กิตติพงศ์  จิรวัสวงศ์
kitroj@yahoo.com

ในปัจจุบันบทบาทของการบริหารจัดการห่วงโซ่อุปทาน (Supply Chain Management) ถือได้ว่ามีความสำคัญอย่างมากต่อธุรกิจต่าง ๆ ทั้งภายในประเทศและระหว่างประเทศ มีผู้เกี่ยวข้องกับห่วงโซ่อุปทานจำนวนมาก ตั้งแต่ ผู้ผลิตวัตถุดิบ ผู้จัดส่ง ผู้ผลิต คลังสินค้า ผู้จัดจำหน่าย ผู้กระจายสินค้า ผู้ให้บริการ รวมไปถึงผู้บริโภค

โดยมีเป้าหมายเพื่อให้องค์กรต่าง ๆ เหล่านี้ทำงานประสานกันอย่างมีประสิทธิภาพ สามารถผลิตสินค้า และส่งมอบไปยังแหล่งต่าง ๆ ได้ถูกต้องตามปริมาณ สถานที่และเวลาตามเป้าหมายที่กำหนดไว้ เพื่อสร้างความพึงพอใจสูงสุดให้กับลูกค้าด้วยต้นทุนที่ต่ำที่สุด

ปัจจัยที่สำคัญอย่างมากต่อการดำเนินธุรกิจในห่วงโซ่อุปทาน คือการดูแลรักษาความปลอดภัยในกับส่วนต่าง ๆ ในห่วงโซ่อุปทาน ทั้งการรักษาความปลอดภัยให้กับสินค้าหรือบริการ บุคลากรที่เกี่ยวข้อง อาคารสถานที่ เครื่องจักรอุปกรณ์ ยานพาหนะ ข้อมูลสารสนเทศ สิ่งอำนวยความสะดวกต่าง ๆ

สิ่งต่าง ๆ เหล่านี้หากเกิดการสูญหาย เสียหาย บาดเจ็บ เสียชีวิต หรืออยู่ในสภาพที่สามารถนำมาใช้งานได้ ก็จะส่งผลให้เกิดความเสียหายอย่างมากต่อธุรกิจ ทั้งความเสียหายในรูปของตัวเงิน และความเสียหายในรูปแบบอื่น ๆ เช่น ชื่อเสียง โอกาสทางการตลาด ความเชื่อมั่น ตราสินค้า และองค์ความรู้ที่สำคัญขององค์กร 

ในการดูแลรักษาความปลอดภัยให้กับองค์ประกอบต่าง ๆ ของห่วงโซ่อุปทานนั้น จำเป็นที่จะต้องทำความเข้าใจถึงภัยคุกคาม และความเสี่ยงที่จะทำให้เกิดผลกระทบในทางลบต่อองค์ประกอบต่าง ๆ เพื่อทำการวิเคราะห์ ประเมิน จัดลำดับความสำคัญ ดำเนินการแก้ไข และป้องกัน ควบคุม และติดตามผล เพื่อให้มั่นใจว่าภัยคุกคามและความเสี่ยงนั้น ๆ จะไม่ส่งผลกระทบให้เกิดความเสียหายกับองค์กร หรือเกิดผลกระทบที่น้อยที่สุดเท่าที่จะเป็นไปได้ โดยรักษาดุลยภาพในทุก ๆ ส่วนของห่วงโซ่อุปทานไว้ได้

ภัยคุกคามและความเสี่ยง

ภัยคุกคาม (Threats) จะหมายถึง สิ่งต่าง ๆ ที่เมื่อเกิดขึ้นแล้ว จะส่งผลให้เกิดความเสียหายต่อธุรกิจ สามารถแบ่งออกได้เป็นภัยคุกคามภายใน (Internal) และ ภัยคุกคามภายนอก (External) องค์กร โดยภัยคุกคามภายในองค์กร เช่น ความไม่พอใจที่เกิดขึ้นจริง หรือที่รู้สึกได้ของพนักงาน ผู้รับจ้างช่วง หรือจากหุ้นส่วนทางธุรกิจ หรือจากการรักษาความปลอดภัยที่บกพร่องของพนักงาน เป็นต้น ส่วนภัยคุกคามภายนอกองค์กร เช่น การโจรกรรม การลับลอบขนสินค้า การก่อการร้าย ภัยจากคู่แข่ง ผู้ที่ไม่หวังดี หรือชอบก่อความเดือดร้อนให้ผู้อื่น เป็นต้น

ในขณะที่จุดอ่อน (Vulnerability) จะหมายถึงช่องว่าง หรือจุดบกพร่องในกลไกการป้องกันที่มีอยู่ในปัจจุบัน ซึ่งเมื่อเจอภัยคุกคาม ก็จะทำให้เกิดความเสี่ยง (Risk) ขึ้นในองค์กร เมื่อความเสี่ยงได้เกิดขึ้น จะส่งผลให้เกิดความเสียหาย หรือผลกระทบกับการดำเนินงานขององค์กร ซึ่งความเสียหาย สามารถแบ่งออกได้เป็น 2 ลักษณะ คือความเสียหายที่จับต้องได้ (Tangible) เช่น ทรัพย์สิน ผลิตภัณฑ์ โครงสร้างพื้นฐาน หรือบุคลากร กับความเสียหายที่จับต้องไม่ได้ เช่น ชื่อเสียง ความนิยม ตำแหน่งทางการตลาด เป็นต้น 

การรักษาความปลอดภัยห่วงโซ่อุปทาน

ในทุก ๆ ขั้นตอนของห่วงโซ่อุปทาน ตั้งแต่จากผู้ผลิต ไปจนถึงลูกค้า หรือจุดขายสินค้า ล้วนแล้วแต่มีโอกาสที่จะเกิดภัยคุกคาม และความเสี่ยงที่จะส่งผลกระทบในทางลบต่อการดำเนินธุรกิจได้ ดังนั้นในทุก ๆ ลำดับขั้นตอนจึงจำเป็นที่จะต้องมีระบบการรักษาความปลอดภัยเป็นอย่างดี ทั้งนี้ การรักษาความปลอดภัยในห่วงโซ่อุปทาน สามารถแบ่งออกได้เป็นลักษณะที่สำคัญ ๆ ได้ดังนี้

• การรักษาความปลอดภัยทางกายภาพ (Physical Security) ประกอบด้วย การรักษาความปลอดภัยของอาคาร สถานที่ปฏิบัติงาน รั้วรอบอาคารสถานที่ วิธีการปฏิบัติงานในการควบคุมการเข้าออกสถานที่ เทคโนโลยีในการรักษาความปลอดภัย การจัดเก็บสินค้าอย่างปลอดภัย มาตรการในการบริหารจัดการทรัพย์สิน

• การรักษาความปลอดภัยส่วนบุคคล (Personal Security) ประกอบด้วย การรักษาความปลอดภัยส่วนบุคคล ความซื่อสัตย์ของพนักงาน การศึกษาและการฝึกอบรมของพนักงาน ความตระหนักในการรักษาความปลอดภัย วิธีการควบคุมในการเข้าออกของพนักงาน เช่น การใช้ ID Card

• การรักษาความปลอดภัยสารสนเทศ (Information Security) ประกอบด้วย วิธีการปฏิบัติงานในการรักษาความปลอดภัยสารสนเทศขององค์กร วิธีการควบคุมในการเข้าถึงสารสนเทศต่าง ๆ การรักษาความปลอดภัยของข้อมูล การบริหารจัดการบันทึกรายการสินค้า (Manifest Management) การแลกเปลี่ยนข้อมูลศุลกากร ความสอดคล้องตามข้อกฎหมาย หรือมาตรฐานที่เกี่ยวข้อง

• การรักษาความปลอดภัยสินค้า (Goods and Conveyance Security) ประกอบด้วย วิธีปฏิบัติงานในการรักษาความปลอดภัย การควบคุมดูแลสินค้า วิธีการปฏิบัติงานในการรายงานและการแจ้งเตือนเหตุร้าย

