ГОСТ Р 53661-2009
(ИСО 28004:2006)
Группа Т51
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМА МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК
Руководство по внедрению
Security management system for the supply chain. Guidelines for the implementation
ОКС 13.310, 47.020.99
Дата введения 2010-07-01
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Служба морской безопасности" (ФГУ СМБ) на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 1026-ст
4 Настоящий стандарт является модифицированным международному стандарту ИСО 28004:2006 "Системы менеджмента безопасности сети поставок. Руководство по внедрению ISO/PAS 28000" (ISO 28004:2006 "Security management systems for the supply chain - Guidelines for the implementation of ISO/PAS 28000") путем изменения отдельных фраз (слов, значений показателей, ссылок), которые выделены в тексте курсивом*.
_______________
* В бумажном оригинале обозначения и номера стандартов и нормативных документов в разделах "Предисловие", "Введение" и таблице ДА приложения ДА приводятся обычным шрифтом, остальные по тексту документа выделены курсивом. - Примечание изготовителя базы данных.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения его в соответствие с ГОСТ Р 1.5 (пункт 3.5).
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Введение
ГОСТ Р 53663-2009 "Система менеджмента безопасности цепи поставок. Требования" и настоящий стандарт подготовлены в связи с возникшей потребностью в наличии унифицированного стандарта системы менеджмента в области безопасности цепи поставок и руководства по внедрению такой системы менеджмента безопасности на предприятиях с тем, чтобы получить возможность проводить оценку соответствия и сертификацию таких систем менеджмента.
ГОСТ Р 53663-2009 согласован со стандартами ГОСТ Р ИСО 9001-2008 (система менеджмента качества) и ГОСТ Р ИСО 14001-2007 (система экологического менеджмента), что позволяет организации согласовать или интегрировать свою собственную систему менеджмента в системы менеджмента качества, экологии и безопасности цепи поставок.
В начале каждого раздела настоящего стандарта отдельным блоком приведены требования ГОСТ Р 53663-2009, за которыми следуют соответствующие им рекомендации. Нумерация разделов настоящего стандарта совпадает с нумерацией ГОСТ Р 53663-2009.
Соответствие настоящему стандарту не освобождает от последующего выполнения положений законодательных и иных нормативных правовых актов в области обеспечения безопасности.
1 Область применения
Настоящий стандарт содержит основные положения и рекомендации по внедрению ГОСТ Р 53663.
В настоящем стандарте отражены основные принципы, рассматривающие намерения, типовые входные данные, процессы и типовые выходные данные по каждому разделу ГОСТ Р 53663. Это способствует лучшему пониманию и внедрению ГОСТ Р 53663.
Настоящий стандарт не содержит дополнительные требования к уже установленным в ГОСТ Р 53663 и не предписывает обязательные к выполнению требования ИСО 28000.
1 Область применения Данный стандарт устанавливает требования к системам менеджмента безопасности, охватывая важные аспекты обеспечения безопасности цепи поставок. Эти аспекты включают в себя, но не ограничиваются вопросами финансирования, производства, управления информированием, а также средствами упаковки, хранения и передачи товаров между различными видами транспорта и местами нахождения. Менеджмент безопасности связан со многими другими аспектами бизнеса-менеджмента. Эти другие аспекты нужно рассматривать непосредственно там и тогда, где и когда они оказывают влияние на менеджмент безопасности, включая передачу товаров по всей цепи поставок. Эти требования применимы ко всем организациям (от малых до многонациональных), занятых в производстве, обслуживании, хранении или транспортировке, на любом этапе производства или цепи поставок, которые желают: а) разрабатывать, внедрять, поддерживать в рабочем состоянии и улучшать систему менеджмента безопасности, b) обеспечивать соответствие с утвержденной политикой в области менеджмента безопасности, е) демонстрировать такое соответствие другим организациям; d) получать подтверждение соответствия своей системы менеджмента безопасности у аккредитованного органа по сертификации; е) самостоятельно определять и декларировать соответствие настоящему стандарту. Организации, которые в дальнейшем выбирают подтверждение соответствия у аккредитованного органа по сертификации, могут продемонстрировать, что они значительно способствуют обеспечению безопасности цепи поставок. |
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО 9001-2008 Системы менеджмента качества. Требования
ГОСТ Р ИСО 14001-2007 Системы экологического менеджмента. Требования и руководство по применению
ГОСТ Р ИСО 19011-2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента
