ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
|
|
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
|
ГОСТ Р
53662-
2009
(ИСО 28001:2006)
|
Система менеджмента безопасности цепи поставок
НАИЛУЧШИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК
ОЦЕНКИ И ПЛАНЫ
ISO 28001:2006
Security management systems for the supply chain -
Best practices for implementing supply chain security - Assessments and plans
(MOD)
|
Москва
Стандартинформ
2010
|
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правилаприменения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Служба морской безопасности» (ФГУ «СМБ») на основе собственного аутентичного перевода на русскийязык стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. №1027-ст
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. № 1027-ст
4 Настоящий стандарт является модифицированным по отношению к международному стандарту ИСО 28001:2006 «Системы менеджмента безопасности цепи поставок.Наилучшие методы обеспечения безопасности цепи поставок. Оценки и планы». (ISO 28001:2006 «Security management systems for the supply chain - Best practices for implementing supply chain security - Assessments and plans») путем изменения отдельных фраз (слов, значений показателей, ссылок), которые выделены в тексте курсивом.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения его в соответствие с ГОСТ Р 1.5 (раздел3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандартыРоссийской Федерации, сведения о которых приведены в дополнительном приложении D
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений ипоправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандартасоответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация,уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническомурегулированию и метрологии в сети Интернет
Содержание
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Основные положения
4.1 Паспорт участка цепи поставок
4.2 Деловые партнеры
4.3 Свидетельства о соответствии, принятые в международной практике
4.4 Деловые партнеры, освобождаемые от предъявления Декларации об охране
4.5 Анализ состоятельности обеспечения безопасности деловых партнеров
5 Процесс обеспечения безопасности и охраны цепи поставок
5.1 Общие положения
5.2 Определение масштабов оценки уязвимости (охраны)
5.3 Проведение оценки уязвимости (охраны)
5.4 Разработка Плана обеспечения безопасности (охраны) цепи поставок
5.5 Реализация Плана обеспечения безопасности (охраны) цепи поставок
5.6 Документирование и мониторинг процессов обеспечения безопасности и охраны цепи поставок
5.7 Меры, принимаемые после реализации акта незаконного вмешательства
5.8 Защита информации по обеспечению безопасности и охраны
Приложение А (справочное) Процесс обеспечения безопасности и охраны цепи поставок
Приложение В (справочное) Методика проведения оценки рисков и выработки контрмер
Приложение С (справочное) Руководство по оказанию помощи и сертификации
Приложение D (обязательное) Сведения о соответствии ссылочных национальных и межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте
Библиография
|
Введение
Акты незаконного вмешательства, направленные против цепи поставок, создают угрозу торговым отношениям и экономической стабильности страны. Население, товары,объекты транспортной инфраструктуры, включая транспортные средства, должны защищаться от актов незаконного вмешательства и их потенциальных воздействий. Такаязащищенность способствует развитию экономики и общества в целом.
Высокодинамические международные цепи поставок включают в себя множество организаций и деловых партнеров. Принимая во внимание всю сложность существующихцепей поставок, настоящий стандарт позволяет применять требования в отношении обеспечения безопасности и охраны для отдельных организаций, согласуясь схарактерными особенностями, деловыми обязанностями и функциями во всей цепи поставок.
Стандарт - выбор для организаций в применении и документировании разумного уровня обеспечения безопасности и охраны в пределах цепи поставок и их узловыхэлементов, а также в принятии обоснованных решений по предотвращению угроз и уменьшению рисков.
Стандарт мультимодален и призван взаимодействовать с Рамочными стандартами безопасности и облегчения мировой торговли [1] Всемирной таможенной организации.Он не является попыткой замены или вытеснения существующих требований в области таможенного законодательства.
Требования настоящего стандарта применяются на добровольной основе. Стандарт помогает организациям в установлении адекватного уровня обеспечения безопасности иохраны в пределах контролируемого организацией участка цепи поставок. Стандарт может использоваться органами по сертификации при проведении аудитов на соответствиесуществующего уровня обеспечения безопасности и охраны и выдаче необходимых документов организациям, которые заявляют о своем соответствии требованиямнастоящего стандарта. Клиенты, деловые партнеры, а также федеральные органы исполнительной власти могут потребовать от организации подтверждения соответствия ихсистемы менеджмента обеспечения безопасности и охраны требованиям настоящего стандарта. При проведении аудитов третьей стороной следует принимать во вниманиеаккредитацию органов по сертификации, упомянутую в приложении С.
