ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 1

Общие принципы

(ISO 28004-1:2007/Сог.1:2012, ЮТ)

Издание официальное

Москва

Стандартинформ

2020

Предисловие

1    ПОДГОТОВЛЕН Автономной некоммерческой организацией «Международный менеджмент, качество, сертификация» (АНО «ММКС») совместно с Обществом с ограниченной ответственностью «Палекс» (ООО «Палекс»), Ассоциацией по сертификации «Русский Регистр» на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. № 1436-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 28004-1:2007/Изм.1:2012 «Системы менеджмента безопасности цепи поставок — Руководство по внедрению ИСО 28000 — Часть 1. Общие принципы» (ISO 28004-1:2007/Cor.1:2012 «Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 1: General principles». IDT), включая изменения и техническую поправку Сог.1:2012

5    ВЗАМЕН ГОСТ Р 53661-2009 (ИСО 28004:2006)

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации» Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© ISO. 2007 — Все права сохраняются © Стандартинформ. оформление. 2020

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Ь) Намерения

После осуществления процесса идентификации угроз, оценки рисков и менеджмента рисков организация должна иметь общее представление о значительном риске, угрозах безопасности и уязвимостях в своей области деятельности.

Процессы идентификации угроз, оценки риска и менеджмента риска и их результаты должны стать основой всей системы безопасности. Следует обратить особое внимание на то. чтобы взаимосвязи между процессами идентификации угроз безопасности, оценки риска, менеджмента риска и другими элементами системы менеджмента безопасности были четко проработаны и были очевидными.

Целью настоящего стандарта является установление принципов, по которым организация может определить, являются ли подходящими и достаточными для работы процессы идентификации угроз, оценки рисков и управления рисками. Выдача рекомендации относительно того, каким образом следует осуществить эти действия, не является целью настоящего стандарта.

Использование организацией процессов идентификации угроз безопасности, оценки риска и управления рисками должно способствовать постоянному и своевременному выявлению, оценке и контролю своих рисков безопасности.

Во всех случаях следует учитывать возможность стандартных и нестандартных операций внутри организации и возникновения чрезвычайных ситуаций.

Сложность процессов идентификации угроз безопасности, оценки рисков менеджмента риска в значительной степени зависит от таких факторов, как размер организации, ситуация на рабочих местах, характер, сложность и значимость угроз безопасности. Цель ИСО 28000:2007 (см. п. 4.3.1) заключается в том. чтобы небольшие организации с низким риском для безопасности не проводили сложную идентификацию угроз безопасности, оценку риска, управления рисками и масштабные учения.

При внедрении процессов идентификации угроз, оценки риска и менеджмента риска организация должна принимать во внимание затраты и время на выполнение данных процессов, а также доступность достоверных данных.

Информация, уже разработанная для нормативных или других целей, может быть использована в регулировании этих процессов. Организация также может принимать во внимание степень существующего управления практического контроля рассматриваемой угрозой безопасности. С этой целью следует определить масштаб угрозы безопасности, учитывая входные и выходные данные (результаты). связанные с ее текущими и прежними действиями, процессами, продуктами и/или услугами организации.

Оценку риска безопасности должен проводить квалифицированный персонал с использованием признанных документированных методик.

Организация без существующей системы менеджмента безопасности может руководствоваться своей текущей позицией в отношении рисков безопасности посредством оценки риска. С целью реализации этой позиции должны быть рассмотрены угрозы безопасности, с которыми сталкивается организация. в качестве основы для создания системы менеджмента безопасности. Организация должна рассмотреть возможность включения (но не ограничиваясь этим) следующих пунктов при проведении первого анализа:

-    нормативно-законодательные требования;

-    идентификация угроз безопасности, с которыми сталкивается организация;

-    идентификация угроз безопасности и информации о рисках в соответствующих организациях (полиция, службы безопасности);

-    изучение всех существующих практик, процессов и процедур менеджмента безопасности;

-    оценка обратной связи по результатам расследований предыдущих инцидентов и чрезвычайных ситуаций.

Целесообразный подход к оценке риска может включать чек-листы (контрольные списки), собеседования. непосредственные инспекции и измерения, результаты предыдущих аудитов системы менеджмента или другие проверки в зависимости от характера деятельности организации. Данные действия следует осуществлять по документированной и воспроизводимой методологии.