Примечание - При пользовании настоящим стандартом целесообразно проверить действия ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 средство (facility): Предназначенный для выполнения определенной функции или оказания услуги технологический комплекс в том числе предприятие, обеспечивающее его функционирование, здание, сооружение, устройство или оборудование, а также транспортное средство. Примечание - Данное определение включает в себя любой код программного обеспечения, являющийся ключевым для обеспечения безопасности и применения менеджмента безопасности. 3.2 безопасность (security): Сопротивление преднамеренному акту незаконного вмешательства, рассчитанному на нанесение вреда или ущерба цепи поставок или посредством цепи поставок. 3.3 менеджмент безопасности (security management): Систематизированные и скоординированные действия и методы, с помощью которых организация оптимально управляет своими рисками и связанными с ними потенциальными угрозами и воздействиями. 3.4 цель в области менеджмента безопасности (security management objective): Требуемый в интересах безопасности определенный результат или достижение, удовлетворяющее политику в области менеджмента безопасности. Примечание - Важно, чтобы такие результаты были прямо или косвенно связаны с обеспечением продукции, поставок или услуг, предоставляемых всем бизнесом его клиентам или конечным пользователям. 3.5 политика в области менеджмента безопасности (security management policy): Совокупность намерений и стремлений организации в отношении безопасности, а также структура управления процессами и деятельностью в области безопасности, которые соответствуют политике организации и нормативным требованиям. 3.6 программы в области менеджмента безопасности (security management programmes): Методы, с помощью которых достигаются цели в области менеджмента безопасности. 3.7 задача в области менеджмента безопасности (security management target): Специальный уровень эксплуатации, который требуется для достижения цели в области менеджмента безопасности. 3.8 заинтересованное лицо (stakeholder): Физическое или юридическое лицо, заинтересованное в исполнении организацией своих функций, достижении успеха или влияющее на ее деятельность. Примечание - Примерами таких лиц являются клиенты, акционеры, финансисты, страховщики, инспекторы, органы, учрежденные в соответствии с уставом, персонал, подрядчики, поставщики, общественные организации. 3.9 цепь поставок (supply chain): Взаимосвязанный набор ресурсов и процессов, начинающийся с получения сырья и простирающийся через доставку продукции или услуг конечному пользователю посредством транспортных систем. Примечание - Цепь поставок может включать в себя продавцов, промышленные предприятия, логистические центры, внутренние центры распределения, дистрибьюторов, оптовых продавцов и других юридических лиц, ведущих к конечному пользователю. 3.9.1 фаза постконтроля (downstream): Действия, процессы и движения груза в цепи поставок, которые происходят после того, как груз выходит из-под непосредственного оперативного контроля организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваясь этим. 3.9.2 фаза предконтроля (upstream): Действия, процессы и движения груза в цепи поставок, которые происходят прежде, чем груз оказывается под непосредственным оперативным контролем организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваясь этим. Примечание - Высшее руководство, особенно большой транснациональной организации, может не рассматриваться в личном плане как элемент, входящий в систему, описываемую настоящим стандартом; однако ответственность высшего руководства на всех уровнях системы должна четко прослеживаться. 3.10 постоянное улучшение (continual improvement): Периодически повторяющийся процесс усиления системы менеджмента безопасности для усовершенствования всей работы в отношении безопасности, соответствующей политике организации в этой области. |
3.11 риск (risk): Вероятность реализации акта незаконного вмешательства и его последствия.
3.12 проверка на допуск (security cleared): Процесс проверки надежности людей, которые получат доступ к конфиденциальным материалам по вопросам безопасности.
3.13 угроза (threat): Любое возможное преднамеренное действие или ряд действий разрушающего характера в отношении каких-либо заинтересованных сторон, средств, операций, цепей поставок, общества, экономической устойчивости, целостности бизнеса и хозяйственной деятельности.
4 Элементы системы менеджмента безопасности
Рисунок 1 - Элементы успешного менеджмента безопасности
4.1 Общие требования
а) Требования
Организация должна разрабатывать, документировать, внедрять, поддерживать в рабочем состоянии и постоянно улучшать результативность системы менеджмента безопасности с тем, чтобы идентифицировать риски в области безопасности, управлять ими, а также смягчать их последствия. Организация должна постоянно улучшать эффективность своей деятельности в соответствии с требованиями, изложенными в разделе 4. Организация должна определить область применения своей системы менеджмента безопасности. Если организация принимает решение о передаче сторонней организации какого-либо процесса, влияющего на соответствие требованиям данного стандарта, она должна обеспечить со своей стороны контроль за таким процессом. Необходимые рычаги управления и ответственность за выполнение таких процессов должны быть определены в рамках системы менеджмента безопасности. |
b) Намерение
Организация должна разрабатывать и поддерживать в рабочем состоянии систему менеджмента, которая соответствует требованиям ГОСТ Р 53663. Это позволяет организации соблюдать законодательные и иные нормативные правовые акты в области обеспечения безопасности и охраны.
Уровень детализации и сложность системы менеджмента безопасности, а также объемы документации и используемых ресурсов зависят от размера и структуры организации и специфики ее деятельности.
