ISO 28000: 2007《供應(yīng)鏈安全管理體系規(guī)范》和本文件根據(jù)建立公認(rèn)的供應(yīng)鏈管理體系標(biāo)準(zhǔn)這一需求制定，可用作安全管理體系評(píng)價(jià)和認(rèn)證依據(jù)，也可指導(dǎo)此類標(biāo)準(zhǔn)的實(shí)施。
ISO 28000與GB/T 19001和GB/T 24001管理體系標(biāo)準(zhǔn)兼容。這些標(biāo)準(zhǔn)促進(jìn)了組織根據(jù)自身意愿對(duì)質(zhì)量、環(huán)境和供應(yīng)鏈管理體系進(jìn)行整合。
本文件在各條款/分條款前有一個(gè)方框，列出了ISO 28000中的完整要求，隨后是相關(guān)的指導(dǎo)。本文件條款號(hào)與ISO 28000的條款號(hào)相一致。
本文件未包括針對(duì)供應(yīng)鏈運(yùn)營商、供應(yīng)商和利益相關(guān)方之間合同的所有必要的規(guī)定。因此，使用者宜合理采用本文件。
本文件為ISO 28000: 2007《供應(yīng)鏈安全管理體系規(guī)范》的應(yīng)用提供通用性建議。本文件解釋了ISO 28000中的基本原則，對(duì)ISO 28000各項(xiàng)要求的目的 、典型輸入、過程和典型輸出進(jìn)行了說明，旨在幫助理解和實(shí)施ISO 28000.本文件在ISO 28000條款之外不再產(chǎn)生附加要求，也未規(guī)定實(shí)施ISO 28000的強(qiáng)制性方法。
ISO 28000
一、范圍
本國際標(biāo)準(zhǔn)規(guī)定了安全管理體系(包括對(duì)供應(yīng)鏈安全保證至關(guān)重要的方面)的要求。這些方面包括但不限于金融、制造、信息管理以及商品的包裝、儲(chǔ)存和在不同運(yùn)輸方式和地點(diǎn)之間的轉(zhuǎn)運(yùn)。安全管理與企業(yè)管理的許多其他方面存在聯(lián)系。在任何影響安全管理的期間或地點(diǎn)，包括在采用供應(yīng)鏈運(yùn)輸貨物時(shí),應(yīng)直接考慮這些其他方面。
本文件適用于在生產(chǎn)或者供應(yīng)鏈任何階段希望達(dá)成以下目標(biāo)的從制造、服務(wù)存儲(chǔ)或者運(yùn)輸?shù)娜魏文５慕M織(從小型到跨國規(guī)模)
a)建立實(shí)施維護(hù)和進(jìn)安全體系
b)確保符合規(guī)定的安全管理策略
c)驗(yàn)證是否符合其他要求;
d)尋求通過授權(quán)的第三方認(rèn)證組織對(duì)其安全管理體系進(jìn)行認(rèn)證或注冊(cè)
e)對(duì)做一些法規(guī)以及監(jiān)管規(guī)范也對(duì)在本文件中某些要求進(jìn)行了闡述
本文件并非旨在要求對(duì)合規(guī)性進(jìn)行重復(fù)驗(yàn)證選擇第三方認(rèn)證的組織可進(jìn)一步證明其在促進(jìn)供應(yīng)鏈安全方面的重要努力
4.1 通用要求
通用要求沙及以下方面。
a) ISO 28000 要求
組織應(yīng)建立、制定、實(shí)施、維護(hù)和不斷改進(jìn)有效的安全管理體系，以確定安全威脅、評(píng)價(jià)風(fēng)險(xiǎn)、控制并減輕其后果。
組織應(yīng)按照第4章的要不提高系統(tǒng)的有效性
組織應(yīng)確定其安全管理體系的范圍。若組織選擇將影響滿足這些要求的任何流程外包，則該組織應(yīng)保證這些流程處于管控下。在安全管理體系之內(nèi),應(yīng)確定對(duì)這些外包流程的必要控制措施和責(zé)任
b)目的
組織宜建立并維持符合SO 28000 所有要求的管理體系。這有助于組織滿足安全規(guī)范要求和法律的規(guī)定。
安全管理體系詳細(xì)程度和復(fù)雜度、文件范圍和投人的資源取決于組織的規(guī)模和復(fù)雜度及其活動(dòng)的性質(zhì)。
組織有權(quán)自行靈活確定管理體系的邊界和范圍,可選擇在整個(gè)組織內(nèi)、組織具體的運(yùn)行單位或活動(dòng)中實(shí)施ISO 28000
在確定管理體系的邊界和范圍時(shí)宜予以注意。組織不得試圖通過限定其范圍來規(guī)避對(duì)組織整體運(yùn)行所需的某項(xiàng)運(yùn)行或活動(dòng),或可能對(duì)員工及其他利益相關(guān)方造成影響的那些運(yùn)行或活動(dòng)的評(píng)價(jià)。
