ISO 28004-2:2014
(Main)Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
ISO 28004-2:2014 identifies supply chain risk and threat scenarios, procedures for conducting risks/threat assessments, and evaluation criteria for measuring conformance and effectiveness of the documented security plans in accordance with ISO 28000 and the ISO 28004 series implementation guidelines. An output of this effort will be a level of confidence rating system based on the quality of the security management plans and procedures implemented by the seaport to safeguard the security and ensure continuity of operations of the supply chain cargo being processed by the seaport. The rating system will be used as a means of identifying a measurable level of confidence (on a scale of 1 to 5) that the seaport security operations are in conformance with ISO 28000 for protecting the integrity of the supply chain.
Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Lignes directrices pour la mise en application de l'ISO 28000 — Partie 2: Lignes directrices pour l'adoption de l'ISO 28000 lors de l'utilisation dans les opérations portuaires petites et moyennes
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 28004-2
First edition
2014-02-01
Security management systems for
the supply chain — Guidelines for the
implementation of ISO 28000 —
Part 2:
Guidelines for adopting ISO 28000
for use in medium and small seaport
operations
Systèmes de management de la sûreté pour la chaîne
d’approvisionnement — Lignes directrices pour la mise en application
de l’ISO 28000 —
Partie 2: Lignes directrices pour l’adoption de l’ISO 28000 lors de
l’utilisation dans les opérations portuaires petites et moyennes
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Overview . 1
2.1 Objective . 1
2.2 Background . 1
2.3 ISO 28000, 4.3.1 requirements for security risk assessment . 2
2.4 Risk assessment requirements . 3
3 Supply chain seaport risk areas . 6
3.1 General . 6
3.2 Accidents — Port operations . 6
3.3 Criminal activity risks . 7
3.4 Fire risks . 9
3.5 Stakeholder financial risks .10
3.6 Labour related risks .12
3.7 Mechanical/equipment breakdown risks .13
3.8 Political and governmental risks .14
3.9 Terrorist risks .15
3.10 Weather related risks .17
4 Seaport security plan evaluation criteria and rating process .18
4.1 General .18
4.2 Security plan evaluation process and procedures.18
4.3 Evaluation criteria for assessing conformance .19
4.4 Use of ISO 20858 security evaluation and assessment procedures .20
4.5 Security plan assessment rating system .20
Bibliography .22
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any
patent rights identified during the development of the document will be in the Introduction and/or on
the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 8, Ships and marine technology.
This first edition of ISO 28004-2 cancels and replaces ISO/PAS 28004-2:2012. It also incorporates the
Amendment ISO 28004-1:2007/DAmd1.
ISO 28004 consists of the following parts, under the general title Security management systems for the
supply chain — Guidelines for the implementation of ISO 28000:
— Part 1: General principles
— Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
— Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses
(other than marine ports)
— Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a
management objective
iv © ISO 2014 – All rights reserved
Introduction
This part of ISO 28004 is designed to provide guidance and amplifying information for medium and
small seaports desiring to adopt ISO 28000. The amplifying information is designed to enhance, but not
alter, the general guidance currently specified in ISO 28004. No alterations to ISO 28004, other than the
addition of supplements, will be undertaken.
Relationship with ISO relevant technical standards
There are several established and pending related ISO technical standards that when coupled with
this part of ISO 28004, provide additional guidance and instructions for the seaport operators for
establishing their security management plans and evaluating the capability of those plans to protect
the integrity of the supply chain cargo while under their direct control. These international standards:
ISO 20858, ISO 28001, ISO 28002, ISO 28003, including the ISO 28004 series are referenced in this
part of ISO 28004 and in order to provide specific guidance steps to operators. The relevance of these
international standards to ISO 28000 is presented in Table 1.
Table 1 — Relevant ISO technical standards
ISO technical stand- Technical description
ard
ISO 28004-1 Provides guidance to certifying bodies on assessing
conformance of an organization with the requirements of
ISO 28000
ISO 20858 Provides a professional interpretation of the IMO ISPS for
port facility security and guidance for evaluating the port
security management plans and installed operational
procedures.
ISO 28001 Provides security requirements addresses the core secu-
rity requirements of the World Customs Organization
(WCO) Authorized Economic Operator Program
ISO 28002 Provides guidance on establishing a policy to enhance the
resilience of an organization’s supply chain
ISO 28003 Provides guidance to certifying bodies on assessing
conformance of an organization with the requirements of
ISO 28000
INTERNATIONAL STANDARD ISO 28004-2:2014(E)
Security management systems for the supply chain —
Guidelines for the implementation of ISO 28000 —
Part 2:
Guidelines for adopting ISO 28000 for use in medium and
small seaport operations
1 Scope
This part of ISO 28004 identifies supply chain risk and threat scenarios, procedures for conducting
risks/threat assessments, and evaluation criteria for measuring conformance and effectiveness of the
documented security plans in accordance with ISO 28000 and the ISO 28004 series implementation
guidelines. An output of this effort will be a level of confidence rating system based on the quality of the
security management plans and procedures implemented by the seaport to safeguard the security and
ensure continuity of operations of the supply chain cargo being processed by the seaport. The rating
system will be used as a means of identifying a measurable level of confidence (on a scale of 1 to 5) that
the seaport security operations are in conformance with ISO 28000 for protecting the integrity of the
supply chain.
2 Overview
2.1 Objective
The objective of this part of ISO 28004 is to provide guidance to medium and small ports that wish to adopt
ISO 28000. This guidance provides a self-evaluation criterion that could be used by these ports as they
implement ISO 28000. While the self-certification criteria will not result in a third party certification,
it can be used to determine the capability of the seaport stakeholders’ security management plans for
safeguarding the integrity of supply chain in accordance with the security provisions and guidelines
specified in ISO 28000 and the ISO 28004 series. The goal is to develop a risk assessment evaluation
rating scale metric that can be used to evaluate the capability of the port security management plans to
provide uninterrupted security protection and continuous operations for the supply chain cargo being
received, stored, and transferred by the seaport. The use of these self-evaluation criteria will enable the
user to determine if the seaport has addressed each requirement of ISO 28000 in adequate detail.
2.2 Background
The International Ship and Port Facility Security (ISPS) Code requires that each maritime port facility
develop a comprehensive port facility security plan that includes the cargo under their direct control.
The port security plan should address those applications, security systems and operations measures
designed to protect the personnel, port facilities, ships at berth, cargo, and cargo transport units,
including rail and ground within the port facility physical boundaries from the risks of a security
incident (ISO 20858 provides clear guidance on meeting these requirements). ISO 28000 and the
ISO 28004 series have established guidelines for protecting the Global Supply Chain at a very high level,
but do not provide enough specific detail that would allow a consistent level of implementation to cover
all of the security provisions and applications for large, medium and smaller seaports that are integral
parts of the global supply chain security infrastructure. To ensure long term and consistent security
of the supply chain, there is a need for each of the stakeholders in this integrated global network to be
measured and held accountable for contributing to the safety and uninterrupted delivery of goods.
The Medium and Small seaports are an integral part of the supply chain delivery infrastructure
especially considering that these ports are typically the first entry points for a majority of the goods
being shipped and distributed to local and international destinations. These smaller ports are the feeder
ports for goods being shipped to the larger mega ports for consolidating cargo for distribution to long
haul shipment to other mega ports and global destinations. Therefore, it is critical that these Medium and
Small sized seaports implement and maintain proven security provisions that can ensure the protection
and continued safe passage of goods being shipped through their port facilities.
While ISO 28000 and the ISO 28004 series provide general overviews of the expected requirements
to secure the supply chain, there are limited instructions, measurable requirements and acceptance
criteria that would allow an entity to create and implement a security management plan that would
ensure that the established standards in ISO 28000 were met. Therefore, this part of ISO 28004 is
designed to provide the methods, procedures, guidelines and acceptance criteria that will be used for
measuring the level of conformance with ISO 28004 security provisions.
