставок, которые происходят прежде, чем груз оказывается под непосредственным оперативным контролем организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим.

3.10    высшее руководство (top management). Лицо или группа людей, осуществляющих руководство и управление организацией на самом высоком уровне.

Примечание — Высшее руководство (особенно большой транснациональной организации) может не рассматриваться в личном плане как элемент, входящий в систему, описываемую настоящим стандартом Однако ответственность высшего руководства на всех уровнях системы должна четко прослеживаться

3.11    постоянное улучшение (continual improvement): Повторяющийся процесс совершенствования системы менеджмента безопасности с целью улучшения общих показателей безопасности в соответствии с политикой безопасности организации.

В настоящем стандарте применены термины и определения по ИСО 28000, а также следующие термины с соответствующими определениями:

3.12    риск (risk): Вероятность возникновения угрозы безопасности организации и ее последствия.

3.13    проверка благонадежности (security cleared): Процесс верификации надежности людей, которые будут иметь доступ к конфиденциальным материалам в отношении безопасности организации.

3.14    угроза (threat): Возможное преднамеренное действие или ряд действий, которые могут нанести ущерб любой из заинтересованных сторон, объектам, операциям, цепи поставок, обществу, экономической стабильности или непрерывности деятельности и целостности организации.

Политика

менеджмента

безопасности

Планирование безопасности:

–    оисмса риска;

–    нормативно-законодательные требования;

–    цели и задачи безопасности;

–    программы менеджмента безопасности

Внедрение и функционирование: – ответственность и компетентность; обмен информацией; документация; управление операциями; готовность к чрезвычайным ^ обстоятельствам

Анализ со стороны руководства и постоянное улучшение

Рисунок 1 — Элементы системы менеджмента безопасности

4 Требования к системе менеджмента безопасности цепи поставок

Контроль и корректирующие действия:

•    измерения и мониторинг;

–    система оценки; -несоответствия

и предупреждающие действия;

•    записи;

–    аудит

4.1 Общие требования

а) Требования ИСО 28000

Организация должна разработать, задокументировать, внедрять, поддерживать в рабочем состоянии систему менеджмента безопасности, постоянно улучшать ее результативность для выявления угроз безопасности, оценки рисков, контроля и смятения их последствий.

Организация должна постоянно повышать эффективность своей деятельности в целом в соответствии с требованиями, изложенными в настоящем разделе.

Организация должна определить область применения своей системы менеджмента безопасности. Если организация решает передать на аутсорсинг определенный процесс, влияющий на соответствие требованиям настоящего стандарта, то она должна обеспечить контроль таких процессов. Необходимые средства контроля и обязанности по контролю за выполнением данных процессов должны быть определены в системе менеджмента безопасности.

b)    Намерения

Организация должна разработать и поддерживать в рабочем состоянии систему менеджмента, которая соответствует всем требованиям ИСО 28000 Это может помочь организации в соблюдении правил безопасности и нормативно-законодательных требований.

Уровень детализации и сложности системы менеджмента безопасности, обьем документации и выделенные ей ресурсы зависят от размера и специфики структуры организации, а также характера ее деятельности.

Организация, руководствуясь свободой выбора и гибкостью в определении своих границ, может принять решение о внедрении ИСО 28000 в полном обьеме исключительно в конкретных подразделениях или для определенных видов деятельности.

Организации следует взвешенно относиться к вопросам определения границ и области применения системы менеджмента, чтобы не ограничивать свою сферу деятельности, исключая из оценки операцию или вид деятельности, необходимые для осуществления деятельности организации в целом или влияющие на безопасность ее сотрудников и других заинтересованных сторон.

Если требования ИСО 28000 применяют для проведения конкретной операции, то политика безопасности. разработанная другими подразделениями организации, может быть использована отдельным блоком операций/видов деятельности, способствующим выполнению требований ИСО 28000. В этом случае политика безопасности может быть подвергнута незначительному пересмотру или изменению для обеспечения ее применимости к осуществлению работы конкретного операционного подразделения или к виду деятельности организации

c)    Типовые входные данные

Все требования, указанные в ИСО 28000.

d)    Типовые выходные данные/результат

Типовым результатом является эффективно внедренная и поддерживаемая система управления безопасностью, которая помогает организации осуществлять улучшение.

4.2 Политика в области менеджмента безопасности

Рассмотрение

i

Политика

Рисунок 2 — Политика менеджмента безопасности

Планирование

а) Требования ИСО 28000

Высшее руководство организации должно утвердить общую политику менеджмента в области безопасности. Политика должна:

a)    соответствовать другим политикам организации;

b)    определять структуру, которая позволяет разрабатывать конкретные цели, целевые показатели и программы менеджмента безопасности;

c)    соответствовать общей структуре управления угрозами и рисками безопасности в организации;

d)    соответствовать угрозам организации, характеру и масштабам ее деятельности;

e)    четко формулировать общие цели управления безопасностью;

О включать обязательство постоянно улучшать процесс управления безопасностью;

д) включать обязательство соблюдать действующие нормативно-законодательные и иные требования. применимые к организации;

h)    быть официально одобренной высшим руководством;

i)    быть задокументирована, внедрена и поддерживаться в рабочем состоянии;

j)    быть доведена до сведения всего соответствующего персонала и третьих лиц. включая подрядчиков и посетителей, с целью ознакомления этих лиц с их индивидуальными обязательствами, связанными с менеджментом безопасности;

k)    быть доступной для заинтересованных сторон, если это необходимо;

l)    обеспечивать пересмотр политики в случае приобретения или слияния с другими организациями или другого изменения сферы деятельности организации, которая может повлиять на непрерывность или актуальность системы менеджмента безопасности.

Примечание — Для внутреннего использования в организации допускается детализированная политика менеджмента безопасности, которая содержит цели по направлениям деятельности организации для управления системой менеджмента безопасности (части которой могут быть конфиденциальными), и общедоступная (не конфиденциальная) версия, содержащая общие цели для распространения среди основных заинтересованных сторон и других заинтересованных лиц

b)    Намерения

Политика безопасности — это краткое изложение обязательств высшего руководства по обеспечению безопасности деятельности организации. Политика безопасности формирует общие направления и устанавливает принципы действий для организации, определяет цели безопасности и результаты деятельности всей организации. Политика безопасности должна быть разработана, утверждена высшим руководством организации и документально оформлена.

c)    Типовые входные данные

При разработке политики в области безопасности руководство должно рассмотреть следующие вопросы в отношении своей цепи поставок:

–    политика и цели деятельности организации представляет собой единое целое;

–    рассмотрение прошлых и настоящих результатов деятельности в области безопасности с целью стабильности организации;

–    потребности заинтересованных сторон;

–    необходимость и возможность постоянного улучшения и эффективного роста;

–    потребность в ресурсах;

–    вклад сотрудников;

–    участие подрядчиков, заинтересованных сторон и другого внештатного персонала.

d)    Процесс

При разработке и утверждении политики в области безопасности высшее руководство должно учитывать пункты, перечисленные ниже.

Эффективно сформулированная и доведенная до персонала политика в области безопасности должна:

1) соответствовать характеру и масштабу рисков безопасности организации.

Идентификация угроз, оценка риска и управление рисками должны быть отражены в политике безопасности организации, что является основой эффективной системы менеджмента безопасности.

Политика безопасности должна включать видение будущего организации. Оно должно быть реалистичным и не учитывать природу рисков, с которыми сталкивается организация;

2)    включать обязательства относительно постоянного улучшения.

Глобальные угрозы в сфере безопасности усиливают давление на организацию с целью снижения риска инцидентов в цепи поставок. Помимо исполнения национальных правовых и нормативных обязательств. а также других нормативно-законодательных требований и руководств, подготовленных соответствующими организациями, такими как Всемирная торговая организация (ВТО), организация должна стремиться к улучшению своих показателей безопасности и совершенствованию собственной системы менеджмента безопасности эффективным и действенным образом для удовлетворения меняющихся глобальных торговых, деловых и нормативно-законодательных требований.

