Гост р 53661-2009

У нас вы можете скачать гост р 53661-2009 в fb2, txt, PDF, EPUB, doc, rtf, jar, djvu, lrf!

Ответственность руководства среднего звена должна включать в себя обеспечение безопасности в пределах области их деятельности. Там , где основная ответственность за деятельность по обеспечению безопасности и охраны лежит на руководителях среднего звена , должны быть соответственно определены роли и ответственность любого специалиста , осуществляющего функции по обеспечению безопасности в пределах организации во избежание двусмысленного толкования их обязанностей и полномочий.

Следует предусматривать меры по разрешению любых конфликтов между проблемами обеспечения безопасности и производственной деятельности путем вынесения их на более высокий уровень руководства. Ответственность и полномочия в области обеспечения безопасности должны быть документально оформлены и соответствовать установленной в организации форме. Для этого организация может использовать одну или более из нижеприведенных форм или воспользоваться альтернативной формой по своему выбору: Если в организации предусмотрено ведение должностных инструкций персонала , в которых изложены ответственность и полномочия , касающиеся производственной деятельности организации , тогда в эти должностные инструкции должны быть включены ответственность и полномочия , касающиеся обеспечения безопасности и охраны.

Ответственность и полномочия должны быть доведены до тех лиц , которых они касаются. Это должно обеспечивать понимание людьми границ и взаимодействия между различными функциями и каналами , которые следует использовать для инициирования надлежащих действий.

Руководство должно обеспечивать наличие адекватных ресурсов , достаточных для обеспечения безопасности цепи поставок , включая оборудование , необходимые экспертизы , человеческие ресурсы и обучение.

Ресурсы считают адекватными , если они достаточны для реализации программ в области менеджмента безопасности , включая проведение мониторинга и измерений. Для организаций с уже внедренной системой менеджмента безопасности адекватность ресурсов определяют путем сравнения запланированных целей в области менеджмента безопасности с полученными результатами их реализации.

Руководство должно демонстрировать свои обязательства по обеспечению безопасности и охраны. Способы демонстрации могут включать в себя посещение и осмотр охраняемых объектов , участие в расследовании актов незаконного вмешательства , предоставление ресурсов для реализации корректирующих действий , участие в совещаниях и конференциях по обеспечению безопасности и охраны , а также издание соответствующих документов.

Организация должна разрабатывать и поддерживать в рабочем состоянии соответствующие процедуры с тем , чтобы персонал , работающий для нее или от ее имени , был осведомлен о: Записи о компетенции и подготовке персонала должны поддерживаться в рабочем состоянии. Организация должна иметь эффективные процедуры для обеспечения осведомленности персонала в отношении рисков и поддержания необходимой компетентности для реализации своих функций по обеспечению безопасности.

В процесс следует включать: Примечание - Для успешной системы менеджмента безопасности и ее эффективного функционирования важно уделять особое внимание вопросам осведомленности в области обеспечения безопасности и охраны во всей организации. Следует разрабатывать и поддерживать в рабочем состоянии программы подготовки и проведения инструктажа по: Эффективность программ подготовки и проведения инструктажа следует подвергать оценке.

В целях определения эффективности и результативности данных программ такая оценка может осуществляться в процессе проведения подготовки или инструктажа. Организация должна иметь процедуры , обеспечивающие передачу и обмен информацией , относящейся к менеджменту безопасности , между соответствующим персоналом , подрядчиками и другими заинтересованными лицами. Ввиду конфиденциального характера определенной информации , относящейся к безопасности , должное внимание должно быть уделено такой информации перед ее распространением.

В процессе взаимодействия со своими партнерами организация при реализации своей деятельности должна поддерживать и распространять положительный опыт обеспечения безопасности , основывающийся на собственных политике и целях в области менеджмента безопасности. Организация должна документально оформлять и способствовать мерам по получению и обмену информацией , непосредственно связанной с обеспечением безопасности и охраны , среди персонала и заинтересованных лиц.

Эти меры должны способствовать участию персонала в: Необходимо обеспечивать понимание персоналом важности наличия системы менеджмента безопасности и поощрять его стремление к содействию в области обеспечения безопасности и охраны.

Организация должна разрабатывать и поддерживать в рабочем состоянии систему документирования менеджмента безопасности , которая включает в себя но не ограничивается этим: Организация должна определять степень конфиденциальности информации и предпринимать шаги для предотвращения несанкционированного доступа к ней.

Для обеспечения понимания , эффективного внедрения и функционирования систему менеджмента безопасности следует документально оформлять и поддерживать в рабочем состоянии.

До разработки документации системы менеджмента безопасности организация должна определять те данные информацию , которые необходимы для ее успешного функционирования. Для обеспечения соответствия ГОСТ Р не требуется разработка документации определенного формата , Нет также необходимости в замене существующих руководств , процедур или должностных инструкций , если они адекватно описывают текущую деятельность и меры по обеспечению безопасности и охраны в организации.

Если в организации уже внедрена документированная система менеджмента безопасности , то наиболее целесообразно будет разработать документ , содержащий взаимосвязи и ссылки существующих процедур с требованиями ГОСТ Р Аналогичные меры должны быть предусмотрены при работе с электронными носителями. Организация должна разрабатывать и поддерживать в рабочем состоянии процедуры управления всей документацией , данными и информацией , указанными в разделе 4 с тем , чтобы: Вся документация и данные , содержащие информацию о функционировании системы менеджмента безопасности и действиях организации по обеспечению безопасности и охраны , должны быть идентифицированы.

Должно быть обеспечено управление ими. Процедуры должны предусматривать средства управления документацией и данными по обеспечению безопасности и охраны в части их идентификации , одобрения , доступа , выдачи , пересмотра и замены. Эти процедуры должны четко определять степень доступа к документации и данным , содержащим конфиденциальную информацию в зависимости от ее значимости.

Должно обеспечиваться наличие и доступ к документации и данным уполномоченному на то персоналу в случае необходимости как в условиях повседневной деятельности организации , так и в чрезвычайных ситуациях. Организация должна идентифицировать операции и действия , необходимые для: Организация должна обеспечивать реализацию этих операций и действий в особых условиях путем: Эти процедуры должны включать в себя управление проектированием , установкой , функционированием , восстановлением и модификацией элементов оборудования , средств и т.