Необходимо отметить, что первичный обзор рекомендуется для создания базового направления, но он не заменяет реализацию структурированного систематического подхода, приведенного в 4.3.1.

c)    Типовые входные данные

Типовые входные данные включают следующие аспекты:

-    нормативно-законодательные и другие требования по безопасности (см. 4.3.2);

-    политику в области безопасности (см 4.2);

-    записи об инцидентах;

-    несоответствия (см. 4,5.3);

-    результаты аудитов системы менеджмента безопасности (см. 4.5.5);

-    обмен информацией с персоналом и другими заинтересованными сторонами (см. 4.4.3);

-    информацию, полученную от привлеченных консультантов по безопасности, анализ и улучшение деятельности на рабочих местах (эта информация может иметь проактивный и реактивный характер реагирования);

-    информацию о наиболее эффективных методиках, типичных случаях в отношении рисков безопасности организации, инцидентах и чрезвычайных ситуациях в других организациях;

-    отраслевые стандарты;

-    предписания со стороны федеральных органов;

-    информацию об объектах, средствах организации, процессах, деятельности организации, включая:

-    детали изменений процедур,

-    планы расположения предприятия.

-    руководства по процессам и операционные процедуры.

-    данные по безопасности,

-    данные мониторинга (см. 4.5.1).

d)    Процесс

1) Идентификация угроз, оценка риска и управление рисками

i) Общие положения

Меры по управлению риском должны отражать принцип устранения или снижения до практически достижимого минимального риска безопасности, где это практически осуществимо, либо путем уменьшения вероятности возникновения, либо потенциальной серьезности последствий от инцидента, связанного с безопасностью. Процессы идентификации угроз, оценки рисков и управления рисками являются ключевыми инструментами менеджмента риска.

Процессы идентификации угроз, оценки рисков и управления рисками значительно различаются в разных отраслях — от простых оценок до сложного количественного анализа с внушительной документацией. Организация должна планировать и внедрять такие процессы идентификации угроз, оценки рисков, управления рисками, которые отвечают ее потребностям и ситуациям на рабочем месте и обеспечивают соответствие законодательным требованиям в области безопасности.

Процессы выявления угроз безопасности, оценки рисков и менеджмента риска должны быть позиционированы как проактивные, а не как реактивные меры. т. е должны предшествовать введению новых или пересмотренных действий или процедур. Любое необходимое снижение риска и мероприятия по управлению рисками, которые определены, должны быть внедрены до реализации изменений.

Организация должна обеспечивать надлежащую квалификацию персонала, постоянно актуализировать свою методологию, документацию, данные и записи об идентификации угроз, оценке риска и управлении риском в отношении текущей деятельности, а также расширять их для того, чтобы проанализировать новые события и новые (или измененные) виды деятельности, прежде чем эти нововведения будут реализованы.

Процессы идентификации угроз, оценки рисков и менеджмента риска должны применяться не только к текущим операциям/видам детальности объекта и процедурам, но также к периодическим или случайным видам деятельности/процедурам.

Наряду с учетом рисков безопасности и рисков, связанных с деятельностью, осуществляемой собственным персоналом, организация должна принимать во внимание риски для безопасности и ри-

ски. возникающие в связи с деятельностью подрядчиков и посетителей, а также с использованием продуктов или услуг, предоставляемых ей другими организациями.

10 Процессы

Процессы идентификации угроз, оценки риска и менеджмента риска должны быть документированы и включать следующие элементы:

-    идентификацию угроз безопасности;

-    оценку рисков с применением существующих (или предполагаемых) мероприятий по управлению рисками (с учетом подверженности конкретной угрозе безопасности, вероятности возникновения, сбоев в мероприятиях по управлению, потенциальной серьезности последствий, травм, повреждений и непрерывности работы);

-    оценку приемлемости текущего и остаточного риска;

-    определение необходимых дополнительных мер по управлению риском;

-    оценку того, являются ли мероприятия менеджмента риска достаточными для снижения риска до приемлемого уровня.

Дополнительно процессы должны учитывать следующее:

-    характер, сроки, объем и методологию для любой формы идентификации угроз, оценки рисков и менеджмента риска;

-    применимые нормативно-законодательные требования по безопасности или другие требования;

-    функции и полномочия персонала, ответственного за выполнение процессов;

-    уровень компетентности и потребности в обучении (см. 4.4.2) для персонала, который должен выполнять процессы. В зависимости от характера или типа используемых процессов организации может потребоваться оказание внешних рекомендаций или услуг;

-    информацию, представленную сотрудниками безопасности, относительно проверок и действий по непрерывному улучшению (эти действия могут быть реактивными или проактивными).

Ж) Последующие действия

После реализации процессов идентификации угроз, оценки рисков и менеджмента риска;

-    должны быть четкие доказательства того, что любые корректирующие или предупреждающие действия (см. 4.5.2), определенные как необходимые, отслеживаются на предмет их своевременного завершения. Для этого может потребоваться дальнейшая идентификация угроз и оценка риска для того, чтобы отразить предложенные изменения в мерах по управлению рисками и определить пересмотренные оценки остаточного риска;

-    обратная связь о результатах и ходе выполнения корректирующих или предупреждающих действий должна быть направлена руководству в качестве исходных данных для анализа установления пересмотренных или новых целей по безопасности (см. 4.6);

-    организация должна самостоятельно устанавливать соответствие компетенции персонала, выполняющего конкретные задания по безопасности, тому уровню, который определен процессом оценки риска при осуществлении необходимых мероприятий менеджмента риска;

-    должна быть обратная связь по использованию опыта эксплуатации в будущем вышеперечисленных процессов для внесения поправок в них или в данные, на которых они основаны, если это применимо.

