Tiêu chuẩn Việt Nam TCVNISO28000:2013

TIÊU CHUẨN QUỐC GIA

TCVN ISO 28000 :2013
ISO 28000:2007

QUY ĐỊNH ĐỐI VỚI HỆ THỐNG QUẢN LÝ AN TOÀN CHUỖI CUNG ỨNG

Specification for security management systems for the supply chain

Mục lục

Lời nói đầu

Lời giới thiệu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

4  Các yếu tố của hệ thống quản lý an toàn

4.1  Yêu cầu chung

4.2  Chính sách quản lý an toàn

4.3  Đánh giá và hoạch định rủi ro đối với an toàn

4.4  Áp dụng và triển khai

4.5  Kiểm tra và hành động khắc phục

4.6  Xem xét của lãnh đạo và cải tiến liên tục

Phụ lục A (tham khảo) Sự tương ứng giữa TCVN ISO 28000:2013, TCVN ISO 14001:1010 và TCVN ISO 9001:2008

Thư mục tài liệu tham khảo

Lời nói đầu

TCVN ISO 28000:2013 hoàn toàn tương đương với ISO 28000:2007;

TCVN ISO 28000:2013 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 176 Quản lý chất lượng và đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Tiêu chuẩn này được xây dựng để đáp ứng yêu cầu của ngành công nghiệp đối với tiêu chuẩn về quản lý an toàn. Mục đích chính của tiêu chuẩn là cải tiến an toàn cho chuỗi cung ứng. Đây là tiêu chuẩn quản lý cấp cao giúp tổ chức thiết lập hệ thống quản lý toàn bộ chuỗi cung ứng. Tiêu chuẩn này đòi hỏi tổ chức phải đánh giá môi trường an toàn trong đó tổ chức hoạt động và xác định xem có các biện pháp an toàn thích hợp và các yêu cầu chế định khác mà tổ chức phải tuân thủ hay không. Khi nhận biết được các nhu cầu về an toàn qua quá trình này, tổ chức cần thực hiện các cơ chế và quá trình để đáp ứng nhu cầu này. Về bản chất chuỗi cung ứng mang tính động, nên một số tổ chức quản lý nhiều chuỗi cung ứng có thể yêu cầu các nhà cung cấp dịch vụ của mình đáp ứng các tiêu chuẩn liên quan về an toàn chuỗi cung ứng làm điều kiện để được nằm trong chuỗi cung ứng đó nhằm đơn giản hóa việc quản lý an toàn như minh họa trong Hình 1.

Hình 1 - Mối quan hệ giữa TCVN ISO 28000 và các tiêu chuẩn tương ứng khác

Tiêu chuẩn này được áp dụng trong trường hợp chuỗi cung ứng của tổ chức cần được quản lý một cách an toàn. Phương pháp tiếp cận chính thức để quản lý an toàn có thể đóng góp trực tiếp vào khả năng kinh doanh và tính tin cậy của tổ chức.

Sự phù hợp với tiêu chuẩn này không loại trừ các nghĩa vụ pháp lý. Với các tổ chức mong muốn tuân thủ sự phù hợp của hệ thống quản lý an toàn với tiêu chuẩn này, có thể được xác nhận qua một quá trình đánh giá bên ngoài hay nội bộ.

Tiêu chuẩn này dựa theo cấu trúc của TCVN ISO 14001:2010 (ISO 14001:2004) do phương pháp tiếp cận hệ thống quản lý trên cơ sở rủi ro. Tuy nhiên, những tổ chức chấp nhận phương pháp tiếp cận theo quá trình đối với hệ thống quản lý (ví dụ như TCVN ISO 9001:2008) vẫn có thể sử dụng hệ thống quản lý hiện có của mình làm cơ sở cho hệ thống quản lý an toàn theo quy định trong tiêu chuẩn này. Tiêu chuẩn này không lặp lại các yêu cầu của chính phủ và các tiêu chuẩn về quản lý an toàn chuỗi cung ứng mà tổ chức được chứng nhận hoặc xác nhận là tuân thủ. Việc kiểm tra xác nhận có thể do bên thứ nhất, bên thứ hai hoặc bên thứ ba thực hiện.

CHÚ THÍCH: Tiêu chuẩn này dựa trên cơ sở phương pháp luận Hoạch định - Thực hiện - Kiểm tra - Hành động (PDCA) có thể được mô tả như dưới đây.

Hoạch định: thiết lập các mục tiêu và quá trình cần thiết để mang lại kết quả phù hợp với chính sách an toàn của tổ chức; Thực hiện: áp dụng các quá trình;

Kiểm tra: theo dõi và đo lường các quá trình theo các chính sách, mục tiêu, chỉ tiêu, yêu cầu luật định và các yêu cầu khác về an toàn và báo cáo kết quả;

Hành động: thực hiện các hành động để cải tiến liên tục việc thực hiện hệ thống quản lý an toàn.

QUY ĐỊNH ĐỐI VỚI HỆ THỐNG QUẢN LÝ AN TOÀN CHUỖI CUNG ỨNG

Specification for security management systems for the supply chain

1  Phạm vi áp dụng

Tiêu chuẩn này quy định các yêu cầu đối với hệ thống quản lý an toàn, bao gồm các khía cạnh quan trọng để đảm bảo an toàn chuỗi cung ứng. Quản lý an toàn được liên kết với nhiều khía cạnh khác của quản lý kinh doanh. Các khía cạnh bao gồm mọi hoạt động được kiểm soát hoặc chịu ảnh hưởng của các tổ chức tác động tới an toàn chuỗi cung ứng. Những khía cạnh khác cần được xem xét trực tiếp khi chúng có tác động đến quản lý an toàn, gồm cả vận chuyển hàng hóa theo chuỗi cung ứng.

