ISO 28004-2:2014
(Main)Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
ISO 28004-2:2014 identifies supply chain risk and threat scenarios, procedures for conducting risks/threat assessments, and evaluation criteria for measuring conformance and effectiveness of the documented security plans in accordance with ISO 28000 and the ISO 28004 series implementation guidelines. An output of this effort will be a level of confidence rating system based on the quality of the security management plans and procedures implemented by the seaport to safeguard the security and ensure continuity of operations of the supply chain cargo being processed by the seaport. The rating system will be used as a means of identifying a measurable level of confidence (on a scale of 1 to 5) that the seaport security operations are in conformance with ISO 28000 for protecting the integrity of the supply chain.
Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Lignes directrices pour la mise en application de l'ISO 28000 — Partie 2: Lignes directrices pour l'adoption de l'ISO 28000 lors de l'utilisation dans les opérations portuaires petites et moyennes
General Information
Relations
Standards Content (Sample)
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28004-2
Первое издание
2014-02-01
Системы менеджмента безопасности
цепи поставок. Руководящие
указания по внедрению ISO 28000
Часть 2:
Руководящие указания по принятию
ISO 28000 для использования в
работе средних и малых морских
портов
Security management systems for the supply chain — Guidelines for
the implementation of ISO 28000 —
Part 2: Guidelines for adopting ISO 28000 for use in medium and small
seaport operations
Ссылочный номер
ISO 28004-2:2014(R)
©
ISO 2014
---------------------- Page: 1 ----------------------
ISO 28004-2:2014(R)
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2014
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по соответствующему адресу, указанному ниже, или комитета-члена ISO в стране
заявителя.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2014 – Все права сохраняются
---------------------- Page: 2 ----------------------
ISO 28004-2:2014(R)
Содержание Страница
Предисловие . iv
Введение . v
1 Область применения . 1
2 Общее представление . 1
2.1 Цель . 1
2.2 Предпосылки . 1
2.3 Требования ISO 28000, 4.3.1 по оценке рисков безопасности . 2
2.4 Требования по оценке рисков . 3
3 Зоны риска морского порта для цепи поставок . 7
3.1 Общие положения . 7
3.2 Несчастные случаи — Функционирование порта . 7
3.3 Риски криминальных действий . 8
3.4 Риски пожаров . 10
3.5 Финансовые риски заинтересованных сторон . 11
3.6 Риски, связанные с трудовыми ресурсами . 13
3.7 Риски поломки механизмов/оборудования . 14
3.8 Риски, связанные с политикой и деятельностью правительства . 15
3.9 Риски от террористической деятельности . 17
3.10 Риски, связанные с погодой . 19
4 Критерии оценки плана по безопасности порта и процесс определения рейтинга . 20
4.1 Общие положения . 20
4.2 Процесс и процедуры оценки плана по безопасности . 21
4.3 Критерии оценки соответствия . 21
4.4 Использование процедур ISO 20858 оценки безопасности . 22
4.5 Рейтинговая система оценки плана по безопасности . 23
Библиография . 25
© ISO 2014 – Все права сохраняются iii
---------------------- Page: 3 ----------------------
ISO 28004-2:2014(R)
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Процедуры, используемые для разработки настоящего документа и предназначенные для его
дальнейшего поддержания, указаны Части 1 Директив ISO/IEC. В особенности следует отметить, что
для различных типов документов ISO необходимы разные критерии для утверждения. Настоящий
документ был разработан в соответствии с редакционными правилами Части 2 Директив ISO/IEC.
(см. www.iso.org/directives).
Обращается внимание на возможность патентования некоторых элементов данного международного
стандарта. ISO не несет ответственности за идентификацию какого-либо или всех таких патентных прав.
Детали любых патентных прав, идентифицированных при разработке документа, должны содержаться в
Введении и/или в перечне полученных патентов ISO. (см. www.iso.org/patents).
Любое фирменное наименование в настоящем документе является информацией, предоставляемой
для удобства пользователей, и не носит рекомендательный характер.
Для объяснения смысла специальных терминов и выражений ISO, связанных с оценкой соответствия, а
также для информации о приверженности ISO принципам WTO Соглашения по техническим барьерам в
торговле (TBT) следует использовать следующий указатель URL: Foreword - Supplementary information
За настоящий документ несет ответственность Технический комитет ISO/TC 8, Суда и морские
технологии.
Настоящее первое издание ISO 28004-2 отменяет и замещает ISO/PAS 28004-2:2012. Оно также
включает Поправку ISO 28004-1:2007/DAmd1.
ISO 28004 состоит из следующих частей под общим названием Системы менеджмента безопасности
цепи поставок. Руководящие указания по внедрению ISO 28000:
— Часть 1: Общие принципы
— Часть 2: Руководящие указания по принятию ISO 28000 для использования в средних и мелких
операциях в морских портах
— Часть 3: Дополнительное специальное руководство по принятию ISO 28000 для использования в
операциях среднего и малого бизнеса (кроме морских портов)
— Часть 4: Дополнительное специальное руководство по внедрению ISO 28000, когда
соответствие ISO 28001 является предметом менеджмента
iv © ISO 2014 – Все права сохраняются
---------------------- Page: 4 ----------------------
ISO 28004-2:2014(R)
Введение
Настоящая часть ISO 28004 разработана для предоставления руководства и расширенной информации
средним и малым морским портам, имеющим намерение принять ISO 28000. Расширенная информация
предназначена для повышения качества, а не для изменения, общих руководящих указаний, на данный
момент определенных в ISO 28004. Не было разработано никаких изменений к ISO 28004, кроме
добавления приложений.
