ГОСТ Р ИСО 28004-4-2018 Система менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 4. Дополнительное специальное руководство по внедрению ИСО 28000, когда соответствие ИСО 28001 является целью менеджмента

ИСО 28000

Включение наилучших практик, приведенных в ИСО 28001

Комментарии

4.2 Политика в области безопасности

Положение политики, которое устанавливает, где будут применены наилучшие практики. Эта информация может быть получена из документации по информации, требуемой в ИСО 28001 (4.1 a и b)

Организации, которые используют наилучшие практики с конечной целью утверждения статуса УЭО, должны проводить переговоры с таможенными органами, имеющими полномочия присваивать статус УЭО, чтобы гарантировать соответствие намеченной области применения наилучших практик требованиям для получения статуса УЭО

4.3.1 Оценка рисков в области безопасности

Пункт 5.3.1 определяет навыки и знания персонала, который будет проводить оценку в области безопасности. Пункт 5.3.2 устанавливает требование в части включения сценариев угроз, необходимых, по мнению уполномоченных должностных лиц, в добавление к сценариям, предложенным персоналом, проводящим оценку.

Требуемая документация:

a) все рассмотренные сценарии угроз безопасности;

b) процессы, используемые при оценке этих угроз;

c) все установленные и приоритетные контрмеры

ИСО 28001 не требует от организаций в цепи поставок, которые имеют международные сертификаты или одобрения (как определено в 4.3) или которые были сертифицированы на соответствие стандарту менеджмента, включающему или ИСО 20858, или ИСО 28001, повторно проводить оценки в области безопасности участков цепи поставок, ранее прошедших оценку (см. 4.4).

Примечание - Если требуется подтверждение или сертификация статуса УЭО, то соответствующий таможенный орган или орган по сертификации, включенный в процесс, должен определить выбор международных сертификатов или одобрений и сертификации.


В 4.2 ИСО 28001 указано, что некоторые деловые партнеры по цепи поставок могут не выразить желания участвовать в оценке в области безопасности для каждой вовлеченной компании. В таких случаях ИСО 28001 позволяет этим компаниям представить в письменной форме меры по безопасности, которые они будут обеспечивать (декларации об охране). Достоверность этих деклараций должна быть проверена согласно 4.5

4.3.1 Разработка плана обеспечения безопасности

Подраздел 5.4 определяет требования разработанного плана обеспечения безопасности для охватываемых участков цепи(ей) поставок. Организациям при разработке и пересмотре своих планов обеспечения безопасности необходимо рассмотреть для использования руководство, представленное в приложениях A и B

В ИСО 28001 (начиная с 5.5 и заканчивая 5.6.2) установлены следующие требования: разработанный план обеспечения безопасности должен быть внедрен и контролироваться в качестве части системы менеджмента

4.5.3 Сбои, инциденты, несоответствия в отношении безопасности, корректирующие и предупреждающие действия

В подразделе 5.7 дополнительно установлено требование относительно того, что в случае нарушения безопасности организация следовала процедурам отчетности перед таможенными и/или соответствующими правоохранительными органами