ГОСТ Р ИСО 28001-2019. Национальный стандарт РФ: "Системы менеджмента безопасности цепи поставок. Наилучшие практики осуществления безопасности цепи поставок, оценки и планов безопасности. Требования и руководство по применению" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 23.12.2019 N 1433-ст)

Security management systems for the supply chain. Best practices for implementing supply chain security, assessments and plans. Requirements and guidance

ОКС 03.100.01

Дата введения - 1 июля 2020 г.
Взамен ГОСТ Р 53662-2009 (ИСО 28001:2006)

Предисловие

1 Подготовлен Ассоциацией по сертификации "Русский Регистр" (Ассоциация Русский Регистр) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 Внесен Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. N 1433-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 28001:2007 "Системы менеджмента безопасности цепи поставок. Наилучшие практики осуществления безопасности цепи поставок, оценки и планов безопасности. Требования и руководство по применению" (ISO 28001:2007 "Security management systems for the supply chain - Best practices for implementing supply chain security, assessments and plans - Requirements and guidance", IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 Взамен ГОСТ Р 53662-2009 (ИСО 28001:2006)

Введение

Инциденты, связанные с нарушением безопасности международных цепей поставок, представляют собой угрозу международной торговле и экономическому росту государств, занятых в сфере торговли. Люди, грузы, инфраструктуры и оборудование, в том числе средства транспортировки, должны быть защищены от инцидентов, связанных с нарушением безопасности и их возможными разрушительными последствиями. Такая защита выгодна как экономике государств, так и обществу в целом.

Международные цепи поставок являются весьма динамичными и объединяют множество организаций и деловых партнеров. Настоящий стандарт признает всю сложность этой проблемы. Настоящий стандарт разработан с учетом того, чтобы отдельные организации могли применять его требования с учетом конкретной бизнес-модели своей организации, ее ролью и функцией в международной цепи поставок.

Настоящий стандарт обеспечивает возможность установить и документировать разумный уровень безопасности в рамках международных цепей поставок и их частей, что позволит организациям принимать более взвешенные с точки зрения риска решения в отношении их безопасности.

Настоящий стандарт является мультимодальным и предназначен для того, чтобы наряду и в дополнение к рамочным стандартам Всемирной таможенной организации обеспечить безопасность и облегчить мировую торговлю (основное). Его назначение не сводится к тому, чтобы охватить, заменить или отменить отдельные программы таможенных организаций, касающиеся безопасности цепи поставок и их требований по сертификации и валидации.

Использование настоящего стандарта должно способствовать установлению надлежащего уровня безопасности организации в рамках той (тех) части(ей) международной цепи поставок, которые она контролирует. Настоящий стандарт является также основой для определения или подтверждения уровня безопасности, существующего в рамках цепи(ей) поставок таких организаций, внутренними или внешними аудиторами или теми государственными учреждениями, которые выбирают использование такого соответствия настоящему стандарту и в качестве основы для принятия программ безопасности в своих цепях поставок. Клиенты, деловые партнеры, правительственные и другие организации могут обратиться с просьбой к организации, заявляющей о своем соответствии настоящему стандарту, пройти аудит или проверку для подтверждения такого соответствия. Государственные учреждения могут взаимно договориться о принятии оценок соответствия, выполненных другими правительственными организациями. В случае необходимости проведения аудита третьей стороной организация должна рассмотреть возможность привлечения стороннего органа по сертификации, аккредитованного компетентным органом, являющимся членом Международного форума по аккредитации (см. приложение С).

В задачу настоящего стандарта не входит дублирование государственных требований и рамочных стандартов безопасности цепи поставок Всемирной таможенной организации (ВТО). Организации, которые уже имеют сертификацию или валидацию взаимно признанными правительственными органами, отвечают требованиям настоящего стандарта.

Выходными данными настоящего стандарта должны быть:

- Заявление об области распространения, которое определяет границы цепи поставок, охватываемые планом обеспечения безопасности;

- Оценка безопасности, которая документирует уязвимость цепи поставок к определенным сценариям угрозы безопасности. А также описывает последствия, которые целесообразно предвидеть по каждому сценарию потенциальных угроз безопасности;

- План обеспечения безопасности, который описывает меры безопасности вместо управления сценариями угроз безопасности, выявленных при оценке безопасности;

- Учебные программы, определяющие уровень подготовки сотрудников службы безопасности, отвечающего за безопасность, для выполнения своих служебных обязанностей.