Связь с соответствующими техническими стандартами ISO
Существует несколько учрежденных и находящихся на рассмотрении связанных технических стандартов
ISO, которые в паре с настоящей частью ISO 28004 предоставляют дополнительные руководящие
указания и инструкции для операторов морских портов при создании своих планов менеджмента
безопасности и оценке возможности этих планов защитить целостность цепи поставок груза,
осуществляемых в прямом соответствии с этими планами. В настоящей части ISO 28004 имеются
ссылки на эти международные стандарты ISO 220858, ISO 28001, ISO 28002, ISO 28003, включая серию
ISO 28004, чтобы обеспечить конкретные руководящие указания операторам. Взаимосвязь этих
международных стандартов с ISO 28000 представлена в Таблице 1.
Таблица 1 — Соответствующие технические стандарты ISO
Технический Техническое описание
стандарт ISO
ISO 28004-1 Содержит руководство для органов сертификации
по оценке соответствия организации требованиям
ISO 28000.
ISO 20858 Содержит профессиональную интерпретацию
кодекса ИМО по охране судов и портовых средств
(IMO ISPS) для безопасности портовых сооружений
и руководства по оценке портовых планов
менеджмента безопасности и принятых рабочих
процедур.
ISO 28001 Содержит требования по безопасности в
соответствии с основными положениями программы
уполномоченного экономического оператора,
разработанной Всемирной таможенной
организацией (WCO)
ISO 28002 Содержит руководство для разработки политики,
предусматривающей увеличения устойчивости цепи
поставок организации
ISO 28003 Содержит руководство для органов сертификации
по оценке соответствия организации требованиями
ISO 28000
© ISO 2014 – Все права сохраняются v
---------------------- Page: 5 ----------------------
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28004-2:2014(R)
Системы менеджмента безопасности цепи поставок.
Руководящие указания по внедрению ISO 28000
Часть 2.
Руководящие указания по принятию ISO 28000 для
использования в работе средних и малых морских портов
1 Область применения
Настоящая часть ISO 28004 определяет риски и сценарии угроз для цепи поставок, процедуры
выполнения оценки рисков/угроз и определения критериев соответствия и эффективности
разработанных планов по безопасности в соответствии с руководящими указаниями по внедрению
ISO 28000 и серии ISO 28004. Результатом этого будет уровень достоверной рейтинговой системы,
основанной на качестве планов менеджмента безопасности и процедурах, внедренных морским
портом с целью гарантии безопасности и обеспечения непрерывности операций в цепи поставок
грузов, подлежащих обработке в порту. Рейтинговая система будет использоваться в качестве способа
определения измеряемого уровня достоверности (от 1 до 5), показывающего насколько операции
обеспечения безопасности морского порта соответствуют ISO 28000 в плане защиты целостности цепи
поставок.
2 Общее представление
2.1 Цель
Целью настоящей части ISO 28004 является предоставление руководства средним и малым портам,
желающим внедрить ISO 28000. Эти руководящие указания предусматривают критерии самооценки,
которые эти порты могут использовать при внедрении ISO 28000. Хотя критерии самооценки не будут
иметь результата при сторонней сертификации, они могут использоваться для определения
возможности планов менеджмента безопасности заинтересованных сторон в морских портах
защищать целостность цепи поставок в соответствии с положениями и руководящими указаниями,
определенными в ISO 28000 и серии ISO 28004. Задача состоит в разработке рейтинг-шкалы
показателей оценок рисков, которая может быть использована при определении возможности
портовых планов менеджмента безопасности обеспечить непрерывную защиту безопасности и
постоянные операции в цепи поставок грузов, подлежащих приему, хранению и перемещению морским
портом. Применение таких критериев самооценки позволит пользователям определить адекватность
внедрения морским портом каждого требования ISO 28000.
2.2 Предпосылки
Международный Кодекс по охране судов и портовых средств (ISPS) требует, чтобы администрация
морского порта разработала свой комплексный план обеспечения безопасности, который включает
грузы, находящиеся под ее прямым контролем. План порта по обеспечению безопасности должен
рассматривать приложения, системы безопасности и рабочие мероприятия, предназначенные для
защиты персонала, портовых сооружений, судов у причала, грузов и грузовых транспортных единиц,
включая железнодорожный пути и участки местности внутри физических границ организации порта, от
рисков акта незаконного вмешательства (ISO 20858 содержит четкое руководство по удовлетворению
этих требований). ISO 28000 и серия ISO 28004 предоставляют руководящие указания для защиты
глобальной цепи поставок на высоком уровне, но не предусматривают достаточно специальных
деталей, которые обеспечивают совместимую степень внедрения, чтобы охватить все положения и
приложения по безопасности для больших, средних и малых морских портов, которые являются
составными частями инфраструктуры безопасности глобальной цепи поставок. Чтобы обеспечить
© ISO 2014 – Все права сохраняются 1
---------------------- Page: 6 ----------------------
ISO 28004-2:2014(R)
долговременную и последовательную безопасность цепи поставок необходимо, чтобы каждая
заинтересованная сторона в этой интегрированной глобальной цепи осмыслила свою ответственность
за содействие безопасности и постоянству доставки грузов.
