1、ICS CCS13.310A 90中 华 人 民 共 和 国 国 家 标 准GB/T 427652023保安服务管理体系 要求及使用指南Management system for security operationRequirements with guidance for use(ISO 18788:2015,Management system for private security operations-Requirements with guidance for use,MOD)2023-11-27发布2024-06-01 实施国家市场监督管理总局 国家标准化管理委员会GB/T 42
2、7652023目 次前言 1 范围 12 规范性引用文件 13 术语和定义 14 组织环境 104.1 理解组织及其环境 104.2 理解利益相关方的需求与期望 114.3 确定保安服务管理体系的范围 114.4 保安服务管理体系 125 领导作用125.1 领导作用与承诺 125.2 方针 135.3 组织岗位、职责和权限 136 策划 136.1 应对风险和机遇的措施 136.2 保安服务目标及实现策划 157 支持 167.1 资源 167.2 能力 177.3 意识 187.4 沟通 187.5 成文信息 198 运行 218.1 运行的策划和控制 218.2 建立行为规范和道德准则
3、248.3 防卫装备使用258.4 关键资源 268.5 职业健康与安全 278.6 事件管理 278.7 保安服务质量检查 289 绩效评价 289.1 监视、测量、分析和评价 289.2 内部审核 29IGB/T 4276520239.3 管理评审 3010 改进 3110.1 不合格和纠正措施 3110.2 持续改进 31附 录A (资料性) 本文件与ISO 18788:2015相比的结构变化情况 33附 录B (资料性) 本文件与ISO 18788:2015的技术差异及其原因 35附 录C (资料性) 本文件使用指南 37附 录D (资料性) 总则 71附录E (资料性) 差距分析 7
4、4附录F (资料性) 管理的系统方法 75附录G (资料性) 资质认证与适用性 77参考文献 78GB/T 427652023前 言本文件按照GB/T 1.12020标准化工作导则 第1部分;标准化文件的结构和起草规则的规定 起草,本文件修改采用 ISO 18788:2015民营安保业务管理体系要求及实施指南。本文件与ISO 18788;2015 相比,在结构上有较多调整。两个文件之间的结构编号变化对照一览表 见附录A。本文件与ISO 18788:2015相比,存在较多技术差异,在所涉及的条款的外侧页边空白位置用垂直 单线(1)进行了标示。这些技术差异及其原因一览表见附录 B。本文件做了下列编
5、辑性改动:标准名称调整为保安服务管理体系 要求及使用指南;在提及国际、区域法律时,更改为法律法规。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国公共安全基础标准化技术委员会(SAC/TC 351)提出并归口。本文件起草单位;公安部治安管理局、江苏省质量和标准化研究院、中国标准化研究院、中国保安协 会、山东华威保安集团股份有限公司、华信中安(北京)保安服务有限公司、北京华远润泽国际认证有限 公司、方圆标志认证集团江苏有限公司、苏州市东吴物业管理有限公司、江苏省保安协会、北京市科学技 术研究院、同方威视技术股份有限公司、南京现代服务业联合会、中国物资储运协会
6、、江苏华远企业管理 咨询有限公司,本文件主要起草人:顾岩、杨华书、吴笑颜、管旭琳、刘珏、秦挺鑫、王皖、杨中河、吴杰、柳庆、胡永明、 曹惠华、刘立生、郭立志、许磊、王峰、朱伟、毛朔南、李军、姜茂伟、保蕊、朱敬云、杜舒雅、刘守道、张承样、 王建峰、张华、孔谨慎、刘谨谨、唐庆华、王亚飞、许歆宜。GB/T 427652023保安服务管理体系要求及使用指南1 范围本文件确立了建立、实施、保持和持续改进保安服务管理体系的原则、要求以及使用指南,为开展保 安服务提供风险管理的框架。本文件适用于有如下需求的从事保安业务的组织:a) 建立、实施、保持并持续改进保安服务管理体系;b) 评估保安服务与其管理方针的一