Если пересматриваются существующие договоренности или вводятся новые , то это может повлиять на функционирование и действия менеджмента безопасности. Поэтому организация должна заранее учитывать все связанные с этим угрозы и риски в отношении безопасности. Новые или пересмотренные договоренности или меры , подлежащие такому учету , включают в себя: Организация должна внедрять и поддерживать в рабочем состоянии мероприятия по обеспечению эффективного применения мер управления рисками , достижения политики и целей организации , исполнения задач в области менеджмента безопасности в соответствии с законодательными и другими требованиями , регламентирующими обеспечение безопасности и охраны.

Организация должна внедрять процедуры по управлению идентифицированными рисками включая риски , возникающие при взаимодействии с поставщиками , другими партнерами или операторами цепи поставок , а также посетителями. Следует документировать только те риски , реализация которых может привести к актам незаконного вмешательства или другим отклонениям от политики и целей в области менеджмента безопасности.

Процедуры риска - менеджмента следует регулярно анализировать на адекватность и результативность. Изменения , идентифицированные как необходимые , следует внедрять в систему менеджмента безопасности. В процедурах следует учитывать риски , возникающие на участках цепи поставок , контролируемых другими операторами , например , когда персонал организации непосредственно осуществляет свою деятельность на таких участках , что может потребовать проведения консультаций по вопросам обеспечения безопасности и охраны с такими операторами цепи поставок.

Ниже приведены некоторые примеры областей , в которых типичным образом возникают риски , а также примеры управления такими рисками. Организация должна разрабатывать , внедрять и поддерживать в рабочем состоянии соответствующие планы и процедуры по определению потенциала и степени реагирования на происшествия.

Планы и процедуры должны содержать сведения по обеспечению и обслуживанию любого идентифицированного оборудования , средства или услуги.

Такие сведения могут потребоваться во время или после реализации акта незаконного вмешательства или чрезвычайной ситуации. Организация должна периодически анализировать эффективность своей готовности к действиям в чрезвычайных ситуациях , а также планы и процедуры реагирования и восстановления безопасности. Это особенно важно после акта незаконного вмешательства или чрезвычайной ситуации , произошедших в результате нарушений в области охраны или реализации угрозы.

Организация должна периодически подвергать проверке эти процедуры , оценивая их результативность. Настоящий раздел затрагивает готовность , реагирование и восстановление после реализации акта незаконного вмешательства. Готовность к действиям в чрезвычайных ситуациях означает планирование , подготовку и предупреждающие действия , которые осуществляются вслед за актом незаконного вмешательства.

Организация должна активно оценивать угрозы и потребности реагирования по всем потенциальным актам незаконного вмешательства , определенным в процессе идентификации угроз и оценки рисков см. Для повышения эффективного реагирования организацией должны быть разработаны планы и процедуры реагирования , а также порядок действий в случае реализации акта незаконного вмешательства.

Организация должна разрабатывать планы действий в чрезвычайных ситуациях , в которых должно быть определено и обеспечено проведение соответствующих мероприятий , а также предусмотрена регулярная проверка собственных способностей организации посредством проведения учений и тренировок.

Планы готовности , реагирования и восстановления безопасности организации должны включать меры по восстановлению охраны , защите данных и оборудования , а также устойчивого обеспечения функционирования обеспечения безопасности и охраны. Проведение учений и тренировок должно демонстрировать эффективность наиболее значимых разделов планов реагирования , а также завершенность процесса планирования. Наряду с теоретическими тренировками , которые могут быть полезны в процессе планирования , необходимо проводить практические учения.

Результаты проведенных учений и тренировок должны анализироваться , а изменения в планы действий в чрезвычайных ситуациях , идентифицированные как необходимые , должны внедряться. Планы реагирования и восстановления безопасности должны содержать краткое описание действий в случае возникновения специфических ситуаций и включать в себя: Привлечение сторонних организаций к планированию действий и реагированию в чрезвычайных ситуациях должно быть четко отражено в документах.

Эти организации должны быть предупреждены о возможных обстоятельствах их участия и обеспечены всей необходимой информацией для содействия в подготовке планов участия в реагировании.

Организация должна определять потребности в технических средствах охраны и обеспечивать их наличие в достаточном количестве. Технические средства охраны должны проходить периодическое тестирование и техническое обслуживание для обеспечения их постоянной пригодности. Практические учения и тренировки следует проводить согласно заранее установленным графикам. Где это возможно , должно поощряться проведение совместных учений с привлечением деловых партнеров по цепи поставок или федеральных органов исполнительной власти.

Рисунок 5 - Проверка и корректирующие действия. Организация должна разрабатывать и поддерживать в рабочем состоянии процедуры мониторинга и измерений показателей функционирования собственной системы менеджмента безопасности , а также процедуры мониторинга и измерений показателей функционирования самой безопасности. При установлении частоты оценки качества и мониторинга ключевых параметров работы организация должна учитывать угрозы и риски в отношении безопасности , включая потенциальные механизмы ее ухудшения и их последствия.

Эти процедуры должны предусматривать: Записи по калибровкам , обслуживанию и результаты мониторинга следует хранить в течение достаточного времени в соответствии с нормативными требованиями и политикой организации. Организация должна определять ключевые показатели результативности обеспечения безопасности и охраны как для всей организации в целом , так и для цепей поставок , которые управляются организацией или находятся в сфере ее влияния.

Показатели должны быть измеримыми и демонстрировать: Система менеджмента безопасности организации должна объединять в себе пассивный и активный мониторинги: Данные пассивного и активного мониторингов обычно используют при определении достижимости целей в области менеджмента безопасности. При измерении параметров обеспечения безопасности могут быть использованы: Организации необходимо принять решение о типе и частоте применимого мониторинга в зависимости от значимости рисков см.

Графики проведения проверок , основанные на результатах идентификации угроз , оценки рисков и требованиях нормативных актов , должны быть подготовлены как часть системы менеджмента безопасности. Мониторинг обеспечения безопасности процессов эксплуатации , логистических схем , деятельности деловых партнеров и цепей поставок следует осуществлять в соответствии с документально оформленными и утвержденными схемами мониторинга уполномоченным на то персоналом , который также может привлекаться к проведению выборочных проверок критических элементов обеспечения безопасности и охраны на соответствие требованиям системы менеджмента безопасности.

При проведении мониторинга и выборочных проверок допускается использовать опросные листы. Инженерно - технические средства охраны , используемые для мониторинга и обеспечения безопасности , должны быть однозначно идентифицированы , внесены в реестр и находиться под контролем. Точность показаний технических средств должна быть известна.

Там , где необходимо , организации должны обеспечивать наличие процедур , содержащих описание порядка проведения соответствующего мониторинга и измерений. Инженерно - технические средства , используемые для обеспечения безопасности и охраны , должны содержаться в пригодном состоянии и использоваться по назначению.

