مجموعة أمان عمليات الموانئ والجمارك ISO 28001

مجموعة أمان عمليات الموانئ والجمارك ISO 28001 — المقدمة والنطاق

يقدّم هذا الدليل مجموعة أمان عملية ومبنية على تقييم المخاطر متوافقة مع ISO 28001 لتطبيقها في عمليات الموانئ والجمارك. الهدف هو تحديد الثغرات الأمنية المادية والتشغيلية في النقل البري والبحري والسكك الحديدية، تقليل آثارها، وإدارتها عبر سجلات قابلة للإثبات.

يشمل الدليل: نمذجة التهديدات، إدارة أختام الحاويات، سلامة المسار والسائق، تكامل الأشعة السينية والفحص، بروتوكولات الطوارئ، تقييم موردي الخدمات، التبليغ عن الحوادث والسجلات القضائية، الامتثال للتأمين، استمرارية الأعمال ومؤشرات الأداء.

النطاق

• الأمن المادي: التحكم في الدخول والخروج، أمن محيط الساحات، الوصول إلى المستودعات والمخازن.
• الأمن التشغيلي: مناولة البضائع، سلامة الشحنات، التتبع وإمكانية التتبع.
• التكامل التقني: أجهزة الأشعة السينية، المستشعرات، التليماتية، وبرمجيات إدارة الحوادث.

المبادئ

• أولوية المخاطر: تخصيص الموارد وفقاً لمصفوفة الاحتمال والتأثير.
• الدفاع متعدد الطبقات: الدمج بين الضوابط المادية والتقنية والإدارية.
• التحسين المستمر: المراجعات القائمة على البيانات، الإجراءات التصحيحية والوقائية، وتحديث المعايير.

نمذجة التهديدات: السيناريوهات، الأولويات والتحقق

نمذجة التهديدات هي دراسة منهجية تجيب عن أسئلة: من، أين وكيف يمكن أن يسبب الضرر. تشمل التهديدات الداخلية (موظفون/متعهدون) والخارجية (منظمات إجرامية، تخريب) ويتم التعامل معها في مثلث العملية–الأصول–التحكم.

المنهج والخطوات

1. رسم خريطة العمليات: تحديد البوابات، المنحدرات، الساحات، المستودعات وتدفقات المعلومات.
2. جرد الأصول: الحاويات، الأختام، المعدات، البيانات الحساسة والشحنات عالية القيمة.
3. متجهات الهجوم: كسر الأختام، تزوير الهوية، التلاعب بنظام GPS أو المسار، المساعدة من الداخل.
4. تقييم المخاطر: الاحتمال × التأثير، مع الضوابط القائمة والفجوات.
5. التحقق: مناورات مكتبية، مراجعة ميدانية، وتجارب “Red-team”.

أمثلة على السيناريوهات

• خرق الأختام: عدم تطابق الأرقام، ارتخاء الكابل، اختلاف العلامات البصرية.
• مركبة/سائق غير مصرح: دخول الساحة بتجاوز التحقق من الهوية.
• تخريب المعدات: تعطيل جهاز الأشعة السينية أو خلق نقطة عمياء للكاميرا.

إدارة أختام الحاويات: النزاهة وإمكانية التتبع

إدارة الأختام هي الدليل الأكثر وضوحاً على سلامة الشحنة. تشمل السياسة اختيار نوع الختم، التطبيق، التسجيل، الفحص والفتح.

أنواع الأختام والسياسات

• أختام الترباس عالية الأمان (ISO 17712): إلزامية للشحنات عالية القيمة.
• أختام الكابلات: قابلة للتعديل وتترك أثر عند العبث؛ مناسبة للمسارات متعددة التوقفات.
• الأختام البلاستيكية بمؤشر عبث: خيار اقتصادي للمخاطر المنخفضة/المتوسطة مع ضوابط إضافية.

التطبيق–التسجيل–الفحص

1. تخصيص: ربط الرقم التسلسلي للحاوية والشحنة.
2. تطبيق: يركبه موظف مخول مع التحقق من طرفين.
3. تسجيل: الرقم، التاريخ–الوقت، المكان، الشخص المنفذ، والصورة.
4. فحص أثناء النقل: التحقق البصري أو RFID/NFC عند نقاط الدخول والخروج.
5. فتح: يتم القطع عند الوصول تحت إشراف وتسجيل الحالة.

مؤشرات الخرق والاستجابة

عدم تطابق الأرقام، ارتخاء الكابلات، آثار الطلاء/الإيبوكسي، خدوش في موضع القفل كلها مؤشرات على العبث. يتم عزل الحاوية، استدعاء فحص مشترك، والحفاظ على سلسلة الحيازة.

سلامة المسار والسائق: إدارة المخاطر أثناء النقل

مرحلة الطريق هي الأكثر تغيراً في النقل من الباب إلى الباب. الإطار يشمل المتطلبات المسبقة، المراقبة الفورية، العامل البشري والاستجابة للحوادث.

