ГОСТ Р ИСО 28004-1-2019
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК
Руководящие указания по внедрению ИСО 28000
Часть 1
Общие принципы
Security management systems for the supply chain. Guidelines for the implementation of ISO 28000. Part 1. General principles
ОКС 03.100.01
Дата введения 2020-07-01
Предисловие
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Международный менеджмент, качество, сертификация" (АНО "ММКС") совместно с Обществом с ограниченной ответственностью "Палекс" (ООО "Палекс"), Ассоциацией по сертификации "Русский Регистр" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. N 1436-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 28004-1:2007/Изм.1:2012* "Системы менеджмента безопасности цепи поставок - Руководство по внедрению ИСО 28000 - Часть 1. Общие принципы" (ISO 28004-1:2007/Cor.1:2012 "Security management systems for the supply chain - Guidelines for the implementation of ISO 28000 - Part 1: General principles", IDT), включая изменения и техническую поправку Cor.1:2012
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
5 ВЗАМЕН ГОСТ Р 53661-2009 (ИСО 28004:2006)
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
ИСО 28000:2007 "Спецификация для систем менеджмента безопасности цепи поставок" и настоящий стандарт разработаны в связи с необходимостью разработки унифицированного стандарта системы управления цепями поставок с целью оценки и сертификации системы управления безопасностью, а также руководства по реализации данного стандарта.
ИСО 28000 согласован со стандартами систем менеджмента ИСО 9001:2000 "Качество" и ИСО14001:2004 "Экология", что будет способствовать интеграции систем качества, охраны окружающей среды и управления цепями поставок организаций.
Каждый пункт/подпункт настоящего стандарта предваряет полные требования ИСО 28000, после которых следует соответствующее руководство. Нумерация разделов и пунктов настоящего стандарта соответствует нумерации разделов и пунктов ИСО 28000.
При целесообразности настоящий стандарт может быть пересмотрен или изменен, в случае пересмотра положений ИСО 28000.
Настоящий стандарт не подразумевает включение всех необходимых положений договора, заключенного между операторами цепи поставок, поставщиками и заинтересованными сторонами, однако пользователи несут ответственность за его правильное применение.
Соблюдение требований настоящего стандарта не освобождает от исполнения юридических обязательств.
1 Область применения
Настоящий стандарт содержит общие рекомендации по применению ИСО 28000:2007 "Спецификация для систем управления безопасностью для цепи поставок".
В настоящем стандарте приведены основные принципы ИСО 28000, отражающие намерения, типовые входные данные, процессы и типовые выходные данные требований ИСО 28000, что направлено на четкое толкование и эффективное внедрение ИСО 28000.
Настоящий стандарт не распространяется на дополнительные требования к указанным в ИСО 28000 и не предусматривает обязательных способов для внедрения ИСО 28000.
ИСО 28000 1 Область применения Настоящий стандарт определяет требования к системе управления безопасностью, включая аспекты, являющиеся критическими для обеспечения безопасности цепи поставок. Менеджмент безопасности связан со многими другими аспектами управления деятельностью. Данные аспекты включают в себя все виды деятельности, управляемые или находящиеся под влиянием организации, которые воздействуют на безопасность цепи поставок. Эти аспекты должны рассматриваться непосредственно там и тогда, где и когда они оказывают влияние на менеджмент безопасности, включая транспортирование этих товаров в цепи поставок. Настоящий стандарт применим к организациям всех размеров (от малых до многонациональных), занятым в производстве, обслуживании, хранении, транспортировании на любом этапе производства или цепи поставок, которые заинтересованы в том, чтобы: a) создавать, внедрять, поддерживать и улучшать систему менеджмента безопасности; b) обеспечивать соответствие заявленной политике менеджмента безопасности; c) демонстрировать такое соответствие другим; d) добиться сертификации/регистрации системы менеджмента безопасности аккредитованным органом сертификации третьей стороны; e) самостоятельно определять и декларировать соответствие настоящему стандарту. Существуют нормативные и законодательные требования и кодексы, которые касаются некоторых требований настоящего стандарта. Требование дублирующей демонстрации соответствия целью настоящего стандарта не является. Организации, выбирающие сертификацию третьей стороной, могут дополнительно продемонстрировать, что они вносят значительный вклад в безопасность цепи поставок. |
2 Нормативные ссылки
В настоящем стандарте нормативные ссылки отсутствуют. Этот пункт включен для того, чтобы сохранить нумерацию, аналогичную ИСО 28000.