Tiêu chuẩn này có thể áp dụng cho các tổ chức với quy mô bất kỳ, từ nhỏ tới đa quốc gia, trong sản xuất, dịch vụ, bảo quản hoặc vận chuyển ở mọi giai đoạn sản xuất hoặc chuỗi cung ứng, với mong muốn:

a) thiết lập, áp dụng, duy trì và cải tiến hệ thống quản lý an toàn;

b) đảm bảo sự phù hợp với chính sách quản lý an toàn đã công bố;

c) chứng tỏ sự phù hợp đó cho các bên khác;

d) chứng nhận/đăng ký hệ thống quản lý an toàn của mình bởi tổ chức chứng nhận bên thứ ba đã được công nhận;

e) tự xác định và tự công bố về sự phù hợp với tiêu chuẩn này.

Có các quy phạm pháp lý và chế định đề cập đến một số yêu cầu của tiêu chuẩn này.

Tiêu chuẩn này không nhằm yêu cầu việc chứng tỏ sự phù hợp một cách trùng lặp.

Tổ chức lựa chọn chứng nhận của bên thứ ba có thể chứng tỏ họ đóng góp đáng kể cho sự an toàn của chuỗi cung ứng.

2  Tài liệu viện dẫn

Không có tài liệu viện dẫn. Điều này được đưa vào nhằm đảm bảo việc đánh số điều giống với các tiêu chuẩn khác về hệ thống quản lý.

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng những thuật ngữ và định nghĩa dưới đây.

3.1

Cơ sở vật chất (facility)

Nhà xưởng, máy móc, tài sản, công trình, phương tiện vận chuyển, tàu, cơ sở vật chất cảng và các hạng mục khác của cơ sở hạ tầng hoặc nhà xưởng và hệ thống liên quan có chức năng hoạt động hoặc phục vụ rõ ràng và có thể định lượng.

CHÚ THÍCH: Định nghĩa này bao gồm cả các mã phần mềm quan trọng đối với việc cung cấp an toàn và việc áp dụng quản lý an toàn.

3.2

An toàn (security)

Việc chống lại (các) hành vi cố ý, trái phép được sắp đặt để gây thiệt hại hoặc phá hủy chuỗi cung ứng hoặc phát sinh nội tại của chuỗi cung ứng.

3.3

Quản lý an toàn (security management)

Các hoạt động và thực hành có hệ thống và phối hợp thông qua đó tổ chức quản lý một cách tối ưu các rủi ro của mình và các mối đe dọa tiềm ẩn liên quan cũng như tác động từ những rủi ro, đe dọa này.

3.4

Mục tiêu quản lý an toàn (security management objective)

Kết quả hay thành tựu cụ thể cần thiết về an toàn để đáp ứng chính sách quản lý an toàn.

CHÚ THÍCH: Quan trọng là những kết quả này được liên kết trực tiếp hoặc gián tiếp với việc cung cấp sản phẩm, hàng hóa hoặc dịch vụ được giao cho khách hàng hoặc người sử dụng cuối cùng của tổ chức thông qua hoạt động tổng thể.

3.5

Chính sách quản lý an toàn (security management policy)

Mục đích tổng thể và định hướng của tổ chức liên quan đến an toàn và khuôn khổ cho việc kiểm soát các quá trình và hoạt động liên quan đến an toàn xuất phát và nhất quán với chính sách của tổ chức và các yêu cầu chế định.

3.6

Chương trình quản lý an toàn (security management programmes)

Cách thức để đạt được mục tiêu quản lý an toàn.

3.7

Chỉ tiêu quản lý an toàn (security management target)

Mức độ thực hiện cụ thể cần thiết để đạt được mục tiêu quản lý an toàn.

3.8

Bên liên quan (stakeholder)

Cá nhân hoặc thực thể có quyền lợi được đảm bảo từ kết quả thực hiện, sự thành công của tổ chức hoặc bị ảnh hưởng từ các hoạt động của tổ chức.

CHÚ THÍCH: Các ví dụ bao gồm khách hàng, cổ đông, nhà đầu tư tài chính, bảo hiểm, cơ quan quản lý, cơ quan chế định, người lao động, nhà thầu, nhà cung ứng, các tổ chức về lao động hoặc xã hội.

3.9

Chuỗi cung ứng (supply chain)

Tập hợp các nguồn lực và quá trình được liên kết, bắt đầu từ nguồn cung ứng vật liệu và mở rộng tới việc giao sản phẩm hoặc dịch vụ đến người sử dụng cuối cùng thông qua các phương thức vận chuyển.

CHÚ THÍCH: Chuỗi cung ứng có thể gồm người bán hàng, cơ sở sản xuất, nhà cung ứng logistic, trung tâm phân phối nội bộ, nhà phân phối, nhà bán buôn và các thực thể khác hướng đến người sử dụng cuối cùng.

3.9.1

Chuỗi cung ứng xuôi (downstream)

Đề cập đến các hành động, quá trình và sự luân chuyển của hàng hóa trong chuỗi cung ứng diễn ra sau khi hàng hóa ra khỏi sự kiểm soát hoạt động trực tiếp của tổ chức, bao gồm, nhưng không giới hạn ở, bảo hiểm, tài chính, quản lý dữ liệu, bao gói, lưu kho và vận chuyển hàng hóa.

