Приложение А (справочное). Информационное руководство по интеграции настоящего стандарта в существующую систему менеджмента организации. Национальный стандарт РФ ГОСТ Р ИСО 28002-2019 "Системы менеджмента безопасности цепи поставок. Устойчивость цепи поставок. Требования и руководство по применению" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 23.12.2019 N 1434-ст)

Приложение А
(справочное)

Информационное руководство по интеграции настоящего стандарта в существующую систему менеджмента организации

А.1 Общие положения

Организации, внедряющие настоящий стандарт, обязаны интегрировать политику менеджмента устойчивости в систему менеджмента, основанную на цикле PDCA. Политика менеджмента устойчивости может быть одной из многих политик, принятых организацией при определении общей политики управления организацией. Политика менеджмента устойчивости становится вкладом в систему менеджмента организации. Разработку, внедрение, потребности в ресурсах и управление выполнением каждой корпоративной политики следует документировать в рамках систем менеджмента. В этом приложении содержится информационное руководство по включению элементов политики устойчивости в политику системы менеджмента на основе цикла PDCA. Если в систему менеджмента также включают другие политики, следует обратиться за соответствующим руководством.

А.2 Политика менеджмента устойчивости

Политика менеджмента устойчивости должна быть разработана и документирована в соответствии с требованиями настоящего стандарта. Политика должна быть добавлена к другим, уже существующим политикам по системам менеджмента.

А.3 Ответственность руководства

Руководство должно предоставить свидетельства вовлеченности в разработку, внедрение, реализацию, мониторинг, анализ, поддержание в рабочем состоянии и улучшение политики устойчивости посредством:

a) разработки политики менеджмента устойчивости;

b) обеспечения разработки целей и планов реализации политики менеджмента устойчивости;

c) установления ролей, компетенций, ответственности за выполнение функций менеджмента устойчивости;

d) назначения одного (или более) ответственного компетентного специалиста за политику менеджмента устойчивости с определением конкретных полномочий и ответственности за внедрение и поддержание системы менеджмента устойчивости;

e) информирования организации о важности выполнения целей менеджмента устойчивости и соответствия политике менеджмента устойчивости, ответственности за соблюдение нормативно-законодательных требований и необходимости постоянного улучшения;

f) выделения достаточных ресурсов для разработки, внедрения, реализации, мониторинга, анализа, поддержания в рабочем состоянии и улучшения менеджмента устойчивости;

g) определения критериев допустимого риска и допустимых уровней риска;

h) обеспечения проведения внутренних аудитов по политике менеджмента устойчивости;

i) проведения анализа со стороны руководства политики менеджмента устойчивости;

j) демонстрации вовлеченности в постоянное улучшение.

А.4 Планирование

А.4.1 Оценка рисков и мониторинг

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процесс оценки риска:

a) для идентификации рисков преднамеренных, непреднамеренных и естественных опасностей и угроз, которые могут иметь прямое или косвенное воздействие на деятельность, операции, функции и цепь поставок организации, человеческие, нематериальные и физические активы, природную среду и заинтересованные стороны;

b) для систематического анализа рисков (включая вероятность, уязвимость, критичность воздействия и последствия);

c) для идентификации рисков, имеющих значительные последствия для деятельности, функций, товаров и услуг, цепи поставок организации, отношений с заинтересованными сторонами, природной среды;

d) для систематической оценки и расстановки приоритетов управления рисками и обработки рисков и соответствующих затрат.

Организация должна:

a) документировать и сохранять эту информацию актуальной и конфиденциальной, если применимо;

b) с установленной периодичностью анализировать и пересматривать область распространения и политику менеджмента устойчивости, оценку рисков, оценку продолжающейся пригодности внешних и внутренних факторов среды организации;

c) гарантировать, что приоритетные риски учитывают при разработке, внедрении и функционировании системы менеджмента устойчивости;

d) проводить повторную оценку риска при изменении факторов среды организации, производственной среды, процедур, функций, услуг, сервисов, в партнерских соглашениях и цепи поставок;

e) разрабатывать критерии для оценки степени риска. Критерии должны отражать внутренние и внешние факторы среды организации, включая ценности, цели и ресурсы;

f) установить критерии для максимально допустимого времени простоя, целевого показателя времени восстановления, а также приемлемых уровней потерь, связанных с товарами, услугами и функциями организации и ее цепи поставок;

g) установить приоритетные сроки восстановления деятельности и функций внутри организации и по всей цепи поставок;

h) оценивать прямые и косвенные преимущества и затраты от вариантов снижения риска и повышения устойчивости и непрерывности.

