Что является основой функционирования системы менеджмента безопасности
Что является основой функционирования системы менеджмента безопасности
ГОСТ Р ИСО/МЭК 27001-2006
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Information security management systems. Requirements
Дата введения 2008-02-01
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») и Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
6 ПЕРЕИЗДАНИЕ. Январь 2019 г.
Введение
0.1 Общие положения
Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.
Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.
0.2 Процессный подход
Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.
Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.
Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как «процессный подход».
Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:
a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;
b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;
c) мониторинг и проверка производительности и эффективности СМИБ;
d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.
Принятие модели PDCA также отражает принципы, установленные в директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности.
2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
Связи между процессами, описанными в разделах 4, 5, 6, 7 и 8, представлены также в таблице 1.
Планирование (разработка СМИБ)
Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации
Осуществление (внедрение и обеспечение функционирования СМИБ)
Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ
Проверка (проведение мониторинга и анализа СМИБ)
Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа
Действие (поддержка и улучшение СМИБ)
Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ
0.3 Совместимость с другими системами менеджмента
Настоящий стандарт согласован со стандартами ИСО 9001:2000 «Системы менеджмента качества. Требования» [2] и ИСО 14001:2004 «Системы управления окружающей средой. Требования и руководство по применению» [3] в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
Таблица С.1 иллюстрирует взаимосвязь между разделами настоящего стандарта, а также ИСО 9001:2000 и ИСО 14001:2004.
Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.
1 Область применения
1.1 Общие положения
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
1.2 Применение
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.
Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующий стандарт:
Заменен на ISO/IEC 27002:2005.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 активы (asset): Все, что имеет ценность для организации.
[ИСО/МЭК 13335-1:2004] [4]
3.2 доступность (availability): Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.
[ИСО/МЭК 13335-1:2004] [4]
3.3 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
[ИСО/МЭК 13335-1:2004] [4]
3.4 информационная безопасность; ИБ (information security): Свойство информации сохранять конфиденциальность, целостность и доступность.
3.5 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.
[ИСО/МЭК ТО 18044:2004] [5]
3.6 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
— утрата услуг, оборудования или устройств;
Что является основой функционирования системы менеджмента безопасности
ГОСТ Р ИСО 45001-2020
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ТРУДА И ОХРАНЫ ЗДОРОВЬЯ
Требования и руководство по применению
Occupational health and safety management systems. Requirements with guidance for use
Дата введения 2021-04-01
Предисловие
1 ПОДГОТОВЛЕН Ассоциацией по сертификации «Русский Регистр» (Ассоциация «Русский Регистр») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 076 «Системы менеджмента»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 августа 2020 г. N 581-ст
Введение
Организация несет ответственность за здоровье и безопасность своих работников и тех, на кого так или иначе влияет деятельность организации. Эта ответственность распространяется на поддержание и защиту их физического и умственного здоровья.
Применение системы менеджмента безопасности труда и охраны здоровья (ОЗБТ) нацелено на то, чтобы дать возможность организации обеспечить безопасные в плане здоровья и условий труда рабочие места, предотвратить производственные травмы и ущерб, а также постоянно улучшать показатели в области ОЗБТ.
0.2 Цель системы менеджмента ОЗБТ
Назначение системы менеджмента ОЗБТ состоит в том, чтобы обеспечить среду для управления рисками и возможностями в области ОЗБТ. Целью и ожидаемыми результатами системы менеджмента ОЗБТ являются предотвращение травм и ущерба для здоровья сотрудников, а также обеспечение безопасных в плане здоровья и условий труда рабочих мест; соответственно, крайне важно для организации исключить или минимизировать риски в области ОЗБТ за счет принятия результативных предупреждающих и защитных мер.
При осуществлении таких мер организацией в рамках ее системы менеджмента ОЗБТ улучшаются ее показатели в области ОЗБТ. Система менеджмента ОЗБТ может быть гораздо результативнее и эффективнее, если заранее предпринимать действия по реализации возможностей для улучшения показателей в области ОЗБТ.