Для проведения оценки безопасности, необходимой для подготовки плана обеспечения безопасности, организация, использующая настоящий стандарт, должна идентифицировать предполагаемые угрозы (сценарии угроз безопасности), определить вероятные действия людей по каждому из сценариев угроз безопасности, выявленных при оценке безопасности, при возникновении инцидента безопасности.

Такого рода определение проводится путем анализа текущего состояния безопасности цепи поставок. Основываясь на выводах этого анализа выносится профессиональное заключение об уязвимости той или иной цепи по каждому из сценариев угрозы безопасности.

Если цепочка поставок по сценарию является недопустимо уязвимой в обеспечении угрозы безопасности, организация должна разработать дополнительные процедуры или функциональные оперативные изменения для снижения вероятности, последствий или того и другого. Эти изменения называются контрмерами. Контрмеры, исходя из системы приоритетов, должны быть включены в план обеспечения безопасности для снижения существующей угрозы до приемлемого уровня.

Приложения А и В являются наглядными примерами менеджмента риска, основанного на процессах безопасности и направленного на защиту людей, имущества и миссии международной цепи. Они облегчают макроподход в отношении комплексных цепей поставок и/или более дискретный подход к их частям.

Эти приложения также предназначены для портовых средств и других средств инфраструктуры или предприятия для того, чтобы:

- облегчить понимание, принятие и внедрение методологий, которые могут быть созданы самими организациями;

- служить руководством для основной линии по постоянному улучшению менеджмента безопасности;

- оказывать помощь организациям в управлении ресурсами для решения существующих и возникающих рисков безопасности;

- описать возможные способы оценки рисков и смягчения последствий угроз безопасности в цепи поставок, начиная с размещения сырья и хранения до изготовления и транспортировки готовой продукции к месту продажи.

В приложении С даны указания в отношении консультаций и сертификации по настоящему стандарту, если применяющая его организация выберет эту опцию.

1 Область применения

В настоящем стандарте приводятся требования и руководство для организаций, принимающих участие в международных цепочках поставок для того, чтобы:

- разработать и внедрить процессы безопасности цепи поставок;

- установить и документировать минимальный уровень безопасности в рамках цепи поставки(ок) или в какой-либо из ее частей;

- содействовать в достижении соответствия критериям, предъявляемым к уполномоченному экономическому оператору (УЭО), сформулированным в рамочных стандартах безопасности и облегчения мировой торговли Всемирной таможенной организации, и существующим законодательным и нормативным актам, регламентирующим обеспечение безопасности в цепи поставок;

- помочь в отношении определения соответствия критериям, установленным для уполномоченного экономического оператора (УЭО), изложенным в рамочных стандартах Всемирной таможенной организации, и национальным программам по безопасности цепи поставок.

Примечание - Только федеральный орган исполнительной власти по контролю и надзору в области таможенного дела может присвоить организации статус уполномоченного экономического оператора при условии ее соответствия требованиям в области обеспечения безопасности и охраны цепи поставок и наличия соответствующих подтверждающих документов.

В дополнение настоящий стандарт устанавливает требования к документации, по которой возможно проводить оценку соответствия.

Пользователи настоящего стандарта должны:

- определить часть международной цепи, в пределах которой они установили безопасность (см. 4.1);

- провести оценки уровня безопасности на эту часть цепи поставок и разработать адекватные контрмеры;

- разработать и внедрить план обеспечения безопасности цепи поставок;

- подготовить сотрудников службы безопасности в соответствии с их должностными обязанностями.

2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая любые изменения).

ISO 20858:2007, Ships and marine technology - Maritime port facility security assessments and security plan development (Суда и морские технологии. Оценка безопасности оборудования морских портов и разработка плана обеспечения безопасности)

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 уполномоченные должностные лица (appropriate law enforcement and other government officials): Должностные лица органов исполнительной власти и подведомственных им организаций, наделенные соответствующими полномочиями по решению вопросов в отношении цепи поставок или отдельных ее участков.

