ГОСТ Р ИСО 28000-2019

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ТЕХНИЧЕСКИЕ УСЛОВИЯ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Specification for security management systems for the supply chain

ОКС 13.310

         47.020.99

Дата введения 2020-07-01

Предисловие

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Международный менеджмент, качество, сертификация" (АНО "ММКС") совместно с Обществом с ограниченной ответственностью "Палекс" (ООО "Палекс") и Ассоциацией по сертификации "Русский Регистр" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. N 1432-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 28000:2007* "Спецификация на системы менеджмента безопасности цепи поставок" (ISO 28000:2007 "Specification for security management systems for the supply chain", IDT)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВЗАМЕН ГОСТ P 53663-2009 (ИСО 28000:2005)

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт подготовлен в связи с существующей в промышленности потребностью в стандарте на менеджмент безопасности. Конечной целью настоящего стандарта является повышение безопасности цепи поставок. Настоящий стандарт является стандартом управления высокого уровня, который позволяет организации создать общую систему менеджмента безопасности цепи поставок. В соответствии с требованиями настоящего стандарта организация должна оценить свою рабочую среду с точки зрения обеспечения безопасности, а также определить, являются ли меры по обеспечению безопасности, принимаемые на месте, адекватными и существуют ли уже обязательные требования к обеспечению безопасности, которые организация выполняет. Если этим процессом определены потребности в безопасности, организация должна внедрить механизмы и процессы для удовлетворения этих потребностей. Поскольку цепи поставок носят динамический характер, некоторые организации, управляющие несколькими цепями поставок, могут запросить у поставщиков услуг подтверждение соблюдения ими государственных требований соответствия или требований стандартов ИСО по безопасности цепи поставок в качестве условия включения в эту цепь поставок, чтобы упростить управление безопасностью, как показано на рисунке 1.

     
Рисунок 1 - Взаимосвязь стандарта ИСО 28000 с другими аналогичными стандартами

Настоящий стандарт предназначен для применения в тех случаях, когда управление цепями поставок организации необходимо осуществлять безопасным образом. Формализованный подход к управлению безопасностью может внести непосредственный вклад в деловые возможности и авторитет организации.

Соответствие стандарту само по себе не дает освобождения от законодательных обязательств. Для организаций, которые этого пожелают, соответствие системы менеджмента безопасности цепи поставок настоящему стандарту может быть подтверждено посредствам проведения внешнего или внутреннего аудита.

Стандарт основан на подходе ИСО к системам управления, принятом в ИСО 14001:2004, основанном на оценке риска. Однако организации, которые приняли процессный подход к системам управления (например, ИСО 9001:2000), могут использовать свою существующую систему менеджмента качества как основу для системы управления безопасностью согласно настоящему стандарту. Настоящий стандарт не предназначен для дублирования законодательных, нормативных требований и стандартов, касающихся управления безопасностью цепи поставок, по которым организация уже была сертифицирована или проверена на соответствие. Может проводиться аудит первой, второй и третьей сторон.

Примечание - Настоящий стандарт основан на методологии, известной как "Планируй-Делай-Проверяй-Действуй" (PDCA).

PDCA состоит в следующем:

- планировать: определить цели и процессы, необходимые для достижения результатов в соответствии с политикой менеджмента безопасности организации;

- делать: внедрить процессы;

- проверять: отслеживать и оценивать процессы в соответствии с политикой безопасности, целями, задачами, законодательными и другими требованиями и сообщать о результатах;

- действовать: принимать меры для постоянного улучшения результативности системы управления безопасностью.

     1 Область применения

Настоящий стандарт определяет требования к системе управления безопасностью, включая аспекты, являющиеся критическими для обеспечения безопасности цепи поставок. Менеджмент безопасности связан со многими другими аспектами управления деятельностью. Данные аспекты включают в себя все виды деятельности, управляемые или находящиеся под влиянием организации, которые воздействуют на безопасность цепи поставок. Эти другие аспекты должны рассматриваться непосредственно там и тогда, где и когда они оказывают влияние на менеджмент безопасности, включая транспортирования этих товаров в цепи поставок.

Настоящий стандарт применим к организациям всех размеров (от малых до многонациональных), занятых в производстве, обслуживании, хранении, транспортированием на любом этапе производства или цепи поставок, которые заинтересованы в том, чтобы:

a) создавать, внедрять, поддерживать и улучшать систему менеджмента безопасности;

b) обеспечивать соответствие заявленной политике менеджмента безопасности;

c) демонстрировать такое соответствие другим;

d) добиться сертификации/регистрации системы менеджмента безопасности аккредитованным органом сертификации третьей стороны;

e) самостоятельно определять и декларировать соответствие настоящему стандарту.

Существуют нормативные и законодательные требования и кодексы, которые касаются некоторых требований настоящего стандарта. Требование дублирующей демонстрации соответствия не является целью настоящего стандарта.

Организации, выбирающие сертификацию третьей стороной, могут дополнительно продемонстрировать, что они вносят значительный вклад в безопасность цепи поставок.