• หน่วยขนส่งสินค้าปิดผนึก (Closed/Secure Cargo Transport Unit) ประกอบด้วย วิธีปฏิบัติงานในการปิดผนึก การบรรจุสินค้า การบันทึก วิธีการตรวจสอบ แนวปฏิบัติในกรณีเกิดความผิดพลาดขึ้น

ทั้งนี้ จากการศึกษาของ Massachusetts Institute of Technology (MIT) เมื่อเดือนมิถุนายน 2006 พบว่าประโยชน์ที่องค์กรต่าง ๆ จะได้จากการลงทุนพัฒนาระบบการรักษาความปลอดภัยของห่วงโซ่อุปทาน จะประกอบด้วย

• ลดงานด้านการตรวจสอบลงถึง 48%
• ปรับปรุงความสามารถในการควบคุมทรัพย์สิน 50%
• ช่วยลดเวลาในการแก้ไขปัญหาลงได้ 31%
• ช่วยลดการเกิดความเสียหาย การสูญหาย และการโจรกรรมสินค้าลงได้กว่า 38%

ผลจากบทบาทและความสำคัญของการรักษาความปลอดภัยของห่วงโซ่อุปทาน ทาง ISO (The International Organization for Standardization) ซึ่งเป็นองค์กรที่ดูแลในการจัดทำมาตรฐานสากล ให้กับสมาชิกประเทศต่าง ๆ ทั่วโลก ได้มีการออกมาตรฐานสากล ISO28000 ซึ่งเป็นมาตรฐานระบบการจัดการด้านการรักษาความปลอดภัยของห่วงโซ่อุปทาน โดยมีประกาศใช้อย่างเป็นทางการเมื่อเดือนกันยายน 2007

มาตรฐาน ISO28000:2007 (Specification for Security Management System for the Supply Chain) จะกำหนดแนวทางสำหรับองค์กรในการกำหนด นำไปปฏิบัติ ดูแลรักษา และปรับปรุงระบบการจัดการด้านการรักษาความปลอดภัย รวมถึงลักษณะทางด้านการรักษาความปลอดภัย (Security Aspect) 

โดยมีเป้าหมายเพื่อรับประกันความปลอดภัยให้กับห่วงโซ่อุปทาน ป้องกันบุคลากร สินค้า โครงสร้างพื้นฐานและอุปกรณ์ รวมถึงการขนส่ง การป้องกันอุบัติเหตุ และการป้องกันผลกระทบที่มีแนวโน้มที่จะเกิดขึ้น โดยมาตรฐานนี้สามารถนำไปประยุกต์ใช้ได้ในองค์กรทุกขนาด ตั้งแต่องค์กรขนาดเล็กไปจนถึงระดับข้ามชาติ ทั้งในอุตสาหกรรมการผลิต การบริการ การจัดเก็บสินค้า หรือการขนส่งในแต่ละช่วงของการผลิตหรือห่วงโซ่อุปทาน

ทั้งนี้ มาตรฐาน ISO28000:2007 จะเป็นการผสมผสานแนวคิดในการบริหารกระบวนการของมาตรฐาน ISO9001 และมาตรฐาน ISO14001:2004 รวมถึงแนวคิดการจัดการ PDCA (Plan-Do-Check-Action) รวมถึงข้อกำหนดในการปรับปรุงอย่างต่อเนื่อง และการบริหารความเสี่ยง  

• ISO 28001:2007, Security management systems for the supply chain–Best practices for implementing supply chain security–Assessments and plans–Requirements and guidance.
• ISO 28003:2007, Security management systems for the supply chain–Requirements for bodies providing audit and certification of supply chain security management systems.
• ISO 28004:2007, Security management systems for the supply chain–Guidelines for the implementation of ISO28000
• ISO 28005 (อยู่ในระหว่างการร่างมาตรฐาน), Ships and marine technology–Computer applications–Electronic port clearance (EPC)
• ISO 20858:2007, Ships and marine technology–Maritime port facility security assessments and security plan development.

องค์ประกอบของระบบการบริหารการรักษาความปลอดภัย

รูปที่ 1 แสดงองค์ประกอบของการบริหารการรักษาความปลอดภัย

จากรูปที่ 1 จะแสดงให้เห็นถึงองค์ประกอบต่าง ๆ ของระบบการจัดการด้านการรักษาความปลอดภัยห่วงโซ่อุปทานตามมาตรฐาน ISO 28000 ซึ่งจะประกอบด้วย 5 ขั้นตอนหลักที่สำคัญ ได้แก่

ในการจัดทำระบบ องค์กรจะต้องมีการกำหนดขอบเขตของระบบการจัดการไว้อย่างชัดเจนว่า ครอบคลุมถึงกระบวนการ กิจกรรม และสถานที่ใดบ้าง ในกรณีที่มีการจ้างงานผู้รับจ้างช่วงจากภายนอก สำหรับกระบวนการใด ๆ ก็ตามที่มีผลกระทบต่อระบบการจัดการด้านการรักษาความปลอดภัยขององค์กร องค์กรจะต้องมีมาตรการ เพื่อให้มั่นใจได้ว่ากระบวนการต่าง ๆ เหล่านั้น ได้รับการควบคุมเป็นอย่างดี รวมถึงจะต้องมีการกำหนดหน้าที่ และความรับผิดชอบที่ชัดเจน สำหรับกระบวนการที่ดำเนินการโดยหน่วยงานภายนอกด้วย

1. นโยบายระบบการจัดการด้านการรักษาความปลอดภัย

นโยบายระบบการจัดการด้านการรักษาความปลอดภัย จะเป็นข้อความที่แสดงถึงความมุ่งมั่นของผู้บริหารระดับสูงที่มีต่อการรักษาความปลอดภัย โดยจะแสดงถึงทิศทางและหลักการพื้นฐานในการปฏิบัติงานสำหรับองค์กร รวมถึง ยังใช้ในเป็นกรอบหรือแนวทางในการกำหนดวัตถุประสงค์ สำหรับการดูแลรักษาความปลอดภัยขององค์กรต่อไป

นโยบายระบบการจัดการด้านการรักษาความปลอดภัย จะถูกกำหนดและได้รับการอนุมัติโดยผู้บริหารระดับสูงขององค์กร โดยจะต้อง
1. มีความสอดคล้องกันกับนโยบายด้านอื่น ๆ ขององค์กร
2. ใช้เป็นกรอบสำหรับการกำหนดวัตถุประสงค์การรักษาความปลอดภัย รวมถึงเป้าหมาย และโปรแกรมการจัดทำระบบ
3. สอดคล้องกันกับภัยคุกคามที่มีต่อระบบการรักษาความปลอดภัยทั้งหมด และกรอบการบริหารความเสี่ยงขององค์กร

4. มีความเหมาะสมต่อภัยคุกคามที่มีต่อองค์กร รวมถึงสภาพและขนาดขององค์กร
5. มีการระบุวัตถุประสงค์การบริหารงานรักษาความปลอดภัยไว้อย่างครอบคลุม และชัดเจน
6. แสดงถึงความมุ่งมั่นในการปรับปรุงกระบวนการบริหารความปลอดภัยอย่างต่อเนื่อง เพื่อให้สามารถรองรับต่อแรงกดดันในการลดความเสี่ยงของเหตุร้ายที่จะเกิดขึ้น รวมถึงข้อกฎหมายต่าง ๆ ที่เกี่ยวข้อง

7. แสดงถึงความมุ่งมั่นในการดำเนินการ เพื่อให้สอดคล้องกับข้อกำหนดทางกฎหมาย ระเบียบข้อบังคับต่าง ๆ รวมถึงข้อกำหนดอื่น ๆ ที่องค์กรเป็นสมาชิกอยู่