А.4.2 Внутреннее и внешнее информирование и консультирование

В процессе оценки риска организация должна разработать, внедрить и поддерживать в рабочем состоянии документированный процесс обмена информацией и консультирования с заинтересованными сторонами и партнерами по цепи поставок, чтобы гарантировать, что:

a) риск адекватно идентифицирован;

b) понятны интересы заинтересованных сторон, зависимости и связи в цепи поставок;

c) оценку устойчивости и оценку риска проводят во взаимодействии с другими аспектами управления; а также

d) оценку риска проводят в рамках соответствующих факторов внутренней и внешней среды и параметров, относящихся к организации и ее цепи поставок.

А.4.3 Мониторинг и анализ процесса оценки риска

Организация должна разработать, внедрить, поддерживать в рабочем состоянии и документировать процесс мониторинга и анализа оценки рисков для:

a) актуализации оценки риска (при необходимости);

b) определения и оценивания влияния среды, внешних и внутренних факторов, предположений и других обстоятельств, которые могут меняться со временем, на оценку рисков;

c) оценки эффективности управления рисками и обработки рисков;

d) оценки фактической эффективности после инцидента.

А.4.4 Нормативно-законодательные и иные требования

Организация должна установить и поддерживать в рабочем состоянии процедуры для:

a) идентификации нормативно-законодательных и иных требований, которые относятся к организации и соотносятся с опасностями, угрозами и рисками, связанными с ее объектами, средствами, деятельностью, функциями, товарами, услугами, цепью поставок, средой и заинтересованными сторонами;

b) определения, насколько эти требования применимы к опасностям, угрозам, риску и их потенциальному воздействию и насколько эти требования выполняются.

Организация должна документировать данную информацию и поддерживать ее в актуальном состоянии.

Организация должна обеспечить, чтобы применимые нормативно-законодательные требования, которыми она руководствуется, учитывались при разработке, внедрении и поддержании в рабочем состоянии ее системы менеджмента устойчивости.

А.4.5 Цели и целевые показатели в области устойчивости

Организация должна разработать, внедрить и поддерживать в рабочем состоянии документированные цели и целевые показатели для управления рисками с целью предотвращения, избегания, сдерживания, смягчения, реагирования и восстановления после разрушительных инцидентов. Документированные цели и целевые показатели должны устанавливать внутренние и внешние ожидания для организации и ее цепи поставок, которые имеют решающее значение для выполнения миссии, доставки продуктов и услуг и функциональных операций.

Цели должны быть разработаны и согласованы с политикой менеджмента устойчивости и оценкой риска, включая обязательства по:

a) минимизации риска путем снижения вероятности его возникновения и тяжести последствий;

b) увеличению устойчивости посредством адаптивного, проактивного и ретроспективного подходов с учетом финансовых, функциональных (производственных) требований и требований бизнеса, включая цепь поставок;

c) соблюдению нормативно-законодательных и иных требований;

d) постоянному улучшению.

При разработке и пересмотре целей и целевых показателей организация должна учитывать нормативно-законодательные и иные требования, значительные риски, технологические возможности организации, финансовые, функциональные требования и требования бизнеса, мнения заинтересованных сторон и участников.

Целевой показатель должен быть измерен качественно и/или количественно. Целевые показатели должны соответствовать целям политики устойчивости и должны быть получены из целей политики устойчивости. Целевые показатели должны:

a) иметь соответствующий уровень детализации;

b) быть соразмерны оценке риска и установленным организацией срокам для восстановления;

c) быть конкретными, измеримыми, достижимыми, актуальными и основанными на времени (где это практически осуществимо);

d) быть доведены до сведения персонала и третьих сторон, включая подрядчиков и партнеров по цепи поставок, с намерением, чтобы эти лица были осведомлены о своих индивидуальных обязательствах;

e) периодически пересматриваться, чтобы гарантировать, что они остаются актуальными и соответствующими целям политики менеджмента устойчивости и своевременно корректируются.

А.4.6 Стратегические планы и программы для обеспечения устойчивости

Организация должна разработать, внедрить и поддерживать в рабочем состоянии одну и более стратегических программ для достижения целей и целевых показателей. Программы должны быть оптимизированы и расставлены по приоритетам для управления и снижения риска на основе вероятности его возникновения и тяжести последствий в виде нарушения/сбоя цепи поставок организации. Программа(ы) должна(ы) включать:

a) определение ответственности и ресурсов для достижения целей и целевых показателей в соответствии с функциями и уровнем в организации;

b) рассмотрение деятельности и функций организации, нормативно-законодательных требований, обязательств по договорам/контрактам и цепи поставок, потребностей заинтересованных сторон, соглашений о взаимопомощи и среды организации;

c) средства, временные рамки и распределение ресурсов, с помощью которых должны быть достигнуты цели менеджмента устойчивости, цели и целевые показатели устойчивости.

