ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Устойчивость цепи поставок. Требования и руководство по применению

(ISO 28002:2011, ЮТ)

Издание официальное

Москва

Стандартннформ

2020

Предисловие

1    ПОДГОТОВЛЕН Автономной некоммерческой организацией «Международный менеджмент, качество, сертификация» (АНО «ММКС») совместно с Обществом с ограниченной ответственностью «Палекс» (ООО «Палекс»), Ассоциацией по сертификации «Русский Регистр» на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. № 1434-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 28002:2011 «Системы менеджмента безопасности для цепи поставок Развитие устойчивости в цепи поставок. Требования и руководство по применению» (ISO 28002:2011 «Security management systems for the supply chain — Development of resilience in the supply chain — Requirements with guidance for use». IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения его в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных меэеду-народных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (mw/.gost.ru)

© ISO, 2011 — Все права сохраняются ©Стандартинформ. оформление. 2020

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

3.4    аудитор (auditor): Лицо, обладающее личными качествами и компетенцией для проведения аудита.

3.5    постоянное улучшение (continual improvement): Повторяющаяся деятельность для улучшения способности выполнять требования.

Примечание — Процесс разработки целей и поиска возможностей для улучшения является непрерывным процессом с использованием результатов аудита и выводов аудита, анализа данных, анализа со стороны руководства или других средств и. как правило, приводит к корректирующим или предупреждающим действиям

3.6    соответствие (conformity): Выполнение требований.

3.7    последствие (consequence): Результат события, влияющий на достижение целей.

(Руководство ИСО 73:2009, определение 3.6.1.3]

Примечания

1    Событие может привести к ряду последствий

2    Последствие может быть определенным или неопределенным и может оказывать положительное или отрицательное влияние на цели

3    Последствие может быть выражено качественно или количественно

4    Первоначальные последствия могут обостряться через побочные эффекты

3.8    непрерывность (continuity): Стратегические и тактические возможности, предварительно одобренные руководством организации, для планирования и реагирования на условия, ситуации и события для продолжения деятельности на приемлемом предварительно определенном уровне.

Примечание — Термин «непрерывность», используемый в настоящем стандарте, является более общим термином для непрерывности операций и деятельности, чтобы гарантировать способность организации продолжать работать за пределами нормальных условий работы Это относится не только к коммерческим компаниям, но и к организациям любых видов деятельности, например неправительственным, общественным и государственным организациям

3.9    корректирующие действия (corrective action): Действия, предпринятые для устранения причины обнаруженного несоответствия.

Примечания

1    У несоответствия может быть несколько причин

2    Для предотвращения повторения предпринимают корректирующие действия, а для предотвращения возникновения — предупреждающие действия

3.10    кризис (crisis): Нестабильное состояние, связанное с предстоящим резким или значительным изменением, требующим неотложного внимания и действий для защиты жизни, активов.

3.11    кризисное улравление/кризис менеджмент (crisis management): Целостный процесс управления. выявляющий потенциальные воздействия, которые угрожают организации, и обеспечивающий основу для повышения устойчивости с возможностью эффективного реагирования. Данный процесс управления защищает интересы ключевых заинтересованных сторон организации, репутацию, бренд и деятельность по созданию ценности, а также эффективное восстановление функциональных возможностей.

Примечание — Кризисное управление также включает в себя управление готовностью, реагированием на изменения и непрерывностью или восстановлением в случае инцидента, а также управление всей программой посредством обучения, учений и проверок, чтобы гарантировать, что планы готовности, реагирования и непрерывности продолжают оставаться актуальными и обновляются

3.12    команда (группа) кризисного управления (менеджмента) (crisis management team): Группа лиц, функционально ответственная за руководство разработкой и выполнением плана реагирования и обеспечения непрерывности деятельности, декларирование сбоя или чрезвычайной/кризисной ситуации, а также обеспечение руководства в процессе восстановления, как до, так и после разрушительного инцидента.

Примечание — Команда кризисного управления может включать непосредственных участников, привлеченных сотрудников организации, представителей заинтересованных сторон и других вовлеченных лиц

3.13    критически (critically): Имеет важное значение в отношении целей и/или результатов.

3.14    анализ критичности (criticality analysis): Процесс, предназначенный для систематической идентификации и оценки активов организации на основе важности для ее миссии или функций, группы людей, подверженных риску, или значимости нарушения непрерывности деятельности организации.

3.15    бедствие (disaster): Событие, которое наносит большой ущерб или потери.

3.16    нарушение/срыв (disruption): Ожидаемое или непредвиденное событие, которое прерывает нормальные функции, операции или процессы (например, суровые погодные условия, политические или трудовые беспорядки, отключение коммунальных услуг, криминальный/террористический акт, технологический сбой или землетрясение).

Примечание — Нарушение может быть вызвано как положительными, так и отрицательными факторами, которые нарушают нормальные функции, операции или процессы

3.17    документ (document): Информация и носитель, который ее содержит.

Примечание — Носитель может быть бумажный, магнитный, электронный или оптический компьютерный диск, фотография или мастер-копия, или их комбинация

3.18    чрезвычайная ситуация (emergency): Внезапное, срочное, обычно неожиданное, событие или событие, требующее немедленных действий.

Примечание — Чрезвычайная ситуация, как правило, является разрушительным событием или состоянием, которое часто можно предвидеть или подготовить, но которое редко бывает точно предвиденным

3.19    учения (exercises): Периодические мероприятия, предназначенные для оценки эффективности членов команды кризисного управления, команды реагирования и персонала при выполнении политики управления устойчивостью.

Примечания

1    Учения включают действия, выполняемые с целью обучения и подготовки членов команды и персонала к соответствующему реагированию с целью достижения максимальных результатов деятельности.

