ГОСТ Р ИСО 28001-2019. Национальный стандарт Российской Федерации. Системы менеджмента безопасности цепи поставок. Наилучшие практики осуществления безопасности цепи поставок, оценки и планов безопасности. Требования и руководство по применению

5.3 Проведение оценки безопасности

 

5.3.1 Оценка персонала

Лицо или группа лиц, выполняющих оценку безопасности, должны в совокупности обладать практическим опытом и знаниями, которые должны включать, но не ограничиваться только этим, следующее:

- методы оценки риска, применимые ко всем аспектам международной цепи поставок, с момента приема груза организацией под свой контроль до момента, когда груз выходит из-под контроля организации или покидает международную цепь поставок;

- использование соответствующих мер для недопущения несанкционированного вскрытия или доступа к материалам особой важности с точки зрения безопасности;

- операции и процедуры, применяемые при производстве, обработке, погрузочно-разгрузочных операциях, перевозке и/или связанные с документацией на товары, в зависимости от обстоятельств;

- понимание методики угрозы безопасности и методики подавления;

- соблюдение настоящего стандарта.

Имя (имена) лиц или членов группы, выполняющих оценку, а также их квалификация, должны быть документированы.

5.3.2 Процесс оценки

Организация должна установить, осуществлять и поддерживать процедуру(ы) по идентификации существующих контрмер для снижения угроз безопасности. Организация должна иметь перечень применяемых сценариев угроз безопасности, включая и те, которые одобряются соответствующими государственными органами. Если государственные органы не участвовали в проведении оценки, то это должно быть отражено документально.

Для каждого сценария угрозы безопасности организация должна оценить существующие контрмеры и определить вероятность и последствия, соответствующие каждому из сценариев, а также оценить необходимость дополнительных контрмер для снижения рисков безопасности до приемлемого уровня.

В соответствии с 4.2 организация должна проанализировать каждую из представленных бизнес-партнерами деклараций по безопасности и дать профессиональную оценку знаний объекта(ов) и/или требований регулирующего органа. При определении применимости декларации по безопасности организация также может получать и использовать любую другую доступную ей информацию.

При выполнении оценки безопасности и определении общей уязвимости цепи, описанной в заявлении о применении, организация должна проанализировать детали и пригодность каждой декларации.

Не следует подвергать дальнейшей оценке бизнес-партнеров, подпадающих под положения 4.3 или 4.4.

В процессе оценки должна быть документирована следующая информация:

a) все рассмотренные сценарии угроз безопасности;

b) процессы, использованные при оценке тех угроз, а также

c) все идентифицированные контрмеры и приоритеты.