Приложение А (справочное). Информационное руководство по интеграции настоящего стандарта в существующую систему менеджмента организации. Национальный стандарт РФ ГОСТ Р ИСО 28002-2019 "Системы менеджмента безопасности цепи поставок. Устойчивость цепи поставок. Требования и руководство по применению" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 23.12.2019 N 1434-ст)

Приложение А
(справочное)

Информационное руководство по интеграции настоящего стандарта в существующую систему менеджмента организации

А.1 Общие положения

Организации, внедряющие настоящий стандарт, обязаны интегрировать политику менеджмента устойчивости в систему менеджмента, основанную на цикле PDCA. Политика менеджмента устойчивости может быть одной из многих политик, принятых организацией при определении общей политики управления организацией. Политика менеджмента устойчивости становится вкладом в систему менеджмента организации. Разработку, внедрение, потребности в ресурсах и управление выполнением каждой корпоративной политики следует документировать в рамках систем менеджмента. В этом приложении содержится информационное руководство по включению элементов политики устойчивости в политику системы менеджмента на основе цикла PDCA. Если в систему менеджмента также включают другие политики, следует обратиться за соответствующим руководством.

А.2 Политика менеджмента устойчивости

Политика менеджмента устойчивости должна быть разработана и документирована в соответствии с требованиями настоящего стандарта. Политика должна быть добавлена к другим, уже существующим политикам по системам менеджмента.

А.3 Ответственность руководства

Руководство должно предоставить свидетельства вовлеченности в разработку, внедрение, реализацию, мониторинг, анализ, поддержание в рабочем состоянии и улучшение политики устойчивости посредством:

a) разработки политики менеджмента устойчивости;

b) обеспечения разработки целей и планов реализации политики менеджмента устойчивости;

c) установления ролей, компетенций, ответственности за выполнение функций менеджмента устойчивости;

d) назначения одного (или более) ответственного компетентного специалиста за политику менеджмента устойчивости с определением конкретных полномочий и ответственности за внедрение и поддержание системы менеджмента устойчивости;

e) информирования организации о важности выполнения целей менеджмента устойчивости и соответствия политике менеджмента устойчивости, ответственности за соблюдение нормативно-законодательных требований и необходимости постоянного улучшения;

f) выделения достаточных ресурсов для разработки, внедрения, реализации, мониторинга, анализа, поддержания в рабочем состоянии и улучшения менеджмента устойчивости;

g) определения критериев допустимого риска и допустимых уровней риска;

h) обеспечения проведения внутренних аудитов по политике менеджмента устойчивости;

i) проведения анализа со стороны руководства политики менеджмента устойчивости;

j) демонстрации вовлеченности в постоянное улучшение.

А.4 Планирование

А.4.1 Оценка рисков и мониторинг

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процесс оценки риска:

a) для идентификации рисков преднамеренных, непреднамеренных и естественных опасностей и угроз, которые могут иметь прямое или косвенное воздействие на деятельность, операции, функции и цепь поставок организации, человеческие, нематериальные и физические активы, природную среду и заинтересованные стороны;

b) для систематического анализа рисков (включая вероятность, уязвимость, критичность воздействия и последствия);

c) для идентификации рисков, имеющих значительные последствия для деятельности, функций, товаров и услуг, цепи поставок организации, отношений с заинтересованными сторонами, природной среды;

d) для систематической оценки и расстановки приоритетов управления рисками и обработки рисков и соответствующих затрат.

Организация должна:

a) документировать и сохранять эту информацию актуальной и конфиденциальной, если применимо;

b) с установленной периодичностью анализировать и пересматривать область распространения и политику менеджмента устойчивости, оценку рисков, оценку продолжающейся пригодности внешних и внутренних факторов среды организации;

c) гарантировать, что приоритетные риски учитывают при разработке, внедрении и функционировании системы менеджмента устойчивости;

d) проводить повторную оценку риска при изменении факторов среды организации, производственной среды, процедур, функций, услуг, сервисов, в партнерских соглашениях и цепи поставок;

e) разрабатывать критерии для оценки степени риска. Критерии должны отражать внутренние и внешние факторы среды организации, включая ценности, цели и ресурсы;

f) установить критерии для максимально допустимого времени простоя, целевого показателя времени восстановления, а также приемлемых уровней потерь, связанных с товарами, услугами и функциями организации и ее цепи поставок;

g) установить приоритетные сроки восстановления деятельности и функций внутри организации и по всей цепи поставок;

h) оценивать прямые и косвенные преимущества и затраты от вариантов снижения риска и повышения устойчивости и непрерывности.

