ISO 28000: 2007《供應(yīng)鏈安全管理體系規(guī)范》和本文件根據(jù)建立公認的供應(yīng)鏈管理體系標(biāo)準(zhǔn)這一需求制定，可用作安全管理體系評價和認證依據(jù)，也可指導(dǎo)此類標(biāo)準(zhǔn)的實施。

ISO 28000與GB/T 19001和GB/T 24001管理體系標(biāo)準(zhǔn)兼容。這些標(biāo)準(zhǔn)促進了組織根據(jù)自身意愿對質(zhì)量、環(huán)境和供應(yīng)鏈管理體系進行整合。

本文件在各條款/分條款前有一個方框，列出了ISO 28000中的完整要求，隨后是相關(guān)的指導(dǎo)。本文件條款號與ISO 28000的條款號相一致。

本文件未包括針對供應(yīng)鏈運營商、供應(yīng)商和利益相關(guān)方之間合同的所有必要的規(guī)定。因此，使用者宜合理采用本文件。

本文件為ISO 28000: 2007《供應(yīng)鏈安全管理體系規(guī)范》的應(yīng)用提供通用性建議。本文件解釋了ISO 28000中的基本原則，對ISO 28000各項要求的目的 、典型輸入、過程和典型輸出進行了說明，旨在幫助理解和實施ISO 28000.本文件在ISO 28000條款之外不再產(chǎn)生附加要求，也未規(guī)定實施ISO 28000的強制性方法。

ISO 28000

一、范圍

本國際標(biāo)準(zhǔn)規(guī)定了安全管理體系(包括對供應(yīng)鏈安全保證至關(guān)重要的方面)的要求。這些方面包括但不限于金融、制造、信息管理以及商品的包裝、儲存和在不同運輸方式和地點之間的轉(zhuǎn)運。安全管理與企業(yè)管理的許多其他方面存在聯(lián)系。在任何影響安全管理的期間或地點，包括在采用供應(yīng)鏈運輸貨物時,應(yīng)直接考慮這些其他方面。

本文件適用于在生產(chǎn)或者供應(yīng)鏈任何階段希望達成以下目標(biāo)的從制造、服務(wù)存儲或者運輸?shù)娜魏文５慕M織(從小型到跨國規(guī)模)

a)建立實施維護和進安全體系

b)確保符合規(guī)定的安全管理策略

c)驗證是否符合其他要求;

d)尋求通過授權(quán)的第三方認證組織對其安全管理體系進行認證或注冊

e)對做一些法規(guī)以及監(jiān)管規(guī)范也對在本文件中某些要求進行了闡述

本文件并非旨在要求對合規(guī)性進行重復(fù)驗證選擇第三方認證的組織可進一步證明其在促進供應(yīng)鏈安全方面的重要努力

4.1 通用要求

通用要求沙及以下方面。

a) ISO 28000 要求

組織應(yīng)建立、制定、實施、維護和不斷改進有效的安全管理體系，以確定安全威脅、評價風(fēng)險、控制并減輕其后果。

組織應(yīng)按照第4章的要不提高系統(tǒng)的有效性

組織應(yīng)確定其安全管理體系的范圍。若組織選擇將影響滿足這些要求的任何流程外包，則該組織應(yīng)保證這些流程處于管控下。在安全管理體系之內(nèi),應(yīng)確定對這些外包流程的必要控制措施和責(zé)任

b)目的

組織宜建立并維持符合SO 28000 所有要求的管理體系。這有助于組織滿足安全規(guī)范要求和法律的規(guī)定。

安全管理體系詳細程度和復(fù)雜度、文件范圍和投人的資源取決于組織的規(guī)模和復(fù)雜度及其活動的性質(zhì)。

組織有權(quán)自行靈活確定管理體系的邊界和范圍,可選擇在整個組織內(nèi)、組織具體的運行單位或活動中實施ISO 28000

在確定管理體系的邊界和范圍時宜予以注意。組織不得試圖通過限定其范圍來規(guī)避對組織整體運行所需的某項運行或活動,或可能對員工及其他利益相關(guān)方造成影響的那些運行或活動的評價。

當(dāng)在具體的運行單位或活動中實施 SO 28000 其部分制定的安全策略和也可用于具體的運行單位或活動,以便滿足SO 28000 的求這就要求對這些安全策略或序進行略微修訂或修正，以確保其適用于具體的運行單位或活動。

c)典型輸入

所有輸人要求均在ISO 28000 中作出了規(guī)定

d)典型輸出

典型輸出是一個得以有效實施和保持的安全管理體系，有助于促進組織不海夏認與網(wǎng)絡(luò)安全

4.3.1 安全風(fēng)險評估安全風(fēng)險評估

安全風(fēng)險評估安全風(fēng)險評估在 ISO 28000 中的要求的輸過和典輸出括下方面

1)ISO 28000 要求

組織應(yīng)制定并維護一系列程序,以便對安全威脅、安全管理相關(guān)威脅和風(fēng)險進行持續(xù)識別和評估，以及對必要管理控制措施進行識別和實施。安全威脅和風(fēng)險識別、評價和控制方式應(yīng)至少適合于運營的性質(zhì)和規(guī)模。評估時應(yīng)考慮到某事件及其所有后果的可能性，這些后果應(yīng)包括:

a) 故障威脅和風(fēng)險如能障事或者事訴

b)運營威脅和風(fēng)險,包括影響組織業(yè)績、狀況或安全的安全、人為因素和其他活動的控制;

