• Текст документа
  • Статус
Документ в силу не вступил


ГОСТ Р ИСО 28004-3-2018

     
     
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМА МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 3

Дополнительное специальное руководство по внедрению ИСО 28000 в организациях среднего и малого бизнеса (за исключением морских портов)

Security management systems for the supply chain. Guidelines for the implementation of ISO 28000. Part 3. Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports)



ОКС 03.100.01

Дата введения 2019-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации оборонной продукции и технологий" (ФГУП "Рособоронстандарт") на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 стандарта, который выполнен ФГУП "Стандартинформ"

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 июля 2018 г. N 435-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 28004-3:2014* "Системы менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 3. Дополнительное специальное руководство по принятию ИСО 28000 для использования в операциях среднего и малого бизнеса (кроме морских портов)" [ISO 28004-3:2014 "Security management systems for the supply chain - Guidelines for the implementation of ISO 28000 - Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports)", IDT].
________________
* Доступ к международным и зарубежным документам, упомянутым здесь и далее по тексту, можно получить, перейдя по ссылке на сайт http://shop.cntd.ru. - Примечание изготовителя базы данных.


Международный стандарт разработан Техническим комитетом ISO/TC 8 "Суда и морские технологии".

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые элементы настоящего стандарта могут являться объектами патентных прав


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


ИСО 28000:2007, а также руководство по его внедрению, изложенное в стандартах серии ИСО 28004, разработаны в связи с возникшей потребностью в наличии идентифицируемых критериев оценки (процедуры валидации) системы менеджмента цепи поставок, по отношению к которым системы менеджмента безопасности в целях установления соответствия требованиям ИСО 28000 и стандартов серии ИСО 28004 могут быть оценены и сертифицированы. Руководство, изложенное в стандартах серии ИСО 28004, имеет универсальный характер и предназначено для организаций различного типа, планирующих внедрить ИСО 28000. Организации, представляющие малый бизнес, могут испытывать трудности в определении мер, необходимых для реализации каждого требования, установленного в ИСО 28000. Целью настоящего стандарта является предоставление руководства для организаций среднего и малого бизнеса (за исключением морских портов), а также обеспечение их необходимой информацией для определения области валидации и мер верификации, необходимых для соответствия требованиям безопасности, изложенным в ИСО 28000 и стандартах серии ИСО 28004.

В целях определения эффективности имеющихся методов и систем обеспечения безопасности в ИСО 28000 установлены требования к причастным сторонам относительно оценки планов и процедур менеджмента обеспечения безопасности посредством периодических пересмотров, проверок, составления отчетов после происшествий, а также соответствующего обучения. Для обеспечения непрерывности безопасности цепи поставок важно, чтобы причастные стороны гарантировали транспортной отрасли наличие установленных мер по обеспечению безопасности и защите целостности цепи поставок при нахождении грузов под их прямым контролем. Неспособность одной из причастных сторон осуществить меры по защите цепи поставок от глобальных угроз и эксплуатационных рисков влечет за собой нарушение целостности системы и, как следствие, отсутствие гарантий относительно безопасного транспортирования дорогостоящих грузов.

Причастные стороны, представляющие средний и малый бизнес, являются неотъемлемой частью системы транспортирования поставок, в связи с чем в их отношении установлены требования по проведению проверок возможностей с последующим подтверждением для транспортной отрасли их соответствия действующему законодательству, нормативным и правовым актам, наилучшим практикам отрасли, а также их собственной политике и целям в области безопасности, основанным на идентифицируемых угрозах и рисках, связанных с функционированием. Настоящий стандарт устанавливает руководство и критерии для оценки качества планов менеджмента безопасности для защиты целостности цепи поставок, разработанных в соответствии с ИСО 28000 организациями среднего и малого бизнеса (за исключением морских портов). Требования, изложенные в настоящем стандарте, приведены в виде дополнений к отдельным положениям стандартов серии ИСО 28004 и не противоречат им.