Организация должна разработать и поддерживать в рабочем состоянии один или более стратегических планов и программ для:

a) предупреждения и защиты - избегать, устранять, сдерживать, защищать или предотвращать вероятность разрушительных инцидентов и их последствий, включая удаление человеческих и физических активов из зоны риска;

b) минимизации последствий - минимизация воздействия разрушительного инцидента;

c) реагирования - первоначальная реакция на разрушительный инцидент, связанный с защитой людей и имущества от немедленного вреда. Первоначальная реакция руководства может быть частью первой реакции организации;

d) непрерывности - доступность процессов, средств управления и ресурсов для обеспечения того, чтобы организация продолжала выполнять свои критически важные бизнес-задачи и цели;

e) восстановления - возобновление процессов, ресурсов и возможностей организации для удовлетворения текущих операционных требований в течение периода времени, указанного в целях.

Организация должна оценивать свою стратегическую(ие) программу(ы), чтобы определить, создают ли эти мероприятия новые риски. Программы менеджмента устойчивости следует периодически пересматривать, чтобы обеспечить их эффективность и соответствие целям и целевым показателям. При необходимости в программы должны быть соответствующим образом внесены изменения.

А.5 Внедрение и функционирование

А.5.1 Ресурсы, обязанности, ответственность и полномочия в области менеджмента устойчивости

Обязанности, ответственность и полномочия должны быть определены, задокументированы и доведены до сведения, чтобы способствовать эффективному управлению устойчивостью в соответствии с политикой менеджмента устойчивости, целями, целевыми показателями и программами. Высшее руководство организации должно назначить конкретного представителя руководства, который, независимо от других обязанностей, должен выполнять определенные обязанности, иметь ответственность и полномочия для:

a) обеспечения, того, чтобы политика менеджмента устойчивости была разработана, внедрена, доведена до персонала и поддерживалась в рабочем состоянии в соответствии с требованиями настоящего стандарта;

b) идентификации и мониторинга требований и ожиданий партнеров и заинтересованных сторон цепи поставок организации и принятия соответствующих мер для управления этими ожиданиями;

c) обеспечения доступности необходимых ресурсов;

d) представления отчетов о выполнении политики менеджмента устойчивости высшему руководству для рассмотрения и в качестве основы для улучшений.

Организация должна создать:

a) систему менеджмента устойчивости, кризисное управление, группу(ы) реагирования с определенными ролями, конкретными полномочиями и необходимыми ресурсами для контроля возникновения инцидентов, предупреждения, обеспечения готовности, реагирования и восстановления;

b) логистические возможности и процедуры для поиска, приобретения, хранения, распространения, обслуживания, тестирования и учета услуг, персонала, ресурсов, материалов и средств, произведенных или переданных для поддержки системы менеджмента;

c) цели управления ресурсами персонала, оборудования, обучения, средств финансирования, страхования, контроля ответственности, экспертных знаний, материалов и временных рамок, в которых они будут необходимы из ресурсов организации и от любого партнера для соблюдения времени реагирования;

d) процедуры поддержки и информирования заинтересованных сторон, стратегических альянсов и взаимопомощи.

Организация должна разработать финансовую(ые) и административную(ые) процедуру(ы) для поддержания политики менеджмента устойчивости до момента возникновения инцидента, в ходе и после его возникновения.

Процедуры должны:

a) обеспечивать гарантию быстрого выполнения решений о выделении средств;

b) соответствовать установленным уровням полномочий и принципам бухгалтерского учета.

А.5.2 Компетентность, подготовка и осведомленность

Организация должна гарантировать, что любое лицо, выполняющее задачи, которое потенциально может предотвратить, вызвать, реагировать, снизить или влиять на значительные опасности, угрозы и риски, является компетентным (на основании соответствующего образования, обучения или опыта), с сохранением подтверждающих записей.

Организация должна определить компетенции и потребности в обучении, связанные с управлением опасностями, угрозами и рисками, характерными для организации, политикой менеджмента устойчивости, как внутри организации, так и по всей ее цепи поставок. Организация должна обеспечивать обучение и подготовку или предпринимать другие действия для удовлетворения этих потребностей с сохранением соответствующих записей.