Средние и малые морские порты являются составной частью инфраструктуры цепи поставок, особо
принимая во внимание, что такие порты обычно являются первой входной точкой для большинства
грузов, отправляемых и доставляемых в местные и международные пункты назначения. Эти малые
порты для грузов, отправляемых в большие мега порты, являются фидерными портами, в которых эти
грузы собираются и распределяются для отправки по всему миру. Поэтому критически важно, чтобы
эти средние и малые морские порты внедряли и поддерживали проверенные положения по
безопасности, которые обеспечат защиту и непрерывное безопасное прохождение обрабатываемых
грузов.
Хотя ISO 28000 и серия ISO 28004 дают общее представление о предполагаемых требованиях
безопасности цепи поставок, существует ограниченное число инструкций, требований и критериев
приемки, которые предоставляют возможность разработать и внедрить план менеджмента
безопасности, который должен обеспечить соответствие установленным в ISO 28000 стандартам.
Поэтому настоящая часть ISO 28004 разработана для предоставления методов, процедур,
руководящих указаний и критериев приемки, которые будут использоваться для оценки уровня
соответствия положениям по безопасности, данным в ISO 28004.
2.3 Требования ISO 28000, 4.3.1 по оценке рисков безопасности
В ISO 28000, 4.3.3. утверждается “При установлении и пересмотре своих целей организация должна
принимать во внимание: a) правовые, законодательные и другие регулирующие требования”. Кодекс
ISPS, принятый каждой страной-участницей устанавливает такие требования по оценке рисков
безопасности. Раздел 4.3.1 ISO 28000 требует, чтобы заинтересованные стороны порта и
регулирующие организации установили и поддерживали процедуры для непрерывной идентификации
и оценки угроз безопасности, угроз, связанных с менеджментом безопасности, и рисков, а также для
определения и внедрения необходимых мер контроля менеджмента с целью защиты цепи поставок.
Способы идентификации, оценки и контроля угроз и рисков для безопасности должны, как минимум,
соответствовать характеру и масштабу деятельности морского порта. Такая оценка учитывать
вероятность события и все его последствия для заинтересованных сторон, угрозы для непрерывности
операций, защиту цепи поставок и восстановление в аварийных ситуациях. Конкретно при оценке
рисков должно быть рассмотрено минимум следующее:
a) Угрозы и риски для функционирования, включая контроль безопасности, человеческий фактор и
другие виды деятельности, влияющие на работу организации, ее состояние или безопасность.
b) Естественные природные явления (штормы, наводнения, сильные ветры и т.д.), которые могут
сделать меры безопасности и работу оборудования неэффективными.
c) Факторы, находящиеся вне контроля организации такие, как отказы поставляемого оборудования и
сервиса, изменения национальной и международной политики и нормативных документов в сфере
безопасности и политические перемены, влияющие на права собственности и функционирование
морского порта.
d) Угрозы и риски для заинтересованных сторон такие, как недостаточность соответствия
нормативным требованиям, финансовые ограничения или смены собственников, которые влияют
на функционирование порта и безопасность цепи поставок.
e) Разработка, установка, валидация и обслуживание оборудования безопасности, включая
установку новых систем и обучение персонала эксплуатации, ремонту и техническому
обслуживанию.
f) Ошибки в предоставлении критической информации, в менеджменте данных и системах
коммуникации, используемых для управления и защиты в цепи поставок.
Заинтересованные организации морского порта, ответственные за защиту безопасности цепи поставок
грузов должны гарантировать, что эти оценки и соответствующие меры управления по безопасности
2 © ISO 2014 – Все права сохраняются
---------------------- Page: 7 ----------------------
ISO 28004-2:2014(R)
готовы к использованию для защиты целостности цепи поставок. Портовый план менеджмента
безопасности должен содержать положения и процедуры рассмотрения целей системы безопасности,
требований по функционированию, оценок и уменьшения вероятности рисков, непрерывности
функционирования и шагов по восстановлению в аварийных ситуациях. В частности, план должен
рассматривать следующее:
— Установление требований к проектированию, рабочим характеристикам, установке, сертификации
и эксплуатации систем и оборудования по безопасности;
— Определение штата персонала, уровня квалификации и потребности в обучении, необходимых
для эксплуатации и обслуживания систем и оборудования по безопасности (ISO 28000, 4.4.2);
— Определение общей угрозы организации и оценка рисков, а также схемы менеджмента по
уменьшению вероятности определенных рисков;
— Непрерывность обеспечения работы и шаги по восстановлению в аварийных ситуациях, которые
должны быть внедрены, чтобы восстановить системы безопасности цепи поставок и приведения
морского порта в полное рабочее состояние.
Организация должна документировать упомянутую выше информацию, поддерживать ее на
современном уровне и иметь персонал, обученный для понимания и применения планов по
эксплуатации и безопасности и процедур, определенных в плане. Методология организации по
определению угроз и рисков, их оценке и ограничению последствий должна, как минимум:
— Быть четко определенной по отношению к ее области применения, ролей и обязанностей
заинтересованных сторон, ожидаемой природе и сроках рисков и угроз, чтобы обеспечить ее
более упреждающий, нежели реагирующий характер;
— Определять и отслеживать источники информации, чтобы документировать существующие и
определять будущие угрозы и риски безопасности цепи поставок;
— Предоставлять классификацию угроз и рисков и определение шагов по ограничению тех из них,
которые следует отклонить, устранить или контролировать;
— Предусматривать мониторинг действий, чтобы гарантировать эффективность и своевременность
их внедрения (ISO 28000, 4.5.1), что обеспечит непрерывную защиту цепи поставок.