10. ได้รับการสื่อสารไปยังพนักงานทั้งหมดที่เกี่ยวข้อง รวมถึงผู้รับจ้างช่วง และผู้มาเยี่ยมชม เพื่อให้พนักงานเกิดการรับรู้ ถึงหน้าที่ความรับผิดชอบในส่วนที่เกี่ยวข้องกับการบริหารความปลอดภัยในแต่ละบุคคล ทั้งนี้ พนักงานในทุกระดับ (รวมถึงระดับบริหาร) จะสามารถมีส่วนร่วมทำให้การบริหารงานรักษาความปลอดภัยเป็นไปอย่างมีประสิทธิผลได้ จะต้องมีความเข้าใจในนโยบายขององค์กร และหน้าที่ความรับผิดชอบ รวมถึงมีความสามารถในการปฏิบัติงานได้ตามภารกิจ

11. พร้อมสำหรับแสดงให้กับผู้มีส่วนได้ส่วนเสีย (ทั้งภายในและภายนอก) ที่มีส่วนเกี่ยวข้องหรือได้รับผลกระทบจากผลการปฏิบัติงานด้านการรักษาความปลอดภัยขององค์กร โดยระบบจะต้องมีแนวทางในการสื่อสารนโยบายให้กับกลุ่มคนเหล่านั้นได้รับทราบด้วย

12. จัดให้มีการทบทวนเป็นระยะ ๆ เพื่อให้มั่นใจถึงความเหมาะสมและทันสมัยอยู่เสมอ รวมถึงในกรณีที่มีการควบรวมหรือมีการเข้าครอบครองกิจการ หรือมีการเปลี่ยนแปลงในขอบเขตธุรกิจขององค์กร ซึ่งมีผลกระทบต่อความต่อเนื่อง และระบบการจัดการด้านการรักษาความปลอดภัย

2. การประเมินความเสี่ยงและการวางแผน

ในส่วนของการวางแผน และการประเมินความเสี่ยง จะประกอบด้วยกระบวนการย่อย ๆ
• การประเมินความเสี่ยงด้านการรักษาความปลอดภัย
• ข้อกำหนดทางกฎหมาย และระเบียบข้อบังคับต่าง ๆ
• วัตถุประสงค์ของระบบการจัดการด้านการรักษาความปลอดภัย
• เป้าหมายของระบบการจัดการด้านการรักษาความปลอดภัย
• โปรแกรมการจัดการด้านการรักษาความปลอดภัย

ในขั้นตอนแรกของการวางแผนระบบการจัดการ องค์กรจะต้องมีการกำหนดวิธีการปฏิบัติงาน ในการระบุ และประเมินภัยคุกคามในรูปแบบต่าง ๆ ที่มีต่อการรักษาความปลอดภัย และระบบการจัดการด้านการรักษาความปลอดภัยด้วย รวมถึงจะต้องมีการกำหนด และดำเนินการมาตรการที่จำเป็นเพื่อรองรับกับภัยคุกคาม และความเสี่ยงต่าง ๆ ด้วย

กระบวนการในการระบุภัยคุกคาม การประเมินความเสี่ยงและการบริหารความเสี่ยง จะแตกต่างกันไปในแต่ละอุตสาหกรรม ตั้งแต่เป็นการประเมินอย่างง่าย ๆ ไปจนถึงการวิเคราะห์เชิงปริมาณที่มีความซับซ้อน โดยแนวต่าง ๆ ที่จะนำมาใช้ จะต้องเป็นการดำเนินการในลักษณะของมาตรการเชิงก้าวหน้า (Proactive Measure) มากกว่าจะเป็นการตั้งรับ (Reactive Measure) ตัวอย่างเช่น มีการนำเสนอกิจกรรมหรือวิธีการปฏิบัติงานใหม่ ๆ หรือเป็นการปรับปรุงการทำงานให้ดีขึ้น

การประเมินภัยคุกคามและความเสี่ยง จะเป็นการพิจารณาถึงโอกาสในการเกิดขึ้นของเหตุการณ์ต่าง ๆ และผลกระทบที่จะตามมา ซึ่งประกอบด้วย

1. ภัยคุกคามและความเสี่ยงที่เป็นความเสียหายทางกายภาพ เช่น ความผิดพลาดในหน้าที่การใช้งาน ความเสียหายที่ไม่ได้ตั้งใจ ความเสียหายจากการประสงค์ร้าย หรือ การก่อการร้าย หรือ อาชญากรรม

2. ภัยคุกคาม และความเสี่ยงต่อการปฏิบัติงาน ประกอบด้วย การควบคุมการรักษาความปลอดภัย ปัจจัยมนุษย์ และกิจกรรมอื่น ๆ ที่มีผลกระทบต่อผลการดำเนินงาน สภาพการทำงาน และความปลอดภัย ขององค์กร

3. เหตุการณ์ที่เกิดจากสภาพแวดล้อมทางธรรมชาติ เช่น พายุ น้ำท่วม ซึ่งส่งผลให้มาตรการ และเครื่องมือในการรักษาความปลอดภัยไม่มีประสิทธิภาพ

4. ปัจจัยที่อยู่นอกเหนือการควบคุมขององค์กร เช่น ความเสียหายของเครื่องมือ และการบริการ ของผู้ส่งมอบภายนอกองค์กร
5. ภัยอันตรายและความเสี่ยงจากผู้มีส่วนได้เสีย เช่น ความผิดพลาดจากการตอบสนองต่อข้อกำหนดทางกฎหมาย หรือความเสียหายที่มีต่อชื่อเสียงหรือตราสินค้าขององค์กร 
6. การออกแบบและการติดตั้งอุปกรณ์รักษาความปลอดภัย รวมถึงการทดแทน และการบำรุงรักษา
7. ภัยอันตรายที่มีผลกับความต่อเนื่องในการปฏิบัติงาน

ทั้งนี้ ในการกำหนด และประเมินภัยคุกคามต่าง ๆ จะพิจารณาจากข้อมูลที่รวบรวมมาจากแหล่งต่าง ๆ อาทิ
• ข้อกำหนดทางกฎหมายเกี่ยวกับการรักษาความปลอดภัย และข้อกำหนดอื่น ๆ ที่เกี่ยวข้อง
• นโยบายของระบบการจัดการด้านการรักษาความปลอดภัย

• การสื่อสารจากพนักงานและผู้ที่เกี่ยวข้องอื่น ๆ
• ข้อมูลจากบริษัทที่ปรึกษาด้านการรักษาความปลอดภัย การทบทวนและการปรับปรุงในสถานที่ปฏิบัติงาน
• ข้อมูลเกี่ยวกับแนวปฏิบัติที่ดีที่สุด ความเสี่ยงในการรักษาความปลอดภัยที่เกี่ยวกับองค์กร เหตุร้ายและเหตุฉุกเฉินซึ่งเคยเกิดขึ้นในองค์กรที่มีลักษณะคล้าย ๆ กัน

• มาตรฐานของอุตสาหกรรม
• การแจ้งเตือนโดยหน่วยงานของรัฐ
• ข้อมูลเกี่ยวกับสถานที่ กระบวนการ และกิจกรรมขององค์กร ประกอบด้วย รายละเอียดของวิธีการควบคุมการเปลี่ยนแปลงคู่มือกระบวนการ และวิธีการปฏิบัติงาน ข้อมูลการรักษาความปลอดภัย และข้อมูลการเฝ้าติดตาม

นอกจากนั้น ในการระบุภัยคุกคาม การประเมินความเสี่ยง และการบริหารความเสี่ยง จะไม่ได้นำมาใช้เฉพาะในการปฏิบัติงานปกติเท่านั้น แต่จะครอบคลุมไปถึงการปฏิบัติงานที่เกิดขึ้นเป็นบางครั้งด้วย  รวมถึงความเสี่ยงที่เกิดจากกิจกรรมของผู้รับจ้างช่วง หรือผู้มาติดต่องาน รวมถึงจากการใช้ผลิตภัณฑ์หรือบริการที่ได้รับมาจากลูกค้าด้วย