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуру(ы), чтобы гарантировать, что все лица, работающие в организации или от ее имени, осведомлены:

a) о значительных опасностях, угрозах и рисках, которые связаны с их работой, потенциальных воздействиях, преимуществах лучшего выполнения работы;

b) о процедурах предупреждения инцидента, сдерживания, минимизации последствий, индивидуальной защиты, эвакуации, реагирования, поддержания непрерывности и восстановления;

c) о важности выполнения требований политики и процедур менеджмента устойчивости и требований системы менеджмента безопасности цепи поставок;

d) о своей обязанности и ответственности в достижении соответствия требованиям политики менеджмента устойчивости;

e) о потенциальных последствиях отклонений от указанных процедур; а также

f) о преимуществах улучшения персональных результатов работы.

Организация должна создать, продвигать и внедрить культуру менеджмента устойчивости в рамках организации и цепи поставок, которая:

a) обеспечивает, чтобы культура менеджмента устойчивости стала частью основных ценностей организации, цепи поставок и управления организацией в целом;

b) обеспечивает осведомленность партнеров по цепи поставок и заинтересованных сторон о политике менеджмента устойчивости и их обязанностей в любых планах по обеспечению устойчивости.

А.5.3 Информирование и оповещение

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры в отношении опасностей, угроз, рисков и политики менеджмента устойчивости для:

a) документирования, ведения записей, информирования об изменениях в документации, планах и процедурах, системе менеджмента, результатах оценки и анализа;

b) внутреннего обмена информацией между различными уровнями и функциями организации;

c) внешнего обмена информацией в рамках цепи поставок с другими партнерами и заинтересованными сторонами;

d) приема, документирования и ответа на информацию от внешних заинтересованных сторон;

e) адаптации и интеграции национальной или региональной консультативной системы по рискам и угрозам или ее эквивалента в планирование и оперативное использование в работе;

f) переноса обмена важной информацией и знаниями в цепи поставок между партнерами и заинтересованными сторонами;

g) предупреждения об опасности потенциального воздействия фактического или надвигающегося разрушительного инцидента заинтересованных сторон и партнеров в цепи поставок;

h) обеспечения доступности средств связи для информирования в кризисной ситуации нарушения/сбоя;

i) облегчения структурированного обмена информацией между респондентами, непосредственно находящимися в чрезвычайной ситуации;

j) обеспечения взаимодействия нескольких организаций-респондентов и персонала;

k) ведения записи значимой информации об инциденте, предпринятых действиях и принятых решениях;

l) работы средств коммуникаций.

Организация должна решить, исходя из целей безопасности жизнедеятельности, какие первоочередные задачи осуществлять по обеспечению устойчивости. Организация должна проконсультироваться с партнерами по цепи поставок и заинтересованными сторонами, чтобы решить, какую информацию предоставлять внешним заинтересованным сторонам о значительном риске. Данное решение организация должна документировать. Если решение состоит в том, чтобы сообщить информацию, организация должна разработать и внедрить метод(ы) для этого внешнего обмена информацией, передачи оповещений и сигналов тревоги (в том числе с помощью средств массовой информации).

Информирование о политике менеджмента устойчивости должно регулярно тестироваться.

А.5.4 Документирование

Документация политики менеджмента устойчивости должна включать:

a) политику менеджмента устойчивости, цели и целевые показатели;

b) описание области применения политики менеджмента устойчивости;

c) описание основных элементов политики менеджмента устойчивости и их интеграцию в соответствующие документы;

d) документацию, включая записи, требуемые настоящим стандартом;

e) документацию, включая записи, определенные организацией как необходимые для обеспечения эффективного планирования и управления процессами, относящимися к значительным рискам.

Организация должна оценить конфиденциальность информации и принять соответствующие меры для предотвращения несанкционированного доступа.

А.5.5 Управление документацией

Необходимо управление документацией, регламентируемой политикой менеджмента устойчивости. Записи представляют собой особый тип документа и должны управляться в соответствии с требованиями, приведенными в А.5.4.

