ISO 28004-3:2014
(Main)Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports)
Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports)
ISO 28004-3:2014 has been developed to supplement ISO 28004-1 by providing additional guidance to medium and small businesses (other than marine ports) that wish to adopt ISO 28000. The additional guidance in ISO 28004-3:2014, while amplifying the general guidance provided in the main body of ISO 28004-1, does not conflict with the general guidance, nor does it amend ISO 28000.
Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Lignes directrices pour la mise en application de l'ISO 28000 — Partie 3: Lignes directrices spécifiques supplémentaires concernant la mise en oeuvre de l'ISO 28000 pour l'utilisation dans les petites et moyennes affaires (autres que les ports marins)
General Information
Relations
Buy Standard
Standards Content (Sample)
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28004-3
Первое издание
2014-02-01
Системы менеджмента безопасности
цепи поставок. Руководящие
указания по внедрению ISO 28000.
Часть 3:
Дополнительное специальное
руководство по принятию ISO 28000
для использования в операциях
среднего и малого бизнеса (кроме
морских портов)
Security management systems for the supply chain — Guidelines for
the implementation of ISO 28000
Part 3: Additional specific guidance for adopting ISO 28000 for use by
medium and small businesses (other than marine ports)
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
ISO 28004-3:2014(R)
©
ISO 2014
---------------------- Page: 1 ----------------------
ISO 28004-3:2014(R)
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2014
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по соответствующему адресу, указанному ниже, или комитета-члена ISO в стране
заявителя.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2014 – Все права сохраняются
---------------------- Page: 2 ----------------------
ISO 28004-3:2014(R)
Содержание Страница
Предисловие . iv
Введение . v
1 Область применения . 1
2 Нормативные ссылки . 1
3 Дополнительное руководство . 1
4 Документация . 14
5 Руководство для среднего и малого бизнеса, получающего консультацию и
сертификацию . 15
5.1 Общие положения . 15
5.2 Демонстрация соответствия стандарту ISO 28000 посредством аудита . 15
5.3 Сертификация по ISO 28000 сторонними органами сертификации . 15
Библиография . 16
© ISO 2014 – Все права сохраняются iii
---------------------- Page: 3 ----------------------
ISO 28004-3:2014(R)
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Процедуры, используемые для разработки настоящего документа и предназначенные для его
дальнейшего поддержания, указаны в Части 1 Директив ISO/IEC. В особенности следует отметить, что
для различных типов документов ISO необходимы разные критерии для утверждения. Настоящий
документ был разработан в соответствии с редакционными правилами Части 2 Директив ISO/IEC.
(см. www.iso.org/directives).
Обращается внимание на возможность патентования некоторых элементов данного международного
стандарта. ISO не несет ответственности за идентификацию какого-либо или всех таких патентных прав.
Детали любых патентных прав, идентифицированных при разработке документа, должны содержаться в
Введении и/или в перечне полученных патентов ISO. (см. www.iso.org/patents).
Любое фирменное наименование в настоящем документе является информацией, предоставляемой
для удобства пользователей, и не носит рекомендательный характер.
Для объяснения смысла специальных терминов и выражений ISO, связанных с оценкой соответствия, а
также для информации о приверженности ISO принципам WTO Соглашения по техническим барьерам в
торговле (TBT) следует использовать следующий указатель URL: Foreword - Supplementary information
За настоящий документ несет ответственность Технический комитет ISO/TC 8, Суда и морские
технологии.
Настоящее первое издание ISO 28004-3 отменяет и замещает ISO/PAS 28004-3:2012.
ISO 28004 состоит из следующих частей под общим названием Системы менеджмента безопасности
цепи поставок. Руководящие указания по внедрению ISO 28000:
— Часть 1: Общие принципы
— Часть 2: Руководящие указания по принятию ISO 28000 для использования в работе средних и
малых морских портов
— Часть 3: Дополнительное специальное руководство по принятию ISO 28000 для использования в
операциях среднего и малого бизнеса (кроме морских портов)
— Часть 4: Дополнительное специальное руководство по внедрению ISO 28000, когда
соответствие ISO 28001 является предметом менеджмента
iv © ISO 2014 – Все права сохраняются
---------------------- Page: 4 ----------------------
ISO 28004-3:2014(R)
Введение
ISO 28000:2007 и руководство, содержащееся в ISO 28004, были разработаны в ответ на необходимость
иметь идентифицируемые критерии оценки системы менеджмента цепи поставок (процесс валидации),
по которым системы менеджмента безопасности можно будет оценить и сертифицировать на
соответствие ISO 28000 и ISO 28004. Руководство, в настоящее время содержащееся в ISO 28004,
предназначено для того, чтобы помочь организациям, принимающим ISO 28000. Поскольку типов
организаций, которые могут использовать ISO 28000, множество, руководство, предоставляемое в
ISO 28004, универсально по своей сущности. В результате некоторые более мелкие организации
испытывали трудности в определении мер, необходимых для рассмотрения каждого из требований,
установленных в ISO 28000. Поэтому целью настоящей части ISO 28004 является обеспечение
руководства и расширение информации, которую можно будет использовать среднему и малому
бизнесу (кроме морских портов), чтобы помочь им в определении области валидации и мер
верификации, необходимых для соответствия требованиям по безопасности, определенных в ISO 28000
и ISO 28004.
ISO 28000 требует, чтобы заинтересованные организации оценивали возможности своих планов и
процедур менеджмента обеспечения безопасности посредством периодических пересмотров, проверок,
отчетов после происшествия и обучения, чтобы определить эффективность имеющихся методов и
систем обеспечения безопасности. Для полной непрерывной сквозной безопасности цепи поставок
важно, чтобы заинтересованные организации гарантировали транспортной отрасли то, что у них есть
достаточно готовых мер безопасности для защиты целостности цепи поставок при нахождении грузов
под их прямым контролем. Ошибка одной из заинтересованных организаций в защите цепи поставок от
любых глобальных угроз и эксплуатационных рисков может серьезно повлиять на целостность системы
и разрушить доверие тех, кто полагается на безопасную транспортировку своих дорогостоящих грузов.