2) Действия после первоначальной идентификации угроз, оценки рисков и менеджмента рисков (см. также 4.6)

Процессы идентификации угроз безопасности, оценки рисков и менеджмента рисков следует пересматривать в заранее установленное время или в тот период, который указан в заявлении о политике безопасности. Допустимо, если заранее установленное время определяется руководством и может являться частью процесса анализа, проводимого со стороны руководства (см. 4.6).

Этот период может варьироваться в зависимости от следующих соображений:

-    характер угрозы безопасности;

-    степень риска;

-    изменения в деятельности организации.

Анализ следует также проводить 8 том случае, если изменения, осуществляемые в организации, ставят под сомнение обоснованность действующих оценок рисков. Такие изменения могут включать в себя следующие элементы:

-    расширение, сокращение, реструктуризация, изменения в обьектах/инфраструктуре или аспектах цепи поставок;

-    перераспределение обязанностей;

-    изменение методов работы или моделей поведения при угрозах безопасности со стороны внешних источников.

е) Типовые выходные данные/результаты

Должны быть разработаны документированные процедуры для следующих элементов:

-    идентификация угроз безопасности;

-    определение рисков, связанных с идентифицированными угрозами. Указание уровня рисков, связанных с каждой угрозой безопасности, и их допустимости;

-    описание или ссылка на мероприятия по мониторингу и управлению рисками (см. 4.4.6 и 4.5.1), особенно тех рисков, которые неприемлемы;

-    цель безопасности и действия по снижению выявленных рисков (см. 4.3.3) и любые последующие действия для мониторинга прогресса в их снижении, при необходимости;

-    определение требований к компетентности и обучению для реализации мероприятий по управлению (см. 4.4.2);

-    необходимые мероприятия по управлению, описанные как элементы управления операциями/ деятельностью системы (4.4.6);

-    записи, генерируемые каждой из вышеупомянутых процедур.

4.3.2 Нормативно-законодательные и другие требования по безопасности

а) Требования ИСО 28000

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры:

a)    по идентификации и обеспечению доступа к применимым нормативно-законодательным и иным требованиям, связанным с угрозой ее безопасности и рисками, которые установлены для организации;

b)    определению того, как данные требования применяются к угрозам и рискам безопасности.

Организация должна поддерживать эту информацию в актуальном состоянии. Организация

должна передавать соответствующую информацию о нормативно-законодательных и иных требованиях своим сотрудникам и другим соответствующим третьим сторонам, включая подрядчиков.

b)    Намерения

Организация должна знать и надлежащим образом реагировать на вводимые нормативно-законодательные и другие требования и доводить до соответствующего персонала данную информацию.

Данное требование 4.3.2 из ИСО 28000:2007 предназначено для повышения осведомленности и понимания нормативно-законодательных требований и обязательств, однако не является обязанностью по созданию библиотек юридических или иных документов, потребность в которых минимальна.

c)    Типовые входные данные

Типовые входные данные включают в себя следующие позиции:

-    сведения о цепи поставок организации;

-    результаты идентификации угроз безопасности, оценки рисков и менеджмента риска (см. 4.3.1);

-    лучшие практики (например, кодексы, рекомендации отраслевых ассоциаций);

-    законодательные требования, правительственные кодексы, надлежащие методики и правила межправительственных и торговых ассоциаций;

-    список источников информации;

-    национальные, региональные или международные стандарты;

-    требования по внутренней работе организации;

-    требования заинтересованных сторон;

-    процессы управления динамикой цепи поставок.

d)    Процесс

Должны быть идентифицированы существующие нормативно-законодательные и другие требования в области безопасности. Организация должна определить наиболее соответствующие средства для доступа и сохранения информации, включая средства медиаподдержки (например, бумага, компакт-диск, дисковод. Интернет), а также оценить, какие и где именно требования применяются и кому предназначены.

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают следующие аспекты:

-    процедуры идентификации и оценки информации и ее поддержания в актуальном состоянии;

-    идентификация требований, которые применимы, и где именно они применимы (может быть в виде реестров);

-    требования (фактический текст, резюме или анализ, где это уместно), находящиеся на местах, определенных организацией;

-    процедура мониторинга новых законодательных требований по безопасности.

