ГОСТ Р 53663-2009
(ИСО 28000:2005)

Группа Т51

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Система менеджмента безопасности цепи поставок

ТРЕБОВАНИЯ

Security management system for the supply chain. Requirements

ОКС 13.310

        47.020.99

Дата введения 2010-05-01

     
Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Служба морской безопасности" (ФГУ СМБ) на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 1028-ст

4 Настоящий стандарт является модифицированным по отношению к международному стандарту ИСО 28000:2005 "Технические условия на системы менеджмента безопасности в цепочке поставок" (ISO 28000:2005 "Specification for security management system for the supply chain") путем изменения отдельных фраз (слов, значений показателей, ссылок), которые выделены в тексте курсивом*.

_______________

* В бумажном оригинале обозначения и номера стандартов и нормативных документов в разделах "Предисловие", "Введение" и таблице ДА приложения ДА приводятся обычным шрифтом, остальные по тексту документа выделены курсивом. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения его в соответствие с ГОСТ Р 1.5-2004 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Настоящий стандарт подготовлен в ответ на спрос промышленности на стандарт менеджмента безопасности. Его конечная цель состоит в том, чтобы улучшить безопасность цепей поставок. Стандарт менеджмента высокого уровня, который позволяет организации установить систему менеджмента безопасности для всей цепи поставок.

Это потребует от организации проводить анализ обстановки, в которой она осуществляет свою деятельность, на предмет определения адекватности принимаемых мер охраны, а также наличия других регламентирующих безопасность требований, которым должна соответствовать организация. Если в процессе такого анализа обнаруживаются потребности в части улучшения охраны, организация должна задействовать методики и процедуры для удовлетворения таких потребностей.

Поскольку цепи поставок несут динамический характер, некоторые организации, управляющие многочисленными цепями поставок, могут принимать во внимание соответствие услуг, предоставляемых поставщиками, национальным стандартам безопасности или стандартам Международной организации по стандартизации в области безопасности как условие включения их в собственную систему менеджмента безопасности цепи поставок (см. рисунок 1).

Рисунок 1 - Соотношение между настоящим стандартом и другими соответствующими стандартами

Данные требования предназначены для применения в тех случаях, когда организации требуется надежный менеджмент цепей поставок. Официальный подход к менеджменту безопасности может непосредственно способствовать деловым возможностям организации и доверию к ней.

Соответствие требованиям не освобождает от юридических обязательств. По желанию организации соответствие своей системы менеджмента безопасности положениям данных требований может быть проверено в процессе внешнего или внутреннего аудита.

Эти требования основаны на формате Международной организации по стандартизации, принятом как ГОСТ Р ИСО 14001-2007, который предусматривает подход к системам менеджмента на основе риска. Однако организации, которые приняли последовательный подход к системам менеджмента (например, ГОСТ Р ИСО 9001-2008), могут использовать существующую систему менеджмента как фундамент для внедрения системы менеджмента безопасности, изложенные в данных требованиях.

Данные требования не призваны дублировать требования федеральных органов исполнительной власти и стандарты относительно менеджмента безопасности цепи поставок, по которым организация была уже сертифицирована или проверена на соответствие. Такая проверка может быть выполнена приемлемой организацией первой, второй или третьей стороны.

Примечание - Эти требования основываются на методологии, известной как цикл "Plan - Do - Check - Act" (PDCA). Цикл PDCA можно описать следующим образом:

- планирование (plan) - определение целей и порядка действий, необходимых для достижения результатов, соответствующих политике организации в области безопасности;

- осуществление (do) - реализация запланированных процессов;

- проверка (check) - мониторинг и измерение процессов в сравнении с политикой, целями, нормативными и иными регламентирующими безопасность требованиями и сообщений о результатах;

- действие (act) - проведение мероприятий, направленных на постоянное улучшение работы системы менеджмента безопасности.

     1 Область применения

Настоящий стандарт устанавливает требования к системам менеджмента безопасности, охватывая важные аспекты обеспечения безопасности цепи поставок. Эти аспекты включают в себя, но не ограничиваются вопросами финансирования, производства, управления информированием, а также средствами упаковки, хранения и передачи товаров между различными видами транспорта и местами нахождения. Менеджмент безопасности связан со многими другими аспектами бизнеса-менеджмента. Эти другие аспекты нужно рассматривать непосредственно там и тогда, где и когда они оказывают влияние на менеджмент безопасности, включая передачу товаров по всей цепи поставок.

Эти требования применимы ко всем организациям (от малых до многонациональных), занятых в производстве, обслуживании, хранении или транспортировке, на любом этапе производства или цепи поставок, которые желают:

a) разрабатывать, внедрять, поддерживать в рабочем состоянии и улучшать систему менеджмента безопасности;

b) обеспечивать соответствие с утвержденной политикой в области менеджмента безопасности;

c) демонстрировать такое соответствие другим организациям;

d) получать подтверждение соответствия своей системы менеджмента безопасности у аккредитованного органа по сертификации;

e) самостоятельно определять и декларировать соответствие настоящему стандарту.