Заинтересованные организации среднего и малого бизнеса являются составной частью системы
поставок и от них будут требовать проведения проверок их операционных возможностей и
подтверждения для транспортной отрасли, что возможности отвечают соответствующему
законодательству и нормативным документам, лучшим практикам отрасли, а также их собственной
политике и целям безопасности, основанным на выявленных угрозах и рисках для их функционирования.
Информация, содержащаяся в настоящей части ISO 28004, обеспечивает руководство и критерии для
оценки качества планов менеджмента безопасности, разработанных организациями среднего и малого
бизнеса (кроме морских портов) в соответствии с ISO 28000 для защиты целостности цепи поставок.
Более подробная информация представлена как усиливающая, но не изменяющая общее руководство,
определенное в ISO 28004. Кроме ряда внесенных дополнений никаких изменений в ISO 28004
произведено не было.
© ISO 2014 – Все права сохраняются v
---------------------- Page: 5 ----------------------
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28004-3:2014(R)
Системы менеджмента безопасности цепи поставок.
Руководящие указания по внедрению ISO 28000.
Часть 3.
Дополнительное специальное руководство по принятию
ISO 28000 для использования в операциях среднего и
малого бизнеса (кроме морских портов)
1 Область применения
Настоящая часть ISO 28004 разработана, чтобы дополнить ISO 28004-1 специальным руководством
для среднего и малого бизнеса (кроме морских портов) по использованию ISO 28000. Дополнительное
руководство в настоящей части ISO 28004, усиливая общие руководящие указания, представленные в
основных разделах ISO 28004-1, не противоречит им и не исправляет ISO 28000.
2 Нормативные ссылки
Следующие документы, полностью или частично являются ссылочными в данном документе и
обязательными при его применении. При датированных ссылках применяется только приведенное
издание документа. При недатированных ссылках необходимо использовать самое последнее издание
нормативного ссылочного документа (включая любые изменения).
ISO 28000:2007, Системы менеджмента безопасности цепи поставок. Технические условия
ISO 28004-1:2007, Системы менеджмента безопасности цепи поставок. Руководящие указания по
внедрению ISO 28000. Часть 1: Общие принципы
3 Дополнительное руководство
ISO 28000 разработан для принятия организациями, заинтересованными в лучшей защите их цепей
поставок или услуг, предоставляемых для операторов цепи поставок. Основная часть ISO 28004
разработана для предоставления руководства организациям любых размеров, желающих принять
ISO 28000. Поскольку ISO 28004 содержит руководящие указания для широкого круга организаций, он
может оказаться более сложным, чем это необходимо для организаций более малого размера. Целью
настоящей части ISO 28004 является упрощение руководства для использования небольшими
организациями. Организации, использующие настоящую часть ISO 28004 должны справляться с
основным стандартом ISO 28004, если по конкретным вопросам требуется больше информации, чем
предоставлено в настоящей части ISO 28004. Руководство, приведенное в настоящей части ISO 28004,
не изменяет ISO 28000 или основной стандарт ISO 28004. Если в настоящей части ISO 28004
обсуждаются специальные методологии, то они приведены для иллюстративных целей (чтобы
объяснить, что необходимо выполнить), и другие методологии могли бы быть замещены.
Организациям, принимающим ISO 28000, будет необходимо:
— установить, какие из их целей имеют отношение к обеспечению безопасности цепи поставок;
— оценить текущее состояние безопасности цепи поставок;
© ISO 2014 – Все права сохраняются 1
---------------------- Page: 6 ----------------------
ISO 28004-3:2014(R)
— разработать планы, которые будут включать существующие процессы и процедуры цепи поставок
и любые дополнительные процессы/процедуры или системы, которые были определены как
необходимые для соответствия установленным целям безопасности цепи поставок;
— подготовить персонал к выполнению их функций и обязанностей, как это определено в плане по
обеспечению безопасности цепи поставок;
— установить/поддерживать любые системы или оборудование, обозначенное в плане по
обеспечению безопасности цепи поставок;
— начать выполнение плана по обеспечению безопасности цепи поставок;
— контролировать результаты выполнения плана по обеспечению безопасности цепи поставок;
— периодически переоценивать состояние безопасности цепи поставок, чтобы обнаружить
изменения, включая новые угрозы;
— периодически проверять планы (тренировки) организации и расследовать любые инциденты в
области безопасности цепи поставок;
— обновлять цели, планы и подготовку персонала на основе данных контроля выполнения,
переоценок, тренировок или расследований.
Пользователи ISO 28004, которые ранее не работали со стандартами менеджмента, должны обратить
внимание на использование слов ‘намерение’, ‘исходные данные’, и ‘результаты’, которые
используются в отношении каждого требования, рассматриваемого в настоящей части ISO 28004.
Намерение используется как заголовок раздела, в котором объясняется, что необходимо организации
для выполнения работы. Исходные данные – это раздел, в котором объясняется, что необходимо
анализировать или рассматривать. Результаты – это раздел, в котором объясняется, какие цели имеет
организация или какие действия ей следует предпринять относительно конкретного требования.
Шаг 1 – Подготовительная работа
До начала процесса принятия ISO 28000 организация может рассмотреть, хочет ли она включить в
систему менеджмента безопасности цепи поставок (в пределах области применения) всю организация
или отдельные ее части. Организация не ограничена в вопросах, которые она должна рассматривать
при принятии решения, однако, она может принимать во внимание некоторые из следующих аспектов:
— Свои корпоративные цели.
