一、ISO 28000概述
ISO 28000供应链安全管理体系国际标准,是由ISO/TC 292(国际标准化组织安全与韧性技术委员会)起草制定的。
供应链安全管理体系标准的发展历史:1、2005年11月,发布ISO/PAS 28000:2005《供应链安全管理体系规范》
2、2007年9月,发布ISO 28000:2007《供应链安全管理体系规范》
3、2022年3月,发布ISO 28000:2022《安全与韧性 安全管理体系 要求》
ISO/TC 292已发布和正在制定中的旨在补充和支持ISO 28000的供应链安全管理体系系列标准有:
1、ISO 28001:2007《供应链安全管理体系 实施供应链安全、评估和计划的最佳实践 要求和指南》
2、ISO 28002:2011《供应链安全管理体系 供应链恢复能力的开发 要求及使用指南》
3、ISO 28003:2007《供应链安全管理体系 供应链安全管理体系认证机构要求》
4、ISO 28004-1:2007《供应链安全管理体系 ISO 28000实施指南 第1部分:一般原则》
5、ISO 28004-3:2014《供应链安全管理体系 ISO 28000实施指南 第3部分:中小业务采用ISO 28000的附加特定指南(海港除外)》
6、ISO 28004-4:2014《供应链安全管理体系 ISO 28000实施指南 第4部分:若以符合ISO 28001为管理目标实施ISO 28000的附加特定指南》
二、ISO 28000的适用范围
ISO 28000适用于供应链中采购、制造、服务、仓储、运输任一阶段的任何规模和任何类型的组织。它需要组织对其供应链安全管理过程的要素进行识别和评估,这些要素包括但不局限于:财务、制造、信息管理、用于包装和储存的设备以及不同运输方式和地点间的货物转移等,并确认是否采取了足够的安全措施以及是否遵守法律法规和其他要求。ISO 28000越来越成为国际性供应链公司的基本要求,越来越多的商业伙伴也会提出此要求。
三、ISO 28000的收益
1、向利益相关方展示了一个完整且安全的供应链管理体系,提高了组织的商业能力和信誉度;2、确保一个供应链内上下游不同服务提供商的做事方法的一致性;
3、全面进行安全风险识别和评价,有效控制和降低了供应链存在的安全隐患和影响;
4、该标准是基于PDCA(策划—实施—检查—改进)循环原则为基础的管理体系,以公认的ISO 9001标准为原型,可以有效地与ISO 14001&ISO 45001整合;
5、9.11事件发生后,针对供应链的安全管理要求,美国国土安全部海关边境保护局 (CBP)组建了海关-商贸反恐怖联盟(C-TPAT)。与此同时,世界其他地区组织也纷纷出台相关标准,如:欧洲认可经营者指引(AEO)、加拿大贸易伙伴保护措施(PIP)和世界海关组织(WCO),以保障全球贸易和运输的安全与便捷。组织若要满足以上标准要求,实施ISO 28000就显得更加重要也是最基本的要求。
四、ISO 28000的主要内容
1、一般需求(General requirements):规范业者需建立、制作文件、实施、维护、及持续改善安全管理系统,以确认风险并控制及降低风险所带来的后果。该安全管理系统需明确定义其范围。业者如有外包作业,亦须确保外包作业在安全管控之中,其所需之管控与责任须规范在安全管理系统之中。
2、安全管理政策(Security management policy):规范最高管理者需依公司政策核定整体安全管理政策。
3、风险评估与安全规划(Security risk assessment and planning):规范如何评估风险、法令规章之需求、安全管理目的(Objectives)考虑、目标(Targets)设定、以及安全计划作成。
4、系统导入与实施(Implementation and operation):规范安全管理组织架构与权责、员工教育训练与安全认知、建立安全信息沟通管道、构建文件记录系统、文件信息之管控、系统运作之管控、紧急措施与安全回复。
5、检视与改善措施(Checking and corrective action):规范安全绩效评量与监控、系统定期核查与改善、安全威胁之矫正预防措施、记录之管控、安全稽核。
6、管理检讨与持续改善(Management review and continual improvement):规范最高管理者应于计划的期间内,检讨安全管理系统,加以改善,以确保系统之适用性与有效性。
五、ISO 28000供应链安全管理体系建设流程
1、确定组织架构图
2、清晰了解各部门职能
3、按各部门风险识别风险评估
4、法律法规及其他要求收集
5、验证风险评估措施的落实
6、应急准备、响应和安全恢复