Планируемые результаты улучшений должны быть отражены в целях по безопасности (см. 4.3.2) и программах менеджмента безопасности (см. 4.3.5), а также в политике в области безопасности. При этом заявление о политике безопасности может включать в себя обязательства в расширенной области действия;

3)    включать обязательство, как минимум, соответствовать действующим нормативно-законодательным и другим требованиям, относящимся к организации.

Необходимо, чтобы организация соответствовала применимым регуляторным требованиям. Обязательство политики в области безопасности — это публичное признание организацией того, что она обязана соблюдать законодательные или другие юридически обязательные требования или принятые добровольно, такие как рамочные стандарты безопасности ВТО.

Примечание — Термин «другие юридически обязательные требования» может означать, например, корпоративные политики или политики объединений, собственные внутренние стандарты организации, спецификации и коды надлежащей практики, которые организация обязалась выполнять),

4)    документироваться, внедряться и поддерживаться в рабочем состоянии.

Планирование и подготовка — это основной способ эффективного внедрения. Часто предложения о политике безопасности, а также цели в области безопасности являются нереалистичными, так как на них не выделяются соответствующие средства и компетентный персонал. Перед публичным декларированием политики следует предусмотреть, чтобы все необходимые финансовые ресурсы, другие источники и высокопрофессиональные сотрудники были задействованы в реализации целей в области безопасности в запланированный период.

Для того чтобы обеспечить результативность политики в области безопасности, необходимо, чтобы она была документально оформлена, актуализировалась и периодически пересматривалась на предмет ее приемлемости;

5)    доводиться до всего персонала для информирования сотрудников об их персональной ответственности за безопасность.

Вовлечение и ответственность персонала является важнейшим условием эффективной безопасности организации.

Сотрудники должны быть осведомлены о влиянии управления безопасностью на качество их собственной рабочей среды. Сотрудников следует поощрять к активному участию в управлении безопасностью.

Персонал (на всех уровнях, включая уровни управления) не сможет внести эффективный вклад в управление безопасностью, если он не вполне четко понимает политику безопасности организации и свои обязанности и не обладает в полной мере компетентностью для выполнения необходимых задач.

Для того чтобы сотрудники вносили эффективный вклад в управление безопасностью, необходимо, чтобы организация доводила до сведения всех сотрудников свою политику и цели безопасности и предоставляла инструментарий, чтобы у них была структура, с помощью которого они могли бы оценить свои результаты в области безопасности;

6)    быть доступной для заинтересованных сторон.

Лицо или группа лиц (как внутренние, так и внешние), работа которых связана с показателями безопасности организации или попадающие под их влияние, будут заинтересованы в заявлении о политике безопасности. Следовательно, должен существовать процесс для доведения до них политики безопасности и обеспечивать ознакомление с политикой безопасности заинтересованных сторон при необходимости;

7)    пересматриваться на предмет постоянной пригодности и соответствия деятельности организации.

В связи с изменениями правовых и законодательных норм политику в области безопасности и систему менеджмента безопасности организации следует регулярно пересматривать для обеспечения их актуальности и эффективности.

1 Область применения

2 Нормативные ссылки

3 Термины, определения и сокращения

4 Требования к системе менеджмента безопасности цепи поставок

     4.1 Общие требования

     4.2 Политика в области менеджмента безопасности

     4.3 Оценка рисков безопасности и планирование

     4.4 Внедрение и функционирование

     4.5 Контроль и корректирующие действия

     4.6 Анализ со стороны руководства и постоянное улучшение

Приложение А (справочное) Соответствие между стандартами ИСО 28000:2007, ИСО 14001:2004 и ИСО 9001:2000

Библиография

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30
Николай Иванов

Эксперт по стандартизации и метрологии! Разрешительная и нормативная документация.

Оцените автора
Все-ГОСТЫ РУ
Добавить комментарий

ГОСТ Р ИСО 28004-1-2019 Системы менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 1. Общие принципы

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ГОСТР

ИСО 28004-1—

2019

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 1

Общие принципы

(ISO 28004-1:2007/Сог.1:2012, ЮТ)

Издание официальное

Москва

Стандартинформ

2020

Предисловие

1    ПОДГОТОВЛЕН Автономной некоммерческой организацией «Международный менеджмент, качество, сертификация» (АНО «ММКС») совместно с Обществом с ограниченной ответственностью «Палекс» (ООО «Палекс»), Ассоциацией по сертификации «Русский Регистр» на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. № 1436-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 28004-1:2007/Изм.1:2012 «Системы менеджмента безопасности цепи поставок — Руководство по внедрению ИСО 28000 — Часть 1. Общие принципы» (ISO 28004-1:2007/Cor.1:2012 «Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 1: General principles». IDT), включая изменения и техническую поправку Сог.1:2012

5    ВЗАМЕН ГОСТ Р 53661-2009 (ИСО 28004:2006)

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации» Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© ISO. 2007 — Все права сохраняются © Стандартинформ. оформление. 2020

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

При внесении изменений в политику и систему менеджмента безопасности организации они должны быть доведены до сведения всех заинтересованных сторон.

е) Типовые выходные данные/результаты

Типовые выходные данные/результаты являются всеобъемлющей, кратко изложенной, понятной политикой в области безопасности, которая сообщается всей организации и заинтересованным сторонам. при необходимости

4.3 Оценка рисков безопасности и планирование

Политика

Аудит

Обратная связь по итогам оценки производительности

Внедрение и эксплуатация

Рисунок 3 — Планирование

4.3.1 Оценка риска безопасности

а) Требования ИСО 28000

Организация должна устанавливать и поддерживать в рабочем состоянии процедуры постоянной идентификации и оценки угроз безопасности и рисков, связанных с менеджментом безопасности, а также определения и реализации необходимых мер управления. Методы идентификации, оценки и управления угрозами безопасности и рисками должны соответствовать характеру и масштабу операций. Эта оценка должна учитывать вероятность события и все его последствия, включая:

a)    угрозы и риски физического отказа, такие как функциональный сбой, случайный ущерб, злонамеренный ущерб, террористические или преступные действия;

b)    угрозы и риски операционного характера, включая контроль безопасности, человеческий фактор и другие действия, которые влияют на результаты деятельности, состояние или безопасность организации;

c)    события природного характера (штормы, наводнения и т. д.), которые могут сделать мероприятия по безопасности и технические средства охраны неэффективными;

d)    внешние факторы, находящиеся под контролем организации, такие как сбои в поставляемом извне оборудовании и услугах;

e)    угрозы и риски заинтересованных сторон, такие как несоблюдение нормативных требований или ущерб репутации или бренду;

О проектирование и установка охранного оборудования, включая замену, техническое обслуживание и т. д.;

д)    управление информацией и данными, связь;

h) угрозы непрерывности деятельности организации.

Организация должна обеспечить, чтобы результаты этих оценок и влияние этих мер управления учитывались и. при необходимости, вносили вклад:

a)    в цели и целевые показатели менеджмента безопасности;

b)    программы менеджмента безопасности;

c)    определение требований к проектированию, спецификации и установке;

d)    определение адекватных ресурсов, включая штатное расписание;

е)    определение потребностей в обучении и навыках (см. 4.4.2);

О разработку оперативного управления (см. 4 4.6);

д) общую структуру менеджмента угроз и рисков организации.

Организация должна документировать и поддерживать вышеуказанную информацию в актуальном состоянии.

Методология идентификации угроз и рисков организации должна:

a)    быть выбрана в соответствии с областью применения, спецификой деятельности и сроками, чтобы гарантировать проактивный, а не реактивный характер действий;

b)    включать сбор информации, связанной с угрозами и рисками безопасности;

c)    предусматривать классификацию путей выявления тех угроз и рисков, которых следует избегать, устранять или которыми необходимо управлять;

d)    обеспечить мониторинг действий для обеспечения эффективности и своевременности их реализации (см. 4.5.1).

Ь) Намерения

После осуществления процесса идентификации угроз, оценки рисков и менеджмента рисков организация должна иметь общее представление о значительном риске, угрозах безопасности и уязвимостях в своей области деятельности.

Процессы идентификации угроз, оценки риска и менеджмента риска и их результаты должны стать основой всей системы безопасности. Следует обратить особое внимание на то. чтобы взаимосвязи между процессами идентификации угроз безопасности, оценки риска, менеджмента риска и другими элементами системы менеджмента безопасности были четко проработаны и были очевидными.