2    Учения могут включать репетицию процедур предотвращения, реагирования и/или обеспечения непрерывности. но более вероятно, что они будут включать моделирование инцидента, заранее объявленного или без предварительного уведомления, в котором участники разыгрывают ролевую игру, чтобы оценить до момента возникновения фактического инцидента, какие проблемы могут возникнуть

3.20    эвакуация (evacuation): Организованное, поэтапное и контролируемое расселение людей из опасных или потенциально опасных районов в безопасные места.

3.21    событие (event): Возникновение или изменение определенного набора обстоятельств.

[Руководство ИСО 73:2009. определение 3.5.1.3)

Примечания

1    Событий может быть одно или несколько, одно событие может иметь несколько причин

2    В рамках события может не происходить ничего негативного

3    Иногда событие можно назвать «инцидентом» или «несчастным случаем»

4    Событие без последствий называется «почти ошибка», «инцидент», «ложные срабатывания»

3.22    средство (facility): Установки, машины, имущество, здания, транспортные средства, корабли. портовые сооружения и другие объекты инфраструктуры или установки и связанные с ними системы. имеющие четко выраженную и поддающуюся количественной оценке функцию деятельности или услуги.

3.23    опасность (hazard): Источник потенциального вреда.

[Руководство ИСО 73:2009. определение 3.5.1.4)

Примечание — Опасность может быть источником риска

3.24    воздействие (impact): Оцениваемое последствие определенного результата.

3.25    анализ воздействия/анализ последствия (impact (consequence) analysis): Процесс анализа всех функций деятельности и влияния, которое может оказать на них прерывание работы.

Примечание — Анализ воздействия является частью процесса оценки риска и включает анализ воздействия на деятельность идентификацию критически важных бизнес-активов, функций, процессов и ресурсов, оценку потенциального ущерба или убытков, которые могут быть причинены организации в результате нарушений/ срывов или изменения в деятельности или среде организации Анализ воздействия определяет

-    как потеря или повреждение проявятся;

-    степень потенциального увеличения ущерба или потерь со временем, после инцидента,

-    минимальные услуги и ресурсы (человеческие, физические и финансовые), необходимые для того, чтобы бизнес-процессы продолжали функционировать на минимально приемлемом уровне;

-    объем и сроки втечение которого деятельность, функции и услуги организации должны быть восстановлены

3.26    инцидент (incident): Событие, которое может привести к человеческим, нематериальным или физическим потерям или нарушению/срыву операций, услуг или функций организации, которые, если не будут выполнены, могут перерасти в чрезвычайную ситуацию, кризис или бедствие.

3.27    целостность (integrity): Свойство сохранения точности и полноты активов

3 28 вероятность возникновения/правдоподобность появления события (likelihood): Шанс, что что-то произойдет.

(Руководство ИСО 73:2009. определение 3.6 1.1]

Примечание — В терминологии управления рисками слово «вероятность» используется для обозначения вероятности чего-либо происходящего, определенного, измеренного или определенного объективно или субъективно, качественно или количественно и описанного с использованием общих терминов или математически (например, вероятность или частота за определенный период времени)

3 29 план управления (management plan): Четко определенный и документированный план действий. обычно охватывающий ключевой персонал, ресурсы, услуги и действия, необходимые для реализации процесса управления.

3.30    минимизация последствий (mitigation): Ограничение любых негативных последствий конкретного инцидента.

3.31    соглашение о взаимопомощи (mutual aid agreement): Предварительно согласованное соглашение, разработанное между двумя или более организациями для оказания помощи сторонам соглашения.

3.32    несоответствие (nonconformity): Невыполнение требования.

3.33    цель (objective): Общая цель в соответствии с политикой, которую организация ставит перед собой.

3.34    организация (organization): Группа людей (и средств) с распределением обязанностей, полномочий и отношений.

Пример — Публичная или частная компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, индивидуальный предприниматель, ассоциация или их части и комбинации.

3.35    политика (policy): Общие намерения и направления деятельности организации, сформулированные и выраженные высшим руководством.

Примечание — В настоящем стандарте описаны требования для одной такой политики — политики устойчивости цепи поставок

3.36    готовность (preparedness/readiness): Мероприятия, программы и системы, разработанные и реализованные до инцидента, которые могут быть использованы для усиления поддержки и предупреждения, защиты, минимизации последствий, реагирования и восстановления после нарушений/ срывов, чрезвычайных ситуаций или бедствий.

3.37    предупреждение (prevention): Мероприятия, позволяющие организации избежать, исключить или ограничить вероятность или последствия нарушения/срыва.

3.38    предупреждающие действия (preventive action): Действия по устранению причины потенциального несоответствия или другой нежелательной ситуации.

Примечания

1    Может быть несколько причин потенциального несоответствия

2    Предупреждающие действия предпринимаются для предотвращения возникновения, тогда как корректирующие действия — для предотвращения повторения

3.39    предупреждение опасностей и угроз (prevention of hazards and threat): Процессы, практики, методы, материалы, продукты, услуги или ресурсы, используемые для предотвращения, уменьшения или управления опасностями и угрозами и связанными с ними рисками любого типа с целью уменьшения их потенциальной вероятности или последствий.

3.40    возможность/вероятность (probability): Мера возможности появления события, выражаемая действительным числом из интервала от 0 до 1. где 0 соответствует невозможному, а 1 —достоверному событию.

[Руководство ИСО 73:2009. определение 3.6.1.4)

Примечание — См также 3 28

3.41    процедура (procedure): Установленный порядок выполнения деятельности или процессов.

Примечания

1    Процедура может быть в любой форме и на любом носителе.

2    Если процедура представлена в письменной форме, используется термин «документированная процедура»

3    Документ, содержащий процедуру, может называться процедурой

3.42    запись (record): Документ с указанием достигнутых результатов или с подтверждением выполненных действий.

Примечания

1    Записи могут использоваться, например, для документирования прослеживаемости и предоставления доказательств проверки, предупреждающих и корректирующих действий

2    Как правило, записям не присваивается номер редакции

3.43    остаточный риск (residual risk): Риск, оставшийся после воздействия на риски.