3.9.2

Chuỗi cung ứng ngược (upstream)

Đề cập đến các hành động, quá trình và sự luân chuyển của hàng hóa trong chuỗi cung ứng diễn ra trước khi hàng hóa chịu sự kiểm soát trực tiếp của tổ chức, bao gồm, nhưng không giới hạn ở, bảo hiểm, tài chính, quản lý dữ liệu, bao gói, lưu kho và vận chuyển hàng hóa.

3.10

Lãnh đạo cao nhất (top management)

Cá nhân hoặc nhóm người định hướng và kiểm soát tổ chức ở cấp cao nhất.

CHÚ THÍCH: Lãnh đạo cao nhất, đặc biệt ở tổ chức đa quốc gia, có thể không trực tiếp tham gia với tư cách cá nhân như mô tả trong tiêu chuẩn này; tuy nhiên trách nhiệm giải trình của lãnh đạo cao nhất phải được thể hiện thông qua chuỗi mệnh lệnh.

3.11

Cải tiến liên tục (continual improvement)

Quá trình được lặp lại nhằm thúc đẩy hệ thống quản lý an toàn đạt được các cải tiến kết quả thực hiện tổng thể về an toàn nhất quán với chính sách an toàn của tổ chức.

4  Các yếu tố của hệ thống quản lý an toàn

Hình 2 - Các yếu tố của hệ thống quản lý an toàn

4.1  Yêu cầu chung

Tổ chức phải thiết lập, lập thành văn bản, áp dụng, duy trì và cải tiến liên tục hệ thống quản lý an toàn có hiệu lực để nhận biết các mối đe dọa về an toàn, đánh giá rủi ro và kiểm soát, giảm nhẹ các hệ quả của chúng.

Tổ chức phải cải tiến liên tục hiệu lực của hệ thống theo các yêu cầu nêu trong toàn bộ Điều 4.

Tổ chức phải xác định phạm vi của hệ thống quản lý an toàn. Khi tổ chức thuê ngoài các quá trình ảnh hưởng đến sự phù hợp với những yêu cầu này, tổ chức phải đảm bảo những quá trình này được kiểm soát. Các kiểm soát cần thiết và trách nhiệm đối với các quá trình thuê ngoài phải được nhận biết trong hệ thống quản lý an toàn.

4.2  Chính sách quản lý an toàn

Lãnh đạo cao nhất của tổ chức phải phê duyệt chính sách tổng thể về quản lý an toàn. Chính sách này phải:

a) phù hợp với các chính sách khác của tổ chức;

b) đưa ra khuôn khổ cho phép lập ra các mục tiêu, chỉ tiêu và chương trình quản lý an toàn cụ thể;

c) phù hợp với mối đe dọa đến an toàn tổng thể và khuôn khổ quản lý rủi ro của tổ chức;

d) thích hợp với các mối đe dọa của tổ chức và tính chất, quy mô hoạt động của tổ chức;

e) nêu rõ các mục tiêu tổng thể về quản lý an toàn;

f) bao gồm cam kết cải tiến liên tục các quá trình quản lý an toàn;

g) bao gồm cam kết tuân thủ các yêu cầu pháp lý, yêu cầu chế định và luật định hiện hành và các yêu cầu khác mà tổ chức đăng ký;

h) được lãnh đạo cao nhất xác nhận rõ ràng;

i) được lập thành văn bản, áp dụng và duy trì;

j) được truyền đạt tới tất cả người lao động và bên thứ ba liên quan bao gồm nhà thầu và khách thăm quan để những người này nhận thức được nghĩa vụ của họ liên quan đến quản lý an toàn;

k) sẵn có để cung cấp cho các bên liên quan, khi thích hợp;

l) đưa ra trong xem xét của tổ chức trong trường hợp mua lại hoặc sáp nhập với các tổ chức khác, hoặc sự thay đổi khác về phạm vi hoạt động của tổ chức có thể ảnh hưởng đến tính liên tục hoặc sự phù hợp của hệ thống quản lý an toàn.

CHÚ THÍCH: Tổ chức có thể lựa chọn có một chính sách quản lý an toàn chi tiết để sử dụng nội bộ, chính sách này sẽ cung cấp đầy đủ thông tin và định hướng để vận hành hệ thống quản lý an toàn (các phần của hệ thống có thể được bảo mật) và có phiên bản tóm tắt không bảo mật có các mục tiêu chung để phổ biến cho các bên liên quan và các bên quan tâm khác của tổ chức.

4.3  Đánh giá và hoạch định rủi ro đối với an toàn

4.3.1  Đánh giá rủi ro đối với an toàn

Tổ chức phải thiết lập, duy trì các thủ tục đối với việc nhận biết và đánh giá liên tục các mối đe dọa đối với an toàn, đe dọa và rủi ro liên quan đến quản lý an toàn, việc nhận diện và áp dụng các biện pháp kiểm soát quản lý cần thiết. Việc nhận diện, đánh giá và phương pháp kiểm soát các đe dọa và rủi ro đối với an toàn ít nhất phải tương xứng với bản chất và phạm vi hoạt động. Đánh giá này phải xem xét khả năng xảy ra của sự kiện và tất cả các hệ quả của nó và phải bao gồm:

a) đe dọa và rủi ro do các sai lỗi như sai lỗi chức năng, phá hủy ngẫu nhiên, phá hủy cố ý hoặc hành động khủng bố hay tội phạm;

