Статус документа
Статус документа

ГОСТ Р ИСО 28003-2019 Системы менеджмента безопасности цепи поставок. Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок

     7.2 Персонал, участвующий в деятельности по сертификации

7.2.1 В состав персонала органа по сертификации должны входить специалисты, обладающие достаточной компетентностью для управления типом и диапазоном программ аудита и выполнения других работ по сертификации.

7.2.2 Орган по сертификации должен обеспечить, чтобы персоналу, назначенному для проведения сертификационных аудитов безопасности цепи поставок, а также техническим экспертам можно было доверять для сохранения конфиденциальной информации, так как они имеют доступ к подобного рода данным, полученным в ходе аудита. Орган по сертификации должен обеспечить, чтобы аудиторы и технические эксперты не нанесли вреда безопасности проверяемой организации (см. п.7.4).

7.2.3 Персонал, назначенный для проведения аудитов соответствующей системы менеджмента безопасности цепи поставок должен обладать, как минимум, личными высокоморальными качествами, знаниями, навыками и образованием (см. п.7.2, 7.3.1, 7.3.2 и 7.4 ИСО 19011:2002), относящимися к управлению безопасности цепи поставок и анализу рисков.

7.2.3.1 Аудитор систем менеджмента безопасности цепи поставок должен обладать компетентностью в анализе рисков и критических контрольных точек, а также в методологиях управления рисками и обеспечения конфиденциальности информации, включая, но не ограничиваясь следующим:

a) пониманием требований стандарта или спецификации по менеджменту безопасности цепи поставок (например, ISO/PAS 28000);

b) пониманием процесса цепи поставок и анализа критических контрольных точек, знание соответствующих процессов и практик в цепи поставок;

c) идентификацией угроз, таких как физические, биологические, химические, радиационные и киберугрозы;

d) оценкой и анализом риска (понимание принципов оценки и анализа риска);

e) минимизацией, снижением и управлением рисками:

- понимание принципов минимизации, снижения и управления рисками;

- знания технологий и методологий безопасности, мероприятий и технологий предупреждения;

f) планированием и готовностью к инцидентам:

- знание роли правительства и лиц, принимающих первые ответные меры,

- знание протоколов обмена информацией об инцидентах,

- знания в области минимизации последствий инцидентов, реагирования и восстановления.

7.2.3.2 Каждый аудитор системы менеджмента безопасности цепи поставок должен успешно пройти подготовку (см. приложение В) и должны быть готовым продемонстрировать компетентность в понимании и применении методологий безопасности, анализа рисков и принципов управления. Аудитор систем менеджмента должен быть сертифицирован.

7.2.3.3 Каждый аудитор системы менеджмента безопасности цепи поставок должен проходить соответствующее непрерывное обучение в соответствии с конкретными квалификационными требованиями. Органы по сертификации должны ежегодно разрабатывать план обучения своих аудиторов методологиям безопасности, анализу рисков и принципам управления, анализу критических контрольных точек, методам аудита и требованиям к компетентности, указанным в 7.2.3.1. Это обучение должно:

a) планироваться в результате анализа потребностей по направлениям и видам компетенции, приведенным выше;

b) быть оформлено в виде записей;

c) включать проверку проведенных аудитов, позволяющих оценить компетенцию аудитора;

d) поддерживаться такой информацией, как интерпретация применимости стандартов систем менеджмента, данные относительно часто задаваемых вопросов, протоколы семинаров, стандартная коррекция на базе практических ситуаций. Эта информация должна быть доступна для аудиторов;

e) оцениваться в соответствии с требованиями к обучению, а органы по сертификации должны принимать надлежащие меры на основе результатов обучения;

f) проводиться квалифицированными тренерами.

7.2.3.4 Аудитор систем менеджмента безопасности цепи поставок должен иметь как минимум пять лет практического опыта, связанного с анализом рисков и управлением рисками, два года стажа аудита по лучшим производственным практикам и стандартам.

7.2.3.5 Аудитор систем менеджмента безопасности цепи поставок должен выполнять минимум пять аналогичных аудитов в год и минимум десять аудитодней в год для поддержания квалификации.

7.2.3.6 Орган по сертификации должен предоставить доказательства того, что каждый аудитор имеет соответствующую подготовку и опыт для тех категорий, в рамках которых он считается компетентным. Компетентность должна быть оформлена в виде записей [см. п.5.5 с) ИСО 19011:2002].

7.2.4 Орган по сертификации должен иметь возможность привлекать к работе по сертификации необходимое количество аудиторов, включая руководителей аудиторских групп и технических экспертов, для надлежащего оказания услуг в рамках своей деятельности и выполнения объема работ по аудиту.

7.2.5 Орган по сертификации должен четко разъяснять каждому сотруднику его обязанности, ответственность и полномочия.