ГОСТ Р ИСО 28003-2019

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок

Security management systems for the supply chain. Requirements for bodies providing audit and certification of supply chain security management systems

ОКС 03.100.01

Дата введения 2020-07-01

Предисловие

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Международный менеджмент, качество, сертификация" (АНО "ММКС") совместно с Обществом с ограниченной ответственностью "Палекс" (ООО "Палекс"), Ассоциацией по сертификации "Русский Регистр" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. N 1435-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 28003:2007* "Системы менеджмента безопасности цепи поставок. Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок" (ISO 28003:2007 "Security management systems for the supply chain - Requirements for bodies providing audit and certification of supply chain security management systems", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт предназначен для использования органами по сертификации, которые проводят аудит и сертификацию систем управления безопасностью цепи поставок. Сертификация систем менеджмента безопасности цепи поставок является деятельностью по оценке соответствия третьей стороны (см. п.5.5 ИСО/МЭК 17000:2004). Таким образом, органы, осуществляющие данную деятельность, являются сторонними органами по оценке соответствия, называемыми в настоящем стандарте органами по сертификации. Эта формулировка не должна быть препятствием для использования настоящего стандарта органами с другими названиями, которые осуществляют деятельность в рамках области применения настоящего стандарта. Настоящий стандарт может быть использован любым органом, который принимает участие в оценке систем менеджмента безопасностью цепочки поставок.

Сертификация систем менеджмента безопасности цепи поставок организации является одним из средств внедрения организацией системы менеджмента безопасности цепи поставок в соответствии со своей политикой.

Сертификация систем менеджмента безопасности цепи поставок будет осуществляться органами по сертификации, аккредитованными признанным органом, таким как члены IAF.

Настоящий стандарт устанавливает требования к органам по сертификации. Соблюдение этих требований предназначено для обеспечения того, чтобы органы по сертификации действовали в рамках сертификации систем менеджмента безопасности цепи поставок профессиональным, последовательным и надежным образом, тем самым способствуя признанию таких органов и выданных ими сертификатов на национальном и международном уровнях. Настоящий стандарт является базой для признания результатов сертификации систем менеджмента в интересах международной торговли.

Сертификация системы менеджмента безопасности цепи поставок обеспечивает независимую верификацию того, что система менеджмента безопасности цепи поставок организации:

a) соответствует установленным требованиям;

b) способна последовательно достигать своей заявленной политики и целей;

c) результативно внедрена.

Сертификация системы менеджмента безопасности цепи поставок обеспечивает получение выгоды организацией, ее потребителями и заинтересованными сторонами.

Настоящий стандарт призван стать основой для признания компетенции органов по сертификации в предоставлении ими сертификации системы менеджмента безопасности цепи поставок. Настоящий стандарт может быть использован в качестве основы для признания компетенции органов по сертификации в предоставлении ими сертификации системы менеджмента безопасности цепи поставок (такое признание может быть в форме уведомления, экспертной оценки или прямого признания регулирующими органами или отраслевыми консорциумами).

Деятельность по сертификации включает аудит системы менеджмента безопасности цепи поставок организации. Форма подтверждения соответствия системы менеджмента безопасности цепи поставок организации определенному стандарту (например, ИСО 28000*) или другому указанному требованию, как правило, является сертификационным документом или сертификатом.

Настоящий стандарт предназначен для того, чтобы сертифицированная организация разработала собственные системы менеджмента безопасности цепи поставок (включая систему стандартов безопасности цепи поставок ИСО 28000, другие наборы системных требований по цепям поставок, менеджмента безопасности, системы качества, системы охраны окружающей среды, системы обеспечения безопасности труда). Организация вправе сама определять расстановку различных компонентов таких систем (за исключением тех случаев, когда соответствующие законодательные требования предписывают иное). Степень сопряжения различных компонентов системы менеджмента будет колебаться в зависимости от деятельности организации. Поэтому органам по сертификации, которые действуют в соответствии с настоящим стандартом, следует принимать во внимание культуру и методы своих заказчиков относительно внедрения их системы менеджмента безопасности в рамках более широкой организации.

     1 Область применения

Настоящий стандарт содержит принципы и требования органов, проводящих аудит и сертификацию систем менеджмента безопасности цепи поставок в соответствии со спецификациями и стандартами ИСО 28000.

Настоящий стандарт определяет минимальные требования, предъявляемые к органам по сертификации и связанным с ними аудиторам, признавая уникальную потребность в конфиденциальности при аудите и сертификации/регистрации организации - заказчика.

Требования к системам менеджмента безопасности цепи поставок могут быть изложены в публикациях, и настоящий стандарт разработан для оказания помощи в сертификации систем менеджмента цепи поставок, которые отвечают требованиям ИСО 28000 и других международных стандартов в области менеджмента безопасности цепи поставок.