А.4.2 Внутреннее и внешнее информирование и консультирование

В процессе оценки риска организация должна разработать, внедрить и поддерживать в рабочем состоянии документированный процесс обмена информацией и консультирования с заинтересованными сторонами и партнерами по цепи поставок, чтобы гарантировать, что:

a) риск адекватно идентифицирован;

b) понятны интересы заинтересованных сторон, зависимости и связи в цепи поставок;

c) оценку устойчивости и оценку риска проводят во взаимодействии с другими аспектами управления; а также

d) оценку риска проводят в рамках соответствующих факторов внутренней и внешней среды и параметров, относящихся к организации и ее цепи поставок.

А.4.3 Мониторинг и анализ процесса оценки риска

Организация должна разработать, внедрить, поддерживать в рабочем состоянии и документировать процесс мониторинга и анализа оценки рисков для:

a) актуализации оценки риска (при необходимости);

b) определения и оценивания влияния среды, внешних и внутренних факторов, предположений и других обстоятельств, которые могут меняться со временем, на оценку рисков;

c) оценки эффективности управления рисками и обработки рисков;

d) оценки фактической эффективности после инцидента.

А.4.4 Нормативно-законодательные и иные требования

Организация должна установить и поддерживать в рабочем состоянии процедуры для:

a) идентификации нормативно-законодательных и иных требований, которые относятся к организации и соотносятся с опасностями, угрозами и рисками, связанными с ее объектами, средствами, деятельностью, функциями, товарами, услугами, цепью поставок, средой и заинтересованными сторонами;

b) определения, насколько эти требования применимы к опасностям, угрозам, риску и их потенциальному воздействию и насколько эти требования выполняются.

Организация должна документировать данную информацию и поддерживать ее в актуальном состоянии.

Организация должна обеспечить, чтобы применимые нормативно-законодательные требования, которыми она руководствуется, учитывались при разработке, внедрении и поддержании в рабочем состоянии ее системы менеджмента устойчивости.

А.4.5 Цели и целевые показатели в области устойчивости

Организация должна разработать, внедрить и поддерживать в рабочем состоянии документированные цели и целевые показатели для управления рисками с целью предотвращения, избегания, сдерживания, смягчения, реагирования и восстановления после разрушительных инцидентов. Документированные цели и целевые показатели должны устанавливать внутренние и внешние ожидания для организации и ее цепи поставок, которые имеют решающее значение для выполнения миссии, доставки продуктов и услуг и функциональных операций.

Цели должны быть разработаны и согласованы с политикой менеджмента устойчивости и оценкой риска, включая обязательства по:

a) минимизации риска путем снижения вероятности его возникновения и тяжести последствий;

b) увеличению устойчивости посредством адаптивного, проактивного и ретроспективного подходов с учетом финансовых, функциональных (производственных) требований и требований бизнеса, включая цепь поставок;

c) соблюдению нормативно-законодательных и иных требований;

d) постоянному улучшению.

При разработке и пересмотре целей и целевых показателей организация должна учитывать нормативно-законодательные и иные требования, значительные риски, технологические возможности организации, финансовые, функциональные требования и требования бизнеса, мнения заинтересованных сторон и участников.

Целевой показатель должен быть измерен качественно и/или количественно. Целевые показатели должны соответствовать целям политики устойчивости и должны быть получены из целей политики устойчивости. Целевые показатели должны:

a) иметь соответствующий уровень детализации;

b) быть соразмерны оценке риска и установленным организацией срокам для восстановления;

c) быть конкретными, измеримыми, достижимыми, актуальными и основанными на времени (где это практически осуществимо);

d) быть доведены до сведения персонала и третьих сторон, включая подрядчиков и партнеров по цепи поставок, с намерением, чтобы эти лица были осведомлены о своих индивидуальных обязательствах;

e) периодически пересматриваться, чтобы гарантировать, что они остаются актуальными и соответствующими целям политики менеджмента устойчивости и своевременно корректируются.

