ГОСТ Р ИСО 28004-2-2019

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Системы менеджмента безопасности цепи поставок. Руководящие указания по внедрению ИСО 28000

Часть 2

РУКОВОДСТВО ПО ВНЕДРЕНИЮ ИСО 28000 В МОРСКИХ ПОРТАХ, ОТНОСЯЩИХСЯ К СРЕДНЕМУ И МАЛОМУ БИЗНЕСУ

Security management systems for the supply chain. Guidelines for the implementation of ISO 28000. Part 2. Guidelines for adopting ISO 28000 for use in medium and small seaport operations

ОКС 03.100.01

Дата введения 2020-07-01

Предисловие

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Международный менеджмент, качество, сертификация" (АНО "ММКС") совместно с Обществом с ограниченной ответственностью "Палекс" и Ассоциацией по сертификации "Русский Регистр" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. N 1437-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 28004-2:2014* "Системы менеджмента безопасности для цепи поставок. Руководство по внедрению ИСО 28000. Часть 2. Руководство по применению ИСО 28000 для использования операторами морских портов малого и среднего размера" (ISO 28004-2:2014 "Security management systems for the supply chain - Guidelines for the implementation of ISO 28000 - Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations", IDT)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт подготовлен на основе ИСО 28004-2:2014. Настоящая часть серии стандартов ИСО 28004 является руководством и способствует информированию средних и малых морских портов, желающих внедрить ИСО 28000. Дополнительная информация предназначена для улучшения, но не изменения общего руководства, в настоящее время определенного в ИСО 28004.

Никаких изменений в ИСО 28004-2 не внесено, кроме дополнений справочного характера.

Настоящий стандарт обеспечивает взаимосвязь с другими стандартами ИСО и соответствующими техническими спецификациями.

Существует несколько установленных и ожидающих рассмотрения соответствующих стандартов ИСО, которые вместе с этой частью ИСО 28004 предоставляют дополнительные указания и инструкции для операторов морских портов для составления их планов мер по обеспечению управления безопасностью и оценки способности этих мер защищать целостность цепи поставок грузов, находящихся под их непосредственным контролем. Стандарты ИСО 20858, ИСО 28001, ИСО 28002, ИСО 28003, включая серию стандартов ИСО 28004, упоминаются в ИСО 28004-2 и предназначены для предоставления операторам конкретных указаний. Соответствие этих стандартов ИСО 28000 представлено в таблице 1.

Таблица 1 - Соответствующие стандарты ИСО

     1 Область применения

В настоящем стандарте определены возможные риски и угрозы в цепи поставок, процедуры для проведения оценки риска/угроз и критерии оценки соответствия и результативности документированных планов управления безопасностью в соответствии с ИСО 28000 и руководящими принципами внедрения серии стандартов ИСО 28004. Результатом этих усилий станет система оценки уровня доверия, основанная на качестве системы менеджмента безопасности, реализуемой морским портом для обеспечения безопасности и непрерывности деятельности цепи поставок грузов, обрабатываемых морским портом. Рейтинговую систему следует использовать в качестве средства определения измеримого уровня достоверности того, что операции по безопасности морского порта соответствуют требованиям ИСО 28000 для защиты целостности цепи поставок.

Организации, выбирающие сертификацию третьей стороной, могут дополнительно продемонстрировать, что они вносят значительный вклад в безопасность цепи поставок.

     2 Обзор

     2.1 Цель

Целью настоящего стандарта является предоставление руководства по внедрению ИСО 28000 средним и малым портам. Это руководство содержит критерии самооценки, которые могут быть использованы этими портами при внедрении ИСО 28000. Хотя критерии самооценки не приведут к сертификации третьей стороной, их можно использовать для определения жизнеспособности плана управления безопасностью заинтересованной стороны порта для обеспечения целостности цепи поставок в соответствии с положениями и рекомендациями по безопасности, указанными в ИСО 28000 и серии стандартов ИСО 28004. Цель состоит в том, чтобы разработать рейтинговую шкалу оценки риска, которую можно использовать для оценки способности плана управления безопасностью порта обеспечивать непрерывную защиту и непрерывную работу цепи поставок груза, получаемого, хранящегося и передаваемого морским портом. Использование этих критериев самооценки позволит определить, соответствует ли морской порт каждому требованию ИСО 28000 с достаточной степенью детализации.