องค์กรจะต้องมีการกำหนดวิธีการปฏิบัติงานในการระบุ และการเข้าถึง ข้อกำหนดทางกฎหมาย และข้อกำหนดอื่น ๆ ของหน่วยงานที่องค์กรเป็นสมาชิกอยู่ ในส่วนที่เกี่ยวข้องกับภัยคุกคามและความเสี่ยงที่มีต่อระบบการรักษาความปลอดภัย รวมถึงการกำหนดแนวทางในการนำข้อกฎหมาย และระเบียบข้อบังคับต่าง ๆ มาประยุกต์ใช้

ทั้งนี้ องค์กรจะต้องมีการจัดเก็บและดูแลข้อมูลสารสนเทศให้มีความทันสมัยอยู่เสมอ รวมถึงจะต้องมีการสื่อสารข้อมูลสารสนเทศที่เกี่ยวข้องกับข้อกฎหมาย และข้อกำหนดอื่น ๆ ไปยังพนักงาน และส่วนงานต่าง ๆ ที่เกี่ยวข้อง รวมถึงผู้รับจ้างช่วงให้รับทราบและเข้าใจอย่างทั่วถึงด้วย

ภายหลังจากที่องค์กรได้มีการกำหนดนโยบายของการจัดการด้านการรักษาความปลอดภัยห่วงโซ่อุปทาน ซึ่งจะใช้เป็นทิศทางในการดำเนินงานขององค์กรต่อไป ในขั้นตอนถัดไป องค์กรจะต้องมีการกำหนดวัตถุประสงค์ (Objectives) ของระบบการจัดการด้านการรักษาความปลอดภัยขึ้นมา โดยจะต้องมีการจัดทำเป็นเอกสารไว้อย่างชัดเจน และมีความสอดคล้องกันกับนโยบายที่กำหนดขึ้น ทั้งนี้ เมื่อจะทำการกำหนดวัตถุประสงค์ องค์กรจะต้องพิจารณาถึง

4. ข้อกำหนดทางด้านการเงิน การปฏิบัติงาน และธุรกิจ
5. มุมมองของผู้มีส่วนได้ส่วนเสียกับองค์กร

1. สอดคล้องกันกับความมุ่งมั่นขององค์กรที่มีต่อการปรับปรุงอย่างต่อเนื่อง
2. สามารถนับในเชิงปริมาณได้
3. ได้รับการสื่อสารไปยังพนักงานที่เกี่ยวข้องทั้งหมด รวมถึงผู้รับจ้างช่วง เพื่อให้ผู้ที่เกี่ยวข้องได้รับรู้ถึงภาระหน้าที่ และความรับผิดชอบ
4. ได้รับการทบทวนเป็นระยะ ๆ เพื่อให้มั่นใจว่ายังมีความเกี่ยวข้องและสอดคล้องกับนโยบายระบบการจัดการด้านการรักษาความปลอดภัย

นอกจากนั้น วัตถุประสงค์ระบบการจัดการด้านการรักษาความปลอดภัย จะนำมากำหนดให้เป็นเป็นเป้าหมาย (Target) ของระบบต่อไป ซึ่งขึ้นอยู่กับขนาดขององค์กร ความซับซ้อนของวัตถุประสงค์และกรอบระยะเวลา รวมถึงจะต้องมีการเชื่อมโยงระหว่างเป้าหมายในระดับต่าง ๆ และวัตถุประสงค์ของระบบด้วย ตัวอย่างของวัตถุประสงค์การรักษาความปลอดภัย เช่น

2.4 เป้าหมายของระบบการจัดการด้านการรักษาความปลอดภัย (Security management target)

เมื่อองค์กรได้ทำการกำหนดวัตถุประสงค์ของระบบการจัดการด้านการรักษาความปลอดภัยขององค์กรแล้ว องค์กรจะต้องมีการจัดทำเป้าหมาย (Target) ของระบบการจัดการด้านการรักษาความปลอดภัยเพื่อรองรับกับวัตถุประสงค์นั้น ๆ โดยจะต้องจัดทำไว้เป็นเอกสารอย่างชัดเจน และต้องสอดคล้องกันกับวัตถุประสงค์ของระบบที่ได้จัดทำไปแล้วด้วย ทั้งนี้เป้าหมายที่กำหนดขึ้นจะต้อง

1. มีรายละเอียดที่เหมาะสม ชัดเจน และเพียงพอ 
2. มีลักษณะเฉพาะ (Specific) ที่สามารถวัดได้ สามารถทำให้สำเร็จได้ มีความหมาย และมีกรอบระยะเวลาในการดำเนินการอย่างชัดเจน 
3. ได้รับการสื่อสารไปยังพนักงานที่เกี่ยวข้องทั้งหมด รวมถึงผู้รับจ้างช่วง เพื่อให้บุคลากรที่เกี่ยวข้องได้รับรู้ถึงภาระหน้าที่และความรับผิดชอบ
4. ได้รับการทบทวนเป็นระยะ ๆ ถึงความเกี่ยวข้อง และสอดคล้องกับวัตถุประสงค์ของระบบการจัดการ

ในการกำหนดเป้าหมาย จะพิจารณาข้อมูลจากแหล่งต่าง ๆ มาใช้ในการกำหนด จัดทำรายละเอียด และพิจารณาถึงลำดับความสำคัญของเป้าหมายต่าง ๆ ซึ่งข้อมูลต่าง ๆ ที่นำมาใช้ จะประกอบด้วย
• นโยบายและวัตถุประสงค์ที่เกี่ยวข้องกับธุรกิจโดยรวมขององค์กร
• นโยบายของระบบการจัดการด้านการรักษาความปลอดภัย รวมถึงความมุ่งมั่นต่อการปรับปรุงอย่างต่อเนื่อง
• ผลของการกำหนดภัยคุกคาม การประเมินความเสี่ยง และการบริหารความเสี่ยง

• ข้อกำหนดทางกฎหมาย และข้อกำหนดอื่น ๆ
• ทางเลือกต่าง ๆ ที่เกี่ยวกับเทคโนโลยี
• ข้อกำหนดทางด้านการเงิน การปฏิบัติงาน และธุรกิจ
• ข้อคิดเห็นจากพนักงานและผู้มีส่วนได้เสีย

• ข้อมูลจากพนักงาน การประเมิน และการปรับปรุงในสถานที่ปฏิบัติงาน
• การวิเคราะห์วัตถุประสงค์ของระบบการจัดการด้านการรักษาความปลอดภัย
• ข้อมูลในอดีตเกี่ยวกับเหตุร้าย และความผิดปกติในการรักษาความปลอดภัย
• ผลของการทบทวนโดยฝ่ายบริหาร

ทั้งนี้ จะมีการกำหนดดัชนีวัดที่เหมาะสมในแต่ละเป้าหมายการรักษาความปลอดภัย เพื่อใช้ในการติดตามผลการดำเนินงานตามวัตถุประสงค์ และเป้าหมายนั้น ๆ นอกจากนั้น เป้าหมายของระบบการจัดการด้านการรักษาความปลอดภัยจะมีการแบ่งออกมาเป็นเป้าหมายย่อย ๆ ขึ้นอยู่กับขนาดขององค์กร และความซับซ้อนของเป้าหมาย รวมถึงกรอบระยะเวลาในการดำเนินการ โดยจะต้องมีการแสดงให้เห็นการเชื่อมโยงกันอย่างชัดเจนระหว่างเป้าหมายในแต่ละระดับ กับเป้าหมายหลักของการรักษาความปลอดภัย

ตัวอย่างของการกำหนดเป้าหมายการรักษาความปลอดภัย ได้แก่
• การลดระดับความเสี่ยงในช่วงเวลาที่กำหนด
• การนำเสนอเทคโนโลยีใหม่ เพื่อลดความเสี่ยงหรือการขจัดผลกระทบจากภาวะอันตรายที่มีต่อการรักษาความปลอดภัย
• การปรับปรุงสาธารณูปโภค และกรอบระยะเวลา
• การขจัด หรือการลดลงของความถี่ในการเกิดเหตุร้าย