7、致性;c) 证实稳定满足客户需求的能力。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。GB/T190002016 质量管理体系 基础和术语(ISO 9000:2015,IDT)GB/T 236942013 风险管理 术语(ISO Guide 73;2009,IDT)3 术语和定义GB/T 236942013、GB/T 190002016 界定的以及下列术语和定义适用于本文件。3.1资产 asset组织(3.33)中具有有形或无形价值的任
8、何事物。注1:有形资产包括人(在本文件中予以重点阐述)、实物和环境资产。注2:无形资产包括信息、品牌和信誉,3.2审核 audit为获得客观证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形 成文件的过程(3.42)。注1;审核可以是内部审核(第一方)或外部审核(第二方或第三方),也可以是多体系审核(包括两个或两个以上专 业 ) 。注2:组织(3.33)自身可进行内部审核,或由一个外部实体代表其进行内部审核。注3:“证据”与“准则”的定义见 GB/T190002016。来源:GB/T 190002016,3.13.13.3审核员 auditor实施审核(3.2)的人员
9、。来源:GB/T 19011-2021,3.151GB/T 4276520233.4客户 client雇用、曾经雇用或计划雇用一个组织(3.33)来代表其进行保安服务(3.61)的实体或个人,根据具体 情况,可包括该组织与另一公司或其他单位分包的情况。示例:用户,承包商,最终用户、零售商、受益人,买方。注:客户可以是组织的内部(如,其他部门)或外部客户。3.5能力 competence应用知识和技能实现预期结果的本领。3.6沟通和咨询 communication and consultation组织(3.33)管理风险(3.49)时,提供信息、共享信息、获取信息以及与利益相关方(3.23)及其
10、他各 方,展开对话的持续、往复的过程(3,42)。注1,信息可能涉及风险和保安服务管理的存在、性质、形式、可能性(3.26)、严重性、评价、可接受性和应对或其他 等方面。注2:咨询是组织与其利益相关者及其他方在针对某一问题做出决策或确定方向前,针对该问题进行的双向沟通 过程。咨询是: 通过影响力而不是通过权力来影响决策的过程; 对决策的输入,而非参与决策。来源:GB/T 236942013,4.2.1,有修改3.7社会群体 community拥有共同利益的相关组织(3.33)、个人和群体。3.8合格 conformity满足要求(3,44)。3.9持续改进 continual improvem
11、ent提高绩效(3.35)的循环活动。3.10后果 consequence某事件(3.19)对目标影响的结果。注1:一个事件可导致一系列后果。注2:后果可以是确定的,也可以是不确定的,对目标的影响可以是正面的,也可以是负面的。 注3:后果可以定性或定量表述。注4;一个事件引发一连串事件时,最初的后果可能通过累积效应升级。注5;后果按影响的等级或严重程度进行分级。来源:GB/T236942013,4,6,1,3, 有修改3.11纠正 correction为消除已发现的不合格(3.31)所采取的措施。3.12纠正措施 corrective action为消除不合格(3.31)的原因并防止再发生所采
12、取的措施。2GB/T 4276520233.13危害性分析 criticality analysis基于组织的任务或职责的重要性,及风险(3.49)人群、非预期事件(3.73)或干扰性事件(3.15)对组 织实现预期的影响性,系统识别和评估组织(3.33)资产(3,1)的过程。3.14关键控制点 critical control point;CCP能够施加控制,且使威胁或危险得到预防、消除或降至可接受水平的点、步骤或过程(3.42)。 3.15干扰性事件 disruptive event使所规划的活动,业务或功能中断的事件或变化,无论是可预见的或不可预见的。3.16成文信息 documente