— Потребности или ожидания потребителей;
— Интересы правительства, если система менеджмента принимается с учетом правительственной
политики или программы;
— Свою осведомленность или недостаток осведомленности о системах менеджмента ISO.
В пределах планируемой области применения система менеджмента безопасности должна
распространяться на все области и функции, связанные с цепью поставок. Чтобы облегчить
определение этих областей и функций, организация должна рассмотреть, не ограничиваясь этим,
следующее.
— Где грузы производились, оформлялись или обрабатывались до погрузки на транспорт, укладки на
паллеты или иной подготовки для отправки;
— Где грузы, предназначенные для отправки, хранятся или собираются до транспортировки;
— Куда грузы перевозятся;
2 © ISO 2014 – Все права сохраняются
---------------------- Page: 7 ----------------------
ISO 28004-3:2014(R)
— Куда грузы погружаются или разгружаются после транспортировки;
— Где меняется контроль над грузом;
— Где документация или информация относительно отправляемых грузов обрабатывается,
создается или оказывается в зоне доступа;
— Транспортные маршруты и средства перевозки при различных способах транспортировки;
— Прочее.
Шаг 2 – Установление ‘Политики менеджмента безопасности’ (Раздел 4.2 ISO 28000 и ISO 28004-1)
После того, как будет предварительно определена область применения, следующим шагом будет
установление политики менеджмента безопасности. Политика менеджмента безопасности очень,
поскольку вся система менеджмента безопасности цепи поставок будет строиться в соответствии с ней
и, если требуется сертификация, то политика будет критерием оценки всех целей, действий и планов.
Хотя может казаться, что политика менеджмента безопасности должна быть установлена первым
делом, а оценка существующих условий будет ею определяться, между ними существует синергия,
поскольку становятся ясными действующие внутренние условия и выясняются потребности в ресурсах.
Политика менеджмента безопасности должна содержаться в указании, которое одобрено
вышестоящим менеджментом. Политика должна быть содержательной и четко устанавливать
общие/основные цели менеджмента безопасности организации. Они должны отражать известные
угрозы безопасности и предоставлять обоснованные ожидания, что организация будет способна лучше
справиться со своими угрозами, чем организация, которая не приняла подход упреждающего
менеджмента. Она также должна соответствовать размеру и характеру организации и включать
обязательство постоянного улучшения. Для иллюстрации приводится следующее постановление о
политике.
BETA TRUCKING LTD – НАША ПОЛИТИКА БЕЗОПАСНОСТИ
— Поддерживать показатель утери/повреждения груза, по крайней мере, на X% ниже, чем средний в
промышленности для обслуживаемых рынков;
— Соблюдать все правительственные нормативные документы по транспортировке/безопасности,
применяемые на обслуживаемых рынках;
— Соответствовать или превосходить практики по безопасности, установленные Всемирной
таможенной организацией для Уполномоченного экономического оператора (замечание: эта
политика может быть использована, если цепь поставок перемещает импортируемые или
экспортируемые грузы);
— Расследовать все заявления об утратах и инциденты по безопасности и производить
корректировки.
— Постоянно добиваться улучшения безопасности и эксплуатационной эффективности цепи
поставок, при возможности производя изменения.
— Комплексно взаимодействовать с правительственными уполномоченными органами, если
обнаружена или заподозрена незаконная контрабанда.
— Постановление о политике должно быть известно всему соответствующему персоналу и
сторонним организациям до необходимой степени. Если некоторые моменты политики должны
быть конфиденциальными (например, взаимодействие с полицией или таможней при обнаружении
контрабанды), организация может ограничить их распространение. Организации могут
использовать свои постановления о политике в рекламных целях.
© ISO 2014 – Все права сохраняются 3
---------------------- Page: 8 ----------------------
ISO 28004-3:2014(R)
— Постановление о политике должно быть документировано и обновляться при пересмотрах, как
требуется в ISO 28000, раздел 4.4.4. При пересмотре постановления о политике все предыдущие
издания должны быть заменены.
Шаг 3 – Выполнение ‘оценки безопасности’ (ISO 28000, раздел 4.3.1, ISO 28004-1, раздел 4.3)
Организации, принимающие ISO 28000, должны выполнять оценку безопасности цепей поставок и
своих вспомогательных служб, находящихся в области применения, установленной менеджментом.
Оценка определяет общую безопасность системы методом сравнения существующей безопасности,
процессов функционирования и мер с перечнем известных сценариев угроз (рисков), чтобы
определить, управляется ли риск надлежащим образом. Риск считается контролируемым, если
вероятность средних или значительных последствий срывов в цепи поставок сведена к ситуации с
низкой вероятностью.
Следует с осторожностью управлять большими сложными или множественными цепями поставок,
когда каждая критична для организации в отношении маловероятных ситуаций. Если отдельные
оценки выполняются для каждой цепи поставок, то истинная величина вероятности нарушения может
не быть очевидной.
Важно, чтобы все аспекты оценки безопасности были документированы, включая:
— занятый персонал и его квалификацию для проведения оценки;
— описание используемой методологии, включая определения любых терминов или
цифровых/буквенных символов, используемых в методологии для описания вероятности,
правдоподобия, последствий, критичности или эффективности;
— сценарии угроз, которые были использованы при выполнении оценки;
— описание области применения;
— составление перечня существующих планов или процедур, которые были пересмотрены в
процессе оценки;
— сделанные предположения (если это имеет место);
— достаточные пояснения, фотографии, диаграммы или другие описания для подтверждения
результатов оценки;
— аспекты цепи поставок, которая требует дополнительных мер по безопасности (необходимые
меры противодействия);
— дату завершения выполнения оценки.