Результатом применения настоящего стандарта является следующее:
- Паспорт участка цепи поставок, определяющий пределы цепи поставок, охватываемые Планом обеспечения безопасности (охраны) цепи поставок;
- Отчет об оценке уязвимости (охраны) как документ, содержащий перечень уязвимых мест цепи поставок с определением сценариев угроз и описанием ожидаемыхвоздействий по каждому виду потенциальной угрозы;
- План обеспечения безопасности (охраны), описывающий мероприятия по управлению угрозами безопасности, выявленными в ходе проведения оценки уязвимости(охраны);
- программы подготовки, описывающие порядок проведения учений и тренировок персонала, ответственного за охрану (службы охраны), по выполнению своихобязанностей в области обеспечения безопасности и охраны.
Для проведения оценки уязвимости (охраны), необходимой для разработки Плана обеспечения безопасности (охраны), организация, использующая настоящий стандарт,должна:
- определить существующие угрозы обеспечения безопасности;
- определить наиболее вероятные развития событий в случаях реализации выявленных оценкой уязвимости (охраны) угроз.
Такие определения проводятся в ходе анализа существующего состояния обеспечения безопасности и охраны цепи поставок на основе экспертного заключения обуязвимости цепи поставок по каждому виду угрозы.
В случае обнаружения неприемлемых уязвимых мест в цепи поставок организация должна разработать дополнительные процедуры или внести соответствующиеэксплуатационные изменения для снижения вероятности и/или последствий на случай реализации угрозы. Такие дополнения или изменения, принимаемые организацией,называются контрмерами. Контрмеры, принимаемые в целях снижения уровня угроз до приемлемого, должны включаться в План обеспечения безопасности (охраны) цепи поставок с учетом их приоритетности.
Приложения А и В демонстрируют примеры процессов риск-менеджмента по обеспечению безопасности и охраны людей, собственности и функционирования цепипоставок. Они помогают как в макроподходе к сложным цепям поставок, так и при более детальном их рассмотрении.
Приложения А и В преследуют также следующие цели:
- содействие пониманию методик разработки и внедрения, которыми могут воспользоваться организации;
- содействие пониманию руководством процесса риск-менеджмента для обеспечения постоянного улучшения;
- помощь организациям в управлении ресурсами при принятии мер по существующим или возникающим рискам обеспечения безопасности;
- описание возможных способов проведения оценки рисков и снижения угроз безопасности в цепи поставок, начинающейся от источников сырья и заканчивающейсядоставкой продукции или услуг конечному пользователю.
Для случаев, когда организации принимают на себя обязательства в отношении настоящего стандарта, приложение С содержит рекомендации по сертификации системменеджмента безопасности на соответствие требованиям ГОСТ Р 53662-2009.
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Система менеджмента безопасности цепи поставок
НАИЛУЧШИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК
Оценки и планы
Security management systems for the supply chain. Best practices for implementing supply chain security. Assessments and plans
|
Дата введения - 2010-07-01
1 Область применения
В настоящем стандарте приведены рекомендации и требования для организаций - участников цепи поставок по:
- разработке и внедрению процессов обеспечения безопасности и охраны цепи поставок;
- документированному установлению минимального уровня охраны для всей цепи поставок или ее части;
- содействию в достижении соответствия критериям, предъявляемым к Уполномоченному экономическому оператору, сформулированным в Рамочных стандартахбезопасности и облегчения мировой торговли [1] Всемирной таможенной организации, и существующим законодательным и нормативным актам, регламентирующимобеспечение безопасности и охраны цепи поставок.
Примечание - Только федеральный орган исполнительной власти по контролю и надзору в области таможенного дела может присвоить организации статус Уполномоченного экономического операторапри условии ее соответствия требованиям в области обеспечения безопасности и охраны цепи поставок и наличия соответствующих подтверждающих документов.
В дополнение настоящий стандарт устанавливает требования к документации, по которой возможно проводить оценку соответствия.
Организация, принявшая на себя ответственность по настоящему стандарту, должна:
- определить участки цепи поставок, на которых организация будет обеспечивать безопасность и охрану (см. 4.1);
- провести там оценку уязвимости (охраны) и разработать адекватные контрмеры;
- разработать и внедрить План обеспечения безопасности (охраны) цепи поставок;
- подготовить персонал, ответственный за охрану (службы охраны), в соответствии с его должностными обязанностями.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие документы:
ГОСТ Р ИСО 9001-2008 Системы менеджмента качества. Требования
ГОСТ Р ИСО 14001-2007 Системы экологического менеджмента. Требования и руководство по применению
ГОСТ Р 53660-2009 Суда и морские технологии. Оценка охраны и разработка планов охраны портовых средств Международная конвенция по охране человеческой жизни наморе 1974 года, с поправками, Международной морской организации.
3 Термины и определения
Для целей настоящего стандарта применяются следующие термины и определения:
3.1 уполномоченные должностные лица (appropriate law enforcement and other government officials): Должностные лица органов исполнительной власти иподведомственных им организаций, наделенные соответствующими полномочиями по решению вопросов в отношении цепи поставок или отдельных ее участков.
3.2 активы (asset(s)): Предприятие, технологическое оборудование, здания, наземные, водные и воздушные транспортные средства и другие элементы инфраструктуры, атакже относящиеся к ним системы, которые имеют отличительную и измеримую деловую функцию или услугу.
Примечание - Это определение включает в себя любую информационную систему, являющуюся частью обеспечения безопасности и охраны и применения менеджмента безопасности.
3.3 Уполномоченный экономический оператор (authorized economic operator): Участник внешнеэкономической деятельности, чья деятельность получила одобрениефедерального органа исполнительной власти по контролю и надзору в области таможенного дела, как соответствующая нормам Всемирной таможенной организации илистандартам обеспечения безопасности и охраны цепи поставок.
Примечание 1 - Уполномоченный экономический оператор - термин, установленный Всемирной таможенной организацией в Рамочных стандартах безопасности и облегчения мировой торговли [1].
Примечание 2 - Термин «Уполномоченный экономический оператор» включает, в частности, производителей, импортеров, экспортеров, брокеров, перевозчиков, консолидаторов, посредников,операторов портов, терминалов, интеграционных операторов, складских операторов, дистрибьюторов.
3.4 деловой партнер (business partner): Подрядчик или поставщик, с которым организация заключает контракт о содействии в выполнении ее функции как организация -участник цепи поставок.
3.5 грузовая транспортная единица (cargo transport unit): Автомобильное, морское, речное, воздушное грузовое транспортное средство, грузовой вагон, контейнер,цистерна.
3.6 последствие (consequence): Возможная потеря жизни или здоровья, экономические или финансовые потери, в том числе происшедшие в результате нарушениядеятельности транспортных систем, при реализации акта незаконного вмешательства в цепи поставок или использования цепи поставок в качестве оружия.
3.7 транспортное средство (conveyance): Физический инструмент торговли, с помощью которого производится перемещение товаров.
Примечание - Грузовая транспортная единица, оборудование для обработки груза, грузовой автомобиль, судно, самолет, железнодорожный вагон.
3.8 контрмера (countermeasure): Действие, предпринятое для снижения вероятности реализации угроз безопасности, направленное против достижения их целей илиуменьшения возможных последствий.
3.9 фаза контроля (custody): Период времени, в течение которого организация - участник цепи поставок непосредственно контролирует производство, обработку иперемещение товаров, а также всю информацию о процессах, происходящих в цепи поставок.
3.10 фаза постконтроля (downstream): Период времени после выхода товаров из фазы контроля организации - участника цепи поставок.
3.11 товары (goods): Предметы, являющиеся объектом контракта, заключающегося на их производство, обработку и перемещение в цепи поставок в целях удовлетворенияпотребностей потребителя.
3.12 международные цепи поставок (international supply chain): Цепи поставок, которые осуществляются с пересечением государственных границ.
Примечание - Все участки такой цепи поставок считаются международными с момента заключения контракта потребителем, который включает в себя проведение таможенного контроля в страненазначения. Если международные договоры или региональные соглашения не содержат требований о таможенной очистке товаров, тогда окончанием цепи поставок является точка ввоза товара в странуназначения.
3.13 вероятность (likelihood): Степень возможности развития сценария угрозы безопасности, которая может привести к реализации акта незаконного вмешательства.
Примечание - Вероятность оценивается с учетом внедренных процессов противодействия акту незаконного вмешательства, в котором используется рассматриваемый сценарий угрозы, и имеетколичественное выражение.
3.14 система менеджмента (management system): Структура организации для управления ее процессами или действиями, посредством которых вкладываемые ресурсыпреобразуются в продукт или услугу, отвечающую целям организации.
Примечание - Настоящий стандарт не имеет целью требовать наличие определенной системы менеджмента и/или создания отдельной системы менеджмента безопасности. Примерами системменеджмента являются ГОСТ Р ИСО 9001 (Системы менеджмента качества. Требования), ГОСТ Р ИСО 14001-2007 (Системы экологического менеджмента. Требования и руководство по применению),ГОСТ Р 53663 (Системы менеджмента безопасности цепи поставок. Требования) и Международный кодекс по управлению безопасной эксплуатацией судов и предотвращению загрязнения (ISM Code) [2]Международной морской организации.
3.15 организация - участник цепи поставок (organization In the supply chain): Любое юридическое лицо, которое:
- заключает контракт на поставку, изготовление, обработку, перемещение, выгрузку товаров в цепи поставок, которая в какой-то момент пересекает государственнуюграницу;
- осуществляет перемещение товаров любым принятым в международной цепи поставок способом вне зависимости от того, пересекает его участок цепи поставокгосударственную границу или нет; или
- предоставляет, формирует или управляет информацией о поставках, используемой в практике деловых отношений, в том числе с таможенными органами.
3.16 риск-менеджмент (risk management): Процесс принятия решений по управлению, основанный на анализе возможных угроз, их последствий, а также возможностейили вероятности успеха.
Примечание - Процесс риск-менеджмента обычно начинается с оптимизации распределения ресурсов организации, необходимых для обеспечения работ в существующих условиях.
3.17 область деятельности (scope of service): Функция(и) и место ее(их) реализации организацией - участником цепи поставок.
3.18 Декларация об охране (security declaration): Документально оформленные обязательства делового партнера, в которых определены меры обеспечения безопасности иохраны, внедренные этим партнером, включающие, как минимум, меры защиты товаров, транспортных средств и связанной с этим информации, а также подтверждение идемонстрация этих мер.
Примечание - Декларация об охране используется организацией - участником цепи поставок для оценки адекватности мер охраны, относящихся к безопасности товаров в целом.
3.19 План обеспечения безопасности (охраны) (security plan): Запланированные мероприятия для обеспечения адекватного менеджмента безопасности и охраны.
Примечание 1 - Назначение плана - гарантировать принятие мер по защите организации от актов незаконного вмешательства.
Примечание 2 - План может комбинироваться с другими оперативными планами.
3.20 обеспечение безопасности и охраны (security): Противодействие преднамеренным действиям, направленным на нанесение вреда или ущерба цепи поставок илипосредством цепи поставок.
3.21 акт незаконного вмешательства (security incident): Любое действие или обстоятельство, представляющее угрозу безопасности цели (см. 3.26).
3.22 персонал, ответственный за безопасность (служба охраны) (security personnel): Персонал организации - участника цепи поставок, имеющий обязанности в областиобеспечения безопасности и охраны.
Примечание - Персонал службы охраны может создаваться организацией или привлекаться на договорной основе.
3.23 конфиденциальная информация; конфиденциальные материалы (security sensitive information; security sensitive materials): Информация или материалы о процессеобеспечения безопасности и охраны цепи поставок, которые содержат сведения, касающиеся вопросов обеспечения безопасности и охраны, обработки товаров илираспоряжений органов исполнительной власти, не предназначенные для широкого доступа и являющиеся объектом заинтересованности инициаторов актов незаконноговмешательства.
3.24 менеджмент безопасности (security management): Систематизированная и скоординированная деятельность, с помощью которой организация - участник цепи поставокуправляет своими рисками и связанными с ними потенциальными угрозами и воздействиями.
3.25 цепь поставок (supply chain): Взаимосвязанный набор ресурсов и процессов, который начинается с оформления контракта на поставку, продолжается процессомполучения сырья, производством, обработкой и заканчивается передачей товаров и относящихся к ним услуг конечному пользователю.
Примечание - Цепь поставок может включать в себя продавцов, промышленные предприятия, логистические центры, внутренние центры распределения, дистрибьюторов, оптовых продавцов и другихюридических лиц, участвующих в производстве, обработке и доставке товаров и относящихся к ним услуг.
3.26 цель (target): Персонал, транспортные средства, товары, активы, процессы производства и обработки, системы управления или документооборота в рамкахорганизации - участника цепи поставок.
3.27 сценарий угрозы (threat scenario): Описание способа реализации потенциального акта незаконного вмешательства.
