ГОСТ Р ИСО 28002-2019

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Устойчивость цепи поставок. Требования и руководство по применению

Security management systems for the supply chain. Resilience of the supply chain. Requirements with guidance for use

ОКС 03.100.01

Дата введения 2020-07-01

Предисловие

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Международный менеджмент, качество, сертификация" (АНО "ММКС") совместно с Обществом с ограниченной ответственностью "Палекс" (ООО "Палекс"), Ассоциацией по сертификации "Русский Регистр" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. N 1434-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 28002:2011* "Системы менеджмента безопасности для цепи поставок. Развитие устойчивости в цепи поставок. Требования и руководство по применению" (ISO 28002:2011 "Security management systems for the supply chain - Development of resilience in the supply chain - Requirements with guidance for use", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения его в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Общие положения

Организации по всему миру стремительно разрабатывают программы управления рисками и устойчивости для устранения неопределенности в достижении своих целей. Существует высокая потребность на стандарты и лучшие практики, так как организации ищут гарантии того, что их поставщики и участники расширенной цепи поставок запланировали и предприняли шаги для предотвращения и снижения угроз и опасностей, которым они подвергаются.

Чтобы обеспечить устойчивость в цепи поставок, организации должны участвовать во всеобъемлющем и систематическом процессе предупреждения, защиты, готовности, минимизации последствий, реагирования, непрерывности и восстановления.

Выживаемость организаций в цепи поставок во многом зависит от устойчивости их поставщиков и потребителей. В результате включение устойчивости и повышение устойчивости организации в цепи поставок должны быть ориентированы как внутри организации, так и извне на ее поставщиков и потребителей. Сохранение неуязвимости организации в цепи поставок в значительной степени зависит от устойчивости ее поставщиков и потребителей. Как результат интеграция менеджмента устойчивости в существующие системы и улучшение устойчивости организации в цепи поставок должны быть сконцентрированы не только на внутренней среде организации, но и на ее поставщиках и потребителях. Точная природа нарушения, вероятно, не будет полностью понятна вначале и может стать полностью понятной только с течением времени. В связи с этим при разработке планов и политик устойчивости необходимо уделять особое внимание адаптации и постоянной оценке новой информации, чтобы гарантировать, что предпринимаются те действия, которые необходимы. Значительные нарушения/сбои цепи поставок, как правило, привлекают средства массовой информации. Неспособность должным образом управлять отношениями со средствами массовой информации может негативно повлиять на способность организации реагировать для обеспечения устойчивости, что приведет к потере доверия заинтересованных сторон.

Эта потеря доверия может привести к потере потребителей, увеличению спроса на информацию со стороны правительства или финансовых организаций и ограничениям, налагаемым внешними организациями. Настоящий стандарт применим для организаций любых форм собственности (частных, некоммерческих, неправительственных и государственных). Это основа управления для планирования действий и принятия решений, необходимых для прогнозирования, предотвращения, если это возможно, подготовки и реагирования на разрушительный инцидент, чрезвычайную ситуацию, кризис или бедствие. При внедрении в существующую систему менеджмента это повышает способность организации управлять и переживать событие, а также предпринимать все необходимые действия, чтобы помочь обеспечить дальнейшую жизнеспособность организации. Независимо от организации ее руководство обязано перед заинтересованными сторонами обеспечивать планирование выживания организации. Основная часть стандарта содержит общие проверяемые критерии для установления, проверки, поддержания и улучшения политики устойчивости при ее интеграции в систему менеджмента для повышения эффективности предупреждения, готовности, минимизации последствий, реагирования, непрерывности и восстановления после разрушительных инцидентов.

Настоящий стандарт разработан в качестве неотъемлемой части ИСО 28000. Он также может быть интегрирован в другие системы менеджмента организации, которые следуют модели "Планируй - Делай - Проверяй - Действуй" (PDCA). Если выбрана независимая сертификация третьей стороной, сертификация будет применяться к общему стандарту системы менеджмента, в который интегрирован настоящий стандарт.

Интеграция адаптивного, преактивного и реактивного подходов к устойчивости может стать рычагом для использования перспектив, знаний и возможностей подразделений и отдельных лиц внутри организации. Из-за относительно низкой вероятности и все же потенциально высокого характера тяжести последствий многих природных, преднамеренных или непреднамеренных угроз и опасностей, с которыми может столкнуться организация, комплексный подход позволяет организации установить приоритеты, которые учитывают индивидуальные потребности в управлении рисками с учетом экономических условий.

0.2 Среда цепи поставок

Управление рисками в цепи поставок требует понимания не только среды организации, но также факторов глобальной среды всей цепи поставок. Каждый узловой пункт цепи поставок имеет набор рисков и процессы управления планированием, снабжением, изготовлением, доставкой и возвратами. Все эти процессы должны быть включены в политику устойчивости организации. Данное понимание позволит организации решить, к какому уровню или звену цепи поставок подключить программу устойчивости.