Целью настоящего стандарта является установление принципов, по которым организация может определить, являются ли подходящими и достаточными для работы процессы идентификации угроз, оценки рисков и управления рисками. Выдача рекомендации относительно того, каким образом следует осуществить эти действия, не является целью настоящего стандарта.

Использование организацией процессов идентификации угроз безопасности, оценки риска и управления рисками должно способствовать постоянному и своевременному выявлению, оценке и контролю своих рисков безопасности.

Во всех случаях следует учитывать возможность стандартных и нестандартных операций внутри организации и возникновения чрезвычайных ситуаций.

Сложность процессов идентификации угроз безопасности, оценки рисков менеджмента риска в значительной степени зависит от таких факторов, как размер организации, ситуация на рабочих местах, характер, сложность и значимость угроз безопасности. Цель ИСО 28000:2007 (см. п. 4.3.1) заключается в том. чтобы небольшие организации с низким риском для безопасности не проводили сложную идентификацию угроз безопасности, оценку риска, управления рисками и масштабные учения.

При внедрении процессов идентификации угроз, оценки риска и менеджмента риска организация должна принимать во внимание затраты и время на выполнение данных процессов, а также доступность достоверных данных.

Информация, уже разработанная для нормативных или других целей, может быть использована в регулировании этих процессов. Организация также может принимать во внимание степень существующего управления практического контроля рассматриваемой угрозой безопасности. С этой целью следует определить масштаб угрозы безопасности, учитывая входные и выходные данные (результаты). связанные с ее текущими и прежними действиями, процессами, продуктами и/или услугами организации.

Оценку риска безопасности должен проводить квалифицированный персонал с использованием признанных документированных методик.

Организация без существующей системы менеджмента безопасности может руководствоваться своей текущей позицией в отношении рисков безопасности посредством оценки риска. С целью реализации этой позиции должны быть рассмотрены угрозы безопасности, с которыми сталкивается организация. в качестве основы для создания системы менеджмента безопасности. Организация должна рассмотреть возможность включения (но не ограничиваясь этим) следующих пунктов при проведении первого анализа:

–    нормативно-законодательные требования;

–    идентификация угроз безопасности, с которыми сталкивается организация;

–    идентификация угроз безопасности и информации о рисках в соответствующих организациях (полиция, службы безопасности);

–    изучение всех существующих практик, процессов и процедур менеджмента безопасности;

–    оценка обратной связи по результатам расследований предыдущих инцидентов и чрезвычайных ситуаций.

Целесообразный подход к оценке риска может включать чек-листы (контрольные списки), собеседования. непосредственные инспекции и измерения, результаты предыдущих аудитов системы менеджмента или другие проверки в зависимости от характера деятельности организации. Данные действия следует осуществлять по документированной и воспроизводимой методологии.

Необходимо отметить, что первичный обзор рекомендуется для создания базового направления, но он не заменяет реализацию структурированного систематического подхода, приведенного в 4.3.1.

c)    Типовые входные данные

Типовые входные данные включают следующие аспекты:

–    нормативно-законодательные и другие требования по безопасности (см. 4.3.2);

–    политику в области безопасности (см 4.2);

–    записи об инцидентах;

–    несоответствия (см. 4,5.3);

–    результаты аудитов системы менеджмента безопасности (см. 4.5.5);

–    обмен информацией с персоналом и другими заинтересованными сторонами (см. 4.4.3);

–    информацию, полученную от привлеченных консультантов по безопасности, анализ и улучшение деятельности на рабочих местах (эта информация может иметь проактивный и реактивный характер реагирования);

–    информацию о наиболее эффективных методиках, типичных случаях в отношении рисков безопасности организации, инцидентах и чрезвычайных ситуациях в других организациях;

–    отраслевые стандарты;

–    предписания со стороны федеральных органов;

–    информацию об объектах, средствах организации, процессах, деятельности организации, включая:

–    детали изменений процедур,

–    планы расположения предприятия.

–    руководства по процессам и операционные процедуры.

–    данные по безопасности,

–    данные мониторинга (см. 4.5.1).

d)    Процесс

1) Идентификация угроз, оценка риска и управление рисками

i) Общие положения

Меры по управлению риском должны отражать принцип устранения или снижения до практически достижимого минимального риска безопасности, где это практически осуществимо, либо путем уменьшения вероятности возникновения, либо потенциальной серьезности последствий от инцидента, связанного с безопасностью. Процессы идентификации угроз, оценки рисков и управления рисками являются ключевыми инструментами менеджмента риска.

Процессы идентификации угроз, оценки рисков и управления рисками значительно различаются в разных отраслях — от простых оценок до сложного количественного анализа с внушительной документацией. Организация должна планировать и внедрять такие процессы идентификации угроз, оценки рисков, управления рисками, которые отвечают ее потребностям и ситуациям на рабочем месте и обеспечивают соответствие законодательным требованиям в области безопасности.

Процессы выявления угроз безопасности, оценки рисков и менеджмента риска должны быть позиционированы как проактивные, а не как реактивные меры. т. е должны предшествовать введению новых или пересмотренных действий или процедур. Любое необходимое снижение риска и мероприятия по управлению рисками, которые определены, должны быть внедрены до реализации изменений.

Организация должна обеспечивать надлежащую квалификацию персонала, постоянно актуализировать свою методологию, документацию, данные и записи об идентификации угроз, оценке риска и управлении риском в отношении текущей деятельности, а также расширять их для того, чтобы проанализировать новые события и новые (или измененные) виды деятельности, прежде чем эти нововведения будут реализованы.

Процессы идентификации угроз, оценки рисков и менеджмента риска должны применяться не только к текущим операциям/видам детальности объекта и процедурам, но также к периодическим или случайным видам деятельности/процедурам.

Наряду с учетом рисков безопасности и рисков, связанных с деятельностью, осуществляемой собственным персоналом, организация должна принимать во внимание риски для безопасности и ри-

ски. возникающие в связи с деятельностью подрядчиков и посетителей, а также с использованием продуктов или услуг, предоставляемых ей другими организациями.

10 Процессы

Процессы идентификации угроз, оценки риска и менеджмента риска должны быть документированы и включать следующие элементы:

–    идентификацию угроз безопасности;

–    оценку рисков с применением существующих (или предполагаемых) мероприятий по управлению рисками (с учетом подверженности конкретной угрозе безопасности, вероятности возникновения, сбоев в мероприятиях по управлению, потенциальной серьезности последствий, травм, повреждений и непрерывности работы);

–    оценку приемлемости текущего и остаточного риска;

–    определение необходимых дополнительных мер по управлению риском;

–    оценку того, являются ли мероприятия менеджмента риска достаточными для снижения риска до приемлемого уровня.

Дополнительно процессы должны учитывать следующее:

–    характер, сроки, объем и методологию для любой формы идентификации угроз, оценки рисков и менеджмента риска;

–    применимые нормативно-законодательные требования по безопасности или другие требования;

–    функции и полномочия персонала, ответственного за выполнение процессов;

–    уровень компетентности и потребности в обучении (см. 4.4.2) для персонала, который должен выполнять процессы. В зависимости от характера или типа используемых процессов организации может потребоваться оказание внешних рекомендаций или услуг;

–    информацию, представленную сотрудниками безопасности, относительно проверок и действий по непрерывному улучшению (эти действия могут быть реактивными или проактивными).

Ж) Последующие действия

После реализации процессов идентификации угроз, оценки рисков и менеджмента риска;

–    должны быть четкие доказательства того, что любые корректирующие или предупреждающие действия (см. 4.5.2), определенные как необходимые, отслеживаются на предмет их своевременного завершения. Для этого может потребоваться дальнейшая идентификация угроз и оценка риска для того, чтобы отразить предложенные изменения в мерах по управлению рисками и определить пересмотренные оценки остаточного риска;

–    обратная связь о результатах и ходе выполнения корректирующих или предупреждающих действий должна быть направлена руководству в качестве исходных данных для анализа установления пересмотренных или новых целей по безопасности (см. 4.6);

–    организация должна самостоятельно устанавливать соответствие компетенции персонала, выполняющего конкретные задания по безопасности, тому уровню, который определен процессом оценки риска при осуществлении необходимых мероприятий менеджмента риска;

–    должна быть обратная связь по использованию опыта эксплуатации в будущем вышеперечисленных процессов для внесения поправок в них или в данные, на которых они основаны, если это применимо.