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры с целью:

a) соблюдения нормативно-законодательных требований;

b) утверждения документов на предмет адекватности до момента их выдачи;

c) пересмотра, актуализации и повторного утверждения документов, при необходимости;

d) гарантии идентификации внесенных изменений и текущего статуса документов;

e) обеспечения наличия действующих версий в местах их применения;

f) установления параметров хранения, архивирования и утилизации;

g) уверенности в том, что документы остаются разборчивыми и легко идентифицируемыми;

h) гарантии того, что документы внешнего происхождения, определенные организацией как необходимые для планирования и осуществления политики менеджмента устойчивости, идентифицированы и их распределение контролируется;

i) определения способа хранения устаревших и неактуальных документов, которые организация должна хранить;

j) обеспечения целостности документов, гарантии их защищенности от несанкционированного доступа, надежного резервного копирования, доступа только для уполномоченного персонала и защиты от повреждения, порчи или потери.

А.5.6 Управление деятельностью

Организация должна определить те операции и действия, которые необходимы для достижения:

a) политики менеджмента устойчивости;

b) управления действиями, определенными как имеющие значительный риск;

c) соблюдения нормативно-законодательных требований;

d) целей политики менеджмента устойчивости;

е) выполнения программ политики менеджмента устойчивости; и

f) требуемого уровня устойчивости цепи поставок.

Организация должна разработать, внедрить и поддерживать в рабочем состоянии адаптивные и проективные планы и процедуры для тех операций, которые связаны с выявленными значительными рисками, включая политику менеджмента устойчивости, оценку риска, требования к цепи поставок, цели и целевые показатели, чтобы обеспечить их выполнение в указанных условиях, сводящих риск к минимуму, посредством:

a) разработки, внедрения и поддержания в рабочем состоянии процедур, относящихся к идентифицированным опасностям, угрозам и рискам в деятельности, функциях, товарах и услугах организации, обмене информацией о применимых процедурах и требованиях к цепи поставок и подрядчикам;

b) разработки, внедрения и поддержания в рабочем состоянии документированных процедур для управления ситуацией, при которой их отсутствие может привести к отклонению от политики менеджмента устойчивости, целей и целевых показателей;

c) проведения оценки любого риска на фазе предконтроля и фазе постконтроля деятельности в цепи поставок, внедрения и поддержания в рабочем состоянии документированной процедуры для минимизации вероятности и снижения тяжести последствий разрушительного инцидента;

d) разработки и поддержания в рабочем состоянии требований к товарам и услугам, которые оказывают воздействие на устойчивость, доведение информации до поставщиков;

e) обоснования критериев деятельности организации в документированных процедурах.

Эти процедуры должны включать средства управления для проектирования, установки, эксплуатации, восстановления элементов оборудования, связанных с устойчивостью, логистических потоков, контрольно-измерительных приборов и т.д., когда это применимо. В тех случаях, когда существующие договоренности пересматриваются и вводятся новые договоренности, которые могут воздействовать на устойчивость управления детальностью/операциями и видами деятельности, организация должна рассмотреть сопутствующие риски до реализации новых договоренностей.

Новые или пересмотренные соглашения должны включать:

a) актуализированную организационную структуру, обязанности или ответственность;

b) пересмотренную политику устойчивости, цели, целевые показатели и программы;

c) пересмотренные процессы и процедуры;

d) внедрение новой инфраструктуры, оборудования или технологий, которые могут включать аппаратное или программное обеспечение;

e) включение новых подрядчиков, поставщиков, партнеров по цепи поставок или персонала, если это применимо.

Процедуры управления деятельностью/операциями должны:

a) обратить внимание на надежность, устойчивость, безопасность и здоровье людей, на защиту имущества и окружающей среды, потенциально подверженных разрушительному инциденту;

b) установить владельцев риска, обработки риска и мероприятий по управлению (как внутренних, так и внешних);

c) обеспечить, чтобы сигналы запроса были учтены при планировании мощностей;

d) гарантировать наличие процессов для проверки ответов поставщиков (например, проверить время восстановления предприятия/процесса/продукта);

e) быть соразмерными целям устойчивости цепи поставок и соответствовать их назначению;

f) обеспечить обратную связь, чтобы узнать, меняются ли стратегии управления рисками в рамках обычной разработки, или изменений процесса, или решений поставщика.

А.5.7 Предупреждение инцидента, готовность и реагирование

А.5.7.1 Общие положения

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры управления разрушительными инцидентами, которые могут оказать воздействие на организацию, ее деятельность, функции, услуги, цепь поставок, заинтересованные стороны и среду организации. Процедуры должны содержать документированную информацию, как организация будет предотвращать, защищать, готовиться, снижать, реагировать и восстанавливаться после разрушительных инцидентов. Организация должна подготовиться к фактическим разрушительным инцидентам и реагировать на них, чтобы предотвратить инцидент, минимизировать вероятность его возникновения или смягчить связанные с ним неблагоприятные последствия.