2.3 ISO 28000, 4.3.1 requirements for security risk assessment
ISO 28000, 4.3.3 states “When establishing and reviewing its objectives, an organization shall take into
account: a) legal, statutory and other security regulatory requirements” The ISPS Code as adopted by
each member state establishes such security risk assessment requirements. Clause 4.3.1 of ISO 28000
therefore requires, the seaport stakeholders and governing organization establish and maintain
procedures for the ongoing identification and assessment of security threats, security management-
related threats and risks, and the identification and implementation of the necessary management
control measures to safeguard the supply chain. The security threats and risk identification, assessment
and control methods should, as a minimum, be appropriate to the nature and scale of the seaport
operations. This assessment shall consider the likelihood of an event and all of its consequences to the
seaport stakeholders, threats to continuity of operations, supply chain security, and disaster recovery.
Specifically, the risk assessment should address at a minimum, the following:
a) Operational threats and risks, including the control of the security, human factors and other
activities, which affect the organizations performance, condition or safety.
b) Natural environmental events (storms, floods, high winds, etc.), which may render security
measures and equipment ineffective.
c) Factors outside of the organization’s control, such as failures in externally supplied equipment and
services, changes in local and international security policies and regulations, and political changes
affecting seaport ownership and operations.
d) Stakeholder threats and risks such as failure to meet regulatory requirements, financial constraints,
or ownership changes that affect port operations and supply chain security.
e) Design, installation, validation and maintenance of security equipment including installation of new
systems and training of staff to operate, repair and maintain.
f) Failure of critical information, data management and communication systems used to manage and
safeguard the supply chain.
The seaport stakeholder organizations responsible for providing security protection for supply chain
goods shall ensure that the results of these assessments and the appropriate security controls are in
place to safeguard the integrity of the supply chain. The seaport Security Management Plan must provide
provisions and procedures for addressing the security system objectives, operational requirements,
risk assessment and mitigation, continuity of operations and disaster recovery steps. Specifically, the
plan should address the following:
— The determination of requirements for the design, specification, installation, certification and
operation of security devices and systems;
— Identification of security staffing resources, skill levels, and training needed to operate and maintain
security devices and systems (ISO 28000, 4.4.2);
2 © ISO 2014 – All rights reserved
— Identification of the organization’s overall threat and risk assessment and management framework
to mitigate identified risks.
— Continuity of operation provisions and disaster recovery steps that will be implemented to restore
security systems for protecting the supply chain and restore the seaport to full operational status.
The organization shall document and keep the above information up to date and have personnel trained
in the understanding and application of the security and operational plans and procedures specified in
the plan. The organization’s methodology for threat and risk identification, assessment and mitigation
shall at a minimum do the following:
— Be clearly defined with respect to its scope, stakeholder roles and responsibilities, expected nature
and timing of risks and threats to ensure it is proactive rather than reactive.
— Identify and the monitor the collection of information sources to document existing and determine
future supply chain related security threats and risks.
— Provide for the classification of threats and risks and the identification of mitigation steps for those
that must be either avoided, eliminated or controlled.
— Provide for the monitoring of actions to ensure effectiveness and the timeliness of their
implementation (ISO 28000, 4.5.1) to ensure uninterrupted protection of the supply chain.
The seaport security management plan should be a planned part of the continuous improvement
procedures for keeping the seaport personnel and systems current with identified threats, risks and
operational security needs required to safeguard the supply chain.
The security threat identification, risk assessment and risk management processes and their outputs
should be the basis for developing and implementing a comprehensive supply chain security system. It is
important that the links between the security threat identification, risk assessment and risk management
processes and the other elements of the security management system are clearly established, continually
monitored and updated to reflect any changes in the threats and risks assessments to port operations
for safeguarding the supply chain.
2.4 Risk assessment requirements
2.4.1 General
Security threat identification, risk assessment and risk mitigation processes are key tools in the
management, control and elimination of risks to the security and continuous operation of the supply
chain. The seaport security management plan must address each of these areas and provide specific
roles and responsibilities for each stakeholder involved in safeguarding the supply chain.
2.4.2 Medium - small seaport risk assessment considerations
The goal of the document is to create a process for assessing the risk to the Supply Chain and what steps
are in place to minimize and prevent major disruptions to the supply chain cargo being transported
through the mid and small sized seaports. These seaports are usually the initial entry point for a large
segment of the goods being shipped to the larger and mega international seaports. Cargo entering
the ports from upstream locations via rail, truck and transport vessels that either transfer or collect
cargo stored at the port locations. Therefore the goal is to determine and assess the ability of the port
operations to safeguard the cargo and maintain the expected delivery pace of the products as goods
past through the seaport.
The inbound collection, processing, storage, loading/unloading of cargo and final outbound shipping
requirements and port operations plan and security plans that is designed to have a functional
Continuity of Operations Plan (COOP) designed around the identified and perceived risks associated
with the amount, flow and type of cargo being handled by the port. For each identified risk and/or threat
to the flow of goods through the port must have a plan in place to either avoid, prevent or minimize
the impact of the risks with work a rounds and formal disaster recover plans to provide COOP for the
port and the flow of goods. These plans that are developed and maintained by the port operations and
associated stakeholders will be evaluated and assigned a certification/level of confidence number that
can be used to measure the level of conformance with the ISO 28000 and the ISO 28004 series guidelines
for protection of the supply chain.
The major output of the document will be a set of guidelines to assess the conformance of the seaport
security management plans with the ISO 28004 series. The guidelines will cover the identification of
risks and threats to the seaport operations and the documented procedures and practices implemented
by the seaport stakeholders to prevent, detect, respond and restore the port to normal operational
status to safeguard and ensure the continuity of operations for the supply chain.
2.4.3 Intent
The intent is to create and document a set of procedures for measuring the capability of the Medium and
Small sized seaports to comply with the supply chain security requirements specified in ISO 28000 and
ISO 28004 for the identified threats and risks to their seaport operations. Security threat identification,
risk assessment and risk management processes are key tools in the management and reduction of
security risks to supply chain operations. Security threats and risks can vary greatly across the supply
chain infrastructure from minor incidents to full-scale breaches in cargo security. The goal is to (a),
identify and characterize those threats and risks that are specific to the smaller seaports; determine
the possible impacts to port security operations; (b), evaluate the seaport mitigation processes and
prevention steps developed in response to those threats/risks; (c), and then assess the capability of the
seaport to maintain the integrity of the supply chain for goods being transported through its facilities.
The seaport security management plan will then be evaluated to determine the capability of the seaport
to protect the supply chain against the identified threats and risks to their operations.
2.4.4 The process
Security threat identification, risk assessment and risk management processes are key tools in the
management of risk. Security threat identification, risk assessment and risk management processes
vary greatly across industries, ranging from simple assessments to complex quantitative analyses with
extensive documentation. Therefore, the seaport Stakeholder organizations and agencies must maintain
a comprehensive security management plan that addresses those threats and risks to their operations.
The seaport stakeholder organizations and agencies responsible for supply chain security, as well as
port operations, are required to create and maintain a security management plan that identifies all
credible threats and risks to port and security operations and creates mitigation strategies and recovery
procedures for safeguarding the integrity of the supply chain. Each seaport operation will be evaluated
on quality and capability of their implemented security plan to fully protect the supply chain against the
identified threats and risks that it either controls or has influence over. The performance indicators that
would be used to measure the capability of the seaport security protection provisions will include at a
minimum the following to determine if:
— The ISO security policy and security objectives are being achieved.
— All Identified threats and risks to supply chain security are being controlled and/or mitigated, as
appropriate and countermeasures have been implemented and are effective.
— Security personnel are knowledgeable and trained in the security protection, detection, mitigation
and recovery procedures needed to safeguard the supply chain.
— Incident recovery and continuity of operations plans (COOP) are well established with adequate
provisions for quickly restoring port security equipment and systems designed to protect the
supply chain.
— Continuous improvement processes are in place to learn from any security management system
failures, including security incidents and near misses.
4 © ISO 2014 – All rights reserved
— Regularity scheduled security training and exercises are being conducted to ensure that stakeholder
personnel are current and aware of their assigned roles and responsibilities for protecting and
responding to security incidents.
Performance measures for the management of threats and risks to the supply chain will consider the
probability of occurrence, vulnerability of the security systems, expected impact to port security
operations and recovery steps to ensure continuity of security protection. The performance assessment
measures will reflect the capability of the plan for eliminating or reducing to a practicable minimum
security risk, either by reducing the likelihood of occurrence or the potential severity of impacts from
security related incidents.