13、d information组织(3,33)需要控制和保持的信息及其载体,注1:成文信息可以任何格式和载体存在,并可来自任何来源。注2:成文信息可涉及:管理体系(3.28),包括相关过程(3.42);为组织运行产生的信息(一组文件);结果实现的证据记录(3.43).3.17有效性 effectiveness完成策划的活动并得到策划结果的程度。3.18演练 exercises用以评估保安服务管理(3.62)方案,排练团队成员和人员角色,测试组织(3.33)系统(如技术、报告 规程、管理等)以证明保安业务管理能力(3.5)的活动。注:演练包括培训和调节组织工作人员的活动,以响应组织实现最高绩效(3,
14、35)的目标。3.19事件 event某一类情形的发生或变化。注1;事件的性质,可能性(3.26)和后果(3.10)不可能完全可知。注2:事件可以是一个或多个情形,并且可以由多个原因导致,注3;可以确定与事件相关的可能性。注4:事件可由一个或多个没有发生的情形组成。注5:造成某一结果的事件有时被称为“事故(3.20)。来源;GB/T236942013,4.5.1,3, 有修改3.20事故 incident造成伤亡、资产(3.1)损害、对内外部利益相关方(3.23)的合法权益和基本自由产生不利影响等后 果(3.10)的事件(3.19)。3.21固有危险物 inherently dangerous
15、 property如果掌握在未经授权的组织或个体手中,将会造成死亡威胁或严重人身伤害的物品。 示例;枪支、弹药、炸药,化学制剂、生物制剂和毒素、核能或放射性物质等,3GB/T 4276520233.22完整性 integrity保障资产(3.1)准确性和完整性的特性。3.23利益相关方 interested party;stakeholder可影响决策或活动、受决策或活动影响、自认为受决策或活动影响的个人或组织(3.33)。 注1:决策者可以是利益相关方,注2:受影响的社会群体和当地居民被视为外部利益相关方,注3:本文件中对条文“利益相关方”的使用应与保安服务(3.61)保持一致。3.24关键
16、绩效指标 key performance indicator;KPI组织(3.33)为完成其战略和服务目标(3,32)用来测量或比较绩效(3.35)的可量化措施。 3.25防卫装备 defense equipment依法提供保安服务时,为完成岗位任务和保障自身安全所需要的非杀伤性的自卫装备。 3.26可能性 likelihood某件事发生的机会。注1:无论是以客观的或主观的、定性或定量的方式来定义、度量或确定,还是用一般词汇或数学术语来描述(如概 率,或一定时间内的频率),在风险管理术语中,“可能性”一词都用来表示某事发生的机会。注2,“可能性”(likelihood)这一英语词汇在一些语言中
17、没有直接与之对应的词汇,因此经常用“概率”(probability) 这个词代替。不过,在英语中,“概率”常常被狭义地理解为一个数学词汇。因此,在风险管理术语中,“可能 性”应该有着与许多语言中使用的“概率”一词相同的解释,而不局限于英语中“概率”一词的意义。来源:GB/T 236942013,4.6.1.13.27管理计划 management plan具有明确规定和记录的行动计划,通常包含执行事件(3.19)管理过程(3.42)所需的关键人员、资源 (3.47)、服务和行动。3.28管理体系 management system组织(3.33)建立方针(3.37)、目标(3,32)和实现目标
18、所需过程(3.42)的相互关联或相互作用的一组 因素。注1,一个管理体系可以针对单一的领域或多个领域。注2:体系因素包括组织的结构、岗位和职责、策划(3.36)及运行,注3:管理体系的范围可以包括整个组织、组织中可被明确识别的职能或可被明确识别的部门,以及跨部门的单一 职能或多个职能。注4:组织通过管理体系实施其方针并根据目标和指标(3,70)采用以下方式实施:规定人员岗位、职责、权力等的组织结构;实现该目标和指标的系统过程和相关资源(3,47);针对该目标和指标用于对绩效(3,35)进行评定的测量(3.29)和评估方法学,结果的反馈用于改进体系 计划;确保问题得到纠正、改进有机会得到确认和实
19、施的评审(3.48)过程。3.29测量 measurement确定数值的过程(3,42)。4GB/T 4276520233.30监视 monitoring确定体系、过程(3.42)或活动的状态。注:确定状态可能需要检查、监督或密切观察。3.31不合格 nonconformity未满足要求(3.44)。3.32目标 objective要实现的结果。注1:目标可以是战略的、战术的或操作层面的。注2;目标可以涉及不同的领域(如财务,职业健康与安全的环境),也可应用于不同层次如战略、组织整体、项 目、产品和过程(3.42)。注3:目标可以用其他方式表述,如采用预期的结果、活动的目的或运行准则作为保安服