เมื่อได้มีการกำหนดทั้งนโยบาย วัตถุประสงค์ และเป้าหมายของระบบการจัดการด้านการรักษาความปลอดภัยของห่วงโซ่อุปทานแล้ว ขั้นตอนต่อมา จะเป็นการกำหนดรายละเอียดของการดำเนินการ เพื่อรองรับทั้งนโยบาย วัตถุประสงค์ และเป้าหมาย ให้ประสบความสำเร็จตามที่ได้กำหนดไว้ โดยองค์กรจะต้องมีการจัดทำโปรแกรมระบบการจัดการด้านการรักษาความปลอดภัยขึ้น เพื่อให้ประสบความสำเร็จตามวัตถุประสงค์ และเป้าหมายที่ได้กำหนดไว้

โปรแกรมระบบการจัดการ จะต้องมีการจัดทำเป็นเอกสาร และได้รับการสื่อสารให้เกิดความเข้าใจทั่วทั้งองค์กรด้วย โดยเนื้อหาในโปรแกรม จะต้องระบุถึง
1. อำนาจหน้าที่ และความรับผิดชอบในการดำเนินการ เพื่อให้ได้ตามวัตถุประสงค์ และเป้าหมาย
2. มาตรการดำเนินงาน และกรอบระยะเวลา

ทั้งนี้ โปรแกรมระบบการจัดการ จะต้องได้รับการทบทวนความก้าวหน้า และปัญหาในการดำเนินการเป็นระยะ ๆ เพื่อให้มั่นใจได้ถึงความมีประสิทธิผล และความสอดคล้องตามวัตถุประสงค์ และเป้าหมาย

ในการกำหนดโครงการที่จะดำเนินการ จะต้องมุ่งเน้นที่การบรรเทาภัยอันตรายที่เกิดขึ้น โดยใช้วิธีการและเทคโนโลยี รวมถึงประสบการณ์ จากส่วนงานต่าง ๆ รวมถึงจะต้องมีการกำหนดอำนาจหน้าที่ และความรับผิดชอบอย่างเหมาะสมในแต่ละภารกิจ รวมถึงช่วงเวลาในการดำเนินการในแต่ละภารกิจ และทรัพยากรอื่นๆ ที่จำเป็น เช่น งบประมาณ บุคลากร เครื่องมือ ระบบขนส่ง

ในกรณีที่มีการเปลี่ยนแปลงวิธีการปฏิบัติงาน กระบวนการ เครื่องมือเครื่องจักร หรือสิ่งอำนวยความสะดวกต่าง ๆ โครงการจะต้องมีการเตรียมความพร้อมสำหรับการระบุภัยคุกคาม รวมถึงการประเมินความเสี่ยงใหม่ ๆ ที่จะเกิดขึ้นด้วย

3. การนำไปปฏิบัติ

กระบวนการต่าง ๆ ในขั้นตอนของการนำไปปฏิบัติ จะประกอบด้วย
• การกำหนดโครงสร้าง อำนาจหน้าที่และความรับผิดชอบในการดำเนินการ
• ความสามารถ การฝึกอบรม และความตระหนัก
• การสื่อสาร
• ระบบเอกสาร และการควบคุมเอกสาร ข้อมูล
• การควบคุมการปฏิบัติงาน
• การเตรียมความพร้อมสำหรับเหตุฉุกเฉิน การตอบสนอง และการฟื้นฟู

องค์กรจะต้องมีการกำหนดอำนาจหน้าที่ และความรับผิดชอบของบุคลากรทั้งหมดที่มีส่วนเกี่ยวข้องกับระบบการจัดการด้านการรักษาความปลอดภัย รวมถึงมีคำอธิบายอย่างชัดเจนถึงความรับผิดชอบที่เกิดจากการเชื่อมโยงระหว่างหน้าที่งานที่แตกต่างกัน รวมถึงสอดคล้องกันกับนโยบาย วัตถุประสงค์ เป้าหมาย และโปรแกรมระบบการจัดการด้านการรักษาความปลอดภัย

• ผู้บริหารระดับสูง
• ผู้บริหารในสายงาน ในทุกระดับในองค์กร
• ผู้รับผิดชอบในการติดต่อผู้รับจ้างงานและผู้มาติดต่อ ที่เข้ามาติดต่อที่สถานที่ปฏิบัติงานและกับพนักงาน
• ผู้รับผิดชอบในการฝึกอบรมด้านการรักษาความปลอดภัย

• พนักงาน หรือผู้เชี่ยวชาญด้านการรักษาความปลอดภัย ในองค์กร
• ผู้แทนพนักงานด้านการรักษาความปลอดภัย

ทั้งนี้ เมื่อมีการกำหนดอย่างชัดเจนแล้ว จะต้องมีการสื่อสารและสร้างให้เกิดแนวความคิดว่า การรักษาความปลอดภัยเป็นความรับผิดชอบของทุกคนในองค์กร ไม่เฉพาะพนักงานที่ได้รับมอบหมายให้ทำงานเกี่ยวกับระบบการจัดการด้านการรักษาความปลอดภัยเท่านั้น โดยในส่วนของผู้บริหารระดับสูง จะต้องแสดงถึงความมุ่งมั่นในการจัดทำ และดำเนินการระบบ รวมถึงปรับปรุงความมีประสิทธิผลของระบบอย่างต่อเนื่อง โดยการ

1. กำหนดให้มีผู้แทนฝ่ายบริหาร ที่มาจากสมาชิกของผู้บริหารระดับสูง รับผิดชอบในการออกแบบ ดูแลรักษา จัดทำเอกสาร และปรับปรุงความมีประสิทธิผลของระบบการจัดการ
2. กำหนด และเฝ้าติดตาม ข้อกำหนดรวมถึงความคาดหวังของผู้มีส่วนได้ส่วนเสียกับองค์กร และดำเนินการตามความเหมาะสม และทันเวลา ในการจัดการกับความคาดหวังนั้น ๆ

3. ดูแลให้มีทรัพยากรอย่างเพียงพอ และพร้อมใช้งาน
4. พิจารณาถึงผลกระทบในทางลบของนโยบาย วัตถุประสงค์ เป้าหมาย และโปรแกรมระบบการจัดการด้านการรักษาความปลอดภัย ที่มีต่อด้านอื่น ๆ ขององค์กร

5. ดูแลให้มั่นใจว่าโปรแกรมการรักษาความปลอดภัย ได้พัฒนาขึ้นในส่วนอื่น ๆ ขององค์กรด้วย เพื่อให้เกิดความสมบูรณ์กับระบบการจัดการด้านการรักษาความปลอดภัย
6. สื่อสารทั่วทั้งองค์กร ถึงความสำคัญในการตอบสนองต่อข้อกำหนดการจัดการระบบ เพื่อให้สอดคล้องกับนโยบาย
7. ดูแลให้มั่นใจว่าภัยคุกคาม และความเสี่ยงที่เกี่ยวกับความปลอดภัย ได้รับการประเมิน และจัดการ
8. ดูแลให้มั่นใจได้ถึงความเหมาะสมของวัตถุประสงค์ เป้าหมาย และโปรแกรมระบบการจัดการ

9. ผู้แทนฝ่ายบริหารระบบการจัดการด้านการรักษาความปลอดภัยที่แต่งตั้งขึ้นมา จะมีอำนาจหน้าที่และความรับผิดชอบในการดูแลให้มั่นใจว่าระบบการจัดการด้านการรักษาความปลอดภัยได้รับการนำไปปฏิบัติ และจัดทำเป็นเอกสารไว้อย่างชัดเจน รวมถึงจะต้องได้รับการสนับสนุนเป็นอย่างดีจากบุคลากรต่าง ๆ ด้วย ทั้งนี้ผู้แทนบริหารจะต้องได้รับการแจ้งให้ทราบอย่างสม่ำเสมอถึงผลการดำเนินงานของระบบ และจัดให้มีการทบทวนและกำหนดวัตถุประสงค์ของระบบการจัดการ