При необходимости для технических средств охраны должны быть разработаны и документально оформлены схемы проведения калибровок и технических осмотров. Такие схемы должны включать в себя: Калибровку и техническое обслуживание следует проводить в соответствующих условиях.

Для проведения сложных калибровок должны быть разработаны процедуры. Измерительные устройства , используемые для калибровки , должны соответствовать метрологическим правилам и нормам. Записи о результатах проведения калибровок и технического обслуживания должны поддерживаться в рабочем состоянии. Они также должны содержать подробные сведения об измерениях , сделанных как до , так и после проведения регулировок технических средств охраны.

Статус калибровок технических средств охраны должен четко идентифицироваться. Технические средства охраны , статус калибровки и технического обслуживания которых неизвестен либо просрочен , должны быть запрещены к эксплуатации. Кроме того , такие средства должны быть изъяты из области эксплуатации либо соответствующим образом идентифицированы с целью предотвращения их непреднамеренного использования.

Порядок такой идентификации должен быть задокументирован в процедурах. Процедуры также должны включать в себя порядок действий в случае обнаружения несоответствий , связанных с калибровкой и техническим обслуживанием средств охраны. Должен быть составлен перечень всех инженерно - технических средств охраны.

Их следует проверять в соответствии с установленными требованиями , и они должны быть включены в планы проведения инспекционных проверок. Проведение инспекционных проверок не освобождает уполномоченный персонал от проведения регламентных работ по обслуживанию инженерно - технических средств охраны или проведения идентификации угроз. О каждой проведенной инспекционной проверке ведут соответствующие записи.

Записи должны демонстрировать действительность соблюдения процедур , установленных системой менеджмента безопасности. Записи об инспекциях , осмотрах , проверках , а также проведенных аудитах системы менеджмента безопасности следует применять для выявления причин несоответствий и возникновения дублирования рисков. Следует применять любые необходимые предупреждающие действия. Уязвимые места и неисправности технических средств охраны , выявленные в период проведения инспекционной проверки , оформляют как несоответствие , которое устраняется в соответствии с процедурой управления несоответствующей продукцией ГОСТ Р ИСО Технические средства охраны , эксплуатируемые подрядчиками , должны управляться так же , как и средства , эксплуатируемые персоналом организации.

Подрядчик должен гарантировать , что эти средства охраны будут эксплуатироваться в соответствии с установленными в организации требованиями. Перед началом работ подрядчик предоставляет копии записей о проведении проверок и технического обслуживания тех технических средств охраны , для которых ведение таких записей обязательно. Если для работ с техническими средствами требуется соответствующая подготовка , то подрядчик также предоставляет записи о прохождении его персоналом такой подготовки для анализа.

Любые статистические или другие аналитические методики , используемые для оценки обеспечения безопасности , расследования актов незаконного вмешательства и нарушений режима охраны или для принятия решений , должны основываться на устойчивых научных принципах.

Высшее руководство должно удовлетворять потребности в определении таких методик. При необходимости инструкции по их применению , в зависимости от сложившихся обстоятельств , должны быть документально оформлены. Организация должна оценивать планы , процедуры и возможности менеджмента безопасности посредством периодических пересмотров , тестирований , анализа сообщений о происшествиях , связанных с охраной , полученных уроков , оценок работы и результатов учений.

Существенные изменения в этих аспектах должны немедленно находить отражение в процедурах. Организация должна периодически оценивать соответствие системы менеджмента безопасности применимым нормам и правилам , наилучшим производственным примерам , собственной политике и целям. Организация должна вести соответствующие записи по учету результатов таких оценок.

Организация должна иметь эффективные процедуры для анализа и оценки планов обеспечения безопасности и охраны , а также своих способностей соответствовать достижению политики , целей и задач , установленных в области менеджмента безопасности. Также необходимо проводить периодический анализ соответствия деятельности организации применимым законодательным и другим нормативным требованиям.

Основной целью этих процедур является обеспечение поддержания документации системы менеджмента безопасности на современном уровне в соответствии с законодательными и другими требованиями в области обеспечения безопасности и охраны. Этот уровень должен учитывать положительный опыт внедрения систем менеджмента безопасности , а также любые изменения требований , регламентирующие обеспечение безопасности цепи поставок. Руководство организации через определенные интервалы времени должно проводить оценку своей системы менеджмента безопасности для демонстрации ее пригодности и результативности.

Интервалы следует устанавливать таким образом , чтобы иметь возможность выявлять сбои в системе менеджмента безопасности прежде , чем они приведут к убыткам. Результатом эффективного внедрения системы менеджмента безопасности является успешное достижение целей и претворение политики в области менеджмента безопасности при условии ее постоянного улучшения.

Необходимые для обеспечения этого процессы и процедуры приведены в 4. Организация должна разрабатывать , внедрять и поддерживать в рабочем состоянии процедуры по определению ответственности и полномочий в отношении: Эти процедуры должны требовать анализа всех предложенных корректирующих и предупреждающих мер в части оценки угроз , отнесенных к охране , и рисков до их внедрения , за исключением случаев , когда требуется немедленное их принятие в интересах жизни людей или общественной безопасности.

Любое корректирующее или предупреждающее действие , предпринятое для устранения причины фактических и потенциальных несоответствий , должно быть адекватным величине проблемы и соразмерным тем угрозам и рискам , с проявлением которых может вероятно столкнуться менеджмент безопасности. Организация должна вести записи о любых изменениях в документируемых процедурах , являющихся результатом корректирующих и предупреждающих действий , а при необходимости должна предусмотреть проведение тренировок.

Организация должна обладать эффективными процедурами по анализу и проведению расследований сбоев системы менеджмента безопасности , актов незаконного вмешательства и чрезвычайных ситуаций. Основная цель этих процедур - предотвращение нежелательных ситуаций путем выявления и устранения причин их возникновения. Кроме того , эти процедуры должны позволять определять , анализировать и устранять потенциальные причины несоответствий , включая влияние человеческого фактора , ошибок и неисправностей технических средств охраны.

От организации потребуется разработка процедур , гарантирующих , что по каждому акту незаконного вмешательства и чрезвычайной ситуации будет проведено расследование и предприняты соответствующие предупреждающие или корректирующие действия.

Процесс реализации корректирующих и предупреждающих действий следует контролировать , а результаты - анализировать на их эффективность.

В процедуры должно быть включено рассмотрение следующих вопросов: В случае идентификации несоответствия следует предпринимать немедленные действия по исправлению возможных актов незаконного вмешательства. Процедуры в этом отношении должны: Для регистрации сведений о проведении и результатах предварительных и последующих расследований следует использовать соответствующие способы управления записями.