2.4.5 Expected inputs
For the medium to small seaport operations, there are at least nine universal risk and threat category
areas that have the potential for major disruptions to the supply chain for cargo being transferred
in, processed, stored and transferred out by the seaport stakeholder organizations responsible for
safeguarding the integrity of the cargo while in port. These categories include the following:
— Accidents that occur in the port facilities involving staff, equipment, cargo and fluid spills.
— Criminal Activities such as theft, vandalism, and contra band smuggling.
— Fire to building facilities, equipment, on board vessels and surrounding port areas.
— Financial issues with port operations and transportation stakeholders.
— Labour unrest including labour strikes, staff shortages and skills trainings
— Mechanical/Equipment breakdowns that put major support items (Cranes, communications
equipment, cargo movement loaders) out of commission for extended periods of time.
— Political unrest that includes government restrictions, new policies and regulations that impact
port operations.
— Terrorist activities that physically attack/damage port operations and/or disrupt the flow of cargo
due to the discovery of contraband that forces the port to close until contraband can be removed
and the port cleared for resume normal operations.
— Weather related issues such as natural environmental events (severe storms, wind, heat, cold,
ice, snow and floods) that can disrupt operations and render security measures and equipment
ineffective for several hours to several days/weeks.
Each of these nine areas represents a level of risk to continuous operations at the seaport that can affect
the security of the supply chain. Once the input parameters that describe the nature and level of risk to
seaport operations for each of these threat and risk areas are identified, then these inputs become the
basis for developing prevention and mitigations strategies to minimize their occurrence and formulate
recovery plans when they do occur. For each of the identified areas, a risk assessment, mitigation
strategies, and disaster recovery guidelines are discussed in the following clauses.
2.4.6 Expected output
The purpose of this guideline is to establish principles by which the organization can determine whether
or not given security threat identification, risk assessment and risk management processes are suitable
and sufficient to safeguard the integrity of the supply chain. The certification process will allow seaport
operators and supply chain stakeholders to assess the probability that their goods and operations will
be secured and processed in a timely matter in accordance with the required security protection policies
and procedures and delivery schedules agreed to by the transportation stakeholders and their end user
recipient customers. The seaport security management plan documenting the implemented security
provisions will be evaluated and assigned of a level of confidence number indicating the assessed quality
and capability of the management plan to safeguard the integrity of the supply chain.
2.4.7 Certification process
To ensure consistency and completion of a creditable evaluation process, the certification process
should be conducted by a qualified independent organization. The process itself will be comprised of a
list of evaluation points and criteria covering the supply chain security threats and risk areas identified
in the seaport security management plan. The goal is to have fully trained personnel and/or experienced
independent organizations with the required technical expertise, to assess and evaluate the established
security plans. ISO 20858 provides specific guidance for specifying the competence and technical
expertise required of personnel to conduct a marine port facility security assessment in accordance
with ISO 28000 requirements. In addition, ISO 20858 provides specific documentation guidance and
requirements for assessing and recording the quality of the port security management plans. Evaluation
and certification by an independent qualified third party is envisioned to do the following:
— Validate to the user community that the seaport meets the intended objectives and standards
specified in ISO 28000 and the ISO 28004 series for safeguarding the integrity of the supply chain.
— Establish a repeatable process that can be used as a standardized basis for measuring and comparing
seaport security plans to an industry standard.
The evaluation will be based on their ability to meet the certification criteria in accordance with
the identified risks; mitigation procedures; and, recovery plans associated with the level of seaport
operations, traffic flow, cargo type, geographical location, and stakeholder security systems and
operational structure for securing the supply chain. An outcome of the evaluation process will be the
assignment of assessment quality number that identifies to what level of confidence (1 to 5, with 5 being
the highest) that the seaport security management plan will be able to safeguard the supply against the
identified risks and threats to seaport operations.
3 Supply chain seaport risk areas
3.1 General
The nine maritime seaport risk areas are discussed in the following paragraphs, including the identification
of the types of related risk issues, their risk assessment considerations, mitigation steps to minimize the
risks, and recovery guidelines to restoring security protections systems and port operations to their
normal operating status. Depending on the operational tempo, stakeholder organizational structure,
flow of goods through the seaport, geographical location, government and political considerations, each
seaport will have varying levels of threats and risks to their seaport operations in providing security
and uninterrupted transportation services to the supply chain. Those that apply for each seaport should
be addressed in their security management plan and updated if new threats, risks and/or changes in the
operational status of the seaport.
3.2 Accidents — Port operations
3.2.1 Nature of risk
Accidents can be purely random in nature and/or can be categorized as accidents waiting to happen that
could have been prevented with better management oversight, staff training and operational procedures.
The security of the supply chain will rely on the constant surveillance and protection of cargo while in
port by security personnel and security protection systems and equipment. Any accident that disrupts
the oversight and protection of cargo must be addressed with specific plans in place to minimize
occurrences, prevent where ever possible and execute recovery steps to restore the security coverage
to the supply chain. The heavy machinery, loading cranes, cargo movement vehicles, rail and truck off
loading devices all pose safety issues for seaport personnel operating those systems and overseeing the
security of the supply chain cargo while in port. Industrial accidents involving personnel, equipment,
cargo and/or fluid/chemical spills have the potential of comprising the integrity of the supply chain if
security provisions and seaport operations are disrupted for any sufficient amount of time.
6 © ISO 2014 – All rights reserved
3.2.2 Risk assessment
The probability of occurrence and severity of the identified risks to operations will need to be assessed.
Depending on the nature of the accident, the probability of occurrence and expected impact on security
and continuity of operations will need to be determined. The assessment should address the specific
impacts to security (lost of key, monitoring and protection systems) and expected vulnerabilities if
there is break in security protection. All occurrences, even those that have limited impact on security
and port operations should be assessed. Each occurrence must be assessed to determine the level of
risk to the supply chain based on the capability of the seaport operators to quickly restore and verify
that security systems are operational and that the integrity of the supply chain was not comprised.
Any incident assessed as high risk to the supply chain security operations must identify the specific
vulnerabilities that could be exposed by the occurrence.
Accidents that involve key security personnel must be identified with immediate provisions made for
staff replacements that are trained to perform the required roles and responsibilities. The security plan
must address these vulnerabilities and create mitigation steps to avoid, if possible, and if not, planned
recovery steps to ensure continued protection of the supply chain.
3.2.3 Mitigation strategies
The port operators and stakeholders need to identify the types of accidents that have occurred at the ports
and quantify their specific impacts to port operations. Industrial accidents involving staff, equipment,
cargo and fluid/chemical spills can be quantified with historical data showing the frequency, severity
of impact to operations and what preventive steps have been taken to minimize the reoccurrence.
Preventive safety measures should be put in place that alert and remind the staff of the safety concerns
and procedures for avoidance.
The management plan should address the specific processes that will need to be implemented to prevent
and restore the system to operational status after each occurrence. The mitigation plans should be in
sufficient detail to provide for specific steps by the stakeholders to safeguard the supply chain and
restore the seaport to its operational status depending on the nature and expected impact for each of
the assessed risks.
3.2.4 Recovery guidelines
The security management plan should provide specific steps that can be measured and assessed to
determine the ability of the seaport to safeguard the supply chain and resume normal operations.
Accidents that affect key security personnel and/or security equipment and operational systems
must have documented recovery procedures that identify specific steps for replacing security staff,
equipment and systems. Back up and/or replacement staff must be trained in all aspects of supply chain
security including physical protection, inspection and detection procedures, and use of security devices
and automated systems. Accidents that shut down port operations need to address procedures that will
be followed to safeguard cargo that is in transit or stored at the port until normal port operations are
restored.
The quality of the recovery plan will be assessed in accordance with ISO 28000, evaluated on its ability
to ensure continuity of supply chain security protection operations at the seaport, and assigned a
confidence number based on the assessment criteria.