Настоящий стандарт:

- обеспечивает согласованное руководство по аккредитации органов по сертификации, подающих заявку на сертификацию/регистрацию ИСО 28000 или требованиям других стандартов менеджмента безопасности цепи поставок;

- определяет правила, применимые для аудита и сертификации системы менеджмента безопасности цепи поставок на соответствие требованиям стандартов (или набору других требований в отношении менеджмента безопасности цепи поставок);

- предоставляет потребителям необходимую информацию о том, как проведена сертификация их поставщиков.

Примечания

1 Сертификация систем менеджмента безопасности цепи поставок в определенных случаях может именоваться регистрацией, а органы по сертификации - органами по регистрации.

2 Органы по сертификации могут быть правительственными и неправительственными (с участием регулирующих органов или без их участия).

3 Настоящий стандарт может быть использован для аккредитации, коллегиальной оценки или других процессов аудита.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют - указанное издание ссылочного стандарта, для недатированных ссылок - последнее издание (включая все изменения к нему):

ISO/IEC 17000:2004, Conformity assessment - Vocabulary and general principles (Оценка соответствия. Словарь и общие принципы)

ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing (Рекомендации по аудиту систем менеджмента качества и/или охраны окружающей среды)

ISO 28000:2007, Specification for security management systems for the supply chain (Спецификация на системы менеджмента безопасности цепи поставок)

     3 Термины, определения и сокращения

В настоящем стандарте применены термины по ИСО/МЭК 17000, а также следующие термины с соответствующими определениями:

3.1 сертифицированный заказчик (certified client): Организация, чья система менеджмента безопасности цепи поставок прошла сертификацию/регистрацию у квалифицированной третьей стороны.

3.2 беспристрастность (Impartiality): Фактическое и воспринимаемое присутствие объективности.

Примечания

1 Объективность означает, что отсутствует конфликт интересов или он разрешается таким образом, чтобы не оказывать негативного влияния на последующую деятельность органа по сертификации.

2 Другими терминами, которые могут быть полезны для передачи сути беспристрастности, являются "независимость", "отсутствие конфликта интересов", "отсутствие предвзятости", "отсутствие предубеждений", "нейтралитет", "справедливость", "непредубежденность", "объективность", "отстраненность", "уравновешенность".

3.3 консультирование по системам управления и/или оценка сопутствующих рисков (management system consultancy and/or associated risk assessments): Участие в проектировании, разработке и поддержании в рабочем состоянии систем менеджмента безопасности цепи поставок и проведении оценки риска.

Примеры:

a) подготовка или разработка руководств или процедур;

b) предоставление конкретных советов, инструкций или решений для разработки и внедрения систем менеджмента безопасности цепи поставок;

c) проведение внутренних аудитов;

d) проведение анализа и оценки риска.

Примечание - Организация обучения и участие в качестве тренера не считается консультацией, если курс относится к системам менеджмента или контроля систем безопасности цепей поставок или аудита, и курс ограничивается предоставлением общей информации, которая находится в свободном доступе, то есть не предоставляются готовые решения для конкретной компании.

     4 Принципы

     4.1 Общие положения

4.1.1 Принципы, описанные в данном разделе, создают основу для последующей конкретной деятельности и представления о требованиях настоящего стандарта. Настоящий стандарт не содержит конкретных требований для тех случаев, которые могут иметь место при проведении аудита. Эти принципы следует применять в качестве руководства для принятия решения о том, какие меры следует принять в непредвиденных ситуациях. Причем принципы не носят обязательный характер.

4.1.2 Сертификация предназначена для гарантии того, что система, процесс, продукция (включая услуги) или цепь поставок соответствуют установленным требованиям. Ценность сертификации определена степенью общественного доверия и уверенностью в том, что она основана на беспристрастной и компетентной оценке, проведенной третьей стороной.

Стороны, проявляющие интерес к сертификации, включают (но не ограничиваются этим):

a) заказчиков органов по сертификации;

b) потребителей организаций, чьи системы менеджмента сертифицированы;

c) органы власти;

d) неправительственные организации;

e) покупатели и другие члены общества.

4.1.3 Принципы, направленные на создание доверия, включают:

a) беспристрастность;

b) компетентность;

c) ответственность;

d) открытость;

e) конфиденциальность;

f) реагирование на претензии/жалобы.

     4.2 Беспристрастность

4.2.1 Для того чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен быть беспристрастным.

4.2.2 Общепризнано, что источником доходов для органа по сертификации является оплата заказчиков за проведенную сертификацию, в чем заключается потенциальная угроза для беспристрастности.

4.2.3 Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации основывались на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации и чтобы на его решения не влияли другие интересы или другие стороны.