4.3.3 Цели в области менеджмента безопасности

а) Требования ИСО 28000

b)    Намерения

Необходимо обеспечить, чтобы во всей организации (где это практически возможно) были определены измеримые цели безопасности в соответствии с политикой безопасности.

c)    Типовые входные данные

Типовые входные данные включают следующие аспекты:

-    политика и цели, относящиеся к деятельности организации в целом;

-    политика безопасности, включая обязательства по постоянному улучшению (см. 4.2);

-    результаты идентификации угроз безопасности, оценки рисков и менеджмента риска (см. 4.3.1);

-    нормативно-законодательные и другие требования (см. 4.3.2);

-    технологические варианты;

-    финансовые, операционные и бизнес-требования;

-    проблемы сотрудников и заинтересованных сторон (см. 4.4.3);

-    информация, поступающая от сотрудников по безопасности, относительно оценки и действий по улучшению ситуации на рабочем месте (эти действия могут быть реактивными или проактивными по своему характеру);

-    анализ установленных целей безопасности;

-    записи о выявленных несоответствиях безопасности, инцидентах и материальном ущербе:

-    результаты анализа со стороны руководства (см. 4,6).

d)    Процесс

Используя входные данные, руководство организации должно идентифицировать, разработать и определить приоритеты по целям в области безопасности.

При установлении целей по безопасности особое внимание следует уделять информации или данным, поступающим от тех лиц. которых это может персонально касаться, в связи с тем. что подобные обращения могут помочь обеспечить их разумность и более широкое признание. Также полезно рассмотреть информацию или данные, полученные от источника, внешнего по отношению к организации. например: от подрядчиков, поставщиков, деловых партнеров, полиции и спецслужб или заинтересованных сторон.

Совещания соответствующих уровней руководства управления для разработки целей по безопасности следует проводить регулярно (например, на ежегодной основе). В некоторых организациях при необходимости допустимо документировать процесс разработки целей по безопасности.

Цели по безопасности должны охватывать как проблемы корпоративной безопасности в целом, так и проблемы безопасности, специфичные для цепи поставок, отдельных функций и уровней в организации.

Для каждой цели по безопасности должны быть определены измеримые показатели, при наличии возможности, позволяющие контролировать выполнение цели по безопасности.

Цели по безопасности должны быть разумными и достижимыми для организации, а также позволяющими осуществлять их контроль, направленный на программу производственной деятельности. В организации должен быть график выполнения для реализации каждой цели по безопасности.

Цели по безопасности могут быть разбиты на отдельные подцели в зависимости от размера организации. сложности цели безопасности и времени ее достижения Должны быть четкие связи между различными уровнями целей и измеримыми показателями по безопасности.

Примеры целей безопасности по безопасности включают в себя:

-    снижение уровня риска;

-    внедрение дополнительных функций в систему менеджмента безопасности;

-    шаги, предпринятые для улучшения существующих объектов;

-    устранение или уменьшение частоты конкретного инцидента.

Цели по безопасности должны быть доведены до соответствующего персонала [например, посредством обучения или групповых инструктажей (см. 4.4.2)] и подробно изложены через программы менеджмента безопасности (см. 4.3.4).

е) Типовые выходные данные/результаты

Типовые выходные данные/результаты включают документированные, измеримые (где это практически реализуемо) цели по безопасности относительно каждой функции в организации.

4.3.4 Целевые показатели в области менеджмента безопасности

Требования ИСО 28000

b)    Намерения

Целевые показатели устанавливаются для достижения целей организации в пределах ограниченного промежутка времени.

c)    Типовые входные данные

Типовые входные данные включают в себя:

-    политику и цели, относящиеся к деятельности организации в целом;

-    политику безопасности, включая обязательства по постоянному улучшению (см. 4.2);

-    результаты идентификации угроз, оценки риска и менеджмента риска (см. 4.3.1);

-    нормативно-законодательные требования (см. 4.3.2);

-    технологические варианты;

-    финансовые, операционные требования и бизнес-требования;

-    проблемы сотрудников и заинтересованных сторон (см. 4.4.3);

-    информацию, полученную от сотрудников, по безопасности, оценке и улучшению работы на местах (эта деятельность может быть реактивной и проактивной по своему характеру);

-    анализ разработанных целей по безопасности;

-    записи о прошлых несоответствиях и инцидентах, связанных с безопасностью;

-    результаты анализа со стороны руководства (см. 4.6).

d)    Процесс

Процесс определен в программах безопасности и представляет собой достижимые целевые показатели для выполнения целей.

Используя входные данные организации, соответствующее руководство должно определить и установить приоритеты для достижения целевых показателей. Целевые показатели должны быть конкретными, основанными на временной шкале и измеримыми.