3.3 Criminal activity risks
3.3.1 Nature of risk
Criminal activity at the seaport and activities associated with the shipping and arrival of goods being
shipped to the seaport or from cargo from upstream sources can bring an immediate halt to all traffic at
the seaport. Criminal activities may require the shutting down and or isolation of operational support
areas until they can be investigated by law enforcement agencies. In addition, theft of critical equipment
items and components may impact operations until replacement items are acquired and put in service.
Depending upon the nature and severity of the issue, delays could be measured in days if port operations
have to be truncated. If criminal activities involve port staff then special provisions will have to be
addressed by the port operator stakeholders to restore the integrity of the port operations and regain
any lost trust with the supply chain community.
3.3.2 Risk assessment
Criminal attractively by definition is covert and difficult to detect and takes on many forms from basic
theft of goods and services, smuggling of contra band (drugs, weapons, people, goods), to bribery and
fraud. All of these activities are aimed at breaching the security and integrity of the supply chain. Loss
of goods, transporting of contra band, fraud and bribery of personnel employed to safe guard the port
security operations have the potential for comprising the integrity of the supply chain and damaging the
reputation of the seaport and stakeholders. The probability of occurrence and severity of the identified
risks to operations will need to be assessed. Depending on the nature of the criminal activity, the
probability of occurrence and expected impact on continuity of operations will need to be determined.
All occurrences, even those that have limited impact on port security operations should be assessed. If
the activities involve the replacement of critical security protection equipment and/or critical personnel,
then the assessment must include the availability and procurement of the item and its installation and
testing, and the availability of qualified and trained staff, if required, to restore the systems back to full
operational status.
Smuggling of contra band goods will present a special set of circumstances when they are
discovered/detected by port security personnel. The discovery of illegal drugs, weapons, dangerous
materials and/or people will require law enforcement intervention, seizure, and storage of the contra
band cargo. Each event has the potential for stopping the flow of cargo and the security management
plan must take into account the disruption that these activities will have on the continuity of operations
and if security procedures did to be adjusted or enhance to prevent future incidents.
The criminal theft or hacking of computers and computer files will have to be specifically addressed
and an assessment made on the impact and time involved to restore the lost data. The management plan
should have special provisions for protecting critical data files, including port security plans, that if lost
or compromised, would put the supply chain and port operations at risk.
3.3.3 Mitigation strategies
Upon detection of criminal activity, the plan must identify specific steps for that will be followed by
each stakeholder organization and agency for stopping, apprehending and assessing the damage/loss
experienced by the supply chain cargo. The mitigation plans should be in sufficient detail to provide for
specific steps by the stakeholders to safeguard the supply chain and restore the seaport to its operational
status depending on the nature and expected impact for each of the assessed risks.
The detection, prevention and apprehension of criminals will required the coordination between local
law enforcement agencies and the port stakeholders’ responsible for providing security protection
for seaport operations. The management plan should address the specific processes and procedures
for monitoring, detecting, investigating, and preventing the types of identified criminal risks areas
based on historical and intelligence data gathered from local and global law enforcement agencies.
Establishing plans for periodic and random inspections of cargo along with automated scanning and
detection equipment will help in the discovery of contraband cargo and deter future criminal activities.
Theft of goods entering and stored at the port can be minimized limiting access to the port and requiring
security checks, inspections and positive identification of all personnel and vehicles entering/existing
the port. The plan should address active and passive monitoring equipment (cameras, security guards,
access cards/readers) that can be used to secure the supply chain cargo on a 24/7 basis.
If criminal activities are determined to be from identifiable upstream sources, then additional security
inspections should be aimed at those sources and/or restrictions put on of cargo from those identified
shipping sources. Suspect shipping sources should require additional inspections and provisions made
with law enforcement agencies to assist in the identification, inspection, and seizure of contraband
cargo and those involved in the criminal activity.
8 © ISO 2014 – All rights reserved
ISO 28004
...
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28004-2
Первое издание
2014-02-01
Системы менеджмента безопасности
цепи поставок. Руководящие
указания по внедрению ISO 28000
Часть 2:
Руководящие указания по принятию
ISO 28000 для использования в
работе средних и малых морских
портов
Security management systems for the supply chain — Guidelines for
the implementation of ISO 28000 —
Part 2: Guidelines for adopting ISO 28000 for use in medium and small
seaport operations
Ссылочный номер
©
ISO 2014
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2014
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по соответствующему адресу, указанному ниже, или комитета-члена ISO в стране
заявителя.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2014 – Все права сохраняются
Содержание Страница
Предисловие . iv
Введение . v
1 Область применения . 1
2 Общее представление . 1
2.1 Цель . 1
2.2 Предпосылки . 1
2.3 Требования ISO 28000, 4.3.1 по оценке рисков безопасности . 2
2.4 Требования по оценке рисков . 3
3 Зоны риска морского порта для цепи поставок . 7
3.1 Общие положения . 7
3.2 Несчастные случаи — Функционирование порта . 7
3.3 Риски криминальных действий . 8
3.4 Риски пожаров . 10
3.5 Финансовые риски заинтересованных сторон . 11
3.6 Риски, связанные с трудовыми ресурсами . 13
3.7 Риски поломки механизмов/оборудования . 14
3.8 Риски, связанные с политикой и деятельностью правительства . 15
3.9 Риски от террористической деятельности . 17
3.10 Риски, связанные с погодой . 19
4 Критерии оценки плана по безопасности порта и процесс определения рейтинга . 20
4.1 Общие положения . 20
4.2 Процесс и процедуры оценки плана по безопасности . 21
4.3 Критерии оценки соответствия . 21
4.4 Использование процедур ISO 20858 оценки безопасности . 22
4.5 Рейтинговая система оценки плана по безопасности . 23
Библиография . 25
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Процедуры, используемые для разработки настоящего документа и предназначенные для его
дальнейшего поддержания, указаны Части 1 Директив ISO/IEC. В особенности следует отметить, что
для различных типов документов ISO необходимы разные критерии для утверждения. Настоящий
документ был разработан в соответствии с редакционными правилами Части 2 Директив ISO/IEC.
(см. www.iso.org/directives).
Обращается внимание на возможность патентования некоторых элементов данного международного
стандарта. ISO не несет ответственности за идентификацию какого-либо или всех таких патентных прав.
Детали любых патентных прав, идентифицированных при разработке документа, должны содержаться в
Введении и/или в перечне полученных патентов ISO. (см. www.iso.org/patents).
Любое фирменное наименование в настоящем документе является информацией, предоставляемой
для удобства пользователей, и не носит рекомендательный характер.
Для объяснения смысла специальных терминов и выражений ISO, связанных с оценкой соответствия, а
также для информации о приверженности ISO принципам WTO Соглашения по техническим барьерам в
торговле (TBT) следует использовать следующий указатель URL: Foreword - Supplementary information
За настоящий документ несет ответственность Технический комитет ISO/TC 8, Суда и морские
технологии.
Настоящее первое издание ISO 28004-2 отменяет и замещает ISO/PAS 28004-2:2012. Оно также
включает Поправку ISO 28004-1:2007/DAmd1.
ISO 28004 состоит из следующих частей под общим названием Системы менеджмента безопасности
цепи поставок. Руководящие указания по внедрению ISO 28000:
— Часть 1: Общие принципы
— Часть 2: Руководящие указания по принятию ISO 28000 для использования в средних и мелких
операциях в морских портах
— Часть 3: Дополнительное специальное руководство по принятию ISO 28000 для использования в
операциях среднего и малого бизнеса (кроме морских портов)
— Часть 4: Дополнительное специальное руководство по внедрению ISO 28000, когда
соответствие ISO 28001 является предметом менеджмента
iv © ISO 2014 – Все права сохраняются
Введение
Настоящая часть ISO 28004 разработана для предоставления руководства и расширенной информации
средним и малым морским портам, имеющим намерение принять ISO 28000. Расширенная информация
предназначена для повышения качества, а не для изменения, общих руководящих указаний, на данный
момент определенных в ISO 28004. Не было разработано никаких изменений к ISO 28004, кроме
добавления приложений.
