Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО 28001-2019 "Системы менеджмента безопасности цепи поставок. Наилучшие практики осуществления безопасности цепи поставок, оценки и планов безопасности. Требования и руководство по применению" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. N 1433-ст)
- Приложение А (справочное). Процесс обеспечения безопасности цепи поставок
Приложение А (справочное). Процесс обеспечения безопасности цепи поставок
Приложение А
(справочное)
Процесс обеспечения безопасности цепи поставок
А.1 Общие положения
Настоящее приложение представляет собой руководство по разработке процесса обеспечения безопасности цепи поставок, которое может быть внедрено в организации, имеющей систему менеджмента. Рисунок А.1 представляет графическое описание такого процесса.
Рисунок А.1 - Графическое описание процесса безопасности цепи поставок
А.2 Модель зрелости
Оценка безопасности представляет собой попытку выявить риски, связанные с безопасностью части цепи поставок организации в соответствии с ее заявлением о применении, желанием привести ее в соответствие с настоящим стандартом. Для выполнения такой оценки необходимо установить границы области применения (как физические, так и виртуальные).
А.3 Подробная самооценка элементов
А.3.1 Общие положения
С помощью квалифицированного персонала следует выполнить оценку мероприятий обеспечения безопасности во всех местах, где существует потенциальная уязвимость, которые должны включать, но не ограничиваться следующим:
- места производства товаров, их обработки или погрузочных работ до помещения их на транспортную единицу, укладки на поддоны для транспортировки или подготовки к их отгрузке иным образом;
- места хранения подготовленных к отправке товаров или складирования товара до его транспортировки;
- места перевозки грузов;
- места погрузки/выгрузки на/с транспортного средства;
- места смены ответственности по контролю за грузом;
- места, где документация или информация, касающаяся перевозимых товаров, обрабатывается, подготавливается или становится доступной;
- направления транспортных маршрутов внутри страны и различные виды перевозочных средств, используемых при транспортировке;
- иные.
А.3.2 Опросный лист анализа функционирования
Рассматриваемый опросный лист анализа функционирования представляет собой пример системного подхода к анализу существующих мероприятий по обеспечению безопасности.
Следует, чтобы те части анализа, которые относятся к бизнес-партнерам, доказавшим данной организации, что они:
a) подтвердили соответствие настоящему стандарту или ИСО 20858;
b) подпадают под положения 4.3 или
c) были назначены в качестве УЭО в соответствии с программой национального таможенного агентства по безопасности цепи поставок, которая по определению должна соответствовать рамочным стандартам ВТО по безопасности, содержали ссылку на то, как этот фактор был учтен, например соответствует настоящему стандарту, ИСО 20858 или Кодексу ОСПС.
А.3.3 Анализ функционирования
Ниже, в таблице А.1, приводится опросный лист анализа функционирования, который можно заполнить и учитывать при выполнении оценки уровня безопасности для организации в цепи поставки. Этот перечень не является всеобъемлющим и может быть адаптирован с учетом оценки риска и бизнес-модели организации. Если приведенный показатель уже выполняется в организации в цепи поставок, тогда подлежит проверке блок "Да". Если не выполняется или выполняется частично, то проверке подлежит блок "Нет" и, где применимо, в колонке "Комментарии" следует привести объяснение, описывающее применение других альтернативных мер или ссылку на то, что вероятность риска очень низкая. Если показатель не применяется или находится вне области распространения Заявления о применении организации, тогда в разделе "Комментарии" должна быть сделана пометка "Не применяется" (NA). Пункты перечня, которые не могут быть выполнены в силу применяемых законов/нормативных документов, следует пометить в колонке "Комментарии" как запрещенные.