А.4.6 Стратегические планы и программы для обеспечения устойчивости

Организация должна разработать, внедрить и поддерживать в рабочем состоянии одну и более стратегических программ для достижения целей и целевых показателей. Программы должны быть оптимизированы и расставлены по приоритетам для управления и снижения риска на основе вероятности его возникновения и тяжести последствий в виде нарушения/сбоя цепи поставок организации. Программа(ы) должна(ы) включать:

a) определение ответственности и ресурсов для достижения целей и целевых показателей в соответствии с функциями и уровнем в организации;

b) рассмотрение деятельности и функций организации, нормативно-законодательных требований, обязательств по договорам/контрактам и цепи поставок, потребностей заинтересованных сторон, соглашений о взаимопомощи и среды организации;

c) средства, временные рамки и распределение ресурсов, с помощью которых должны быть достигнуты цели менеджмента устойчивости, цели и целевые показатели устойчивости.

Организация должна разработать и поддерживать в рабочем состоянии один или более стратегических планов и программ для:

a) предупреждения и защиты - избегать, устранять, сдерживать, защищать или предотвращать вероятность разрушительных инцидентов и их последствий, включая удаление человеческих и физических активов из зоны риска;

b) минимизации последствий - минимизация воздействия разрушительного инцидента;

c) реагирования - первоначальная реакция на разрушительный инцидент, связанный с защитой людей и имущества от немедленного вреда. Первоначальная реакция руководства может быть частью первой реакции организации;

d) непрерывности - доступность процессов, средств управления и ресурсов для обеспечения того, чтобы организация продолжала выполнять свои критически важные бизнес-задачи и цели;

e) восстановления - возобновление процессов, ресурсов и возможностей организации для удовлетворения текущих операционных требований в течение периода времени, указанного в целях.

Организация должна оценивать свою стратегическую(ие) программу(ы), чтобы определить, создают ли эти мероприятия новые риски. Программы менеджмента устойчивости следует периодически пересматривать, чтобы обеспечить их эффективность и соответствие целям и целевым показателям. При необходимости в программы должны быть соответствующим образом внесены изменения.

А.5 Внедрение и функционирование

А.5.1 Ресурсы, обязанности, ответственность и полномочия в области менеджмента устойчивости

Обязанности, ответственность и полномочия должны быть определены, задокументированы и доведены до сведения, чтобы способствовать эффективному управлению устойчивостью в соответствии с политикой менеджмента устойчивости, целями, целевыми показателями и программами. Высшее руководство организации должно назначить конкретного представителя руководства, который, независимо от других обязанностей, должен выполнять определенные обязанности, иметь ответственность и полномочия для:

a) обеспечения, того, чтобы политика менеджмента устойчивости была разработана, внедрена, доведена до персонала и поддерживалась в рабочем состоянии в соответствии с требованиями настоящего стандарта;

b) идентификации и мониторинга требований и ожиданий партнеров и заинтересованных сторон цепи поставок организации и принятия соответствующих мер для управления этими ожиданиями;

c) обеспечения доступности необходимых ресурсов;

d) представления отчетов о выполнении политики менеджмента устойчивости высшему руководству для рассмотрения и в качестве основы для улучшений.

Организация должна создать:

a) систему менеджмента устойчивости, кризисное управление, группу(ы) реагирования с определенными ролями, конкретными полномочиями и необходимыми ресурсами для контроля возникновения инцидентов, предупреждения, обеспечения готовности, реагирования и восстановления;

b) логистические возможности и процедуры для поиска, приобретения, хранения, распространения, обслуживания, тестирования и учета услуг, персонала, ресурсов, материалов и средств, произведенных или переданных для поддержки системы менеджмента;

c) цели управления ресурсами персонала, оборудования, обучения, средств финансирования, страхования, контроля ответственности, экспертных знаний, материалов и временных рамок, в которых они будут необходимы из ресурсов организации и от любого партнера для соблюдения времени реагирования;

d) процедуры поддержки и информирования заинтересованных сторон, стратегических альянсов и взаимопомощи.

Организация должна разработать финансовую(ые) и административную(ые) процедуру(ы) для поддержания политики менеджмента устойчивости до момента возникновения инцидента, в ходе и после его возникновения.

