*新版供应链安全管理体系标准ISO28000:2022已于2022年3月发布。
ISO28000:2022的转换期为标准发布后的3年,转换期截止后,依据ISO28000:2007版标准的认证证书将作废或撤销,这也就意味着已获证企业需要在2025年3月15日之前完成转版审核并获得ISO28000:2022版证书。
ISO28000供应链安全管理标准详细说明了安全管理体系的要求,一个正式的安全管理方法应考虑影响组织的安全漏洞的所有活动,职能和操作。其安全漏洞的活动,职能和操作是与安全和迫在眉睫的安全威胁或持续的安全违规行为相关的,也包括其相关的安全风险。
新版本ISO28000标准主要变化
第 4 章中增加了关于原则的说明, 以更好地与ISO31000协调
第 8 章中增加了一些说明,以更好地与 ISO22301 保持一致并促进整合,包括:安保策略、程序、过程和处置。
全球贸易的扩张,各种犯罪也不断深入到物流供应链环节。在过去的十年里,各种环境法规不断增加,而组织也越来越注重其在全球供应链中的安全问题。为了应对供应链安全问题,很多组织都相应地推出了相关物流标准,例如货运资产保护协会(TAPA)为高科技、高价产品制定的《设施安保标准》(FSR)、《货车运输安保标准》(TSR);****化组织制定的ISO28000供应链安全管理标准;美国海关及边境保护局推出的海关商贸反恐怖联盟计划(C-TPAT);世界海关组织(WCO)推出的“经济组织”(AEO)方案。
ISO 28000供应链安全管理标准详细说明了供应链安全管理体系的要求,并将安全管理与其他业务管理相结合;ISO28000的范围涵盖了组织在整个供应链中控制并影响的一切活动,其中就包括运输环节。
ISO 28000供应链安全管理体系****,是由ISO/TC 292(****化组织安全与韧性技术委员会)起草制定的。
供应链安全管理体系标准的发展历史:
1、2005年11月,发布ISO/PAS28000:2005《供应链安全管理体系规范》
2、2007年9月,发布ISO28000:2007《供应链安全管理体系规范》
3、2022年3月,发布ISO28000:2022《安全与韧性 安全管理体系 要求》
ISO/TC 292已发布和正在制定中的旨在补充和支持ISO28000的供应链安全管理体系系列标准有:
1、ISO 28001:2007《供应链安全管理体系实施供应链安全、评估和计划的**实践 要求和指南》
2、ISO 28002:2011《供应链安全管理体系供应链恢复能力的开发 要求及使用指南》
3、ISO 28003:2007《供应链安全管理体系供应链安全管理体系认证机构要求》
4、ISO 28004-1:2007《供应链安全管理体系ISO 28000实施指南 第1部分:一般原则》
5、ISO 28004-3:2014《供应链安全管理体系ISO 28000实施指南 第3部分:中小业务采用ISO 28000的附加特定指南(海港除外)》
6、ISO 28004-4:2014《供应链安全管理体系ISO 28000实施指南 第4部分:若以符合ISO 28001为管理目标实施ISO 28000的附加特定指南》
……
ISO28000适用于供应链中采购、制造、服务、仓储、运输任一阶段的任何规模和任何类型的组织。它需要组织对其供应链安全管理过程的要素进行识别和评估,这些要素包括但不局限于:财务、制造、信息管理、用于包装和储存的设备以及不同运输方式和地点间的货物转移等,并确认是否采取了足够的安全措施以及是否遵守法律法规和其他要求。
ISO 28000越来越成为国际性供应链公司的基本要求,越来越多的商业伙伴也会提出此要求。
1、向利益相关方展示了一个完整且安全的供应链管理体系,提高了组织的商业能力和信誉度;
2、确保一个供应链内上下游不同服务提供商的做事方法的一致性;
3、全面进行安全风险识别和评价,有效控制和降低了供应链存在的安全隐患和影响;
4、该标准是基于PDCA(策划—实施—检查—改进)循环原则为基础的管理体系,以公认的ISO 9001标准为原型,可以有效地与ISO14001&ISO 45001整合;
5、9.11事件发生后,针对供应链的安全管理要求,美国国土安全部海关边境保护局(CBP)组建了海关-商贸反恐怖联盟(C-TPAT)。世界其他地区组织也纷纷出台相关标准,如:欧洲认可经营者指引(AEO)、加拿大贸易伙伴保护措施(PIP)和世界海关组织(WCO),以保障全球贸易和运输的安全与便捷。组织若要满足以上标准要求,实施ISO28000就显得更加重要也是*基本的要求。
1、一般需求(Generalrequirements):规范业者需建立、制作文件、实施、维护、及持续改善安全管理系统,以确认风险并控制及降低风险所带来的后果。该安全管理系统需明确定义其范围。业者如有外包作业,亦须确保外包作业在安全管控之中,其所需之管控与责任须规范在安全管理系统之中。
2、安全管理政策(Security managementpolicy):规范*高管理者需依公司政策核定整体安全管理政策。
3、风险评估与安全规划(Security riskassessment andplanning):规范如何评估风险、法令规章之需求、安全管理目的(Objectives)考虑、目标(Targets)设定、以及安全计划作成。
4、系统导入与实施(Implementation andoperation):规范安全管理组织架构与权责、员工教育训练与安全认知、建立安全信息沟通管道、构建文件记录系统、文件信息之管控、系统运作之管控、紧急措施与安全回复。
5、检视与改善措施(Checking andcorrectiveaction):规范安全绩效评量与监控、系统定期核查与改善、安全威胁之矫正预防措施、记录之管控、安全稽核。
6、管理检讨与持续改善(Managementreview and continualimprovement):规范*高管理者应于计划的期间内,检讨安全管理系统,加以改善,以确保系统之适用性与有效性。
1、确定组织架构图
2、清晰了解各部门职能
3、按各部门风险识别风险评估
4、法律法规及其他要求收集
5、验证风险评估措施的落实
6、应急准备、响应和安全恢复