c)可造成安全施和設(shè)備性能降低的自然境事件(暴雨、洪水等);

d)超出組織控制范圍的因素，例如外部供應(yīng)設(shè)備和服務(wù)的故障;

e)利益相關(guān)者的威脅和風(fēng)險，例如無法符合監(jiān)管要求或損壞聲譽或品牌

f)安全設(shè)備的設(shè)計與安裝，包括更換、維護等

g)信息和數(shù)據(jù)管理和交流

h)對運營持續(xù)成的威脅

組織應(yīng)確?？紤]到評價結(jié)果和控制效果,并在適當(dāng)情況下納人以下內(nèi)容中：

a)安全管理目標(biāo)和指標(biāo):

b)安全管理機會

c)確定設(shè)計、規(guī)范和安裝的要求，

d)確定適當(dāng)資源(包括人員水平)

e)確定培訓(xùn)需求和技能(見4.4.2)

f)制定運行控制施(見 .4.6)

g)組織的全面威脅和風(fēng)險管理框架

組織應(yīng)記錄上述信息,并保持更新。組織進行威脅和風(fēng)險識別與評價的方法應(yīng)符合以下要求

a)應(yīng)其范時間確其有動而動性

b)收集所有與安和風(fēng)險相所有信息

c)對威脅和風(fēng)險進行類并區(qū)分可除或控制的威脅和風(fēng)險

d)對措施進行監(jiān)控，確保其有效、及時實施(見4.5.1)

2)目的

在采用安全威脅識別、風(fēng)險評估和風(fēng)險管理過程后,組織宜在其領(lǐng)域內(nèi)對重大安全風(fēng)險、威脅和缺陷進行總體評價。

安全威脅識別、風(fēng)險評估和風(fēng)險管理過程及其輸出宜作為整個安全體系的基礎(chǔ)。在安全威脅識別風(fēng)險評估和風(fēng)險管理過程與其他安全管理體系要素之間建立清晰明確的聯(lián)系非常重要。

本文件的目的在于建立原則,組織可依據(jù)這些原則確定已有的安全威脅識別、風(fēng)險評估和風(fēng)險管理過是否適用且充分。本文件的目的不在于就活動開展方式提供建議。

安全威脅識別、風(fēng)險評估和風(fēng)險管理過程宜使組織能夠持續(xù)對安全風(fēng)險進行識別、評估和控制。

在任何情況下均宜考慮組織內(nèi)部正常的和異常的運行以及潛在的緊急情況。

安全威脅識別、風(fēng)險評估和風(fēng)險管理過程的復(fù)雜度在很大程度上取決于以下因素:組織規(guī)模、組織內(nèi)部工作場所情況以及安全風(fēng)險的性質(zhì)復(fù)雜和要。IS O2800:2007 中 .3.1 并非強安全風(fēng)險非常有限的小型組織進行復(fù)雜的安全威脅識別、風(fēng)險評估和風(fēng)險管理·

計算機與網(wǎng)絡(luò)安全安全威脅識別、風(fēng)險評估和風(fēng)險管理過程宜考慮執(zhí)行這三個過程所需的成本和時間以及可靠數(shù)據(jù)

4.3.2 法律、法規(guī)及其他安全監(jiān)管要求

法律、法規(guī)及其他安全監(jiān)管要求在 ISO 28000 中的要的輸過和典輸出包括以方面。

1) ISO 28000 要求

組織應(yīng)制定實施并維護滿足以下要求的程序

a)確定并使用適用的法律要求及組織采用的有關(guān)安全威脅和風(fēng)險的其他求

b)確定這些要求應(yīng)用于安全威和風(fēng)險的式

組織應(yīng)及時更新這些信息。應(yīng)向員工及其他相關(guān)第三方(承商)傳達有關(guān)法律及其他要求的相關(guān)信息。

2)目的

組織需意識到并了解適用法律及其他要求對其活動產(chǎn)生的或?qū)a(chǎn)生的影響以及將這些信息傳達給相關(guān)人員的方式。

ISO 28000;2007 的4.3.2 在提高對律和管職責(zé)的識了解。其目的不在于要組織針對極少參考或使用的法律或其他文件建立文件庫。

3)典型輸入

典型輸入包括下列項目：

組織供應(yīng)鏈詳細資料

安全威脅識別、風(fēng)險評估和風(fēng)險管理結(jié)果(見 4.3.1)

最佳實踐(如規(guī)范、行業(yè)協(xié)會指南)

法律要求及政府、政府間、貿(mào)易協(xié)會規(guī)范實踐與法規(guī)

信息來源清單;

國家、區(qū)域或國際標(biāo)準(zhǔn)

組織內(nèi)部要求

利益相關(guān)方要求;

供應(yīng)鏈動態(tài)管理過程。

4)過程

宜識別相關(guān)法規(guī)及其他要求。組織確定獲取信息的最恰當(dāng)方法,包括支信身機絡(luò)盤、磁盤或互聯(lián)網(wǎng))。組織還宜評價適用的要求要求適用的情況以及需接受信息的主體。

供應(yīng)鏈安全管理體系

ISO 28000實施指南

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標(biāo)準(zhǔn)等信息，中企檢測認證網(wǎng)為檢測認證商標(biāo)專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.1cjaei.cn/zs/202307/ccaa_53053.html