ГОСТ Р ИСО 28000-2019. Национальный стандарт Российской Федерации. Технические условия для систем менеджмента безопасности цепи поставок

4.3 Оценка рисков безопасности и планирование

4.3.1 Оценка риска безопасности

Организация должна устанавливать и поддерживать в рабочем состоянии процедуры постоянной идентификации и оценки угроз безопасности и рисков, связанных с менеджментом безопасности, а также определения и реализации необходимых мер управления. Необходимо, чтобы методы идентификации, оценки и управления угрозами безопасности и рисками соответствовали характеру и масштабу операций. Эта оценка должна учитывать вероятность события и все его последствия, включая:

a) угрозы и риски физического отказа, такие как функциональный сбой, случайный ущерб, злонамеренный ущерб, террористические или преступные действия;

b) угрозы и риски операционного характера, включая контроль безопасности, человеческий фактор и другие действия, которые влияют на результаты деятельности, состояние или безопасность организации;

c) события природного характера (штормы, наводнения и т.д.), которые могут сделать мероприятия по безопасности и технические средства охраны неэффективными;

d) внешние факторы, находящиеся под контролем организации, такие как сбои в поставляемом извне оборудовании и услугах;

e) угрозы и риски заинтересованных сторон, такие как несоблюдение нормативных требований или ущерб репутации или бренду;

f) проектирование и установка охранного оборудования, включая замену, техническое обслуживание и т.д.;

g) управление информацией и данными, связь;

h) угрозы непрерывности деятельности организации.

Организация должна обеспечить, чтобы результаты этих оценок и влияние этих мер управления учитывались и, при необходимости, вносили вклад в:

a) цели и целевые показатели менеджмента безопасности;

b) программы менеджмента безопасности;

c) определение требований к проектированию, спецификации и установке;

d) определение адекватных ресурсов, включая штатное расписание;

e) определение потребностей в обучении и навыках (см. 4.4.2);

f) разработку оперативного управления (см. 4.4.6);

g) общую структуру менеджмента угроз и рисков организации.

Организация должна документировать и поддерживать вышеуказанную информацию в актуальном состоянии.

Методология идентификации угроз и рисков организации должна:

a) быть выбрана в соответствии с областью применения, спецификой деятельности и сроками, чтобы гарантировать проактивный, а не реактивный характер действий;

b) включать сбор информации, связанной с угрозами и рисками безопасности;

c) предусматривать классификацию путей выявления тех угроз и рисков, которых следует избегать, устранять или которыми необходимо управлять;

d) обеспечить мониторинг действий для обеспечения эффективности и своевременности их реализации (см. 4.5.1).

4.3.2 Нормативно-законодательные и другие требования по безопасности

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуры:

a) по идентификации и обеспечению доступа к применимым нормативно-законодательным и иным требованиям, связанным с угрозой ее безопасности и рисками, которые установлены для организации;

b) определению того, как данные требования применяются к угрозам и рискам безопасности.

Организация должна поддерживать эту информацию в актуальном состоянии. Организация должна передавать соответствующую информацию о нормативно-законодательных и иных требованиях своим сотрудникам и другим соответствующим третьим сторонам, включая подрядчиков.

4.3.3 Цели в области менеджмента безопасности

Организация должна разработать, внедрить и поддерживать в рабочем состоянии документированные цели менеджмента безопасности для соответствующих функций и уровней управления внутри организации. Цели должны быть определены и согласованы с политикой. При установлении и пересмотре своих целей организация должна учитывать:

a) действующие нормативно-законодательные требования по безопасности;

b) угрозы и риски, связанные с безопасностью;

c) технологические и другие факторы;

d) финансовые, операционные и другие требования организации;

e) мнения соответствующих заинтересованных сторон.

Цели менеджмента безопасности должны:

a) соответствовать обязательствам организации по постоянному улучшению;

b) быть измеримыми (где это возможно);

c) быть доведены до сведения всех соответствующих сотрудников и третьих лиц, включая подрядчиков, с целью обеспечения их осведомленности об индивидуальных обязанностях;

d) периодически пересматриваться для обеспечения актуальности и соответствия политике менеджмента безопасности. При необходимости цели менеджмента безопасности должны быть соответствующим образом изменены.

4.3.4 Целевые показатели в области менеджмента безопасности

Организация должна установить, внедрить и поддерживать в рабочем состоянии документированные целевые показатели менеджмента безопасности, соответствующие потребностям организации. Целевые показатели должны быть развернуты и соответствовать целям менеджмента безопасности.

Эти целевые показатели должны быть:

a) развернутыми, конкретными, измеримыми, достижимыми, реалистичными и ограниченными во времени (где это практически осуществимо) (SMART);

b) доведенными до сведения всех соответствующих сотрудников и третьих лиц, включая подрядчиков, с целью обеспечения их осведомленности об индивидуальных обязанностях;

c) периодически пересматриваемыми, чтобы убедиться в том, что они остаются актуальными и соответствуют целям менеджмента безопасности. При необходимости целевые показатели должны быть соответствующим образом изменены.

4.3.5 Программы менеджмента безопасности

Организация должна установить, внедрить и поддерживать в рабочем состоянии программы менеджмента безопасности для достижения своих целей и выполнения целевых показателей.

Программы должны быть оптимизированы, расставлены по приоритетам, и организация должна обеспечить результативную и экономически эффективную реализацию этих программ.

Программы должны включать документацию, которая описывает:

a) распределение ответственности и полномочий для достижения целей и целевых показателей менеджмента безопасности;

b) средства и сроки достижения целей и целевых показателей менеджмента безопасности.

Программы менеджмента безопасности должны периодически пересматриваться на предмет их пригодности для обеспечения эффективности и соответствия целям и задачам. При необходимости в программы должны быть внесены соответствующие изменения.