При разработке, внедрении и поддержании в рабочем состоянии процедуры для предотвращения, подготовки и реагирования на разрушительный инцидент организация оперативно должна рассмотреть каждое из следующих действий:

a) сохранение безопасности жизнедеятельности;

b) защита активов;

c) предотвращение дальнейшей эскалации разрушительного инцидента;

d) сокращение продолжительности нарушения/срыва в работе/операциях;

e) восстановление критической непрерывности работы;

f) восстановление нормальной деятельности/операций, включая оценку улучшений;

g) защита имиджа и репутации, включая освещение в СМИ и отношения с заинтересованными сторонами.

Организация должна периодически анализировать и, при необходимости, пересматривать свои процедуры по предупреждению инцидента, готовности, реагированию и восстановлению. В частности, после учений или возникновения аварий или инцидентов, которые могут перерасти в чрезвычайную ситуацию, кризис или бедствие.

Организация должна обеспечить, чтобы любое(ые) лицо(а), выполняющее(ие) мероприятия по предупреждению инцидента, защите, готовности и минимизации последствий, а также мероприятия реагирования и восстановления от своего имени, было(и) компетентным(и) на основе соответствующего образования, обучения и/или опыта. Соответствующие записи должны быть сохранены.

Организация должна документировать эту информацию и обновлять ее через регулярные промежутки времени или по мере изменения.

А.5.7.2 Предупреждение инцидента, готовность и структура реагирования

Организация должна разработать, задокументировать и внедрить процедуры и структуру управления для предотвращения, подготовки, смягчения и реагирования на разрушительное событие с использованием персонала, обладающего необходимыми полномочиями, опытом и компетенцией.

Структура предупреждения, готовности и реагирования для персонала должна предусматривать:

a) подтверждение характера и масштабов разрушительного события или потенциального воздействия, которое событие может оказать на организацию, ее цепь поставок, заинтересованные стороны;

b) инициирование соответствующих проактивных и реактивных мероприятий;

c) наличие планов, процессов и процедур для активации, эксплуатации, координации и обмена информацией, предупреждения, готовности и ответных мер;

d) наличие ресурсов, доступных для реализации планов, процессов и процедур для управления разрушительным событием или работой для минимизации воздействия до того, как оно возникает;

е) обмен информацией в цепи поставок с партнерами, заинтересованными сторонами и местными органами власти, а также со средствами массовой информации.

А.5.7.3 Предупреждение инцидента, защита и минимизация последствий

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры для предотвращения и защиты от разрушительного события, минимизации его последствий и продолжения своей деятельности на основе целей устойчивости, разработанных в процессе оценки риска.

Цели устойчивости разрабатываются посредством процесса оценки риска. Процедуры должны основываться на иерархии мероприятий по управлению, расположенных в приоритетном порядке, определенном на основе вероятности возникновения кризисной ситуации. Процедуры следует разрабатывать для:

a) недопущения риска путем полного устранения воздействия риска;

b) снижения риска путем изменения видов деятельности, процессов, оборудования или материалов;

c) изолирования или удаления активов от риска;

d) работы технических средств контроля для обнаружения, сдерживания и задержки источника потенциальной опасности или угрозы;

e) административного контроля, который включает методы работы или процедуры, которые снижают риск;

f) защиты активов, если риск не может быть устранен или уменьшен.

А.5.7.4 Реагирование на инцидент

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры для управления разрушительным событием и продолжения деятельности, основываясь на целях восстановления, разработанных в процессе оценки риска. Организация должна документировать процедуры, включая механизм цепи поставок для обеспечения непрерывности деятельности и управления разрушительным событием.

Процедура(ы) должна(ы):

a) содержать конкретную информацию о первичных шагах, которые следует предпринять во время нарушения/срыва;

b) гибко реагировать на непредвиденные инциденты и изменение внутренних и внешних условий;

c) быть сосредоточена на воздействии различных опасностей и угроз, которые могут потенциально нарушать работу/операции, а не на конкретных событиях;

d) быть разработана на основе обоснованных предположений и анализа взаимозависимостей;

e) быть эффективна в минимизации негативных воздействий посредством реализации соответствующих планов минимизации последствий;

f) рассматривать управление процессом преобразования после инцидента, которое способствует возобновлению и восстановлению работы/операций.

