Статус документа
Статус документа


ГОСТ Р ИСО 28004-3-2018

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМА МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Руководящие указания по внедрению ИСО 28000

Часть 3

Дополнительное специальное руководство по внедрению ИСО 28000 в организациях среднего и малого бизнеса (за исключением морских портов)

Security management systems for the supply chain. Guidelines for the implementation of ISO 28000. Part 3. Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports)



ОКС 03.100.01

Дата введения 2019-06-01

     

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации оборонной продукции и технологий" (ФГУП "Рособоронстандарт") на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 стандарта, который выполнен ФГУП "Стандартинформ"

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 июля 2018 г. N 435-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 28004-3:2014* "Системы менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000. Часть 3. Дополнительное специальное руководство по принятию ИСО 28000 для использования в операциях среднего и малого бизнеса (кроме морских портов)" [ISO 28004-3:2014 "Security management systems for the supply chain - Guidelines for the implementation of ISO 28000 - Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports)", IDT].

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.


Международный стандарт разработан Техническим комитетом ISO/TC 8 "Суда и морские технологии".

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые элементы настоящего стандарта могут являться объектами патентных прав


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


ИСО 28000:2007, а также руководство по его внедрению, изложенное в стандартах серии ИСО 28004, разработаны в связи с возникшей потребностью в наличии идентифицируемых критериев оценки (процедуры валидации) системы менеджмента цепи поставок, по отношению к которым системы менеджмента безопасности в целях установления соответствия требованиям ИСО 28000 и стандартов серии ИСО 28004 могут быть оценены и сертифицированы. Руководство, изложенное в стандартах серии ИСО 28004, имеет универсальный характер и предназначено для организаций различного типа, планирующих внедрить ИСО 28000. Организации, представляющие малый бизнес, могут испытывать трудности в определении мер, необходимых для реализации каждого требования, установленного в ИСО 28000. Целью настоящего стандарта является предоставление руководства для организаций среднего и малого бизнеса (за исключением морских портов), а также обеспечение их необходимой информацией для определения области валидации и мер верификации, необходимых для соответствия требованиям безопасности, изложенным в ИСО 28000 и стандартах серии ИСО 28004.

В целях определения эффективности имеющихся методов и систем обеспечения безопасности в ИСО 28000 установлены требования к причастным сторонам относительно оценки планов и процедур менеджмента обеспечения безопасности посредством периодических пересмотров, проверок, составления отчетов после происшествий, а также соответствующего обучения. Для обеспечения непрерывности безопасности цепи поставок важно, чтобы причастные стороны гарантировали транспортной отрасли наличие установленных мер по обеспечению безопасности и защите целостности цепи поставок при нахождении грузов под их прямым контролем. Неспособность одной из причастных сторон осуществить меры по защите цепи поставок от глобальных угроз и эксплуатационных рисков влечет за собой нарушение целостности системы и, как следствие, отсутствие гарантий относительно безопасного транспортирования дорогостоящих грузов.

Причастные стороны, представляющие средний и малый бизнес, являются неотъемлемой частью системы транспортирования поставок, в связи с чем в их отношении установлены требования по проведению проверок возможностей с последующим подтверждением для транспортной отрасли их соответствия действующему законодательству, нормативным и правовым актам, наилучшим практикам отрасли, а также их собственной политике и целям в области безопасности, основанным на идентифицируемых угрозах и рисках, связанных с функционированием. Настоящий стандарт устанавливает руководство и критерии для оценки качества планов менеджмента безопасности для защиты целостности цепи поставок, разработанных в соответствии с ИСО 28000 организациями среднего и малого бизнеса (за исключением морских портов). Требования, изложенные в настоящем стандарте, приведены в виде дополнений к отдельным положениям стандартов серии ИСО 28004 и не противоречат им.

     1 Область применения


Настоящий стандарт содержит руководство по внедрению ИСО 28000 для организаций среднего и малого бизнеса (за исключением морских портов). Руководство, изложенное в настоящем стандарте, дополняет основное руководство, изложенное в ИСО 28004-1, не противоречит ему, а также требованиям ИСО 28000.