План менеджмента безопасности морского порта должен быть плановой частью процедур постоянного
улучшения для подержания персонала и систем морского порта на уровне, соответствующем угрозам,
рискам и потребностям эксплуатационной безопасности для защиты цепи поставок.
Процессы определения угроз безопасности, оценки и менеджмента рисков, а также их результаты
должны являться основой для разработки и внедрения комплексной системы безопасности цепи
поставок. Важно, чтобы связи между процессами определения угроз безопасности, оценки рисков,
менеджмента рисков и другими элементами системы менеджмента безопасности были четко
установлены, постоянно отслеживались и обновлялись, чтобы отражать любые изменения в оценке
угроз и рисков для операций порта по защите цепи поставок.
2.4 Требования по оценке рисков
2.4.1 Общие положения
Процессы определения угроз безопасности, оценки и уменьшению вероятности рисков являются
ключевыми в менеджменте, контроле и устранении рисков для безопасности и непрерывной работы
цепи поставок. План менеджмента безопасности порта должен отражать каждую из этих сфер и
предусматривать конкретные роли и обязанности для каждой заинтересованной стороны, вовлеченной
в деятельность по защите цепи поставок.
© ISO 2014 – Все права сохраняются 3
---------------------- Page: 8 ----------------------
ISO 28004-2:2014(R)
2.4.2 Соображения по оценке рисков для средних и малых морских портов
Целью документа является разработка процесса для оценки рисков цепи поставок и готовых к
использованию шагов для минимизации и предотвращения большинства срывов в цепи поставок
грузов, транспортируемых через средние и малые морские порты. Эти порты обычно являются
внутренними входными точками для большого сегмента грузов, которые отправляются в
международные морские порты крупных и очень крупных размеров. Грузы, поступают на
железнодорожном, автомобильном или морском транспорте с мест предварительного контроля в
порты, где они или перемещаются, или собираются на определенных площадях. Поэтому необходимо
определить и оценить возможность порта хранить груз и поддерживать ожидаемый темп поставок при
обработке грузов в порту.
Требования по сбору ввезенных грузов, обработке, складированию, погрузке/разгрузке и
окончательной отправке, план операций порта и планы по обеспечению безопасности дают в
результате функциональную непрерывность оперативных планов (COOP) для определенных рисков,
связанных с количеством, потоками и типом обрабатываемых в порту грузов. Для каждого
определенного риска и/или угрозы для потока грузов порт должен иметь готовый к использованию
план с целью избежать, предотвратить или минимизировать воздействие рисков при работе, а также
официальный план восстановления в аварийных ситуациях, чтобы обеспечить преемственность COOP
для порта и грузовых потоков. Этим планам, разработанным и поддерживаемым операторами порта и
ассоциированными заинтересованными сторонами, после оценки должен быть присвоен
сертификационный номер/уровень достоверности, который может использоваться для определения
степени соответствия ISO 28000 и серии ISO 28004 по защите цепи поставок.
Основным результатом документа будет набор руководящих указаний по оценке соответствия планов
менеджмента безопасности морского порта серии ISO 28004. Руководящие указания должны включать
определение рисков и угроз для функционирования порта, а также документированные процедуры и и
методы, внедренные заинтересованными сторонами морского порта по предотвращению,
обнаружению, реагированию и возвращению порта к нормальной работе, чтобы защитить и
обеспечить непрерывность операций цепи поставок.
2.4.3 Цель
Целью является разработка и документирование ряда процедур для определения возможности
средних и малых морских портов соответствовать требованиям по безопасности цепи поставок,
определенным в ISO 28000 и ISO 28004, по выявлению угроз и рисков для их функционирования
Процессы определения угроз безопасности, оценки и менеджмента рисков являются ключевыми при
менеджменте и уменьшении рисков безопасности работы цепи поставок. Угрозы и риски безопасности
могут значительно меняться в инфраструктуре цепи поставок от небольших инцидентов до
полномасштабных провалов в безопасности грузов. Необходимо: (a) определить, охарактеризовать
угрозы и риски, которые являются специфическими для небольших портов, и выявить возможные
воздействия на безопасность работы порта; (b) оценить действия порта по их ограничению и шаги по
предотвращению, разработанные в ответ на выявленные угрозы/риски; (c) и затем оценить
возможность морского порта поддерживать целостность цепи поставок обрабатываемых в порту
грузов. План менеджмента безопасности порта далее должен быть рассмотрен с целью определения
возможности порта защитить цепь поставок от выявленных угроз и рисков для его функционирования.
2.4.4 Процесс
Процессы определения угроз безопасности, оценки и менеджмента рисков являются ключевыми при
менеджменте рисков. Процессы определения угроз безопасности, оценки и менеджмента рисков
значительно меняются в различных отраслях промышленности, от элементарной оценки до
комплексного количественного анализа обширной документации. Поэтому заинтересованные стороны
и агенты морского порта должны поддерживать комплексный план менеджмента безопасности,
который рассматривает угрозы и риски для их деятельности.