Связь с соответствующими техническими стандартами ISO
Существует несколько учрежденных и находящихся на рассмотрении связанных технических стандартов
ISO, которые в паре с настоящей частью ISO 28004 предоставляют дополнительные руководящие
указания и инструкции для операторов морских портов при создании своих планов менеджмента
безопасности и оценке возможности этих планов защитить целостность цепи поставок груза,
осуществляемых в прямом соответствии с этими планами. В настоящей части ISO 28004 имеются
ссылки на эти международные стандарты ISO 220858, ISO 28001, ISO 28002, ISO 28003, включая серию
ISO 28004, чтобы обеспечить конкретные руководящие указания операторам. Взаимосвязь этих
международных стандартов с ISO 28000 представлена в Таблице 1.
Таблица 1 — Соответствующие технические стандарты ISO
Технический Техническое описание
стандарт ISO
ISO 28004-1 Содержит руководство для органов сертификации
по оценке соответствия организации требованиям
ISO 28000.
ISO 20858 Содержит профессиональную интерпретацию
кодекса ИМО по охране судов и портовых средств
(IMO ISPS) для безопасности портовых сооружений
и руководства по оценке портовых планов
менеджмента безопасности и принятых рабочих
процедур.
ISO 28001 Содержит требования по безопасности в
соответствии с основными положениями программы
уполномоченного экономического оператора,
разработанной Всемирной таможенной
организацией (WCO)
ISO 28002 Содержит руководство для разработки политики,
предусматривающей увеличения устойчивости цепи
поставок организации
ISO 28003 Содержит руководство для органов сертификации
по оценке соответствия организации требованиями
ISO 28000
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28004-2:2014(R)
Системы менеджмента безопасности цепи поставок.
Руководящие указания по внедрению ISO 28000
Часть 2.
Руководящие указания по принятию ISO 28000 для
использования в работе средних и малых морских портов
1 Область применения
Настоящая часть ISO 28004 определяет риски и сценарии угроз для цепи поставок, процедуры
выполнения оценки рисков/угроз и определения критериев соответствия и эффективности
разработанных планов по безопасности в соответствии с руководящими указаниями по внедрению
ISO 28000 и серии ISO 28004. Результатом этого будет уровень достоверной рейтинговой системы,
основанной на качестве планов менеджмента безопасности и процедурах, внедренных морским
портом с целью гарантии безопасности и обеспечения непрерывности операций в цепи поставок
грузов, подлежащих обработке в порту. Рейтинговая система будет использоваться в качестве способа
определения измеряемого уровня достоверности (от 1 до 5), показывающего насколько операции
обеспечения безопасности морского порта соответствуют ISO 28000 в плане защиты целостности цепи
поставок.
2 Общее представление
2.1 Цель
Целью настоящей части ISO 28004 является предоставление руководства средним и малым портам,
желающим внедрить ISO 28000. Эти руководящие указания предусматривают критерии самооценки,
которые эти порты могут использовать при внедрении ISO 28000. Хотя критерии самооценки не будут
иметь результата при сторонней сертификации, они могут использоваться для определения
возможности планов менеджмента безопасности заинтересованных сторон в морских портах
защищать целостность цепи поставок в соответствии с положениями и руководящими указаниями,
определенными в ISO 28000 и серии ISO 28004. Задача состоит в разработке рейтинг-шкалы
показателей оценок рисков, которая может быть использована при определении возможности
портовых планов менеджмента безопасности обеспечить непрерывную защиту безопасности и
постоянные операции в цепи поставок грузов, подлежащих приему, хранению и перемещению морским
портом. Применение таких критериев самооценки позволит пользователям определить адекватность
внедрения морским портом каждого требования ISO 28000.
2.2 Предпосылки
Международный Кодекс по охране судов и портовых средств (ISPS) требует, чтобы администрация
морского порта разработала свой комплексный план обеспечения безопасности, который включает
грузы, находящиеся под ее прямым контролем. План порта по обеспечению безопасности должен
рассматривать приложения, системы безопасности и рабочие мероприятия, предназначенные для
защиты персонала, портовых сооружений, судов у причала, грузов и грузовых транспортных единиц,
включая железнодорожный пути и участки местности внутри физических границ организации порта, от
рисков акта незаконного вмешательства (ISO 20858 содержит четкое руководство по удовлетворению
этих требований). ISO 28000 и серия ISO 28004 предоставляют руководящие указания для защиты
глобальной цепи поставок на высоком уровне, но не предусматривают достаточно специальных
деталей, которые обеспечивают совместимую степень внедрения, чтобы охватить все положения и
приложения по безопасности для больших, средних и малых морских портов, которые являются
составными частями инфраструктуры безопасности глобальной цепи поставок. Чтобы обеспечить
долговременную и последовательную безопасность цепи поставок необходимо, чтобы каждая
заинтересованная сторона в этой интегрированной глобальной цепи осмыслила свою ответственность
за содействие безопасности и постоянству доставки грузов.
Средние и малые морские порты являются составной частью инфраструктуры цепи поставок, особо
принимая во внимание, что такие порты обычно являются первой входной точкой для большинства
грузов, отправляемых и доставляемых в местные и международные пункты назначения. Эти малые
порты для грузов, отправляемых в большие мега порты, являются фидерными портами, в которых эти
грузы собираются и распределяются для отправки по всему миру. Поэтому критически важно, чтобы
эти средние и малые морские порты внедряли и поддерживали проверенные положения по
безопасности, которые обеспечат защиту и непрерывное безопасное прохождение обрабатываемых
грузов.
Хотя ISO 28000 и серия ISO 28004 дают общее представление о предполагаемых требованиях
безопасности цепи поставок, существует ограниченное число инструкций, требований и критериев
приемки, которые предоставляют возможность разработать и внедрить план менеджмента
безопасности, который должен обеспечить соответствие установленным в ISO 28000 стандартам.
Поэтому настоящая часть ISO 28004 разработана для предоставления методов, процедур,
руководящих указаний и критериев приемки, которые будут использоваться для оценки уровня
соответствия положениям по безопасности, данным в ISO 28004.
2.3 Требования ISO 28000, 4.3.1 по оценке рисков безопасности
В ISO 28000, 4.3.3. утверждается “При установлении и пересмотре своих целей организация должна
принимать во внимание: a) правовые, законодательные и другие регулирующие требования”. Кодекс
ISPS, принятый каждой страной-участницей устанавливает такие требования по оценке рисков
безопасности. Раздел 4.3.1 ISO 28000 требует, чтобы заинтересованные стороны порта и
регулирующие организации установили и поддерживали процедуры для непрерывной идентификации
и оценки угроз безопасности, угроз, связанных с менеджментом безопасности, и рисков, а также для
определения и внедрения необходимых мер контроля менеджмента с целью защиты цепи поставок.
Способы идентификации, оценки и контроля угроз и рисков для безопасности должны, как минимум,
соответствовать характеру и масштабу деятельности морского порта. Такая оценка учитывать
вероятность события и все его последствия для заинтересованных сторон, угрозы для непрерывности
операций, защиту цепи поставок и восстановление в аварийных ситуациях. Конкретно при оценке
рисков должно быть рассмотрено минимум следующее:
a) Угрозы и риски для функционирования, включая контроль безопасности, человеческий фактор и
другие виды деятельности, влияющие на работу организации, ее состояние или безопасность.
b) Естественные природные явления (штормы, наводнения, сильные ветры и т.д.), которые могут
сделать меры безопасности и работу оборудования неэффективными.
c) Факторы, находящиеся вне контроля организации такие, как отказы поставляемого оборудования и
сервиса, изменения национальной и международной политики и нормативных документов в сфере
безопасности и политические перемены, влияющие на права собственности и функционирование
морского порта.
d) Угрозы и риски для заинтересованных сторон такие, как недостаточность соответствия
нормативным требованиям, финансовые ограничения или смены собственников, которые влияют
на функционирование порта и безопасность цепи поставок.
e) Разработка, установка, валидация и обслуживание оборудования безопасности, включая
установку новых систем и обучение персонала эксплуатации, ремонту и техническому
обслуживанию.
f) Ошибки в предоставлении критической информации, в менеджменте данных и системах
коммуникации, используемых для управления и защиты в цепи поставок.