3.2 актив(ы) (asset(s)): Заводы, машинное оборудование, имущество, здания, подвижной состав, суда, воздушные суда, транспортные средства и другие элементы инфраструктуры или завода и связанные с ними системы, которые имеют особую и поддающуюся количественной оценке бизнес-функцию или услугу.

Примечание - Это определение включает в себя любую информационную систему, которая является неотъемлемой частью обеспечения безопасности и применения менеджмента безопасности.

3.3 уполномоченный экономический оператор (authorized economic operator): Участник внешнеэкономической деятельности, чья деятельность получила одобрение федерального органа исполнительной власти по контролю и надзору в области таможенного дела, как соответствующая нормам Всемирной таможенной организации или стандартам обеспечения безопасности цепи поставок.

Примечания

1 Уполномоченный экономический оператор - термин, определенный в рамочных стандартах Всемирной таможенной организации.

2 К уполномоченным экономическим операторам относятся в частности производители, импортеры, экспортеры, брокеры, перевозчики, консолидаторы, посредники, порты, аэропорты, операторы терминалов, интегрированные операторы, склады и дистрибьюторы.

3.4 деловой партнер (business partner): Те подрядчики, поставщики или провайдеры услуг, с которыми организация заключает договор об оказании помощи для выполнения своей функции в цепи поставок (3.15).

3.5 грузовая транспортная единица (cargo transport unit): Автотранспортное средство, железнодорожный грузовой вагон, грузовой контейнер, автоцистерна, железнодорожные цистерны или передвижные цистерны.

3.6 последствия (consequence): Гибель людей, экономический ущерб или ущерб имуществу, в том числе разрушение транспортных систем (которые можно предвидеть) в результате нападения на организацию в цепи поставок или использования цепи поставок в качестве оружия.

3.7 транспортное средство (conveyance): Реальный инструмент торговли, с помощью которого производится перемещение товаров.

Пример - Ящик, палета, грузовая транспортная единица, погрузочно-разгрузочное оборудование, грузовой автомобиль, судно, самолет и железнодорожный вагон.

3.8 контрмеры (countermeasures): Меры, предпринимаемые для снижения вероятности сценария угрозы безопасности в достижении его цели или предпринимаемые для уменьшения вероятных последствий сценария угрозы безопасности.

3.9 фаза контроля (custody): Период времени, когда организация в цепочке поставок непосредственно сама контролирует изготовление, обработку, погрузку и перемещение грузов и связанную с ним товаросопроводительную документацию цепи поставок.

3.10 фаза постконтроля (downstream): Погрузочно-разгрузочные работы, процессы и перемещение, когда товары в цепи поставок находятся вне сферы контроля этой организации.

3.11 товары (goods): Те изделия или материалы, которые после размещения заказа на поставку, должны быть изготовлены, обработаны, отгружены или перевезены в рамках цепи поставок для использования или их потребления покупателем.

3.12 международная цепь поставок (international supply chain): Цепь поставок, которая в какой-то момент пересекает международную или экономическую границу.

Примечания

1 Все части этой цепи считаются международными, начиная с размещения заказа на поставку по заключенному контракту до момента прохода таможенного контроля в стране назначения или в сфере экономики.

2 Если таможенная очистка груза из определенных стран или сфер экономики исключена из договоров или региональных соглашений, то конечным пунктом международной цепи поставок является порт страны назначения или сфера экономики, где товар, при отсутствии таможенных соглашений или договоров, должен будет пройти таможенную очистку.

3.13 вероятность (likelihood): Мера возможности превращения сценария угрозы безопасности в инцидент безопасности.

Примечание - Оценка вероятности выполняется, исходя из существующей устойчивости процессов безопасности в отличие от инцидента, связанного со сценарием угрозы безопасности, который рассматривается и выражается в качественном или количественном отношении.

3.14 система менеджмента (management system): Система организации для управления процессами или деятельностью, которая преобразует входные данные по ресурсам в продукцию или услугу, отвечающую целям организации.

Примечание - Цель настоящего стандарта не сводится к конкретизации систем менеджмента, т.е. стандарт не требует создания отдельной системы обеспечения безопасности. Примерами систем менеджмента являются ИСО 9001 (Система менеджмента качества), ИСО 14001 (Система экологического менеджмента), ИСО 28000 (Спецификация на системы менеджмента безопасности цепи поставок) и Международный кодекс по управлению безопасностью (МКУБ) Международной морской организации.