1 Область применения


Настоящий стандарт содержит руководство по внедрению ИСО 28000 для организаций среднего и малого бизнеса (за исключением морских портов). Руководство, изложенное в настоящем стандарте, дополняет основное руководство, изложенное в ИСО 28004-1, не противоречит ему, а также требованиям ИСО 28000.

2 Нормативные ссылки


Для применения настоящего стандарта необходимы следующие ссылочные нормативные документы*. Для датированных ссылок применяют только указанное издание ссылочного документа, для недатированных - последнее издание (включая все изменения к нему):
________________
* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.


ИСО 28000:2007, Specification for security management systems for the supply chain (Системы менеджмента безопасности цепи поставок. Технические условия)

ИСО 28004-1:2007, Security management systems for the supply chain - Guidelines for the implementation of ISO 28000 - Part 1: General principles (Системы менеджмента безопасности цепи поставок. Руководство по внедрению ИСО 28000. Часть 1. Основные принципы)

3 Дополнительные указания


ИСО 28000 разработан для применения организациями, заинтересованными в обеспечении наилучшей защиты цепей поставок или услуг, предоставляемых операторам цепи поставок. Основные положения стандартов серии ИСО 28004 представляют собой руководство для организаций любых размеров, планирующих внедрить ИСО 28000. Поскольку стандарты серии ИСО 28004 содержат руководство для широкого круга организаций, их положения для организаций среднего и малого размера могут быть более трудоемкими, чем это необходимо. Целью настоящего стандарта является адаптация положений указанного выше руководства для его использования небольшими организациями. В случае выявления необходимости предоставления более подробной информации организации, применяющие настоящий стандарт, должны руководствоваться требованиями стандартов серии ИСО 28004. Конкретные методы приведены в настоящем стандарте для наглядности и могут быть заменены на аналогичные методы.

Организациям, внедряющим ИСО 28000, необходимо:

- установить цель - обеспечение безопасности цепи поставок;

- оценить текущее состояние безопасности цепи поставок;

- разработать планы, включающие существующие процессы и процедуры цепи поставок, а также любые дополнительные процессы/процедуры или системы, необходимые для обеспечения соответствия установленным целям безопасности цепи поставок;

- подготовить персонал к выполнению их функций и обязанностей согласно плану обеспечения безопасности цепи поставок;

- обеспечить установку и поддержание в надлежащем состоянии любых систем или оборудования, обозначенных в плане обеспечения безопасности цепи поставок;

- приступить к выполнению плана обеспечения безопасности цепи поставок;

- проводить мониторинг результатов выполнения плана обеспечения безопасности цепи поставок;

- проводить периодический пересмотр состояния безопасности цепи поставок в целях обнаружения изменений в условиях поставок, включая новые угрозы;

- проводить периодическую проверку планов (тренировки) организации и расследовать все инциденты в области обеспечения безопасности цепи поставок;

- обновлять цели, планы и осуществлять подготовку персонала на основе данных контроля выполнения, пересмотра, тренировок или расследований.

Пользователи серии стандартов ИСО 28004, которые ранее не работали со стандартами в сфере менеджмента, должны обратить внимание на термины "намерение", "входные данные" и "выходные данные", которые использованы в отношении каждого требования, рассматриваемого в настоящем стандарте. "Намерение" применено как заголовок раздела, в котором объясняется, что необходимо организации для выполнения работы. "Входные данные" - это раздел, в котором объяснено, что необходимо анализировать или рассматривать. "Выходные данные" - это раздел, в котором объяснено, какие цели имеет организация или какие действия ей следует предпринять относительно конкретного требования.

Шаг 1. Подготовительная работа

До начала процесса внедрения ИСО 28000 организация может рассмотреть вопрос о включении в систему менеджмента безопасности цепи поставок (в пределах области применения) всей организации или ее отдельных структурных подразделений. При принятии соответствующего решения отсутствуют ограничения в рассматриваемых аспектах, тем не менее рекомендуется принимать во внимание следующую информацию:

- существующие цели организации;

- потребности или ожидания потребителей;

- интересы государства, если система менеджмента принимается с учетом государственной политики или программы;

- наличие/отсутствие осведомленности о системах менеджмента ИСО.