b) đe dọa và rủi ro vận hành, bao gồm kiểm soát an toàn, nhân tố con người và các hoạt động khác ảnh hưởng đến việc thực hiện, điều kiện hoặc sự an toàn của tổ chức;

c) sự kiện môi trường tự nhiên (bão, ngập lụt,...) có thể làm các biện pháp an toàn và thiết bị mất hiệu lực;

d) yếu tố ngoài sự kiểm soát của tổ chức, như sai lỗi thiết bị và dịch vụ do bên ngoài cung cấp;

e) các mối đe dọa và rủi ro từ các bên liên quan như sai lỗi trong việc đáp ứng các yêu cầu chế định hoặc tổn hại đến uy tín hay thương hiệu;

f) thiết kế và lắp đặt thiết bị an toàn gồm cả việc thay thế, bảo trì,...;

g) quản lý thông tin, dữ liệu và trao đổi thông tin;

h) mối đe dọa đến tính liên tục của các hoạt động.

Tổ chức phải đảm bảo rằng kết quả của những đánh giá này và ảnh hưởng của các kiểm soát này được xem xét và khi thích hợp, cung cấp đầu vào cho:

a) mục tiêu, chỉ tiêu quản lý an toàn;

b) chương trình quản lý an toàn;

c) việc xác định các yêu cầu đối với thiết kế, quy định kỹ thuật và lắp đặt;

d) việc nhận biết các nguồn lực gồm cả mức độ bố trí nhân viên;

e) việc nhận biết nhu cầu đào tạo và các kỹ năng (xem 4.4.2);

f) việc xây dựng các kiểm soát hoạt động (xem 4.4.6);

g) khuôn khổ quản lý mối đe dọa và rủi ro tổng thể của tổ chức.

Tổ chức phải lập thành văn bản và cập nhật các thông tin nêu trên.

Phương pháp của tổ chức đối với việc nhận diện và đánh giá mối đe dọa, rủi ro phải:

a) được xác định phạm vi, tính chất và thời gian để đảm bảo tổ chức chủ động thay vì ứng phó;

b) bao gồm việc thu thập thông tin liên quan đến các mối đe dọa và rủi ro đối với an toàn;

c) đưa ra phân loại các mối đe dọa, rủi ro và nhận diện những rủi ro phải tránh, phải loại bỏ hoặc phải kiểm soát;

d) theo dõi các hành động để đảm bảo hiệu lực và tính kịp thời trong việc áp dụng các hành động (xem 4.5.1).

4.3.2  Yêu cầu pháp lý, luật định và các yêu cầu chế định khác đối với an toàn

Tổ chức phải thiết lập, áp dụng và duy trì thủ tục để:

a) nhận biết và tiếp cận với các yêu cầu pháp lý và các yêu cầu thích hợp khác mà tổ chức đăng ký liên quan đến các đe dọa và rủi ro đối với an toàn của tổ chức, và

b) xác định cách thức áp dụng các yêu cầu này đối với các mối đe dọa và rủi ro đối với an toàn của tổ chức;

Thông tin này phải được cập nhật. Tổ chức phải truyền đạt thông tin có liên quan về các yêu cầu pháp lý và các yêu cầu khác tới người lao động và các bên thứ ba khác có liên quan gồm cả các nhà thầu.

4.3.3  Mục tiêu quản lý an toàn

Tổ chức phải thiết lập, áp dụng và duy trì mục tiêu quản lý an toàn bằng văn bản ở các bộ phận chức năng và các cấp liên quan. Các mục tiêu này phải bắt nguồn từ chính sách và phải phù hợp với chính sách. Khi thiết lập và xem xét các mục tiêu của mình, tổ chức phải tính đến:

a) các yêu cầu pháp lý, luật định và các yêu cầu chế định khác đối với an toàn;

b) các mối đe dọa và rủi ro liên quan đến an toàn;

c) các lựa chọn về công nghệ và lựa chọn khác;

d) các yêu cầu về tài chính, hoạt động và kinh doanh;

e) quan điểm thích hợp của các bên liên quan;

Các mục tiêu quản lý an toàn phải:

a) phù hợp với cam kết cải tiến liên tục của tổ chức;

b) lượng hóa được (nếu có thể);

c) được truyền đạt cho tất cả các nhân viên và bên thứ ba có liên quan, gồm cả nhà thầu với mục đích những người này nhận thức được nghĩa vụ của mình;

d) được xem xét định kỳ để đảm bảo rằng các mục tiêu này luôn duy trì sự thích hợp và nhất quán với chính sách quản lý an toàn. Khi cần, các mục tiêu quản lý an toàn phải được sửa đổi cho phù hợp.

4.3.4  Chỉ tiêu quản lý an toàn

Tổ chức phải thiết lập, áp dụng và duy trì các chỉ tiêu quản lý an toàn bằng văn bản phù hợp với nhu cầu của tổ chức. Các chỉ tiêu này phải bắt nguồn từ các mục tiêu và phải phù hợp với các mục tiêu quản lý an toàn.

Những chỉ tiêu này phải:

a) ở mức độ chi tiết thích hợp;

b) cụ thể, đo lường được, có thể đạt được, phù hợp và trên cơ sở thời gian (nếu có thể);

c) được truyền đạt tới tất cả nhân viên và bên thứ ba có liên quan gồm cả nhà thầu với mục đích để những người này nhận thức được các nghĩa vụ của mình;

d) được xem xét định kỳ để đảm bảo các chỉ tiêu luôn duy trì sự phù hợp và nhất quán với mục tiêu quản lý an toàn. Khi cần, các chỉ tiêu này phải được sửa đổi cho phù hợp.