Организация обладает свободой и гибкостью в определении области применения ГОСТ Р 53663 и может избрать внедрение стандарта как применительно ко всей организации в целом, так и к отдельным структурным подразделениям или определенным услугам, предоставляемым организацией.
При определении области применения и масштаба системы менеджмента безопасности необходимо соблюдать осторожность. Организациям не следует пытаться ограничивать область применения таким образом, чтобы исключать из оценки структурные подразделения или услуги, деятельность которых необходима для общего функционирования организации в целом, а также исключать те аспекты, которые могут напрямую влиять на обеспечение безопасности персонала и других заинтересованных сторон.
При внедрении ГОСТ Р 53663 в отдельном структурном подразделении или для определенной услуги, предоставляемой организацией, могут быть использованы существующие в организации политика и процедуры в области обеспечения безопасности, разработанные для иных подразделений. Эти политика и процедуры потребуют пересмотра и внесения соответствующих изменений, учитывающих специфику функционирования такого структурного подразделения или особенности предоставляемой услуги.
c) Типовые входные данные
Все требования по входным данным определены в ГОСТ Р 53663.
d) Типовые выходные данные
Типовым выходным данным является эффективно внедренная и поддерживаемая в рабочем состоянии система менеджмента безопасности, которая помогает организации в постоянном стремлении к улучшению.
4.2 Политика в области менеджмента безопасности
Рисунок 2 - Политика в области менеджмента безопасности
а) Требования
Высшее руководство организации должно официально определять общую политику в области менеджмента безопасности. Эта политика должна: а) быть согласованна с политикой организации в других областях; b) предусматривать структуру, которая позволяет достигать цели и выполнять задачи и программы, специфичные для менеджмента безопасности; с) соответствовать общей структуре управления угрозами и рисками безопасности в организации; d) соответствовать угрозам организации, характеру и масштабам ее деятельности; е) четко определять все или основные цели в области менеджмента безопасности; f) включать в себя обязательство постоянного улучшения процесса менеджмента безопасности; g) включать в себя обязательство соответствовать законодательным, нормативным и уставным требованиям, применяемым в настоящее время, а также иным требованиям, предписанным для организации; h) быть официально одобренной высшим руководством; i) документироваться, внедряться и поддерживаться в рабочем состоянии; j) доводиться до сведения всего соответствующего персонала и третьих лиц, включая подрядчиков и посетителей, имея в виду, что эти лица должны знать свои индивидуальные обязательства в отношении менеджмента безопасности; k) быть доступной для заинтересованных лиц, если это необходимо; l) предусматривать ее анализ в случае приобретения другой организации или слияния с другими организациями, или при других изменениях области бизнеса организации, которые могут повлиять на стабильность или пригодность системы менеджмента безопасности. Примечание - Для внутреннего использования организации допускается выбрать детально разработанную политику в области менеджмента безопасности, которая содержала бы достаточную информацию по направлениям деятельности системы менеджмента безопасности (некоторые разделы которой могут носить конфиденциальный характер), а также имела бы обобщенную (неконфиденциальную) версию, отражающую общие цели, которые доводятся до сведения персонала и других заинтересованных сторон. |
b) Намерение
Политика в области менеджмента безопасности - краткое программное заявление высшего руководства об обязательствах в отношении обеспечения безопасности и охраны. Политика в области менеджмента безопасности устанавливает общие намерения и направление деятельности организации. Она обеспечивает основу для постановки целей в области обеспечения безопасности и охраны для всей организации в целом.
Документированная политика в области менеджмента безопасности должна быть сформулирована и утверждена высшим руководством организации.
c) Типовые входные данные
При разработке политики в области менеджмента безопасности высшему руководству, особенно в отношении собственных цепей поставок, следует учитывать:
- политику и цели, согласующиеся с деятельностью организации в целом;
- историческую и текущую деятельность организации в области обеспечения безопасности;
- потребности заинтересованных сторон;
- возможности и потребность в постоянном улучшении;
- необходимые ресурсы;
- содействие персонала;
- содействие подрядчиков, заинтересованных сторон и другого стороннего персонала.
d) Процесс
При разработке и утверждении политики в области менеджмента безопасности высшему руководству следует учитывать нижеприведенные требования.
Эффективно сформулированная и понятная политика в области менеджмента безопасности должна:
1) соответствовать характеру и масштабам рисков для организации.
Идентификация угроз, оценка рисков и риска-менеджмента, являясь основой эффективной системы менеджмента безопасности, должны найти отражение в политике в области менеджмента безопасности.
Политика в области менеджмента безопасности должна учитывать потенциал организации, соответствовать действительности, а также исключать преувеличение или приуменьшение рисков для организации;
2) содержать обязательство по постоянному улучшению эффективности системы менеджмента безопасности.
