ISO 28000: 2007《供應鏈安全管理體系規范》和本文件根據建立公認的供應鏈管理體系標準這一需求制定,可用作安全管理體系評價和認證依據,也可指導此類標準的實施。
ISO 28000與GB/T 19001和GB/T 24001管理體系標準兼容。這些標準促進了組織根據自身意愿對質量、環境和供應鏈管理體系進行整合。
本文件在各條款/分條款前有一個方框,列出了ISO 28000中的完整要求,隨后是相關的指導。本文件條款號與ISO 28000的條款號相一致。
本文件未包括針對供應鏈運營商、供應商和利益相關方之間合同的所有必要的規定。因此,使用者宜合理采用本文件。
本文件為ISO 28000: 2007《供應鏈安全管理體系規范》的應用提供通用性建議。本文件解釋了ISO 28000中的基本原則,對ISO 28000各項要求的目的 、典型輸入、過程和典型輸出進行了說明,旨在幫助理解和實施ISO 28000.本文件在ISO 28000條款之外不再產生附加要求,也未規定實施ISO 28000的強制性方法。
ISO 28000
一、范圍
本國際標準規定了安全管理體系(包括對供應鏈安全保證至關重要的方面)的要求。這些方面包括但不限于金融、制造、信息管理以及商品的包裝、儲存和在不同運輸方式和地點之間的轉運。安全管理與企業管理的許多其他方面存在聯系。在任何影響安全管理的期間或地點,包括在采用供應鏈運輸貨物時,應直接考慮這些其他方面。
本文件適用于在生產或者供應鏈任何階段希望達成以下目標的從制造、服務存儲或者運輸的任何模的組織(從小型到跨國規模)
a)建立實施維護和進安全體系
b)確保符合規定的安全管理策略
c)驗證是否符合其他要求;
d)尋求通過授權的第三方認證組織對其安全管理體系進行認證或注冊
e)對做一些法規以及監管規范也對在本文件中某些要求進行了闡述
本文件并非旨在要求對合規性進行重復驗證選擇第三方認證的組織可進一步證明其在促進供應鏈安全方面的重要努力
4.1 通用要求
通用要求沙及以下方面。
a) ISO 28000 要求
組織應建立、制定、實施、維護和不斷改進有效的安全管理體系,以確定安全威脅、評價風險、控制并減輕其后果。
組織應按照第4章的要不提高系統的有效性
組織應確定其安全管理體系的范圍。若組織選擇將影響滿足這些要求的任何流程外包,則該組織應保證這些流程處于管控下。在安全管理體系之內,應確定對這些外包流程的必要控制措施和責任
b)目的
組織宜建立并維持符合SO 28000 所有要求的管理體系。這有助于組織滿足安全規范要求和法律的規定。
安全管理體系詳細程度和復雜度、文件范圍和投人的資源取決于組織的規模和復雜度及其活動的性質。
組織有權自行靈活確定管理體系的邊界和范圍,可選擇在整個組織內、組織具體的運行單位或活動中實施ISO 28000
在確定管理體系的邊界和范圍時宜予以注意。組織不得試圖通過限定其范圍來規避對組織整體運行所需的某項運行或活動,或可能對員工及其他利益相關方造成影響的那些運行或活動的評價。
當在具體的運行單位或活動中實施 SO 28000 其部分制定的安全策略和也可用于具體的運行單位或活動,以便滿足SO 28000 的求這就要求對這些安全策略或序進行略微修訂或修正,以確保其適用于具體的運行單位或活動。
c)典型輸入
所有輸人要求均在ISO 28000 中作出了規定
d)典型輸出
典型輸出是一個得以有效實施和保持的安全管理體系,有助于促進組織不海夏認與網絡安全
4.3.1 安全風險評估安全風險評估
安全風險評估安全風險評估在 ISO 28000 中的要求的輸過和典輸出括下方面
1)ISO 28000 要求
組織應制定并維護一系列程序,以便對安全威脅、安全管理相關威脅和風險進行持續識別和評估,以及對必要管理控制措施進行識別和實施。安全威脅和風險識別、評價和控制方式應至少適合于運營的性質和規模。評估時應考慮到某事件及其所有后果的可能性,這些后果應包括:
a) 故障威脅和風險如能障事或者事訴
b)運營威脅和風險,包括影響組織業績、狀況或安全的安全、人為因素和其他活動的控制;
c)可造成安全施和設備性能降低的自然境事件(暴雨、洪水等);
d)超出組織控制范圍的因素,例如外部供應設備和服務的故障;
e)利益相關者的威脅和風險,例如無法符合監管要求或損壞聲譽或品牌
f)安全設備的設計與安裝,包括更換、維護等
g)信息和數據管理和交流
h)對運營持續成的威脅
組織應確保考慮到評價結果和控制效果,并在適當情況下納人以下內容中:
a)安全管理目標和指標:
b)安全管理機會
c)確定設計、規范和安裝的要求,
d)確定適當資源(包括人員水平)
e)確定培訓需求和技能(見4.4.2)
f)制定運行控制施(見 .4.6)
g)組織的全面威脅和風險管理框架
組織應記錄上述信息,并保持更新。組織進行威脅和風險識別與評價的方法應符合以下要求
a)應其范時間確其有動而動性
b)收集所有與安和風險相所有信息
c)對威脅和風險進行類并區分可除或控制的威脅和風險
d)對措施進行監控,確保其有效、及時實施(見4.5.1)
2)目的
在采用安全威脅識別、風險評估和風險管理過程后,組織宜在其領域內對重大安全風險、威脅和缺陷進行總體評價。
安全威脅識別、風險評估和風險管理過程及其輸出宜作為整個安全體系的基礎。在安全威脅識別風險評估和風險管理過程與其他安全管理體系要素之間建立清晰明確的聯系非常重要。
本文件的目的在于建立原則,組織可依據這些原則確定已有的安全威脅識別、風險評估和風險管理過是否適用且充分。本文件的目的不在于就活動開展方式提供建議。
安全威脅識別、風險評估和風險管理過程宜使組織能夠持續對安全風險進行識別、評估和控制。
在任何情況下均宜考慮組織內部正常的和異常的運行以及潛在的緊急情況。
安全威脅識別、風險評估和風險管理過程的復雜度在很大程度上取決于以下因素:組織規模、組織內部工作場所情況以及安全風險的性質復雜和要。IS O2800:2007 中 .3.1 并非強安全風險非常有限的小型組織進行復雜的安全威脅識別、風險評估和風險管理·
計算機與網絡安全安全威脅識別、風險評估和風險管理過程宜考慮執行這三個過程所需的成本和時間以及可靠數據
4.3.2 法律、法規及其他安全監管要求
法律、法規及其他安全監管要求在 ISO 28000 中的要的輸過和典輸出包括以方面。
1) ISO 28000 要求
組織應制定實施并維護滿足以下要求的程序
a)確定并使用適用的法律要求及組織采用的有關安全威脅和風險的其他求
b)確定這些要求應用于安全威和風險的式
組織應及時更新這些信息。應向員工及其他相關第三方(承商)傳達有關法律及其他要求的相關信息。
2)目的
組織需意識到并了解適用法律及其他要求對其活動產生的或將產生的影響以及將這些信息傳達給相關人員的方式。
ISO 28000;2007 的4.3.2 在提高對律和管職責的識了解。其目的不在于要組織針對極少參考或使用的法律或其他文件建立文件庫。
3)典型輸入
典型輸入包括下列項目:
組織供應鏈詳細資料
安全威脅識別、風險評估和風險管理結果(見 4.3.1)
最佳實踐(如規范、行業協會指南)
法律要求及政府、政府間、貿易協會規范實踐與法規
信息來源清單;
國家、區域或國際標準
組織內部要求
利益相關方要求;
供應鏈動態管理過程。
4)過程
宜識別相關法規及其他要求。組織確定獲取信息的最恰當方法,包括支信身機絡盤、磁盤或互聯網)。組織還宜評價適用的要求要求適用的情況以及需接受信息的主體。
供應鏈安全管理體系
ISO 28000實施指南
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
