ISO 28000: 2007《供应链安全管理体系规范》和本文件根据建立公认的供应链管理体系标准这一需求制定,可用作安全管理体系评价和认证依据,也可指导此类标准的实施。
ISO 28000与GB/T 19001和GB/T 24001管理体系标准兼容。这些标准促进了组织根据自身意愿对质量、环境和供应链管理体系进行整合。
本文件在各条款/分条款前有一个方框,列出了ISO 28000中的完整要求,随后是相关的指导。本文件条款号与ISO 28000的条款号相一致。
本文件未包括针对供应链运营商、供应商和利益相关方之间合同的所有必要的规定。因此,使用者宜合理采用本文件。
本文件为ISO 28000: 2007《供应链安全管理体系规范》的应用提供通用性建议。本文件解释了ISO 28000中的基本原则,对ISO 28000各项要求的目的 、典型输入、过程和典型输出进行了说明,旨在帮助理解和实施ISO 28000.本文件在ISO 28000条款之外不再产生附加要求,也未规定实施ISO 28000的强制性方法。
ISO 28000
一、范围
本国际标准规定了安全管理体系(包括对供应链安全保证至关重要的方面)的要求。这些方面包括但不限于金融、制造、信息管理以及商品的包装、储存和在不同运输方式和地点之间的转运。安全管理与企业管理的许多其他方面存在联系。在任何影响安全管理的期间或地点,包括在采用供应链运输货物时,应直接考虑这些其他方面。
本文件适用于在生产或者供应链任何阶段希望达成以下目标的从制造、服务存储或者运输的任何模的组织(从小型到跨国规模)
a)建立实施维护和进安全体系
b)确保符合规定的安全管理策略
c)验证是否符合其他要求;
d)寻求通过授权的第三方认证组织对其安全管理体系进行认证或注册
e)对做一些法规以及监管规范也对在本文件中某些要求进行了阐述
本文件并非旨在要求对合规性进行重复验证选择第三方认证的组织可进一步证明其在促进供应链安全方面的重要努力
4.1 通用要求
通用要求沙及以下方面。
a) ISO 28000 要求
组织应建立、制定、实施、维护和不断改进有效的安全管理体系,以确定安全威胁、评价风险、控制并减轻其后果。
组织应按照第4章的要不提高系统的有效性
组织应确定其安全管理体系的范围。若组织选择将影响满足这些要求的任何流程外包,则该组织应保证这些流程处于管控下。在安全管理体系之内,应确定对这些外包流程的必要控制措施和责任
b)目的
组织宜建立并维持符合SO 28000 所有要求的管理体系。这有助于组织满足安全规范要求和法律的规定。
安全管理体系详细程度和复杂度、文件范围和投人的资源取决于组织的规模和复杂度及其活动的性质。
组织有权自行灵活确定管理体系的边界和范围,可选择在整个组织内、组织具体的运行单位或活动中实施ISO 28000
在确定管理体系的边界和范围时宜予以注意。组织不得试图通过限定其范围来规避对组织整体运行所需的某项运行或活动,或可能对员工及其他利益相关方造成影响的那些运行或活动的评价。
当在具体的运行单位或活动中实施 SO 28000 其部分制定的安全策略和也可用于具体的运行单位或活动,以便满足SO 28000 的求这就要求对这些安全策略或序进行略微修订或修正,以确保其适用于具体的运行单位或活动。
c)典型输入
所有输人要求均在ISO 28000 中作出了规定
d)典型输出
典型输出是一个得以有效实施和保持的安全管理体系,有助于促进组织不海夏认与网络安全
4.3.1 安全风险评估安全风险评估
安全风险评估安全风险评估在 ISO 28000 中的要求的输过和典输出括下方面
1)ISO 28000 要求