4.3.5  Chương trình quản lý an toàn

Tổ chức phải thiết lập, áp dụng và duy trì các chương trình quản lý an toàn để đạt được các mục tiêu và chỉ tiêu của mình.

Các chương trình phải được tối ưu hóa và sau đó được lập thứ tự ưu tiên và tổ chức phải đưa ra việc áp dụng có hiệu quả về chi phí những chương trình này.

Chương trình này phải gồm tài liệu mô tả về:

a) trách nhiệm và quyền hạn được ấn định để đạt được các mục tiêu và chỉ tiêu quản lý an toàn;

b) các phương tiện và mốc thời gian phải đạt được các mục tiêu và chỉ tiêu quản lý an toàn.

Các chương trình quản lý an toàn phải được xem xét định kỳ để đảm bảo rằng nó luôn duy trì hiệu lực và sự nhất quán với các mục tiêu và chỉ tiêu. Khi cần, các chương trình này phải được sửa đổi cho phù hợp.

4.4  Áp dụng và triển khai

4.4.1  Cơ cấu, quyền hạn và trách nhiệm quản lý an toàn

Tổ chức phải thiết lập và duy trì cơ cấu tổ chức về vai trò, trách nhiệm và quyền hạn nhất quán với việc đạt được các chính sách mục tiêu, chỉ tiêu và chương trình quản lý an toàn.

Vai trò, trách nhiệm và quyền hạn phải được xác định, lập thành văn bản và thông báo cho các cá nhân chịu trách nhiệm áp dụng và duy trì.

Lãnh đạo cao nhất phải đưa ra bằng chứng về cam kết của mình đối với việc xây dựng và áp dụng hệ thống các quá trình quản lý an toàn và cải tiến liên tục hiệu lực của hệ thống thông qua việc:

a) chỉ định thành viên trong ban lãnh đạo, ngoài các trách nhiệm khác, phải có trách nhiệm đối với toàn bộ việc thiết kế, duy trì, lập thành văn bản và cải tiến hệ thống quản lý an toàn của tổ chức;

b) chỉ định (một hoặc nhiều) thành viên trong ban lãnh đạo có quyền hạn cần thiết để đảm bảo các mục tiêu và chỉ tiêu được thực hiện;

c) nhận biết và theo dõi các yêu cầu và mong đợi của các bên liên quan và thực hiện hành động thích hợp và kịp thời để quản lý những mong đợi này;

d) đảm bảo sẵn có các nguồn lực thích hợp;

e) xem xét các tác động tiêu cực của chính sách, mục tiêu, chỉ tiêu, chương trình quản lý an toàn,... tới các khía cạnh khác của tổ chức;

f) đảm bảo mọi chương trình an toàn được lập ra từ các bộ phận khác của tổ chức đều bổ sung cho hệ thống quản lý an toàn;

g) trao đổi thông tin trong tổ chức về tầm quan trọng của việc đáp ứng yêu cầu quản lý an toàn để tuân thủ chính sách của tổ chức;

h) đảm bảo các mối đe dọa và rủi ro liên quan đến an toàn được định mức và đưa vào các đánh giá về đe dọa và rủi ro của tổ chức khi thích hợp;

i) đảm bảo khả năng thực hiện các mục tiêu, chỉ tiêu và chương trình quản lý an toàn.

4.4.2  Năng lực, đào tạo và nhận thức

Tổ chức phải đảm bảo rằng nhân sự chịu trách nhiệm thiết kế, vận hành và quản lý thiết bị và quá trình an toàn phải được đánh giá năng lực một cách thích hợp về giáo dục, đào tạo và/hoặc kinh nghiệm. Tổ chức phải thiết lập và duy trì thủ tục để những người làm việc cho tổ chức và với danh nghĩa của tổ chức nhận thức được:

a) tầm quan trọng của việc tuân thủ chính sách và các thủ tục quản lý an toàn và các yêu cầu của hệ thống quản lý an toàn;

b) vai trò và trách nhiệm của họ trong việc đạt được sự phù hợp với chính sách và thủ tục quản lý an toàn và các yêu cầu của hệ thống quản lý an toàn, bao gồm cả các yêu cầu đối với sự sẵn sàng và ứng phó với tình huống khẩn cấp;

c) các hệ quả tiềm ẩn đối với an toàn của tổ chức do chệch khỏi các thủ tục vận hành quy định;

Hồ sơ về năng lực và đào tạo phải được lưu giữ.

4.4.3  Trao đổi thông tin

Tổ chức phải có các thủ tục để đảm bảo rằng thông tin thích hợp về quản lý an toàn được truyền đạt tới và từ các nhân viên, các nhà thầu và các bên liên quan thích hợp khác.

Do tính chất nhạy cảm của thông tin nhất định liên quan đến an toàn, nên cần đưa ra cân nhắc thỏa đáng về tính nhạy cảm của thông tin trước khi phổ biến rộng rãi.

4.4.4  Hệ thống tài liệu

Tổ chức phải thiết lập và duy trì hệ thống tài liệu quản lý an toàn bao gồm, nhưng không giới hạn ở:

a) chính sách, mục tiêu và chỉ tiêu an toàn;

b) mô tả phạm vi của hệ thống quản lý an toàn;

c) mô tả các yếu tố chính của hệ thống quản lý an toàn, sự tương tác giữa các yếu tố và việc viện dẫn tới các tài liệu liên quan;

d) tài liệu, gồm cả hồ sơ, theo yêu cầu của tiêu chuẩn này; và

e) tài liệu, gồm cả hồ sơ mà tổ chức xác định là cần thiết để đảm bảo việc hoạch định, triển khai và kiểm soát có hiệu lực các quá trình liên quan đến các mối đe dọa và rủi ro quan trọng của tổ chức.