Заинтересованные организации морского порта, ответственные за защиту безопасности цепи поставок
грузов должны гарантировать, что эти оценки и соответствующие меры управления по безопасности
2 © ISO 2014 – Все права сохраняются
готовы к использованию для защиты целостности цепи поставок. Портовый план менеджмента
безопасности должен содержать положения и процедуры рассмотрения целей системы безопасности,
требований по функционированию, оценок и уменьшения вероятности рисков, непрерывности
функционирования и шагов по восстановлению в аварийных ситуациях. В частности, план должен
рассматривать следующее:
— Установление требований к проектированию, рабочим характеристикам, установке, сертификации
и эксплуатации систем и оборудования по безопасности;
— Определение штата персонала, уровня квалификации и потребности в обучении, необходимых
для эксплуатации и обслуживания систем и оборудования по безопасности (ISO 28000, 4.4.2);
— Определение общей угрозы организации и оценка рисков, а также схемы менеджмента по
уменьшению вероятности определенных рисков;
— Непрерывность обеспечения работы и шаги по восстановлению в аварийных ситуациях, которые
должны быть внедрены, чтобы восстановить системы безопасности цепи поставок и приведения
морского порта в полное рабочее состояние.
Организация должна документировать упомянутую выше информацию, поддерживать ее на
современном уровне и иметь персонал, обученный для понимания и применения планов по
эксплуатации и безопасности и процедур, определенных в плане. Методология организации по
определению угроз и рисков, их оценке и ограничению последствий должна, как минимум:
— Быть четко определенной по отношению к ее области применения, ролей и обязанностей
заинтересованных сторон, ожидаемой природе и сроках рисков и угроз, чтобы обеспечить ее
более упреждающий, нежели реагирующий характер;
— Определять и отслеживать источники информации, чтобы документировать существующие и
определять будущие угрозы и риски безопасности цепи поставок;
— Предоставлять классификацию угроз и рисков и определение шагов по ограничению тех из них,
которые следует отклонить, устранить или контролировать;
— Предусматривать мониторинг действий, чтобы гарантировать эффективность и своевременность
их внедрения (ISO 28000, 4.5.1), что обеспечит непрерывную защиту цепи поставок.
План менеджмента безопасности морского порта должен быть плановой частью процедур постоянного
улучшения для подержания персонала и систем морского порта на уровне, соответствующем угрозам,
рискам и потребностям эксплуатационной безопасности для защиты цепи поставок.
Процессы определения угроз безопасности, оценки и менеджмента рисков, а также их результаты
должны являться основой для разработки и внедрения комплексной системы безопасности цепи
поставок. Важно, чтобы связи между процессами определения угроз безопасности, оценки рисков,
менеджмента рисков и другими элементами системы менеджмента безопасности были четко
установлены, постоянно отслеживались и обновлялись, чтобы отражать любые изменения в оценке
угроз и рисков для операций порта по защите цепи поставок.
2.4 Требования по оценке рисков
2.4.1 Общие положения
Процессы определения угроз безопасности, оценки и уменьшению вероятности рисков являются
ключевыми в менеджменте, контроле и устранении рисков для безопасности и непрерывной работы
цепи поставок. План менеджмента безопасности порта должен отражать каждую из этих сфер и
предусматривать конкретные роли и обязанности для каждой заинтересованной стороны, вовлеченной
в деятельность по защите цепи поставок.
2.4.2 Соображения по оценке рисков для средних и малых морских портов
Целью документа является разработка процесса для оценки рисков цепи поставок и готовых к
использованию шагов для минимизации и предотвращения большинства срывов в цепи поставок
грузов, транспортируемых через средние и малые морские порты. Эти порты обычно являются
внутренними входными точками для большого сегмента грузов, которые отправляются в
международные морские порты крупных и очень крупных размеров. Грузы, поступают на
железнодорожном, автомобильном или морском транспорте с мест предварительного контроля в
порты, где они или перемещаются, или собираются на определенных площадях. Поэтому необходимо
определить и оценить возможность порта хранить груз и поддерживать ожидаемый темп поставок при
обработке грузов в порту.
Требования по сбору ввезенных грузов, обработке, складированию, погрузке/разгрузке и
окончательной отправке, план операций порта и планы по обеспечению безопасности дают в
результате функциональную непрерывность оперативных планов (COOP) для определенных рисков,
связанных с количеством, потоками и типом обрабатываемых в порту грузов. Для каждого
определенного риска и/или угрозы для потока грузов порт должен иметь готовый к использованию
план с целью избежать, предотвратить или минимизировать воздействие рисков при работе, а также
официальный план восстановления в аварийных ситуациях, чтобы обеспечить преемственность COOP
для порта и грузовых потоков. Этим планам, разработанным и поддерживаемым операторами порта и
ассоциированными заинтересованными сторонами, после оценки должен быть присвоен
сертификационный номер/уровень достоверности, который может использоваться для определения
степени соответствия ISO 28000 и серии ISO 28004 по защите цепи поставок.
Основным результатом документа будет набор руководящих указаний по оценке соответствия планов
менеджмента безопасности морского порта серии ISO 28004. Руководящие указания должны включать
определение рисков и угроз для функционирования порта, а также документированные процедуры и и
методы, внедренные заинтересованными сторонами морского порта по предотвращению,
обнаружению, реагированию и возвращению порта к нормальной работе, чтобы защитить и
обеспечить непрерывность операций цепи поставок.
2.4.3 Цель
Целью является разработка и документирование ряда процедур для определения возможности
средних и малых морских портов соответствовать требованиям по безопасности цепи поставок,
определенным в ISO 28000 и ISO 28004, по выявлению угроз и рисков для их функционирования
Процессы определения угроз безопасности, оценки и менеджмента рисков являются ключевыми при
менеджменте и уменьшении рисков безопасности работы цепи поставок. Угрозы и риски безопасности
могут значительно меняться в инфраструктуре цепи поставок от небольших инцидентов до
полномасштабных провалов в безопасности грузов. Необходимо: (a) определить, охарактеризовать
угрозы и риски, которые являются специфическими для небольших портов, и выявить возможные
воздействия на безопасность работы порта; (b) оценить действия порта по их ограничению и шаги по
предотвращению, разработанные в ответ на выявленные угрозы/риски; (c) и затем оценить
возможность морского порта поддерживать целостность цепи поставок обрабатываемых в порту
грузов. План менеджмента безопасности порта далее должен быть рассмотрен с целью определения
возможности порта защитить цепь поставок от выявленных угроз и рисков для его функционирования.
2.4.4 Процесс
Процессы определения угроз безопасности, оценки и менеджмента рисков являются ключевыми при
менеджменте рисков. Процессы определения угроз безопасности, оценки и менеджмента рисков
значительно меняются в различных отраслях промышленности, от элементарной оценки до
комплексного количественного анализа обширной документации. Поэтому заинтересованные стороны
и агенты морского порта должны поддерживать комплексный план менеджмента безопасности,
который рассматривает угрозы и риски для их деятельности.
Заинтересованные стороны и агентства, ответственные за безопасность цепи поставок, а также
операторы порта должны разработать и поддерживать план менеджмента безопасности, который
определяет все вероятные угрозы и риски для порта и безопасности операций и включает стратегию
4 © ISO 2014 – Все права сохраняются
уменьшения вероятности, процедуры восстановления для защиты целостности цепи поставок. Для
каждого оператора морского порта должна быть выполнена оценка качества и потенциальной
возможности внедренного им плана безопасности полностью защитить цепь поставок от выявленных
угроз и рисков, которые он контролирует, или на которые влияет. В качестве индикаторов для
определения возможности обеспечения безопасности морского порта, определяется, как минимум,
следующее:
— Достигаются ли политика и цели ISO в области безопасности;
— Все ли выявленные угрозы и риски безопасности цепи поставок контролируются и/или смягчаются
надлежащим образом, предприняты ли были меры противодействия и эффективны ли они;
— Является ли персонал по безопасности осведомленным и обученным процедурам защиты,
обнаружения, ограничения последствий и восстановления, необходимым для защиты
безопасности цепи поставок;
— Установлены ли планы восстановления в случае инцидента и непрерывность рабочих планов
(COOP) с адекватными мерами для быстрого восстановления портовых систем и оборудования по
безопасности для защиты цепи поставок;
— Готовы ли к использованию процессы постоянного улучшения для изучения сбоев в системах
менеджмента безопасности, включая инциденты и случаи, близкие к ним;
— Проводятся ли регулярно обучение и занятия для обеспечения того, что персонал
заинтересованных сторон соответствующе подготовлен и знает свои предписанные роли и
обязанности по защите от инцидентов для безопасности и реагированию на них.