3 Термины, определения и сокращения
В настоящем стандарте используются следующие термины с соответствующими определениями: 3.1 средство (facility): Установки, машины, имущество, здания, транспортные средства, корабли, портовые сооружения и другие объекты инфраструктуры или установки и связанные с ними системы, которые имеют четко выраженную и поддающуюся количественной оценке функцию деятельности или услуги. |
Примечание - Данный термин включает любой программный продукт, имеющий решающее значение для обеспечения безопасности и применения менеджмента безопасности. |
3.2 безопасность (security): Противодействие преднамеренному, несанкционированному действию, предназначенному для причинения вреда или повреждения цепи поставок. |
3.3 менеджмент безопасности (security management): Систематическая и скоординированная деятельность и практики, посредством которых организация оптимально управляет своими рисками, а также связанными с ними потенциальными угрозами и их влиянием. 3.4 цель менеджмента безопасности (security management objective): Конкретный результат или достижение требуемого уровня безопасности в целях соответствия политике менеджмента безопасности. |
Примечание - Крайне важно, чтобы такие результаты были прямо или косвенно связаны с реализацией продуктов, товаров или услуг, предоставляемых всей компанией своим клиентам или конечным потребителям. 3.5 политика менеджмента безопасности (security management policy): Общие намерения и направления деятельности организации, связанные с безопасностью и структурой для контроля процессов и деятельности, связанных с безопасностью, которые вытекают из политики и нормативных требований организации и согласуются с ними. |
3.6 программы менеджмента безопасности (security management programmes): Средства, с использованием которых достигается цель управления безопасностью. 3.7 целевые показатели менеджмента безопасности (security management target): Определенный уровень результатов деятельности, необходимый для достижения цели менеджмента безопасности. 3.8 заинтересованная сторона/стейкхолдер (stakeholder): Физическое или юридическое лицо, заинтересованное в эффективности, успехе или результативности деятельности организации. |
Примечание - Например, клиенты, акционеры, финансовые компании, страховые компании, регулирующие органы, государственные органы, сотрудники, подрядчики, поставщики, профсоюзы или общество. 3.9 цепь поставок (supply chain): Набор взаимосвязанных ресурсов и процессов, который начинается с поиска сырья и распространяется через доставку продуктов или услуг конечному потребителю посредством различных видов транспорта. |
Примечание - Цепь поставок может включать поставщиков логистических услуг, производственные мощности, внутренние распределительные центры, дистрибьюторов, оптовых торговцев и другие организации, которые ведут к конечному пользователю. 3.9.1 фаза постконтроля (downstream): Действия, процессы и движения груза в цепи поставок, которые происходят после того, как груз выходит из-под непосредственного оперативного контроля организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим. |
3.9.2 фаза предконтроля (upstream): Действия, процессы и движения груза в цепи поставок, которые происходят прежде, чем груз оказывается под непосредственным оперативным контролем организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим. 3.10 высшее руководство (top management): Лицо или группа людей, осуществляющих руководство и управление организацией на самом высоком уровне. |
Примечание - Высшее руководство (особенно большой транснациональной организации) может не рассматриваться в личном плане как элемент, входящий в систему, описываемую настоящим стандартом. Однако ответственность высшего руководства на всех уровнях системы должна четко прослеживаться. |
3.11 постоянное улучшение (continual improvement): Повторяющийся процесс совершенствования системы менеджмента безопасности с целью улучшения общих показателей безопасности в соответствии с политикой безопасности организации. |
В настоящем стандарте применены термины и определения по ИСО 28000, а также следующие термины с соответствующими определениями:
3.12 риск (risk): Вероятность возникновения угрозы безопасности организации и ее последствия.
3.13 проверка благонадежности (security cleared): Процесс верификации надежности людей, которые будут иметь доступ к конфиденциальным материалам в отношении безопасности организации.
3.14 угроза (threat): Возможное преднамеренное действие или ряд действий, которые могут нанести ущерб любой из заинтересованных сторон, объектам, операциям, цепи поставок, обществу, экономической стабильности или непрерывности деятельности и целостности организации.