При установлении целевых показателей безопасности особое внимание следует уделять информации или данным, полученным от тех лиц. у кого с наибольшей вероятностью будут персональные целевые показатели безопасности, так как это способствует разумности установления показателей и облегчению их восприятия в организации. Также полезно рассмотреть входные данные, поступающие от внешних источников, например: от подрядчиков, поставщиков, деловых партнеров, представителей федеральных органов или заинтересованных сторон.

Совещания соответствующих уровней руководства по разработке целевых показателей безопасности следует проводить после изменения целей по безопасности. В некоторых организациях допускается документировать процесс установления целевых показателей безопасности.

Целевые показатели безопасности должны охватывать как проблемы корпоративной безопасности в целом, так и проблемы безопасности, характерные для цепи поставок, отдельных функций и определенных уровней в организации.

Для каждого целевого показателя должен быть разработан конкретный количественный индикатор. Этот индикатор должен обеспечивать возможность мониторинга выполнения целевых показателей безопасности.

Целевые показатели безопасности должны быть разумными и достижимыми для организации, а также позволяющими осуществлять их контроль, направленный на производственную деятельность. Следует установить временную шкалу для реализации каждого целевого показателя по безопасности.

Целевые показатели по безопасности могут быть подразделены на отдельные подпоказатели в зависимости от размера организации, сложности целевого показателя безопасности и временной шкалы. Должна быть установлена четкая взаимосвязь между различными уровнями целей и целевых показателей.

Примеры типов целей безопасности включают в себя:

-    снижение уровня риска в течение определенного периода времени;

-    внедрение конкретных новых технологий для снижения риска или смягчения воздействия угроз безопасности;

-    конкретные шаги, предпринимаемые для улучшения существующих объектов в конкретные сроки;

-    устранение или уменьшение частоты возникновения конкретного инцидента.

Целевые показатели безопасности должны быть доведены до соответствующего персонала (например, посредством обучения или групповых инструктажей; см. 4.4.2) и подробно изложены в программе менеджмента безопасности (см. 4.3.4).

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают в себя документированные, измеримые, где это практически возможно, целевые показатели безопасности относительно каждой функции в организации.

4.3.5 Программы менеджмента безопасности

а) Требования ИСО 28000

b)    Намерения

Программы менеджмента безопасности должны быть напрямую связаны с целями и целевыми показателями. В каждой программе должно быть описано, как организация преобразует свои цепи и обязательства в политике в определенные действия для достижения цели безопасности и целевых показателей. Программа потребует разработки стратегий и планов действий, которые должны быть документированы и доведены до сведения персонала. Прогресс реализации программы в отношении достижения заявленной цели должен находиться под контролем, анализироваться и документально оформляться. Стратегия программы сдерживания и минимизации последствий должна быть основана на результатах идентификации угроз и опасностей, оценке рисков (например, анализ воздействия, оценка программы, оперативный опыт).

c)    Типовые входные данные

Типовые входные данные включают в себя следующие элементы:

-    цели и целевые показатели по безопасности;

-    нормативно-законодательные и другие требования;

-    результаты идентификации угроз безопасности, оценки рисков и менеджмента рисков;

-    сведения о деятельности организации;

-    информация, полученная на основе выполненных работ по обеспечению безопасности, проверке и улучшению деятельности работников на рабочем месте (эти действия могут быть реактивными или проактивными по своей природе);

-    анализ реальных возможностей с учетом новых различных или действующих технологических вариантов;

-    действия по постоянному улучшению деятельности;

-    ресурсы, необходимые для достижения целей безопасности организации.

d)    Процесс

Программы менеджмента безопасности должны определять:

-    ответственность за достижение целей;

-    средства для достижения целей;

-    временные рамки достижения целей.

В рамках программы следует рассмотреть возможность снижения угрозы с помощью методологических и технологических вариантов и опыта других организаций, принимая во внимание финансовые, операционные и бизнес-требования, а также мнения партнеров и заинтересованных сторон.

В программе должно быть предусмотрено распределение соответствующей ответственности и полномочий относительно каждой задачи и определены временные рамки для каждого отдельного задания для соответствия общей шкале времени установленной цели безопасности. Следует также предусмотреть распределение необходимых ресурсов из наиболее адекватных источников (например, финансовые, человеческие, оборудование, логистика) для каждого задания.

В тех случаях, когда предполагается внесение значительных изменений или модификаций в методах работы, процессах, оборудовании или средствах, в программе должны быть предусмотрены учения по идентификации новых угроз безопасности и оценке рисков. В курсе программы управления безопасностью следует уделить внимание консультациям с соответствующим персоналом относительно ожидаемых изменений.

e)    Типовые выходные данные/результаты

Типовые выходные данные/результаты включают разработанные и документированные программы менеджмента безопасности для достижения целей и целевых показателей (см. 4.3.3 и 4.3.4).

