最新版供應鏈安全管理體系標準ISO28000:2022已于2022年3月發(fā)布。
ISO28000:2022的轉換期為標準發(fā)布后的3年,轉換期截止后,依據ISO28000:2007版標準的認證證書(shū)將作廢或撤銷(xiāo),這也就意味著(zhù)已獲證企業(yè)需要在2025年3月15日之前完成轉版審核并獲得 ISO28000:2022版證書(shū)。
ISO28000供應鏈安全管理標準詳細說(shuō)明了安全管理體系的要求, 一個(gè)正式的安全管理方法應考慮影響組織的安全漏洞的所有活動(dòng),職能和操作。其安全漏洞的活動(dòng),職能和操作是與安全和迫在眉睫的安全威脅或持續的安全違規行為相關(guān)的,也包括其相關(guān)的安全風(fēng)險。
一、ISO 28000概述
ISO 28000供應鏈安全管理體系國際標準,是由ISO/TC 292(國際標準化組織安全與韌性技術(shù)委員會(huì ))起草制定的。
供應鏈安全管理體系標準的發(fā)展歷史:
1、2005年11月,發(fā)布ISO/PAS 28000:2005《供應鏈安全管理體系規范》
2、2007年9月,發(fā)布ISO 28000:2007《供應鏈安全管理體系規范》
3、2022年3月,發(fā)布ISO 28000:2022《安全與韌性安全管理體系要求》
ISO/TC 292已發(fā)布和正在制定中的旨在補充和支持ISO 28000的供應鏈安全管理體系系列標準有:
1、ISO 28001:2007《供應鏈安全管理體系實(shí)施供應鏈安全、評估和計劃的最佳實(shí)踐要求和指南》
2、ISO 28002:2011《供應鏈安全管理體系供應鏈恢復能力的開(kāi)發(fā)要求及使用指南》
3、ISO 28003:2007《供應鏈安全管理體系供應鏈安全管理體系認證機構要求》
4、ISO 28004-1:2007《供應鏈安全管理體系ISO 28000實(shí)施指南 第1部分:一般原則》
5、ISO 28004-3:2014《供應鏈安全管理體系ISO 28000實(shí)施指南 第3部分:中小業(yè)務(wù)采用ISO 28000的附加特定指南(海港除外)》
6、ISO 28004-4:2014《供應鏈安全管理體系ISO 28000實(shí)施指南 第4部分:若以符合ISO 28001為管理目標實(shí)施ISO 28000的附加特定指南》
……二、ISO 28000的適用范圍
ISO 28000適用于供應鏈中采購、制造、服務(wù)、倉儲、運輸任一階段的任何規模和任何類(lèi)型的組織。它需要組織對其供應鏈安全管理過(guò)程的要素進(jìn)行識別和評估,這些要素包括但不局限于:財務(wù)、制造、信息管理、用于包裝和儲存的設備以及不同運輸方式和地點(diǎn)間的貨物轉移等,并確認是否采取了足夠的安全措施以及是否遵守法律法規和其他要求。
ISO 28000越來(lái)越成為國際性供應鏈公司的基本要求,越來(lái)越多的商業(yè)伙伴也會(huì )提出此要求。
三、ISO 28000的收益
1、向利益相關(guān)方展示了一個(gè)完整且安全的供應鏈管理體系,提高了組織的商業(yè)能力和信譽(yù)度;
2、確保一個(gè)供應鏈內上下游不同服務(wù)提供商的做事方法的一致性;
3、全面進(jìn)行安全風(fēng)險識別和評價(jià),有效控制和降低了供應鏈存在的安全隱患和影響;
4、該標準是基于PDCA(策劃—實(shí)施—檢查—改進(jìn))循環(huán)原則為基礎的管理體系,以公認的ISO 9001標準為原型,可以有效地與ISO 14001&ISO 45001整合;
5、9.11事件發(fā)生后,針對供應鏈的安全管理要求,美國國土安全部海關(guān)邊境保護局 (CBP)組建了海關(guān)-商貿反恐怖聯(lián)盟(C-TPAT)。與此同時(shí),世界其他地區組織也紛紛出臺相關(guān)標準,如:歐洲認可經(jīng)營(yíng)者指引(AEO)、加拿大貿易伙伴保護措施(PIP)和世界海關(guān)組織(WCO),以保障全球貿易和運輸的安全與便捷。組織若要滿(mǎn)足以上標準要求,實(shí)施ISO 28000就顯得更加重要也是最基本的要求。
四、ISO 28000的主要內容
1、一般需求(General requirements):規范業(yè)者需建立、制作文件、實(shí)施、維護、及持續改善安全管理系統,以確認風(fēng)險并控制及降低風(fēng)險所帶來(lái)的后果。該安全管理系統需明確定義其范圍。業(yè)者如有外包作業(yè),亦須確保外包作業(yè)在安全管控之中,其所需之管控與責任須規范在安全管理系統之中。
2、安全管理政策(Security management policy):規范最高管理者需依公司政策核定整體安全管理政策。
3、風(fēng)險評估與安全規劃(Security risk assessment and planning):規范如何評估風(fēng)險、法令規章之需求、安全管理目的(Objectives)考慮、目標(Targets)設定、以及安全計劃作成。
4、系統導入與實(shí)施(Implementation and operation):規范安全管理組織架構與權責、員工教育訓練與安全認知、建立安全信息溝通管道、構建文件記錄系統、文件信息之管控、系統運作之管控、緊急措施與安全回復。
5、檢視與改善措施(Checking and corrective action):規范安全績(jì)效評量與監控、系統定期核查與改善、安全威脅之矯正預防措施、記錄之管控、安全稽核。
6、管理檢討與持續改善(Management review and continual improvement):規范最高管理者應于計劃的期間內,檢討安全管理系統,加以改善,以確保系統之適用性與有效性。
五、ISO 28000供應鏈安全管理體系建設流程
1、確定組織架構圖
2、清晰了解各部門(mén)職能
3、按各部門(mén)風(fēng)險識別風(fēng)險評估
4、法律法規及其他要求收集
5、驗證風(fēng)險評估措施的落實(shí)
6、應急準備、響應和安全恢復