[Руководство ИСО 73:2009. определение 3.8.1.6)

Примечания

1    Остаточный риск может содержать неопознанный риск

2    Остаточный риск также может быть известен как «оставшийся риск»

3.44    устойчивость (resilience): Способность справиться и адаптироваться к сложной и изменяющейся среде.

[Руководство ИСО 73:2009, определение 3.8.1.7)

Примечания

1    Устойчивость — это способность организации предотвращать или сопротивляться воздействию события или способность возвращаться к приемлемому уровню результатов деятельности и в приемлемый период времени после воздействия события

2    Устойчивость — это способность системы поддерживать свои функции и структуру перед лицом внутренних и внешних изменений, которая может постепенно ухудшаться

3.45    ресурсы (resources): Любые активы (человеческие, физические, информационные или нематериальные). объекты, оборудование, материалы, продукты или отходы, которые имеют потенциальную ценность и могут быть использованы.

3.46    план реагирования (response plan): Документированный сборник процедур и информации, разрабатываемых, комплектуемых, поддерживаемых в состоянии готовности для использования при возникновении инцидента.

3.47    программа реагирования (response program): Планирование, процессы и ресурсы для выполнения действий и услуг, необходимых для сохранения и защиты жизни, имущества, операций и критически важных активов.

Примечание — Действия по реагированию обычно включают в себя распознавание инцидента, уведомление. оценку, декларирование, выполнение плана, обмен информацией и управление ресурсами

3.48    группа реагирования/команда реагирования (response team): Группа лиц, ответственных за разработку, выполнение учения и поддержание плана реагирования, включая процессы и процедуры.

3.49    риск (risk): Влияние неопределенности на достижение поставленных целей.

[Руководство ИСО 73:2009. определение 1.1]

Примечания

1 Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

2    Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу)

3    Риск часто характеризуют путем описания возможного события и его последствий или их сочетания

4    Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности

5    Неопределенность — это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей

3.50    принятие риска (risk acceptance): Обоснованное решение о принятии риска.

(Руководство ИСО 73:2009. определение 3.7.1.6)

Примечания

1    Принятие риска может происходить без обработки риска или в процессе обработки риска

2    Принятые риски подлежат мониторингу и последующему анализу

3.51    анализ риска (risk analysis): Процесс изучения природы и характера риска и определения уровня риска.

(Руководство ИСО 73:2009. определение 3.6.1)

Примечания

1    Анализ риска обеспечивает основу для оценки риска и принятия решений относительно обработки риска

2    Анализ риска включает оценку риска

3.52    оценка риска (risk assessment): Процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.

(Руководство ИСО 73:2009. определение 3.4.1)

Примечание — Оценка риска включает процесс выявления внутренних и внешних угроз и уязвимостей, выявления вероятности и последствий события, возникающего из-за таких угроз или уязвимостей, определение критических функций, необходимых для продолжения деятельности организации, определение элементов управления, необходимых для уменьшения подверженности риску, и оценку стоимости таких элементов управления

3.53    информирование о риске (risk communication): Обмен или распространение информации о риске между лицом, принимающим решения, и другими заинтересованными сторонами.

Примечания

1    Руководство ИСО/МЭК 73 2002 (определение 3 2 4), которое было изъято и заменено Руководством ИСО 732009

2    Информация может относиться к существованию, природе, форме, вероятности, серьезности, приемлемости. обработке или другим аспектам риска

3.54    критерий риска (risk criteria): Совокупность факторов, по сопоставлению с которыми оценивают значимость риска (1.1).

(Руководство ИСО 73:2009, определение 3.3.1.3)

Примечания

1    Критерии риска основаны на целях организации, а также на ее внешней и внутренней среде

2    Критерии риска могут быть рассчитаны

3.55    менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска.

(Руководство ИСО 73:2009, определение 2.1)

Примечание — Менеджмент риска обычно включает оценку рисков, обработку рисков, принятие рисков и информирование о рисках

3.56    снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности, негативных последствий (или того и другого), связанных с риском.

Примечание — Из Руководства ИСО/МЭК 73:2002. определение 3 4 4. которое было изъято и заменено на Руководство ИСО 73 2009

3.57    передача риска/разделение риска (risk sharing (transfer): Форма обработки риска, включающая согласованное распределение риска с другими сторонами.

[Руководство ИСО 73:2009. определение 3.8.1.3]

Примечания

1    Законодательные или обязательные требования могут ограничивать, запрещать или поручать передачу определенного риска

2    Разделение риска может быть осуществлено посредством страхования или других форм контракта

3    Степень, в которой риск разделяется, может зависеть от надежности и ясности соглашений о совместном использовании

4    Передача риска является формой разделения риска

3.58    допустимый риск (risk tolerance): Риск, который организация и причастные стороны готовы сохранять после обработки риска для достижения своих целей.

3.59    воздействие на риск (risk treatment): Процесс модификации риска.

[Руководство ИСО 73:2009, определение 3.8.1]

Примечания

1    Обработка рисков может включать

-    избегание риска, принимая решение не начинать или продолжать деятельность, которая порождает риск:

-    принятие или увеличение риска, чтобы воспользоваться возможностью.

-    устранение источника риска,

-    изменение вероятности:

-    изменение последствий;

-    разделение риска с другой стороной или сторонами (вклкная контракты и финансирование рисков) и сохранение риска путем осознанного выбора

2    Обработка рисков, которая имеет дело с негативными последствиями, иногда называется «смягчение риска». «перенос риска», «ограничение риска», «предотвращение риска» и «снижение риска»

3    Обработка рисков может создать новые риски или изменить существующие риски

3.60    защищенностьУбезопасность (security): Состояние защиты от опасностей, угроз, рисков или потери.