當(dāng)在具體的運(yùn)行單位或活動(dòng)中實(shí)施 SO 28000 其部分制定的安全策略和也可用于具體的運(yùn)行單位或活動(dòng),以便滿足SO 28000 的求這就要求對(duì)這些安全策略或序進(jìn)行略微修訂或修正，以確保其適用于具體的運(yùn)行單位或活動(dòng)。
c)典型輸入
所有輸人要求均在ISO 28000 中作出了規(guī)定
d)典型輸出
典型輸出是一個(gè)得以有效實(shí)施和保持的安全管理體系，有助于促進(jìn)組織不海夏認(rèn)與網(wǎng)絡(luò)安全
4.3.1安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)評(píng)估
安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)評(píng)估在 ISO 28000 中的要求的輸過和典輸出括下方面
1)ISO 28000 要求
組織應(yīng)制定并維護(hù)一系列程序,以便對(duì)安全威脅、安全管理相關(guān)威脅和風(fēng)險(xiǎn)進(jìn)行持續(xù)識(shí)別和評(píng)估，以及對(duì)必要管理控制措施進(jìn)行識(shí)別和實(shí)施。安全威脅和風(fēng)險(xiǎn)識(shí)別、評(píng)價(jià)和控制方式應(yīng)至少適合于運(yùn)營的性質(zhì)和規(guī)模。評(píng)估時(shí)應(yīng)考慮到某事件及其所有后果的可能性，這些后果應(yīng)包括:
a) 故障威脅和風(fēng)險(xiǎn)如能障事或者事訴
b)運(yùn)營威脅和風(fēng)險(xiǎn),包括影響組織業(yè)績(jī)、狀況或安全的安全、人為因素和其他活動(dòng)的控制;
c)可造成安全施和設(shè)備性能降低的自然境事件(暴雨、洪水等);
d)超出組織控制范圍的因素，例如外部供應(yīng)設(shè)備和服務(wù)的故障;
e)利益相關(guān)者的威脅和風(fēng)險(xiǎn)，例如無法符合監(jiān)管要求或損壞聲譽(yù)或品牌
f)安全設(shè)備的設(shè)計(jì)與安裝，包括更換、維護(hù)等
g)信息和數(shù)據(jù)管理和交流
h)對(duì)運(yùn)營持續(xù)成的威脅
組織應(yīng)確保考慮到評(píng)價(jià)結(jié)果和控制效果,并在適當(dāng)情況下納人以下內(nèi)容中：
a)安全管理目標(biāo)和指標(biāo):
b)安全管理機(jī)會(huì)
c)確定設(shè)計(jì)、規(guī)范和安裝的要求，
d)確定適當(dāng)資源(包括人員水平)
e)確定培訓(xùn)需求和技能(見4.4.2)
f)制定運(yùn)行控制施(見 .4.6)
g)組織的全面威脅和風(fēng)險(xiǎn)管理框架
組織應(yīng)記錄上述信息,并保持更新。組織進(jìn)行威脅和風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)的方法應(yīng)符合以下要求
a)應(yīng)其范時(shí)間確其有動(dòng)而動(dòng)性
b)收集所有與安和風(fēng)險(xiǎn)相所有信息
c)對(duì)威脅和風(fēng)險(xiǎn)進(jìn)行類并區(qū)分可除或控制的威脅和風(fēng)險(xiǎn)
d)對(duì)措施進(jìn)行監(jiān)控，確保其有效、及時(shí)實(shí)施(見4.5.1)
2)目的
在采用安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理過程后,組織宜在其領(lǐng)域內(nèi)對(duì)重大安全風(fēng)險(xiǎn)、威脅和缺陷進(jìn)行總體評(píng)價(jià)。
安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理過程及其輸出宜作為整個(gè)安全體系的基礎(chǔ)。在安全威脅識(shí)別風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理過程與其他安全管理體系要素之間建立清晰明確的聯(lián)系非常重要。