20、务目标(3.64),或使用其他 有类似含义的词如宗旨、指标(3.70).注4,在保安服务管理(3.62)环境中,组织(3,33)制定的保安服务目标与保安服务方针保持一致,以实现特定的 结果。3.33组织 organization为实现目标(3.32),由职责、权限和相互关系构成自身功能的一个人或一组人。注:组织的概念包括但不限于代理商、公司、集团、商行、企事业单位、行政机构、合营公司、慈善机构或科研机构,政 府或公共机构,或上述组织的部分或组合,无论是否为法人组织,公有的或私有的。3.34外色 outsource安排外部组织(3.33)承担组织的部分职能或过程(3,42)。注:虽然组织的管理体
21、系(3.28)包括外包功能或过程(3.42),但不包括外部组织。3.35绩效 performance可测量的结果。注1:绩效可能涉及定量的或定性的结果。注2:绩效可能涉及活动,过程(3.42),产品(包括服务)、系统或组织(3.33)的管理。3.36策划 planning管理的一部分,致力于制定保安服务目标(3.63)并规定必要的运行过程(3.42)和相关资源以实现 保安服务目标。3.37方针 policy由最高管理者(3.72)正式发布的组织(3.33)的宗旨和方向。3.38预防 prevention能够使组织(3.33)避免、杜绝或限制非预期事件(3.73)或潜在干扰性事件(3,15)的措
22、施。3.39预防措施 preventive action为消除潜在不合格(3.31)或其他潜在不期望情况的原因所采取的措施。5GB/T 42765202363.403.413.423,43注1,一个潜在不合格可以有若干个原因。注2:采取预防措施是为了防止发生,而采取纠正措施是为了防止再发生。来源;GB/T190002016,3.12,1保安从业单位 security service provider;security company依法设立的保安服务公司和自行招用保安服务人员(3,66)单位的统称。程序 procedure为进行某项活动或过程(3.42)所规定的途径。注:程序可以形成文件,也可
23、以不形成文件。来源:GB/T 190002016,3.4.5过程 process输入转化为输出的相互关联或相互作用的一组活动。记录 record阐明所取得的结果或提供所完成活动的证据的文件。注1:记录可用于正式的可追溯性活动,并为验证、预防措施(3.39)和纠正措施(3.12)提供证据。 注2;通常,记录不需要控制版本。来源:GB/T190002016,3.8.103.44要求 requirement明示的、通常隐含的或必须履行的需求或期望。注1:“通常隐含”是指组织(3.33)或利益相关方(3.23)的管理或一般做法,所考虑的需求或期望是不言而喻的。 注2,规定要求是经明示的需求,如;在成文
24、信息(3.16)中阐明。3.45剩余风险 residual risk风险应对(3.60)之后仍然存在的风险(3.49)。注1:剩余风险可包括未识别的风险。注2:剩余风险还被称为“留存的风险”。来源:GB/T 236942013,4.8.1.63.46恢复力 resilience组织(3,33)对复杂变化环境的适应能力。来源:GB/T 23694-2013,4.8.1.73.47资源 resources有潜在价值并可以被利用的资产(3.1)、设施、设备、材料、产品或废弃物。3.48评审 review确定管理体系(3.28)及其组成要素实现规定目标(3,32)的适宜性、充分性或有效性(3,17)的
25、活动。 3.49风睑 risk不确定性对目标(3.32)的影响。GB/T 427652023连1;影响是指偏离预期,可以是正面的和/或负面的。注2:不确定性是对事件(3.19)及其后果(3.10)或可能性(3.26)等信息缺乏理解或了解的状态。注3:通常以潜在“事件”(GB/T236942013,4,5.1,3)和“后果“(GB/T236942013,4.6,1.3或两者的组合来描述 风险。注4:通常用事件(包括情形的变化)的后果和事件发生的相关“可能性”(GB/T236942013,4,6.1.1)的组合表示 风险。注5;目标可以有不同方面如合法权益保护、安全管理、遵守法律、财务,健康和安全