3.15 организация в цепи поставок (organization in the supply chain): Любое юридическое лицо, которое:

- производит, перемещает, обрабатывает, осуществляет погрузку, консолидацию, разгрузку или получение товара путем размещения заказа на покупку, который пересекает международную или экономическую границу;

- осуществляет транспортировку грузов в международной цепи поставок любым способом независимо от того, пересекает ли груз национальную (или экономическую) границы, или

- обеспечивает, управляет или осуществляет формирование, распределение или движение сопроводительной документации, используемой как таможенными органами, так и в бизнесе.

3.16 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

3.17 объем услуг (scope of service): Совокупность операций, которые выполняет организация в цепи поставок, и места, где она эти операции выполняет.

3.18 декларация безопасности (security declaration): Документально оформленное обязательство бизнес-партнера, где определены меры безопасности, осуществляемые этим бизнес-партнером и включающие, как минимум, способы защиты товаров и реальных инструментов международной торговли, связанной с ними информации, а также способы демонстрации и проверки мер безопасности.

Примечание - Она (декларация безопасности) должна использоваться организацией в цепи поставок для оценки адекватности мер по обеспечению безопасности грузов.

3.19 план обеспечения безопасности (security plan): Документ, содержащий запланированные мероприятия для обеспечения адекватного менеджмента безопасности.

Примечания

1 План составляется для обеспечения реализации тех мер, которые защищают организацию от инцидентов, нарушающих безопасность.

2 Такой план может быть включен в состав других оперативных планов.

3.20 безопасность (security): Устойчивость к умышленным действиям, направленным на причинение вреда или ущерба цепи или цепью поставок.

Примечание - Люди могут быть/не быть работниками данной организации.

3.21 инцидент в сфере безопасности (security incident): Любое действие или обстоятельство, которое порождает последствия (3.6).

3.22 сотрудники службы безопасности (security personnel): Те люди в организации цепи поставок, на которых возложены функции по обеспечению безопасности.

Примечание - Люди могут быть/не быть работниками данной организации.

3.23 конфиденциальная информация/конфиденциальные материалы (security sensitive information, security sensitive materials): Информация или материалы, подготовленные или включенные в процесс обеспечения безопасности цепи поставок и содержащие сведения о процессах, связанных с безопасностью, грузах, или правительственные директивы, которые не будут легкодоступны общественности и которые могут быть полезными тому, кто захочет спровоцировать инцидент безопасности.

3.24 цепь поставок (supply chain): Взаимосвязанный набор ресурсов и процессов, который начинается с оформления контракта на поставку, продолжается процессом получения сырья, производством, обработкой и заканчивается передачей товаров и относящихся к ним услуг конечному пользователю.

Примечание - Цепь поставок может включать в себя продавцов, производственное оборудование, логистических провайдеров, внутренние распределительные центры, дистрибьюторов, оптовиков и другие организации, участвующие в производстве, обработке, транспортировке и доставке грузов и связанных с ними услуг.

3.25 объект атаки (target): Персонал, транспортные средства, товары, материальные активы, производственные процессы и транспортировка, системы контроля или документооборота, существующие в рамках организации, задействованные в цепи поставок.

3.26 сценарий угрозы безопасности (security threat scenario): Способ, посредством которого может произойти потенциальный инцидент в сфере безопасности.

3.27 фаза предконтроля (upstream): Транспортировка, процессы и перемещение товаров, имеющие место до того, как организация принимает товар под свой контроль в цепи поставок.

3.28 Всемирная таможенная организация (ВТО) (World customs organization (WCO)): независимый межправительственный орган, чья миссия заключается в повышении результативности и эффективности таможенного администрирования.

Примечание - ВТО - единственная в мире межправительственная организация, компетентная в таможенных вопросах.

4 Основные положения

4.1 Заявление о применении

Организация должна описать в заявлении о применении ту часть международной цепи поставок, которая по ее утверждению соответствует настоящему стандарту. Заявление о применении должно, как минимум, включать следующую информацию:

a) подробное описание организации;

b) объем услуг;

c) фамилии и контактную информацию по всем бизнес-партнерам в рамках определенного объема услуг;

d) дату выполнения оценки безопасности и срок действия этой оценки и

e) подпись лица, уполномоченного подписать документ от имени этой организации.