     2 Нормативные ссылки


Для применения настоящего стандарта необходимы следующие ссылочные нормативные документы*. Для датированных ссылок применяют только указанное издание ссылочного документа, для недатированных - последнее издание (включая все изменения к нему):

________________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.


ИСО 28000:2007, Specification for security management systems for the supply chain (Системы менеджмента безопасности цепи поставок. Технические условия)

ИСО 28004-1:2007, Security management systems for the supply chain - Guidelines for the implementation of ISO 28000 - Part 1: General principles (Системы менеджмента безопасности цепи поставок. Руководство по внедрению ИСО 28000. Часть 1. Основные принципы)

     3 Дополнительные указания


ИСО 28000 разработан для применения организациями, заинтересованными в обеспечении наилучшей защиты цепей поставок или услуг, предоставляемых операторам цепи поставок. Основные положения стандартов серии ИСО 28004 представляют собой руководство для организаций любых размеров, планирующих внедрить ИСО 28000. Поскольку стандарты серии ИСО 28004 содержат руководство для широкого круга организаций, их положения для организаций среднего и малого размера могут быть более трудоемкими, чем это необходимо. Целью настоящего стандарта является адаптация положений указанного выше руководства для его использования небольшими организациями. В случае выявления необходимости предоставления более подробной информации организации, применяющие настоящий стандарт, должны руководствоваться требованиями стандартов серии ИСО 28004. Конкретные методы приведены в настоящем стандарте для наглядности и могут быть заменены на аналогичные методы.

Организациям, внедряющим ИСО 28000, необходимо:

- установить цель - обеспечение безопасности цепи поставок;

- оценить текущее состояние безопасности цепи поставок;

- разработать планы, включающие существующие процессы и процедуры цепи поставок, а также любые дополнительные процессы/процедуры или системы, необходимые для обеспечения соответствия установленным целям безопасности цепи поставок;

- подготовить персонал к выполнению их функций и обязанностей согласно плану обеспечения безопасности цепи поставок;

- обеспечить установку и поддержание в надлежащем состоянии любых систем или оборудования, обозначенных в плане обеспечения безопасности цепи поставок;

- приступить к выполнению плана обеспечения безопасности цепи поставок;

- проводить мониторинг результатов выполнения плана обеспечения безопасности цепи поставок;

- проводить периодический пересмотр состояния безопасности цепи поставок в целях обнаружения изменений в условиях поставок, включая новые угрозы;

- проводить периодическую проверку планов (тренировки) организации и расследовать все инциденты в области обеспечения безопасности цепи поставок;

- обновлять цели, планы и осуществлять подготовку персонала на основе данных контроля выполнения, пересмотра, тренировок или расследований.

Пользователи серии стандартов ИСО 28004, которые ранее не работали со стандартами в сфере менеджмента, должны обратить внимание на термины "намерение", "входные данные" и "выходные данные", которые использованы в отношении каждого требования, рассматриваемого в настоящем стандарте. "Намерение" применено как заголовок раздела, в котором объясняется, что необходимо организации для выполнения работы. "Входные данные" - это раздел, в котором объяснено, что необходимо анализировать или рассматривать. "Выходные данные" - это раздел, в котором объяснено, какие цели имеет организация или какие действия ей следует предпринять относительно конкретного требования.

Шаг 1. Подготовительная работа

До начала процесса внедрения ИСО 28000 организация может рассмотреть вопрос о включении в систему менеджмента безопасности цепи поставок (в пределах области применения) всей организации или ее отдельных структурных подразделений. При принятии соответствующего решения отсутствуют ограничения в рассматриваемых аспектах, тем не менее рекомендуется принимать во внимание следующую информацию:

- существующие цели организации;

- потребности или ожидания потребителей;

- интересы государства, если система менеджмента принимается с учетом государственной политики или программы;

- наличие/отсутствие осведомленности о системах менеджмента ИСО.

В пределах планируемой области применения систему менеджмента безопасности следует распространить на все области и функции, связанные с цепью поставок. В целях упрощения определения заданных областей и функций организация должна проанализировать в том числе следующую информацию:

- места производства, оформления или обработки грузов до погрузки на транспорт, укладки на паллеты или иной подготовки для отправки;

- места отправки, хранения или сбора грузов до их транспортирования;

- места перевозки грузов;

- места погрузки или разгрузки грузов после их транспортирования;

- места смены контроля над грузами;

- места обработки, создания и доступа к документации или информации об отправляемых грузах;

- транспортные маршруты и средства перевозки при различных способах транспортирования;

- прочее.