4 Требования к системе менеджмента безопасности цепи поставок
|
Рисунок 1 - Элементы системы менеджмента безопасности
4.1 Общие требования
а) Требования ИСО 28000
Организация должна разработать, задокументировать, внедрять, поддерживать в рабочем состоянии систему менеджмента безопасности, постоянно улучшать ее результативность для выявления угроз безопасности, оценки рисков, контроля и смягчения их последствий. Организация должна постоянно повышать эффективность своей деятельности в целом в соответствии с требованиями, изложенными в настоящем разделе. Организация должна определить область применения своей системы менеджмента безопасности. Если организация решает передать на аутсорсинг определенный процесс, влияющий на соответствие требованиям настоящего стандарта, то она должна обеспечить контроль таких процессов. Необходимые средства контроля и обязанности по контролю за выполнением данных процессов должны быть определены в системе менеджмента безопасности. |
b) Намерения
Организация должна разработать и поддерживать в рабочем состоянии систему менеджмента, которая соответствует всем требованиям ИСО 28000. Это может помочь организации в соблюдении правил безопасности и нормативно-законодательных требований.
Уровень детализации и сложности системы менеджмента безопасности, объем документации и выделенные ей ресурсы зависят от размера и специфики структуры организации, а также характера ее деятельности.
Организация, руководствуясь свободой выбора и гибкостью в определении своих границ, может принять решение о внедрении ИСО 28000 в полном объеме исключительно в конкретных подразделениях или для определенных видов деятельности.
Организации следует взвешенно относиться к вопросам определения границ и области применения системы менеджмента, чтобы не ограничивать свою сферу деятельности, исключая из оценки операцию или вид деятельности, необходимые для осуществления деятельности организации в целом или влияющие на безопасность ее сотрудников и других заинтересованных сторон.
Если требования ИСО 28000 применяют для проведения конкретной операции, то политика безопасности, разработанная другими подразделениями организации, может быть использована отдельным блоком операций/видов деятельности, способствующим выполнению требований ИСО 28000. В этом случае политика безопасности может быть подвергнута незначительному пересмотру или изменению для обеспечения ее применимости к осуществлению работы конкретного операционного подразделения или к виду деятельности организации.
c) Типовые входные данные
Все требования, указанные в ИСО 28000.
d) Типовые выходные данные/результат
Типовым результатом является эффективно внедренная и поддерживаемая система управления безопасностью, которая помогает организации осуществлять улучшение.
4.2 Политика в области менеджмента безопасности
|
Рисунок 2 - Политика менеджмента безопасности
а) Требования ИСО 28000
Высшее руководство организации должно утвердить общую политику менеджмента в области безопасности. Политика должна: a) соответствовать другим политикам организации; b) определять структуру, которая позволяет разрабатывать конкретные цели, целевые показатели и программы менеджмента безопасности; c) соответствовать общей структуре управления угрозами и рисками безопасности в организации; d) соответствовать угрозам организации, характеру и масштабам ее деятельности; e) четко формулировать общие цели управления безопасностью; f) включать обязательство постоянно улучшать процесс управления безопасностью; g) включать обязательство соблюдать действующие нормативно-законодательные и иные требования, применимые к организации; h) быть официально одобренной высшим руководством; i) быть задокументирована, внедрена и поддерживаться в рабочем состоянии; j) быть доведена до сведения всего соответствующего персонала и третьих лиц, включая подрядчиков и посетителей, с целью ознакомления этих лиц с их индивидуальными обязательствами, связанными с менеджментом безопасности; k) быть доступной для заинтересованных сторон, если это необходимо; l) обеспечивать пересмотр политики в случае приобретения или слияния с другими организациями или другого изменения сферы деятельности организации, которая может повлиять на непрерывность или актуальность системы менеджмента безопасности. Примечание - Для внутреннего использования в организации допускается детализированная политика менеджмента безопасности, которая содержит цели по направлениям деятельности организации для управления системой менеджмента безопасности (части которой могут быть конфиденциальными), и общедоступная (не конфиденциальная) версия, содержащая общие цели для распространения среди основных заинтересованных сторон и других заинтересованных лиц. |
b) Намерения
Политика безопасности - это краткое изложение обязательств высшего руководства по обеспечению безопасности деятельности организации. Политика безопасности формирует общие направления и устанавливает принципы действий для организации, определяет цели безопасности и результаты деятельности всей организации. Политика безопасности должна быть разработана, утверждена высшим руководством организации и документально оформлена.
c) Типовые входные данные
При разработке политики в области безопасности руководство должно рассмотреть следующие вопросы в отношении своей цепи поставок:
- политика и цели деятельности организации представляет собой единое целое;
- рассмотрение прошлых и настоящих результатов деятельности в области безопасности с целью стабильности организации;
- потребности заинтересованных сторон;
Попробуйте «Техэксперт: Базовые нормативные документы» бесплатно