Внедрение системы менеджмента ОЗБТ, соответствующей настоящему стандарту, позволит организации управлять рисками в области ОЗБТ и улучшать показатели в области ОЗБТ. Система менеджмента ОЗБТ может помочь организации выполнять законодательные и иные требования.
Внедрение системы менеджмента ОЗБТ является стратегическим и оперативным решением для организации. Успех системы менеджмента ОЗБТ зависит от лидерства, обязательств и участия на всех уровнях и от взаимодействия всех функций организации.
Реализация и поддержание системы менеджмента ОЗБТ, ее результативность и способность достигать ожидаемых результатов зависят от определенного числа ключевых факторов, которые могут включать в себя следующее:
a) лидерство, приверженность, ответственность и подотчетность высшего руководства;
b) формирование, продвижение и поощрение высшим руководством в организации корпоративной культуры, которая обеспечивает поддержку запланированных результатов системы менеджмента ОЗБТ;
c) обмен информацией;
d) консультации и участие работников и представителей работников при их наличии;
e) выделение необходимых ресурсов для обеспечения системы;
f) политики в области ОЗБТ, которые согласованы с общими стратегическими целями и направлением развития организации;
g) результативный(ые) процесс(ы) идентификации опасностей, управления рисками в области ОЗБТ и реализации возможностей в области ОЗБТ;
h) постоянную оценку и мониторинг показателей системы менеджмента ОЗБТ с целью их улучшения;
i) интеграцию системы ОЗБТ в бизнес-процессы организации;
j) цели в области ОЗБТ, которые согласованы с политиками в области ОЗБТ и учитывают опасности, риски и возможности в области ОЗБТ, существующие в организации;
k) соответствие законодательным и иным требованиям.
Успешное внедрение положений настоящего стандарта может быть использовано организацией, чтобы дать работникам и другим заинтересованным сторонам уверенность в том, что результативная система менеджмента ОЗБТ внедрена. Принятие настоящего стандарта, однако, не дает само по себе гарантии предупреждения производственных травм и ухудшения здоровья работников, обеспечения безопасных в плане здоровья и условий труда рабочих мест, а также улучшения показателей в области ОЗБТ.
Уровень детализации, сложность, объем документированной информации и необходимых ресурсов для гарантии успеха системы менеджмента ОЗБТ организации будут зависеть от определенного числа факторов, таких как:
— среда организации (например, число работников, размер, географическое расположение, корпоративная культура, законодательные и иные требования);
— область применения системы менеджмента ОЗБТ организации;
— характер деятельности организации и связанных с ней рисков в области ОЗБТ.
Концепция PDCA заключается в повторяющемся процессе, применяемом организацией для достижения постоянного улучшения. Она может применяться к системе менеджмента в целом и к каждому отдельному элементу следующим образом:
a) Планируй: выявлять и оценивать риски и возможности в области ОЗБТ, а также иные риски и возможности, устанавливать цели в области ОЗБТ и процессы, необходимые для получения результатов в соответствии с политикой ОЗБТ;
b) Делай: выполнять процессы, как запланировано;
c) Проверяй: вести мониторинг и измерять результаты деятельности и процессов с учетом политики и целей в области ОЗБТ, а также сообщать о результатах;
d) Действуй: предпринимать действия для постоянного улучшения показателей в области ОЗБТ, чтобы достичь ожидаемых результатов.
Структура настоящего стандарта основывается на концепции цикла PDCA, как показано на рисунке 1.
0.5 Содержание настоящего стандарта
Настоящий стандарт соответствует требованиям ИСО к стандартам на системы менеджмента. Эти требования включают в себя структуру высокого уровня, идентичный основной текст и общие термины с основными определениями, ориентированные на пользователей, внедряющих несколько стандартов ИСО на системы менеджмента.
Настоящий стандарт не содержит требований, специфичных для других объектов управления, например качества, социальной ответственности, экологии, безопасности или финансов, но его элементы могут быть согласованы или объединены с элементами других систем менеджмента.