Организации в цепи поставок могут распространить заявление о применении на другие части цепи, например, включая пункт конечного назначения.

4.2 Бизнес-партнеры

Если в рамках цепи поставок, описанных в заявлении о применении, организация пользуется услугами партнеров по бизнесу, то в соответствии с положениями 4.3 и 4.4 она должна потребовать от них предоставить декларацию по (обеспечению) безопасности.

Организация должна рассмотреть эту декларацию по безопасности при выполнении своей оценки безопасности и при необходимости потребовать принятия конкретных контрмер.

4.3 Международно признанные сертификаты или одобрения

Транспортные компании и владельцы транспортных средств, являющиеся держателями международно признанных сертификатов или одобрений, выданных во исполнение обязательных международных конвенций, регулирующих безопасность в различных транспортных секторах, должны иметь инструкции по безопасности, планы и процессы, которые отвечают применимым требованиям настоящего стандарта и не требуют проведения аудита для подтверждения их соответствия. Судоходным компаниям, владельцам судов и портового оборудования, свидетельства или одобрения должны выдаваться в соответствии с СОЛАС XI-2/4 либо с СОЛАС XI-2/10.

Согласно разделу 1 настоящего стандарта национальные таможенные органы могут потребовать от транспортных компаний и владельцев транспортных средств помимо наличия международно признанных сертификатов по безопасности или одобрений дополнительных мер по безопасности как условия для назначения компании УЭО.

4.4 Бизнес-партнеры, освобожденные от предоставления декларации по безопасности

Бизнес-партнеры, которые доказали организации, что они:

a) подтвердили соответствие настоящему стандарту или ИСО 20858;

b) подпадают под требования 4.3 или

c) были назначены в качестве УЭО-А национальным таможенным управлением в соответствии с ее программой безопасности цепи поставок, отвечающей требованиям рамочных стандартов безопасности ВТО (WCO SAFE Framework), должны быть указаны в заявлении о применении. В таких случаях у организации нет необходимости выполнять дополнительную оценку безопасности таких бизнес-партнеров или требовать от них предоставления декларации о безопасности.

4.5 Анализ безопасности бизнес-партнеров

За исключением бизнес-партнеров, перечисленных в 4.3 или 4.4, организация в цепи поставок должна проводить анализ процессов и оборудования своих партнеров для выяснения обоснованности представленных ими деклараций по безопасности. Объем и периодичность анализа должны определяться на основе анализа существующих рисков. Результаты проведенных анализов должны храниться в организации.

Примечание - В последующих пунктах в целях удобства восприятия организация, заявляющая о своем соответствии, включая те части ее поставок, которые находятся в ведении деловых партнеров, независимо от того, соответствует это или нет настоящему стандарту, именуется как "организация", если не требуется иное для однозначного понимания этого.

5 Процесс безопасности цепи поставок

5.1 Общие положения

Необходимо, чтобы организации, участвующие в международных цепях поставок и принявшие к действию настоящий стандарт, не только управляли безопасностью своей части цепочки, но также и имели на местах систему менеджмента для ее обеспечения. Настоящий стандарт требует наличия безопасных практик и/или процессов для обеспечения безопасности и их осуществления, в целях снижения риска в международной цепи поставок от той деятельности, которая может привести к инциденту безопасности.

Организации в цепи поставок, заявляющие о своем соответствии настоящему стандарту, должны иметь план обеспечения безопасности, основанный на результатах оценки безопасности и содержащий документально оформленные существующие меры безопасности и процедуры, а также по мере необходимости контрмеры, если это применимо к той части международной цепи поставок, которая включена в заявление о применении.

5.2 Идентификация области оценки безопасности

Область оценки безопасности должна включать все виды деятельности, выполняемые организацией, указанные в заявлении о применении (см. 4.1). Эта оценка должна проводиться с определенной периодичностью, а план обеспечения безопасности должен пересматриваться по мере необходимости. Результаты оценки должны быть документально оформлены и находиться на хранении в организации.