Шаг 2. Установление "Политики в области менеджмента безопасности" (раздел 4.2 ИСО 28000 и ИСО 28004-1)

После определения области применения необходимо установить Политику в области менеджмента безопасности. Установление Политики в области менеджмента безопасности является одной из важнейших задач, так как вся система менеджмента безопасности цепи поставок будет строиться в соответствии с ее положениями, а при проведении сертификации Политика станет критерием оценки всех целей, действий и планов.

В процессе разработки Политики в области менеджмента безопасности рекомендуется обеспечить проведение оценки существующих условий, которая позволит определить как действующие внутренние условия организации, так и потребности в необходимых ресурсах.

Политика в области менеджмента безопасности должна быть одобрена высшим руководством организации. Политика должна быть понятной, четко сформулированной и устанавливать общие/основные цели в области менеджмента безопасности организации. В ней должны быть отражены все известные угрозы безопасности, изложены обоснованные ожидания организации по эффективному преодолению угроз с помощью применения подходов превентивного менеджмента. Кроме того, Политика должна соответствовать размеру и структуре организации и включать обязательство постоянного улучшения. Для иллюстрации приведено следующее заявление о Политике.

Пример - BETA TRUCKING LTD - НАША ПОЛИТИКА В ОБЛАСТИ БЕЗОПАСНОСТИ:
     
     - поддержка показателя утери/повреждения груза, по крайней мере на X% ниже, чем средний показатель отрасли;
     
     - соблюдение требований нормативных и правовых актов в части транспортирования/безопасности, действующих для данной продукции;
     
     - соответствие или превосходство практик по безопасности, установленных Всемирной таможенной организацией для уполномоченного экономического оператора.
     
     Примечание - Данную политику используют в том случае, если в рамках цепи поставок перемещаются импортируемые или экспортируемые грузы;
     
     - расследование всех заявлений об утратах и инцидентов в области обеспечения безопасности с последующим проведением соответствующих корректировок;
     
     - постоянное улучшение безопасности и эксплуатационной эффективности цепи поставок, при необходимости осуществляя необходимые изменения;
     
     - сотрудничество в полном объеме с правительственными уполномоченными органами в случае обнаружения или возникновения подозрения в контрабанде;
     
     - предоставление информации о Политике всему персоналу и сторонним организациям (в необходимом объеме). Организации могут ограничить доступ к тем элементам Политики, которые сочтут конфиденциальными (например, порядок взаимодействия с полицией или таможней при обнаружении контрабанды). Организации могут использовать свои заявления о Политике в рекламных целях;
     
     - заявление о Политике должно быть документально оформлено и обновляться в результате пересмотров в соответствии с ИСО 28000, раздел 4.4.4. При пересмотре заявления о Политике все предыдущие издания должны быть заменены.



Шаг 3. Выполнение "оценки безопасности" (пункт 4.3.1 ИСО 28000, подраздел 4.3 ИСО 28004-1)

Организации, внедряющие ИСО 28000, должны выполнить оценку безопасности цепей поставок и услуг по их сопровождению, находящихся в области применения, установленной руководством организации. Оценка безопасности определяет общую безопасность системы методом сравнения существующих процессов и мер безопасности с перечнем известных сценариев угроз (рисков), тем самым подтверждая, что контроль риска осуществляется надлежащим образом. В целом, риск считают контролируемым в том случае, если правдоподобность появления событий, вызывающих средние или значительные последствия в результате срывов в цепи поставок, низкая.

С высокой долей ответственности следует управлять большими, сложными или многосоставными цепями поставок, так как каждая часть цепи поставок является критичной для обеспечения низкого уровня правдоподобности возникновения опасных для организации ситуаций. В случае выполнения отдельных оценок для каждой цепи поставок, входящих в комплекс, истинный уровень правдоподобности срыва поставок не всегда очевиден.

Необходимо документально оформлять все аспекты оценки безопасности, в том числе:

- персонал, задействованный в проведении оценки, и его квалификацию;

Доступ к полной версии документа ограничен
Полный текст этого документа доступен на портале с 20 до 24 часов по московскому времени 7 дней в неделю.
Также этот документ или информация о нем всегда доступны в профессиональных справочных системах «Техэксперт» и «Кодекс».
Нужен полный текст и статус документов ГОСТ, СНИП, СП?
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно
Реклама. Рекламодатель: Акционерное общество "Информационная компания "Кодекс". 2VtzqvQZoVs