Настоящий стандарт содержит требования, которые могут быть использованы организацией для внедрения системы менеджмента ОЗБТ и оценки соответствия. Организация, которая хочет продемонстрировать соответствие настоящему стандарту, может сделать это посредством:
— проведения самооценки или самодекларации;
— обращения за подтверждением соответствия к сторонам, заинтересованным в организации, например потребителям;
— обращения за подтверждением результатов самодекларации к внешним сторонам;
— сертификации/регистрации ее системы менеджмента ОЗБТ внешней организацией.
Разделы 1-3 определяют область применения, нормативные ссылки, термины и определения, которые используются в настоящем стандарте, а разделы 4-10 содержат требования, которые должны быть использованы для оценки соответствия настоящему стандарту. Приложение А предоставляет пояснения этих требований. Термины и определения, приведенные в разделе 3, расположены в семантическом порядке, а алфавитный перечень приведен в конце настоящего стандарта. В настоящем стандарте используются следующие глагольные формы:
a) «должен» указывает на требование;
b) «следует» указывает на рекомендацию;
c) «могло бы» указывает на разрешение;
d) «может» указывает на возможность или способность.
Информация, оформленная как «примечание», приведена для понимания или разъяснения соответствующего требования. Примечания к определению, приведенные в разделе 3, содержат дополнительную информацию, которая дает более подробные сведения о термине и может описывать условия, относящиеся к его применению.
1 Область применения
Настоящий стандарт устанавливает требования к системе менеджмента безопасности труда и охраны здоровья (ОЗБТ) и содержит руководства по их применению в целях возможного обеспечения организацией безопасных и благоприятных условий труда и предотвращения производственных травм и ущерба для здоровья, а также принятия предупреждающих мер по улучшению показателей в области ОЗБТ.
Настоящий стандарт применим к любой организации, которая планирует разработать, внедрить и поддерживать систему менеджмента ОЗБТ для улучшения состояния в сфере охраны здоровья и безопасности труда, исключения опасностей и минимизации рисков в области ОЗБТ (включая «слабые места» системы), реализации возможностей в сфере ОЗБТ, а также принятия мер в отношении несоответствий требованиям системы менеджмента ОЗБТ, связанных с деятельностью организации.
Соблюдение требований настоящего стандарта помогает организации достигать ожидаемых от ее системы менеджмента ОЗБТ результатов. В соответствии с политикой организации в области ОЗБТ ожидаемые результаты в области ОЗБТ включают в себя:
a) постоянное улучшение показателей в области ОЗБТ;
b) выполнение законодательных и иных требований;
c) достижение целей в области ОЗБТ.
Настоящий стандарт предназначен для применения в любой организации, независимо от ее размера, типа и видов деятельности. Стандарт применяется к рискам в области ОЗБТ, находящимся под управлением организации, принимая во внимание такие факторы, как среда, в которой функционирует организация, а также потребности и ожидания ее работников и других заинтересованных сторон.
Настоящий стандарт не устанавливает специфичных критериев для показателей ОЗБТ и требований относительно структуры системы менеджмента ОЗБТ.
Настоящий стандарт дает возможность организации посредством ее системы менеджмента ОЗБТ интегрировать другие аспекты, касающиеся охраны здоровья и безопасности труда, такие как здоровье/хорошее самочувствие работника.
Настоящий стандарт не рассматривает такие вопросы, как безопасность продукции, повреждение собственности или воздействие на окружающую среду вне рисков, которые они представляют для работников и других соответствующих заинтересованных сторон.
Настоящий стандарт может быть применим в целом или частично для систематического улучшения менеджмента в сфере охраны здоровья и безопасности труда. Однако заявления о соответствии настоящему стандарту неприемлемы до тех пор, пока все его требования не реализованы в рамках системы менеджмента ОЗБТ организации и выполняются без исключений.