В пределах планируемой области применения систему менеджмента безопасности следует распространить на все области и функции, связанные с цепью поставок. В целях упрощения определения заданных областей и функций организация должна проанализировать в том числе следующую информацию:

- места производства, оформления или обработки грузов до погрузки на транспорт, укладки на паллеты или иной подготовки для отправки;

- места отправки, хранения или сбора грузов до их транспортирования;

- места перевозки грузов;

- места погрузки или разгрузки грузов после их транспортирования;

- места смены контроля над грузами;

- места обработки, создания и доступа к документации или информации об отправляемых грузах;

- транспортные маршруты и средства перевозки при различных способах транспортирования;

- прочее.

Шаг 2. Установление "Политики в области менеджмента безопасности" (раздел 4.2 ИСО 28000 и ИСО 28004-1)

После определения области применения необходимо установить Политику в области менеджмента безопасности. Установление Политики в области менеджмента безопасности является одной из важнейших задач, так как вся система менеджмента безопасности цепи поставок будет строиться в соответствии с ее положениями, а при проведении сертификации Политика станет критерием оценки всех целей, действий и планов.

В процессе разработки Политики в области менеджмента безопасности рекомендуется обеспечить проведение оценки существующих условий, которая позволит определить как действующие внутренние условия организации, так и потребности в необходимых ресурсах.

Политика в области менеджмента безопасности должна быть одобрена высшим руководством организации. Политика должна быть понятной, четко сформулированной и устанавливать общие/основные цели в области менеджмента безопасности организации. В ней должны быть отражены все известные угрозы безопасности, изложены обоснованные ожидания организации по эффективному преодолению угроз с помощью применения подходов превентивного менеджмента. Кроме того, Политика должна соответствовать размеру и структуре организации и включать обязательство постоянного улучшения. Для иллюстрации приведено следующее заявление о Политике.

Пример - BETA TRUCKING LTD - НАША ПОЛИТИКА В ОБЛАСТИ БЕЗОПАСНОСТИ:

- поддержка показателя утери/повреждения груза, по крайней мере на X% ниже, чем средний показатель отрасли;

- соблюдение требований нормативных и правовых актов в части транспортирования/безопасности, действующих для данной продукции;

- соответствие или превосходство практик по безопасности, установленных Всемирной таможенной организацией для уполномоченного экономического оператора.

Примечание - Данную политику используют в том случае, если в рамках цепи поставок перемещаются импортируемые или экспортируемые грузы;

- расследование всех заявлений об утратах и инцидентов в области обеспечения безопасности с последующим проведением соответствующих корректировок;

- постоянное улучшение безопасности и эксплуатационной эффективности цепи поставок, при необходимости осуществляя необходимые изменения;

- сотрудничество в полном объеме с правительственными уполномоченными органами в случае обнаружения или возникновения подозрения в контрабанде;

- предоставление информации о Политике всему персоналу и сторонним организациям (в необходимом объеме). Организации могут ограничить доступ к тем элементам Политики, которые сочтут конфиденциальными (например, порядок взаимодействия с полицией или таможней при обнаружении контрабанды). Организации могут использовать свои заявления о Политике в рекламных целях;

- заявление о Политике должно быть документально оформлено и обновляться в результате пересмотров в соответствии с ИСО 28000, раздел 4.4.4. При пересмотре заявления о Политике все предыдущие издания должны быть заменены.



Шаг 3. Выполнение "оценки безопасности" (пункт 4.3.1 ИСО 28000, подраздел 4.3 ИСО 28004-1)

Организации, внедряющие ИСО 28000, должны выполнить оценку безопасности цепей поставок и услуг по их сопровождению, находящихся в области применения, установленной руководством организации. Оценка безопасности определяет общую безопасность системы методом сравнения существующих процессов и мер безопасности с перечнем известных сценариев угроз (рисков), тем самым подтверждая, что контроль риска осуществляется надлежащим образом. В целом, риск считают контролируемым в том случае, если правдоподобность появления событий, вызывающих средние или значительные последствия в результате срывов в цепи поставок, низкая.