Оценка безопасности должна также охватывать информационные системы, документы и сети, относящиеся к погрузочно-разгрузочным работам и перемещению грузов во время нахождения их в этой организации. Существующие мероприятия безопасности должны с учетом 4.3 и 4.4 подлежать оценке на всех площадках и для бизнес-партнеров, где имеется вероятность уязвимости безопасности.

5.3 Проведение оценки безопасности

5.3.1 Оценка персонала

Лицо или группа лиц, выполняющих оценку безопасности, должны в совокупности обладать практическим опытом и знаниями, которые должны включать, но не ограничиваться только этим, следующее:

- методы оценки риска, применимые ко всем аспектам международной цепи поставок, с момента приема груза организацией под свой контроль до момента, когда груз выходит из-под контроля организации или покидает международную цепь поставок;

- использование соответствующих мер для недопущения несанкционированного вскрытия или доступа к материалам особой важности с точки зрения безопасности;

- операции и процедуры, применяемые при производстве, обработке, погрузочно-разгрузочных операциях, перевозке и/или связанные с документацией на товары, в зависимости от обстоятельств;

- понимание методики угрозы безопасности и методики подавления;

- соблюдение настоящего стандарта.

Имя (имена) лиц или членов группы, выполняющих оценку, а также их квалификация, должны быть документированы.

5.3.2 Процесс оценки

Организация должна установить, осуществлять и поддерживать процедуру(ы) по идентификации существующих контрмер для снижения угроз безопасности. Организация должна иметь перечень применяемых сценариев угроз безопасности, включая и те, которые одобряются соответствующими государственными органами. Если государственные органы не участвовали в проведении оценки, то это должно быть отражено документально.

Для каждого сценария угрозы безопасности организация должна оценить существующие контрмеры и определить вероятность и последствия, соответствующие каждому из сценариев, а также оценить необходимость дополнительных контрмер для снижения рисков безопасности до приемлемого уровня.

В соответствии с 4.2 организация должна проанализировать каждую из представленных бизнес-партнерами деклараций по безопасности и дать профессиональную оценку знаний объекта(ов) и/или требований регулирующего органа. При определении применимости декларации по безопасности организация также может получать и использовать любую другую доступную ей информацию.

При выполнении оценки безопасности и определении общей уязвимости цепи, описанной в заявлении о применении, организация должна проанализировать детали и пригодность каждой декларации.

Не следует подвергать дальнейшей оценке бизнес-партнеров, подпадающих под положения 4.3 или 4.4.

В процессе оценки должна быть документирована следующая информация:

a) все рассмотренные сценарии угроз безопасности;

b) процессы, использованные при оценке тех угроз, а также

c) все идентифицированные контрмеры и приоритеты.

5.4 Разработка плана обеспечения безопасности цепи поставок

Организации должны разработать и поддерживать план обеспечения безопасности для всей части цепи, описанной в своих заявлениях о применении. Такой план может быть разбит на приложения, в которых приводится описание безопасности каждого конкретного участка цепи поставок, включая меры безопасности бизнес-партнеров организации, подпадающие под положения 4.3 или 4.4, которые они должны поддерживать в соответствии со своими декларациями по безопасности. План/приложения должны также содержать информацию о том, каким образом организация будет контролировать и осуществлять периодический пересмотр этих деклараций по безопасности.

При разработке своих планов обеспечения безопасности организации должны анализировать и руководствоваться рекомендациями (указаниями), приведенными в справочных приложениях А и В.

5.5 Выполнение плана обеспечения безопасности цепи поставок

Организация должна разработать систему менеджмента, позволяющую внедрить ее специальные процессы обеспечения безопасности цепи поставок.

5.6 Документация и мониторинг процесса обеспечения безопасности цепи поставок

5.6.1 Общие положения

Организация должна разработать и поддерживать процедуры по документированию, мониторингу и измерению выполнения своей системы менеджмента, упомянутой выше. Организация должна периодически проводить плановые аудиты системы менеджмента для обеспечения уверенности, что система должным образом разработана и поддерживается. Результаты аудитов должны быть документированы и храниться в организации.

5.6.2 Постоянное улучшение

Организация должна выполнять оценку возможностей улучшения своих мероприятий по обеспечению безопасности как одного из средств повышения безопасности своей части цепи поставок.