المتطلبات المسبقة

• التحقق من السائق: الهوية، رخصة القيادة، الكفاءة النفسية والفنية، السجل التدريبي.
• صلاحية المركبة: نظام GPS، مستشعرات، كاميرات داخلية/خارجية، زر الطوارئ.
• خطة المسار: اختيار المسارات وفق نقاط المخاطر ونقاط التوقف الآمنة.

المراقبة الفورية والعَتبات

تنتج أنظمة التليماتية إنذارات عند تجاوز السرعة، انحراف المسار، فتح الأبواب أو التوقفات غير المخطط لها. إذا لم يتم التحقق من الانحرافات الحرجة، يتم توجيه المركبة إلى أقرب نقطة آمنة.

العامل البشري

• فترات استراحة إلزامية وحدود دوام القيادة.
• تنبيهات داخل المقصورة ضد التشتت أو تجاوز المسار.
• جلسات تدريب ومتابعة بعد الحوادث.

تكامل الأشعة السينية وعمليات الفحص: نهج قائم على المخاطر

لا توفر تقنيات الفحص مثل الأشعة السينية الأمان بمفردها؛ بل تكتسب فعاليتها عند دمجها مع الأولويات القائمة على المخاطر وخطط التدقيق. وفقاً لـ ISO 28001، تشمل عمليات الفحص: تأهيل الأجهزة، تدريب المشغلين، إعداد التقارير وحفظ السجلات.

التوجيه حسب المخاطر

• الشحنات عالية المخاطر: فحص بنسبة 100٪.
• المتوسطة: أخذ عينات متزايد.
• المنخفضة: أخذ عينات عشوائي.

إدارة الأجهزة

• المعايرة وفقاً لتعليمات الشركة المصنعة.
• اختبارات بأجسام معيارية (PTO).
• تسجيل الأعطال والصيانة.

كفاءة المشغلين

يجب أن يخضع المشغلون لدورات تدريبية منتظمة، اختبارات عمياء ومراجعة مزدوجة للصور، مع تحليل دوري لحالات السلبية الكاذبة.

بروتوكولات الطوارئ والاتصال

الاستجابة السريعة والتواصل الواضح عنصران أساسيان في إدارة الطوارئ. تغطي البروتوكولات: هيكل القيادة، تسلسل الإبلاغ، خطط الإخلاء وسلسلة الأدلة.

هيكل القيادة

• مركز قيادة الحوادث: يتكون من ممثلي الأمن والتشغيل والاتصال.
• بطاقات الأدوار: توضح المهام ومسؤوليات الاتصال لكل وظيفة.
• البدائل: يتم تفعيل نظام التفويض عند غياب متخذ القرار الرئيسي.

توقيت الإشعارات

خلال أول 15 دقيقة: تقييم الموقف؛ خلال 30 دقيقة: الإبلاغ الداخلي؛ خلال 60 دقيقة: إخطار السلطات. يتم التعامل مع الإعلام عبر نصوص معتمدة مسبقاً.

تقييم أمان الموردين

يعد الموردون من أهم حلقات السلسلة. وفقاً لـ ISO 28001، يشمل التقييم الأمني للموردين: الاختيار، التعاقد، التدقيق والمتابعة المستمرة.

تحليل ما قبل الاختيار

• مراجعة الحوادث السابقة.
• شهادات ISO والاعتمادات.
• تحليل الاستقرار المالي.

شروط العقود

يجب أن تحدد العقود معايير الأمان الدنيا، حقوق التدقيق والعقوبات عند عدم الامتثال.

المتابعة

• تفتيش ميداني على المرافق وكاميرات المراقبة.
• تفتيش مفاجئ.
• تقييم شهري عبر مؤشرات الأداء (KPI).

الإبلاغ عن الحوادث والسجلات القضائية

يجب تسجيل وتحليل كل حادث أمني، سواء كان بسيطاً مثل خرق الختم أو كبيراً مثل محاولة تهريب. يعتمد ISO 28001 على مبادئ الشفافية، إمكانية التتبع وقيمة الأدلة.

خطوات الإبلاغ

1. الاكتشاف: يفتح أول من يلاحظ الحادث تسجيلاً فورياً.
2. الاستجابة الأولية: يؤمن فريق الأمن الموقع.
3. التوثيق: ت��جيل تفصيلي بطريقة 5W1H (ماذا، أين، متى، من، كيف، لماذا).
4. الإخطار: إعلام الإدارة العليا والسلطات.

إدارة السجلات القضائية

يتم حفظ لقطات الكاميرا، بقايا الأختام، سجلات GPS، صور الأشعة السينية وشهادات الشهود كجزء من ملف الأدلة. يتم التحكم في الوصول عبر سلسلة الحيازة لضمان صلاحية الأدلة قانونياً.

التوافق مع متطلبات التأمين

ترتبط تطبيقات الأمن في الموانئ والجمارك مباشرة بشروط وثائق التأمين. يأخذ مزودو التأمين في الاعتبار فعالية التدابير الأمنية عند تحديد الأقساط ونطاق التغطية.