     2.2 Предпосылки

Международный кодекс безопасности судов и портовых средств (ISPS) требует, чтобы каждый морской портовый комплекс разработал комплексный план управления безопасностью портового комплекса с грузом, находящимся под его непосредственным контролем. План управления безопасностью порта должен учитывать те приложения, системы безопасности и оперативные меры, которые предназначены для защиты персонала, портовых сооружений, судов у причала, грузовых транспортных единиц (включая железнодорожные и наземные) в пределах физических возможностей портового комплекса от риска инцидента безопасности (ИСО 20858 предоставляет четкие рекомендации по выполнению этих требований). Стандарт ИСО 28000 и серия стандартов ИСО 28004 устанавливают руководящие принципы для защиты глобальной цепи поставок на очень высоком уровне, но не предоставляют достаточно конкретных деталей, которые позволили бы обеспечить последовательный уровень реализации для охвата всех положений и программ безопасности для больших, средних и малых морских портов, которые являются неотъемлемыми частями инфраструктуры безопасности глобальной цепи поставок. Чтобы обеспечить долгосрочную и последовательную безопасность цепи поставок, необходимо, чтобы каждая из заинтересованных сторон в этой интегрированной глобальной сети была оценена и несла ответственность за содействие обеспечению безопасности и бесперебойной доставке груза.

Средние и малые морские порты являются неотъемлемой частью инфраструктуры доставки в цепи поставок, особенно с учетом того, что данные порты, как правило, являются первыми точками входа для большинства товаров, которые отправляются и распределяются по местным и международным направлениям. Данные средние и малые порты являются портами подачи товаров, отправляемых в более крупные мегапорты, для консолидации и распределения грузов для дальних перевозок в другие мегапорты и по всему миру. Следовательно, крайне важно, чтобы в средних и малых морских портах были соблюдены и поддерживались проверенные меры безопасности, которые могут обеспечить защиту и дальнейшее безопасное прохождение товаров, перевозимых через их портовые сооружения.

В то время как ИСО 28000 и серия стандартов ИСО 28004 предоставляют общие обзоры ожидаемых требований для обеспечения безопасности цепи поставок, существуют ограниченные инструкции, измеримые требования и критерии приемлемости, которые позволяют предприятию создавать и реализовывать план управления безопасностью, что обеспечит соблюдение установленных норм в ИСО 28000. Поэтому настоящий стандарт предназначен для предоставления методов, процедур, руководящих принципов и критериев приемлемости, которые будут использоваться для определения уровня соответствия требованиям безопасности серии стандартов ИСО 28004.

     2.3 ИСО 28000, пункт 4.3.1 - требования к оценке риска, угрожающего безопасности

ИСО 28000, пункт 4.3.3: "При установлении и пересмотре своих целей организация должна учитывать нормативно-законодательные и другие требования по безопасности". Кодекс ISPS, принятый каждым государством-членом, устанавливает такие требования к оценке риска безопасности. Следовательно, согласно пункту 4.3.1 ИСО 28000 заинтересованная сторона морского порта и управляющая организация должны установить и поддерживать процедуру для постоянной идентификации угроз и оценки рисков безопасности, связанных с менеджментом риска для безопасности, а также для выявления и реализации необходимых мероприятий управленческого контроля для защиты цепи поставок. Методы идентификации угроз, оценки риска и менеджмента риска, включая контроль, должны соответствовать характеру и масштабам операций морского порта. Эта оценка должна учитывать вероятность возникновения события и все его последствия для заинтересованной стороны морского порта, угрозы для непрерывности деятельности, безопасности цепи поставок, необходимость восстановления после бедствия. В частности, оценка риска должна предусматривать минимум следующее:

a) угрозы и риски для деятельности, включающей управление безопасностью, человеческий фактор и другие действия, которые оказывают влияние на результаты деятельности организации, условия или безопасность;

b) события природного характера (штормы, наводнения, сильные ветры и т.д.), которые могут сделать мероприятия и оборудование неэффективными;

c) факторы, находящиеся вне контроля организации, такие как сбои в поставляемом извне оборудовании и услугах, изменения в местной и международной политике и правилах безопасности, а также политические изменения, влияющие на владение и эксплуатацию морского порта;

d) угрозы и риски заинтересованных сторон, такие как несоблюдение нормативных требований, финансовые ограничения или изменения в правах собственности, которые влияют на деятельность порта и безопасность цепи поставок;

e) проектирование, установка, проверка и техническое обслуживание оборудования для обеспечения безопасности, включая установку новых систем и обучение персонала эксплуатации, ремонту и техническому обслуживанию;

f) сбои критической информации, систем управления данными и связи, используемых для управления и защиты цепи поставок.

Организации, являющиеся заинтересованными сторонами морского порта, ответственные за обеспечение защиты безопасности товаров цепи поставок, должны обеспечить наличие результатов этих оценок и соответствующих мер безопасности для обеспечения целостности цепи поставок. План управления безопасностью морского порта должен содержать положения и процедуры для выполнения целей системы безопасности, эксплуатационных требований, оценки риска, минимизации последствий, непрерывности деятельности и этапов восстановления после бедствия. В частности, план должен учитывать следующее:

- определение требований к проектированию, спецификации, установке и эксплуатации охранных устройств и систем;

- идентификацию кадрового ресурса безопасности, уровней квалификации и обучения, необходимых для эксплуатации и обслуживания устройств и систем безопасности (ИСО 28000, пункт 4.4.2);

- определение общей оценки угроз и рисков в организации и структуре менеджмента для минимизации выявленных рисков;

- обеспечение непрерывности функционирования и этапы восстановления после бедствия, которые будут реализованы для восстановления систем безопасности для защиты цепи поставок и восстановления морского порта до полного рабочего состояния.

Организация должна документировать и поддерживать вышеуказанную информацию в актуальном состоянии. Организация должна иметь персонал, обученный пониманию и применению планов и процедур управления безопасностью и операций, указанных в плане. Методология организации по идентификации угрозы, оценке риска и минимизации последствий должна:

- быть четко определенной в отношении ее области применения, ролей и обязанностей заинтересованных сторон, ожидаемого характера и сроков риска и угроз, чтобы обеспечить проактивность действий, а не реагирование;

- идентифицировать и контролировать сбор информации от источников для документирования существующих и определения будущих угроз безопасности и рисков, связанных с цепью поставок;

- предусмотреть классификацию угроз и рисков и идентификацию шагов по минимизации последствий для тех рисков и угроз, которые следует либо избегать, либо устранять или которыми следует управлять;

- обеспечивать мониторинг действий для обеспечения результативности и своевременности их внедрения (ИСО 28000, пункт 4.5.1) для обеспечения бесперебойной защиты цепи поставок.

План управления безопасностью морского порта должен быть запланированной частью процедуры непрерывного совершенствования для поддержания в актуальном состоянии персонала и систем морского порта с выявленными угрозами, рисками и эксплуатационной безопасностью, необходимыми для сохранения цепи поставок.

Процессы идентификации угроз, оценки рисков, менеджмента риска и их результаты должны быть основой для разработки и внедрения комплексной системы безопасности цепи поставок. Важно, чтобы связи между процессами идентификации угроз, оценкой рисков, менеджментом риска и другими элементами системы менеджмента безопасности были четко установлены, постоянно отслеживались и обновлялись для отражения любых изменений в оценке угроз и рисков портовых операций для обеспечения безопасности цепи поставок.