Содержание

1    Область применения.................................................................1

2    Нормативные ссылки.................................................................2

3    Термины, определения и сокращения...................................................2

4    Требования к системе менеджмента безопасности цепи поставок............................3

4.1    Общие требования...............................................................4

4.2    Политика в области менеджмента безопасности.......................................4

4.3    Оценка рисков безопасности и планирование.........................................7

4.4    Внедрение и функционирование...................................................16

4.5    Контроль и корректирующие действия..............................................26

4.6    Анализ со стороны руководства и постоянное улучшение..............................37

Приложение А (справочное) Соответствие между стандартами ИСО 28000:2007. ИСО 14001:2004

и ИСО 9001:2000 ........................................................40

Библиография.......................................................................44

-    идентификацию рисков, оценку рисков и результаты управления рисками;

-    цели, целевые показатели и программы по безопасности;

-    нормативные и законодательные требования;

-    должностные инструкции;

-    перечень квалифицированных сотрудников службы безопасности, которые прошли и/или должны пройти оценку благонадежности.

d) Процесс

1)    Обзор

Должны быть определены обязанности и полномочия тех лиц, на которых возложена ответственность в системе менеджмента безопасности, включая четкое определение обязанностей на пересечении различных функций.

Такие определения могут, в частности, потребоваться для следующих категорий сотрудников:

-    высшее руководство;

-    руководители среднего звена на всех уровнях организации;

-    ответственные за подрядчиков и посетителей, которые имеют доступ к помещению и его работникам;

-    ответственные за обучение по безопасности;

-    ответственные за оборудование и операции, которые имеют решающее значение для безопасности;

-    сотрудники, прошедшие оценку благонадежности, или другие специалисты по безопасности внутри организации;

-    сотрудники службы безопасности, предоставляющие консультации на проводимых форумах

Однако организация должна доводить до сведения сотрудников информацию и непреложность

ее реализации относительно того, что безопасность — это ответственность каждого сотрудника организации. а не только ответственность тех. кто наделен определенными обязанностями в системе менеджмента безопасности.

2)    Определение ответственности высшего руководства

В обязанности высшего руководства должны входить разработка политики организации в области безопасности и обеспечение внедрения системы менеджмента безопасности. В рамках этого обязательства высшее руководство должно провести выборы и назначить конкретного представителя руководства с определенными обязанностями и полномочиями для внедрения системы менеджмента безопасности. В крупных или сложных по структуре организациях может быть назначено несколько ответственных представителей.

3)    Определение ответственности представителя руководства

Представитель руководства в области менеджмента безопасности должен нести ответственность и иметь полномочия по обеспечению того, чтобы система менеджмента безопасности была внедрена и документирована. Представитель руководства в области менеджмента безопасности должен иметь постоянный доступ к высшему руководству и поддерживаться другим персоналом, которому делегированы обязанности по мониторингу работы всех функций безопасности организации. Представитель руководства должен регулярно получать информацию о функционировании системы и активно участвовать в регулярном рассмотрении и определении целей безопасности. Следует обеспечить, чтобы любые другие обязанности или функции, возложенные на этих сотрудников, не вступали в противоречие с выполнением ими обязанностей по обеспечению безопасности.

4)    Определение ответственности линейного руководства (менеджеров среднего звена)

Ответственность руководителей среднего звена должна включать обеспечение того, что управление безопасностью осуществляется в пределах его зоны действия. В тех случаях, когда ответственность за вопросы безопасности возложена исключительно на руководителе среднего звена, роль и обязанности отдельной функции безопасности в организации должны быть надлежащим образом определены во избежание двусмысленности в отношении ответственности и полномочий. С этой целью следует проводить мероприятия по разрешению любого конфликта, возникающего из-за проблем безопасности, с одной стороны, и соображений производительности — с другой, путем перехода на более высокий уровень управления.

5)    Документирование ролей и ответственности

Ответственность и полномочия по безопасности должны быть задокументированы по форме, выбранной организацией. Это может быть одна или несколько из следующих форм (при этом организация может выбрать альтернативную форму):

Введение

ИСО 28000 2007 «Спецификация для систем менеджмента безопасности цепи поставок» и настоящий стандарт разработаны в связи с необходимостью разработки унифицированного стандарта системы управления цепями поставок с целью оценки и сертификации системы управления безопасностью, а также руководства по реализации данного стандарта.

ИСО 28000 согласован со стандартами систем менеджмента ИСО 9001:2000 «Качество» и ИС014001:2004 «Экология», что будет способствовать интеграции систем качества, охраны окружающей среды и управления цепями поставок организаций.

Кахздый пункт/подпункт настоящего стандарта предваряет полные требования ИСО 28000, после которых следует соответствующее руководство. Нумерация разделов и пунктов настоящего стандарта соответствует нумерации разделов и пунктов ИСО 28000.

