ГОСТ Р 53661—2009
Анализ процессов следует проводить также в случае таких изменений в деятельности организа
ции, при которых ставится под сомнение обоснованность существующих оценок. Такие изменения
могут включать в себя:
- расширение, сужение, реструктуризацию средств или аспектов цепи поставок;
- перераспределение обязанностей;
- изменение методов работы или моделей поведения при угрозах состороны внешнихисточников.
е)Типовые выходные данные
Процедуры должны быть документально оформлены, содержать:
- идентификацию угроз безопасности;
- определение рисков, связанных с идентифицированными угрозами безопасности:
- указание уровня рисков, связанных с каждой угрозой безопасности, и их приемлемости;
- описание или ссылку на меры по мониторингу иуправлению рисками (см. 4.4.6 и4.5.1), в особен
ности неприемлемыми рисками:
- соответствующие цели в области менеджмента безопасности и действия по снижению иденти
фицированных рисков (см. 4.3.3), а также любые последующие действия поотслеживанию процесса их
снижения:
- идентификацию потребностей в компетентности и подготовке, необходимых для реализации
мер управления (см. 4.4.2);
- необходимые меры управления, детализированные как часть контроля операций в элементах
системы (см. 4.4.6);
- записи, относящиеся к каждому из вышеперечисленных процессов.
4.3.2Законодательные, нормативные и иныо требования, регламентирующие обеспече
ние безопасности
а)Требования
Организациядолжна разрабатывать, внедрять и поддерживать в рабочем состоянии процедуру
по:
a) идентификации и доступу к применимым законодательным, нормативным ииным требовани
ям. регламентирующим безопасность, которые установлены для организации в отношении угроз,
отнесенных к охране и рискам,
b
) определению применения этих требований в отношении своих угроз и рисков.
Организациядолжна хранить и актуализировать эту информацию. Она должна доводить значи
мую информацию о законодательных и других требованиях всему персоналу и. при необходимости,
третьим лицам, включая подрядчиков.
[ГОСТР 53663—2009]
________________________________________________________________________
b
) Намерение
Организации необходимо осознавать влияние законодательных и иных требований на собствен
ную деятельность в настоящее время и в будущем и доводить эту информацию до соответствующего
персонала.
Требования ГОСТ Р 53663 (подпункт 4.3.2) способствуют пониманию законодательной и норма
тивной ответственности. Но это не является призывом к созданию библиотеки нормативной докумен
тации. обращение к которой носит эпизодический характер.
c) Типовые входные данные
Типовые входные данные включают в себя:
- подробные сведения о цепи поставок организации;
- результаты идентификации угроз, оценки рисков и риска-менеджмента (см. 4.3.1);
- положительный опыт (кодексы, отраслевые руководства и т.д.);
- законодательные и нормативные требования, а также требования правительственных, межпра
вительственных органов, международных торговых ассоциаций, кодексы, методики и правила;
- перечень источников информации;
- национальные, европейские, региональные или международные стандарты;
- внутренние требования организации;
- потребности заинтересованных лиц;
- процессы управления динамикой цепи поставок.
d) Процесс
Должны быть определены и идентифицированы законодательные и иные требования в области
обеспечения безопасности и охраны, наиболее приемлемые способы получения такой информации.
и