Таблица А.1 - Опросный лист анализа функционирования
|
Фактор анализа |
Да |
Нет |
Комментарии |
|
Управление безопасностью цепи поставок | |||
|
Имеет ли организация систему менеджмента, которая занимается вопросами безопасности цепи поставок? |
|
|
|
|
Есть ли в организации лицо, отвечающее за безопасность цепи поставок? |
|
|
|
|
План обеспечения безопасности | |||
|
Имеет ли организация(и) текущии(е) план(ы) по обеспечению безопасности? |
|
|
|
|
Обращен ли данный план к ожиданиям организации в части безопасности и ожиданиям бизнес-партнеров по восходящему и нисходящему потокам? |
|
|
|
|
Имеет ли организация антикризисное управление, целостность бизнеса и план восстановления безопасности? |
|
|
|
|
Безопасность (активов) | |||
|
Располагает ли организация на местах мерами, направленными на: - физическую безопасность зданий; - мониторинг и контроль внешних и внутренних периметров; - наличие приборов контроля, препятствующих несанкционированному доступу к оборудованию, транспортным средствам, эстакадам под загрузку-разгрузку, погрузочным и грузовым отсекам, а также административного контроля за выдачей удостоверения личности (работнику, посетителю, продавцу и т.д.) и других средств контроля? |
|
|
|
|
Существуют ли технологии оперативной безопасности, которые значительно усиливают защиту имущества? Например, обнаружение проникновения или система камер записи видеонаблюдения/слежения, которые охватывают зоны, имеющие важное значение для функционирования цепи поставок, причем записи хранятся довольно длительный период времени, позволяющий их использовать при расследовании в случае инцидента |
|
|
|
|
Существуют ли на местах протоколы о контактах сотрудников внутренней службы безопасности или внешних правоохранительных органов в случае нарушения безопасности? |
|
|
|
|
Существуют ли процедуры, позволяющие ограничить, обнаружить и сообщить о несанкционированном доступе ко всем складским помещениям и транспортным средствам? |
|
|
|
|
Удостоверяется личность лиц, доставляющих или получающих груз до его погрузки-выгрузки? |
|
|
|
|
Обязанности сотрудников службы безопасности | |||
|
Есть ли в организации процедуры оценки добросовестности работников до их трудоустройства и периодической оценки их отношения к своим обязанностям, связанным с безопасностью? |
|
|
|
|
Проводит ли организация соответствующую подготовку для оказания помощи работникам при выполнении ими своих функций по обеспечению безопасности, например сохранность целостности груза, выявление потенциальной внутренней угрозы для безопасности, защита и контроль доступа? |
|
|
|
|
Ставит ли компания в известность своих работников о наличии процедур для передачи ими информации о подозрительных инцидентах? |
|
|
|
|
Регистрируется ли системой контроля доступа немедленное изъятие у работника компании просроченного удостоверения личности, а также доступ к конфиденциальной информации и к информационным системам? |
|
|
|
|
Информационная безопасность | |||
|
Существуют ли процедуры для обеспечения того, чтобы вся используемая информация по обработке груза как в электронном, так и в рукописном виде была отчетливой, своевременной, точной и защищенной от исправления, утери или внесения неверных данных? |
|
|
|
|
Проводит ли организация сверку документов на отгрузку или на получение груза с соответствующей товаросопроводительной документацией? |
|
|
|
|
Обеспечивает ли организация точность и своевременность передачи информации на груз, полученной от деловых партнеров? |
|
|
|
|
Защищены ли соответствующие данные за счет использования систем хранения данных, не зависящие от работы основной системы обработки данных (есть ли на местах резервное дублирование данных)? |
|
|
|
|
Все ли пользователи имеют уникальный идентификатор (идентификатор пользователя), необходимый для личного и единственного использования, с помощью которого можно проследить за их деятельностью? |
|
|
|
|
Эффективна ли система управления паролями, используемыми для аутентификации пользователей, и должны ли пользователи, как минимум, раз в год менять свои пароли? |
|
|
|
|
Есть ли защита от несанкционированного доступа и злоупотребления информацией? |
|
|
|
|
Безопасность товаров и их транспортировки | |||
|
Существуют ли процедуры, позволяющие ограничить, обнаружить и сообщить о несанкционированном доступе к местам транспортировки, местам проведения погрузки-выгрузки и хранению грузов в закрытых транспортных средствах? |
|
|
|
|
Квалифицированные ли лица назначаются для контроля грузовых операций? |
|
|
|
|
Существуют ли процедуры для уведомления соответствующих правоохранительных органов в тех случаях, когда организацией обнаруживаются или предполагаются какие-то нарушения или нелегальная деятельность? |
|
|
|
|
Существуют ли в организации процедуры по обеспечению целостности товара/груза, когда эти товары/грузы передаются другой организации (транспортные услуги, центр по консолидации, использование смешанных видов транспорта и т.п.) в цепи поставок? |
|
|
|
|
Существуют ли на местах процессы для отслеживания изменений уровня угрозы по ходу транспортных маршрутов? |
|
|
|
|
Существуют ли правила безопасности, процедуры и руководящие указания, предназначенные для транспортных диспетчеров (например, недопущение опасных маршрутов)? |
|
|
|
|
Закрытые грузовые транспортные единицы | |||
|