นอกจากนั้น องค์กรยังต้องมีการกำหนดหน้าที่ความรับผิดชอบของผู้บริหารในสายงาน (Line Manager) ซึ่งต้องครอบคลุมถึงการจัดการความเสี่ยงที่มีอยู่ในหน่วยงานของตนเองด้วย โดยจะต้องมีการกำหนดไว้อย่างเหมาะสม ชัดเจน ไม่คลุมเครือ ทั้งนี้ อำนาจหน้าที่และความรับผิดชอบในระบบการจัดการด้านการรักษาความปลอดภัย จะต้องมีการจัดทำเป็นเอกสาร ในรูปแบบที่เหมาะสมกับองค์กร เช่น คู่มือระบบบริหารงานรักษาความปลอดภัย วิธีการปฏิบัติงาน และคำอธิบายภารกิจ คำอธิบายงาน หรือชุดการฝึกอบรมภายในองค์กร

องค์กรจะต้องมั่นใจได้ว่าบุคลากรที่รับผิดชอบในการออกแบบ ปฏิบัติงาน และจัดการอุปกรณ์ และกระบวนการด้านการรักษาความปลอดภัย มีคุณสมบัติที่เหมาะสมทั้งในส่วนของการศึกษา การฝึกอบรมและประสบการณ์ โดยจะต้องมีการวิธีการปฏิบัติงาน เพื่อให้บุคคลากรที่ปฏิบัติงานมีความตระหนักถึง

1. ความสำคัญของการดำเนินการให้สอดคล้องกับนโยบาย และระเบียบการปฏิบัติงานของระบบการจัดการด้านการรักษาความปลอดภัย และข้อกำหนดต่าง  ของระบบ
2. บทบาทและความรับผิดชอบในการดำเนินการให้สอดคล้องกับนโยบาย และระเบียบปฏิบัติงานและข้อกำหนดของระบบ รวมถึงข้อกำหนดในการเตรียมความพร้อมและการตอบสนองต่อเหตุฉุกเฉิน
3. ผลกระทบที่อาจจะเกิดขึ้นกับความปลอดภัยขององค์กรจากการปฏิบัติงาน

ในส่วนของความสามารถของบุคลากร องค์กรจะต้องทำการ

• กำหนดระดับความสามารถของบุคลากรที่จำเป็น สำหรับระบบการจัดการด้านการรักษาความปลอดภัยในแต่ละระดับงานและหน้าที่งานภายในองค์กร
• ระบุ และลดช่องว่างระหว่างระดับที่มีอยู่ในปัจจุบันในแต่ละบุคคล กับระดับของความสามารถที่กำหนดไว้
• จัดให้มีการฝึกอบรมตามความจำเป็น ในช่วงเวลาที่เหมาะสม
• ประเมินความมีประสิทธิผลของการฝึกอบรมในแต่ละคน เพื่อให้แน่ใจว่ามีความสามารถ และความรู้ตามที่ต้องการ
• ดูแลรักษาบันทึกการฝึกอบรมและความสามารถของแต่ละคน

• ความตระหนักถึงความเสี่ยง และภัยคุกคามต่อการรักษาความปลอดภัย
• ความเข้าใจในการเตรียมการรักษาความปลอดภัยขององค์กร และบทบาทหน้าทีความรับผิดชอบของแต่ละคน
• โครงการในการฝึกอบรมเมื่อเข้างานและการฝึกอบรมต่อเนื่องสำหรับพนักงาน รวมถึงเมื่อมีการโยกย้ายระหว่างหน่วยงาน สถานที่ ตำแหน่งงาน หรือภารกิจภายในองค์กร

• การฝึกอบรมเกี่ยวกับการเตรียมการด้านการรักษาความปลอดภัย และความเสี่ยง การป้องกันเบื้องต้น โดยจะต้องมีการฝึกอบรมก่อนที่จะมีการเริ่มปฏิบัติงาน
• การฝึกอบรมในการระบุความเสี่ยง การประเมินและการควบคุมความเสี่ยง
• การฝึกอบรมในและนอกสถานที่ สำหรับพนักงานเป็นการเฉพาะเกี่ยวกับบทบาทระบบการรักษาความปลอดภัย

• การฝึกอบรมให้กับผู้ที่ต้องบริหารพนักงาน ดูแลผู้รับจ้างช่วง และอื่น ๆ (พนักงานจ้างชั่วคราว) ถึงความรับผิดชอบด้านการรักษาความปลอดภัย เพื่อให้แน่ใจว่าทั้งหมดมีความเข้าใจในภาวะอันตรายและความเสี่ยงในการปฏิบัติงานในส่วนที่เกี่ยวข้อง นอกจากนั้นต้องแน่ใจว่าบุคลากรมีความสามารถเพียงพอในการปฏิบัติหน้าที่อย่างปลอดภัย ตามวิธีการปฏิบัติงานด้านการรักษาความปลอดภัย

นอกจากนั้น โปรแกรมการฝึกอบรม และการสร้างความตระหนัก ยังครอบคลุมถึงผู้รับจ้างช่วง พนักงานจ้างชั่วคราว และผู้มาติดต่องาน ตามระดับของความเสี่ยงที่แต่ละคนมีโอกาสพบ

3.3 การสื่อสาร

องค์กรจะต้องจัดให้มีกระบวนการสื่อสาร และการให้คำแนะนำ เพื่อส่งเสริมให้เกิดการมีส่วนร่วมในการปฏิบัติงานในการรักษาความปลอดภัยที่ดี และสนับสนุนต่อนโยบายและวัตถุประสงค์ของระบบการจัดการด้านการรักษาความปลอดภัย โดยข้อมูลที่เกี่ยวกับการจัดการด้านการรักษาความปลอดภัย จะถูกสื่อสารไปยังพนักงานที่เกี่ยวข้อง  

รวมถึงผู้รับจ้างช่วง ผู้มาติดต่องาน และผู้มีส่วนได้ส่วนเสียอื่น ๆ อย่างทั่วถึง ทั้งนี้ จะต้องมีความระมัดระวังในการเผยแพร่ข้อมูล โดยเฉพาะข้อมูลที่เกี่ยวกับความปลอดภัย อันเนื่องจากความอ่อนไหวของข้อมูลด้วย

• การให้คำแนะนำในการจัดทำและการทบทวนนโยบาย วัตถุประสงค์ รวมถึงการตัดสินใจในการดำเนินการของกระบวนการ และวิธีการปฏิบัติงานในการจัดการความเสี่ยง รวมถึงการประเมิน และการควบคุมความเสี่ยง

• การให้คำแนะนำถึงการเปลี่ยนแปลงที่มีผลต่อการรักษาความปลอดภัย เช่น การนำอุปกรณ์ใหม่มาใช้งานหรือมีการเปลี่ยนแปลง สิ่งอำนวยความสะดวก เทคโนโลยี กระบวนการ วิธีการปฏิบัติงาน และรูปแบบการทำงาน
ทั้งนี้ รูปแบบของการสื่อสาร และการให้คำแนะนำที่สามารถเกิดขึ้นได้ ประกอบด้วย

• การให้ความเห็นของฝ่ายบริหาร และพนักงานผ่านคณะกรรมการด้านการรักษาความปลอดภัย
• การมีส่วนร่วมของพนักงานในการระบุ การประเมินและการจัดการความเสี่ยง
• การเปิดโอกาสให้พนักงานแสดงความคิดเห็น ทบทวนและปรับปรุงงานด้านการรักษาความปลอดภัยในสถานที่ปฏิบัติงาน และแจ้งข้อมูลกลับไปยังฝ่ายบริหาร