При целесообразности настоящий стандарт может быть пересмотрен или изменен, в случае пересмотра положений ИСО 28000

Настоящий стандарт не подразумевает включение всех необходимых положений договора, заключенного между операторами цепи поставок, поставщиками и заинтересованными сторонами, однако пользователи несут ответственность за его правильное применение.

Соблюдение требований настоящего стандарта не освобождает от исполнения юридических обязательств.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 1

Общие принципы

Security management systems for the supply chain.

Guidelines for the implementation of ISO 28000 Part 1 General principles

Дата введения — 2020—07—01

1 Область применения

Настоящий стандарт содержит общие рекомендации по применению ИСО 28000:2007 «Спецификация дпя систем управления безопасностью для цепи поставок».

В настоящем стандарте приведены основные принципы ИСО 28000. отражающие намерения, типовые входные данные, процессы и типовые выходные данные требований ИСО 28000, что направлено на четкое толкование и эффективное внедрение ИСО 28000.

Настоящий стандарт не распространяется на дополнительные требования к указанным в ИСО 28000 и не предусматривает обязательных способов для внедрения ИСО 28000.

Издание официальное

В настоящем стандарте применены термины и определения по ИСО 28000, а также следующие термины с соответствующими определениями:

3.12    риск (risk): Вероятность возникновения угрозы безопасности организации и ее последствия.

3.13    проверка благонадежности (security cleared): Процесс верификации надежности людей, которые будут иметь доступ к конфиденциальным материалам в отношении безопасности организации.

3.14    угроза (threat): Возможное преднамеренное действие или ряд действий, которые могут нанести ущерб любой из заинтересованных сторон, объектам, операциям, цепи поставок, обществу, экономической стабильности или непрерывности деятельности и целостности организации.

4 Требования к системе менеджмента безопасности цепи поставок

Контроль и корректирующие действия:

•    измерения и мониторинг;

-    система оценки; -несоответствия

и предупреждающие действия;

•    записи;

-    аудит

4.1 Общие требования

а) Требования ИСО 28000

Организация должна разработать, задокументировать, внедрять, поддерживать в рабочем состоянии систему менеджмента безопасности, постоянно улучшать ее результативность для выявления угроз безопасности, оценки рисков, контроля и смятения их последствий.

Организация должна постоянно повышать эффективность своей деятельности в целом в соответствии с требованиями, изложенными в настоящем разделе.

Организация должна определить область применения своей системы менеджмента безопасности. Если организация решает передать на аутсорсинг определенный процесс, влияющий на соответствие требованиям настоящего стандарта, то она должна обеспечить контроль таких процессов. Необходимые средства контроля и обязанности по контролю за выполнением данных процессов должны быть определены в системе менеджмента безопасности.

b)    Намерения

Организация должна разработать и поддерживать в рабочем состоянии систему менеджмента, которая соответствует всем требованиям ИСО 28000 Это может помочь организации в соблюдении правил безопасности и нормативно-законодательных требований.

Уровень детализации и сложности системы менеджмента безопасности, обьем документации и выделенные ей ресурсы зависят от размера и специфики структуры организации, а также характера ее деятельности.

Организация, руководствуясь свободой выбора и гибкостью в определении своих границ, может принять решение о внедрении ИСО 28000 в полном обьеме исключительно в конкретных подразделениях или для определенных видов деятельности.

Организации следует взвешенно относиться к вопросам определения границ и области применения системы менеджмента, чтобы не ограничивать свою сферу деятельности, исключая из оценки операцию или вид деятельности, необходимые для осуществления деятельности организации в целом или влияющие на безопасность ее сотрудников и других заинтересованных сторон.

Если требования ИСО 28000 применяют для проведения конкретной операции, то политика безопасности. разработанная другими подразделениями организации, может быть использована отдельным блоком операций/видов деятельности, способствующим выполнению требований ИСО 28000. В этом случае политика безопасности может быть подвергнута незначительному пересмотру или изменению для обеспечения ее применимости к осуществлению работы конкретного операционного подразделения или к виду деятельности организации

c)    Типовые входные данные

Все требования, указанные в ИСО 28000.

d)    Типовые выходные данные/результат

Типовым результатом является эффективно внедренная и поддерживаемая система управления безопасностью, которая помогает организации осуществлять улучшение.

