ISO28000供應鏈安全管理體系

最新版供應鏈安全管理體系標準ISO28000:2022已于2022年3月發(fā)布。

ISO28000:2022的轉(zhuǎn)換期為標準發(fā)布后的3年，轉(zhuǎn)換期截止后，依據(jù)ISO28000:2007版標準的認證證書將作廢或撤銷，這也就意味著已獲證企業(yè)需要在2025年3月15日之前完成轉(zhuǎn)版審核并獲得 ISO28000:2022版證書。

ISO28000供應鏈安全管理標準詳細說明了安全管理體系的要求， 一個正式的安全管理方法應考慮影響組織的安全漏洞的所有活動，職能和操作。其安全漏洞的活動，職能和操作是與安全和迫在眉睫的安全威脅或持續(xù)的安全違規(guī)行為相關的，也包括其相關的安全風險。

一、ISO 28000概述

ISO 28000供應鏈安全管理體系國際標準，是由ISO/TC 292（國際標準化組織安全與韌性技術委員會）起草制定的。

供應鏈安全管理體系標準的發(fā)展歷史：

1、2005年11月，發(fā)布ISO/PAS 28000:2005《供應鏈安全管理體系規(guī)范》

2、2007年9月，發(fā)布ISO 28000:2007《供應鏈安全管理體系規(guī)范》

3、2022年3月，發(fā)布ISO 28000:2022《安全與韌性安全管理體系要求》

ISO/TC 292已發(fā)布和正在制定中的旨在補充和支持ISO 28000的供應鏈安全管理體系系列標準有：

1、ISO 28001:2007《供應鏈安全管理體系實施供應鏈安全、評估和計劃的最佳實踐要求和指南》

2、ISO 28002:2011《供應鏈安全管理體系供應鏈恢復能力的開發(fā)要求及使用指南》

3、ISO 28003:2007《供應鏈安全管理體系供應鏈安全管理體系認證機構要求》

4、ISO 28004-1:2007《供應鏈安全管理體系ISO 28000實施指南 第1部分：一般原則》

5、ISO 28004-3:2014《供應鏈安全管理體系ISO 28000實施指南 第3部分：中小業(yè)務采用ISO 28000的附加特定指南（海港除外）》

6、ISO 28004-4:2014《供應鏈安全管理體系ISO 28000實施指南 第4部分：若以符合ISO 28001為管理目標實施ISO 28000的附加特定指南》

……二、ISO 28000的適用范圍

ISO 28000適用于供應鏈中采購、制造、服務、倉儲、運輸任一階段的任何規(guī)模和任何類型的組織。它需要組織對其供應鏈安全管理過程的要素進行識別和評估，這些要素包括但不局限于：財務、制造、信息管理、用于包裝和儲存的設備以及不同運輸方式和地點間的貨物轉(zhuǎn)移等，并確認是否采取了足夠的安全措施以及是否遵守法律法規(guī)和其他要求。

ISO 28000越來越成為國際性供應鏈公司的基本要求，越來越多的商業(yè)伙伴也會提出此要求。

三、ISO 28000的收益

1、向利益相關方展示了一個完整且安全的供應鏈管理體系，提高了組織的商業(yè)能力和信譽度；

2、確保一個供應鏈內(nèi)上下游不同服務提供商的做事方法的一致性；

3、全面進行安全風險識別和評價，有效控制和降低了供應鏈存在的安全隱患和影響；

4、該標準是基于PDCA（策劃—實施—檢查—改進）循環(huán)原則為基礎的管理體系，以公認的ISO 9001標準為原型，可以有效地與ISO 14001&ISO 45001整合；

5、9.11事件發(fā)生后，針對供應鏈的安全管理要求，美國國土安全部海關邊境保護局 （CBP）組建了海關-商貿(mào)反恐怖聯(lián)盟（C-TPAT）。與此同時，世界其他地區(qū)組織也紛紛出臺相關標準，如：歐洲認可經(jīng)營者指引（AEO）、加拿大貿(mào)易伙伴保護措施（PIP）和世界海關組織（WCO），以保障全球貿(mào)易和運輸?shù)陌踩c便捷。組織若要滿足以上標準要求，實施ISO 28000就顯得更加重要也是最基本的要求。

四、ISO 28000的主要內(nèi)容

1、一般需求（General requirements）：規(guī)范業(yè)者需建立、制作文件、實施、維護、及持續(xù)改善安全管理系統(tǒng)，以確認風險并控制及降低風險所帶來的后果。該安全管理系統(tǒng)需明確定義其范圍。業(yè)者如有外包作業(yè)，亦須確保外包作業(yè)在安全管控之中，其所需之管控與責任須規(guī)范在安全管理系統(tǒng)之中。

2、安全管理政策（Security management policy）：規(guī)范最高管理者需依公司政策核定整體安全管理政策。

3、風險評估與安全規(guī)劃（Security risk assessment and planning）：規(guī)范如何評估風險、法令規(guī)章之需求、安全管理目的（Objectives）考慮、目標（Targets）設定、以及安全計劃作成。

4、系統(tǒng)導入與實施（Implementation and operation）：規(guī)范安全管理組織架構與權責、員工教育訓練與安全認知、建立安全信息溝通管道、構建文件記錄系統(tǒng)、文件信息之管控、系統(tǒng)運作之管控、緊急措施與安全回復。

5、檢視與改善措施（Checking and corrective action）：規(guī)范安全績效評量與監(jiān)控、系統(tǒng)定期核查與改善、安全威脅之矯正預防措施、記錄之管控、安全稽核。

6、管理檢討與持續(xù)改善（Management review and continual improvement）：規(guī)范最高管理者應于計劃的期間內(nèi)，檢討安全管理系統(tǒng)，加以改善，以確保系統(tǒng)之適用性與有效性。

五、ISO 28000供應鏈安全管理體系建設流程

1、確定組織架構圖

2、清晰了解各部門職能

3、按各部門風險識別風險評估

4、法律法規(guī)及其他要求收集

5、驗證風險評估措施的落實

6、應急準備、響應和安全恢復