• ผู้แทนพนักงานด้านการรักษาความปลอดภัย ที่มีการกำหนดบทบาทและกลไกการสื่อสารกับฝ่ายบริหาร รวมถึง การมีส่วนร่วมในการสืบสวนถึงเหตุร้าย และอุบัติเหตุที่เกิดขึ้น รวมถึงการตรวจสอบงานรักษาความปลอดภัย
• การสรุปสาระสำคัญของงานรักษาความปลอดภัยให้กับพนักงาน และผู้ที่มีส่วนเกี่ยวข้อง เช่น ผู้รับจ้างช่วง และผู้มาติดต่อ

• บอร์ดแสดงข้อมูลเกี่ยวกับการรักษาความปลอดภัย
• จดหมายข่าวงานรักษาความปลอดภัย
• โครงการสงเสริมงานด้านการรักษาความปลอดภัย
• แนวทางอื่น ๆ เพื่อให้เกิดการแลกเปลี่ยนข้อมูล และการรายงานด้านการรักษาความปลอดภัยให้กับผู้ที่เกี่ยวข้องต่าง ๆ ที่อยู่ในห่วงโซ่อุปทาน

3.4 ระบบเอกสาร

1. นโยบาย วัตถุประสงค์ และเป้าหมายระบบการจัดการด้านการรักษาความปลอดภัย
2. คำอธิบายขอบเขตของระบบการจัดการด้านการรักษาความปลอดภัย 
3. คำอธิบายถึงองค์ประกอบหลักของระบบ และความสัมพันธ์ระหว่างองค์ประกอบต่าง ๆ รวมถึงการอ้างอิงถึงเอกสารอื่น ๆ ที่เกี่ยวข้อง
4. เอกสารต่าง ๆ รวมถึงบันทึก ที่กำหนดโดยข้อกำหนดต่าง ๆ ในมาตรฐานนี้
5. เอกสารที่กำหนดขึ้นโดยองค์กรเห็นว่ามีความจำเป็น เพื่อให้มั่นใจได้ถึงความมีประสิทธิผลของการวางแผน การปฏิบัติงาน และการควบคุมกระบวนการที่เกี่ยวกับภัยคุกคาม และความเสี่ยงต่อความปลอดภัยที่สำคัญ

ทั้งนี้ จะต้องมีการพิจารณาถึงความอ่อนไหวที่มีต่อความปลอดภัยของข้อมูล และจะต้องมีการป้องกันการเข้าถึงข้อมูลเหล่านั้นโดยไม่ได้รับอนุญาตด้วย 

เอกสาร และข้อมูลต่าง ๆ ในระบบการจัดการด้านการรักษาความปลอดภัย จะต้องได้รับการควบคุม โดยจะต้องมีการกำหนดวิธีการปฏิบัติงานในการควบคุมเอกสารทั้งหมด รวมถึงข้อมูล และสารสนเทศ เพื่อให้มั่นใจได้ว่า

1. เอกสาร ข้อมูล และสารสนเทศ สามารถเข้าถึงได้โดยบุคลากรที่ได้รับอนุญาต
2. เอกสาร ข้อมูล และสารสนเทศ ได้รับการทบทวนเป็นระยะ ๆ หรือเปลี่ยนแปลงตามความจำเป็น และได้รับการอนุมัติถึงความเพียงพอ โดยบุคลากรที่มีอำนาจในการอนุมัต

3. เอกสารฉบับปัจจุบัน รวมถึงข้อมูล และสารสนเทศ มีพร้อมในทุก ๆ จุดที่จำเป็นสำหรับการปฏิบัติงาน เพื่อให้เกิดการทำงานอย่างมีประสิทธิผล

4. เอกสาร ข้อมูล และสารสนเทศ ที่ยกเลิกการใช้งานแล้ว จะต้องนำออกจากพื้นที่ใช้งานโดยทันที หรือมีการป้องกันการนำไปใช้งานโดยไม่ตั้งใจ

5. เอกสาร ข้อมูล และสารสนเทศที่สำคัญ ได้มีการจัดเก็บตามข้อกฎหมาย หรือเพื่อวัตถุประสงค์ในการจัดเก็บสำหรับการสร้างฐานความรู้ในองค์กร

6. เอกสาร ข้อมูล และสารสนเทศ จะต้องได้รับการรักษาความปลอดภัย โดยเฉพาะในกรณีรูปแบบอิเลคทรอนิคส์ จะต้องมีการจัดทำระบบสำรอง และสามารถเรียกมาใช้งานได้ตามต้องการ 

นอกจากนั้น เอกสารวิธีการปฏิบัติงานจะต้องกำหนดแนวทางสำหรับการชี้บ่ง การอนุมัติ การออกเอกสาร การเข้าถึง และการยกเลิกเอกสารเกี่ยวกับการรักษาความปลอดภัย รวมถึงการควบคุมข้อมูลเกี่ยวกับการรักษาความปลอดภัยด้วย ทั้งนี้ เอกสารและข้อมูลจะต้องพร้อมเสมอและสามารถเข้าถึงได้ โดยบุคลากรที่ได้รับอนุญาตเมื่อมีความต้องการ ทั้งในการทำงานปกติ และไม่ปกติ รวมถึงเมื่อเกิดเหตุฉุกเฉินเกิดขึ้น

3.6 การควบคุมการปฏิบัติงาน
ในการควบคุมการปฏิบัติงานด้านการรักษาความปลอดภัย องค์กรจะต้องกำหนดแนวทางในการปฏิบัติงาน และกิจกรรมที่จำเป็น เพื่อให้เป็นไปตาม

1. นโยบายด้านการรักษาความปลอดภัย รวมถึงวัตถุประสงค์ เป้าหมาย และโปรแกรม
2. การควบคุมภัยคุกคาม และความเสี่ยงที่ได้ระบุไว้
3. ข้อกฎหมาย ระเบียบปฏิบัติ และข้อกำหนดด้านความปลอดภัยอื่น ๆ
4. ระดับความปลอดภัยของห่วงโซ่อุปทานที่ต้องการ

ทั้งนี้ องค์กรจะต้องมั่นใจว่า การปฏิบัติงานและกิจกรรมต่าง ๆ จะถูกดำเนินการภายใต้สภาวะที่กำหนด ประกอบด้วย

1. การจัดทำ การนำไปปฏิบัติ และการดูแลรักษา เอกสารวิธีการปฏิบัติงานในการควบคุมสถานการณ์ ในกรณีที่มีการขาดแคลนเกิดขึ้น ซึ่งอาจส่งผลกระทบให้เกิดความล้มเหลวในความสำเร็จของการปฏิบัติงาน และกิจกรรมตามที่ระบุไว้

2. การประเมินภัยคุกคาม ที่กำหนดขึ้นจากกิจกรรมห่วงโซ่อุปทานต้นน้ำ (Upstream Supply Chain) และทำการควบคุมเพื่อบรรเทาผลกระทบที่มีต่อองค์กร รวมถึงผู้ปฏิบัติงานในห่วงโซ่อุปทานปลายน้ำ (Downstream Supply Chain)

3. การจัดทำ และการดูแลรักษา ข้อกำหนดสำหรับสินค้า และบริการ ซึ่งมีผลกระทบต่อความปลอดภัย และการสื่อสารไปยังผู้ส่งมอบ รวมถึงผู้รับจ้างช่วง

วิธีการปฏิบัติงาน จะรวมไปถึงการควบคุมสำหรับการออกแบบ การติดตั้ง การปฏิบัติงาน การการตกแต่งใหม่ และการปรับแต่ง ในส่วนของเครื่องมือ หรืออุปกรณ์ที่เกี่ยวกับความปลอดภัย เมื่อมีการปรับเปลี่ยนการจัดเตรียม หรือมีการจัดเตรียมใหม่เกิดขึ้น ซึ่งมีผลกระทบต่อการปฏิบัติงาน และกิจกรรมในการจัดการด้านการรักษาความปลอดภัย องค์กรจะต้องพิจารณาถึงภัยอันตรายและความเสี่ยงต่อความปลอดภัย ก่อนที่จะมีการนำไปปฏิบัติ การจัดเตรียมใหม่ หรือที่มีการทบทวน โดยจะต้องพิจารณาไปถึง