Примечание — В общем смысле защищенность — это концепция, аналогичная безопасности Различие между ними заключается в дополнительном акценте на защиту от опасностей, исходящих извне

3.61    аспекты безопасности/защищенности (security aspects): Конкретные характеристики, элементы или свойства, снижающие риск непреднамеренных, преднамеренных и естественных кризисов и катастроф, которые нарушают и оказывают влияние на продукты и услуги, работу, критически важные активы и непрерывность деятельности организации и ее заинтересованных сторон.

3.62    источник риска (source): Все. что по отдельности или в сочетании обладает внутренним потенциалом для возникновения риска.

Примечания

1    Адаптировано из Руководства ИСО 73 2009, определение 3.5.1.2

2    Источник риска может быть материальным или нематериальным

3.63    заинтересованная сторона/стейкхолдер (stakehokler/interested party): Физическое или юридическое лицо, заинтересованное в эффективности, успехе или результативности деятельности организации.

[Руководство ИСО 73:2009, определение 3.2.1.1]

Примечания

1    Например, клиенты, акционеры, финансовые компании, страховые компании, регулирующие органы, государственные органы, сотрудники, подрядчики, поставщики, профсоюзы, общество

2    Лицо, принимающее решение, может быть заинтересованной стороной

3.64    цепь поставок (supply chain): Взаимосвязанный набор ресурсов и процессов, который начинается с поиска сырья и распространяется через доставку продуктов или услуг конечному потребителю посредством различных видов транспорта.

[ИСО 28000:2007, определение 3.9]

Примечание — Цепь поставок может включать поставщиков, производственные мощности, поставщиков логистических услуг, внутренние распределительные центры, дистрибьюторов, оптовых торговцев и другие организации, ведущие к конечному пользователю (потребителю)

3.65    целевой показатель (target): Детализированные требования к результатам деятельности, применимые к организации (или к ее подразделениям), вытекающие из целей. Целевые показатели должны быть установлены и выполнены для достижения этих целей.

Примечание — Адаптировано из ИСО 14001 2004, определение 3 12

3.66    тестирование/испытание (testing): Действия, выполненные для оценки эффективности или возможностей плана относительно определенных целей или критериев измерения.

Примечание — Обычно тестирование включает в себя учения, предназначенные для того, чтобы команды и сотрудники эффективно выполняли свои обязанности и выявляли слабые стороны планов готовности и реагирования/непрерывности/восстановления.

3.67    угроза (threat): Потенциальная причина нежелательного инцидента, который может привести к причинению вреда людям, активам, системе или организации, окружающей среде или сообществу.

3.68    высшее руководство (top management): Лицо или группа лиц. осуществляющие руководство и управление организацией на самом высоком уровне.

3.69    уязвимость (vulnerability): Внутренние свойства чего-либо, что приводит к восприимчивости к источнику риска, который может привести к событию со следствием.

[Руководство ИСО 73:2009, определение 3.6.1.6]

3.70    оценка уязвимости (vulnerability assessment): Процесс выявления и количественной оценки уязвимостей.

4 Требования к системе менеджмента, включая политику устойчивости

4.1    Общие требования

Организация должна разработать политику устойчивости цепи поставок в соответствии с требованиями настоящего стандарта. Для того чтобы данная политика была результативной, она должна быть интегрирована в систему менеджмента. Если требования, идентичные требованиям настоящего стандарта. были ранее учтены при внедрении уже существующей системы менеджмента, эти требования не нужно дублировать отдельно.

4.2    Понимание организации и ее среды

4.2.1 Организация должна определить и задокументировать внутренние и внешние факторы среды организации.

Организация должна:

a)    идентифицировать факторы внешней среды организации, в том числе:

-    культурные, политические, социальные, правовые, нормативные, финансовые, технологические, экономические, природные и конкурентные факторы на международном, национальном, региональном или местном уровнях:

-    уровень цепи поставок, обязательства и отношения, ключевые движущие силы и тенденции, воздействующие цели организации;

-    восприятие и ценности заинтересованных сторон:

b)    идентифицировать факторы внутренней среды организации, в том числе:

-    активы, виды деятельности, функции, услуги, продукты, партнерства, цепь поставок и отношения заинтересованных сторон;

-    способности, понимаемые с точки зрения ресурсов и знаний (например, капитала, времени, людей, процессов, систем и технологий);

-    информационные системы, информационные потоки и процессы принятия решений (как фор-мапьные, так и неформальные);

-    внутренние заинтересованные стороны;

-    политики, цели и стратегии для их достижения;

-    восприятие, ценности и культура организации;

-    стандарты и эталонные модели, принятые организацией;

-    структуры (например, управление, обязанности и ответственность).

Рисунок 4 —Диаграмма потоков системы менеджмента, включая политику устойчивости

4.2.2 С целью демонстрации своей приверженности процессу управления рисками и устойчивости при анализе своей среды организация должна определить и задокументировать следующие специфические внутренние и внешние факторы:

a)    критические действия организации, функции, услуги, продукты, партнерства, отношения цепи поставок, заинтересованные стороны и потенциальное воздействие, связанное с разрушительным инцидентом в пределах одной или более цепей поставок;

b)    компоненты сквозной цепи поставок товаров или услуг, показывающие, как они настроены или связаны для доставки критических товаров и/или услуг;

c)    связь между политикой управления устойчивостью, целями организации и другими политиками;

d)    обоснование необходимости процесса управления рисками и управления устойчивостью:

e)    полномочия и ответственность по процессу управления рисками и устойчивости;

f)    предпочтительный риск организации или неприятие риска;

д) ресурсы, доступные для помощи тем, кто обладает полномочиями и ответственностью в области процесса управления рисками и устойчивости;

h)    приверженность периодическому анализу и пересмотру политики менеджмента устойчивости;

i)    постоянное улучшение.

Ю

4.3    Область применения политики менеджмента устойчивости

Организация должна определить и задокументировать цели и область применения политики менеджмента устойчивости с указанием специфичных внутренних и внешних факторов среды организации.