شروط الوثائق

• التدابير الإلزامية: مثل الكاميرات، تتبع GPS، الأختام.
• أوقات الإخطار: يجب الإبلاغ عن الحوادث خلال فترة زمنية محددة.
• الاستثناءات: الخسائر الناتجة عن ضعف التدابير الأمنية قد لا تكون مشمولة.

الامتثال والاستراتيجية

يجب أن تكون أنظمة الإبلاغ متوافقة مع تنسيقات مزود التأمين. كما أن التدريبات السنوية تمنح ميزة عند تجديد الوثائق.

صلة استمرارية الأعمال

الأمن واستمرارية الأعمال نظامان متكاملان. تؤدي خروقات الأمن إلى خسائر وانقطاعات تشغيلية. ينبغي تنفيذ ISO 28001 جنباً إلى جنب مع ISO 22301 لإدارة استمرارية الأعمال.

نقاط الاتصال

• تقييم المخاطر: دمج المخاطر الأمنية في تحليل تأثير الأعمال (BIA).
• خطط الطوارئ: سيناريوهات مثل التخريب، السرقة والهجمات السيبرانية.
• استمرارية الموارد: خطط بديلة للأفراد، المعدات والبنية التحتية الحرجة.

الاختبارات والتدريبات

يجب إجراء تدريبات الأمن واستمرارية الأعمال معاً. مثال: سيناريو خرق ختم + حريق.

مؤشرات الأداء

يجب متابعة نجاح تطبيق ISO 28001 عبر مؤشرات أداء رئيسية (KPI) قابلة للقياس. تقدم هذه المؤشرات بيانات حول النتائج والإنذارات المبكرة.

المؤشرات المتأخرة (Lagging)

• نسبة خرق الأختام.
• معدل الحوادث لكل 10.000 TEU.
• نسبة النتائج السلبية الكاذبة في الفحص.
• تكاليف الخسائر/الأضرار.
• مدة انقطاع العمليات.

المؤشرات المبكرة (Leading)

• متوسط وقت الاكتشاف والاستجابة (MTTD / MTTR).
• نسبة انحراف المسارات.
• انتهاكات المناطق الجغرافية (Geofence).
• درجة كفاءة المشغلين.
• نسبة إكمال التدريب.

التدقيق الداخلي والاستعداد للفحص

تؤكد عمليات التدقيق الداخلي أن الضوابط الأمنية تعمل كما هو مخطط لها. يجب أن يكون البرنامج قائماً على المخاطر، مع فحص أكثر تواتراً للعمليات الحرجة.

برنامج التدقيق

• مراجعة ربع سنوية لإدارة الأختام والممرات عالية المخاطر.
• استخدام عينات عشوائية ومستهدفة معاً.
• مدققون مستقلون وذوو كفاءة.

إدارة النتائج

تُجمع النتائج عبر المقابلات، مراجعة السجلات والملاحظات. تُصنف كحرجة/كبرى/صغرى مع تحديد أوقات الإغلاق.

برنامج التدريب والتوعية

يعتمد استدامة الأداء الأمني على تعزيز العامل البشري. يجب تصميم البرامج التدريبية على أساس الأدوار، مع أنشطة توعية منتظمة.

التدريب حسب الدور

• فريق العمليات: تطبيق الأختام، التسجيل والفحص.
• السائقون: سلامة المسار وإجراءات الاتصال في حالات الطوارئ.
• مشغلو الأشعة السينية: تفسير الصور والاختبارات.
• المديرون: متابعة مؤشرات الأداء وإدارة الأزمات.

التوعية

يتم تعزيز ثقافة الأمن من خلال مقاطع فيديو قصيرة، لوحات مرئية ونشرات دورية.

الرقمنة وهيكل التكامل

تتطلب نضج العمليات الأمنية تدفق بيانات مستمر وموثوق. يجب دمج الأنظمة باستخدام معرف حادث واحد.

مبادئ التكامل

• نموذج بيانات موحد.
• تكامل قائم على واجهات API.
• وصول قائم على الأدوار مع سجل تدقيق.

المحرك التحليلي والتنبيه

يتم استخدام قواعد محددة مسبقاً (مثل توقف غير مخطط له > 5 دقائق، فتح الأبواب خارج المناطق الآمنة) مع تقنيات تعلم الآلة لاكتشاف الشذوذ. يتم إرسال التنبيهات إلى لوحة العمليات، مع تصعيد تلقائي للحالات الحرجة.

مصفوفة الامتثال والتوثيق

يجب ربط متطلبات ISO 28001 بالعمليات والضوابط والسجلات. تمثل مصفوفة الامتثال المرجع الأساسي لعمليات التدقيق.

هيكل الوثائق

• السياسات: التزام الإدارة العليا والنطاق.
• الإجراءات: إدارة الأختام، سلامة المسار، الأشعة السينية، الطوارئ.
• التعليمات: مهام التشغيل لكل نوبة.
• السجلات: النماذج، الصور، السجلات، الملفات الموقعة.

إدارة الإصدارات

يجب أن تكون جميع الوثائق تحت تحكم الإصدارات، مع تسجيل أسباب التغييرات وتقييم آثارها. تُحفظ النسخ القديمة ويُعتمد إصدار واحد فقط في الميدان.