Ни ISO 28000, ни основная часть ISO 28004-1 не определяют подробно квалификацию, требуемую от
персонала, проводящего оценку. Однако, на основе ожидаемых результатов организации,
применяющие ISO 28000, могут использовать следующее общее руководство для формирования
своей экспертной группой.
Лицо или группа, проводящая оценку безопасности, должны вместе иметь навыки и знания, которые
включают, не ограничиваясь этим, следующее:
— Техника оценки рисков, применимая ко всем аспектам цепи поставок внутри области применения;
— Применение соответствующих мер, чтобы избежать неправомочного раскрытия или доступ к
секретным материалам по безопасности;
— Операции и процедуры, включаемые в обработку, оформление, перемещение и/или
документирование грузов при необходимости;
4 © ISO 2014 – Все права сохраняются
---------------------- Page: 9 ----------------------
ISO 28004-3:2014(R)
— Меры по безопасности, связанные с консигнацией, перевозками, персоналом, помещениями и
информационными системами в соответствующей части цепи поставок.
— Понимание угроз безопасности и методологий смягчения.
— Знание применяемых законов, нормативных документов, правовой политики и вовлеченных
правительственных агентств.
— Понимание ISO 28000 и ISO 28004.
Цепи поставок, которые являются более сложными или охватывают многочисленные операционные
среды, будут требовать более квалицированных работников для выполнения оценок, чем для простых
цепей поставок.
Шаг 4 – Определение угроз безопасности (сценариев угроз)
Никакая оценка безопасности не может рассмотреть все сценарии угроз, поэтому важно, чтобы
экспертная группа разработала обоснованный перечень сценариев угроз и документировала те,
которые были использованы в процессе выполнения оценки. При разработке перечня сценариев угроз
экспертная группа может при желании получить исходные данные из многочисленных источников,
включая корпоративные документы, хорошо информированных людей внутри цепи поставок,
промышленные объединения, страховые компании и соответствующие правительственные органы.
Хотя ISO 28000 не требует, сценарии угроз могут включать несчастные случаи и действия природы.
Для иллюстрации приводится следующий перечень сценариев угроз.
Таблица 1 — Сценарии угроз
Сценарии угроз Реализация
1) Проникновение и/или Повреждение/разрушение актива (включая транспортные средства).
установление контроля над
Повреждение/разрушение внешней цели с использованием активов или
активом (включая транспортные
грузов.
средства) в пределах цепи
поставок
Нарушение гражданского или экономического равновесия.
Захват заложников/убийство людей.
2) Использование цепи поставок в Перемещение незаконного оружия/грузов/валюты в цепи поставок
качестве способов контрабанды
3) Фальсификация информации Получение местного или удаленного доступа к
информационным/документальным системам в целях нарушения
функционирования или облегчения незаконной деятельности.
4) Целостность груза Фальсификация, повреждение и/или кража грузов или транспортных
средств в цепи поставок
5) Запугивание работников для Давление на сотрудников цепи поставок со стороны криминальных
разрешения незаконных действий элементов, чтобы способствовать незаконной деятельности в цепи
поставок.
Шаг 5 – Последствия
После того, как область применения и сценарии угроз были определены и задокументированы,
экспертная группа должна будет документировать ожидаемые последствия каждого сценария угрозы.
Хотя существует много методов определения или классификации последствий, приведенный ниже
метод является довольно простым и эффективным во многих ситуациях (Примечание: могут
использоваться другие методологии).
Оценка последствий должна предусматривать потенциальные потери погибшими и экономические
потери. Последствия каждого инцидента по безопасности, выявленного в цепи поставок, должны
классифицироваться как высокие, средние или низкие (см. Таблицу 2). В процессе оценки может быть
© ISO 2014 – Все права сохраняются 5
---------------------- Page: 10 ----------------------
ISO 28004-3:2014(R)
использована система цифровых показателей до тех пор, пока численные результаты не будут
преобразованы в качественные показатели.
Обоснования классификации последствий для каждого инцидента должны быть документированы.
Отнесение величин последствий к “высоким”, “средним” или “низким” требует особого внимания.
Использование чрезмерно низких пороговых величин может привести к требованию рассмотрения мер
противодействия для большего количества сценариев угроз безопасности, чем требуется. Однако при
использовании чрезмерно высоких пороговых величин можно упустить контрмеры для сценариев угроз
безопасности, имеющих последствия, которые организация или ее управление не могут допустить.
— Последствиями, классифицируемыми как “высокие”, могут считаться последствия, которые были
бы неприемлемыми во всех, но маловероятных ситуациях.
— Последствиями, классифицируемыми как “средние”, могут считаться последствия, которые были
бы неприемлемыми в ситуациях с высокой вероятностью возникновения.
— Последствиями, классифицируемыми как “низкие”, могут считаться обычно приемлемые
последствия.
Приемлемость не следует путать с желательностью или одобрением. Вернее, приемлемость может
рассматриваться как характеристика объемов возможного ущерба, которые организация или орган
исполнительной власти по возможности готовы принять при определенных условиях. Организация или
орган исполнительной власти могут установить объемы возможного ущерба, которые могут быть
нежелательными, но все же приемлемыми.