Tổ chức phải xác định tính nhạy cảm của thông tin về an toàn và phải thực hiện các bước để ngăn chặn việc tiếp cận trái phép.

4.4.5  Kiểm soát tài liệu và dữ liệu

Tổ chức phải thiết lập và duy trì các thủ tục đối với việc kiểm soát tất cả các tài liệu, dữ liệu và thông tin theo yêu cầu ở Điều 4 của tiêu chuẩn này để đảm bảo rằng:

a) những tài liệu, dữ liệu và thông tin này chỉ có thể được định vị và truy cập bởi các cá nhân có thẩm quyền;

b) những tài liệu, dữ liệu và thông tin này được xem xét sửa đổi định kỳ, sửa đổi khi cần thiết và được phê duyệt sự thỏa đáng bởi nhân sự có thẩm quyền;

c) các phiên bản hiện hành của các tài liệu, dữ liệu và thông tin có liên quan sẵn có ở những nơi có các hoạt động thiết yếu đối với việc vận hành hiệu lực hệ thống quản lý an toàn;

d) các tài liệu, dữ liệu và thông tin lỗi thời được loại bỏ kịp thời khỏi những nơi ban hành và sử dụng hoặc phải đảm bảo tài liệu không bị sử dụng vô tình;

e) các tài liệu, dữ liệu và thông tin lưu trữ cho mục đích pháp lý hoặc bảo tồn kiến thức hoặc cả hai được nhận biết một cách phù hợp;

f) những tài liệu, dữ liệu và thông tin này được bảo mật và nếu ở dạng điện tử phải được sao lưu một cách đầy đủ và có thể khôi phục.

4.4.6  Kiểm soát vận hành

Tổ chức phải nhận biết việc vận hành và các hoạt động cần thiết để đạt được:

a) chính sách quản lý an toàn của tổ chức;

b) kiểm soát các hoạt động và giảm nhẹ các mối đe dọa được nhận biết là có rủi ro đáng kể;

c) việc tuân thủ các yêu cầu pháp lý, luật định và các yêu cầu chế định khác về an toàn;

d) mục tiêu quản lý an toàn của tổ chức;

e) việc đưa ra các chương trình quản lý an toàn;

f) mức độ an toàn cần thiết của chuỗi cung ứng.

Tổ chức phải đảm bảo việc vận hành và các hoạt động này được thực hiện dưới các điều kiện quy định thông qua việc:

a) thiết lập, áp dụng và duy trì các thủ tục dạng văn bản để kiểm soát các tình huống mà nếu thiếu các thủ tục này có thể dẫn đến sai lỗi trong việc đạt được các vận hành và hoạt động nêu ở 4.4.6 từ a) đến f);

b) đánh giá các mối đe dọa từ hoạt động của chuỗi cung ứng ngược và áp dụng các kiểm soát để giảm nhẹ những tác động này tới tổ chức và những người vận hành khác trong chuỗi cung ứng;

c) thiết lập và duy trì các yêu cầu đối với hàng hóa hoặc dịch vụ tác động đến an toàn và trao đổi thông tin về những yêu cầu này với nhà cung ứng và nhà thầu.

Những thủ tục này phải gồm các kiểm soát đối với thiết kế, lắp đặt, vận hành, nâng cấp và sửa đổi các hạng mục thiết bị phương tiện liên quan đến an toàn, khi thích hợp. Nếu các sắp đặt hiện có được sửa đổi hoặc đưa ra các sắp đặt mới có thể ảnh hưởng đến việc vận hành và hoạt động quản lý an toàn, tổ chức phải xem xét các mối đe dọa và rủi ro liên quan đến an toàn trước khi áp dụng các sắp đặt. Các sắp đặt mới hoặc sửa đổi cần xem xét phải bao gồm:

a) cơ cấu tổ chức, vai trò hay trách nhiệm được sửa đổi;

b) chính sách, mục tiêu, chỉ tiêu hoặc chương trình quản lý an toàn được sửa đổi;

c) các quá trình và thủ tục được sửa đổi;

d) đưa vào cơ sở hạ tầng, thiết bị hoặc công nghệ an toàn mới có thể gồm phần cứng và/hoặc phần mềm;

e) đưa vào các nhà thầu, các nhà cung ứng hoặc nhân sự mới, khi thích hợp.

4.4.7  Tính sẵn sàng, ứng phó tình huống khẩn cấp và khôi phục an toàn

Tổ chức phải thiết lập, áp dụng và duy trì các kế hoạch và thủ tục thích hợp để nhận biết tiềm năng và khả năng ứng phó với sự cố về an toàn và tình huống khẩn cấp, ngăn ngừa và giảm nhẹ những hệ quả có thể xảy ra cùng với các tình huống khẩn cấp. Các kế hoạch và thủ tục này phải gồm thông tin về việc cung cấp và duy trì các thiết bị, cơ sở vật chất hoặc dịch vụ đã được nhận biết có thể cần thiết trong quá trình hoặc sau khi có sự cố hoặc tình huống khẩn cấp.