С высокой долей ответственности следует управлять большими, сложными или многосоставными цепями поставок, так как каждая часть цепи поставок является критичной для обеспечения низкого уровня правдоподобности возникновения опасных для организации ситуаций. В случае выполнения отдельных оценок для каждой цепи поставок, входящих в комплекс, истинный уровень правдоподобности срыва поставок не всегда очевиден.

Необходимо документально оформлять все аспекты оценки безопасности, в том числе:

- персонал, задействованный в проведении оценки, и его квалификацию;

- описание используемой методологии, включая определения всех терминов и цифровых/буквенных символов, используемых в методологии для описания вероятности, правдоподобности появления событий, последствий, критичности или эффективности;

- сценарии угроз, использованные при выполнении оценки;

- описание области применения;

- составление перечня существующих планов или процедур, пересмотренных в процессе оценки;

- предположения (при их наличии);

- необходимые пояснения, фотографии, диаграммы или другие описания для подтверждения результатов оценки;

- аспекты, связанные с цепью поставок, требующей обеспечения дополнительных мер безопасности (необходимых контрмер);

- дату завершения выполнения оценки.

В стандартах серии ИСО 28000 подробно не установлены требования к квалификации персонала, проводящего оценку. Основываясь на требованиях, установленных в ИСО 28000, организации могут использовать приведенные ниже общие указания для формирования экспертной группы по проведению оценки.

Лицо или группа лиц, проводящие оценку безопасности, должны обладать в том числе следующими навыками и знаниями:

- методами оценки рисков, применимых ко всем аспектам цепи поставок внутри области применения;

- опытом применения соответствующих мер, обеспечивающих отсутствие неправомочного раскрытия или доступа к конфиденциальным данным по безопасности;

- операций и процедур, относящихся к обработке, оформлению, перемещению и/или документальному оформлению грузов (при необходимости);

- мер по безопасности, связанных с консигнацией, перевозками, персоналом, помещениями и информационными системами в соответствующей части цепи поставок;

- пониманием угроз безопасности и методологий уменьшения негативных последствий;

- применимой законодательной базы, нормативных и правовых актов, а также правовой политики соответствующих органов управления;

- требований ИСО 28000 и стандартов серии ИСО 28004.

Оценка безопасности сложных цепей поставок, охватывающих многочисленные операционные среды, требует от персонала, участвующего в ее выполнении, более высокого уровня квалификации.

Шаг 4. Идентификация угроз безопасности (сценариев угроз)

При проведении оценки безопасности нельзя рассмотреть все возможные сценарии угроз, поэтому экспертной группе необходимо осуществить разработку обоснованного перечня сценариев угроз и документально оформить конкретные сценарии, используемые при проведении оценки. При разработке перечня сценариев угроз экспертная группа может, при необходимости, получить входные данные из многочисленных источников, включая документы организации, информацию компетентных лиц внутри цепи поставок, сведения, предоставленные промышленными объединениями, страховыми компаниями и уполномоченными государственными органами. Несмотря на отсутствие данного требования в ИСО 28000 сценарии угроз могут включать в себя несчастные случаи и события природного характера. Для иллюстрации приведен следующий перечень сценариев угроз.


Таблица 1 - Сценарии угроз

Сценарии угроз

Реализация

1) Проникновение и/или установление контроля над активом (включая транспортные средства) в пределах цепи поставок

Повреждение/разрушение актива (включая транспортные средства).

Повреждение/разрушение внешней цели с использованием активов или грузов.

Нарушение гражданского или экономического равновесия.