Процедуры должны:

a) обеспечивать гарантию быстрого выполнения решений о выделении средств;

b) соответствовать установленным уровням полномочий и принципам бухгалтерского учета.

А.5.2 Компетентность, подготовка и осведомленность

Организация должна гарантировать, что любое лицо, выполняющее задачи, которое потенциально может предотвратить, вызвать, реагировать, снизить или влиять на значительные опасности, угрозы и риски, является компетентным (на основании соответствующего образования, обучения или опыта), с сохранением подтверждающих записей.

Организация должна определить компетенции и потребности в обучении, связанные с управлением опасностями, угрозами и рисками, характерными для организации, политикой менеджмента устойчивости, как внутри организации, так и по всей ее цепи поставок. Организация должна обеспечивать обучение и подготовку или предпринимать другие действия для удовлетворения этих потребностей с сохранением соответствующих записей.

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуру(ы), чтобы гарантировать, что все лица, работающие в организации или от ее имени, осведомлены:

a) о значительных опасностях, угрозах и рисках, которые связаны с их работой, потенциальных воздействиях, преимуществах лучшего выполнения работы;

b) о процедурах предупреждения инцидента, сдерживания, минимизации последствий, индивидуальной защиты, эвакуации, реагирования, поддержания непрерывности и восстановления;

c) о важности выполнения требований политики и процедур менеджмента устойчивости и требований системы менеджмента безопасности цепи поставок;

d) о своей обязанности и ответственности в достижении соответствия требованиям политики менеджмента устойчивости;

e) о потенциальных последствиях отклонений от указанных процедур; а также

f) о преимуществах улучшения персональных результатов работы.

Организация должна создать, продвигать и внедрить культуру менеджмента устойчивости в рамках организации и цепи поставок, которая:

a) обеспечивает, чтобы культура менеджмента устойчивости стала частью основных ценностей организации, цепи поставок и управления организацией в целом;

b) обеспечивает осведомленность партнеров по цепи поставок и заинтересованных сторон о политике менеджмента устойчивости и их обязанностей в любых планах по обеспечению устойчивости.

А.5.3 Информирование и оповещение

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры в отношении опасностей, угроз, рисков и политики менеджмента устойчивости для:

a) документирования, ведения записей, информирования об изменениях в документации, планах и процедурах, системе менеджмента, результатах оценки и анализа;

b) внутреннего обмена информацией между различными уровнями и функциями организации;

c) внешнего обмена информацией в рамках цепи поставок с другими партнерами и заинтересованными сторонами;

d) приема, документирования и ответа на информацию от внешних заинтересованных сторон;

e) адаптации и интеграции национальной или региональной консультативной системы по рискам и угрозам или ее эквивалента в планирование и оперативное использование в работе;

f) переноса обмена важной информацией и знаниями в цепи поставок между партнерами и заинтересованными сторонами;

g) предупреждения об опасности потенциального воздействия фактического или надвигающегося разрушительного инцидента заинтересованных сторон и партнеров в цепи поставок;

h) обеспечения доступности средств связи для информирования в кризисной ситуации нарушения/сбоя;

i) облегчения структурированного обмена информацией между респондентами, непосредственно находящимися в чрезвычайной ситуации;

j) обеспечения взаимодействия нескольких организаций-респондентов и персонала;

k) ведения записи значимой информации об инциденте, предпринятых действиях и принятых решениях;

l) работы средств коммуникаций.

Организация должна решить, исходя из целей безопасности жизнедеятельности, какие первоочередные задачи осуществлять по обеспечению устойчивости. Организация должна проконсультироваться с партнерами по цепи поставок и заинтересованными сторонами, чтобы решить, какую информацию предоставлять внешним заинтересованным сторонам о значительном риске. Данное решение организация должна документировать. Если решение состоит в том, чтобы сообщить информацию, организация должна разработать и внедрить метод(ы) для этого внешнего обмена информацией, передачи оповещений и сигналов тревоги (в том числе с помощью средств массовой информации).

Информирование о политике менеджмента устойчивости должно регулярно тестироваться.