Организации, которые в дальнейшем выбирают подтверждение соответствия у аккредитованного органа по сертификации, могут продемонстрировать, что они значительно способствуют обеспечению безопасности цепи поставок.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
     
     ГОСТ Р ИСО 9001-2008 Системы менеджмента качества. Требования.
     
     ГОСТ Р ИСО 14001-2007 Системы экологического менеджмента. Требования и руководство по применению.
     
     ГОСТ Р ИСО 19011-2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента.

Примечание - При пользовании настоящим стандартом целесообразно проверить действия ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 средство (facility): Предназначенный для выполнения определенной функции или оказания услуги технологический комплекс, в том числе предприятие, обеспечивающее его функционирование, здание, сооружение, устройство или оборудование, а также транспортное средство.

Примечание - Данное определение включает в себя любой код программного обеспечения, являющийся ключевым для обеспечения безопасности и применения менеджмента безопасности.

3.2 безопасность (security): Сопротивление преднамеренному акту незаконного вмешательства, рассчитанному на нанесение вреда или ущерба цепи поставок или посредством цепи поставок.

3.3 менеджмент безопасности (security management): Систематизированные и скоординированные действия и методы, с помощью которых организация оптимально управляет своими рисками и связанными с ними потенциальными угрозами и воздействиями.

3.4 цель в области менеджмента безопасности (security management objective): Требуемый в интересах безопасности определенный результат или достижение, удовлетворяющее политику в области менеджмента безопасности.

Примечание - Важно, чтобы такие результаты были прямо или косвенно связаны с обеспечением продукции, поставок или услуг, предоставляемых всем бизнесом его клиентам или конечным пользователям.

3.5 политика в области менеджмента безопасности (security management policy): Совокупность намерений и стремлений организации в отношении безопасности, а также структура управления процессами и деятельностью в области безопасности, которые соответствуют политике организации и нормативным требованиям.

3.6 программы в области менеджмента безопасности (security management programmes): Методы, с помощью которых достигаются цели в области менеджмента безопасности.

3.7 задача в области менеджмента безопасности (security management target): Специальный уровень эксплуатации, который требуется для достижения цели в области менеджмента безопасности.

3.8 заинтересованное лицо (stakeholder): Физическое или юридическое лицо, заинтересованное в исполнении организацией своих функций, достижении успеха или влияющее на ее деятельность.

Примечание - Примерами таких лиц являются клиенты, акционеры, финансисты, страховщики, инспекторы, органы, учрежденные в соответствии с уставом, персонал, подрядчики, поставщики, общественные организации.

3.9 цепь поставок (supply chain): Взаимосвязанный набор ресурсов и процессов, начинающийся с получения сырья и простирающийся через доставку продукции или услуг конечному пользователю посредством транспортных систем.

Примечание - Цепь поставок может включать в себя продавцов, промышленные предприятия, логистические центры, внутренние центры распределения, дистрибьюторов, оптовых продавцов и других юридических лиц, ведущих к конечному пользователю.

3.9.1 фаза постконтроля (downstream): Действия, процессы и движения груза в цепи поставок, которые происходят после того, как груз выходит из-под непосредственного оперативного контроля организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваясь этим.

3.9.2 фаза предконтроля (upstream): Действия, процессы и движения груза в цепи поставок, которые происходят прежде, чем груз оказывается под непосредственным оперативным контролем организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваясь этим.

3.10 высшее руководство (top management): Лицо или группа лиц, руководящих и контролирующих работу организации на высшем уровне.

Примечание - Высшее руководство, особенно большой транснациональной организации, может не рассматриваться в личном плане как элемент, входящий в систему, описываемую настоящим стандартом; однако ответственность высшего руководства на всех уровнях системы должна четко прослеживаться.

3.11 постоянное улучшение (continual improvement): Периодически повторяющийся процесс усиления системы менеджмента безопасности для усовершенствования всей работы в отношении безопасности, соответствующей политике организации в этой области.

     4 Элементы системы менеджмента безопасности

     4.1 Общие требования

Элементы менеджмента безопасности приведены на рисунке 2.

Рисунок 2 - Элементы системы менеджмента безопасности

Организация должна разрабатывать, документировать, внедрять, поддерживать в рабочем состоянии и постоянно улучшать результативность системы менеджмента безопасности с тем, чтобы идентифицировать риски в области безопасности, управлять ими, а также смягчать их последствия.

Организация должна постоянно улучшать эффективность своей деятельности в соответствии с требованиями, изложенными в разделе 4.

Организация должна определить область применения своей системы менеджмента безопасности. Если организация принимает решение о передаче сторонней организации какого-либо процесса, влияющего на соответствие требованиям данного стандарта, она должна обеспечить со своей стороны контроль за таким процессом. Необходимые рычаги управления и ответственность за выполнение таких процессов должны быть определены в рамках системы менеджмента безопасности.

     4.2 Политика в области менеджмента безопасности

Высшее руководство организации должно официально определять общую политику в области менеджмента безопасности. Эта политика должна: