ГОСТ Р ИСО 28000-2019. Национальный стандарт Российской Федерации. Технические условия для систем менеджмента безопасности цепи поставок

4.4 Внедрение и функционирование

4.4.1 Структура, ответственность и полномочия по менеджменту безопасности

Для выполнения политики, целей, целевых показателей и программ менеджмента безопасности организация должна установить и поддерживать организационную структуру, распределение ответственности и полномочий.

Данные организационная структура, ответственность и полномочия должны быть определены, задокументированы и доведены до сведения лиц, ответственных за внедрение и поддержание системы в рабочем состоянии.

Высшее руководство должно предоставить свидетельства своей приверженности разработке и внедрению системы (процессов) менеджмента безопасности и постоянному повышению ее эффективности за счет:

a) назначения представителя высшего руководства, который (независимо от других обязанностей) несет ответственность за общее проектирование, обслуживание, документирование и улучшение системы менеджмента безопасности организации;

b) назначения представителя (представителей) руководства с необходимыми полномочиями для обеспечения реализации целей и целевых показателей;

c) выявления и мониторинга требований и ожиданий заинтересованных сторон организации и принятие надлежащих и своевременных мер для управления этими ожиданиями;

d) обеспечения необходимыми ресурсами;

e) учета негативного влияния, которое могут оказать политика менеджмента в области безопасности, цели, целевые показатели, программы и т.д. на другие аспекты деятельности организации;

f) обеспечения того, чтобы любые программы по безопасности, созданные в любом подразделении организации, дополняли систему менеджмента безопасности организации;

g) информирования организации о важности соблюдения требований управления безопасностью и выполнения политики;

h) обеспечения того, чтобы угрозы и риски, связанные с безопасностью, оценивались и включались в систему менеджмента риска и угроз организации, если это применимо;

i) обеспечение жизнеспособности целей, целевых показателей и программ менеджмента безопасности.

4.4.2 Компетентность, обучение и осведомленность

Организация должна гарантировать, что персонал, ответственный за проектирование, эксплуатацию и управление оборудованием и процессами безопасности, имеет соответствующую квалификацию на основе образования, обучения и/или опыта. Организация должна устанавливать и поддерживать процедуры для того, чтобы сотрудники и лица, работающие от имени организации, были осведомлены о следующем:

a) важности соблюдения политики и программ менеджмента безопасности и требований системы менеджмента безопасности;

b) своих обязанностях, ответственности и полномочиях в достижении соответствия политике и программам менеджмента безопасности, а также требованиям системы менеджмента безопасности, включая требования готовности к чрезвычайным обстоятельствам и реагированию на них;

c) потенциальных последствиях для безопасности организации при отклонении от определенных операционных процедур.

Организация должна сохранять соответствующие записи по компетентности и обучению персонала.

4.4.3 Обмен информацией

Организация должна установить, внедрить и поддерживать процедуры для обеспечения того, чтобы необходимая информация по менеджменту безопасности передавалась соответствующим сотрудникам, подрядчикам и другим заинтересованным сторонам.

В связи с тем, что определенная информация, связанная с безопасностью, имеет секретный характер, следует должным образом учитывать конфиденциальность информации до начала ее распространения.

4.4.4 Документирование

Организация должна разработать и поддерживать в рабочем состоянии документацию системы менеджмента безопасности, которая включает:

a) политику, цели и целевые показатели;

b) описание области распространения системы менеджмента безопасности;

c) описание основных элементов системы менеджмента безопасности, их взаимодействия со ссылками на соответствующие документы;

d) записи, определенные настоящим стандартом;

e) записи, определенные организацией как необходимые для обеспечения результативного планирования, функционирования и контроля процессов, связанных со значительными угрозами и рисками безопасности.

Организация должна определить конфиденциальность информации и предпринять шаги для предотвращения несанкционированного доступа.