Заинтересованные стороны и агентства, ответственные за безопасность цепи поставок, а также
операторы порта должны разработать и поддерживать план менеджмента безопасности, который
определяет все вероятные угрозы и риски для порта и безопасности операций и включает стратегию
4 © ISO 2014 – Все права сохраняются
---------------------- Page: 9 ----------------------
ISO 28004-2:2014(R)
уменьшения вероятности, процедуры восстановления для защиты целостности цепи поставок. Для
каждого оператора морского порта должна быть выполнена оценка качества и потенциальной
возможности внедренного им плана безопасности полностью защитить цепь поставок от выявленных
угроз и рисков, которые он контролирует, или на которые влияет. В качестве индикаторов для
определения возможности обеспечения безопасности морского порта, определяется, как минимум,
следующее:
— Достигаются ли политика и цели ISO в области безопасности;
— Все ли выявленные угрозы и риски безопасности цепи поставок контролируются и/или смягчаются
надлежащим образом, предприняты ли были меры противодействия и эффективны ли они;
— Является ли персонал по безопасности осведомленным и обученным процедурам защиты,
обнаружения, ограничения последствий и восстановления, необходимым для защиты
безопасности цепи поставок;
— Установлены ли планы восстановления в случае инцидента и непрерывность рабочих планов
(COOP) с адекватными мерами для быстрого восстановления портовых систем и оборудования по
безопасности для защиты цепи поставок;
— Готовы ли к использованию процессы постоянного улучшения для изучения сбоев в системах
менеджмента безопасности, включая инциденты и случаи, близкие к ним;
— Проводятся ли регулярно обучение и занятия для обеспечения того, что персонал
заинтересованных сторон соответствующе подготовлен и знает свои предписанные роли и
обязанности по защите от инцидентов для безопасности и реагированию на них.
Критерии функционирования для менеджмента угроз и рисков цепи поставок должна учитывать
вероятность возникновения, уязвимость систем безопасности, предполагаемое воздействие на
безопасность операций и шаги по восстановлению для обеспечения непрерывной защиты
безопасности. Критерии оценки функционирования будут отражать возможности плана по устранению
или снижению до возможного минимума риска безопасности посредством уменьшения вероятности
возникновения или потенциальной тяжести воздействия от инцидентов, связанных с безопасностью.
2.4.5 Предполагаемые исходные данные
Для операций портов, имеющих размеры от среднего до малого, существует, по крайней мере, девять
категорий зон потенциальных рисков и угроз многочисленных сбоев в цепи поставок грузов, которые
принимаются, обрабатываются, хранятся или отгружаются организациями заинтересованных сторон
порта, ответственными за обеспечение безопасности целостности грузов, находящихся в порту. Эти
категории включают следующее:
— Несчастные случаи на объектах порта с персоналом, оборудованием, грузом и случаи разливов
жидкостей;
— Криминальные действия такие, как хищения, вандализм и контрабанда;
— Пожары в зданиях, на оборудовании, на борту судов и на прилегающих к порту территориях;
— Финансовые проблемы портовых и транспортных организаций;
— Трудовые конфликты, включая забастовки, недостаток персонала и проблемы профессиональной
подготовки;
— Поломки механизмов/оборудования, которые выводят из эксплуатации большинство
обеспечивающих единиц (краны, коммуникационное оборудование, погрузчики для перемещения
грузов) на продолжительный период времени;
— Политические конфликты, которые включают правительственные ограничения, новые стратегии и
нормативные документы, которые влияют на портовые операции;
© ISO 2014 – Все права сохраняются 5
---------------------- Page: 10 ----------------------
ISO 28004-2:2014(R)
— Террористическая деятельность, которая физически разрушает/наносит ущерб функционированию
порта и/или нарушает движение грузов из-за обнаружения контрабанды, что вынуждает порт
закрываться до ликвидации контрабанды и очистки порта для возобновления нормальной работы;
— Проблемы, связанные с погодой такие, как естественные природные явления (сильные бури,
ветер, жара, холод, лед, снегопады и наводнения), которые могут нарушить работу и сделать
неэффективными меры безопасности и оборудование на период от нескольких часов до
нескольких дней/недель.
Каждая из этих девяти категорий представляет уровень риска для непрерывного функционирования
морского порта, что может повлиять на безопасность цепи поставок. Как только определены исходные
параметры, которые описывают характер и уровень риска для портовых операций в каждой из этих
категорий угроз и рисков, далее эти исходные данные становятся основой для разработки стратегий
предотвращения и ограничения последствий, чтобы минимизировать воздействие и сформулировать
планы восстановления в случае осуществления рисков и угроз. В следующих разделах
рассматриваются оценки рисков, стратегии их ограничени
...
INTERNATIONAL ISO
STANDARD 28004-2
First edition
2014-02-01
Security management systems for
the supply chain — Guidelines for the
implementation of ISO 28000 —
Part 2:
Guidelines for adopting ISO 28000
for use in medium and small seaport
operations
Systèmes de management de la sûreté pour la chaîne
d’approvisionnement — Lignes directrices pour la mise en application
de l’ISO 28000 —
Partie 2: Lignes directrices pour l’adoption de l’ISO 28000 lors de
l’utilisation dans les opérations portuaires petites et moyennes
Reference number
ISO 28004-2:2014(E)
©
ISO 2014
---------------------- Page: 1 ----------------------
ISO 28004-2:2014(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 28004-2:2014(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Overview . 1
2.1 Objective . 1
2.2 Background . 1
2.3 ISO 28000, 4.3.1 requirements for security risk assessment . 2
2.4 Risk assessment requirements . 3
3 Supply chain seaport risk areas . 6
3.1 General . 6
3.2 Accidents — Port operations . 6
3.3 Criminal activity risks . 7
3.4 Fire risks . 9
3.5 Stakeholder financial risks .10
3.6 Labour related risks .12
3.7 Mechanical/equipment breakdown risks .13
3.8 Political and governmental risks .14
3.9 Terrorist risks .15
3.10 Weather related risks .17
4 Seaport security plan evaluation criteria and rating process .18
4.1 General .18
4.2 Security plan evaluation process and procedures.18
4.3 Evaluation criteria for assessing conformance .19
4.4 Use of ISO 20858 security evaluation and assessment procedures .20
4.5 Security plan assessment rating system .20
Bibliography .22
© ISO 2014 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 28004-2:2014(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any
patent rights identified during the development of the document will be in the Introduction and/or on
the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 8, Ships and marine technology.