5.7 Меры, которые необходимо проводить после инцидента в области безопасности

После любого инцидента, имеющего отношение к любой из частей международной цепи поставок, контролируемых организацией, данная организация должна провести анализ своего плана по обеспечению безопасности. Этот анализ должен:

a) определить причину инцидента и необходимое корректирующее действие;

b) определить результативность мер и процедур по обеспечению исправления положения в плане безопасности и

c) рассмотреть сделанные выводы, повторно оценить эти части цепи поставок в соответствии с 5.3.2.

В случае нарушения безопасности организация должна, в случае необходимости, руководствоваться существующими процедурами отчетности для таможенных и/или соответствующих правоохранительных органов, а также положениями, изложенными в плане по безопасности и в контрактных обязательствах.

Организация должна сохранять партию товара и другие необходимые данные цепи поставок в течение срока, предписанного действующими законами и нормативными актами.

5.8 Защитные меры по обеспечению безопасности информации

Планы по обеспечению безопасности, меры, процессы, процедуры и записи организации должны рассматриваться в качестве информации особой важности с точки зрения обеспечения безопасности и защиты от несанкционированного доступа или разглашения. Такая информация должна быть доступна только тем лицам, которым "необходимо знать". Кроме соответствующих правоохранительных должностных лиц или их номинантов, лицом, которому "необходимо знать", может быть:

a) лицо, которому необходим доступ к конкретной конфиденциальной информации по безопасности для проведения деятельности, включенной в план обеспечения безопасности;

b) лицо, проходящее подготовку для выполнения видов деятельности, приведенных в плане обеспечения безопасности;

c) лицо, осуществляющее контроль за деятельностью других лиц, осуществляющих ее в соответствии с планом обеспечения безопасности, или

d) лицо-участник либо действующее от имени участника, которому в соответствии с условиями контракта с данной организацией был предоставлен доступ к конфиденциальной информации, контролируемой организацией в соответствии с согласованными правилами и условиями.

Примечание - Если организация сертифицирована по ИСО 28001 третьей стороной - органом по сертификации, аккредитованным компетентным органом по аккредитации, или была сертифицирована или признана соответствующей требованиям ИСО 28001 взаимно признанными государственными органами, то согласованный договором доступ к конфиденциальной информации этой организации не может расцениваться в качестве обязательного и в любом случае будет зависеть от согласия организации. Тот факт, что ее особой важности информация по безопасности защищена от несанкционированного доступа или раскрытия, не освобождает организацию от инструктирования своих бизнес-партнеров и других лиц о механизмах и системах, связанных с безопасностью цепи поставок.

Библиография

[1]	ISO 9001:2000,	Quality management systems - Requirements (Система менеджмента качества. Требования)
[2]	ISO 14001:2004,	Environmental management systems - Requirements with guidance for use (Система экологического менеджмента. Требования и руководство по применению)
[3]	ISO 17021:2006,	Conformity assessment - Requirements for bodies providing audit and certification of management systems (Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента)
[4]	ISO/PAS 17712:2006,	Freight containers - Mechanical seals (Грузовые контейнеры. Устройства пломбировочные механические)
[5]	ISO 19011:2002,	Guidelines for quality and/or environmental management systems auditing (Руководящие указания по аудиту систем менеджмента)
[6]	ISO 20858:2004,	Ships and marine technology - Maritime port facility security assessments and security plan development (Судовые и морские технологии. Оценка безопасности оборудования морских портов. Разработка плана обеспечения безопасности)
[7]	ISO 28000:2007,	Specification for security management systems for the supply chain (Спецификация на системы менеджмента безопасности цепи поставок)
[8]	ISO 28003:2007,	Security management systems for the supply chain - Requirements for bodies, providing audit and certification of supply chain security management systems (Системы менеджмента безопасности цепи поставок. Требования к органам, осуществляющим аудит и сертификацию цепи поставок)
[9]	International Safety Management (ISM) Code, International Maritime Organization (Международный кодекс по управлению безопасностью (МКУБ))
[10]	SAFE Framework of Standards - Appendix to Annex 1, World Customs Organization (Рамочные стандарты по безопасности. Дополнение к Приложению 1, ВТО)