2) Действия после первоначальной идентификации угроз, оценки рисков и менеджмента рисков (см. также 4.6)

Процессы идентификации угроз безопасности, оценки рисков и менеджмента рисков следует пересматривать в заранее установленное время или в тот период, который указан в заявлении о политике безопасности. Допустимо, если заранее установленное время определяется руководством и может являться частью процесса анализа, проводимого со стороны руководства (см. 4.6).

Этот период может варьироваться в зависимости от следующих соображений:

–    характер угрозы безопасности;

–    степень риска;

–    изменения в деятельности организации.

Анализ следует также проводить 8 том случае, если изменения, осуществляемые в организации, ставят под сомнение обоснованность действующих оценок рисков. Такие изменения могут включать в себя следующие элементы:

–    расширение, сокращение, реструктуризация, изменения в обьектах/инфраструктуре или аспектах цепи поставок;

–    перераспределение обязанностей;

–    изменение методов работы или моделей поведения при угрозах безопасности со стороны внешних источников.

е) Типовые выходные данные/результаты

Должны быть разработаны документированные процедуры для следующих элементов:

–    идентификация угроз безопасности;

–    определение рисков, связанных с идентифицированными угрозами. Указание уровня рисков, связанных с каждой угрозой безопасности, и их допустимости;

–    описание или ссылка на мероприятия по мониторингу и управлению рисками (см. 4.4.6 и 4.5.1), особенно тех рисков, которые неприемлемы;

–    цель безопасности и действия по снижению выявленных рисков (см. 4.3.3) и любые последующие действия для мониторинга прогресса в их снижении, при необходимости;

–    определение требований к компетентности и обучению для реализации мероприятий по управлению (см. 4.4.2);

–    необходимые мероприятия по управлению, описанные как элементы управления операциями/ деятельностью системы (4.4.6);

–    записи, генерируемые каждой из вышеупомянутых процедур.

4.3.2 Нормативно-законодательные и другие требования по безопасности

а) Требования ИСО 28000

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры:

a)    по идентификации и обеспечению доступа к применимым нормативно-законодательным и иным требованиям, связанным с угрозой ее безопасности и рисками, которые установлены для организации;

b)    определению того, как данные требования применяются к угрозам и рискам безопасности.

Организация должна поддерживать эту информацию в актуальном состоянии. Организация

должна передавать соответствующую информацию о нормативно-законодательных и иных требованиях своим сотрудникам и другим соответствующим третьим сторонам, включая подрядчиков.

b)    Намерения

Организация должна знать и надлежащим образом реагировать на вводимые нормативно-законодательные и другие требования и доводить до соответствующего персонала данную информацию.

Данное требование 4.3.2 из ИСО 28000:2007 предназначено для повышения осведомленности и понимания нормативно-законодательных требований и обязательств, однако не является обязанностью по созданию библиотек юридических или иных документов, потребность в которых минимальна.

c)    Типовые входные данные

Типовые входные данные включают в себя следующие позиции:

–    сведения о цепи поставок организации;

–    результаты идентификации угроз безопасности, оценки рисков и менеджмента риска (см. 4.3.1);

–    лучшие практики (например, кодексы, рекомендации отраслевых ассоциаций);

–    законодательные требования, правительственные кодексы, надлежащие методики и правила межправительственных и торговых ассоциаций;

–    список источников информации;

–    национальные, региональные или международные стандарты;

–    требования по внутренней работе организации;

–    требования заинтересованных сторон;

–    процессы управления динамикой цепи поставок.

d)    Процесс

Должны быть идентифицированы существующие нормативно-законодательные и другие требования в области безопасности. Организация должна определить наиболее соответствующие средства для доступа и сохранения информации, включая средства медиаподдержки (например, бумага, компакт-диск, дисковод. Интернет), а также оценить, какие и где именно требования применяются и кому предназначены.

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают следующие аспекты:

–    процедуры идентификации и оценки информации и ее поддержания в актуальном состоянии;

–    идентификация требований, которые применимы, и где именно они применимы (может быть в виде реестров);

–    требования (фактический текст, резюме или анализ, где это уместно), находящиеся на местах, определенных организацией;

–    процедура мониторинга новых законодательных требований по безопасности.

4.3.3 Цели в области менеджмента безопасности

Организация должна разработать, внедрить и поддерживать в рабочем состоянии документированные цепи менеджмента безопасности для соответствующих функций и уровней управления внутри организации. Цели должны быть определены и согласованы с политикой. При установлении и пересмотре своих целей организация должна учитывать;

a)    действующие нормативно-законодательные требования по безопасности;

b)    угрозы и риски, связанные с безопасностью;

c)    технологические и другие факторы;

d)    финансовые, операционные и другие требования организации;

e)    мнения соответствующих заинтересованных сторон.

Цели менеджмента безопасности должны:

a)    соответствовать обязательствам организации по постоянному улучшению;

b)    быть измеримыми (где это возможно);

c)    быть доведены до сведения всех соответствующих сотрудников и третьих лиц. включая подрядчиков, с целью обеспечения их осведомленности об индивидуальных обязанностях;

d)    периодически пересматриваться для обеспечения актуальности и соответствия политике менеджмента безопасности. При необходимости цели менеджмента безопасности должны быть соответствующим образом изменены.

а) Требования ИСО 28000

b)    Намерения

Необходимо обеспечить, чтобы во всей организации (где это практически возможно) были определены измеримые цели безопасности в соответствии с политикой безопасности.

c)    Типовые входные данные

Типовые входные данные включают следующие аспекты:

–    политика и цели, относящиеся к деятельности организации в целом;

–    политика безопасности, включая обязательства по постоянному улучшению (см. 4.2);

–    результаты идентификации угроз безопасности, оценки рисков и менеджмента риска (см. 4.3.1);

–    нормативно-законодательные и другие требования (см. 4.3.2);

–    технологические варианты;

–    финансовые, операционные и бизнес-требования;

–    проблемы сотрудников и заинтересованных сторон (см. 4.4.3);

–    информация, поступающая от сотрудников по безопасности, относительно оценки и действий по улучшению ситуации на рабочем месте (эти действия могут быть реактивными или проактивными по своему характеру);

–    анализ установленных целей безопасности;

–    записи о выявленных несоответствиях безопасности, инцидентах и материальном ущербе:

–    результаты анализа со стороны руководства (см. 4,6).

d)    Процесс

Используя входные данные, руководство организации должно идентифицировать, разработать и определить приоритеты по целям в области безопасности.

При установлении целей по безопасности особое внимание следует уделять информации или данным, поступающим от тех лиц. которых это может персонально касаться, в связи с тем. что подобные обращения могут помочь обеспечить их разумность и более широкое признание. Также полезно рассмотреть информацию или данные, полученные от источника, внешнего по отношению к организации. например: от подрядчиков, поставщиков, деловых партнеров, полиции и спецслужб или заинтересованных сторон.

Совещания соответствующих уровней руководства управления для разработки целей по безопасности следует проводить регулярно (например, на ежегодной основе). В некоторых организациях при необходимости допустимо документировать процесс разработки целей по безопасности.

Цели по безопасности должны охватывать как проблемы корпоративной безопасности в целом, так и проблемы безопасности, специфичные для цепи поставок, отдельных функций и уровней в организации.

Для каждой цели по безопасности должны быть определены измеримые показатели, при наличии возможности, позволяющие контролировать выполнение цели по безопасности.

Цели по безопасности должны быть разумными и достижимыми для организации, а также позволяющими осуществлять их контроль, направленный на программу производственной деятельности. В организации должен быть график выполнения для реализации каждой цели по безопасности.

Цели по безопасности могут быть разбиты на отдельные подцели в зависимости от размера организации. сложности цели безопасности и времени ее достижения Должны быть четкие связи между различными уровнями целей и измеримыми показателями по безопасности.

