ГОСТ Р ИСО 28000-2019. Национальный стандарт Российской Федерации. Технические условия для систем менеджмента безопасности цепи поставок

4.5 Контроль и корректирующие действия

4.5.1 Измерение и мониторинг результатов деятельности по безопасности

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры для мониторинга и измерения результатов деятельности всей системы менеджмента безопасности. Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры мониторинга и измерения результатов деятельности по безопасности. При определении периодичности мониторинга и измерений результатов деятельности организация должна учитывать угрозы и риски, связанные с безопасностью, включая потенциальные механизмы ухудшения и их последствия. Данные процедуры должны предусматривать:

a) как качественные, так и количественные измерения, соответствующие потребностям организации;

b) мониторинг степени выполнения политики, целей и целевых показателей в области менеджмента безопасности организации;

c) упреждающие измерения результатов, которые контролируют выполнение программ менеджмента безопасности, критериев выполнения операций и соблюдение нормативно-законодательных и иных требований по безопасности;

d) измерение результатов реагирования для мониторинга нарушений, сбоев, инцидентов, несоответствий, связанных с безопасностью (в том числе случайных и ложных срабатываний) и других ретроспективных свидетельств недостаточного уровня результативности системы менеджмента безопасности;

e) записи данных и результатов мониторинга и измерений, существенных для облегчения последующего анализа корректирующих и предупреждающих действий. Если для контроля результатов деятельности или измерений и мониторинга требуется контрольное оборудование, организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры калибровки и технического обслуживания такого оборудования. Записи о калибровке и техническом обслуживании и их результатах должны храниться в течение определенного времени, достаточного, чтобы соответствовать нормативно-законодательным требованиям и политике организации.

4.5.2 Оценка системы

Организация должна оценивать планы, процедуры и возможности менеджмента безопасности с использованием периодического анализа, тестирования, отчетов после инцидентов, извлеченных уроков, оценок результатов деятельности, результативности учений. Значительные изменения в этих факторах должны быть немедленно отражены в процедуре (процедурах).

Организация должна периодически оценивать соблюдение нормативно-законодательных требований, соответствие лучшим отраслевым практикам и своей собственной политике и целям.

Организация должна вести учет результатов периодических оценок.

4.5.3 Сбои, инциденты, несоответствия, корректирующие и предупреждающие действия, связанные с безопасностью

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры определения ответственности и полномочий для:

a) оценки и инициирования предупреждающих действий для выявления потенциальных сбоев в безопасности, чтобы не допустить их возникновения;

b) расследований, связанных с безопасностью:

- действий в ситуации сбоев, в том числе при "почти-ошибках" и ложных срабатываниях;

- действий при возникновении инцидентов и чрезвычайных ситуаций;

- действий при возникновении несоответствий;

c) принятия мер по смягчению любых последствий, возникающих в результате таких сбоев, инцидентов или несоответствий;

d) инициирования и завершения корректирующих действий;

e) подтверждения эффективности предпринятых корректирующих действий.

Эти процедуры следует регламентировать, чтобы все предлагаемые корректирующие и предупреждающие действия были рассмотрены в процессе оценки угроз и рисков безопасности перед внедрением, если только немедленное внедрение не предотвратит неизбежное воздействие на жизнь или общественную безопасность.

Любые корректирующие или предупреждающие действия, предпринимаемые для устранения причин фактических и потенциальных несоответствий, которые могут возникнуть, должны соответствовать масштабу проблем и соответствовать угрозам и рискам, связанным с менеджментом безопасности. Организация должна внедрить любые изменения в документированных процедурах, возникающие в результате корректирующих и предупреждающих действий и обеспечить их идентификацию. Корректирующие и предупреждающие действия должны включать в себя необходимое обучение, где это применимо.

4.5.4 Управление записями

Организация должна установить и поддерживать в рабочем состоянии записи, необходимые для демонстрации соответствия системы менеджмента безопасности требованиям настоящего стандарта, а также достижения запланированных результатов.

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуру(ы) для идентификации, хранения, защиты, поиска и удаления записей.

Записи должны быть разборчивыми, идентифицируемыми и прослеживаемыми.

Электронная и цифровая документация должна быть защищена от несанкционированного доступа, иметь резервное копирование с возможностью восстановления и должна быть доступна только авторизованному персоналу.

4.5.5 Аудит

Организация должна планировать, разрабатывать, реализовывать и поддерживать в актуальном состоянии программу аудита менеджмента безопасности и обеспечивать проведение аудитов системы менеджмента безопасности через запланированные интервалы времени, чтобы:

a) определить, действительно ли система менеджмента безопасности:

- соответствует запланированным мероприятиям, включая требования всего раздела 4;

- должным образом внедрена и поддерживается в рабочем состоянии;

- является результативной в выполнении политики и целей менеджмента безопасности организации;

b) рассмотреть результаты предыдущих аудитов и действия, предпринятые для устранения несоответствий;

c) предоставить информацию о результатах аудитов руководству;

d) убедиться, что оборудование и персонал, оказывающий влияние на безопасность, должным образом развернуты на предприятии.

Программа аудита, включая любой график, должна основываться на результатах оценки угроз и рисков в деятельности организации, а также на результатах предыдущих аудитов. Процедуры проведения аудита должны охватывать область применения, частоту и методы аудитов, требования к компетентности и обязанностям аудиторов, требования по проведению аудитов и представлению отчетности по результатам. По возможности, аудит должен проводиться независимым персоналом, т.е. теми, кто несет прямую ответственность за проверяемую деятельность.

Примечание - Фраза "независимый персонал" не обязательно означает внешний для организации персонал.