При определении области применения организация должна:

a)    определить границы организации, которые должны быть включены в сферу политики устойчивости. Это может быть вся организация, одно или несколько подразделений, или компоненты одного или нескольких потоков сквозной цепи поставок товаров и услуг:

b)    установить требования к менеджменту устойчивости с учетом целей организации, задач, внутренних и внешних обязательств (в том числе связанных с заинтересованными сторонами и юридическими обязанностями):

c)    рассмотреть критические цели деятельности, активы, виды деятельности, функции, товары и услуги;

d)    определить риски, основанные как на внутренних, так и на внешних потенциальных нарушени-ях/срывах, которые могут негативно повлиять на деятельность и функции организации в контексте их потенциальной вероятности воздействия;

e)    определить область применения политики менеджмента устойчивости в соответствии с размерами. характером и сложностью деятельности организации с позиции постоянного улучшения.

Организация должна определить область применения, которая позволит защитить и сохранить целостность организации и ее цепи поставок, включая отношения с заинтересованными сторонами, взаимодействие с ключевыми поставщиками, партнерами по аутсорсингу и др., заинтересованные стороны (например, партнеры по цепи поставок, поставщики, потребители, акционеры, сообщество, в котором функционирует организация, и т. д.).

На основе оценки риска организация также должна присвоить стратегические весовые коэффициенты менеджменту безопасности, обеспечению готовности, минимизации последствий, кризисному управлению, управлению чрезвычайными ситуациями, управлению непрерывностью деятельности, управлению и восстановлению управления при возникновении бедствий (см. 4 4).

4.4    Обеспечение ресурсами для реализации политики менеджмента устойчивости

Руководство должно обеспечить наличие ресурсов, необходимых для реализации и управления политикой менеджмента устойчивости. Ресурсы включают человеческие ресурсы и специализированные навыки, оборудование, внутреннюю инфраструктуру, технологии, информацию, интеллектуальные и финансовые ресурсы.

4.5    Политика менеджмента устойчивости

Высшее руководство должно разработать, задокументировать и обеспечить ресурсами систему менеджмента организации, в которую интегрируется политика менеджмента устойчивости, подтверждая приверженность защите человеческих, природных и физических активов, осуществлению прогнозирования и подготовки к возможным неблагоприятным событиям: устойчивости производственной деятельности и бизнеса.

4.6    Заявление о политике

Для интеграции в существующую систему менеджмента при применении настоящего стандарта должно быть разработано заявление о политике. Заявление о политике устойчивости должно соответствовать характеру и масштабу потенциальных угроз, опасностей, рисков и последствий их воздействия на деятельность, функции организации, товары, услуги и цепь поставок.

Политика должна:

a)    в качестве первоочередной задачи включать обязательство по обеспечению безопасности жизни сотрудников и общества;

b)    включать обязательство постоянного улучшения;

c)    включать обязательство по улучшению организационной структуры, устойчивости и непрерывности цепи поставок;

d)    включать обязательство по адаптивной и проактивной минимизации риска;

e)    включать обязательство соблюдать применимые нормативно-законодательные и другие требования. относящиеся к организации;

О включать определение и документальное отражение допустимого риска, связанного с областью применения политики, с четким адресным отнесением, где в системе менеджмента, внедренной в организации. рассматриваются аспекты, относящиеся к устойчивости;

д) включать рамки для установления и анализа целей и целевых показателей политики устойчивости;

h) включать ссылки на исключения и ограничения.

Политика должна содержать:

-    ответственное лицо за разработку политики с контактными данными;

-    описание, как документируется, внедряется и поддерживается в рабочем состоянии политика устойчивости;

-    доведение до сведения персонала и лиц. работающих от имени организации;

-    обеспечение доступности для заинтересованных сторон.

Примечание —Организация может принять решение обнародовать неконфиденциальную версию своей политики, исклкнив из нее конфиденциальную информацию, связанную

a)    с проведением анализа через запланированные интервалы времени и действиями в условиях значительных изменений,

b)    с официальным одобрением высшим руководством

Содержание

1    Область применения.................................................................1

2    Нормативные ссылки.................................................................2

3    Термины, определения и сокращения...................................................2

4    Требования к системе менеджмента, включая политику устойчивости.........................9

4.1    Общие требования...............................................................9

4.2    Понимание организации и ее среды.................................................9

4.3    Область применения политики менеджмента устойчивости.............................11

4.4    Обеспечение ресурсами для реализации политики менеджмента устойчивости............11

4.5    Политика менеджмента устойчивости...............................................11

4.6    Заявление о политике............................................................11

Приложение А (справочное) Информационное руководство по интеграции настоящего стандарта

в существующую систему менеджмента организации..........................13

Приложение В (справочное) Информационное руководство по использованию настоящего

стандарта..............................................................22

Приложение С (справочное) Соглашения по терминологии..................................40

Приложение D (справочное) Выбор критериев для применения..............................41

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным и межгосударственным стандартам...........................42

Библиография.......................................................................43

Приложение А (справочное)

Информационное руководство по интеграции настоящего стандарта в существующую систему менеджмента организации

А.1 Общие положения

Организации, внедряющие настоящий стандарт, обязаны интегрировать политику менеджмента устойчивости в систему менеджмента, основанную на цикле РОСА Политика менеджмента устойчивости может быть одной из многих политик, принятых организацией при определении общей политики управления организацией Политика менеджмента устойчивости становится вкладом в систему менеджмента организации Разработку, внедрение, потребности в ресурсах и управление выполнением каждой корпоративной политики следует документировать в рамках систем менеджмента В этом приложении содержится информационное руководство по включению элементов политики устойчивости в политику системы менеджмента на основе цикла PDCA Если в систему менеджмента также включают другие политики, следует обратиться за соответствующим руководством

А.2 Политика менеджмента устойчивости

Политика менеджмента устойчивости должна быть разработана и документирована в соответствии с требованиями настоящего стандарта Политика должна быть добавлена к другим, уже существующим политикам по системам менеджмента