Таблица 2 — Классификация последствий
Степень Последствие
Смерть и ранение – наличие жертв и пострадавших в значительном масштабе
и /или
Экономическое воздействие – серьезное повреждение активов и/или инфраструктуры,
Высокая препятствующее дальнейшему функционированию
и /или
Воздействие на окружающую среду – полное разрушение многочисленных элементов
экосистемы на обширной территории
Смерть и ранение – наличие жертв и пострадавших в небольшом масштабе
и /или
Экономическое воздействие – например, повреждение активов и/или инфраструктуры,
Средняя требующее ремонта
и /или
Воздействие на окружающую среду – например, долговременное повреждение части
экосистемы
Смерть или ранение – наличие пострадавших
и /или
Экономическое воздействие - минимальное повреждение активов и/или инфраструктуры и
Низкая
систем
и /или
Воздействие на окружающую среду – некоторые повреждения окружающей среды
Шаг 6 – Обзор существующих условий
После определения и документирования последствий экспертная группа должна выполнить обзор всех
функций, процессов (включая информационные системы), планов и мер в задействованной цепи
поставок. Этот обзор должен быть тщательно задокументирован так, чтобы осведомленные лица, не
вовлеченные в подготовку обзора, могли понять выводы, сделанные экспертной группой.
6 © ISO 2014 – Все права сохраняются
---------------------- Page: 11 ----------------------
ISO 28004-3:2014(R)
В процессе оценки рассматривается следующее.
1) Контроль доступа к
— помещениям организации в цепи поставок, включая окрестности;
— транспортным средствам (грузовым автомобилям, железнодорожным, воздушным, баржам,
судам и т.д.);
— информации;
— прочему.
2) Транспортные средства (грузовые автомобили, железная дорога, баржи, самолеты, суда и т.д.),
принимая во внимание
— нормальную эксплуатацию;
— мастерские технического обслуживания (например верфи);
— изменения, вызванные, например, поломками;
— смену транcпортных средств;
— транспортные средства во время стоянки;
— использование транспортных средств в качестве оружия;
— прочее.
3) Обработка
— погрузка;
— изготовление;
— хранение (включая промежуточное хранение);
— перемещение;
— выгрузка;
— раскомпоновка/компоновка;
— прочее.
4) Транспортировка грузов по
— воздуху;
— автодорогам;
— железным дорогам;
— внутренним водным путям;
— океанским маршрутам;
— прочее.
© ISO 2014 – Все права сохраняются 7
---------------------- Page: 12 ----------------------
ISO 28004-3:2014(R)
5) Обнаружение/предотвращение несанкционированных проникновений при поставке грузов.
6) Процесс инспектирования, например, инспектирование автотранспортных средств.
7) Персонал
— уровень компетентности, подготовки и понимания;
— надежность;
— прочее.
8) Использование деловых партнеров.
9) Связь внутренняя/внешняя:
— обмен информацией;
— чрезвычайные ситуации;
— прочее.
10) Управление или обработка информации о грузах или транспортных маршрутах
— защита информации;
— достоверность информации;
— прочее.
11) Внешняя информация
— правовая;
— постановления органов власти;
— отраслевые особенности;
— несчастные случаи и происшествия;
— возможность первого реагирования и время реагирования;
— прочее.
Может быть полезно использование опросных листов. Приведенный ниже в Таблице 3 опросный лист
анализа функционирования может быть полезным при выполнении оценки безопасности для
организации - участника цепи поставок. Этот лист учитывает не все, и может быть изменен, чтобы
отражать модель бизнеса организации и оценки рисков. Если указанные факторы уже реализуются
организацией из цепи поставок, следует использовать графу “Да”. Если фактор не реализуется или
реализуется частично, следует использовать графу “Нет” и по возможности добавить в графу
комментариев описание использования других альтернативных мер или замечание, что риск очень
мал. Если фактор не соответствует или выходит за рамки постановления организации, в графе
комментариев следует внести замечание “Не применимо” (НП). Пункты опросного листа, которые не
могут быть реализованы из-за применяемых законов/нормативных документов, должны быть отмечены
как запрещенные в графе комментариев.
8 © ISO 2014 – Все права сохраняются
---------------------- Page: 13 ----------------------
ISO 28004-3:2014(R)
Таблица 3 — Опросный лист анали
...
INTERNATIONAL ISO
STANDARD 28004-3
First edition
2014-02-01
Security management systems for
the supply chain — Guidelines for the
implementation of ISO 28000 —
Part 3:
Additional specific guidance for
adopting ISO 28000 for use by
medium and small businesses (other
than marine ports)
Systèmes de management de la sûreté pour la chaîne
d’approvisionnement — Lignes directrices pour la mise en application
de l’ISO 28000 —
Partie 3: Lignes directrices spécifiques supplémentaires concernant
la mise en oeuvre de l’ISO 28000 pour l’utilisation dans les petites et
moyennes affaires (autres que les ports marins)
Reference number
ISO 28004-3:2014(E)
©
ISO 2014
---------------------- Page: 1 ----------------------
ISO 28004-3:2014(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 28004-3:2014(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Additional guidance . 1
4 Documentation .13
5 Guidance for small and medium-sized businesses obtaining advice and certification .13
5.1 General .13
5.2 Demonstrating conformance with ISO 28000 by audit .13
5.3 Certification of ISO 28000 by third party certification bodies .14
Bibliography .15
© ISO 2014 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 28004-3:2014(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 8, Ships and marine technology.
This first edition of ISO 28004-3 cancels and replaces ISO/PAS 28004-3:2012.
ISO 28004 consists of the following parts, under the general title Security management systems for the
supply chain — Guidelines for the implementation of ISO 28000:
— Part 1: General principles
— Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
— Part 3: Additional specific guidance·for·adopting ISO 28000 for use by medium and small business
(other than marine ports)
— Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a
management objective
iv © ISO 2014 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 28004-3:2014(E)
Introduction
ISO 28000:2007 and the guidance contained in ISO 28004, have been developed in response to the need
for a recognizable supply chain management system evaluation criteria (validation process) against
which their security management systems can be assessed and certified for determining conformance
with ISO 28000 and ISO 28004. The guidance currently contained in ISO 28004 is designed to assist
organizations adopting ISO 28000. Because the types of organizations that can use ISO 28000 are vast,
the guidance provided in ISO 28004 is general in nature. As a result, some smaller organizations have
had difficulty in defining the scope of measures needed to address each of the requirements established
in ISO 28000. Therefore, the purpose of this part of ISO 28004 is to provide guidance and amplifying
information that can be used by medium and small businesses (other than marine ports) to assist
them in defining the scope of validation and verification measures needed to comply with the security
provisions specified in ISO 28000 and ISO 28004.