     2 Нормативные ссылки

В настоящем стандарте нормативные ссылки отсутствуют. Этот пункт включен для того, чтобы сохранить нумерацию, аналогичную другим стандартам систем менеджмента.

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 средство (facility): Установки, машины, имущество, здания, транспортные средства, корабли, портовые сооружения и другие объекты инфраструктуры или установки и связанные с ними системы, которые имеют четко выраженную и поддающуюся количественной оценке функцию деятельности или услуги.

Примечание - Данный термин включает любой программный продукт, имеющий решающее значение для обеспечения безопасности и применения менеджмента безопасности.

3.2 безопасность (security): Противодействие преднамеренному, несанкционированному действию (действиям), предназначенному для причинения вреда или повреждения цепи поставок.

3.3 менеджмент безопасности (security management): Систематическая и скоординированная деятельность и практики, посредством которых организация оптимально управляет своими рисками, а также связанными с ними потенциальными угрозами и их влиянием.

3.4 цель менеджмента безопасности (security management objective): Конкретный результат или достижение требуемого уровня безопасности в целях соответствия политике менеджмента безопасности.

Примечание - Крайне важно, чтобы такие результаты были прямо или косвенно связаны с реализацией продуктов, товаров или услуг, предоставляемых всей компанией своим клиентам или конечным потребителям.

3.5 политика менеджмента безопасности (security management policy): Общие намерения и направления деятельности организации, связанные с безопасностью и структурой для контроля процессов и деятельности, связанных с безопасностью, которые вытекают из политики и нормативных требований организации и согласуются с ними.

3.6 программы менеджмента безопасности (security management programmes): Средства, с использованием которых достигается цель управления безопасностью.

3.7 целевые показатели менеджмента безопасности (security management target): Определенный уровень результатов деятельности, необходимый для достижения цели менеджмента безопасности.

3.8 заинтересованная сторона/стейкхолдер (stakeholder): Физическое или юридическое лицо, заинтересованное в эффективности, успехе или результативности деятельности организации.

Примечание - Например, клиенты, акционеры, финансовые компании, страховые компании, регулирующие органы, государственные органы, сотрудники, подрядчики, поставщики, профсоюзы или общество.

3.9 цепь поставок (supply chain): Набор взаимосвязанных ресурсов и процессов, который начинается с поиска сырья и распространяется через доставку продуктов или услуг конечному потребителю посредством различных видов транспорта.

Примечание - Цепь поставок может включать поставщиков логистических услуг, производственные мощности, внутренние распределительные центры, дистрибьюторов, оптовых торговцев и другие организации, которые ведут к конечному пользователю.

3.9.1 фаза постконтроля (downstream): Действия, процессы и движения груза в цепи поставок, которые происходят после того, как груз выходит из-под непосредственного оперативного контроля организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим.

3.9.2 фаза предконтроля (upstream): Действия, процессы и движения груза в цепи поставок, которые происходят прежде, чем груз оказывается под непосредственным оперативным контролем организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваются этим.

3.10 высшее руководство (top management): Лицо или группа людей, осуществляющих руководство и управление организацией на самом высоком уровне.

Примечание - Высшее руководство (особенно большой транснациональной организации) может не рассматриваться в личном плане как элемент, входящий в систему, описываемую настоящим стандартом. Однако ответственность высшего руководства на всех уровнях системы должна четко прослеживаться.

3.11 постоянное улучшение (continual improvement): Повторяющийся процесс совершенствования системы менеджмента безопасности с целью улучшения общих показателей безопасности в соответствии с политикой безопасности организации.

     4 Требования к системе менеджмента безопасности цепи поставок

     
Рисунок 2 - Элементы системы менеджмента безопасности

     4.1 Общие требования

Организация должна разработать, задокументировать, внедрять, поддерживать в рабочем состоянии систему менеджмента безопасности, постоянно улучшать ее результативность для выявления угроз безопасности, оценки рисков, контроля и смягчения их последствий.

Организация должна постоянно повышать эффективность своей деятельности в целом в соответствии с требованиями, изложенными в настоящем разделе.

Организация должна определить область применения своей системы менеджмента безопасности. Если организация решает передать на аутсорсинг определенный процесс, влияющий на соответствие требованиям настоящего стандарта, то она должна обеспечить контроль таких процессов. Необходимые средства контроля и обязанности по контролю за выполнением данных процессов должны быть определены в системе менеджмента безопасности.

     4.2 Политика в области менеджмента безопасности

Высшее руководство организации должно утвердить общую политику менеджмента в области безопасности. Политика должна:

a) соответствовать другим политикам организации;

b) определять структуру, которая позволяет разрабатывать конкретные цели, целевые показатели и программы менеджмента безопасности;

c) соответствовать общей структуре управления угрозами и рисками безопасности в организации;

d) соответствовать угрозам организации, характеру и масштабам ее деятельности;

e) четко формулировать общие цели управления безопасностью;

f) включать обязательство постоянно улучшать процесс управления безопасностью;

g) включать обязательство соблюдать действующие нормативно-законодательные и иные требования, применимые к организации;

h) быть официально одобренной высшим руководством;

i) быть задокументирована, внедрена и поддерживаться в рабочем состоянии;