Организация должна обеспечивать наличие в процедурах: В процедурах должен быть определен порядок проведения расследований и должны быть установлены: Расследование персонал должен начинать с предварительного анализа фактов во время сбора данных.

Сбор данных и анализ следует проводить до тех пор , пока не будут установлены достаточно полные объяснения случившегося ;. Корректирующее действие - это действие , предпринимаемое для определения причин несоответствия или акта незаконного вмешательства , и предупреждения повторного их возникновения.

Процедуры по разработке и реализации корректирующего действия должны учитывать: Предупреждающее действие - это действие , предпринимаемое для предупреждения появления потенциальных несоответствий в области обеспечения безопасности и охраны. Процедуры по разработке и реализации предупреждающего действия должны учитывать: Корректирующие или предупреждающие действия должны быть эффективными и практически реализуемыми.

По каждому такому действию следует проводить проверку его эффективности. Случаи невыполнения или несоблюдения сроков следует докладывать высшему руководству в возможно короткие сроки. Выявленные несоответствия и акты незаконного вмешательства должны периодически категорироваться и анализироваться для определения причин их возникновения. Частота и сложность анализа должна демонстрироваться заинтересованным по цепи поставок лицам.

При категорировании и анализе следует учитывать: Особое внимание следует уделять актам незаконного вмешательства , которые могут рассматриваться как показатель угроз обеспечению безопасности или уязвимости охранных мероприятий. Должны быть выработаны обоснованные выводы и корректирующие действия.

Такой анализ следует довести до высшего руководства организации и должен быть включен в анализ обеспечения безопасности со стороны руководства см. Эффективность проведения расследований в области менеджмента безопасности и процесс оповещения результатов расследования следует подвергать оценке. Оценка должна быть объективной и по возможности иметь количественные показатели. При оценке расследования организация должна: При этом необходимо концентрироваться на устранении принципиальных причин появления несоответствий , а не ограничиваться отдельными действиями по устранению схожих несоответствий в подобных частях организации.

Ведение записей может быть быстрым с наименьшим формальным планированием или более сложным и рассчитанным на долгосрочные действия. Сопутствующая документация должна соответствовать уровню корректирующего действия. Сведения и рекомендации следует направлять представителю руководства по безопасности для сбора и анализа см.

Записи проведения расследований актов незаконного вмешательства должны поддерживаться в рабочем состоянии. Такие записи могут потребоваться операторам цепи поставок. Организация должна разрабатывать и поддерживать в рабочем состоянии ведение записей в объеме , необходимом для демонстрации соответствия собственной системы менеджмента безопасности требованиям стандарта , а также для демонстрации достигнутых результатов.

Организация должна разрабатывать , внедрять и поддерживать в рабочем состоянии процедуру идентификации , хранения , защиты , восстановления , сроков хранения и изъятия записей.

Записи должны оставаться четкими , легкоидентифицируемыми , опознаваемыми и прослеживаемыми. Документация в электронном и цифровом форматах должна быть защищена от неумелого обращения , надежно поддерживаться и быть доступной только для уполномоченного персонала.

Ведение записей осуществляют для демонстрации свидетельств соответствия требованиям и результативности функционирования системы менеджмента безопасности. Записи должны быть определены , поддерживаться в рабочем состоянии , быть четкими , легкоидентифицируемыми и восстанавливаемыми. Записи , демонстрирующие соответствие требованиям , включают в себя: Однако следует дополнительно рассмотреть: Записи должны быть четкими и легкоидентифицируемыми.

Должно быть определено время их хранения. Записи следует хранить в безопасном месте , должны быть легковосстанавливаемыми и защищенными от износа. Важные записи должны быть защищены соответствующим образом от возможного пожара и других повреждений в соответствии с применимыми нормативными требованиями.

Организация должна разрабатывать , внедрять и поддерживать в рабочем состоянии программу аудита менеджмента безопасности и обеспечивать проведение аудита через запланированные интервалы времени для того , чтобы: Программа аудита , включая график аудиторских проверок , должна основываться на результатах оценок угроз и рисков деятельности организации и результатах предыдущих аудиторских проверок.

Процедуры аудита должны определять объем , частоту , методы проведения , компетенцию , ответственность , критерии к проведению аудита и отображению его результатов.

Там , где возможно , аудит должен проводить персонал , не зависимый от тех лиц , которые несут непосредственную ответственность за проверяемую деятельность. Внутренние аудиты следует проводить через запланированные интервалы времени для определения того , что система менеджмента безопасности внедрена результативно и поддерживается в рабочем состоянии ; а также для предоставления высшему руководству сведений о соответствии всем требованиям ГОСТ Р раздел 4 и требованиям к системе менеджмента , разработанным организацией.

Аудит также может осуществляться для определения способностей организации к постоянному улучшению. В целом в ходе проведения внутренних аудитов необходимо рассмотрение политики и целей в области менеджмента безопасности , а также состояния условий и процессов , затрагивающих цепи поставок.

Программа проведения внутренних аудитов должна позволять организации проводить анализ функционирования системы менеджмента безопасности на соответствие ГОСТ Р и другим установленным требованиям в рамках своей деятельности. Запланированные аудиты следует проводить силами персонала организации или привлеченных специалистов для установления степени соответствия деятельности организации задокументированным процедурам , а также для оценки эффективности системы менеджмента по достижению целей в области менеджмента безопасности.

Персонал , проводящий аудиты системы менеджмента безопасности , должен обеспечивать объективность и беспристрастность процесса аудита. Примечание - Внутренний аудит системы менеджмента безопасности фокусируется на функционировании системы менеджмента безопасности.

Вместе с тем такой аудит не следует путать с проведением анализов , оценок и других инспекторских проверок обеспечения безопасности и охраны.

Аудит дает всестороннюю и документально оформленную оценку соответствия деятельности организации установленным процедурам и методам. Аудит следует проводить в соответствии с установленным планом. Дополнительные аудиты проводят в зависимости от сложившихся обстоятельств , например после инцидентов , повлиявших на систему менеджмента безопасности , изменений деятельности организации , инженерно - технических средств охраны или размеров цепи поставок. Аудит должен проводить только компетентный , независимый персонал , который прошел соответствующую проверку на допуск для работы в проверяемых областях.

Выходные данные аудита должны включать в себя подробную оценку эффективности процедур обеспечения безопасности и охраны , уровень их соответствия фактической деятельности и , при необходимости , определять корректирующие действия. Записи о результатах проведенных аудитов должны поддерживаться в рабочем состоянии и своевременно доводиться до высшего руководства.