Рамочные стандарты безопасности ВТО включают в себя "Программу целостности пломбы", описанную в дополнении к приложению 1, которое устанавливает процедуры, касающиеся установки и проверки пломб повышенной секретности и/или других устройств для препятствия доступа. Персоналу, заполняющему эту форму, следует ознакомиться с данным дополнением рамочных стандартов |
|
|
|
|
Если используются закрытые грузовые транспортные единицы, то имеются ли на местах документально оформленные процедуры для установки и регистрации механических пломб высокого уровня секретности, отвечающие требованиям ИСО/PAS 17712 и/или другие устройства для пломбирования, выдаваемые стороне, производящей загрузку грузовой транспортной единицы? |
|
|
|
|
Если используются закрытые грузовые транспортные единицы, то имеются ли на местах документально оформленные процедуры проверки на наличие признаков вскрытия пломб при смене транспорта при отгрузке? |
|
|
|
|
Если используются закрытые грузовые транспортные единицы, то проводится ли стороной, производящей загрузку, его проверка на чистоту непосредственно перед загрузкой? |
|
|
|
|
Если используются закрытые грузовые транспортные единицы, то имеются ли на местах документально оформленные процедуры по проведению проверки стороной, производящей загрузку непосредственно перед их заполнением, физической целостности, в том числе надежности запорных механизмов транспортной единицы? Рекомендуется проводить инспекцию по семи пунктам: - передняя стенка; - левая сторона; - правая сторона; - пол; - потолок/крыша; - внутри/снаружи перекрытия; - наружная часть/шасси |
|
|
|
А.3.4 Сценарии угроз безопасности
При выполнении оценки безопасности необходимо рассмотреть сценарии угрозы безопасности, не ограничиваясь только теми, которые перечислены в таблице А.2. Оценка безопасности должна также учитывать и другие сценарии, которые могут быть определены государственными органами, руководством организации или профессионалом(ами) в области безопасности, занимающимися выполнением оценки.
Таблица А.2 - Сценарии угроз безопасности
|
Сценарии и угрозы безопасности |
Возможные последствия |
|
1 Вмешательство и/или взятие под контроль собственности (включая транспорт) в рамках цепи поставок |
Порча/уничтожение собственности (в том числе транспорта) в рамках цепи поставок. Порча/уничтожение вне целевого использования собственности или товаров. Причина - гражданские волнения или беспорядки экономического характера. Захват заложников/убийство людей |
|
2 Использование цепи поставок, как средства борьбы с контрабандой |
Незаконный ввоз оружия в страну или вывоз из страны/экономика. Терроризм в стране или за пределами страны/экономика |
|
3 Фальсификация информации |
Получение локального или удаленного доступа к системам информации/документации цепи поставок для нарушения операций или содействия незаконной деятельности |
|
4 Целостность груза |
Саботаж и/или хищение в террористических целях |
|
5 Несанкционированный доступ |
Проведение операций в международной цепи поставок для содействия террористическим инцидентам, в том числе использование способа транспортировки в качестве оружия |
|
6 Прочее |
|
А.4 Использование инструментов для самооценки
А.4.1 Общие положения
План обеспечения безопасности и/или приложения необязательно должен представлять собой самостоятельные документы, они могут быть включены в оперативные планы или процедуры. Если план обеспечения безопасности включен в другие планы организации, то в этом случае, чтобы убедиться в соблюдении всех требований плана обеспечения безопасности, в них должна быть включена и таблица с перекрестными ссылками.
План может быть разделен на приложения, каждое из которых описывает безопасность конкретного участка цепи поставок, включая те меры безопасности, за безопасность которых должны нести ответственность их бизнес-партнеры в соответствии с их декларациями (если применимо). Этот план/приложения должны также содержать четкие указания на то, каким образом организация будет осуществлять мониторинг или периодический пересмотр их деклараций по безопасности. План обеспечения безопасности/приложения должны включать, но не ограничиваться, описанием следующего:
- участка цепи поставок, рассматриваемой данным планом или приложением;
- должностных обязанностей, связанных с обеспечением безопасности для всех сотрудников службы безопасности;
- структуры менеджмента безопасности, включая персональные данные лица, назначенного в качестве менеджера по безопасности;
- внутренней и внешней контактной информации по чрезвычайным ситуациям, которая должна использоваться персоналом в отчетности по инцидентам, связанным с безопасностью;
- навыков и знаний, которыми должны обладать сотрудники службы безопасности;
- учебных программ по безопасности;
- процесса аттестации лиц, назначенных для выполнения установленных обязанностей по обеспечению безопасности, способствующего овладению необходимыми навыками и знаниями для выполнения своих функциональных обязанностей;
- как реализуются элементы плана обеспечения безопасности. Для удовлетворения этих требований могут быть использованы: участие в запуске государственной программы по подготовке в области безопасности или обучение персонала организации;
- процессов, отвечающих, как минимум, требованиям безопасности, введенным правительством на непредвиденные обстоятельства или для повышения уровня безопасности.