Организация должна разработать документированные процедуры, в которых подробно описывается, как организация будет управлять разрушительным событием и как она будет восстанавливать или поддерживать свою деятельность на заранее определенном уровне, основываясь на утвержденных руководством целях восстановления.

Каждый план должен определять:

a) цель и область применения;

b) цели и критерии успеха;

c) порядок реализации процедуры с распределением ролей, обязанностей и полномочий;

d) требования и процедуры по обмену информацией;

e) внутренние и внешние взаимозависимости и взаимодействия;

f) потребности в ресурсах;

g) информационные потоки и процессы документирования.

Организация должна периодически тестировать/проверять, анализировать и, при необходимости, пересматривать планы обеспечения непрерывности и восстановления. В частности, это следует проводить после возникновения разрушительного события и связанного с ним анализа после события.

А.6 Контроль и корректирующие действия

А.6.1 Общие положения

Организация должна анализировать планы менеджмента устойчивости, процедуры и возможности посредством периодической оценки, тестирования/испытания, отчетов об инцидентах, извлеченных уроках, эффективности оценки и учений. Значительные изменения в этих факторах должны быть немедленно отражены в процедуре. Организация должна вести запись результатов периодических оценок.

А.6.2 Мониторинг и измерения

Организация должна разработать, внедрить и поддерживать в рабочем состоянии показатели результативности (KPI) и процедуры мониторинга и измерений для регулярного мониторинга и измерения тех характеристик своей деятельности, которые оказывают существенное воздействие на ее эффективность, включая партнерство и отношения в рамках цепи поставок.

Процедура(ы) должна(ы) включать документирование информации по мониторингу результатов деятельности (KPI), применимого оперативного контроля и соответствия целям и целевым показателям менеджмента устойчивости организации.

Организация должна оценивать и документировать результаты деятельности систем, которые защищают ее активы, также системы обмена информацией и информационные системы.

А.6.3 Оценка соблюдения и результатов деятельности системы

А.6.3.1 Оценка соблюдения

В соответствии со своим обязательством соблюдения организация должна установить, внедрить и поддерживать процедуру(ы) периодической оценки соответствия применимым нормативно-законодательным требованиям.

Организация должна оценить соответствие другим требованиям, которые относятся к ней, включая лучшие отраслевые практики. Организация может пожелать объединить эту оценку с оценкой соблюдения законодательства, упомянутой выше, или разработать отдельную процедуру.

Организация должна вести записи результатов периодических оценок.

А.6.3.2 Учения и тестирование/испытание

Организация должна испытывать и оценивать уместность и эффективность политики менеджмента устойчивости, программ, процессов и процедур, включая партнерство и отношения в рамках цепи поставок.

Организация должна провести валидацию политики менеджмента устойчивости с использованием учений и тестирований/испытаний, которые:

a) соответствуют области распространения системы менеджмента устойчивости и целям организации;

b) основаны на оценке риска и хорошо спланированы, с четко определенными целями и задачами;

c) минимизируют риск нарушений/срывов работы/операций и возможность возникновения риска для деятельности и активов;

d) завершаются по итогам оформлением официального отчета, содержащего результаты, рекомендации и меры для своевременного внедрения улучшений;

e) рассматриваются в контексте содействия постоянному улучшению;

f) проводятся с запланированными интервалами, определяемыми руководством организации, и, время от времени, без предварительного уведомления, а также в тех случаях, когда происходят существенные изменения в организации и среде, в которой она работает.

А.6.4 Несоответствия, корректирующие и предупреждающие действия

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры для устранения фактических и потенциальных несоответствий для принятия корректирующих и предупреждающих действий. Процедура(ы) должна(ы) определять требования для:

a) выявления и исправления несоответствия(ий) и принятия мер для смягчения их воздействия;

b) расследования несоответствий, определения их причин(ы), принятия мер во избежание их повторения;

c) оценки необходимости действий для предотвращения несоответствий и реализации соответствующих действий, направленных на предотвращение их возникновения;

d) выполнения корректирующих и предупреждающих действий;

e) записи результатов, предпринятых корректирующих и предупреждающих действий;

f) проверки результативности предпринятых корректирующих и предупреждающих действий.

Предпринимаемые действия должны соответствовать воздействию потенциальных проблем и проводиться в ускоренном порядке.

Организация должна идентифицировать измененные риски и определить требования к предупреждающим действиям, акцентируя внимание на значительно изменившихся рисках.

Приоритет предупреждающих действий следует определять на основании результатов оценки риска.

Организация должна вносить любые необходимые изменения в документацию политики менеджмента устойчивости.