2 Нормативные ссылки
В настоящем стандарте нормативные ссылки отсутствуют.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями.
Что является основой функционирования системы менеджмента безопасности
ГОСТ Р 53661-2009
(ИСО 28004:2006)
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМА МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК
Руководство по внедрению
Security management system for the supply chain. Guidelines for the implementation
Дата введения 2010-07-01
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Служба морской безопасности» (ФГУ СМБ) на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения его в соответствие с ГОСТ Р 1.5 (пункт 3.5).
Введение
ГОСТ Р 53663-2009 «Система менеджмента безопасности цепи поставок. Требования» и настоящий стандарт подготовлены в связи с возникшей потребностью в наличии унифицированного стандарта системы менеджмента в области безопасности цепи поставок и руководства по внедрению такой системы менеджмента безопасности на предприятиях с тем, чтобы получить возможность проводить оценку соответствия и сертификацию таких систем менеджмента.
ГОСТ Р 53663-2009 согласован со стандартами ГОСТ Р ИСО 9001-2008 (система менеджмента качества) и ГОСТ Р ИСО 14001-2007 (система экологического менеджмента), что позволяет организации согласовать или интегрировать свою собственную систему менеджмента в системы менеджмента качества, экологии и безопасности цепи поставок.
В начале каждого раздела настоящего стандарта отдельным блоком приведены требования ГОСТ Р 53663-2009, за которыми следуют соответствующие им рекомендации. Нумерация разделов настоящего стандарта совпадает с нумерацией ГОСТ Р 53663-2009.
Соответствие настоящему стандарту не освобождает от последующего выполнения положений законодательных и иных нормативных правовых актов в области обеспечения безопасности.
1 Область применения
Настоящий стандарт содержит основные положения и рекомендации по внедрению ГОСТ Р 53663.
В настоящем стандарте отражены основные принципы, рассматривающие намерения, типовые входные данные, процессы и типовые выходные данные по каждому разделу ГОСТ Р 53663. Это способствует лучшему пониманию и внедрению ГОСТ Р 53663.
Настоящий стандарт не содержит дополнительные требования к уже установленным в ГОСТ Р 53663 и не предписывает обязательные к выполнению требования ИСО 28000.
1 Область применения
Данный стандарт устанавливает требования к системам менеджмента безопасности, охватывая важные аспекты обеспечения безопасности цепи поставок. Эти аспекты включают в себя, но не ограничиваются вопросами финансирования, производства, управления информированием, а также средствами упаковки, хранения и передачи товаров между различными видами транспорта и местами нахождения. Менеджмент безопасности связан со многими другими аспектами бизнеса-менеджмента. Эти другие аспекты нужно рассматривать непосредственно там и тогда, где и когда они оказывают влияние на менеджмент безопасности, включая передачу товаров по всей цепи поставок.
Эти требования применимы ко всем организациям (от малых до многонациональных), занятых в производстве, обслуживании, хранении или транспортировке, на любом этапе производства или цепи поставок, которые желают:
а) разрабатывать, внедрять, поддерживать в рабочем состоянии и улучшать систему менеджмента безопасности,
b) обеспечивать соответствие с утвержденной политикой в области менеджмента безопасности,
е) демонстрировать такое соответствие другим организациям;
d) получать подтверждение соответствия своей системы менеджмента безопасности у аккредитованного органа по сертификации;
е) самостоятельно определять и декларировать соответствие настоящему стандарту.
Организации, которые в дальнейшем выбирают подтверждение соответствия у аккредитованного органа по сертификации, могут продемонстрировать, что они значительно способствуют обеспечению безопасности цепи поставок.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО 9001-2008 Системы менеджмента качества. Требования
ГОСТ Р ИСО 14001-2007 Системы экологического менеджмента. Требования и руководство по применению
ГОСТ Р ИСО 19011-2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 средство (facility): Предназначенный для выполнения определенной функции или оказания услуги технологический комплекс в том числе предприятие, обеспечивающее его функционирование, здание, сооружение, устройство или оборудование, а также транспортное средство.