3.28 фаза предконтроля (upstream): Период времени до входа товаров в фазу контроля организации - участника цепи поставок.
3.29 Всемирная таможенная организация (ВТО) (World Customs Organization (WCO)): Независимый межправительственный орган, задачей которого является повышениеэффективности таможенных администраций.
Примечание - ВТО - всемирная межправительственная организация в области таможенного дела.
4 Основные положения
4.1 Паспорт участка цепи поставок
Для обеспечения взаимодействия с деловыми партнерами, операторами цепи поставок, таможенными органами и другими заинтересованными лицами организация -участник цепи поставок должна составить Паспорт участка цепи поставок с описанием управляемого ею участка цепи поставок, который должен соответствовать настоящемустандарту. В Паспорт должны быть включены следующие данные:
- сведения об организации;
- область деятельности;
- наименование и контактные данные всех вовлеченных в область деятельности организации - участника цепи поставок деловых партнеров;
- дата проведения последней оценки уязвимости (охраны) и срок ее действия.
Паспорт должен быть подписан должностным лицом организации - участника цепи поставок, обладающим необходимыми полномочиями.
Организация - участник цепи поставок может расширить перечень сведений, содержащихся в Паспорте, путем включения в него данных о других участках цепи поставок.
4.2 Деловые партнеры
Если организация - участник цепи поставок взаимодействует с деловыми партнерами на своем участке цепи поставок, то согласно разделам 4.3 и 4.4 она может запросить утаких партнеров Декларацию об охране. Организация - участник цепи поставок на основе предоставленной Декларации об охране и собственной оценки уязвимости (охраны)может потребовать от деловых партнеров проведения дополнительных мер обеспечения безопасности и охраны.
4.3 Свидетельства о соответствии, принятые в международной практике
Транспортные и иные компании при наличии международных свидетельств (сертификатов) о соответствии, выдаваемых во исполнение международных договоров исоглашений, регламентирующих вопросы обеспечения безопасности и охраны объектов транспортной инфраструктуры, обладают положительным опытом, процедурами ипланами обеспечения безопасности и охраны, отвечающими применимым требованиям настоящего стандарта, и не требуют проведения дополнительных аудитов по подтверждению их соответствия. Для судоходных компаний, судов и операторов портовых средств такие одобрения выдаются в соответствии с требованиями глав XI-2/4 и XI-2/10 Международной конвенции по охране человеческой жизни на море 1974 года Международной морской организации.
Для признания транспортной или иной компании в качестве Уполномоченного экономического оператора, упомянутого в разделе 1 настоящего стандарта, федеральныеорганы исполнительной власти по контролю и надзору в области таможенного дела могут потребовать от них в дополнение к существующим международнымсвидетельствам (сертификатам) о соответствии внедрить дополнительные меры по обеспечению безопасности и охраны.
4.4 Деловые партнеры, освобождаемые от предъявления Декларации об охране
Деловые партнеры, которые продемонстрировали организации - участнику цепи поставок, что они:
1) прошли проверку и подтвердили свое соответствие настоящему стандарту или стандарту ИСО 20858, или
2) отвечают требованиям раздела 4.3, или
3) имеют статус Уполномоченного экономического оператора, присвоенного в соответствии с Рамочными стандартами безопасности и облегчения мировой торговли [1]Всемирной таможенной организации, должны быть перечислены в Паспорте участка цепи поставок.
В отношении таких деловых партнеров не требуется проведения дополнительных проверочных мероприятий.
4.5 Анализ состоятельности обеспечения безопасности деловых партнеров
Организация - участник цепи поставок должна анализировать процессы и средства своих деловых партнеров, за исключением партнеров, которые отвечают требованиямраздела 4.3 или 4.4, с тем чтобы убедиться в объективности представленных ими Деклараций об охране и их состоятельности. Проведение такого анализа и его частота должныучитываться при проведении анализа рисков организации в отношении своих деловых партнеров. Результаты такого анализа должны сохраняться.
Примечание - Организация - участник цепи поставок, заявляющая о своем соответствии, в том числе на участках цепи поставок, контролируемых деловыми партнерами, но требующая подтверждениясоответствия настоящему стандарту, в дальнейшем для облегчения прочтения будет именоваться «организация», если не потребуется именовать ее иначе.
5 Процесс обеспечения безопасности и охраны цепи поставок
Комментарии (1)
Чтобы оставить комментарий вам необходимо авторизоваться