     2.4 Требования к оценке риска

2.4.1 Общие положения

Процессы идентификации угроз, оценки рисков и минимизации рисков являются ключевыми инструментами управления, контроля и устранения рисков для обеспечения безопасности и непрерывной работы цепи поставок. План управления безопасностью морского порта должен охватывать каждую из этих областей и обеспечивать конкретные роли и обязанности для каждой из заинтересованных сторон, участвующих в защите цепи поставок.

2.4.2 Рассмотрение оценки риска средних и малых портов

Цель документа - оценка риска для цепи поставок, характеристики шагов, которые должны предприниматься для минимизации и предотвращения серьезных нарушений в цепи поставок грузов, перевозимых через морские порты среднего и малого размеров. Эти морские порты обычно являются начальной точкой входа для большого сегмента товаров, отправляемых в крупные и международные мегапорты. Грузы поступают в порты из мест, расположенных выше по цепи поставок, через железнодорожные, автомобильные и другие транспортные средства, которые либо перевозят, либо собирают груз, хранящийся в местах расположения портов. Поэтому цель состоит в том, чтобы определить и оценить способность портовых операций защищать груз и поддерживать ожидаемые темпы доставки товаров по мере прохождения товаров через морской порт.

Входные данные - это информация о сборке, обработке, хранении, погрузке/разгрузке груза и окончательные требования к исходящей перевозке, а также план операций в порту и планы управления безопасностью, которые функционируют в соответствии с планом непрерывности деятельности (СООР), разрабатываемым с учетом выявленного и предполагаемого рисков, связанных с количеством, потоком и типом груза, обрабатываемого портом. Для каждого выявленного риска и/или угрозы потоку товаров через порт должен быть разработан план по предотвращению или минимизации воздействия рисков, включающий перечень работ и официальные планы аварийного восстановления для обеспечения кооперации порта и потока товаров. Данные планы, которые разрабатываются и поддерживаются портами и соответствующими заинтересованными сторонами, в дальнейшем пройдут оценку и им будет присвоен номер сертификата/уровня доверия, который можно использовать для измерения уровня соответствия стандарту ИСО 28000 и серии стандартов ИСО 28004 по обеспечению безопасности цепи поставок.

Основным результатом этого документа будет набор руководящих принципов для оценки соответствия плана управления безопасностью морского порта требованиям серии стандартов ИСО 28004. Руководство будет охватывать идентификацию угроз, оценку рисков и менеджмент риска для операций морского порта, а также документированные процедуры и практики, применяемые заинтересованными сторонами морского порта для предотвращения, обнаружения нарушений, реагирования на них и приведения порта в нормальное рабочее состояние для обеспечения безопасности и непрерывности деятельности цепи поставок.

2.4.3 Намерение

Намерение состоит в том, чтобы создать и задокументировать набор процедур для определения способности средних и малых портов соответствовать требованиям безопасности цепи поставок, указанным в ИСО 28000 и серии стандартов ИСО 28004, для идентифицированных угроз и оценки рисков для операций в морском порту. Процессы идентификации угроз безопасности, оценки рисков и менеджмент риска являются ключевыми инструментами в управлении и снижении рисков безопасности для подробных инструкций деятельности в цепи поставок. Угрозы и риски для безопасности могут значительно различаться в инфраструктуре цепи поставок от незначительных инцидентов до полномасштабных нарушений безопасности грузов. Цель состоит в том, чтобы (а) идентифицировать и охарактеризовать те угрозы и риски, которые характерны для небольших морских портов, и определить возможное воздействие на операции по безопасности порта; (b) оценить процессы минимизации последствий угроз в морском порту и меры по их предупреждению, разработанные в ответ на эти угрозы/риски; (с) оценить способность морского порта поддерживать целостность цепи поставок для товаров, транспортируемых через его объекты. План управления безопасностью морского порта будет затем оценен для определения способности морского порта обеспечивать безопасность цепи поставок от выявленных угроз и рисков для их деятельности.