А.З Ответственность руководства

Руководство должно предоставить свидетельства вовлеченности в разработку, внедрение, реализацию, мониторинг, анализ, поддержание в рабочем состоянии и улучшение политики устойчивости посредством

a)    разработки политики менеджмента устойчивости,

b)    обеспечения разработки целей и планов реализации политики менеджмента устойчивости;

c)    установления ролей, компетенций, ответственности за выполнение функций менеджмента устойчивости,

d)    назначения одного (или более) ответственного компетентного специалиста за политику менеджмента устойчивости с определением конкретных полномочий и ответственности за внедрение и поддержание системы менеджмента устойчивости.

e)    информирования организации о важности выполнения целей менеджмента устойчивости и соответствия политике менеджмента устойчивости, ответственности за соблюдение нормативно-законодательных требований и необходимости постоянного улучшения,

f)    выделения достаточных ресурсов для разработки, внедрения, реализации, мониторинга, анализа, поддержания в рабочем состоянии и улучшения менеджмента устойчивости,

д) определения критериев допустимого риска и допустимых уровней риска;

h) обеспечения проведения внутренних аудитов по политике менеджмента устойчивости,

О проведения анализа со стороны руководства политики менеджмента устойчивости,

j) демонстрации вовлеченности в постоянное улучшение

А.4 Планирование

А.4.1 Оценка рисков и мониторинг

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процесс оценки риска

a)    для идентификации рисков преднамеренных, непреднамеренных и естественных опасностей и угроз, которые могут иметь прямое или косвенное воздействие на деятельность, операции, функции и цепь поставок организации. человеческие, нематериальные и физические активы, природную среду и заинтересованные стороны;

b)    для систематического анализа рисков (включая вероятность, уязвимость, критичность воздействия и последствиях

c)    для идентификации рисков, имеющих значительные последствия для деятельности, функций, товаров и услуг, цепи поставок организации, отношений с заинтересованными сторонами, природной среды.

d)    для систематической оценки и расстановки приоритетов управления рисками и обработки рисков и соответствующих затрат

Организация должна

a)    документировать и сохранять эту информацию актуальной и конфиденциальной, если применимо;

b)    с установленной периодичностью анализировать и пересматривать область распространения и политику менеджмента устойчивости, оценку рисков, оценку продолжающейся пригодности внешних и внутренних факторов среды организации,

c)    гарантировать, что приоритетные риски учитывают при разработке, внедрении и функционировании системы менеджмента устойчивости.

Введение

0.1 Общие положения

Организации по всему миру стремительно разрабатывают программы управления рисками и устойчивости для устранения неопределенности в достижении своих целей. Существует высокая потребность на стандарты и лучшие практики, так как организации ищут гарантии того, что их поставщики и участники расширенной цепи поставок запланировали и предприняли шаги для предотвращения и снижения угроз и опасностей, которым они подвергаются.

Чтобы обеспечить устойчивость в цепи поставок, организации должны участвовать во всеобъемлющем и систематическом процессе предупреждения, защиты, готовности, минимизации последствий, реагирования, непрерывности и восстановления.

Выживаемость организаций в цепи поставок во многом зависит от устойчивости их поставщиков и потребителей. В результате включение устойчивости и повышение устойчивости организации в цепи поставок должны быть ориентированы как внутри организации, так и извне на ее поставщиков и потребителей. Сохранение неуязвимости организации в цепи поставок в значительной степени зависит от устойчивости ее поставщиков и потребителей. Как результат интеграция менеджмента устойчивости в существующие системы и улучшение устойчивости организации в цепи поставок должны быть сконцентрированы не только на внутренней среде организации, но и на ее поставщиках и потребителях Точная природа нарушения, вероятно, не будет полностью понятна вначале и может стать полностью понятной только с течением времени. В связи с этим при разработке планов и политик устойчивости необходимо уделять особое внимание адаптации и постоянной оценке новой информации, чтобы гарантировать. что предпринимаются те действия, которые необходимы. Значительные нарушения/сбои цепи поставок, как правило, привлекают средства массовой информации. Неспособность должным образом управлять отношениями со средствами массовой информации может негативно повлиять на способность организации реагировать для обеспечения устойчивости, что приведет к потере доверия заинтересованных сторон.

Эта потеря доверия может привести к потере потребителей, увеличению спроса на информацию со стороны правительства или финансовых организаций и ограничениям, налагаемым внешними организациями. Настоящий стандарт применим для организаций любых форм собственности (частных, некоммерческих, неправительственных и государственных). Это основа управления для планирования действий и принятия решений, необходимых для прогнозирования, предотвращения, если это возможно. подготовки и реагирования на разрушительный инцидент, чрезвычайную ситуацию, кризис или бедствие. При внедрении в существующую систему менеджмента это повышает способность организации управлять и переживать событие, а также предпринимать все необходимые действия, чтобы помочь обеспечить дальнейшую жизнеспособность организации. Независимо от организации ее руководство обязано перед заинтересованными сторонами обеспечивать планирование выживания организации. Основная часть стандарта содержит общие проверяемые критерии для установления, проверки, поддержания и улучшения политики устойчивости при ее интеграции в систему менеджмента для повышения эффективности предупреждения, готовности, минимизации последствий, реагирования, непрерывности и восстановления после разрушительных инцидентов.

Настоящий стандарт разработан в качестве неотъемлемой части ИСО 28000. Он также может быть интегрирован в другие системы менеджмента организации, которые следуют модели «Планируй — Делай — Проверяй — Действуй» (PDCA). Если выбрана независимая сертификация третьей стороной, сертификация будет применяться к общему стандарту системы менеджмента, в который интегрирован настоящий стандарт.