А.5.4 Документирование

Документация политики менеджмента устойчивости должна включать:

a) политику менеджмента устойчивости, цели и целевые показатели;

b) описание области применения политики менеджмента устойчивости;

c) описание основных элементов политики менеджмента устойчивости и их интеграцию в соответствующие документы;

d) документацию, включая записи, требуемые настоящим стандартом;

e) документацию, включая записи, определенные организацией как необходимые для обеспечения эффективного планирования и управления процессами, относящимися к значительным рискам.

Организация должна оценить конфиденциальность информации и принять соответствующие меры для предотвращения несанкционированного доступа.

А.5.5 Управление документацией

Необходимо управление документацией, регламентируемой политикой менеджмента устойчивости. Записи представляют собой особый тип документа и должны управляться в соответствии с требованиями, приведенными в А.5.4.

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры с целью:

a) соблюдения нормативно-законодательных требований;

b) утверждения документов на предмет адекватности до момента их выдачи;

c) пересмотра, актуализации и повторного утверждения документов, при необходимости;

d) гарантии идентификации внесенных изменений и текущего статуса документов;

e) обеспечения наличия действующих версий в местах их применения;

f) установления параметров хранения, архивирования и утилизации;

g) уверенности в том, что документы остаются разборчивыми и легко идентифицируемыми;

h) гарантии того, что документы внешнего происхождения, определенные организацией как необходимые для планирования и осуществления политики менеджмента устойчивости, идентифицированы и их распределение контролируется;

i) определения способа хранения устаревших и неактуальных документов, которые организация должна хранить;

j) обеспечения целостности документов, гарантии их защищенности от несанкционированного доступа, надежного резервного копирования, доступа только для уполномоченного персонала и защиты от повреждения, порчи или потери.

А.5.6 Управление деятельностью

Организация должна определить те операции и действия, которые необходимы для достижения:

a) политики менеджмента устойчивости;

b) управления действиями, определенными как имеющие значительный риск;

c) соблюдения нормативно-законодательных требований;

d) целей политики менеджмента устойчивости;

е) выполнения программ политики менеджмента устойчивости; и

f) требуемого уровня устойчивости цепи поставок.

Организация должна разработать, внедрить и поддерживать в рабочем состоянии адаптивные и проективные планы и процедуры для тех операций, которые связаны с выявленными значительными рисками, включая политику менеджмента устойчивости, оценку риска, требования к цепи поставок, цели и целевые показатели, чтобы обеспечить их выполнение в указанных условиях, сводящих риск к минимуму, посредством:

a) разработки, внедрения и поддержания в рабочем состоянии процедур, относящихся к идентифицированным опасностям, угрозам и рискам в деятельности, функциях, товарах и услугах организации, обмене информацией о применимых процедурах и требованиях к цепи поставок и подрядчикам;

b) разработки, внедрения и поддержания в рабочем состоянии документированных процедур для управления ситуацией, при которой их отсутствие может привести к отклонению от политики менеджмента устойчивости, целей и целевых показателей;

c) проведения оценки любого риска на фазе предконтроля и фазе постконтроля деятельности в цепи поставок, внедрения и поддержания в рабочем состоянии документированной процедуры для минимизации вероятности и снижения тяжести последствий разрушительного инцидента;

d) разработки и поддержания в рабочем состоянии требований к товарам и услугам, которые оказывают воздействие на устойчивость, доведение информации до поставщиков;

e) обоснования критериев деятельности организации в документированных процедурах.

Эти процедуры должны включать средства управления для проектирования, установки, эксплуатации, восстановления элементов оборудования, связанных с устойчивостью, логистических потоков, контрольно-измерительных приборов и т.д., когда это применимо. В тех случаях, когда существующие договоренности пересматриваются и вводятся новые договоренности, которые могут воздействовать на устойчивость управления детальностью/операциями и видами деятельности, организация должна рассмотреть сопутствующие риски до реализации новых договоренностей.

Новые или пересмотренные соглашения должны включать:

a) актуализированную организационную структуру, обязанности или ответственность;

b) пересмотренную политику устойчивости, цели, целевые показатели и программы;

c) пересмотренные процессы и процедуры;

d) внедрение новой инфраструктуры, оборудования или технологий, которые могут включать аппаратное или программное обеспечение;

e) включение новых подрядчиков, поставщиков, партнеров по цепи поставок или персонала, если это применимо.