График проведения внутренних проверок следует планировать на ежегодной основе. Аудит должен охватывать всю деятельность организации , затрагиваемую системой менеджментов безопасности , и оценивать ее соответствие ГОСТ Р Частоту и объемы проводимых аудитов следует планировать с учетом рисков , связанных с различными элементами системы менеджмента безопасности , существующими сведениями о функционировании системы , выходными данными анализа со стороны руководства , а также области применения системы менеджмента безопасности , в пределах которой она может изменяться.

Основанием к проведению внеочередных , незапланированных аудитов может быть , например , реализация акта незаконного вмешательства. Для обеспечения эффективного внедрения и результативного проведения аудитов необходимо тесное участие со стороны высшего руководства организации. Высшее руководство должно учитывать выводы и рекомендации , выработанные в ходе аудита , и предпринимать соответствующие действия по мере необходимости в соответствующие сроки.

Аудиты следует проводить в строгом соответствии с установленными планами. Персонал должен быть проинформирован о целях и актуальности проводимых аудитов. Во время проведения аудита аудируемый персонал должен оказывать полное содействие в предоставлении необходимых сведений и данных. Аудит может проводиться одним или несколькими аудиторами. Командный подход поможет расширить рамки участия и улучшить сотрудничество , а также позволит использовать более широкий диапазон необходимых навыков и знаний.

Выбор аудиторов должен обеспечивать объективность и беспристрастность процесса аудита. Аудиторы не должны проверять свою собственную работу , а при необходимости должны получать допуск для проведения аудита таких работ.

Аудитор должен четко понимать свои задачи и быть достаточно компетентным для их выполнения. Он должен обладать опытом и знаниями соответствующих нормативных правовых актов , регламентирующих обеспечение безопасности и охраны , достаточными для ведения аудита , оценки функционирования системы менеджмента безопасности и идентификации несоответствий.

Кроме того , аудитор должен быть осведомлен и иметь доступ к процедурам и руководствам , касающимся проверяемой деятельности. Способы , используемые при сборе информации о функционировании системы менеджмента безопасности , зависят от характера проводимых аудитов.

Аудит должен обеспечивать получение объективных свидетельств осуществления соответствующих действий и опрос персонала при необходимости - персонала подрядчика , непосредственно связанного с обеспечением безопасности и охраны организации.

Соответствующую документацию следует проверять , к ней может относиться: Для исключения возможности неправильного использования или толкования собранных при проведении аудита сведений в процедуру проведения внутренних аудитов организации должна быть включена обязательная проверка получаемой информации на объективность , непротиворечивость и адекватность.

Содержание акта о результатах внутреннего аудита системы менеджмента безопасности организации должно быть понятным , точным и завершенным. Акт должен содержать дату и подпись аудитора и в зависимости от обстоятельств содержать: Результаты аудита следует доводить до всех лиц , имеющих к этому отношение , в возможно короткие сроки для обеспечения принятия корректирующих действий. Должен быть подготовлен план совместных корректирующих действий с указанием ответственных лиц , сроков и способов доклада об исполнении.

Для обеспечения гарантий успешного внедрения рекомендаций следует применять меры мониторинга. Руководство должно проанализировать результаты и , при необходимости , предпринять эффективные корректирующие действия. В дальнейшем может потребоваться проведение внепланового аудита для анализа эффективности предпринятых корректирующих действий. При ведении записей , связанных с проведением внутренних аудитов системы менеджмента безопасности , должен соблюдаться режим конфиденциальности.

Рисунок 6 - Анализ со стороны руководства. Высшее руководство должно анализировать систему менеджмента безопасности организации с запланированной периодичностью с тем , чтобы обеспечивать ее постоянную пригодность , адекватность и результативность.

Анализ должен включать оценку возможностей по улучшению и потребностей в изменениях системы менеджмента безопасности , включая политику и цели в области менеджмента безопасности , а также угрозы и риски. Записи по анализам со стороны руководства следует сохранять. Анализ со стороны руководства должен учитывать: Результаты анализа со стороны руководства должны включать в себя любые решения и действия , относящиеся к возможным изменениям в политике , целях , задачах и других элементах системы менеджмента безопасности , согласующиеся с обязательством постоянного улучшения.

Высшее руководство должно анализировать систему менеджмента безопасности с целью обеспечения ее постоянной пригодности , достаточности и результативности в эффективном проведении заявленной политики и достижения целей в области менеджмента безопасности.

В ходе анализа также следует рассматривать соответствие существующей политики. Она должна позволять устанавливать новые или пересматривать существующие цели для обеспечения постоянного улучшения и определять потребности в изменениях системы менеджмента безопасности.

Типовые входные данные включают в себя ;. Процесс анализа со стороны руководства обычно включает проведение совещаний высшим руководством через запланированные интервалы времени.

Анализ должен фокусироваться на функционировании системы менеджмента безопасности в целом , а не на отдельных деталях системы , управление которыми возможно в рамках существующей системы менеджмента безопасности. При планировании совещания по анализу со стороны руководства следует уделять внимание: Совещание по анализу должно охватывать: Высшее руководство должно гарантировать , что на совещании была доведена вся информация , касающаяся функционирования системы менеджмента безопасности.

При необходимости возможно проведение анализа функционирования отдельных частей системы менеджмента безопасности с меньшими интервалами времени проведения. Анализ со стороны руководства может включать анализ интегрированной системы менеджмента ; при этом выходные данные анализа систем менеджмента безопасности , качества ГОСТ Р ИСО , экологии ГОСТ Р ИСО и других систем менеджмента могут рассматриваться на том же совещании или в ходе схожего процесса. В случае принятия такого подхода , необходимо исключать принижение важности любой из составных частей интегрированной системы менеджмента организации.

Требования к системе менеджмента безопасности цепи поставок только заглавие. Требования к системе управления окружающей средой только заглавие. Требования к системе менеджмента качества только заглавие. Оценка рисков безопасности и планирование только заглавие.

Законодательные нормативные и прочие требования к обеспечению безопасности. Требования законодательных актов и другие требования. Планирование создания и развития системы менеджмента качества. Процессы жизненного цикла продукции только заглавие. Структура, полномочия и ответственность в менеджменте безопасности. Требования к документации Общие положения.

Управление документами и данными. Планирование процессов жизненного цикла продукции. Любые необходимые меры по управлению или уменьшению рисков следует внедрять прежде, чем вводятся такие изменения. Наряду с учетом рисков обеспечения безопасности и рисков, создаваемых действиями собственного персонала, организация должна учитывать риски, возникающие вследствие действий подрядчиков и посетителей, а также при пользовании продукцией или услугами, поставляемыми иными организациями;.