4.2 Политика в области менеджмента безопасности

а) Требования ИСО 28000

b)    Намерения

Политика безопасности — это краткое изложение обязательств высшего руководства по обеспечению безопасности деятельности организации. Политика безопасности формирует общие направления и устанавливает принципы действий для организации, определяет цели безопасности и результаты деятельности всей организации. Политика безопасности должна быть разработана, утверждена высшим руководством организации и документально оформлена.

c)    Типовые входные данные

При разработке политики в области безопасности руководство должно рассмотреть следующие вопросы в отношении своей цепи поставок:

-    политика и цели деятельности организации представляет собой единое целое;

-    рассмотрение прошлых и настоящих результатов деятельности в области безопасности с целью стабильности организации;

-    потребности заинтересованных сторон;

-    необходимость и возможность постоянного улучшения и эффективного роста;

-    потребность в ресурсах;

-    вклад сотрудников;

-    участие подрядчиков, заинтересованных сторон и другого внештатного персонала.

d)    Процесс

При разработке и утверждении политики в области безопасности высшее руководство должно учитывать пункты, перечисленные ниже.

Эффективно сформулированная и доведенная до персонала политика в области безопасности должна:

1) соответствовать характеру и масштабу рисков безопасности организации.

Идентификация угроз, оценка риска и управление рисками должны быть отражены в политике безопасности организации, что является основой эффективной системы менеджмента безопасности.

Политика безопасности должна включать видение будущего организации. Оно должно быть реалистичным и не учитывать природу рисков, с которыми сталкивается организация;

2)    включать обязательства относительно постоянного улучшения.

Глобальные угрозы в сфере безопасности усиливают давление на организацию с целью снижения риска инцидентов в цепи поставок. Помимо исполнения национальных правовых и нормативных обязательств. а также других нормативно-законодательных требований и руководств, подготовленных соответствующими организациями, такими как Всемирная торговая организация (ВТО), организация должна стремиться к улучшению своих показателей безопасности и совершенствованию собственной системы менеджмента безопасности эффективным и действенным образом для удовлетворения меняющихся глобальных торговых, деловых и нормативно-законодательных требований.

Планируемые результаты улучшений должны быть отражены в целях по безопасности (см. 4.3.2) и программах менеджмента безопасности (см. 4.3.5), а также в политике в области безопасности. При этом заявление о политике безопасности может включать в себя обязательства в расширенной области действия;

3)    включать обязательство, как минимум, соответствовать действующим нормативно-законодательным и другим требованиям, относящимся к организации.

Необходимо, чтобы организация соответствовала применимым регуляторным требованиям. Обязательство политики в области безопасности — это публичное признание организацией того, что она обязана соблюдать законодательные или другие юридически обязательные требования или принятые добровольно, такие как рамочные стандарты безопасности ВТО.

Примечание — Термин «другие юридически обязательные требования» может означать, например, корпоративные политики или политики объединений, собственные внутренние стандарты организации, спецификации и коды надлежащей практики, которые организация обязалась выполнять),

4)    документироваться, внедряться и поддерживаться в рабочем состоянии.

Планирование и подготовка — это основной способ эффективного внедрения. Часто предложения о политике безопасности, а также цели в области безопасности являются нереалистичными, так как на них не выделяются соответствующие средства и компетентный персонал. Перед публичным декларированием политики следует предусмотреть, чтобы все необходимые финансовые ресурсы, другие источники и высокопрофессиональные сотрудники были задействованы в реализации целей в области безопасности в запланированный период.

Для того чтобы обеспечить результативность политики в области безопасности, необходимо, чтобы она была документально оформлена, актуализировалась и периодически пересматривалась на предмет ее приемлемости;

5)    доводиться до всего персонала для информирования сотрудников об их персональной ответственности за безопасность.

Вовлечение и ответственность персонала является важнейшим условием эффективной безопасности организации.

Сотрудники должны быть осведомлены о влиянии управления безопасностью на качество их собственной рабочей среды. Сотрудников следует поощрять к активному участию в управлении безопасностью.

Персонал (на всех уровнях, включая уровни управления) не сможет внести эффективный вклад в управление безопасностью, если он не вполне четко понимает политику безопасности организации и свои обязанности и не обладает в полной мере компетентностью для выполнения необходимых задач.

Для того чтобы сотрудники вносили эффективный вклад в управление безопасностью, необходимо, чтобы организация доводила до сведения всех сотрудников свою политику и цели безопасности и предоставляла инструментарий, чтобы у них была структура, с помощью которого они могли бы оценить свои результаты в области безопасности;

6)    быть доступной для заинтересованных сторон.

Лицо или группа лиц (как внутренние, так и внешние), работа которых связана с показателями безопасности организации или попадающие под их влияние, будут заинтересованы в заявлении о политике безопасности. Следовательно, должен существовать процесс для доведения до них политики безопасности и обеспечивать ознакомление с политикой безопасности заинтересованных сторон при необходимости;

7)    пересматриваться на предмет постоянной пригодности и соответствия деятельности организации.

В связи с изменениями правовых и законодательных норм политику в области безопасности и систему менеджмента безопасности организации следует регулярно пересматривать для обеспечения их актуальности и эффективности.