4.4.5 Управление документацией и данными

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры управления всеми документами, данными и информацией, регламентированными в разделе 4, для обеспечения следующего:

a) документы, данные и информация хранятся в защищенном месте и доступны только уполномоченным лицам;

b) документы, данные и информация периодически пересматриваются, анализируются и актуализируются (по мере необходимости) и утверждаются на пригодность уполномоченным лицом;

c) текущие версии соответствующих документов, данных и информации доступны во всех местах, где выполняются действия для результативного функционирования системы менеджмента безопасности;

d) устаревшие документы, данные и информация незамедлительно удаляются из всех мест и областей, где они применяются, или иным образом гарантируется защита от их непреднамеренного использования;

e) архивные документы, данные и информация, сохраненные в соответствии с законодательными требованиями или в целях сохранения знаний, или и те, и другие, надлежащим образом идентифицированы;

f) документы, данные и информация находятся в безопасности и, если они находятся в электронном виде, надлежащим образом защищены, а также обеспечено резервное копирование с возможностью восстановления.

4.4.6 Управление деятельностью

Организация должна определить те операции и действия, которые необходимы для достижения:

a) политики в области менеджмента безопасности;

b) управления действиями для снижения угроз, определенных как имеющих значительный риск;

c) соблюдения нормативно-законодательных и иных требований по безопасности;

d) целей в области менеджмента безопасности;

e) реализации программ менеджмента безопасности;

f) обеспечения требуемого уровня безопасности цепи поставок.

Организация должна обеспечить условия для возможности осуществления операций и действий посредством:

a) разработки, внедрения и поддержания в рабочем состоянии документированных процедур для управления ситуациями, в которых отсутствие этих процедур может привести к невозможности выполнения операций и действий, указанных выше в перечислениях a), f);

b) оценки любых угроз, исходящих от деятельности в цепи поставок на фазе предконтроля, и применения мероприятий по управлению для смягчения влияния этих воздействий на организацию и других операторов цепи поставок в фазе постконтроля;

c) установление и поддержание требований к товарам или услугам, влияющим на безопасность, и доведение этих требований до поставщиков и подрядчиков.

Данные процедуры должны включать средства управления для проектирования, установки, эксплуатации, восстановления и модификации элементов, связанных с безопасностью оборудования, приборов и т.д., если это применимо. Если существующие договоренности пересматриваются или вводятся новые договоренности, которые могут повлиять на операции и действия в области менеджмента безопасности, организация должна рассмотреть связанные с безопасностью угрозы и риски до реализации договоренностей. Новые или пересмотренные договоренности должны включать:

a) пересмотренную организационную структуру, полномочия и ответственность;

b) пересмотренную политику, цели, целевые показатели или программы менеджмента безопасности;

c) пересмотренные процессы и процедуры;

d) внедрение новой инфраструктуры, оборудования или технологий безопасности, которые могут включать аппаратное и/или программное обеспечение;

e) введение новых подрядчиков, поставщиков или персонала, если это применимо.

4.4.7 Готовность к действиям в чрезвычайной ситуации, реагирование и восстановление безопасности

Организация должна разработать, внедрить и поддерживать в рабочем состоянии соответствующие планы и процедуры для выявления потенциальной возможности возникновения инцидентов, связанных с безопасностью, и чрезвычайных ситуаций, реагирования на них, а также для предотвращения и смягчения возможных последствий, которые могут быть связаны с ними. Планы и процедуры должны включать информацию о предоставлении и обслуживании любого идентифицированного оборудования, средств или услуг, которые могут потребоваться во время или после инцидентов или чрезвычайных ситуаций.

Организация должна периодически проверять эффективность планов и процедур своей готовности к действию в чрезвычайных обстоятельствах, реагированию на них и восстановлению безопасности, особенно после возникновения инцидентов или чрезвычайных ситуаций, вызванных нарушениями безопасности и угрозами. Организация должна периодически проводить учения по этим процедурам, где это применимо.