This first edition of ISO 28004-2 cancels and replaces ISO/PAS 28004-2:2012. It also incorporates the
Amendment ISO 28004-1:2007/DAmd1.
ISO 28004 consists of the following parts, under the general title Security management systems for the
supply chain — Guidelines for the implementation of ISO 28000:
— Part 1: General principles
— Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
— Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses
(other than marine ports)
— Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a
management objective
iv © ISO 2014 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 28004-2:2014(E)
Introduction
This part of ISO 28004 is designed to provide guidance and amplifying information for medium and
small seaports desiring to adopt ISO 28000. The amplifying information is designed to enhance, but not
alter, the general guidance currently specified in ISO 28004. No alterations to ISO 28004, other than the
addition of supplements, will be undertaken.
Relationship with ISO relevant technical standards
There are several established and pending related ISO technical standards that when coupled with
this part of ISO 28004, provide additional guidance and instructions for the seaport operators for
establishing their security management plans and evaluating the capability of those plans to protect
the integrity of the supply chain cargo while under their direct control. These international standards:
ISO 20858, ISO 28001, ISO 28002, ISO 28003, including the ISO 28004 series are referenced in this
part of ISO 28004 and in order to provide specific guidance steps to operators. The relevance of these
international standards to ISO 28000 is presented in Table 1.
Table 1 — Relevant ISO technical standards
ISO technical stand- Technical description
ard
ISO 28004-1 Provides guidance to certifying bodies on assessing
conformance of an organization with the requirements of
ISO 28000
ISO 20858 Provides a professional interpretation of the IMO ISPS for
port facility security and guidance for evaluating the port
security management plans and installed operational
procedures.
ISO 28001 Provides security requirements addresses the core secu-
rity requirements of the World Customs Organization
(WCO) Authorized Economic Operator Program
ISO 28002 Provides guidance on establishing a policy to enhance the
resilience of an organization’s supply chain
ISO 28003 Provides guidance to certifying bodies on assessing
conformance of an organization with the requirements of
ISO 28000
© ISO 2014 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 28004-2:2014(E)
Security management systems for the supply chain —
Guidelines for the implementation of ISO 28000 —
Part 2:
Guidelines for adopting ISO 28000 for use in medium and
small seaport operations
1 Scope
This part of ISO 28004 identifies supply chain risk and threat scenarios, procedures for conducting
risks/threat assessments, and evaluation criteria for measuring conformance and effectiveness of the
documented security plans in accordance with ISO 28000 and the ISO 28004 series implementation
guidelines. An output of this effort will be a level of confidence rating system based on the quality of the
security management plans and procedures implemented by the seaport to safeguard the security and
ensure continuity of operations of the supply chain cargo being processed by the seaport. The rating
system will be used as a means of identifying a measurable level of confidence (on a scale of 1 to 5) that
the seaport security operations are in conformance with ISO 28000 for protecting the integrity of the
supply chain.
2 Overview
2.1 Objective
The objective of this part of ISO 28004 is to provide guidance to medium and small ports that wish to adopt
ISO 28000. This guidance provides a self-evaluation criterion that could be used by these ports as they
implement ISO 28000. While the self-certification criteria will not result in a third party certification,
it can be used to determine the capability of the seaport stakeholders’ security management plans for
safeguarding the integrity of supply chain in accordance with the security provisions and guidelines
specified in ISO 28000 and the ISO 28004 series. The goal is to develop a risk assessment evaluation
rating scale metric that can be used to evaluate the capability of the port security management plans to
provide uninterrupted security protection and continuous operations for the supply chain cargo being
received, stored, and transferred by the seaport. The use of these self-evaluation criteria will enable the
user to determine if the seaport has addressed each requirement of ISO 28000 in adequate detail.
2.2 Background
The International Ship and Port Facility Security (ISPS) Code requires that each maritime port facility
develop a comprehensive port facility security plan that includes the cargo under their direct control.
The port security plan should address those applications, security systems and operations measures
designed to protect the personnel, port facilities, ships at berth, cargo, and cargo transport units,
including rail and ground within the port facility physical boundaries from the risks of a security
incident (ISO 20858 provides clear guidance on meeting these requirements). ISO 28000 and the
ISO 28004 series have established guidelines for protecting the Global Supply Chain at a very high level,
but do not provide enough specific detail that would allow a consistent level of implementation to cover
all of the security provisions and applications for large, medium and smaller seaports that are integral
parts of the global supply chain security infrastructure. To ensure long term and consistent security
of the supply chain, there is a need for each of the stakeholders in this integrated global network to be
measured and held accountable for contributing to the safety and uninterrupted delivery of goods.