1. การปรับเปลี่ยนโครงสร้างองค์กร บทบาท และหน้าที่ความรับผิดชอบ
2. การปรับเปลี่ยนนโยบาย วัตถุประสงค์ เป้าหมาย และโปรแกรมการจัดการด้านการรักษาความปลอดภัย
3. การปรับเปลี่ยนกระบวนการ และวิธีการปฏิบัติงาน
4. การนำเสนอโครงสร้างพื้นฐาน เครื่องมือในการรักษาความปลอดภัย หรือเทคโนโลยีใหม่ ๆ ซึ่งรวมทั้งฮาร์ดแวร์ และซอฟท์แวร์
5. การนำเสนอผู้รับจ้างช่วง ผู้ส่งมอบหรือบุคลากรใหม่ ๆ

องค์กรจะต้องกำหนดวิธีการปฏิบัติงานในการควบคุมความเสี่ยงที่ระบุขึ้น (รวมถึงที่อาจจะมาจากผู้รับจ้างช่วง หรือผู้มีส่วนเกี่ยวข้องอื่น ๆ ในห่วงโซ่อุปทาน) ซึ่งความบกพร่องที่เกิดขึ้น อาจจะนำไปสู่เหตุร้าย เหตุฉุกเฉิน หรือความผันแปรอื่น ๆ จากนโยบายและวัตถุประสงค์การรักษาความปลอดภัย โดยจะต้องมีการดำเนินการตามวิธีการปฏิบัติงานในการจัดการความเสี่ยง และจะต้องได้รับการทบทวนถึงความเหมาะสมและความมีประสิทธิผลและการเปลี่ยนแปลงเมื่อมีความจำเป็น 

วิธีการปฏิบัติจะต้องครอบคลุมไปถึงความเสี่ยงที่มีต่อลูกค้าหรือบุคคลภายนอกองค์กร สถานที่ หรือในส่วนอื่น ๆ ของห่วงโซ่อุปทาน ตัวอย่างเช่น พนักงานขององค์กรไปปฏิบัติงานที่พื้นที่ของลูกค้า บางครั้งจำเป็นที่จะต้องได้รับการแนะนำจากหน่วยงานภายนอกถึงการรักษาความปลอดภัยในขณะนั้นด้วย

องค์กรจะต้องมีการจัดทำ นำไปปฏิบัติ และดูแลรักษา แผนงานและวิธีการปฏิบัติงาน ในการระบุโอกาสในการเกิดขึ้น และการตอบสนองต่อความไม่ต่อเนื่องทางด้านความปลอดภัย (Security Incident) และสถานการณ์เหตุฉุกเฉิน รวมถึงเพื่อการป้องกันและการบรรเทาผลกระทบที่จะเกิดขึ้น แผนงานและวิธีการปฏิบัติงานจะรวมถึงข้อมูลที่ต้องจัดเตรียมและดูแลรักษา เครื่องมือ สิ่งอำนวยความสะดวก และบริการต่าง ๆ ที่จำเป็นทั้งในระหว่าง และภายหลังเกิดความไม่ต่อเนื่อง หรือสถานการณ์ฉุกเฉิน (Emergency Situations)  

องค์กรจะต้องมีการประเมินถึงเหตุร้ายที่อาจจะเกิดขึ้น และการตอบสนองที่จำเป็นสำหรับทุกเหตุการณ์ด้านการรักษาความปลอดภัยทั้งหมด ผ่านการระบุภัยคุกคามและกระบวนการประเมินความเสี่ยง รวมถึงมีการจัดทำแผนการตอบสนองและกระบวนการต่าง ๆ การทดสอบแผนการตอบสนอง และหาแนวทางในการปรับปรุงการตอบสนองอย่างมีประสิทธิผล

การตอบสนองต่อเหตุฉุกเฉิน และแผนการฟื้นฟูระบบรักษาความปลอดภัย จะต้องระบุแนวปฏิบัติเมื่อเกิดเหตุการณ์ขึ้น ประกอบด้วย
• การระบุเหตุร้ายและเหตุฉุกเฉินที่อาจจะเกิดขึ้น
• การระบุบุคคลที่มีหน้าที่จัดการสถานการณ์ฉุกเฉิน

• รายละเอียดของการดำเนินการโดยบุคคลในระหว่างเกิดเหตุฉุกเฉิน รวมถึงที่จะต้องดำเนินการโดยบุคคลภายนอก ซึ่งปฏิบัติ ณ สถานที่เกิดเหตุฉุกเฉิน เช่น ผู้รับจ้างช่วง หรือผู้มาติดต่อ
• อำนาจหน้าที่และความรับผิดชอบของบุคลากรในขณะเกิดเหตุฉุกเฉิน (พนักงานผจญเพลิง พนักงานช่วยเหลือเบื้องต้น ผู้เชี่ยวชาญในการควบคุมการรั่วไหลของสารพิษ หรือรังสี)
• วิธีการปฏิบัติงานในการอพยพ

• วิธีการปฏิบัติงานที่อธิบายถึงแนวทางในการวัดการรักษาความปลอดภัย และการรักษาสภาพการทำงาน
• การระบุ สถานที่ และการดูแลวัสดุในการรักษาความปลอดภัย รวมถึงบันทึก ข้อมูล และอุปกรณ์
• การติดต่อกับหน่วยกู้ภัย หรือหน่วยบริการฉุกเฉิน
• การสื่อสารกับผู้มีส่วนได้เสีย

• ความพร้อมของข้อมูลที่จำเป็นในขณะเกิดเหตุฉุกเฉิน เช่น ผังโรงงาน ข้อมูลการรักษาความปลอดภัย วิธีการปฏิบัติงาน คู่มือการทำงาน และเบอร์โทรศัพท์ที่ต้องติดต่อ
• การติดต่อสื่อสารกับหุ้นส่วนทางการค้าและทางธุรกิจในห่วงโว่อุปทานอื่น ๆ
• การสมบูรณ์ของระบบสื่อสาร

การมีส่วนร่วมของหน่วยงานภายนอกต่าง ๆ ในการวางแผนและการตอบสนองต่อเหตุฉุกเฉินจะต้องมีการจัดทำเป็นเอกสารอย่างชัดเจน หน่วยงานดังกล่าวจะต้องได้รับการแจ้งให้ทราบถึงสถานการณ์ที่อาจจะเกิดขึ้น และจัดเตรียมข้อมูลตามที่ต้องการ เพื่ออำนวยความสะดวกในการดำเนินการ

จะต้องมีการระบุอุปกรณ์สำหรับการรักษาความปลอดภัยที่จำเป็น และจัดเตรียมไว้อย่างเพียงพอ รวมถึงจะต้องได้รับการทดสอบตามช่วงเวลาที่กำหนด เพื่อให้สามารถใช้งานได้อย่างต่อเนื่อง

องค์กรจะต้องจัดให้มีการฝึกซ้อมการรักษาความปลอดภัยจากเหตุการณ์ต่าง ๆ สอดคล้องกับตารางเวลาที่มีการกำหนดล่วงหน้า โดยในบางกรณีอาจจะต้องให้หน่วยงานให้บริการด้านการรักษาความปลอดภัยจากภายนอกเข้ามามีส่วนร่วมในการฝึกซ้อมด้วย

องค์กรจะต้องมีการทบทวนเป็นระยะ ๆ ถึงความมีประสิทธิผลของการเตรียมการสำหรับเหตุฉุกเฉิน การตอบสนอง และแผนงานและวิธีการปฏิบัติงานในการฟื้นฟูการรักษาความปลอดภัย โดยเฉพาะภายหลังการเกิดขึ้นของความไม่ต่อเนื่องหรือสถานการณ์ฉุกเฉิน ซึ่งเกิดขึ้นจากภัยอันตรายที่มีต่อการรักษาความปลอดภัย