Интеграция адаптивного, преактивного и реактивного подходов к устойчивости может стать рычагом для использования перспектив, знаний и возможностей подразделений и отдельных лиц внутри организации. Из-за относительно низкой вероятности и все же потенциально высокого характера тяжести последствий многих природных, преднамеренных или непреднамеренных угроз и опасностей, с которыми может столкнуться организация, комплексный подход позволяет организации установить приоритеты, которые учитывают индивидуальные потребности в управлении рисками с учетом экономических условий.

0.2 Среда цепи поставок

Управление рисками в цепи поставок требует понимания не только среды организации, но также факторов глобальной среды всей цепи поставок. Кахщый узловой пункт цепи поставок имеет набор рисков и процессы управления планированием, снабжением, изготовлением, доставкой и возвратами. Все эти процессы должны быть включены в политику устойчивости организации. Данное понимание позволит организации решить, к какому уровню или звену цепи поставок подключить программу устойчивости.

Глобальная среда

Рисунок 1 — Политика управления устойчивостью в цепи поставок (Источник: Совет по цепи поставок 2007)

0.3 Процессный подход

Системный подход к управлению требует от организации анализировать требования самой организации и заинтересованных сторон и определять процессы, способствующие эффективности. Система менеджмента может обеспечить основу для постоянного улучшения и повышения вероятности усиления безопасности, готовности, реагирования, непрерывности и устойчивости. Процессный подход обеспечивает уверенность организации и ее потребителей в том, что она способна обеспечить безопасную и надежную среду, которая отвечает требованиям организации и заинтересованных сторон.

Настоящий стандарт применяет процессный подход для установления, реализации, функционирования. мониторинга, проверки, поддержания в рабочем состоянии и улучшения устойчивости организации к нарушениям/сбоям в цепи поставок. Чтобы эффективно работать, организация должна идентифицировать и управлять большим количеством действий. Любой вид деятельности, использующий ресурсы и управляемый для обеспечения возможности преобразования входов в выходы, может рассматриваться как процесс. Часто выходные данные одного процесса непосредственно формируют входные данные для следующего процесса.

Применение системы процессов в организации вместе с идентификацией и взаимодействием этих процессов и управление ими можно назвать «процессным подходом».

На рисунке 2 показан процессный подход к менеджменту устойчивости в цепи поставок, представленный в настоящем стандарте, который позволяет организации учитывать важность:

a)    понимания рисков организации, требований по безопасности, готовности, реагированию, непрерывности и способности к восстановпению;

b)    разработки политики и целей процесса управления рисками;

c)    внедрения и управления системой процесса управления рисками в контексте целей организации;

d)    мониторинга и анализа достигнутых результатов, эффективности реализации политики менеджмента устойчивости;

e)    постоянного улучшения, основанного на измерении целей.

мониторинг рисков Рисунок 2 — Процессный подход в менеджменте устойчивости цепи поставок

0.3.1 Разработка программ устойчивости цепи поставок и выделение ресурсов

-    Признание руководством рисков в цепи поставок приоритетными.

-    Поддержка программ высшим руководством.

-    Выделение необходимых ресурсов для выполнения программ.

0.3.2 Определение целей цепи поставок и целей устойчивости

-    Определение области распространения цепи поставок и отображение цепи поставок.

-    Определение цели управления рисками в цепи поставок организации.

0.3.3 Идентификация рисков цепи поставок.

-    Всесторонний анализ цепи поставок для определения рисков

-    Документирование идентифицированных рисков в максимально возможной степени.

0.3.4 Количественная оценка и определение приоритетных рисков.

-    Количественная оценка каждого риска с точки зрения вероятности возникновения и потенциального воздействия.

-    Использование количественной оценки риска для определения приоритетных рисков в соответствии с определенными целями.

0.3.5 Программы обработки рисков

-    Разработка действий по управлению рисками в соответствии с приоритетом каждого риска.

-    Определение ценности каждого действия сточки зрения уменьшения вероятности риска.

-    Разработка и выполнение плана реализации указанных действий.

0.3.6 Мониторинг среды цепи поставок

-    Непрерывный мониторинг среды цепи поставок на предмет возникновения риска или предвестников риска.

-    При срабатывании пороговых значений выполнение соответствующих действий по управлению рисками для минимизации последствий.

-    Документирование результатов после анализа действий по управлению рисками и улучшение программы обработки рисков.

0.4 Модель «Планируй — Делай — Проверяй — Действуй» (PDCA)

Настоящий стандарт предназначен для интеграции в любую систему менеджмента, которая основана на модели «Планируй — Делай — Проверяй — Действуй» (PDCA). которая, в свою очередь, будет направлять реализацию и выполнение процессов политики менеджмента устойчивости. На рисунке 3 показано, как система менеджмента может интегрировать в себя политику менеджмента устойчивости, которая фиксирует требования и ожидания заинтересованных сторон и посредством необходимых действий и процессов создает результаты управления рисками, которые соответствуют этим требованиям и ожиданиям.

На рисунке 3 также показана взаимосвязь процессов, представленных в разделе 4 настоящего стандарта.

Заинтересо ванные стороны Устой^еость и риск требования и ожидания систем менеджмента
» Рисунок 3 — Цикл «Планируй — Делай — Проверяй — Действуй:

Планируй Разработка системы менеджмента	Установление политики, целей, процессов и процедур системы менеджмента, относящихся к управлению рисками и повышению безопасности, готовности, смягчению, реагированию, непрерывности, восстановлению и предоставлению результатов в соответствии с общей политикой и целями организации
Делай Внедрение и использование системы менеджмента	Внедрение и функционирование политики системы менеджмента, элементов управления, процессов и процедур
Проверяй Мониторинг и анализ системы менеджмента	Оценка и измерение результатов деятельности, процессов в соответствии с политикой, целями и практическим опытом системы менеджмента и отчет о результатах анализа со стороны руководства
Действуй Поддерживание в рабочем состоянии системы менеджмента	Осуществление корректирующих и предупреждающих действий, основанных на результатах внутреннего аудита системы менеджмента и анализа со стороны руководства, для достижения постоянного улучшения системы менеджмента

Соответствие системы менеджмента, которая внедрила настоящий стандарт, можно проверить с помощью процесса аудита, который совместим и соответствует методологии ИСО 28000:2007. ИСО 14001:2004 и/или ИСО/МЭК 27001:2005 и модели PDCA.