The Medium and Small seaports are an integral part of the supply chain delivery infrastructure
especially considering that these ports are typically the first entry points for a majority of the goods
© ISO 2014 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO 28004-2:2014(E)
being shipped and distributed to local and international destinations. These smaller ports are the feeder
ports for goods being shipped to the larger mega ports for consolidating cargo for distribution to long
haul shipment to other mega ports and global destinations. Therefore, it is critical that these Medium and
Small sized seaports implement and maintain proven security provisions that can ensure the protection
and continued safe passage of goods being shipped through their port facilities.
While ISO 28000 and the ISO 28004 series provide general overviews of the expected requirements
to secure the supply chain, there are limited instructions, measurable requirements and acceptance
criteria that would allow an entity to create and implement a security management plan that would
ensure that the established standards in ISO 28000 were met. Therefore, this part of ISO 28004 is
designed to provide the methods, procedures, guidelines and acceptance criteria that will be used for
measuring the level of conformance with ISO 28004 security provisions.
2.3 ISO 28000, 4.3.1 requirements for security risk assessment
ISO 28000, 4.3.3 states “When establishing and reviewing its objectives, an organization shall take into
account: a) legal, statutory and other security regulatory requirements” The ISPS Code as adopted by
each member state establishes such security risk assessment requirements. Clause 4.3.1 of ISO 28000
therefore requires, the seaport stakeholders and governing organization establish and maintain
procedures for the ongoing identification and assessment of security threats, security management-
related threats and risks, and the identification and implementation of the necessary management
control measures to safeguard the supply chain. The security threats and risk identification, assessment
and control methods should, as a minimum, be appropriate to the nature and scale of the seaport
operations. This assessment shall consider the likelihood of an event and all of its consequences to the
seaport stakeholders, threats to continuity of operations, supply chain security, and disaster recovery.
Specifically, the risk assessment should address at a minimum, the following:
a) Operational threats and risks, including the control of the security, human factors and other
activities, which affect the organizations performance, condition or safety.
b) Natural environmental events (storms, floods, high winds, etc.), which may render security
measures and equipment ineffective.
c) Factors outside of the organization’s control, such as failures in externally supplied equipment and
services, changes in local and international security policies and regulations, and political changes
affecting seaport ownership and operations.
d) Stakeholder threats and risks such as failure to meet regulatory requirements, financial constraints,
or ownership changes that affect port operations and supply chain security.
e) Design, installation, validation and maintenance of security equipment including installation of new
systems and training of staff to operate, repair and maintain.
f) Failure of critical information, data management and communication systems used to manage and
safeguard the supply chain.
The seaport stakeholder organizations responsible for providing security protection for supply chain
goods shall ensure that the results of these assessments and the appropriate security controls are in
place to safeguard the integrity of the supply chain. The seaport Security Management Plan must provide
provisions and procedures for addressing the security system objectives, operational requirements,
risk assessment and mitigation, continuity of operations and disaster recovery steps. Specifically, the
plan should address the following:
— The determination of requirements for the design, specification, installation, certification and
operation of security devices and systems;
— Identification of security staffing resources, skill levels, and training needed to operate and maintain
security devices and systems (ISO 28000, 4.4.2);
2 © ISO 2014 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 28004-2:2014(E)
— Identification of the organization’s overall threat and risk assessment and management framework
to mitigate identified risks.
— Continuity of operation provisions and disaster recovery steps that will be implemented to restore
security systems for protecting the supply chain and restore the seaport to full operational status.
The organization shall document and keep the above information up to date and have personnel trained
in the understanding and application of the security and operational plans and procedures specified in
the plan. The organization’s methodology for threat and risk identification, assessment and mitigation
shall at a minimum do the following:
— Be clearly defined with respect to its scope, stakeholder roles and responsibilities, expected nature
and timing of risks and threats to ensure it is proactive rather than reactive.
— Identify and the monitor the collection of information sources to document existing and determine
future supply chain related security threats and risks.
— Provide for the classification of threats and risks and the identification of mitigation steps for those
that must be either avoided, eliminated or controlled.
— Provide for the monitoring of actions to ensure effectiveness and the timeliness of their
implementation (ISO 28000, 4.5.1) to ensure uninterrupted protection of the supply chain.
The seaport security management plan should be a planned part of the continuous improvement
procedures for keeping the seaport personnel and systems current with identified threats, risks and
operational security needs required to safeguard the supply chain.
The security threat identification, risk assessment and risk management processes and their outputs
should be the basis for developing and implementing a comprehensive supply chain security system. It is
important that the links between the security threat identification, risk assessment and risk management
processes and the other elements of the security management system are clearly established, continually
monitored and updated to reflect any changes in the threats and risks assessments to port operations
for safeguarding the supply chain.
2.4 Risk assessment requirements
2.4.1 General
Security threat identification, risk assessment and risk mitigation processes are key tools in the
management, control and elimination of risks to the security and continuous operation of the supply
chain. The seaport security management plan must address each of these areas and provide specific
roles and responsibilities for each stakeholder involved in safeguarding the supply chain.
2.4.2 Medium - small seaport risk assessment considerations
The goal of the document is to create a process for assessing the risk to the Supply Chain and what steps
are in place to minimize and prevent major disruptions to the supply chain cargo being transported
through the mid and small sized seaports. These seaports are usually the initial entry point for a large
segment of the goods being shipped to the larger and mega international seaports. Cargo entering
the ports from upstream locations via rail, truck and transport vessels that either transfer or collect
cargo stored at the port locations. Therefore the goal is to determine and assess the ability of the port
operations to safeguard the cargo and maintain the expected delivery pace of the products as goods
past through the seaport.