Процессы идентификации угроз безопасности, оценки рисков и риска-менеджмента должны быть документально оформлены и включать в себя;. В зависимости от характера и типа осуществляемых процессов организации может потребоваться приобретение сторонних услуг или консультаций ,.

Такой анализ может быть частью анализа эффективности системы менеджмента безопасности со стороны руководства см. Время проведения анализа упомянутых процессов может изменяться в зависимости от;. Анализ процессов следует проводить также е случае таких изменений в деятельности организации. Такие изменения могут включать в себя:. Организация должна хранить и актуализировать эту информацию. Она должна доводить значимую информацию о законодательных и других требованиях всему персоналу и.

Организации необходимо осознавать влияние законодательных и иных требований на собственную деятельность в настоящее время и в будущем и доводить эту информацию до соответствующего персонала. Но это не является призывом к созданию библиотеки нормативной документации. Должны быть определены и идентифицированы законодательные и иные требования в области обеспечения безопасности и охраны, наиболее приемлемые способы получения такой информации.

В процессе разработки и анализа своих целей организация должна учитывать:. Необходимо обеспечивать, чтобы во всей организации где это практически необходимо были установлены измеримые цели в области менеджмента безопасности, согласующиеся с политикой. Используя входные данные, руководство организации должно идентифицировать и устанавливать приоритеты по целям в области менеджмента безопасности. Для достижения адекватности и понимания при установлении целей в области менеджмента безопасности особое внимание следует уделять входным данным, получаемым от источников, которые с наибольшей вероятностью будут затронуты такими целями.

Совещания по определению целей в области менеджмента безопасности должно проводить руководство не реже одного раза в год.

Цели в области менеджмента безопасности должны охватывать как всеобщие проблемы обеспечения безопасности и охраны организации в целом, так и те проблемы, которые являются специфическими для цепи поставок, отдельных подразделений или предоставляемых услуг.

Для каждой цели в области менеджмента безопасности должен быть определен соответствующий показатель, который позволяет контролировать процесс достижения установленных целей. Цели в области менеджмента безопасности должны быть разумными и достижимыми с тем. По каждой цели должен быть определен график реализации. Цели в области менеджмента безопасности допускается подразделять на отдельные направления в зависимости от размера организации, сложности самой цели и времени ее достижения.

Цели в области менеджмента безопасности должны быть доведены до соответствующего персонала в ходе проведения учений и тренировок см. Типовыми выходными данными являются установленные организацией для каждой своей функции измеримые и документально оформленные цели в области менеджмента безопасности. Организация должна разрабатывать, документировать, внедрять и поддерживать в рабочем состоянии задачи в области менеджмента безопасности, соответствующие потребностям организации.

Задачи должны исходить из целей в области менеджмента безопасности и соответствовать им. Задачи должны соответственно корректироваться там. Задачи в области менеджмента безопасности устанавливают для достижения целей в пределах определенного организацией времени. Процесс определен в программах в области менеджмента безопасности и представляет собой достижение задач, соответствующих целям. Используя входные данные, руководство организации должно идентифицировать и устанавливать приоритеты по задачам в области менеджмента безопасности.

Задачи должны быть измеримы, конкретизированы и соотнесены по времени. Для достижения адекватности и понимания при установлении задач в области менеджмента безопасности особое внимание следует уделять входным данным, получаемым от источников, которые с наибольшей вероятностью будут затронуты при реализации таких задач.

Совещания по определению задач в области менеджмента безопасности должно проводить руководство после внесения изменений в цели в области менеджмента безопасности. Задачи в области менеджмента безопасности должны охватывать как всеобщие проблемы обеспечения безопасности и охраны организации в целом, так и те проблемы, которые являются специфическими для цепи поставок, отдельных подразделений или предоставляемых услуг.

Для каждой задачи в области менеджмента безопасности должен быть определен соответствующий показатель, который позволяет контролировать реализацию поставленных задач. Задачи в области менеджмента безопасности должны быть разумными и решаемыми с тем.

По каждой задаче должен быть определен график реализации. Задачи в области менеджмента безопасности допускается подразделять на отдельные направления в зависимости от размера организации, сложности поставленной задачи и времени ее выполнения.

Должна быть установлена четкая взаимосвязь между такими направлениями и задачами в области менеджмента безопасности. Задачи в области менеджмента безопасности должны быть доведены до соответствующего персонала в ходе проведения учений и тренировок см. Типовыми выходными данными являются установленные организацией для каждой своей функции измеримые и документально оформленные задачи в области менеджмента безопасности. Организация должна разрабатывать, внедрять и поддерживать в рабочем состоянии программы в области менеджмента безопасности для достижения своих целей и решения соответствующих задач.

Программы должны быть оптимизированы и затем расставлены по приоритетам, а организация должна предусматривать результативное и рентабельное по затратам выполнения этих программ. Программы в области менеджмента безопасности должны периодически актуализироваться с тем. Программы должны соответственно корректироваться там. Стратегия программы должна быть основана на результатах идентификации угроз и оценки рисков. Программа должна рассматривать снижение угроз безопасности посредством методологических и технологических решений, а также опыта других организаций.

Программа должна предусматривать распределение соответствующей ответственности и полномочий. Для случаев существенных изменений или реструктуризации деятельности организации, методов работы, оборудования и средств охраны программа должна предусматривать проведение новой идентификации угроз и оценки рисков. Программа в области менеджмента безопасности должна предусматривать консультации соответствующего персонала по ожидаемым изменениям. Типовыми выходными данными являются определенные организацией и документально оформленные программы в области менеджмента безопасности по достижению целей и решению задач, описанных в 4.

Эти роли, ответственность и полномочия должны быть идентифицированы, документированы и доведены до сведения каждого лица с персональной ответственностью за внедрение и улучшение. Для обеспечения эффективности менеджмента безопасности необходимо, чтобы роли, ответственность и полномочия были определены и оформлены документально. Только персонал, прошедший проверку на допуск, можно привлекать для решения задач по обеспечению безопасности и охраны, выполнение этих задач должно обеспечиваться адекватными ресурсами.

Должны быть определены ответственность и полномочия всех лиц. Тем не менее организация должна доводить и продвигать мысль о том, что безопасность — это ответственность каждого в организации, а не только тех лиц. Представитель руководства по безопасности должен нести ответственность и обладать полномочиями по внедрению и документированию системы менеджмента безопасности: Представитель руководства по безопасности должен регулярно получать информацию относительно работы системы и принимать активное участие в проведении анализов результативности функционирования системы менеджмента безопасности для определения целей в этой области.