26、、环境等,也可以体现在不同层面例如战略、组织范围、项目,产品和过程(3,42)。注6:风险可分为故意、无意和自然性的来源。3.50风险接受 risk acceptance接受某一特定风险(3.49)的决定。注1;风险接受可以不经风险应对(3.60),还可以在风险应对过程(3.42)中发生。注2,接受的风险要受到监视(3.30)和评审(3.48)。来源;GB/T 236942013,4.7.1.63.51风险分析 risk analysis理解风险(3.49)性质、确定风险等级的过程(3.42)。注1:风险分析是风险评价(3.55)和风险应对(3.60)决策的基础。注2;风险分析包括风险估计,来
27、源:GB/T 236942013,4.6.13.52风险偏好 risk appetite组织(3.33)寻求,保留或接受风险(3.49)的准备。来源:GB/T 236942013,4.7.1.2,有修改3.53风险评估 risk assessment包括风险识别(3.56)、风险分析(3.51)和风险评价(3.55)的全过程(3,42),来源;GB/T 236942013,4.4.13.54风险准则 risk criteria评价风险(3,49)重要性的依据。注1:风险准则的确定需要基于组织的目标(3.32)、外部环境和内部环境,注2:风险准则可以源自标准、法律、政策和其他要求(3.4i),来
28、源:GB/T 23694-2013,4.3,1.33.55风险评价 risk evaluation对比风险分析(3.51)结果和风险准则(3.54),以确定风险(3.49)和/或其大小是否可以接受或容忍 的过程。注:风险评价有助于风险应对(3,60)的决策。来源:GB/T 236942013,4.7.13.56风险识别 risk identification发现、确认和描述风险(3.49)的过程(3.42)。7GB/T 427652023注1:风险识别包括对风险源、事件(3.19)及其原因和潜在后果(3.10)的识别。注2:风险识别可能涉及历史数据、理论分析、专家意见以及利益相关方(3.23)
29、的需求。来源:GB/T 236942013,4.5.13.57风险管理 risk management在风险(3.49)方面,指导和控制组织(3.33)的协调活动。来源:GB/T 236942013,3.13.58风险登记 risk register已识别风险(3,49)的信息记录。注:风险评估(3.53)过程(3.42)中对已识别、分析和评价过的所有风险的汇编,包含可能性(3,26)、后果(3.10)、应 对和风险所有者等信息。3.59风睑容忍 risk tolerance组织(3.33)或利益相关方(3.23)为实现目标在风险应对(3.60)之后承担风险(3.49)意愿。 注:风险容忍会受
30、到客户(3.4)、利益相关方、法律法规要求(3.44)的影响。来源:GB/T 236942013,4.7,1.3,有修改3.60风险应对 risk treatment处理风险(3.49)的过程(3.42)注1:风险应对可以包括:不开始或不再继续导致风险的行动,以规避风险;为寻求机会而承担或增加风险;消除风险源;改变可能性(3.26);改变后果(3,10);与其他各方分担风险(包括合同和风险融资;慎重考虑后决定保留风险。注2:针对负面后果的风险应对有时指“风险消除”“风险预防”“风险降低”等。注3:风险应对可能产生新的风险或改变现有风险。来源:GB/T 236942013,4.8.13.61保安
31、服务 security operations;security services由保安服务公司根据保安服务合同,派出保安员为客户单位提供的门卫、巡逻、守护、押运、随身护 卫、安全检查以及安全技术防范、安全风险评估等服务;机关、团体、企业、事业单位招用人员从事的本单 位门卫、巡逻、守护等安全防范工作;以及物业服务企业招用人员在物业管理区域内开展的门卫、巡逻、 秩序维护等服务。来源:GA/T 5942006,3.2,有修改3.62保安服务管理 security operation management指导和管理组织(3.33)关于保安服务(3.61)的协调活动。8GB/T 427652023注:关