ISO 28000 requires that stakeholder organizations evaluate the capabilities of their security protection
management plans and procedures through periodic reviews, testing, post-incident reports, and training
exercises to measure the effectiveness of their installed security protection systems and methods. It is
critical to the overall continued end-to-end safety of the supply chain that stakeholder organizations
ensure the transportation industry that they have sufficient safeguards in place to protect the integrity
of the supply chain while those goods are under their direct control. The failure by one of the stakeholder
organizations to protect the supply chain from any one of the global threats and operational risks can
severely impact the integrity of the system and erode the confidence of those who depend on the secure
transportation of their valuable goods.
Medium and small businesses stakeholder organizations are an integral part of the supply transportation
system and will be required to conduct these performance capabilities reviews and verify to the
transportation industry that they are in conformance with relevant legislation and regulations, industry
best practices and conformance with its own security policy and objectives based on the identified
threats and risks to their operations. The information contained in this part of ISO 28004 provides
guidance and criteria for evaluating the quality of medium and small businesses (other than marine
ports) security management plans developed in accordance with ISO 28000 to protect the integrity of
the supply chain. The amplifying information is designed to enhance, but not alter, the general guidance
currently specified in ISO 28004. No alterations to ISO 28004, other than the addition of supplements,
are made.
© ISO 2014 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 28004-3:2014(E)
Security management systems for the supply chain —
Guidelines for the implementation of ISO 28000 —
Part 3:
Additional specific guidance for adopting ISO 28000 for
use by medium and small businesses (other than marine
ports)
1 Scope
This part of ISO 28004 has been developed to supplement ISO 28004-1 by providing additional guidance
to medium and small businesses (other than marine ports) that wish to adopt ISO 28000. The additional
guidance in this part of ISO 28004, while amplifying the general guidance provided in the main body of
ISO 28004-1, does not conflict with the general guidance, nor does it amend ISO 28000.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 28000:2007, Specification for security management systems for the supply chain
ISO 28004-1:2007, Security management systems for the supply chain — Guidelines for the implementation
of ISO 28000 — Part 1: General principles
3 Additional guidance
ISO 28000 is designed to be adopted by any size organization interested in better securing their supply
chain or services they provide to supply chain operators. The main body of ISO 28004 is designed to
provide guidance to organizations of any size that wish to adopt ISO 28000. Because ISO 28004 is
designed to provide guidance to a wide size range of organizations it may appear more complex than is
needed by a smaller sized organization. The purpose of this part of ISO 28004 is to simplify the guidance
for use by smaller sized organization. Entities using this part of ISO 28004 for guidance should refer to
the main body of ISO 28004 when more information on specific issues is needed than is provided in this
part of ISO 28004. The guidance provided in this part of ISO 28004 does not amend ISO 28000 or the
main body of ISO 28004. Where specific methodologies are discussed in this part of ISO 28004 they are
provided for illustrative purposes (to explain what needs to be accomplished) and other methodologies
could be substituted.
Organizations adopting ISO 28000 will need to:
— specify what their objectives are in regard to providing supply chain security;
— assess the current state of supply chain security;
— develop plans that will include existing supply chain processes and procedures, and any additional
processes/procedures or systems that have been identified as necessary to meet the stated supply
chain security objectives;
— train personnel as to their duties and responsibilities as defined in the supply chain security plan;
© ISO 2014 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO 28004-3:2014(E)
— install/maintain any systems or equipment specified in the supply chain security plan;
— begin execution of the supply chain security plan;
— monitor performance of the supply chain security plan execution;
— periodically reassess the state of supply chain security to detect changes in conditions including
new threats;
— periodically test the organization’s plans (exercises) and investigate any supply chain security
incidents;
— update objectives, plans, and personnel training based on input from performance monitoring,
reassessments, exercises, or investigations.
Users of ISO 28004 that have not previously worked with management standards will note the use of
the words ‘intent’, ‘input’, and ‘output’ that are used in regard to each requirement discussed in this
part of ISO 28004. Intent is used as the title of the clause that explains what the organization needs to
accomplish. Input is used as the title of the clause that explains what needs to be analysed or considered.
Output is used as the title of the clause that explains what the organization’s objectives are or what
actions will be taken in regard to that specific requirement.
Step 1 - Preparatory work
Prior to beginning the process of adopting ISO 28000 an organization may wish to consider whether they
wish to include all or specific parts of their organization within the supply chain security management
system (within the scope of application). The organization is not limited in what it should consider in
making this decision, however, it may wish to consider some of the following in making this decision:
— Its corporate objectives.
— Customer needs or expectations.
— Government interests, if the management system is being adopted to address a government policy
or program.
— Its familiarity or lack of familiarity with ISO management systems.
Within the planned scope of application, the security management system should be extended to all areas
and functions related to the supply chain. To help identify what areas and functions may be involved the
organization may consider but not be limited to the following.
— Where goods are being manufactured, processed or handled prior to being loaded in a transport
unit, palletized, or otherwise prepared for shipment.
— Where goods prepared for shipment are stored or consolidated prior to transportation.
— Where goods are being transported.
— Where goods are loaded into or unloaded from a conveyance.