Захват заложников/убийство людей

2) Использование цепи поставок в целях контрабанды

Незаконное перемещение оружия/грузов/валюты в цепи поставок

3) Фальсификация информации

Получение местного или удаленного доступа к информационным/документальным системам в целях нарушения функционирования или содействия незаконной деятельности

4) Целостность груза

Фальсификация, повреждение и/или кража грузов или транспортных средств в цепи поставок

5) Запугивание персонала в целях разрешения осуществления незаконных действий

Давление на сотрудников цепи поставок со стороны криминальных элементов, чтобы способствовать незаконной деятельности в цепи поставок


Шаг 5. Последствия

После определения и документального оформления области применения и сценариев угроз экспертная группа должна документально оформить ожидаемые последствия реализации каждого из сценариев. Несмотря на наличие множества методов определения или классификации таких последствий приведенный ниже метод является довольно простым и эффективным для применения во многих ситуациях.

Примечание - Пользователь настоящего стандарта вправе использовать и другие методы.


Оценка последствий должна учитывать возможность гибели и травмирования людей и варианты экономического ущерба. Последствия каждого случая по нарушению безопасности, выявленного в цепи поставок, следует классифицировать как "высокие", "средние" или "низкие" (таблица 2). В процессе оценки может быть использована числовая система до момента преобразования численных результатов в качественные показатели.

Обоснования классификации последствий для каждого инцидента в области обеспечения безопасности должны быть документально оформлены.

Установление высоких, средних или низких значений последствий требует особого внимания. Использование чрезмерно низких пороговых значений может приводить к использованию возможных контрмер для большего количества сценариев угроз безопасности, чем требуется в действительности. Однако при использовании чрезмерно высоких пороговых значений вероятен риск упущения возможности применения контрмер по отношению к сценариям угроз безопасности, имеющим недопустимые для организации последствия, классифицируемые как:

- высокие - это последствия, неприемлемые в ситуациях с низким уровнем правдоподобности их появления.

- средние - это последствия, неприемлемые в ситуациях с высоким уровнем правдоподобности их появления.

- низкие - это, как правило, приемлемые последствия.

Приемлемость не следует путать с желательностью или одобрением. Приемлемость может быть рассмотрена как характеристика размеров возможного ущерба, которые организация или орган исполнительной власти готовы принять при определенных условиях, связанных с вероятностью. Организация или орган исполнительной власти могут установить размеры возможного ущерба, которые могут быть нежелательными, но все же приемлемыми.


Таблица 2 - Классификация последствий

Степень

Последствие

Высокая

Гибель и травмирование - большое количество погибших и раненых

и/или

Экономическое воздействие - серьезное повреждение активов и/или инфраструктуры, препятствующее дальнейшему функционированию

и/или

Воздействие на окружающую среду - полное разрушение многочисленных элементов экосистемы на обширной территории

Средняя

Гибель и травмирование - небольшое количество погибших и раненых

и/или

Экономическое воздействие, например повреждение активов и/или инфраструктуры, которые в результате нуждаются в восстановлении

и/или

Воздействие на окружающую среду, например, повреждение части экосистемы в течение долгого промежутка времени

Низкая

Доступ к полной версии этого документа ограничен

Текст документа вы можете получить на ваш адрес электронной почты, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт».

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу spp@kodeks.ru

ГОСТ Р ИСО 28004-3-2018 Система менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 3. Дополнительное специальное руководство по внедрению ИСО 28000 в организациях среднего и малого бизнеса (за исключением морских портов)

Название документа: ГОСТ Р ИСО 28004-3-2018 Система менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 3. Дополнительное специальное руководство по внедрению ИСО 28000 в организациях среднего и малого бизнеса (за исключением морских портов)

Номер документа: ИСО 28004-3-2018

Вид документа: ГОСТ Р

Принявший орган: Росстандарт

Статус: Документ в силу не вступил

Опубликован: Официальное издание. М.: Стандартинформ, 2018 год
Дата принятия: 27 июля 2018

Дата начала действия: 01 июня 2019
Информация о данном документе содержится в профессиональных справочных системах «Кодекс» и «Техэксперт»
Узнать больше о системах