Ответственность руководства среднего эвена должна включать в себя обеспечение безопасности в пределах области их деятельности. Ответственность и полномочия в области обеспечения безопасности должны быть документально оформлены и соответствовать установленной в организации форме. Для этого организация может использовать одну или более из нижеприведенных форм или воспользоваться альтернативной формой по своему выбору:. Если в организации предусмотрено ведение должностных инструкций персонала, в которых изложены ответственность и полномочия, касающиеся производственной деятельности организации, тогда.

Ответственность и полномочия должны быть доведены до тех лиц. Ресурсы считают адекватными, если они достаточны для реализации программ в области менеджмента безопасности, включая проведение мониторинга и измерений. Руководство должно демонстрировать свои обязательства по обеспечению безопасности и охраны. Способы демонстрации могут включать в себя посещение и осмотр охраняемых объектов, участие в расследовании актов незаконного вмешательства, предоставление ресурсов для реализации корректирующих действий, участие в совещаниях и конференциях по обеспечению безопасности и охраны.

Организация должна иметь эффективные процедуры для обеспечения осведомленности персонала в отношении рисков и поддержания необходимой компетентности для реализации своих функций по обеспечению безопасности. Примечание — Для успешной системы менеджмента безопасности и ее эффективного функционирования важно уделять особое внимание вопросам осведомленности в области обеспечения безопасности и охраны во всей организации.

Следует разрабатывать и поддерживать в рабочем состоянии программы подготовки и проведения инструктажа по:. Эффективность программ подготовки и проведения инструктажа следует подвергать оценке. В целях определения эффективности и результативности данных программ такая оценка может осуществляться в процессе проведения подготовки или инструктажа.

В процессе азаимодейстеия со своими партнерами организация при реализации своей деятельности должна поддерживать и распространять положительный опыт обеспечения безопасности, основывающийся на собственных политике и целях в области менеджмента безопасности.

Необходимо обеспечивать понимание персоналом важности наличия системы менеджмента безопасности и поощрять его стремление к содействию в области обеспечения безопасности и охраны. Организация должна разрабатывать и поддерживать в рабочем состоянии систему документирования менеджмента безопасности, которая включает в себя но не ограничивается этим:.

Организация должна определять степень конфиденциальности информации и предпринимать шаги для предотвращения несанкционированного доступа к ней. Для обеспечения понимания, эффективного внедрения и функционирования систему менеджмента безопасности следует документально оформлять и поддерживать в рабочем состоянии. До разработки документации системы менеджмента безопасности организация должна определять те данные информацию , которые необходимы для ее успешного функционирования.

Нет также необходимости в замене существующих руководств, процедур или должностных инструкций, если они адекватно описывают текущую деятельность и меры по обеспечению безопасности и охраны в организации. Аналогичные меры должны быть предусмотрены при работе с электронными носителями. Организация должна разрабатывать и поддерживать в рабочем состоянии процедуры управления всей документацией, данными и информацией, указанными в разделе 4 с тем.

Вся документация и данные, содержащие информацию о функционировании системы менеджмента безопасности и действиях организации по обеспечению безопасности и охраны, должны быть идентифицированы.

Должно быть обеспечено управление ими. Процедуры должны предусматривать средства управления документацией и данными по обеспечению безопасности и охраны в части их идентификации, одобрения, доступа, выдачи, пересмотра и замены. Эти процедуры должны четко определять степень доступа к документации и данным, содержащим конфиденциальную информацию в зависимости от ее значимости. Должно обеспечиваться наличие и доступ к документации и данным уполномоченному на то персоналу в случае необходимости как в условиях повседневной деятельности организации, так и в чрезвычайных ситуациях.

Эти процедуры должны включать в себя управление проектированием, установкой, функционированием. Если пересматриваются существующие договоренности или вводятся новые, то это может повлиять на функционирование и действия менеджмента безопасности. Поэтому организация должна заранее учитывать все связанные с этим угрозы и риски в отношении.

Новые или пересмотренные договоренности или меры, подлежащие такому учету, включают в себя:. Организация должна внедрять и поддерживать в рабочем состоянии мероприятия по обеспечению эффективного применения мер управления рисками, достижения политики и целей организации, исполнения задач в области менеджмента безопасности в соответствии с законодательными и другими требованиями, регламентирующими обеспечение безопасности и охраны. Организация должна внедрять процедуры по управлению идентифицированными рисками включая риски, возникающие при взаимодействии с поставщиками, другими партнерами или операторами цепи поставок, а также посетителями.

Процедуры риска-менеджмента следует регулярно анализировать на адекватность и результативность. Ниже приведены некоторые примеры областей, в которых типичным образом возникают риски, а также примеры управления такими рисками. Организация должна периодически анализировать эффективность своей готовности к действиям в чрезвычайных ситуациях, а также планы и процедуры реагирования и восстановления безопасности.

Это особенно важно после акта незаконного вмешательства или чрезвычайной ситуации, произошедших е результате нарушений в области охраны или реализации угрозы. Организация должна периодически подвергать проверке эти процедуры, оценивая их результативность. Настоящий раздел затрагивает готовность, реагирование и восстановление после реализации акта незаконного вмешательства. Готовность к действиям в чрезвычайных ситуациях означает планирование.

Организация должна активно оценивать угрозы и потребности реагирования по всем потенциальным актам незаконного вмешательства, определенным в процессе идентификации угроз и оценки рисков см. Организация должна разрабатывать планы действий в чрезвычайных ситуациях, в которых должно быть определено и обеспечено проведение соответствующих мероприятий, а также предусмотрена регулярная проверка собственных способностей организации посредством проведения учений и тренировок.

Проведение учений и тренировок должно демонстрировать эффективность наиболее значимых разделов планов реагирования, а также завершенность процесса планирования. Планы реагирования и восстановления безопасности должны содержать краткое описание действий в случае возникновения специфических ситуаций и включать в себя:. Привлечение сторонних организаций к планированию действий и реагированию в чрезвычайных ситуациях должно быть четко отражено в документах.

Организация должна определять потребности в технических средствах охраны и обеспечивать их наличие в достаточном количестве. Практические учения и тренировки следует проводить согласно заранее установленным графикам.

Где это возможно, должно поощряться проведение совместных учений с привлечением деловых партнеров по цепи поставок или федеральных органов исполнительной власти. Организация должна разрабатывать и поддерживать в рабочем состоянии процедуры мониторинга и измерений показателей функционирования собственной системы менеджмента безопасности.