Примеры целей безопасности по безопасности включают в себя:

–    снижение уровня риска;

–    внедрение дополнительных функций в систему менеджмента безопасности;

–    шаги, предпринятые для улучшения существующих объектов;

–    устранение или уменьшение частоты конкретного инцидента.

Цели по безопасности должны быть доведены до соответствующего персонала [например, посредством обучения или групповых инструктажей (см. 4.4.2)] и подробно изложены через программы менеджмента безопасности (см. 4.3.4).

е) Типовые выходные данные/результаты

Типовые выходные данные/результаты включают документированные, измеримые (где это практически реализуемо) цели по безопасности относительно каждой функции в организации.

4.3.4 Целевые показатели в области менеджмента безопасности

Организация должна установить, внедрить и поддерживать в рабочем состоянии документированные целевые показатели менеджмента безопасности, соответствующие потребностям организации. Целевые показатели должны быть развернуты и соответствовать целям менеджмента безопасности.

Эти целевые показатели должны быть:

a)    развернутыми, конкретными, измеримыми, достижимыми, реалистичными и ограниченными во времени (где это практически осуществимо) (SMART):

b)    доведенными до сведения всех соответствующих сотрудников и третьих лиц. включая подрядчиков. с целью обеспечения их осведомленности об индивидуальных обязанностях;

c)    периодически пересматриваемыми, чтобы убедиться в том. что они остаются актуальными и соответствуют целям менеджмента безопасности. При необходимости целевые показатели должны быть соответствующим образом изменены.

Требования ИСО 28000

b)    Намерения

Целевые показатели устанавливаются для достижения целей организации в пределах ограниченного промежутка времени.

c)    Типовые входные данные

Типовые входные данные включают в себя:

–    политику и цели, относящиеся к деятельности организации в целом;

–    политику безопасности, включая обязательства по постоянному улучшению (см. 4.2);

–    результаты идентификации угроз, оценки риска и менеджмента риска (см. 4.3.1);

–    нормативно-законодательные требования (см. 4.3.2);

–    технологические варианты;

–    финансовые, операционные требования и бизнес-требования;

–    проблемы сотрудников и заинтересованных сторон (см. 4.4.3);

–    информацию, полученную от сотрудников, по безопасности, оценке и улучшению работы на местах (эта деятельность может быть реактивной и проактивной по своему характеру);

–    анализ разработанных целей по безопасности;

–    записи о прошлых несоответствиях и инцидентах, связанных с безопасностью;

–    результаты анализа со стороны руководства (см. 4.6).

d)    Процесс

Процесс определен в программах безопасности и представляет собой достижимые целевые показатели для выполнения целей.

Используя входные данные организации, соответствующее руководство должно определить и установить приоритеты для достижения целевых показателей. Целевые показатели должны быть конкретными, основанными на временной шкале и измеримыми.

При установлении целевых показателей безопасности особое внимание следует уделять информации или данным, полученным от тех лиц. у кого с наибольшей вероятностью будут персональные целевые показатели безопасности, так как это способствует разумности установления показателей и облегчению их восприятия в организации. Также полезно рассмотреть входные данные, поступающие от внешних источников, например: от подрядчиков, поставщиков, деловых партнеров, представителей федеральных органов или заинтересованных сторон.

Совещания соответствующих уровней руководства по разработке целевых показателей безопасности следует проводить после изменения целей по безопасности. В некоторых организациях допускается документировать процесс установления целевых показателей безопасности.

Целевые показатели безопасности должны охватывать как проблемы корпоративной безопасности в целом, так и проблемы безопасности, характерные для цепи поставок, отдельных функций и определенных уровней в организации.

Для каждого целевого показателя должен быть разработан конкретный количественный индикатор. Этот индикатор должен обеспечивать возможность мониторинга выполнения целевых показателей безопасности.

Целевые показатели безопасности должны быть разумными и достижимыми для организации, а также позволяющими осуществлять их контроль, направленный на производственную деятельность. Следует установить временную шкалу для реализации каждого целевого показателя по безопасности.

Целевые показатели по безопасности могут быть подразделены на отдельные подпоказатели в зависимости от размера организации, сложности целевого показателя безопасности и временной шкалы. Должна быть установлена четкая взаимосвязь между различными уровнями целей и целевых показателей.

Примеры типов целей безопасности включают в себя:

–    снижение уровня риска в течение определенного периода времени;

–    внедрение конкретных новых технологий для снижения риска или смягчения воздействия угроз безопасности;

–    конкретные шаги, предпринимаемые для улучшения существующих объектов в конкретные сроки;

–    устранение или уменьшение частоты возникновения конкретного инцидента.

Целевые показатели безопасности должны быть доведены до соответствующего персонала (например, посредством обучения или групповых инструктажей; см. 4.4.2) и подробно изложены в программе менеджмента безопасности (см. 4.3.4).

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают в себя документированные, измеримые, где это практически возможно, целевые показатели безопасности относительно каждой функции в организации.

4.3.5 Программы менеджмента безопасности

а) Требования ИСО 28000

Организация должна установить, внедрить и поддерживать в рабочем состоянии программы менеджмента безопасности для достижения своих целей и выполнения целевых показателей.

Программы должны быть оптимизированы, расставлены по приоритетам, и организация должна обеспечить результативную и экономически эффективную реализацию этих программ.

Программы должны включать документацию, которая описывает:

а) распределение ответственности и полномочий для достижения целей и целевых показателей менеджмента безопасности;

Ь) средства и сроки достижения целей и целевых показателей менеджмента безопасности. Программы менеджмента безопасности должны периодически пересматриваться на предмет их пригодности для обеспечения эффективности и соответствия целям и задачам. При необходимости в программы должны быть внесены соответствующие изменения.

b)    Намерения

Программы менеджмента безопасности должны быть напрямую связаны с целями и целевыми показателями. В каждой программе должно быть описано, как организация преобразует свои цепи и обязательства в политике в определенные действия для достижения цели безопасности и целевых показателей. Программа потребует разработки стратегий и планов действий, которые должны быть документированы и доведены до сведения персонала. Прогресс реализации программы в отношении достижения заявленной цели должен находиться под контролем, анализироваться и документально оформляться. Стратегия программы сдерживания и минимизации последствий должна быть основана на результатах идентификации угроз и опасностей, оценке рисков (например, анализ воздействия, оценка программы, оперативный опыт).

c)    Типовые входные данные

Типовые входные данные включают в себя следующие элементы:

–    цели и целевые показатели по безопасности;

–    нормативно-законодательные и другие требования;

–    результаты идентификации угроз безопасности, оценки рисков и менеджмента рисков;

–    сведения о деятельности организации;

–    информация, полученная на основе выполненных работ по обеспечению безопасности, проверке и улучшению деятельности работников на рабочем месте (эти действия могут быть реактивными или проактивными по своей природе);

–    анализ реальных возможностей с учетом новых различных или действующих технологических вариантов;

–    действия по постоянному улучшению деятельности;

–    ресурсы, необходимые для достижения целей безопасности организации.

d)    Процесс

Программы менеджмента безопасности должны определять:

–    ответственность за достижение целей;

–    средства для достижения целей;

–    временные рамки достижения целей.

В рамках программы следует рассмотреть возможность снижения угрозы с помощью методологических и технологических вариантов и опыта других организаций, принимая во внимание финансовые, операционные и бизнес-требования, а также мнения партнеров и заинтересованных сторон.

В программе должно быть предусмотрено распределение соответствующей ответственности и полномочий относительно каждой задачи и определены временные рамки для каждого отдельного задания для соответствия общей шкале времени установленной цели безопасности. Следует также предусмотреть распределение необходимых ресурсов из наиболее адекватных источников (например, финансовые, человеческие, оборудование, логистика) для каждого задания.

В тех случаях, когда предполагается внесение значительных изменений или модификаций в методах работы, процессах, оборудовании или средствах, в программе должны быть предусмотрены учения по идентификации новых угроз безопасности и оценке рисков. В курсе программы управления безопасностью следует уделить внимание консультациям с соответствующим персоналом относительно ожидаемых изменений.

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают разработанные и документированные программы менеджмента безопасности для достижения целей и целевых показателей (см. 4.3.3 и 4.3.4).