Процедуры управления деятельностью/операциями должны:

a) обратить внимание на надежность, устойчивость, безопасность и здоровье людей, на защиту имущества и окружающей среды, потенциально подверженных разрушительному инциденту;

b) установить владельцев риска, обработки риска и мероприятий по управлению (как внутренних, так и внешних);

c) обеспечить, чтобы сигналы запроса были учтены при планировании мощностей;

d) гарантировать наличие процессов для проверки ответов поставщиков (например, проверить время восстановления предприятия/процесса/продукта);

e) быть соразмерными целям устойчивости цепи поставок и соответствовать их назначению;

f) обеспечить обратную связь, чтобы узнать, меняются ли стратегии управления рисками в рамках обычной разработки, или изменений процесса, или решений поставщика.

А.5.7 Предупреждение инцидента, готовность и реагирование

А.5.7.1 Общие положения

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры управления разрушительными инцидентами, которые могут оказать воздействие на организацию, ее деятельность, функции, услуги, цепь поставок, заинтересованные стороны и среду организации. Процедуры должны содержать документированную информацию, как организация будет предотвращать, защищать, готовиться, снижать, реагировать и восстанавливаться после разрушительных инцидентов. Организация должна подготовиться к фактическим разрушительным инцидентам и реагировать на них, чтобы предотвратить инцидент, минимизировать вероятность его возникновения или смягчить связанные с ним неблагоприятные последствия.

При разработке, внедрении и поддержании в рабочем состоянии процедуры для предотвращения, подготовки и реагирования на разрушительный инцидент организация оперативно должна рассмотреть каждое из следующих действий:

a) сохранение безопасности жизнедеятельности;

b) защита активов;

c) предотвращение дальнейшей эскалации разрушительного инцидента;

d) сокращение продолжительности нарушения/срыва в работе/операциях;

e) восстановление критической непрерывности работы;

f) восстановление нормальной деятельности/операций, включая оценку улучшений;

g) защита имиджа и репутации, включая освещение в СМИ и отношения с заинтересованными сторонами.

Организация должна периодически анализировать и, при необходимости, пересматривать свои процедуры по предупреждению инцидента, готовности, реагированию и восстановлению. В частности, после учений или возникновения аварий или инцидентов, которые могут перерасти в чрезвычайную ситуацию, кризис или бедствие.

Организация должна обеспечить, чтобы любое(ые) лицо(а), выполняющее(ие) мероприятия по предупреждению инцидента, защите, готовности и минимизации последствий, а также мероприятия реагирования и восстановления от своего имени, было(и) компетентным(и) на основе соответствующего образования, обучения и/или опыта. Соответствующие записи должны быть сохранены.

Организация должна документировать эту информацию и обновлять ее через регулярные промежутки времени или по мере изменения.

А.5.7.2 Предупреждение инцидента, готовность и структура реагирования

Организация должна разработать, задокументировать и внедрить процедуры и структуру управления для предотвращения, подготовки, смягчения и реагирования на разрушительное событие с использованием персонала, обладающего необходимыми полномочиями, опытом и компетенцией.

Структура предупреждения, готовности и реагирования для персонала должна предусматривать:

a) подтверждение характера и масштабов разрушительного события или потенциального воздействия, которое событие может оказать на организацию, ее цепь поставок, заинтересованные стороны;

b) инициирование соответствующих проактивных и реактивных мероприятий;

c) наличие планов, процессов и процедур для активации, эксплуатации, координации и обмена информацией, предупреждения, готовности и ответных мер;

d) наличие ресурсов, доступных для реализации планов, процессов и процедур для управления разрушительным событием или работой для минимизации воздействия до того, как оно возникает;

е) обмен информацией в цепи поставок с партнерами, заинтересованными сторонами и местными органами власти, а также со средствами массовой информации.

А.5.7.3 Предупреждение инцидента, защита и минимизация последствий

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры для предотвращения и защиты от разрушительного события, минимизации его последствий и продолжения своей деятельности на основе целей устойчивости, разработанных в процессе оценки риска.

Цели устойчивости разрабатываются посредством процесса оценки риска. Процедуры должны основываться на иерархии мероприятий по управлению, расположенных в приоритетном порядке, определенном на основе веро