     Рисунок 1 - Политика управления устойчивостью в цепи поставок
     (Источник: Совет по цепи поставок 2007)

0.3 Процессный подход

Системный подход к управлению требует от организации анализировать требования самой организации и заинтересованных сторон и определять процессы, способствующие эффективности. Система менеджмента может обеспечить основу для постоянного улучшения и повышения вероятности усиления безопасности, готовности, реагирования, непрерывности и устойчивости. Процессный подход обеспечивает уверенность организации и ее потребителей в том, что она способна обеспечить безопасную и надежную среду, которая отвечает требованиям организации и заинтересованных сторон.

Настоящий стандарт применяет процессный подход для установления, реализации, функционирования, мониторинга, проверки, поддержания в рабочем состоянии и улучшения устойчивости организации к нарушениям/сбоям в цепи поставок. Чтобы эффективно работать, организация должна идентифицировать и управлять большим количеством действий. Любой вид деятельности, использующий ресурсы и управляемый для обеспечения возможности преобразования входов в выходы, может рассматриваться как процесс. Часто выходные данные одного процесса непосредственно формируют входные данные для следующего процесса.

Применение системы процессов в организации вместе с идентификацией и взаимодействием этих процессов и управление ими можно назвать "процессным подходом".

На рисунке 2 показан процессный подход к менеджменту устойчивости в цепи поставок, представленный в настоящем стандарте, который позволяет организации учитывать важность:

a) понимания рисков организации, требований по безопасности, готовности, реагированию, непрерывности и способности к восстановлению;

b) разработки политики и целей процесса управления рисками;

c) внедрения и управления системой процесса управления рисками в контексте целей организации;

d) мониторинга и анализа достигнутых результатов, эффективности реализации политики менеджмента устойчивости;

e) постоянного улучшения, основанного на измерении целей.

     Рисунок 2 - Процессный подход в менеджменте устойчивости цепи поставок

0.3.1 Разработка программ устойчивости цепи поставок и выделение ресурсов

- Признание руководством рисков в цепи поставок приоритетными.

- Поддержка программ высшим руководством.

- Выделение необходимых ресурсов для выполнения программ.

0.3.2 Определение целей цепи поставок и целей устойчивости

- Определение области распространения цепи поставок и отображение цепи поставок.

- Определение цели управления рисками в цепи поставок организации.

0.3.3 Идентификация рисков цепи поставок

- Всесторонний анализ цепи поставок для определения рисков.

- Документирование идентифицированных рисков в максимально возможной степени.

0.3.4 Количественная оценка и определение приоритетных рисков

- Количественная оценка каждого риска с точки зрения вероятности возникновения и потенциального воздействия.

- Использование количественной оценки риска для определения приоритетных рисков в соответствии с определенными целями.

0.3.5 Программы обработки рисков

- Разработка действий по управлению рисками в соответствии с приоритетом каждого риска.

- Определение ценности каждого действия с точки зрения уменьшения вероятности риска.

- Разработка и выполнение плана реализации указанных действий.

0.3.6 Мониторинг среды цепи поставок

- Непрерывный мониторинг среды цепи поставок на предмет возникновения риска или предвестников риска.

- При срабатывании пороговых значений выполнение соответствующих действий по управлению рисками для минимизации последствий.

- Документирование результатов после анализа действий по управлению рисками и улучшение программы обработки рисков.

0.4 Модель "Планируй - Делай - Проверяй - Действуй" (PDCA)

Настоящий стандарт предназначен для интеграции в любую систему менеджмента, которая основана на модели "Планируй - Делай - Проверяй - Действуй" (PDCA), которая, в свою очередь, будет направлять реализацию и выполнение процессов политики менеджмента устойчивости. На рисунке 3 показано, как система менеджмента может интегрировать в себя политику менеджмента устойчивости, которая фиксирует требования и ожидания заинтересованных сторон и посредством необходимых действий и процессов создает результаты управления рисками, которые соответствуют этим требованиям и ожиданиям.

На рисунке 3 также показана взаимосвязь процессов, представленных в разделе 4 настоящего стандарта.

     Рисунок 3 - Цикл "Планируй - Делай - Проверяй - Действуй"

Соответствие системы менеджмента, которая внедрила настоящий стандарт, можно проверить с помощью процесса аудита, который совместим и соответствует методологии ИСО 28000:2007, ИСО 14001:2004 и/или ИСО/МЭК 27001:2005 и модели PDCA.

Дополнительную информацию о критериях применения настоящего стандарта см. в приложении D.