Критерии функционирования для менеджмента угроз и рисков цепи поставок должна учитывать
вероятность возникновения, уязвимость систем безопасности, предполагаемое воздействие на
безопасность операций и шаги по восстановлению для обеспечения непрерывной защиты
безопасности. Критерии оценки функционирования будут отражать возможности плана по устранению
или снижению до возможного минимума риска безопасности посредством уменьшения вероятности
возникновения или потенциальной тяжести воздействия от инцидентов, связанных с безопасностью.
2.4.5 Предполагаемые исходные данные
Для операций портов, имеющих размеры от среднего до малого, существует, по крайней мере, девять
категорий зон потенциальных рисков и угроз многочисленных сбоев в цепи поставок грузов, которые
принимаются, обрабатываются, хранятся или отгружаются организациями заинтересованных сторон
порта, ответственными за обеспечение безопасности целостности грузов, находящихся в порту. Эти
категории включают следующее:
— Несчастные случаи на объектах порта с персоналом, оборудованием, грузом и случаи разливов
жидкостей;
— Криминальные действия такие, как хищения, вандализм и контрабанда;
— Пожары в зданиях, на оборудовании, на борту судов и на прилегающих к порту территориях;
— Финансовые проблемы портовых и транспортных организаций;
— Трудовые конфликты, включая забастовки, недостаток персонала и проблемы профессиональной
подготовки;
— Поломки механизмов/оборудования, которые выводят из эксплуатации большинство
обеспечивающих единиц (краны, коммуникационное оборудование, погрузчики для перемещения
грузов) на продолжительный период времени;
— Политические конфликты, которые включают правительственные ограничения, новые стратегии и
нормативные документы, которые влияют на портовые операции;
— Террористическая деятельность, которая физически разрушает/наносит ущерб функционированию
порта и/или нарушает движение грузов из-за обнаружения контрабанды, что вынуждает порт
закрываться до ликвидации контрабанды и очистки порта для возобновления нормальной работы;
— Проблемы, связанные с погодой такие, как естественные природные явления (сильные бури,
ветер, жара, холод, лед, снегопады и наводнения), которые могут нарушить работу и сделать
неэффективными меры безопасности и оборудование на период от нескольких часов до
нескольких дней/недель.
Каждая из этих девяти категорий представляет уровень риска для непрерывного функционирования
морского порта, что может повлиять на безопасность цепи поставок. Как только определены исходные
параметры, которые описывают характер и уровень риска для портовых операций в каждой из этих
категорий угроз и рисков, далее эти исходные данные становятся основой для разработки стратегий
предотвращения и ограничения последствий, чтобы минимизировать воздействие и сформулировать
планы восстановления в случае осуществления рисков и угроз. В следующих разделах
рассматриваются оценки рисков, стратегии их ограничения и руководящие указания по
восстановлению для каждой из определенных категорий.
2.4.6 Предполагаемые результаты
Целью настоящих руководящих указаний является установление принципов, по которым организация
может определить, пригодны и достаточны ли данные процессы идентификации угроз безопасности,
оценки и менеджмента рисков для защиты целостности цепи поставок. Процесс сертификации
позволит операторам морских портов и заинтересованным сторонам цепи поставок оценить
вероятность того, что обработка их грузов и их операции будут защищены и выполнены вовремя в
соответствии с требуемой политикой и процедурами обеспечения безопасности и графики доставки
согласованы транспортными компаниями с их конечными покупателями. После оценки портового
плана менеджмента безопасности, документирующего внедренные положения по безопасности, ему
должен быть присвоен численный уровень, показывающий оцененное качество и возможности плана
менеджмента по защите целостности цепи поставок.
2.4.7 Процесс сертификации
Чтобы обеспечить согласованность и завершенность заслуживающей доверия оценки независимая
квалифицированная организация должна осуществить процесс сертификации. Этот процесс будет
состоять из перечня пунктов и критериев оценки, охватывающих зоны угроз и рисков безопасности
цепи поставок, определенных в плане морского порта менеджмента безопасности. Необходимо иметь
хорошо обученный персонал и/или опытные независимые организации, чтобы оценивать
разработанные планы по безопасности. ISO 20858 содержит специальное руководство по
установлению компетенций и технической квалификации персонала для проведения оценки
безопасности объекта морского порта в соответствии с требованиями ISO 28000. Дополнительно
ISO 20858 определяет руководство по специальной документации и требования по оценке и
регистрации качества портовых планов менеджмента безопасности. Оценка и сертификация
независимой квалифицированной третьей стороной предусматривает выполнение следующего:
— Подтвердить коллективу пользователей, что морской порт соответствует намечаемым целям и
стандартам, определенным в ISO 28000 и серии ISO 28004 по защите целостности цепи поставок;
— Установить повторяемый процесс, который может быть использован в качестве стандартной
основы для оценки и сравнения портовых планов по безопасности с промышленными
стандартами.
Оценка будет основана на их способности отвечать критериям сертификации в соответствии с
определенными рисками, процедурами уменьшению их вероятности и планами по восстановлению,
связанными с уровнем операций в морском порту, транспортным потоком, типом груза,
географическим положением и имеющимися у заинтересованных сторон порта системами и рабочей
структурой для защиты цепи поставок. Результатом процесса оценки будет присвоение показателя
оценки качества, который определяет, уровень достоверности (от 1 до 5, где 5 является наивысшим)
6 © ISO 2014 – Все права сохраняются
портового плана менеджмента безопасности, соответствующий возможности плана защитить поставки
от определенных рисков и угроз для функционирования морского порта.
3 Зоны риска морского порта для цепи поставок
3.1 Общие положения
Девять зон риска морского порта рассматриваются в следующих пунктах, включая определение типов
связанных с риском проблем, рассмотрение оценки рисков, шаги с целью уменьшения вероятности
рисков, руководство по восстановлению для возвращения систем защиты безопасности и операций
порта к нормальному функционированию. В зависимости от темпа функционирования,
организационной структуры заинтересованных сторон, грузовых потоков через порт, географического
положения, государственных и политических соображений каждый морской порт будет иметь
изменяющиеся уровни угроз и рисков его работе по обеспечению безопасности и непрерывных
транспортных услуг для цепи поставок. Все, что применяется для каждого морского порта, должно
рассматриваться в плане менеджмента безопасности и обновляться в случае возникновения новых
угроз, рисков и/или изменений в рабочем статусе морского порта.
3.2 Несчастные случаи — Функционирование порта
3.2.1 Природа рисков
Несчастные случаи могут быть просто случайными по природе и/или могут быть классифицированы
как ждущие, которые могли бы быть предотвращены при лучшем менеджменте контроля, обучения
персонала и рабочих процедур. Безопасность цепи поставок будет основана на постоянном
наблюдении и защите грузов в порту персоналом по безопасности, а также системами и
оборудованием обеспечения безопасности. Любой несчастный случай, который нарушает контроль и
защиту грузов, должен быть упомянут в готовых к использованию специальных планах, чтобы
уменьшить вероятность его возникновения, предотвратить его по возможности и выполнить шаги по
восстановлению зоны безопасности цепи поставок. Все тяжелые механизмы, грузовые краны, грузовые
транспортные средства, железнодорожные и автомобильные погрузочные средства представляют
потенциальную опасность для персонала порта, работающего с этими системами и контролирующего
безопасность цепи поставок грузов в порту. Несчастные случаи на производстве с персоналом,
оборудованием, грузом и/или разливами жидкостей/химикатов имеют потенциальную возможность
воздействия на целостность цепи поставок, если на достаточный период времени нарушены условия
безопасности и операции в морском порту.