32、于保安服务管理的指导和管理一般包括建立方针(3.37),策划(3.36)和目标(3.32),指导运行过程(3.42)和 持续改进(3.9)。3.63保安服务目标 security operation objective保安服务管理(3.62)的目的。注1:保安服务目标通常根据组织(3.33)的保安服务方针(3.64)制定。注2:保安服务目标通常依据组织中相关职能和级别作出规定。3.64保安服务方针 security operation policy组织(3.33)关于保安服务(3.61)的总体意图和方向,由最高管理者(3.72)正式发布。 注;一般保安业务方针与组织的总体方针(3.37)一致,
33、并为保安服务目标(3.63)的制定提供框架。3.65保安服务方案 security operation programme最高管理者(3.72)支持的持续进行的管理和治理过程(3.42),确保采取必要的步骤来协调各项工作作,实现保安服务管理(3.62)体系的目标(3.32),3.66保安服务人员 security operation personnel为组织(3.33)直接或间接从事保安服务(3.61)的人员。注:根据GA/T 12792015的定义,保安员特指依法取得保安员证,为公民、法人和其他组织提供保安服务人员。3.67自卫 self-defence保护自身或财产免受他人侵害。3.68分
34、包 subcontracting与外部组织签订合同以履行现有合同规定义务。注1:当一方签订合同履行一系列服务时,它可以将其中一个或多个服务分包给“分包方”。注2:母公司的子公司可被视为分包组织(3,33)。3.69供应链 supply chain组织(3,33)、人员、过程(3.42)、物流、信息、技术和资源(3.47)之间的双向关系,从事活动并通过提 供产品或服务创造价值。注:供应链可以包括供应商、分包方、生产设施、物流供应商、内部配给中心、分销商、批发商及其他供应给终端用户 的实体。3.70指标 target为实现目标(3.32)而制定的适用于组织(3.33)的详细(或部分)绩效(3.35
35、)要求(3.44)。 3.71威胁分析 threat analysis对可能会损害人身、资产(3,1)、体系或组织(3.33)、环境或社会群体(3.7)的非预期事件(3.73)的潜 在原因进行识别、限制和量化的过程(3.42)。3.72最高管理者 top management指导和控制组织(3.33)的最高级人员或群体。9GB/T 427652023连1:最高管理者在组织内有授权或提供资源(3.47)的权力。注2,如果管理体系(3.28)的范围仅覆盖组织的一部分,在这种情况下,最高管理者是指管理和控制组织的这部分 的一个人或一组人。注3:最高管理者可被称为组织的领导者。3.73非预期事件 un
36、desirable event可能造成人身伤亡、资产(3,1)损失或对内外部利益相关方(3.23)的合法权益造成负面影响的 事件,3.74脆弱性分析 vulnerability analysis对可能造成后果(3.10)的风险(3.49)来源产生敏感性的识别和量化的过程(3.42)。4 组织环境4.1 理解组织及其环境4.1.1 总则组织应确定与其宗旨相关并影响其实现保安服务管理体系预期结果的各种外部和内部因素。管理体系框架的设计与实施应建立在对组织及其内外部运行环境理解基础之上。因此,组织应确 定并记录其内部和外部环境,包括其供应链和分包方。组织在建立、实施和保持保安服务管理体系 时,应考虑
37、这些因素并确定优先顺序。组织应评价可影响管理风险方式的内部和外部因素。4.1.2 内部环境组织应识别、评价和记录以下内部环境,包括:a) 组织的目标、战略及经营使命;b) 实现目标的方针、计划及指南;c) 组织机构、岗位、职责和权限;d) 全面风险管理策略;e) 内部利益相关方;f) 价值观、道德和文化;g) 信息传递和决策过程;h) 能力、资源和资产;i) 程序、过程和实践;j) 活动、职能、服务及产品:k) 品牌及声誉。4.1.3 外部环境组织应确定并记录其外部环境,包括;a) 文化与政策环境;b) 法律、法规、技术、经济、自然与竟争环境;e) 合同协定,包括合同范围内的其他组织;d) 公