3.2 безопасность (security): Сопротивление преднамеренному акту незаконного вмешательства, рассчитанному на нанесение вреда или ущерба цепи поставок или посредством цепи поставок.
3.3 менеджмент безопасности (security management): Систематизированные и скоординированные действия и методы, с помощью которых организация оптимально управляет своими рисками и связанными с ними потенциальными угрозами и воздействиями.
3.4 цель в области менеджмента безопасности (security management objective): Требуемый в интересах безопасности определенный результат или достижение, удовлетворяющее политику в области менеджмента безопасности.
3.5 политика в области менеджмента безопасности (security management policy): Совокупность намерений и стремлений организации в отношении безопасности, а также структура управления процессами и деятельностью в области безопасности, которые соответствуют политике организации и нормативным требованиям.
3.6 программы в области менеджмента безопасности (security management programmes): Методы, с помощью которых достигаются цели в области менеджмента безопасности.
3.7 задача в области менеджмента безопасности (security management target): Специальный уровень эксплуатации, который требуется для достижения цели в области менеджмента безопасности.
3.8 заинтересованное лицо (stakeholder): Физическое или юридическое лицо, заинтересованное в исполнении организацией своих функций, достижении успеха или влияющее на ее деятельность.
3.9 цепь поставок (supply chain): Взаимосвязанный набор ресурсов и процессов, начинающийся с получения сырья и простирающийся через доставку продукции или услуг конечному пользователю посредством транспортных систем.
3.9.1 фаза постконтроля (downstream): Действия, процессы и движения груза в цепи поставок, которые происходят после того, как груз выходит из-под непосредственного оперативного контроля организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваясь этим.
3.9.2 фаза предконтроля (upstream): Действия, процессы и движения груза в цепи поставок, которые происходят прежде, чем груз оказывается под непосредственным оперативным контролем организации, включая страхование, финансирование, управление данными, а также упаковку, хранение и перемещение груза, но не ограничиваясь этим.
3.10 постоянное улучшение (continual improvement): Периодически повторяющийся процесс усиления системы менеджмента безопасности для усовершенствования всей работы в отношении безопасности, соответствующей политике организации в этой области.
3.11 риск (risk): Вероятность реализации акта незаконного вмешательства и его последствия.
3.12 проверка на допуск (security cleared): Процесс проверки надежности людей, которые получат доступ к конфиденциальным материалам по вопросам безопасности.
3.13 угроза (threat): Любое возможное преднамеренное действие или ряд действий разрушающего характера в отношении каких-либо заинтересованных сторон, средств, операций, цепей поставок, общества, экономической устойчивости, целостности бизнеса и хозяйственной деятельности.
4 Элементы системы менеджмента безопасности
4.1 Общие требования
Организация должна разрабатывать, документировать, внедрять, поддерживать в рабочем состоянии и постоянно улучшать результативность системы менеджмента безопасности с тем, чтобы идентифицировать риски в области безопасности, управлять ими, а также смягчать их последствия.
Организация должна постоянно улучшать эффективность своей деятельности в соответствии с требованиями, изложенными в разделе 4.
Организация должна определить область применения своей системы менеджмента безопасности. Если организация принимает решение о передаче сторонней организации какого-либо процесса, влияющего на соответствие требованиям данного стандарта, она должна обеспечить со своей стороны контроль за таким процессом. Необходимые рычаги управления и ответственность за выполнение таких процессов должны быть определены в рамках системы менеджмента безопасности.
Организация должна разрабатывать и поддерживать в рабочем состоянии систему менеджмента, которая соответствует требованиям ГОСТ Р 53663. Это позволяет организации соблюдать законодательные и иные нормативные правовые акты в области обеспечения безопасности и охраны.
Уровень детализации и сложность системы менеджмента безопасности, а также объемы документации и используемых ресурсов зависят от размера и структуры организации и специфики ее деятельности.