4.4 Внедрение и функционирование

Планирование

Аудит

Обратная связь по итогам оценки производительности

и корректирующие действия

Рисунок 4 — Внедрение и функционирование

4.4.1 Структура, ответственность и полномочия по менеджменту безопасности

а) Требования ИСО 28000

Для выполнения политики, целей, целевых показателей и программ менеджмента безопасности организация должна установить и поддерживать организационную структуру, распределение ответственности и полномочий.

Данные организационная структура, ответственность и полномочия должны быть определены, задокументированы и доведены до сведения лиц. ответственных за внедрение и поддержание системы в рабочем состоянии.

Высшее руководство должно предоставить свидетельства своей приверженности разработке и внедрению системы (процессов) менеджмента безопасности и постоянному повышению ее эффективности за счет:

a)    назначения представителя высшего руководства, который (независимо от других обязанностей) несет ответственность за общее проектирование, обслуживание, документирование и улучшение системы менеджмента безопасности организации;

b)    назначения представителя (представителей) руководства с необходимыми полномочиями для обеспечения реализации целей и целевых показателей;

c)    выявления и мониторинга требований и ожиданий заинтересованных сторон организации и принятие надлежащих и своевременных мер для управления этими ожиданиями;

d)    обеспечения необходимыми ресурсами;

e)    учета негативного влияния, которое могут оказать политика менеджмента в области безопасности, цели, целевые показатели, программы и т. д. на другие аспекты деятельности организации;

0 обеспечения того, чтобы любые программы по безопасности, созданные в любом подразделении организации, дополняли систему менеджмента безопасности организации;

д) информирования организации о важности соблюдения требований управления безопасностью и выполнения политики;

h)    обеспечения того, чтобы угрозы и риски, связанные с безопасностью, оценивались и включались в систему менеджмента риска и угроз организации, если это применимо;

i)    обеспечения жизнеспособности целей, целевых показателей и программ менеджмента безопасности.

b)    Намерения

Для облегчения эффективного управления безопасностью необходимо, чтобы роли, обязанности и полномочия были определены, задокументированы и доведены до соответствующего персонала. Только ответственный за безопасность персонал (см. определение в разделе 3) должен быть задействован для реализации критических задач безопасности. Должны быть предоставлены адекватные источники ресурсов для четкого выполнения заданий по безопасности

c)    Типовые входные данные

Типовые входные данные включают следующее:

– организационную структуру;

Содержание

1    Область применения………………………………………………………..1

2    Нормативные ссылки………………………………………………………..2

3    Термины, определения и сокращения……………………………………………2

4    Требования к системе менеджмента безопасности цепи поставок……………………….3

4.1    Общие требования………………………………………………………4

4.2    Политика в области менеджмента безопасности…………………………………4

4.3    Оценка рисков безопасности и планирование…………………………………..7

4.4    Внедрение и функционирование……………………………………………16

4.5    Контроль и корректирующие действия……………………………………….26

4.6    Анализ со стороны руководства и постоянное улучшение…………………………37

Приложение А (справочное) Соответствие между стандартами ИСО 28000:2007. ИСО 14001:2004

и ИСО 9001:2000 ………………………………………………..40

Библиография……………………………………………………………..44

–    идентификацию рисков, оценку рисков и результаты управления рисками;

–    цели, целевые показатели и программы по безопасности;

–    нормативные и законодательные требования;

–    должностные инструкции;

–    перечень квалифицированных сотрудников службы безопасности, которые прошли и/или должны пройти оценку благонадежности.

d) Процесс

1)    Обзор

Должны быть определены обязанности и полномочия тех лиц, на которых возложена ответственность в системе менеджмента безопасности, включая четкое определение обязанностей на пересечении различных функций.

Такие определения могут, в частности, потребоваться для следующих категорий сотрудников:

–    высшее руководство;

–    руководители среднего звена на всех уровнях организации;

–    ответственные за подрядчиков и посетителей, которые имеют доступ к помещению и его работникам;

–    ответственные за обучение по безопасности;

–    ответственные за оборудование и операции, которые имеют решающее значение для безопасности;

–    сотрудники, прошедшие оценку благонадежности, или другие специалисты по безопасности внутри организации;

–    сотрудники службы безопасности, предоставляющие консультации на проводимых форумах

Однако организация должна доводить до сведения сотрудников информацию и непреложность

ее реализации относительно того, что безопасность — это ответственность каждого сотрудника организации. а не только ответственность тех. кто наделен определенными обязанностями в системе менеджмента безопасности.

2)    Определение ответственности высшего руководства

В обязанности высшего руководства должны входить разработка политики организации в области безопасности и обеспечение внедрения системы менеджмента безопасности. В рамках этого обязательства высшее руководство должно провести выборы и назначить конкретного представителя руководства с определенными обязанностями и полномочиями для внедрения системы менеджмента безопасности. В крупных или сложных по структуре организациях может быть назначено несколько ответственных представителей.

3)    Определение ответственности представителя руководства

Представитель руководства в области менеджмента безопасности должен нести ответственность и иметь полномочия по обеспечению того, чтобы система менеджмента безопасности была внедрена и документирована. Представитель руководства в области менеджмента безопасности должен иметь постоянный доступ к высшему руководству и поддерживаться другим персоналом, которому делегированы обязанности по мониторингу работы всех функций безопасности организации. Представитель руководства должен регулярно получать информацию о функционировании системы и активно участвовать в регулярном рассмотрении и определении целей безопасности. Следует обеспечить, чтобы любые другие обязанности или функции, возложенные на этих сотрудников, не вступали в противоречие с выполнением ими обязанностей по обеспечению безопасности.

4)    Определение ответственности линейного руководства (менеджеров среднего звена)

Ответственность руководителей среднего звена должна включать обеспечение того, что управление безопасностью осуществляется в пределах его зоны действия. В тех случаях, когда ответственность за вопросы безопасности возложена исключительно на руководителе среднего звена, роль и обязанности отдельной функции безопасности в организации должны быть надлежащим образом определены во избежание двусмысленности в отношении ответственности и полномочий. С этой целью следует проводить мероприятия по разрешению любого конфликта, возникающего из-за проблем безопасности, с одной стороны, и соображений производительности — с другой, путем перехода на более высокий уровень управления.

5)    Документирование ролей и ответственности

Ответственность и полномочия по безопасности должны быть задокументированы по форме, выбранной организацией. Это может быть одна или несколько из следующих форм (при этом организация может выбрать альтернативную форму):

Введение

ИСО 28000 2007 «Спецификация для систем менеджмента безопасности цепи поставок» и настоящий стандарт разработаны в связи с необходимостью разработки унифицированного стандарта системы управления цепями поставок с целью оценки и сертификации системы управления безопасностью, а также руководства по реализации данного стандарта.

ИСО 28000 согласован со стандартами систем менеджмента ИСО 9001:2000 «Качество» и ИС014001:2004 «Экология», что будет способствовать интеграции систем качества, охраны окружающей среды и управления цепями поставок организаций.

Кахздый пункт/подпункт настоящего стандарта предваряет полные требования ИСО 28000, после которых следует соответствующее руководство. Нумерация разделов и пунктов настоящего стандарта соответствует нумерации разделов и пунктов ИСО 28000.

При целесообразности настоящий стандарт может быть пересмотрен или изменен, в случае пересмотра положений ИСО 28000

Настоящий стандарт не подразумевает включение всех необходимых положений договора, заключенного между операторами цепи поставок, поставщиками и заинтересованными сторонами, однако пользователи несут ответственность за его правильное применение.

Соблюдение требований настоящего стандарта не освобождает от исполнения юридических обязательств.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 1

Общие принципы

Security management systems for the supply chain.

Guidelines for the implementation of ISO 28000 Part 1 General principles

Дата введения — 2020—07—01

1 Область применения

Настоящий стандарт содержит общие рекомендации по применению ИСО 28000:2007 «Спецификация дпя систем управления безопасностью для цепи поставок».

В настоящем стандарте приведены основные принципы ИСО 28000. отражающие намерения, типовые входные данные, процессы и типовые выходные данные требований ИСО 28000, что направлено на четкое толкование и эффективное внедрение ИСО 28000.