Tổ chức phải xem xét định kỳ hiệu lực của các kế hoạch và thủ tục đối với tính sẵn sàng, khả năng ứng phó tình huống khẩn cấp và khôi phục an toàn, đặc biệt là sau khi xảy ra sự cố hoặc tình huống khẩn cấp do vi phạm an toàn và các mối đe dọa. Khi có thể, tổ chức phải định kỳ thử nghiệm các thủ tục này.

4.5  Kiểm tra và hành động khắc phục

4.5.1  Đo lường và theo dõi kết quả thực hiện an toàn

Tổ chức phải thiết lập và duy trì các thủ tục theo dõi và đo lường kết quả thực hiện hệ thống quản lý an toàn của mình. Tổ chức cũng phải thiết lập và duy trì các thủ tục để theo dõi và đo lường kết quả thực hiện an toàn. Tổ chức phải xem xét các mối đe dọa và rủi ro liên quan đến an toàn, bao gồm cả các cơ chế gây hư hại tiềm ẩn và hệ quả của nó, khi thiết lập tần suất theo dõi và đo lường các thông số thực hiện quan trọng. Các thủ tục phải đưa ra:

a) cả phép đo định tính và định lượng, thích hợp với nhu cầu của tổ chức;

b) việc theo dõi mức độ đạt được chính sách, mục tiêu và chỉ tiêu quản lý an toàn của tổ chức;

c) các biện pháp thực hiện chủ động để theo dõi sự tuân thủ chương trình quản lý an toàn, chuẩn mực kiểm soát vận hành; các yêu cầu pháp lý, luật định và các yêu cầu chế định khác về an toàn;

d) các biện pháp thực hiện tích cực để theo dõi việc gây hư hại, các sai lỗi, sự cố và sự không phù hợp liên quan đến an toàn (gồm những lần thoát nạn và báo động sai) và bằng chứng khác trong quá khứ về việc thực hiện không đầy đủ hệ thống quản lý an toàn;

e) việc ghi nhận dữ liệu và kết quả của việc theo dõi và đo lường đủ để tạo điều kiện cho việc phân tích hành động khắc phục và hành động phòng ngừa sau đó. Nếu thiết bị theo dõi cần thiết cho việc thực hiện và/hoặc việc theo dõi và đo lường, tổ chức phải yêu cầu thiết lập và duy trì các thủ tục đối với việc hiệu chuẩn và bảo trì các thiết bị đó. Hồ sơ về các hoạt động và kết quả hiệu chuẩn và bảo trì phải được duy trì đủ thời gian để tuân thủ luật pháp và chính sách của tổ chức.

4.5.2  Xem xét đánh giá hệ thống

Tổ chức phải xem xét đánh giá các kế hoạch, thủ tục và khả năng quản lý an toàn thông qua việc định kỳ xem xét, thử nghiệm, báo cáo sau sự cố, bài học kinh nghiệm rút ra, đánh giá kết quả và thực hành. Những thay đổi quan trọng của các yếu tố này phải được phản ánh ngay trong (các) thủ tục.

Tổ chức phải định kỳ đánh giá việc tuân thủ yêu cầu luật pháp, chế định và các thực hành tốt nhất trong ngành và sự phù hợp với chính sách và mục tiêu của tổ chức.

Tổ chức phải lưu giữ hồ sơ kết quả của các lần đánh giá định kỳ.

4.5.3  Sai lỗi, sự cố, sự không phù hợp, hành động khắc phục và phòng ngừa liên quan đến an toàn

Tổ chức phải thiết lập, áp dụng và duy trì các thủ tục xác định trách nhiệm và quyền hạn đối với việc:

a) đánh giá và đưa ra các hành động phòng ngừa để nhận biết sai lỗi tiềm ẩn về an toàn để có thể ngăn chặn chúng xảy ra;

b) điều tra về:

1) các sai lỗi bao gồm những lần thoát nạn và báo động sai;

2) sự cố và tình huống khẩn cấp;

3) sự không phù hợp;

c) thực hiện hành động liên quan đến an toàn để giảm nhẹ các hệ quả nảy sinh từ những sai lỗi, sự cố hoặc sự không phù hợp này;

d) bắt đầu và hoàn thành các hành động khắc phục;

e) xác nhận hiệu lực của các hành động khắc phục được thực hiện.

Những thủ tục này phải yêu cầu tất cả các hành động khắc phục và phòng ngừa được xem xét thông qua quá trình đánh giá mối đe dọa và rủi ro về an toàn trước khi thực hiện, trừ khi việc thực hiện ngay sẽ ngăn chặn tổn thất xảy ra với đời sống hoặc an toàn của cộng đồng.

Mọi hành động khắc phục hoặc phòng ngừa được thực hiện để loại trừ nguyên nhân của sự không phù hợp hiện hữu và tiềm ẩn phải thích hợp với mức độ quan trọng của vấn đề và tương xứng với mối nguy và rủi ro có thể gặp phải liên quan đến quản lý an toàn. Tổ chức phải thực hiện và lập hồ sơ mọi sự thay đổi trong thủ tục dạng văn bản xuất phát từ hành động khắc phục và phòng ngừa và phải đưa ra đào tạo cần thiết khi cần.

4.5.4  Kiểm soát hồ sơ

Tổ chức phải thiết lập và duy trì hồ sơ khi cần để chứng tỏ sự phù hợp với các yêu cầu về hệ thống quản lý an toàn của tổ chức và của tiêu chuẩn này và các kết quả đạt được.