Организация обладает свободой и гибкостью в определении области применения ГОСТ Р 53663 и может избрать внедрение стандарта как применительно ко всей организации в целом, так и к отдельным структурным подразделениям или определенным услугам, предоставляемым организацией.
При определении области применения и масштаба системы менеджмента безопасности необходимо соблюдать осторожность. Организациям не следует пытаться ограничивать область применения таким образом, чтобы исключать из оценки структурные подразделения или услуги, деятельность которых необходима для общего функционирования организации в целом, а также исключать те аспекты, которые могут напрямую влиять на обеспечение безопасности персонала и других заинтересованных сторон.
При внедрении ГОСТ Р 53663 в отдельном структурном подразделении или для определенной услуги, предоставляемой организацией, могут быть использованы существующие в организации политика и процедуры в области обеспечения безопасности, разработанные для иных подразделений. Эти политика и процедуры потребуют пересмотра и внесения соответствующих изменений, учитывающих специфику функционирования такого структурного подразделения или особенности предоставляемой услуги.
c) Типовые входные данные
Все требования по входным данным определены в ГОСТ Р 53663.
d) Типовые выходные данные
Типовым выходным данным является эффективно внедренная и поддерживаемая в рабочем состоянии система менеджмента безопасности, которая помогает организации в постоянном стремлении к улучшению.
4.2 Политика в области менеджмента безопасности
Высшее руководство организации должно официально определять общую политику в области менеджмента безопасности. Эта политика должна:
а) быть согласованна с политикой организации в других областях;
b) предусматривать структуру, которая позволяет достигать цели и выполнять задачи и программы, специфичные для менеджмента безопасности;
с) соответствовать общей структуре управления угрозами и рисками безопасности в организации;
d) соответствовать угрозам организации, характеру и масштабам ее деятельности;
е) четко определять все или основные цели в области менеджмента безопасности;
f) включать в себя обязательство постоянного улучшения процесса менеджмента безопасности;
g) включать в себя обязательство соответствовать законодательным, нормативным и уставным требованиям, применяемым в настоящее время, а также иным требованиям, предписанным для организации;
h) быть официально одобренной высшим руководством;
i) документироваться, внедряться и поддерживаться в рабочем состоянии;
j) доводиться до сведения всего соответствующего персонала и третьих лиц, включая подрядчиков и посетителей, имея в виду, что эти лица должны знать свои индивидуальные обязательства в отношении менеджмента безопасности;
k) быть доступной для заинтересованных лиц, если это необходимо;
l) предусматривать ее анализ в случае приобретения другой организации или слияния с другими организациями, или при других изменениях области бизнеса организации, которые могут повлиять на стабильность или пригодность системы менеджмента безопасности.
Документированная политика в области менеджмента безопасности должна быть сформулирована и утверждена высшим руководством организации.
c) Типовые входные данные
При разработке политики в области менеджмента безопасности высшему руководству, особенно в отношении собственных цепей поставок, следует учитывать:
— политику и цели, согласующиеся с деятельностью организации в целом;
— историческую и текущую деятельность организации в области обеспечения безопасности;
— потребности заинтересованных сторон;
— возможности и потребность в постоянном улучшении;
— содействие подрядчиков, заинтересованных сторон и другого стороннего персонала.
При разработке и утверждении политики в области менеджмента безопасности высшему руководству следует учитывать нижеприведенные требования.
Эффективно сформулированная и понятная политика в области менеджмента безопасности должна:
1) соответствовать характеру и масштабам рисков для организации.
Идентификация угроз, оценка рисков и риска-менеджмента, являясь основой эффективной системы менеджмента безопасности, должны найти отражение в политике в области менеджмента безопасности.
Политика в области менеджмента безопасности должна учитывать потенциал организации, соответствовать действительности, а также исключать преувеличение или приуменьшение рисков для организации;
2) содержать обязательство по постоянному улучшению эффективности системы менеджмента безопасности.