组织应制定并维护一系列程序,以便对安全威胁、安全管理相关威胁和风险进行持续识别和评估,以及对必要管理控制措施进行识别和实施。安全威胁和风险识别、评价和控制方式应至少适合于运营的性质和规模。评估时应考虑到某事件及其所有后果的可能性,这些后果应包括:
a) 故障威胁和风险如能障事或者事诉
b)运营威胁和风险,包括影响组织业绩、状况或安全的安全、人为因素和其他活动的控制;
c)可造成安全施和设备性能降低的自然境事件(暴雨、洪水等);
d)超出组织控制范围的因素,例如外部供应设备和服务的故障;
e)利益相关者的威胁和风险,例如无法符合监管要求或损坏声誉或品牌
f)安全设备的设计与安装,包括更换、维护等
g)信息和数据管理和交流
h)对运营持续成的威胁
组织应确保考虑到评价结果和控制效果,并在适当情况下纳人以下内容中:
a)安全管理目标和指标:
b)安全管理机会
c)确定设计、规范和安装的要求,
d)确定适当资源(包括人员水平)
e)确定培训需求和技能(见4.4.2)
f)制定运行控制施(见 .4.6)
g)组织的全面威胁和风险管理框架
组织应记录上述信息,并保持更新。组织进行威胁和风险识别与评价的方法应符合以下要求
a)应其范时间确其有动而动性
b)收集所有与安和风险相所有信息
c)对威胁和风险进行类并区分可除或控制的威胁和风险
d)对措施进行监控,确保其有效、及时实施(见4.5.1)
2)目的
在采用安全威胁识别、风险评估和风险管理过程后,组织宜在其领域内对重大安全风险、威胁和缺陷进行总体评价。
安全威胁识别、风险评估和风险管理过程及其输出宜作为整个安全体系的基础。在安全威胁识别风险评估和风险管理过程与其他安全管理体系要素之间建立清晰明确的联系非常重要。
本文件的目的在于建立原则,组织可依据这些原则确定已有的安全威胁识别、风险评估和风险管理过是否适用且充分。本文件的目的不在于就活动开展方式提供建议。
安全威胁识别、风险评估和风险管理过程宜使组织能够持续对安全风险进行识别、评估和控制。
在任何情况下均宜考虑组织内部正常的和异常的运行以及潜在的紧急情况。
安全威胁识别、风险评估和风险管理过程的复杂度在很大程度上取决于以下因素:组织规模、组织内部工作场所情况以及安全风险的性质复杂和要。IS O2800:2007 中 .3.1 并非强安全风险非常有限的小型组织进行复杂的安全威胁识别、风险评估和风险管理·
计算机与网络安全安全威胁识别、风险评估和风险管理过程宜考虑执行这三个过程所需的成本和时间以及可靠数据
4.3.2 法律、法规及其他安全监管要求
法律、法规及其他安全监管要求在 ISO 28000 中的要的输过和典输出包括以方面。
1) ISO 28000 要求
组织应制定实施并维护满足以下要求的程序
a)确定并使用适用的法律要求及组织采用的有关安全威胁和风险的其他求
b)确定这些要求应用于安全威和风险的式
组织应及时更新这些信息。应向员工及其他相关第三方(承商)传达有关法律及其他要求的相关信息。
2)目的
组织需意识到并了解适用法律及其他要求对其活动产生的或将产生的影响以及将这些信息传达给相关人员的方式。
ISO 28000;2007 的4.3.2 在提高对律和管职责的识了解。其目的不在于要组织针对极少参考或使用的法律或其他文件建立文件库。
3)典型输入
典型输入包括下列项目:
组织供应链详细资料
安全威胁识别、风险评估和风险管理结果(见 4.3.1)
最佳实践(如规范、行业协会指南)
法律要求及政府、政府间、贸易协会规范实践与法规
信息来源清单;
国家、区域或国际标准
组织内部要求
利益相关方要求;
供应链动态管理过程。
4)过程
宜识别相关法规及其他要求。组织确定获取信息的最恰当方法,包括支信身机络盘、磁盘或互联网)。组织还宜评价适用的要求要求适用的情况以及需接受信息的主体。
供应链安全管理体系
ISO 28000实施指南