План обеспечения безопасности должен содержать процедуры, включающие, но не ограничивающиеся только мерами, которые, как минимум:
- обеспечивают получение информации об отгрузке товаров до того, как перевозимые грузы принимаются организацией для их дальнейшей транспортировки;
- обеспечивают, что полученные организацией товары/грузы для их консолидации/деконсолидации, сверены с информацией на товары/грузы, указанные в судовых документах/списке. Отправка товарных/грузовых единиц должна быть сверена с приказом на поставку или с распоряжением о выдаче товара/или части груза по коносаменту со склада;
- обеспечивают надлежащую идентификацию водителей, доставляющих или получающих товары/грузы до получения ими или отгрузки товаров или грузовых единиц;
- обеспечивают надлежащую идентификацию не только непосредственно водителей транспортных средств, но и их пассажиров;
- обеспечивают, что любые недостачи/излишки, а также другие существенные расхождения или отклонения от норм устранены и/или должным образом расследуются, а соответствующие правоохранительные органы уведомлены об обнаружении незаконной или подозрительной деятельности (в зависимости от обстоятельств);
- описывают любые контрмеры и процедуры, которые были осуществлены в этой части цепи;
- описывают любые контрмеры и процедуры, которые были осуществлены в этой части цепи поставок для восстановления ее безопасности в случае инцидента;
- описывают процедуры по предоставлению уполномоченному персоналу дополнительной информации о перевозимых товарах. Она должна включать способ определения пользователем законности запроса о предоставлении дополнительной информации и как/какая информация должна быть предоставлена;
- описывают процедуры, установленные в соответствии с А.4.3.
А.4.2 Документация
Организация должна хранить в безопасном месте самые последние версии следующей документации:
- заявлений о применении;
- выполненную оценку безопасности;
- имена и данные по квалификации персонала, выполнявшего оценку безопасности;
- перечень всех рассмотренных контрмер;
- декларации безопасности;
- план обеспечения безопасности и при необходимости приложения;
- записи о проведенных учебных тренировках с указанием тематик, задействованного персонала и дат проведения;
- другая информация, предусмотренная нормативными документами и руководством.
А.4.3 Связь
Организации следует установить, по мере целесообразности, контакт с соответствующими правоохранительными и другими государственными должностными лицами в следующих целях:
- установление процедур, которым надлежит следовать в случае фальсификации или подозрения на фальсификацию товара/груза или в чрезвычайных ситуациях, а также в случае получения угроз, касающихся международной цепи поставок. Эти процедуры должны, если это предусмотрено, включать конкретные телефонные номера, по которым следует звонить в соответствующие правительственные учреждения. Эти процедуры должны быть включены в план обеспечения безопасности цепи поставок;
- участие (при необходимости) в консультациях, проводимых соответствующими государственными должностными лицами на национальном и местном уровнях, для обсуждения вопросов, представляющих взаимный интерес, в том числе таможенных правил и процедур, а также требований по обеспечению безопасности помещений и груза;
- реагирование на государственные информационно-пропагандистские усилия и внесение своего вклада в диалог, обеспечивающий понимание того, что план обеспечения безопасности организации остается актуальным и эффективным.
Если соответствующие правоохранительные и другие государственные должностные лица не хотят участвовать в таком диалоге, организации следует документировать свою попытку(и) и констатировать, что соответствующие правоохранительные и другие правительственные чиновники не принимали участия в диалоге.
А.5 Реализация плана обеспечения безопасности
Внедрение нового или пересмотренного плана обеспечения безопасности представляет собой изменение в оперативной практике и должно осуществляться в соответствии с системой менеджмента организации для обеспечения того, что в наличии есть надлежащие ресурсы, влияние на другие операции является управляемым, а результативность плана контролируется и оценивается.
А.6 Документация и мониторинг процесса обеспечения безопасности
Организации следует установить и поддерживать процедуры по мониторингу и оценке деятельности своей системы менеджмента безопасности в целях обеспечения ее продолжающей стабильности, адекватности и результативности. При определении частоты измерения и мониторинга ключевых параметров эффективности организации следует рассмотреть угрозы и риски, связанные с безопасностью, в том числе механизмы потенциального ухудшения и их последствия.
А.7 Постоянное улучшение
Руководству организации при оперативном управлении своей части цепи поставок следует провести анализ системы менеджмента безопасности для оценки возможностей ее улучшения и необходимости внесения в нее изменений.