ИСО 28000

1 Область применения

Настоящий стандарт определяет требования к системе управления безопасностью, включая аспекты, являющиеся критическими для обеспечения безопасности цепи поставок. Менеджмент безопасности связан со многими другими аспектами управления деятельностью. Данные аспекты включают в себя все виды деятельности, управляемые или находящиеся под влиянием организации, которые воздействуют на безопасность цепи поставок. Эти аспекты должны рассматриваться непосредственно там и тогда, где и когда они оказывают влияние на менеджмент безопасности, включая транспортирование этих товаров в цепи поставок.

Настоящий стандарт применим к организациям всех размеров (от малых до многонациональных). занятым в производстве, обслуживании, хранении, транспортировании на любом этапе производства или цепи поставок, которые заинтересованы в том. чтобы:

a)    создавать, внедрять, поддерживать и улучшать систему менеджмента безопасности;

b)    обеспечивать соответствие заявленной политике менеджмента безопасности;

c)    демонстрировать такое соответствие другим;

d)    добиться сертификации/регистрации системы менеджмента безопасности аккредитованным органом сертификации третьей стороны;

e)    самостоятельно определять и декларировать соответствие настоящему стандарту.

Настоящий стандарт не распространяется на дополнительные требования к указанным в ИСО 28000 и не предусматривает обязательных способов для внедрения ИСО 28000.

Издание официальное

Существуют нормативные и законодательные требования и кодексы, которые касаются некоторых требований настоящего стандарта. Требование дублирующей демонстрации соответствия целью настоящего стандарта не является.

Организации, выбирающие сертификацию третьей стороной, могут дополнительно продемонстрировать. что они вносят значительный вклад в безопасность цепи поставок

2    Нормативные ссылки

В настоящем стандарте нормативные ссылки отсутствуют. Этот пункт включен для того, чтобы сохранить нумерацию, аналогичную ИСО 28000.

3    Термины, определения и сокращения

В настоящем стандарте используются следующие термины с соответствующими определениями:

3.1    средство (facility): Установки, машины, имущество, здания, транспортные средства, корабли, портовые сооружения и другие объекты инфраструктуры или установки и связанные с ними системы, которые имеют четко выраженную и поддающуюся количественной оценке функцию деятельности или услуги.

Примечание — Данный термин включает любой программный продукт, имеющий решающее значение для обеспечения безопасности и применения менеджмента безопасности

3.2    безопасность (security): Противодействие преднамеренному, несанкционированному действию. предназначенному для причинения вреда или повреждения цепи поставок.

3.3    менеджмент безопасности (security management): Систематическая и скоординированная деятельность и практики, посредством которых организация оптимально управляет своими рисками, а также связанными с ними потенциальными угрозами и их влиянием.

3.4    цель менеджмента безопасности (security management objective): Конкретный результат или достижение требуемого уровня безопасности в целях соответствия политике менеджмента безопасности.

Примечание — Крайне важно, чтобы такие результаты были прямо или косвенно связаны с реализацией продуктов, товаров или услуг, предоставляемых всей компанией своим клиентам или конечным потребителям

3.5    политика менеджмента безопасности (security management policy): Общие намерения и направления деятельности организации, связанные с безопасностью и структурой для контроля процессов и деятельности, связанных с безопасностью, которые вытекают из политики и нормативных требований организации и согласуются с ними.

3.6    программы менеджмента безопасности (security management programmes): Средства, с использованием которых достигается цель управления безопасностью.

3.7    целевые показатели менеджмента безопасности (security management target): Определенный уровень результатов деятельности, необходимый для достижения цели менеджмента безопасности.

3.8    заинтересованная сторона/стейкхолдер (stakeholder): Физическое или юридическое лицо, заинтересованное в эффективности, успехе или результативности деятельности организации.

Примечание — Например, клиенты, акционеры, финансовые компании, страховые компании, регулирующие органы, государственные органы, сотрудники, подрядчики, поставщики, профсоюзы или общество

3.9    цепь поставок (supply chain): Набор взаимосвязанных ресурсов и процессов, который начинается с поиска сырья и распространяется через доставку продуктов или услуг конечному потребителю посредством различных видов транспорта.

Примечание — Цепь поставок может включать поставщиков логистических услуг, производственные мощности, внутренние распределительные центры, дистрибьюторов, оптовых торговцев и другие организации, которые ведут к конечному пользователю.

3.9.1    фаза постконтроля (downstream): Действия, процессы и движения груза в цепи поставок, которые происходят после того, как груз выходит из-под непосредственного оперативного контроля организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим.

3.9.2    фаза предконтроля (upstream): Действия, процессы и движения груза в цепи поставок, которые происходят прежде, чем груз оказывается под непосредственным оперативным контролем организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим.

3.10    высшее руководство (top management). Лицо или группа людей, осуществляющих руководство и управление организацией на самом высоком уровне.

Примечание — Высшее руководство (особенно большой транснациональной организации) может не рассматриваться в личном плане как элемент, входящий в систему, описываемую настоящим стандартом Однако ответственность высшего руководства на всех уровнях системы должна четко прослеживаться

3.11    постоянное улучшение (continual improvement): Повторяющийся процесс совершенствования системы менеджмента безопасности с целью улучшения общих показателей безопасности в соответствии с политикой безопасности организации.

В настоящем стандарте применены термины и определения по ИСО 28000, а также следующие термины с соответствующими определениями:

3.12    риск (risk): Вероятность возникновения угрозы безопасности организации и ее последствия.

3.13    проверка благонадежности (security cleared): Процесс верификации надежности людей, которые будут иметь доступ к конфиденциальным материалам в отношении безопасности организации.

3.14    угроза (threat): Возможное преднамеренное действие или ряд действий, которые могут нанести ущерб любой из заинтересованных сторон, объектам, операциям, цепи поставок, обществу, экономической стабильности или непрерывности деятельности и целостности организации.

Политика

менеджмента

безопасности

Планирование безопасности:

–    оисмса риска;

–    нормативно-законодательные требования;

–    цели и задачи безопасности;

–    программы менеджмента безопасности

Внедрение и функционирование: – ответственность и компетентность; обмен информацией; документация; управление операциями; готовность к чрезвычайным ^ обстоятельствам

Анализ со стороны руководства и постоянное улучшение

Рисунок 1 — Элементы системы менеджмента безопасности

4 Требования к системе менеджмента безопасности цепи поставок

Контроль и корректирующие действия:

•    измерения и мониторинг;

–    система оценки; -несоответствия

и предупреждающие действия;

•    записи;

–    аудит

4.1 Общие требования

а) Требования ИСО 28000

Организация должна разработать, задокументировать, внедрять, поддерживать в рабочем состоянии систему менеджмента безопасности, постоянно улучшать ее результативность для выявления угроз безопасности, оценки рисков, контроля и смятения их последствий.

Организация должна постоянно повышать эффективность своей деятельности в целом в соответствии с требованиями, изложенными в настоящем разделе.

Организация должна определить область применения своей системы менеджмента безопасности. Если организация решает передать на аутсорсинг определенный процесс, влияющий на соответствие требованиям настоящего стандарта, то она должна обеспечить контроль таких процессов. Необходимые средства контроля и обязанности по контролю за выполнением данных процессов должны быть определены в системе менеджмента безопасности.

b)    Намерения

Организация должна разработать и поддерживать в рабочем состоянии систему менеджмента, которая соответствует всем требованиям ИСО 28000 Это может помочь организации в соблюдении правил безопасности и нормативно-законодательных требований.

Уровень детализации и сложности системы менеджмента безопасности, обьем документации и выделенные ей ресурсы зависят от размера и специфики структуры организации, а также характера ее деятельности.

Организация, руководствуясь свободой выбора и гибкостью в определении своих границ, может принять решение о внедрении ИСО 28000 в полном обьеме исключительно в конкретных подразделениях или для определенных видов деятельности.

Организации следует взвешенно относиться к вопросам определения границ и области применения системы менеджмента, чтобы не ограничивать свою сферу деятельности, исключая из оценки операцию или вид деятельности, необходимые для осуществления деятельности организации в целом или влияющие на безопасность ее сотрудников и других заинтересованных сторон.