本文件的目的在于建立原則,組織可依據(jù)這些原則確定已有的安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理過是否適用且充分。本文件的目的不在于就活動(dòng)開展方式提供建議。
安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理過程宜使組織能夠持續(xù)對(duì)安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估和控制。
在任何情況下均宜考慮組織內(nèi)部正常的和異常的運(yùn)行以及潛在的緊急情況。
安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理過程的復(fù)雜度在很大程度上取決于以下因素:組織規(guī)模、組織內(nèi)部工作場(chǎng)所情況以及安全風(fēng)險(xiǎn)的性質(zhì)復(fù)雜和要。IS O2800:2007 中 .3.1 并非強(qiáng)安全風(fēng)險(xiǎn)非常有限的小型組織進(jìn)行復(fù)雜的安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理·
計(jì)算機(jī)與網(wǎng)絡(luò)安全安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理過程宜考慮執(zhí)行這三個(gè)過程所需的成本和時(shí)間以及可靠數(shù)據(jù)
4.3.2 法律、法規(guī)及其他安全監(jiān)管要求
法律、法規(guī)及其他安全監(jiān)管要求在 ISO 28000 中的要的輸過和典輸出包括以方面。
1) ISO 28000 要求
組織應(yīng)制定實(shí)施并維護(hù)滿足以下要求的程序
a)確定并使用適用的法律要求及組織采用的有關(guān)安全威脅和風(fēng)險(xiǎn)的其他求
b)確定這些要求應(yīng)用于安全威和風(fēng)險(xiǎn)的式
組織應(yīng)及時(shí)更新這些信息。應(yīng)向員工及其他相關(guān)第三方(承商)傳達(dá)有關(guān)法律及其他要求的相關(guān)信息。
2)目的
組織需意識(shí)到并了解適用法律及其他要求對(duì)其活動(dòng)產(chǎn)生的或?qū)a(chǎn)生的影響以及將這些信息傳達(dá)給相關(guān)人員的方式。
ISO 28000;2007 的4.3.2 在提高對(duì)律和管職責(zé)的識(shí)了解。其目的不在于要組織針對(duì)極少參考或使用的法律或其他文件建立文件庫。
3)典型輸入
典型輸入包括下列項(xiàng)目：
組織供應(yīng)鏈詳細(xì)資料
安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理結(jié)果(見 4.3.1)
最佳實(shí)踐(如規(guī)范、行業(yè)協(xié)會(huì)指南)
法律要求及政府、政府間、貿(mào)易協(xié)會(huì)規(guī)范實(shí)踐與法規(guī)
信息來源清單;
國家、區(qū)域或國際標(biāo)準(zhǔn)
組織內(nèi)部要求
利益相關(guān)方要求;
供應(yīng)鏈動(dòng)態(tài)管理過程。
4)過程
宜識(shí)別相關(guān)法規(guī)及其他要求。組織確定獲取信息的最恰當(dāng)方法,包括支信身機(jī)絡(luò)盤、磁盤或互聯(lián)網(wǎng))。組織還宜評(píng)價(jià)適用的要求要求適用的情況以及需接受信息的主體。
供應(yīng)鏈安全管理體系
ISO 28000實(shí)施指南


ISO 10010:2022《質(zhì)量管理 理解、評(píng)估和改進(jìn)組織的質(zhì)量文化指南》標(biāo)準(zhǔn)解讀
香港商標(biāo)注冊(cè)申請(qǐng)需要多少錢？
iso9001質(zhì)量認(rèn)證中管理評(píng)審過程的有效性
福建在哪辦理ISO質(zhì)量體系
iso9000:2015認(rèn)證體系哪些方面體現(xiàn)基于風(fēng)險(xiǎn)的思維？
認(rèn)證機(jī)構(gòu)管理評(píng)審的主要內(nèi)容是什么?
在菲律賓，怎樣注冊(cè)自己的商標(biāo)？
《醫(yī)療器械臨床試驗(yàn)規(guī)定》