Tổ chức phải thiết lập, áp dụng và duy trì (các) thủ tục để nhận biết, bảo quản, bảo vệ, sử dụng, lưu giữ và hủy bỏ hồ sơ.

Hồ sơ phải luôn rõ ràng, có thể nhận biết và truy xuất nguồn gốc.

Tài liệu điện tử và kỹ thuật số nên được lập để chống trộm, sao lưu an toàn và chỉ cho phép cá nhân có thẩm quyền truy cập.

4.5.5  Đánh giá

Tổ chức phải thiết lập, thực hiện và duy trì chương trình đánh giá quản lý an toàn và phải đảm bảo rằng các cuộc đánh giá hệ thống quản lý an toàn được thực hiện theo định kỳ kế hoạch, nhằm:

a) xác định hệ thống quản lý an toàn có hay không:

1) phù hợp với các sắp đặt đã hoạch định để quản lý an toàn bao gồm các yêu cầu của toàn bộ Điều 4 của tiêu chuẩn này;

2) được thực hiện và duy trì thích hợp;

3) có hiệu lực trong việc đáp ứng chính sách, mục tiêu quản lý an toàn của tổ chức;

b) xem xét kết quả của các cuộc đánh giá trước đó và các hành động được thực hiện để sửa chữa sự không phù hợp;

c) cung cấp thông tin về kết quả đánh giá cho lãnh đạo cao nhất;

d) kiểm tra xác nhận rằng thiết bị và nhân sự liên quan đến an toàn được triển khai một cách thích hợp.

Chương trình đánh giá, gồm cả lịch đánh giá, phải dựa trên kết quả của đánh giá mối nguy và rủi ro của các hoạt động của tổ chức và kết quả các cuộc đánh giá trước đó. Thủ tục đánh giá phải gồm cả phạm vi, tần suất, phương pháp và năng lực cũng như trách nhiệm và các yêu cầu để thực hành đánh giá và báo cáo kết quả đánh giá. Khi có thể các cuộc đánh giá phải được tiến hành bởi nhân sự độc lập với những người có trách nhiệm trực tiếp đối với hoạt động được kiểm tra.

CHÚ THÍCH: Cụm từ “nhân sự độc lập” không nhất thiết có nghĩa là nhân sự bên ngoài tổ chức.

4.6  Xem xét của lãnh đạo và cải tiến liên tục

Lãnh đạo cao nhất phải xem xét hệ thống quản lý an toàn của tổ chức theo định kỳ kế hoạch để đảm bảo sự thích hợp, thỏa đáng và hiệu lực liên tục của hệ thống. Việc xem xét phải bao gồm cả đánh giá các cơ hội cải tiến và nhu cầu thay đổi hệ thống quản lý an toàn bao gồm các chính sách an toàn, mục tiêu, các mối đe dọa và rủi ro đối với an toàn. Hồ sơ các cuộc xem xét của lãnh đạo phải được lưu giữ. Đầu vào cho xem xét của lãnh đạo phải gồm:

a) kết quả của các cuộc đánh giá và xem xét đánh giá việc tuân thủ các yêu cầu pháp lý và các yêu cầu khác mà tổ chức đăng ký,

b) trao đổi thông tin từ các bên quan tâm bên ngoài, gồm cả khiếu nại,

c) kết quả thực hiện an toàn của tổ chức,

d) mức độ đạt được các mục tiêu và chỉ tiêu,

e) tình trạng của các hành động khắc phục và phòng ngừa,

f) hành động tiếp theo từ các lần xem xét của lãnh đạo trước đó,

g) thay đổi hoàn cảnh, bao gồm cả việc xây dựng các yêu cầu pháp lý và yêu cầu khác liên quan đến các khía cạnh an toàn của tổ chức, và

h) các khuyến nghị cải tiến.

Đầu ra từ xem xét của lãnh đạo phải bao gồm các quyết định và hành động liên quan đến những thay đổi có thể có về chính sách, mục tiêu, chỉ tiêu an toàn và các yếu tố khác của hệ thống quản lý an toàn nhất quán với cam kết cải tiến liên tục.

Phụ lục A

(tham khảo)

Sự tương ứng giữa TCVN ISO 28000:2013, TCVN ISO 14001:2010 và TCVN ISO 9001:2008

Thư mục tài liệu tham khảo

[1] TCVN ISO 9001:2008 (ISO 9001:2008), Hệ thống quản lý chất lượng - Các yêu cầu

[2] TCVN ISO 14001:2010 (ISO 14001:2004/Cor.1:2009), Hệ thống quản lý môi trường - Các yêu cầu và hướng dẫn sử dụng

[3] TCVN ISO 19011:2013 (ISO 19011:2011), Hướng dẫn đánh giá hệ thống quản lý

[4] ISO/PAS 20858:2004, Ships and marine technology - Maritime port facility security assessments and security plan development (Công nghệ tàu biển và hàng hải - Đánh giá và xây dựng kế hoạch an ninh cơ sở vật chất cảng hàng hải)

[5] ISO/PAS 28001, Security management systems for the supply chain - Best practices for implementing sypply chain security - Assessments and plans (Hệ thống quản lý an toàn đối với chuỗi cung ứng - Thực hành tốt trong áp dụng an toàn chuỗi cung ứng - Đánh giá và kế hoạch)

[5] ISO/PAS 28004:2006, Security management systems for the supply chain - Guidelines for the implementing of ISO/PAS 28000 (Hệ thống quản lý an toàn đối với chuỗi cung ứng - Hướng dẫn áp dụng ISO/PAS 28000)