38、共基础设施与业务相关性;10GB/T 427652023e) 供应链和承包商关系及承诺;1) 可能影响组织过程和/或目标的关键问题和趋势;R) 外部利益相关方的观点、价值观、需求及利益(包括服务区域内的社会群体); h) 业务能力及权限界线。4.1.4 供应链和分包方信息收集与分析组织应识别并记录其上下游供应链,尤其是使用可能对风险有影响,并有可能引发非预期或干扰性 事件的分包方。组织的整体保安服务管理方案中应包括识别可能引起非预期事件或干扰性事件的重大 风险的供应链风险管理。组织应确定并记录供应链和分包方在保安服务管理方案中的级别。4.1.5 确定风险准则组织应确定并形成评价风险的准则。风险
39、准则应体现组织的价值、日标及资源。确定风险准则 时,组织应考虑:a) 主要活动、功能、服务、产品及利益相关方关系;b) 管理制度或法规不健全环境下业务运行中的业务环境及内在的不确定性; e) 与非预期事件、干扰性事件相关的潜在影响;d) 法律法规要求及组织承诺的其他要求(如合同义务、合法权益);e) 组织的整体风险管理方针;f) 对其资产,业务造成威胁和后果的性质与类型;g) 风险可能性、后果及其等级确定方式;h) 利益相关方的需求和所受影响尤其是人身、安全和合法权益(见 C.6.1.2.3); i) 信誉风险和感知风险;j) 组织及其客户风险容忍或风险规避的程度;k) 对多重风险的组合和排序
40、。虽然风险准则是在风险评估过程开始时建立的,但它们是动态的,应持续监视和评审其适宜性,4.2 理解利益相关方的需求与期望组织应确定:与保安服务管理体系有关的利益相关方;这些利益相关方的要求。为了履行合同并将风险降到最低,最高管理者应识别、评价并记录内外部利益相关方的利益。 组织明确内外部利益相关方的需求和要求时,应考虑:a) 利益相关方的风险偏好;b) 客户规定的合同义务;c) 法律法规要求及自愿承诺;d) 提供保安服务对相关方合法权益的影响;e) 对外部利益相关方(如地方社会群体、客户及其他保安从业单位)的相互影响; f ) 服务交付和不合格项的文件化记录要求。4.3 确定保安服务管理体系的
41、范围组织应明确保安服务管理体系的边界和适用性,以确定其范围(即整个组织,或其一个或多个组成 部分或职能部门)。组织应考虑规模、性质、复杂性并从持续改进的角度确定保安服务管理体系范围。在确定其范围时,组织应考虑:11GB/T 427652023 组织的目标,4.1.2和4.1.3所提及的内部和外部因素; 4.2中所提及的要求; 在组织环境中,对组织运营和活动产生不利影响的潜在可能性和后果的风险因素。范围应形成文件并可获取。组织应确定适用保安服务管理体系的所有运营要素,以及适用的例外 情况。组织确定范围时,应保护组织的完整性,包括与利益相关方的关系。适用性说明应根据风险评估和合法权益影响分析(见6
42、.1),定义适用于组织的范围、法律法规和合 同义务以及运行环境的附录C 的相关条款。这些条款一经确定,组织应予以处理和执行。具体的免责 条款和其说明应被记录。4.4 保安服务管理体系组织应按照本文件要求,建立、实施、保持并持续改进保安服务管理体系,包括所需过程及其相互作 用。组织应按照本文件要求形成实现预期结果的文件,并持续改进其有效性。当组织对体系适用范围内的某些过程和活动进行分包或外包时,应确保在其保安服务管理体系中 对这些分包或外包过程和活动的控制予以识别和管理。5 领导作用5.1 领导作用与承诺5.1.1 总则最高管理者应通过以下方面,证实其在建立和实施保安服务管理体系并持续改进其有效
43、性方面的 领导作用及承诺: 确保制定保安服务的方针和目标,并与组织的战略方向相一致; 确保将保安服务管理体系要求融入组织的业务运行过程; 确保保安服务管理体系可获得所需的资源,用于建立、实施、运行、监视、评审、保持和改进保安服务管理体系; 就有效开展保安服务管理并符合保安服务管理体系及法律法规要求的重要性进行沟通 确保保安服务管理体系实现预期结果; 指导和支持员工对保安服务管理体系的有效性做出贡献; 推动持续改进:支持其他相关管理者在其职责范围内发挥领导作用;按计划的时间间隔对保安服务管理体系进行管理评审。最高管理者应通过监督其保安服务管理体系的建立和执行,以及鼓励个人将保安服务与尊重合法 权益相结合作为组织使命和其文化的组成部分,从而为在保安服务管理体系所起的积极领导作用提供 证实。5.1.2 符合性声明最高管理者应制定符合性公开声明并公开发布,表明组织承诺并遵守保安服务管理体系和相关法 律法规规定的责任,满足利益相关方对合法权益的