— Where custody of the goods changes hands.
— Where documentation or information pertaining to goods being shipped is handled, generated or
accessible.
— Transportation routes and means of conveyance used by the various modes of transportation.
— Other.
Step 2 - Setting ‘Security Management Policy’ (Clause 4.2 in ISO 28000 and ISO 28004-1)
2 © ISO 2014 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 28004-3:2014(E)
After the scope of applicability has been preliminarily determined the next step will be establish the
Security Management Policy. Security Management Policy is very important since the entire supply
chain security management system will be built upon it and if certification is sought, the policy will
become the criteria upon which all objectives, activities and plans will be evaluated.
While it may appear that Security Management Policy would be established first and then an assessment
of existing conditions would be conducted policy, there is synergy between them as actual initial
conditions become known and resource needs are identified.
The security management policy should be contained in a statement that has been endorsed by senior
management. The policy must be meaningful and clearly state the overall/broad security management
objectives of the organization. To be meaningful they should reflect known security threats and provide
a reasonable expectation that the organization will be able to better manage these threats than an
organization that has not adopted a proactive management approach. They should also be appropriate
to the size and nature of the organization and include a commitment to continual improvement. For
illustrative purposes the following policy statement is provided.
BETA TRUCKING LTD - OUR SECURITY POLICY
— Maintain a cargo loss/damage rate at least X% lower than the industry average for the markets
served.
— Comply with all government transportation/security regulations applicable in markets served.
— Meet or exceed the security practices specified by the World Customs Organization for an Authorized
Economic Operator (note: this policy might be used if the supply chain moves import or export
goods).
— Investigate all loss claims and security incidents and make adjustments.
— Continually seek to improve supply chain security and operational efficiency, making changes when
feasible.
— Cooperate fully with government authorizes if illegal smuggling is detected or suspected.
— The policy statement should be known to all personnel that could be affected by them including
outside parties to the extent needed. If some of the policies need to be kept confidential (for example,
cooperating with police or customs when smuggling is detected) the company may restrict their
distribution. Organizations may use their policy statements in advertising.
— The policy statement should be documented and kept up-to-date with revisions as required
in ISO 28000, Clause 4.4.4. When the policy statement is revised all previous editions should be
replaced.
Step 3 - Conducting the ‘security assessment’ (ISO 28000, Clause 4.3.1, ISO 28004-1, Clause 4.3)
Organizations adopting ISO 28000 are required to conduct a security assessment of the supply chains
and their support services that are contained within the scope of application set by management. A
security assessment evaluates overall system security by comparing existing security and operational
processes and measures against a list of known threat scenarios (risks) to determine if risk is being
adequately managed. In general risk is considered to be managed if the likelihood of a medium or high
consequence supply chain disruption is limited to a low likelihood situation.
Care should be taken in managing large complex or multiple supply chains where each is critical to
the organization in regard to low likelihood situations. If separate assessments are conducted on each
supply chain the true magnitude of the likelihood of a disruption may not be readily apparent.
It is important that all aspects of the security assessment be documented including:
— personnel involved and their qualifications to conduct the assessment;
© ISO 2014 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO 28004-3:2014(E)
— description of the methodology used including a definitions of any terms or numerical/alphabetical
characters used in the methodology to describe probability, likelihood, consequence, criticality, or
effectiveness;
— the threat scenarios that were used during the assessment;
— a description of the scope of application;
— a listing of existing plans or procedures that were reviewed as part of the assessment;
— assumptions made (if any);
— sufficient explanations, photographs, diagrams or other descriptors to justify the findings of the
assessment;
— aspects of the supply chain that need addition security measures (countermeasures needed);
— date the assessment was completed.
Neither ISO 28000 nor the main body of ISO 28004-1 specify in detail the qualifications required for the
personnel conducting the assessment. However, based on the results expected organizations adopting
ISO 28000 may wish to use the following general guidance in assembling their assessment team.
The person or team conducting the security assessment shall collectively have skills and knowledge
which include, but are not limited to, the following:
— Risk assessment techniques applicable to all aspects of the supply chain contained within the scope
of application.
— Applying appropriate measures to avoid unauthorized disclosure of, or access to, security sensitive
material.
— Operations and procedures involved in the handling, processing, movement and/or documentation
of goods as appropriate.
— Security measures related to consignment, conveyance, personnel, premises, and information
systems in that applicable portion of the supply chain.
— An understanding of security threats and mitigation methodologies.
— Knowledge of applicable laws, regulations, and legal policies and the government agencies involved.
— Understanding of ISO 28000 and ISO 28004.
Supply chains that are more complex or span numerous operating environments will require more
qualified people to conduct assessments than simpler supply chains.
Step 4 - Identification of security threats (threat scenarios)
No security assessment can address all threat scenarios therefore it is important that the assessment
team both develop a reasonable list of threat scenarios and document the ones they used during the
assessment. In developing a list of threat scenarios the assessment team may wish to obtain input from
numerous sources including; corporate records, knowledgeable people within the supply chain, industry
associations, insurance companies, and appropriate government authorities. Although not required by
ISO 28000, threat scenarios could include accidents and forces of nature. For illustrative purposes, the
following list of threat scenarios is provided.
4 © ISO 2014 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 28004-3:2014(E)
Table 1 — Threat scenarios
Threat scenarios Application
1) Intrude and/or take control of Damage/destroy an asset (including conveyances).
an asset (including conveyances)
Damage/destroy outside target using the asset or goods.
within the supply chain.
Cause civil or economic disturbance.
Take hostages/kill people.
2) Use the supply chain as a means Moving illegal weapons/goods/currency in the supply chain
of smuggling
3) Information tampering Locally or remotely gaining access the supply chain’s information/docu-
mentation systems for the purpose of disrupting operations or facilitating
illegal activities.