Дополнительную информацию о критериях применения настоящего стандарта см. в приложении D.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Устойчивость цепи поставок.

Требования и руководство по применению

Security management systems for the supply chain Resilience of the supply chain Requirements with guidance for use

Дата введения — 2020—07—01

1 Область применения

Настоящий стандарт устанавливает требования к политике управления устойчивостью цепи поставок. чтобы дать возможность организации разработать и реализовать политику, цели и программы с учетом:

-    нормативно-законодательных требований, относящихся к организации;

-    информации о значительных рисках, опасностях и угрозах, которые могут привести к негативным последствиям для организации, ее заинтересованных сторон и цепи поставок;

-    защиты активов и процессов организации;

-    управления разрушительными инцидентами.

Настоящий стандарт применяется к рискам, которые организация определяет, может контролировать, на которые может влиять или снижать, а также те. которые она не может предвидеть. Настоящий стандарт не устанавливает конкретных критериев выполнения.

Стандарт применяется в тех случаях, когда организация стремится:

a)    установить, внедрить, поддерживать и улучшать политику управления устойчивостью для организации и ее цепи поставок:

b)    убедиться в соответствии заявленной политики управления устойчивостью;

c)    продемонстрировать, что система менеджмента содержит хорошо разработанную политику управления устойчивостью посредством:

1)    самопровозглашения и самодекларирования;

2)    получения подтверждения соответствия заинтересованными сторонами организации (например. потребителями);

3)    подтверждения своего самопровозглашения стороной, внешней по отношению к организации;

4)    прохождения сертификации/регистрации этой системы менеджмента внешней организацией.

Все требования стандарта предназначены для интеграции в любую систему менеджмента организации. основанную на модели PCDA. Настоящий стандарт содержит элементы, необходимые для интеграции (включая те. которые касаются технологии, оборудования, процессов и людей). Степень применения стандарта будет зависеть от таких факторов, как допустимый риск, политика организации, характер и масштабы ее деятельности, виды товаров и услуг, место, где и при каких условиях функционирует организация.

Настоящий стандарт предоставляет общие требования, которые в качестве основы применимы ко всем типам организаций (или их подразделениям), независимо от размера и функций в цепи поставок.

Настоящий стандарт предоставляет руководящие указания для организаций по разработке собственных конкретных критериев достижения результатов. Это позволяет организации адаптировать и

Издание официальное

осуществлять политику управления устойчивостью, соответствующую потребностям организации и интересам заинтересованных сторон.

Стандарт сфокусирован на устойчивости, способности организации адаптироваться в комплексной и изменчивой среде, а также защитить цепь поставок, критически важные активы и процессы. Применение настоящего стандарта позволяет организации с большей готовностью предотвращать, по возможности готовиться и реагировать на все виды преднамеренных, непреднамеренных и/или вызванных природой разрушительных событий, которые, если их не контролировать, могут перерасти в чрезвычайную ситуацию, кризис или бедствие. Настоящий стандарт охватывает все фазы управления инцидентами: до. во время и после разрушительного события.

Стандарт позволяет организации:

a)    разработать политику предупреждения, защиты, готовности, минимизации последствий, реагирования. непрерывности и восстановления;

b)    установить цели, процедуры и процессы для достижения обязательств, изложенных в политике;

c)    обеспечить компетентность, осведомленность и обучение;

d)    установить измеримые показатели оценки результатов и демонстрации успеха:

e)    предпринимать действия, необходимые для улучшения результатов деятельности;

0    демонстрировать соответствие системы требованиям настоящего стандарта;

д) установить и применять процесс постоянного улучшения.

Приложение А содержит информативное руководство по планированию, внедрению, тестированию, поддержанию в рабочем состоянии и улучшению системы.

2    Нормативные ссылки

Для применения настоящего стандарта необходим следующий нормативный документ. Для датированных ссылок применяется только указанное издание. Для недатированных ссылок применяется последнее издание ссылочного документа (включая все изменения):

ISO 28000:2007, Specification for security management systems for the supply chain (Спецификация систем управления безопасностью цепи поставок)

3    Термины, определения и сокращения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1    альтернативное рабочее место (alternate worksite): Рабочее место, кроме основного, для использования. когда основное рабочее место недоступно.

3.2    активы (asset): Все. что имеет ценность для организации.

Примечание — Активы включают, но не ограничиваются ими. человеческие, физические, информационные. нематериальные и природные ресурсы

3.3    аудит (audit): Систематический, независимый и документированный процесс получения свидетельств аудита и их объективного оценивания с целью установления степени соответствия согласованным критериям аудита.

Примечания

1    Внутренние аудиты, иногда называемые аудитами, проводимыми первой стороной, проводятся обычно самой организацией или от ее имени для анализа со стороны руководства и других внутренних целей и могут служить основанием для декларации о соответствии Независимость может быть продемонстрирована отсутствием ответственности за деятельность, подвергаемую аудиту

2    Внешние аудиты включают в себя аудиты, обычно называемые аудитами, проводимыми второй стороной или третьей стороной Аудиты, проводимые второй стороной, выполняют стороны, заинтересованные в деятельности организации, например потребители или другие лица от их имени Аудиты, проводимые третьей стороной, выполняют внешние независимые аудиторские организации, проводящие сертификацию или регистрацию на соответствие ИСО 28000. который является стандартом системы менеджмента безопасности цепи поставок

3    Аудит, проводимый в одной проверяемой организации для двух и более систем менеджмента одновременно. называется комбинированным или комплексным аудитом

4    Аудит, проводимый в одной проверяемой организации двумя и более проверяющими организациями одновременно. называется совместным аудитом