3.2.2 Оценка рисков
Вероятность реализации и степень серьезности выявленных рисков для функционирования будет
нуждаться в оценке. В зависимости от природы несчастного случая будет необходимо определить
вероятность возникновения, а также предполагаемое воздействие на безопасность и непрерывность
функционирования. Оценка должна рассматривать конкретное воздействие на безопасность (потеря
ключа, системы мониторинга и защиты) и предполагаемые слабые места при нарушении обеспечения
безопасности. Должны быть оценены все происшествия, даже те, которые имели ограниченное
воздействие на безопасность и функционирование порта. Каждое происшествие должно оцениваться с
целью определения уровня риска для цепи поставок, основываясь на способности операторов порта
быстро восстановить и подтвердить, что системы безопасности в исправном состоянии и целостность
цепи поставок не затронута. Любой несчастный случай, оцененный как случай высокого риска для
безопасности цепи поставок, должен устанавливать конкретные слабые места, которые могут быть
подвергнуты воздействию при происшествии.
Определение несчастных случаев с ключевым персоналом по безопасности должно включать
положения по немедленному его замещению подготовленными кадрами, способными выполнять
требуемые роли и обязанности. План по безопасности должен рассматривать эти слабые места и
содержать шаги по смягчению, чтобы избежать, если возможно, а в противном случае запланировать
меры по восстановлению, имея целью непрерывную защиту цепи поставок.
3.2.3 Стратегии ограничения последствий
Операторы и заинтересованные стороны порта должны установить типы несчастных случаев,
происходивших в портах, и определить их конкретное влияние на функционирование порта. При
определении несчастных случаев на производстве с персоналом, оборудованием, грузом и разливами
жидкостей/химикатов можно использовать накопленные данные, показывающие частоту, серьезность
воздействия на функционирование и превентивные меры, которые были предприняты, чтобы
минимизировать возможность повторного возникновения. Превентивные меры безопасности должны
находиться в готовом к использованию состоянии, что будет предупреждать и напоминать персоналу о
проблемах безопасности и процедурах по предотвращению.
План менеджмента должен включать конкретные процессы, подлежащие внедрению для защиты и
восстановления системы в рабочее состояние после каждого случая. Планы по ограничению
последствий должны быть достаточно детальными, чтобы обеспечить конкретные шаги
заинтересованных сторон по защите цепи поставок и восстановлению рабочего состояния морского
порта в зависимости от природы и предполагаемого воздействия каждого из определенных рисков.
3.2.4 Руководящие указания по восстановлению
План менеджмента безопасности должен предоставлять конкретные шаги, которые могут быть
оценены, чтобы определить способность морского порта защитить цепь поставок и возобновить
нормальное функционирование. Несчастные случаи, влияющие на ключевой персонал и/или на
оборудование и системы по безопасности, должны иметь документированные процедуры по
восстановлению, которые определяют конкретные шаги для замещения персонала, оборудования и
систем по безопасности. Возвращаемый и/или замещающий персонал должен быть обучен по всем
аспектам безопасности цепи поставок, включая физическую защиту, процедуры проверки и выявления,
а также использование устройств и автоматизированных систем безопасности. Для несчастных
случаев, которые останавливают функционирование порта, необходимо иметь процедуры для защиты
грузов, обрабатываемых или хранящихся в порту, до восстановления нормальной работы порта.
Качество плана по восстановлению должно быть оценено в соответствии с ISO 28000, определена его
способность обеспечения непрерывных действий по защите безопасности цепи поставок, и плану
должен быть присвоен индекс достоверности на основе критериев оценки.
3.3 Риски криминальных действий
3.3.1 Природа рисков
Криминальная деятельность в морском порту и деятельность, сопутствующая отправке из порта или
прибытию в порт грузов, может вызвать немедленную остановку всего движения транспорта в порту.
На время расследования криминальных действий правоохранительными органами может
потребоваться закрытие и/или изоляция поддерживающих работу зон. В дополнение, кража важных
частей и компонентов оборудования может сильно сказываться на функционировании, пока будут
приобретать и вводить в эксплуатацию запасные части. В зависимости от природы и серьезности
проблемы задержки могут составлять несколько дней, хотя приходится сокращать портовые операции.
Если криминальные действия затрагивают персонал порта, то заинтересованные стороны порта
должны будут рассмотреть конкретные положения по восстановлению целостности портовых операций
и утерянного доверия.
3.3.2 Оценка рисков
Криминальные действия скрытны, трудно раскрываемы и принимают разные формы от хищения грузов
и услуг и контрабанды (наркотиков, оружия, людей, грузов) до подкупа и мошенничества. Все эти
действия приводят к нарушению безопасности и целостности цепи поставок. Потеря грузов, перевозка
контрабанды, мошенничество и подкуп персонала, занятого защитой безопасности функционирования
порта, потенциально могут затронуть целостность цепи поставок и повредить репутации морского
порта и заинтересованных сторон. Вероятность реализации и серьезность выявленных рисков для
функционирования будет нуждаться в оценке. В зависимости от природы криминального действия
8 © ISO 2014 – Все права сохраняются
будет необходимо определить вероятность возникновения, а также предполагаемое воздействие на
непрерывность функционирования. Должны быть оценены все происшествия, даже те, которые имели
ограниченное воздействие на безопасность функционирования порта. Если действия приводят к
замене важного оборудования по защите безопасности и/или ответственного персонала, то оценка
должна предусматривать наличие и поставку деталей, их установку и тестирование, а также наличие
квалифицированного и обученного персонала, если требуется, для восстановления систем.
Контрабанда грузов будет представлять особый набор обстоятельств, при которых она
обнаруживается персоналом по безопасности порта. Обнаружение нелегальных наркотиков, оружия,
опасных материалов и/или людей потребует вмешательства правоохранительных органов,
конфискации и хранения контрабандных грузов. Каждый случай потенциально может остановить поток
грузов и план менеджмента безопасности должен учитывать нарушения непрерывности работы,
вызванные этими действиями, и предусматривать корректировку или улучшение процедур по
предотвращению будущих инцидентов.
Хищение компьютерных файлов или хакерство следует рассматривать специально, при этом должна
быть выполнена оценка этого влияния и времени для восстановления утраченной информации. План
менеджмента должен иметь конкретные положения по защите важных файлов информации, включая
портовые планы по безопасности, которые в случае их утери или дискредитации могли бы создать
риск для цепи поставок и функционирования порта.
3.3.3 Стратегии ограничения последствий
После обнаружения криминальной деятельности план должен определять конкретные шаги, которые
необходимо предпринять каждой заинтересованной организации и агентству, для прерывания цепи
поставок грузов, понимания и оценки повреждений/утрат, появившихся в ней. Планы ограничения
последствий должны быть достаточно детальными, чтобы обеспечить конкретные шаги
заинтересованных сторон по защите цепи поставок и восстановлению рабочего состояния морского
порта в зависимости от природы и предполагаемого воздействия каждого из определенных рисков.
Обнаружение, предотвращение и осознание правонарушений требует координации между местными
правоохранительными органами и заинтересованными сторонами порта, ответственными за
обеспечение защиты безопасности функционирования порта. План менеджмента должен включать
конкретные процессы и процедуры для мониторинга, обнаружения, расследования и предотвращения
установленных криминальных рисков на основе накопленной информации, полученной от местных и
международных правоохранительных органов. Существующие планы периодического и выборочного
контроля грузов наряду с использованием автоматического сканирования и аппаратуры системы
обнаружения будут помогать при выявлении контрабандных грузов и сдерживании будущих
криминальных действий.
Хищения грузов, поступающих или хранящихся в порту, могут быть минимизированы при ограничении
доступа в порт и требовании проверок, инспектирования безопасности и достоверной идентификации
всего персонала и транспортных средств, попадающих/находящихся в порту План должен
рассматривать активное и пассивное оборудование мониторинга (камеры, охрану, карты
доступа/считывающие устройства), которое может быть использовано для защиты цепи поставок
грузов круглые сутки семь дней в неделю.
Если определено, что криминальные действия исходили от опознаваемых источников фазы
предварительного контроля, то для них должны быть проведены дополнительные проверки
безопасности и/или на грузы, отправляемые из этих источников, должны быть наложены ограничения.
Необходимы дополнительные проверки подозрительных источников отправки грузов, и положения,
разработанные совместно с правоохранительными органами для помощи
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...