Точный
Статус документа
Статус документа

ГОСТ Р ИСО 28004-1-2019 Системы менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 1. Общие принципы

     4.3 Оценка рисков безопасности и планирование


     Рисунок 3 - Планирование

4.3.1 Оценка риска безопасности

а) Требования ИСО 28000

Организация должна устанавливать и поддерживать в рабочем состоянии процедуры постоянной идентификации и оценки угроз безопасности и рисков, связанных с менеджментом безопасности, а также определения и реализации необходимых мер управления. Методы идентификации, оценки и управления угрозами безопасности и рисками должны соответствовать характеру и масштабу операций. Эта оценка должна учитывать вероятность события и все его последствия, включая:

a) угрозы и риски физического отказа, такие как функциональный сбой, случайный ущерб, злонамеренный ущерб, террористические или преступные действия;

b) угрозы и риски операционного характера, включая контроль безопасности, человеческий фактор и другие действия, которые влияют на результаты деятельности, состояние или безопасность организации;

c) события природного характера (штормы, наводнения и т.д.), которые могут сделать мероприятия по безопасности и технические средства охраны неэффективными;

d) внешние факторы, находящиеся под контролем организации, такие как сбои в поставляемом извне оборудовании и услугах;

e) угрозы и риски заинтересованных сторон, такие как несоблюдение нормативных требований или ущерб репутации или бренду;

f) проектирование и установка охранного оборудования, включая замену, техническое обслуживание и т.д.;

g) управление информацией и данными, связь;

h) угрозы непрерывности деятельности организации.

Организация должна обеспечить, чтобы результаты этих оценок и влияние этих мер управления учитывались и, при необходимости, вносили вклад:

a) в цели и целевые показатели менеджмента безопасности;

b) программы менеджмента безопасности;

c) определение требований к проектированию, спецификации и установке;

d) определение адекватных ресурсов, включая штатное расписание;

e) определение потребностей в обучении и навыках (см. 4.4.2);

f) разработку оперативного управления (см. 4.4.6);

g) общую структуру менеджмента угроз и рисков организации.

Организация должна документировать и поддерживать вышеуказанную информацию в актуальном состоянии.

Методология идентификации угроз и рисков организации должна:

a) быть выбрана в соответствии с областью применения, спецификой деятельности и сроками, чтобы гарантировать проактивный, а не реактивный характер действий;

b) включать сбор информации, связанной с угрозами и рисками безопасности;

c) предусматривать классификацию путей выявления тех угроз и рисков, которых следует избегать, устранять или которыми необходимо управлять;

d) обеспечить мониторинг действий для обеспечения эффективности и своевременности их реализации (см. 4.5.1).


b) Намерения

После осуществления процесса идентификации угроз, оценки рисков и менеджмента рисков организация должна иметь общее представление о значительном риске, угрозах безопасности и уязвимостях в своей области деятельности.

Процессы идентификации угроз, оценки риска и менеджмента риска и их результаты должны стать основой всей системы безопасности. Следует обратить особое внимание на то, чтобы взаимосвязи между процессами идентификации угроз безопасности, оценки риска, менеджмента риска и другими элементами системы менеджмента безопасности были четко проработаны и были очевидными.

Целью настоящего стандарта является установление принципов, по которым организация может определить, являются ли подходящими и достаточными для работы процессы идентификации угроз, оценки рисков и управления рисками. Выдача рекомендации относительно того, каким образом следует осуществить эти действия, не является целью настоящего стандарта.

Использование организацией процессов идентификации угроз безопасности, оценки риска и управления рисками должно способствовать постоянному и своевременному выявлению, оценке и контролю своих рисков безопасности.

Во всех случаях следует учитывать возможность стандартных и нестандартных операций внутри организации и возникновения чрезвычайных ситуаций.

Сложность процессов идентификации угроз безопасности, оценки рисков менеджмента риска в значительной степени зависит от таких факторов, как размер организации, ситуация на рабочих местах, характер, сложность и значимость угроз безопасности. Цель ИСО 28000:2007 (см. п.4.3.1) заключается в том, чтобы небольшие организации с низким риском для безопасности не проводили сложную идентификацию угроз безопасности, оценку риска, управления рисками и масштабные учения.

При внедрении процессов идентификации угроз, оценки риска и менеджмента риска организация должна принимать во внимание затраты и время на выполнение данных процессов, а также доступность достоверных данных.

Информация, уже разработанная для нормативных или других целей, может быть использована в регулировании этих процессов. Организация также может принимать во внимание степень существующего управления практического контроля рассматриваемой угрозой безопасности. С этой целью следует определить масштаб угрозы безопасности, учитывая входные и выходные данные (результаты), связанные с ее текущими и прежними действиями, процессами, продуктами и/или услугами организации.

Оценку риска безопасности должен проводить квалифицированный персонал с использованием признанных документированных методик.

Организация без существующей системы менеджмента безопасности может руководствоваться своей текущей позицией в отношении рисков безопасности посредством оценки риска. С целью реализации этой позиции должны быть рассмотрены угрозы безопасности, с которыми сталкивается организация, в качестве основы для создания системы менеджмента безопасности. Организация должна рассмотреть возможность включения (но не ограничиваясь этим) следующих пунктов при проведении первого анализа:

- нормативно-законодательные требования;

- идентификация угроз безопасности, с которыми сталкивается организация;

- идентификация угроз безопасности и информации о рисках в соответствующих организациях (полиция, службы безопасности);

- изучение всех существующих практик, процессов и процедур менеджмента безопасности;

- оценка обратной связи по результатам расследований предыдущих инцидентов и чрезвычайных ситуаций.

Целесообразный подход к оценке риска может включать чек-листы (контрольные списки), собеседования, непосредственные инспекции и измерения, результаты предыдущих аудитов системы менеджмента или другие проверки в зависимости от характера деятельности организации. Данные действия следует осуществлять по документированной и воспроизводимой методологии.

Необходимо отметить, что первичный обзор рекомендуется для создания базового направления, но он не заменяет реализацию структурированного систематического подхода, приведенного в 4.3.1.