При установлении частоты оценки качества и мониторинга ключевых параметров работы организация должна учитывать угрозы и риски в отношении безопасности, включая потенциальные механизмы ее ухудшения и их последствия. Эти процедуры должны предусматривать:. Организация должна определять ключевые показатели результативности обеспечения безопасности и охраны как для всей организации в целом, так и для цепей поставок, которые управляются организацией или находятся в сфере ее влияния.

Показатели должны быть измеримыми и демонстрировать:. Система менеджмента безопасности организации должна объединять в себе пассивный и активный мониторинги:. Данные пассивного и активного мониторингов обычно используют при определении достижимости целей в области менеджмента безопасности. Организации необходимо принять решение о типе и частоте применимого мониторинга в зависимости от значимости рисков см. При проведении мониторинга и выборочных проверок допускается использовать опросные листы.

Инженерно-технические средства охраны, используемые для мониторинга и обеспечения безопасности. Точность показаний технических средств должна быть известна.

При необходимости для технических средств охраны должны быть разработаны и документально оформлены схемы проведения калибровок и технических осмотров.

Калибровку и техническое обслуживание следует проводить в соответствующих условиях. Для проведения сложных калибровок должны быть разработаны процедуры. Измерительные устройства, используемые для калибровки, должны соответствовать метрологическим правилам и нормам. Технические средства охраны, статус калибровки и технического обслуживания которых неизвестен либо просрочен, должны быть запрещены к эксплуатации.

Кроме того, такие средства должны быть изъяты из области эксплуатации либо соответствующим образом идентифицированы с целью предотвращения их непреднамеренного использования. Порядок такой идентификации должен быть задокументирован в процедурах.

Должен быть составлен перечень всех инженерно-технических средств охраны. Их следует проверять в соответствии с установленными требованиями, и они должны быть включены в планы проведения инспекционных проверок. Проведение инспекционных проверок не освобождает уполномоченный персонал от проведения регламентных работ по обслуживанию инженерно-технических средств охраны или проведения идентификации угроз.

О каждой проведенной инспекционной проверке ведут соответствующие записи. Следует применять любые необходимые предупреждающие действия. Технические средства охраны, эксплуатируемые подрядчиками, должны управляться так же. Любые статистические или другие аналитические методики, используемые для оценки обеспечения безопасности, расследования актов незаконного вмешательства и нарушений режима охраны или для принятия решений, должны основываться на устойчивых научных принципах.

Организация должна оценивать планы, процедуры и возможности менеджмента безопасности посредством периодических пересмотров, тестирований, анализа сообщений о происшествиях, связанных с охраной, полученных уроков, оценок работы и результатов учений.

Существенные изменения в этих аспектах должны немедленно находить отражение в процедурах. Организация должна периодически оценивать соответствие системы менеджмента безопасности применимым нормам и правилам, наилучшим производственным примерам, собственной политике и целям. Также необходимо проводить периодический анализ соответствия деятельности организации применимым законодательным и другим нормативным требованиям. Этот уровень должен учитывать положительный опыт внедрения систем менеджмента безопасности, а также любые изменения требований.

Руководство организации через определенные интервалы времени должно проводить оценку своей системы менеджмента безопасности для демонстрации ее пригодности и результативности. Необходимые для обеспечения этого процессы и процедуры приведены в 4. Организация должна разрабатывать, внедрять и поддерживать в рабочем состоянии процедуры по определению ответственности и полномочий в отношении:.

Любое корректирующее или предупреждающее действие, предпринятое для устранения причины фактических и потенциальных несоответствий, должно быть адекватным величине проблемы и соразмерным тем угрозам и рискам, с проявлением которых может вероятно столкнуться менеджмент безопасности.

Организация должна вести записи о любых изменениях в документируемых процедурах. Организация должна обладать эффективными процедурами по анализу и проведению расследований сбоев системы менеджмента безопасности, актов незаконного вмешательства и чрезвычайных ситуаций. Основная цель этих процедур — предотвращение нежелательных ситуаций путем выявления и устранения причин их возникновения.

От организации потребуется разработка процедур, гарантирующих, что по каждому акту незаконного вмешательства и чрезвычайной ситуации будет проведено расследование и предприняты соответствующие предупреждающие или корректирующие действия.

Процедуры в этом отношении должны:. Для регистрации сведений о проведении и результатах предварительных и последующих расследований следует использовать соответствующие способы управления записями. Организация должна обеспечивать наличие в процедурах:.

Расследование персонал должен начинать с предварительного анализа фактов во время сбора данных. Сбор данных и анализ следует проводить до тех пор. Корректирующее действие — это действие, предпринимаемое для определения причин несоответствия или акта незаконного вмешательства, и предупреждения повторного их возникновения.

Процедуры по разработке и реализации корректирующего действия должны учитывать:. Предупреждающее действие —это действие, предпринимаемое для предупреждения появления потенциальных несоответствий в области обеспечения безопасности и охраны.

Корректирующие или предупреждающие действия должны быть эффективными и практически реализуемыми. По каждому такому действию следует проводить проверку его эффективности. Выявленные несоответствия и акты незаконного вмешательства должны периодически категорироваться и анализироваться для определения причин их возникновения. Частота и сложность анализа должна демонстрироваться заинтересованным по цепи поставок лицам. Особое внимание следует уделять актам незаконного вмешательства, которые могут рассматриваться как показатель угроз обеспечению безопасности или уязвимости охранных мероприятий.

Должны быть выработаны обоснованные выводы и корректирующие действия. Эффективность проведения расследований в области менеджмента безопасности и процесс оповещения результатов расследования следует подвергать оценке.

Оценка должна быть объективной и по возможности иметь количественные показатели. При этом необходимо концентрироваться на устранении принципиальных причин появления несоответствий.

Ведение записей может быть быстрым с наименьшим формальным планированием или более сложным и рассчитанным на долгосрочные действия. Сопутствующая документация должна соответствовать уровню корректирующего действия. Сведения и рекомендации следует направлять представителю руководства по безопасности для сбора и анализа см.

Записи проведения расследований актов незаконного вмешательства должны поддерживаться в рабочем состоянии. Такие записи могут потребоваться операторам цепи поставок. Организация должна разрабатывать и поддерживать в рабочем состоянии ведение записей в объеме, необходимом для демонстрации соответствия собственной системы менеджмента безопасности требованиям стандарта, а также для демонстрации достигнутых результатов.

Документация в электронном и цифровом форматах должна быть защищена от неумелого обращения. Записи должны быть определены. Записи должны быть четкими и легкоидентифицируемыми.