А.6.5 Управление записями

Организация должна разработать и поддерживать в рабочем состоянии записи для демонстрации соответствия требованиям политики менеджмента устойчивости и достигнутых результатов.

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры защиты целостности записей, включая доступ, идентификацию, хранение, защиту, поиск и утилизацию записей.

Записи должны быть и оставаться разборчивыми, узнаваемыми и отслеживаемыми.

А.6.6 Внутренний аудит

Организация должна проводить внутренние аудиты политики менеджмента устойчивости через запланированные интервалы времени и на непериодической основе (по решению руководства), чтобы определить, соответствуют ли цели управления, элементы управления, процессы и процедуры политике менеджмента устойчивости. Это необходимо, чтобы определить:

a) соответствие требованиям данного стандарта и применимым нормативно-законодательным требованиям;

b) соответствие требованиям менеджмента рисков организации;

c) эффективное внедрение и поддерживание в рабочем состоянии;

d) ожидаемые результаты.

Программу аудита следует составлять с учетом статуса и важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов. Должны быть установлены критерии аудита, объем, периодичность и методы аудита. Выбор аудиторов и проведение аудитов должны обеспечивать объективность и беспристрастность процесса аудита. Аудиторы не должны проводить аудит своей собственной работы.

Ответственность и требования к планированию и проведению аудитов, а также к отчетности о результатах и ведению записей (см. А.6.5) должны быть определены в документированной процедуре.

Руководство, ответственное за проверяемую область, должно гарантировать, что действия для устранения обнаруженных несоответствий и их причин предпринимаются без неоправданной задержки. Последующие действия должны включать верификацию предпринятых действий и отчет о результатах проверки.

А.7 Анализ со стороны руководства

А.7.1 Общие требования

Руководство должно проводить анализ системы менеджмента безопасности через запланированные интервалы времени, чтобы обеспечить продолжающуюся пригодность, адекватность и результативность. Этот анализ должен включать оценку возможностей для улучшения, оценку необходимости изменений в системе менеджмента, включая политику и цели системы устойчивости. Результаты анализа должны быть четко задокументированы, должны вестись записи (см. А.6.5).

А.7.2 Входные данные для анализа со стороны руководства

Входные данные для анализа со стороны руководства должны включать:

a) результаты анализа отчетов аудитов и анализа политики менеджмента устойчивости;

b) обратную связь от заинтересованных сторон;

c) технологии, продукты или процедуры, которые можно использовать в организации для повышения результатов деятельности и эффективности системы менеджмента устойчивости;

d) статус корректирующих и предупреждающих действий;

e) результаты учений и тестирования/испытания;

f) уязвимость к угрозам, которые были неадекватно оценены в предыдущей оценке риска;

g) результаты измерений эффективности;

h) действия по результатам предыдущих анализов со стороны руководства;

i) любые изменения, которые могут повлиять на политику менеджмента устойчивости;

j) адекватность политики и целей;

k) рекомендации по улучшению.

А.7.3 Выходные данные анализа со стороны руководства

Выходные данные анализа со стороны руководства должны включать любые решения и действия, связанные:

a) с улучшением результативности политики менеджмента устойчивости;

b) с актуализацией оценки риска, готовности к инцидентам и планом реагирования;

c) с модификацией, при необходимости, процедур и элементов управления, которые влияют на риск, для реагирования на внутренние или внешние события, которые могут повлиять на политику менеджмента устойчивости, включая изменения в:

1) требованиях организации и деятельности;

2) требованиях по безопасности и снижению риска;

3) условиях функционирования процессов, влияющих на существующие требования к работе/деятельности;

4) нормативно-законодательных требованиях;

5) контрактных обязательствах;

6) уровне риска и критериях допустимого риска;

d) с потребностями в ресурсах;

е) с улучшением измерения эффективности управления.

А.7.4 Поддержание в рабочем состоянии

Высшее руководство должно установить определенную документированную программу поддержания системы менеджмента в рабочем состоянии, чтобы гарантировать, что любые внутренние или внешние изменения, которые воздействуют на организацию, рассматриваются в контексте политики менеджмента устойчивости. Должны быть идентифицированы любые новые критические действия, которые необходимо включить в программу поддержания системы менеджмента устойчивости в рабочем состоянии.

А.7.5 Постоянное улучшение

Организация должна постоянно повышать результативность системы менеджмента посредством использования политики менеджмента устойчивости, целей, результатов аудита, анализа наблюдаемых событий, корректирующих и предупреждающих действий и анализа со стороны руководства.