The inbound collection, processing, storage, loading/unloading of cargo and final outbound shipping
requirements and port operations plan and security plans that is designed to have a functional
Continuity of Operations Plan (COOP) designed around the identified and perceived risks associated
with the amount, flow and type of cargo being handled by the port. For each identified risk and/or threat
to the flow of goods through the port must have a plan in place to either avoid, prevent or minimize
the impact of the risks with work a rounds and formal disaster recover plans to provide COOP for the
© ISO 2014 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO 28004-2:2014(E)
port and the flow of goods. These plans that are developed and maintained by the port operations and
associated stakeholders will be evaluated and assigned a certification/level of confidence number that
can be used to measure the level of conformance with the ISO 28000 and the ISO 28004 series guidelines
for protection of the supply chain.
The major output of the document will be a set of guidelines to assess the conformance of the seaport
security management plans with the ISO 28004 series. The guidelines will cover the identification of
risks and threats to the seaport operations and the documented procedures and practices implemented
by the seaport stakeholders to prevent, detect, respond and restore the port to normal operational
status to safeguard and ensure the continuity of operations for the supply chain.
2.4.3 Intent
The intent is to create and document a set of procedures for measuring the capability of the Medium and
Small sized seaports to comply with the supply chain security requirements specified in ISO 28000 and
ISO 28004 for the identified threats and risks to their seaport operations. Security threat identification,
risk assessment and risk management processes are key tools in the management and reduction of
security risks to supply chain operations. Security threats and risks can vary greatly across the supply
chain infrastructure from minor incidents to full-scale breaches in cargo security. The goal is to (a),
identify and characterize those threats and risks that are specific to the smaller seaports; determine
the possible impacts to port security operations; (b), evaluate the seaport mitigation processes and
prevention steps developed in response to those threats/risks; (c), and then assess the capability of the
seaport to maintain the integrity of the supply chain for goods being transported through its facilities.
The seaport security management plan will then be evaluated to determine the capability of the seaport
to protect the supply chain against the identified threats and risks to their operations.
2.4.4 The process
Security threat identification, risk assessment and risk management processes are key tools in the
management of risk. Security threat identification, risk assessment and risk management processes
vary greatly across industries, ranging from simple assessments to complex quantitative analyses with
extensive documentation. Therefore, the seaport Stakeholder organizations and agencies must maintain
a comprehensive security management plan that addresses those threats and risks to their operations.
The seaport stakeholder organizations and agencies responsible for supply chain security, as well as
port operations, are required to create and maintain a security management plan that identifies all
credible threats and risks to port and security operations and creates mitigation strategies and recovery
procedures for safeguarding the integrity of the supply chain. Each seaport operation will be evaluated
on quality and capability of their implemented security plan to fully protect the supply chain against the
identified threats and risks that it either controls or has influence over. The performance indicators that
would be used to measure the capability of the seaport security protection provisions will include at a
minimum the following to determine if:
— The ISO security policy and security objectives are being achieved.
— All Identified threats and risks to supply chain security are being controlled and/or mitigated, as
appropriate and countermeasures have been implemented and are effective.
— Security personnel are knowledgeable and trained in the security protection, detection, mitigation
and recovery procedures needed to safeguard the supply chain.
— Incident recovery and continuity of operations plans (COOP) are well established with adequate
provisions for quickly restoring port security equipment and systems designed to protect the
supply chain.
— Continuous improvement processes are in place to learn from any security management system
failures, including security incidents and near misses.
4 © ISO 2014 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 28004-2:2014(E)
— Regularity scheduled security training and exercises are being conducted to ensure that stakeholder
personnel are current and aware of their assigned roles and responsibilities for protecting and
responding to security incidents.
Performance measures for the management of threats and risks to the supply chain will consider the
probability of occurrence, vulnerability of the security systems, expected impact to port security
operations and recovery steps to ensure continuity of security protection. The performance assessment
measures will reflect the capability of the plan for eliminating or reducing to a practicable minimum
security risk, either by reducing the likelihood of occurrence or the potential severity of impacts from
security related incidents.
2.4.5 Expected inputs
For the medium to small seaport operations, there are at least nine universal risk and threat category
areas that have the potential for major disruptions to the supply chain for cargo being transferred
in, processed, stored and transferred out by the seaport stakeholder organizations responsible for
safeguarding the integrity of the cargo while in port. These categories include the following:
— Accidents that occur in the port facilities involving staff, equipment, cargo and fluid spills.
— Criminal Activities such as theft, vandalism, and contra band smuggling.
— Fire to building facilities, equipment, on board vessels and surrounding port areas.
— Financial issues with port operations and transportation stakeholders.
— Labour unrest including labour strikes, staff shortages and skills trainings
— Mechanical/Equipment breakdowns that put major support items (Cranes, communications
equipment, cargo movement loaders) out of commission for extended periods of time.
— Political unrest that includes government restrictions, new policies and regulations that impact
port operations.
— Terrorist activities that physically attack/damage port operations and/or disrupt the flow of cargo
due to the discovery of contraband that forces the port to close until contraband can be removed
and the port cleared for resume normal operations.
— Weather related issues such as natural environmental events (severe storms, wind, heat, cold,
ice, snow and floods) that can disrupt operations and render security measures and equipment
ineffective for several hours to several days/weeks.
Eac
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.