Если требования ИСО 28000 применяют для проведения конкретной операции, то политика безопасности. разработанная другими подразделениями организации, может быть использована отдельным блоком операций/видов деятельности, способствующим выполнению требований ИСО 28000. В этом случае политика безопасности может быть подвергнута незначительному пересмотру или изменению для обеспечения ее применимости к осуществлению работы конкретного операционного подразделения или к виду деятельности организации

c)    Типовые входные данные

Все требования, указанные в ИСО 28000.

d)    Типовые выходные данные/результат

Типовым результатом является эффективно внедренная и поддерживаемая система управления безопасностью, которая помогает организации осуществлять улучшение.

4.2 Политика в области менеджмента безопасности

Рассмотрение

i

Политика

Рисунок 2 — Политика менеджмента безопасности

Планирование

а) Требования ИСО 28000

Высшее руководство организации должно утвердить общую политику менеджмента в области безопасности. Политика должна:

a)    соответствовать другим политикам организации;

b)    определять структуру, которая позволяет разрабатывать конкретные цели, целевые показатели и программы менеджмента безопасности;

c)    соответствовать общей структуре управления угрозами и рисками безопасности в организации;

d)    соответствовать угрозам организации, характеру и масштабам ее деятельности;

e)    четко формулировать общие цели управления безопасностью;

О включать обязательство постоянно улучшать процесс управления безопасностью;

д) включать обязательство соблюдать действующие нормативно-законодательные и иные требования. применимые к организации;

h)    быть официально одобренной высшим руководством;

i)    быть задокументирована, внедрена и поддерживаться в рабочем состоянии;

j)    быть доведена до сведения всего соответствующего персонала и третьих лиц. включая подрядчиков и посетителей, с целью ознакомления этих лиц с их индивидуальными обязательствами, связанными с менеджментом безопасности;

k)    быть доступной для заинтересованных сторон, если это необходимо;

l)    обеспечивать пересмотр политики в случае приобретения или слияния с другими организациями или другого изменения сферы деятельности организации, которая может повлиять на непрерывность или актуальность системы менеджмента безопасности.

Примечание — Для внутреннего использования в организации допускается детализированная политика менеджмента безопасности, которая содержит цели по направлениям деятельности организации для управления системой менеджмента безопасности (части которой могут быть конфиденциальными), и общедоступная (не конфиденциальная) версия, содержащая общие цели для распространения среди основных заинтересованных сторон и других заинтересованных лиц

b)    Намерения

Политика безопасности — это краткое изложение обязательств высшего руководства по обеспечению безопасности деятельности организации. Политика безопасности формирует общие направления и устанавливает принципы действий для организации, определяет цели безопасности и результаты деятельности всей организации. Политика безопасности должна быть разработана, утверждена высшим руководством организации и документально оформлена.

c)    Типовые входные данные

При разработке политики в области безопасности руководство должно рассмотреть следующие вопросы в отношении своей цепи поставок:

–    политика и цели деятельности организации представляет собой единое целое;

–    рассмотрение прошлых и настоящих результатов деятельности в области безопасности с целью стабильности организации;

–    потребности заинтересованных сторон;

–    необходимость и возможность постоянного улучшения и эффективного роста;

–    потребность в ресурсах;

–    вклад сотрудников;

–    участие подрядчиков, заинтересованных сторон и другого внештатного персонала.

d)    Процесс

При разработке и утверждении политики в области безопасности высшее руководство должно учитывать пункты, перечисленные ниже.

Эффективно сформулированная и доведенная до персонала политика в области безопасности должна:

1) соответствовать характеру и масштабу рисков безопасности организации.

Идентификация угроз, оценка риска и управление рисками должны быть отражены в политике безопасности организации, что является основой эффективной системы менеджмента безопасности.

Политика безопасности должна включать видение будущего организации. Оно должно быть реалистичным и не учитывать природу рисков, с которыми сталкивается организация;

2)    включать обязательства относительно постоянного улучшения.

Глобальные угрозы в сфере безопасности усиливают давление на организацию с целью снижения риска инцидентов в цепи поставок. Помимо исполнения национальных правовых и нормативных обязательств. а также других нормативно-законодательных требований и руководств, подготовленных соответствующими организациями, такими как Всемирная торговая организация (ВТО), организация должна стремиться к улучшению своих показателей безопасности и совершенствованию собственной системы менеджмента безопасности эффективным и действенным образом для удовлетворения меняющихся глобальных торговых, деловых и нормативно-законодательных требований.

Планируемые результаты улучшений должны быть отражены в целях по безопасности (см. 4.3.2) и программах менеджмента безопасности (см. 4.3.5), а также в политике в области безопасности. При этом заявление о политике безопасности может включать в себя обязательства в расширенной области действия;

3)    включать обязательство, как минимум, соответствовать действующим нормативно-законодательным и другим требованиям, относящимся к организации.

Необходимо, чтобы организация соответствовала применимым регуляторным требованиям. Обязательство политики в области безопасности — это публичное признание организацией того, что она обязана соблюдать законодательные или другие юридически обязательные требования или принятые добровольно, такие как рамочные стандарты безопасности ВТО.

Примечание — Термин «другие юридически обязательные требования» может означать, например, корпоративные политики или политики объединений, собственные внутренние стандарты организации, спецификации и коды надлежащей практики, которые организация обязалась выполнять),

4)    документироваться, внедряться и поддерживаться в рабочем состоянии.

Планирование и подготовка — это основной способ эффективного внедрения. Часто предложения о политике безопасности, а также цели в области безопасности являются нереалистичными, так как на них не выделяются соответствующие средства и компетентный персонал. Перед публичным декларированием политики следует предусмотреть, чтобы все необходимые финансовые ресурсы, другие источники и высокопрофессиональные сотрудники были задействованы в реализации целей в области безопасности в запланированный период.

Для того чтобы обеспечить результативность политики в области безопасности, необходимо, чтобы она была документально оформлена, актуализировалась и периодически пересматривалась на предмет ее приемлемости;

5)    доводиться до всего персонала для информирования сотрудников об их персональной ответственности за безопасность.

Вовлечение и ответственность персонала является важнейшим условием эффективной безопасности организации.

Сотрудники должны быть осведомлены о влиянии управления безопасностью на качество их собственной рабочей среды. Сотрудников следует поощрять к активному участию в управлении безопасностью.

Персонал (на всех уровнях, включая уровни управления) не сможет внести эффективный вклад в управление безопасностью, если он не вполне четко понимает политику безопасности организации и свои обязанности и не обладает в полной мере компетентностью для выполнения необходимых задач.

Для того чтобы сотрудники вносили эффективный вклад в управление безопасностью, необходимо, чтобы организация доводила до сведения всех сотрудников свою политику и цели безопасности и предоставляла инструментарий, чтобы у них была структура, с помощью которого они могли бы оценить свои результаты в области безопасности;

6)    быть доступной для заинтересованных сторон.

Лицо или группа лиц (как внутренние, так и внешние), работа которых связана с показателями безопасности организации или попадающие под их влияние, будут заинтересованы в заявлении о политике безопасности. Следовательно, должен существовать процесс для доведения до них политики безопасности и обеспечивать ознакомление с политикой безопасности заинтересованных сторон при необходимости;

7)    пересматриваться на предмет постоянной пригодности и соответствия деятельности организации.

В связи с изменениями правовых и законодательных норм политику в области безопасности и систему менеджмента безопасности организации следует регулярно пересматривать для обеспечения их актуальности и эффективности.

1 Область применения

2 Нормативные ссылки

3 Термины, определения и сокращения

4 Требования к системе менеджмента безопасности цепи поставок

     4.1 Общие требования

     4.2 Политика в области менеджмента безопасности

     4.3 Оценка рисков безопасности и планирование

     4.4 Внедрение и функционирование

     4.5 Контроль и корректирующие действия

     4.6 Анализ со стороны руководства и постоянное улучшение

Приложение А (справочное) Соответствие между стандартами ИСО 28000:2007, ИСО 14001:2004 и ИСО 9001:2000

Библиография

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30
Николай Иванов

Эксперт по стандартизации и метрологии! Разрешительная и нормативная документация.

Оцените автора
Все-ГОСТЫ РУ
Добавить комментарий