4) Cargo Integrity Tampering, sabotage and/or theft of the goods or conveyances in the sup-
ply chain
5) Intimidation of employees to Criminal elements apply pressure to supply chain employees to facilitate
permit illegal activities illegal activity in the supply chain.
Step 5 - Consequence
After the scope of application and the threat scenarios have been developed and documented the
assessment team will need to document expected consequences of each threat scenario. Although there
are many methods of defining or classifying consequence the following method is fairly simple and
effective for many situations. (Note: other methodologies may be used).
An evaluation of consequences should consider potential loss of life and economic loss. The consequences
of each security incident evaluated in the supply chain should be classified as high, medium, or low (see
Table 2). A numerical system may be used in the assessment process, as long as the numerical results are
converted to a qualitative system.
Rationales for the classifications of consequences for each security incident should be documented.
Care should be taken in establishing values of “high”, “medium” and “low” consequences. The use of
excessively low threshold values may result in the requirement that countermeasures be considered for
more security threat scenarios than are needed. However, using excessively high threshold values may
omit countermeasures for security threat scenarios involving consequences that the organization or
government under which it is operating cannot tolerate.
— A “high” consequence classification may be considered as a consequence that would be unacceptable
in all but low likelihood situations.
— A “medium” classification of consequence may be considered as a consequence that would be
unacceptable in a high likelihood situation.
— A “low” classification of consequence may be considered as a consequence that is normally
acceptable.
Acceptability should not be confused with desirability or approval. Rather, acceptability could be
considered as a judgment of the amount of possible damage that the organization or government under
which it is operating is willing to accept under certain conditions related to probability. An organization
or government may determine that the possibility of a certain level of damage may be undesirable yet
acceptable.
© ISO 2014 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO 28004-3:2014(E)
Table 2 — Classification of consequence
Assign a
Consequence
rating
Death and Injury - loss of life on a certain scale
and /or
Economic Impact - major damage to a asset and/or infrastructure preventing further opera-
High tions
and /or
Environmental Impact - complete destruction of multiple aspects of the eco-system over a large
area
Death and Injury - for example loss of life
and /or
Medium Economic Impact – for example damage to asset and/or infrastructure requiring repairs
and /or
Environmental Impact – for example long term damage to a portion of the eco-system
Death and Injury – injuries but no loss of life,
and /or
Low Economic Impact - minimal damage to a asset and/or infrastructure and systems,
and /or
Environmental Impact – some environmental damage
Step 6 - Review of existing conditions
After the consequences are defined and documented the assessment team would normally conduct a
review of all the supply chain operations, functions, processes (including information systems), plans,
and measures in place within the scope of application. This review should be well documented in manner
that would allow permit a knowledgeable person, that was not involved in the review, to understand the
conclusions reached by the assessment team.
During the assessment consider the following.
1) Access control
— on premises of the organization in the supply chain, including the neighbourhood;
— on the means of transportation (truck, rail, air, barge, ship, etc.);
— on information;
— others.
2) Means of transportation (trucks, railway, barges, aircraft, ships, etc.), taking into account
— normal operation;
— maintenance shops (e.g. yards);
— changes due to e.g. break downs;
— change of means;
— conveyances while at rest;
— using means of transport as a weapon;
— other.
6 © ISO 2014 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 28004-3:2014(E)
3) Handling
— loading;
— manufacturing;
— storage (including intermediate storage);
— transfer;
— unloading;
— deconsolidation/consolidation;
— other.
4) Transportation of goods by
— air;
— road;
— rail;
— inland waterway shipping;
— ocean shipping;
— other.
5) Intrusion detection/prevention applied to shipments.
6) During inspections, e.g. vehicle inspections.
7) Employees
— level of competence, training and awareness;
— integrity;
— other.
8) Use of business partners.
9) Communication internal/external:
— information exchange;
— emergency situations;
— other.
10) Handling or processing of information about cargo or transport routes
— data protection;
— data assurance;
— other.
11) External information
— legal;
— orders by authorities;
© ISO 2014 – All rights reserved 7
---------------------- Page: 12 ----------------------
ISO 28004-3:2014(E)
— industry practices;
— accidents and incidents;
— first response capability and response times;
— other.
The use of checklists may be useful. The following performance review list shown in Table 3 may be
useful when conducting a security assessment for an organization in the supply chain. This list is not
all-inclusive, and can be tailored to reflect the risk assessment and business model of the organization.
If the factor indicated is already implemented by the organization in the supply chain the “Yes” block
should be checked. If the factor is not already implemented or is partially met the “No” block should
be checked and, where applicable, an explanation added to the comment column describing other
alternative measures utilized, or that the risk is very low. If the factor is not applicable or is outside the
organization’s statement of coverage, Not Applicable (NA) should be noted in the “Comments” block.
Items on the performance review list that cannot be performed due to applicable laws/regulations
should be marked as prohibited in the comment column.
Table 3 — Performance review list
Factor Yes No Comments
Management of Supply Chain Security
• Does the organization have a management system that addresses supply chain
security?
• Does the organization have a person designated as responsible for supply chain
security?
Security Plan
• Does the organization have (a) current security plan(s)?
• Does the plan address the organization’s security expectations of upstream and
downstream business partners?
• Does the organization have a crisis management, business continuity, and secu-
rity recovery plan?
Asset Security
• Does the organization have in place measures that addresses
— the physical security of buildings,
— monitoring and controlling of exterior and interior perimeters,
— application of access controls that prohibit unauthorized access to facilities,
conveyances, loading docks and cargo areas, and managerial control over the issu-
ance of identification (employee, visitor, vendor, etc.) and other access devices?
• Are there operational sec
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.