2007版ISO28004供应链安全管理体系ISO28000的实施指南(中文版)0906.docx

2007版ISO28004供应链安全管理体系ISO28000的实施指南(中文版)0906.docx

《2007版ISO28004供应链安全管理体系ISO28000的实施指南(中文版)0906.docx》由会员分享，可在线阅读，更多相关《2007版ISO28004供应链安全管理体系ISO28000的实施指南(中文版)0906.docx（42页珍藏版）》请在冰点文库上搜索。

供应链安全管理体系

——ISO28000实施指南

Securitymanagementsystemforthesupplychain--GuidelinesfortheimplementationofISO28000

目 次

目 次 1

前 言 2

引 言 3

1范围 4

2规范性引用文件 4

3术语和定义 4

4供应链安全管理要素 5

4.1总要求 6

4.2供应链安全管理方针 7

4.3供应链安全风险策划和评价 9

4.4实施和运行 16

4.5检查和纠正措施 25

4.6管理评审和持续改进 34

附 录 A（资料性附件）ISO/PAS28000:

2005，ISO14001:

2004和ISO9001:

2000对照表 37

参考文献 40

41

前 言

国际标准化组织（ISO）是由各国标准化团体（ISO成员团体）组成的世界性联合会。

制定国际标准的工作通常由ISO的技术委员会完成。

各成员团体若对某技术委员会确立的项目感兴趣，均有权参加该委员会的工作。

与ISO保持联系的各国际组织（官方或非官方的）也可参加有关工作。

在电工技术标准化方面,ISO与国际电工委员会（IEC）保持密切合作的关系。

国际标准遵照ISO/IEC导则第2部份的规则起草。

技术委员会的主要任务是制定国际标准。

由技术委员会通过的国际标准草案提交各成员团体投票表决，需取得至少75%参加表决的成员团体的同意，才能作为国际标准正式发布。

本规范中的某些内容有可能涉及一些专利权问题，对此应引起注意。

ISO不负责识别任何这样的专利权问题。

ISO28000由ISO/TC8船舶和海洋技术技术委员会,及与之相关的对供应链负有具体说明职责的技术委员会共同制定的。

本标准是第一版，替代了ISO/PAS28004:

2006，并作了技术上的修订。

引 言

ISO28000:

2007，供应链安全管理系统规范和本标准不断发展以响应易识别的供应链管理系统标准和实施这些标准的指南的需要，而不能用于对它们的供应链安全管理系统进行评估和认证。

ISO28000与ISO9001:

2000（质量）和ISO14001:

2004（环境）管理体系标准兼容。

他们简化了组织的质量、环境和供应链管理体系集成性，组织应希望这样做。

本标准包括在每个条款/子条款前有个方框，给出了完整的ISO28000要求，随后有相关的指南。

本本标准的条款号与ISO28000的相应条款号保持一致。

恰当时本标准将被评审和修正。

修订ISO/PAS28000时也要进行评审。

本标准不能声称包含了供应链工作者、供应商和相关方所有必要的合同规定。

使用者有责任纠正应用。

遵循本标准不能免除法律责任。

供应链安全管理体系

——ISO28000实施指南

1范围

本标准在应用ISO28000:

2007，供应链安全管理系统规范时提供通用的意见。

它解释了ISO28000隐含原则，为ISO28000的每条要求描述了意向、典型输入、过程和典型输出。

这有助于理解和实施ISO28000。

本标准在ISO28000具体条款中不再产生附加条款，也不规定实施ISO28000的强制方法。

ISO28000

1 范围

本标准详细说明了供应链安全管理体系的要求，包括那些确保供应链安全的关键因素。

这些因素包括但不仅限于运输方式和目的地之间的金融、制造、信息管理、包装设施、储存和配送等内容。

安全管理与商业管理的许多方面都有联系。

应全面考虑对供应链安全管理有影响的其他因素，包括伴随着供应链的商品运输方面。

本标准适用于从小型到跨国公司所有规模的组织，且不论其处在产品的制造、服务、存储或运输的任何阶段，或对供应链有如下愿望的组织：

a）建立、实施和保持安全管理体系；b）确保符合已表述的安全管理方针；c）展示其符合性；

d）寻找由权威的第三方认证机构对供应链安全管理体系的认证/注册；e）符合本标准的自我声明。

对于在本标准的一些条款中提到的法律法规和其他要求,本标准并不试图重复这些要求的内容。

统一固定的结构不是本国际标准的目的。

组织可以选择第三方认证机构进行认证以展示对供应链安全管理体系的符合程度。

2标准引用

无标准参考引用。

本标准条款号与ISO28000条款号相似。

3术语和定义

为本文件的目的使用ISO28000及下列术语和定义。

3.1设施

工厂、机器、财产、建筑、汽车、轮船、港口设施和基础设施或与之相关的计量、服务的系统。

注：

此定义包括用于判定安全交付和安全管理的任何软件。

3.2安全

阻止了有意、未经授权而对供应链造成损害和破坏行为的状态。

3.3安全管理

组织有效地管理其风险及潜在的威胁和影响的系统地、协调地活动和实践。

3.4安全管理目标

为满足安全管理方针所要达到的具体效果或要求的安全绩效。

注：

这些具体效果直接或间接与产品采购、生产或由总商提供给顾客或终端用户的服务有关。

3.5安全管理方针

与安全相关过程控制有关的、与组织的宗旨和法规要求保持一致的组织的总体意图和方向。

3.6安全管理方案

实现安全管理目标的手段。

3.7安全管理指标

为实现安全管理目标所需规定的具体表现程度。

3.8相关方

关注组织的业绩、成就或活动效果的个人或团体。

注：

例如包括顾客、股东、金融机构、保险公司、法人团体、监管机构、雇员、合同方、供应商、劳工组织和一些社会团体等。

3.9供应链

从原材料采购一直到通过运输将产品或服务提供给最终顾客的一组过程和资源构成的网络。

注：

供应链可能包括卖主、生产商、物流商、外销中心、配送者、批发商和其他到最终用户的

实体。

3.9.1下游

发生在货物到达组织的直接作业控制之后，供应链中涉及的行为、过程和货物移动，包括但不仅限于保险、金融、数据管理、包装、存储和货物转移。

3.9.2上游

发生在货物到达组织的直接作业控制之前，供应链中涉及的行为、过程和货物移动，包括但不仅限于保险、金融、数据管理、包装、存储和货物转移。

3.10最高管理者

在最高层上指挥、控制组织的一个人或一组人。

注：

特别在大型跨国组织，最高管理者不一定是本标准描述的一个人。

无论如何，应明确最高管理者的职责。

3.11持续改进

不断对供应链安全管理体系进行强化的过程，目的是根据组织的安全方针，实现对整体安全绩

3.1风险

供应链安全威胁发生的可能性和后果的组合。

3.2安全清理

验证那些能接触到供应链安全敏感材料的人的可信性的过程。

3.3威胁

对相关方、设施、运行、供应链、社会、经济或业务的持续性和完整性有可能故意的行为或潜在破坏的活动。

4安全管理体系要素

持续改进

总要求

管理评审和持续

改进

安全管理方针

检查和纠正措施

监视和测量体系评价

不符合、纠正和预防措施

记录

安全策划

风险评价法规要求

安全目标和指标安全管理方案

实施和运行

职责和权限沟通

文件

运行控制紧急响应

图1—安全管理模式

4.1总要求

组织应根据本规范建立、实施、保持和持续改进安全管理体系，识别安全威胁，控制风险，减轻风险的后果，并形成文件。

组织应根据本公用规范第4节的要求持续改进体系的有效性。

组织应界定安全管理体系的范围并形成文件。

针对组织所选择的任何影响符合性要求的外包过程，组织应确保对其实施控制。

对此类外包过程的必要控制措施和职责应在供应链安全管理体系中加以识别。

a）ISO28000要求

b）目的

组织应建立和保持符合ISO28000的所有要求的管理体系。

这会有助于组织满足供应链安全监管、要求和法律。

供应链安全管理系统、文件记录和投入资源的具体情况和复杂性的水平，取决于组织的规模和复

杂性以及其活动的特性。

组织有权自行灵活决定本规范的实施边界，即是在整个组织，还是仅在特定的运行单位实施

ISO28000，由组织自行决定。

在定义管理系统界限和范围时应小心谨慎，组织应考虑到而不试图限制其范围，包括评估、组织整体运行需要的活动或那些影响组织员工和其他利益相关方供应链安全的方面。

当为具体运行或活动实施ISO28000，由组织其他部分强化的供应链安全方针和程序应能由具体运行单位或活动应用促进满足ISO28000要求。

c）典型输入

ISO28000详述了所有的输入要求。

d）典型输出

一个典型的输出是有助于组织持续寻求改进地有效实施和保持供应链安全管理系统。

策划

测量绩效反馈

方针

审核

管理评审

4.2安全管理方针

a）ISO28000要求

图2—供应链安全管理方针

最高管理者应确定本组织的安全管理方针。

方针应：

ａ）与组织的其他方针保持一致；ｂ）提供建立和评审安全管理目标、指标和方案的框架；ｃ）与组织总体安全威胁和风险管理框架一致；ｄ）与组织的特性及受威胁的程度所采取的行动相适宜；ｅ）清楚地陈述总体安全管理目标；ｆ）包括持续改进安全管理过程的承诺；

ｇ）包括对遵守与安全威胁有关的现行适用的法律法规及其他组织认同的要求的承诺；ｈ）应由最高管理者明确签署；

ｉ）形成文件化，付诸实施，并予以保持；ｊ）传达到所有相关的雇员和第三方包括合同方和参观人员，确保这些人树立与个人安全管理

相关的责任和意识；

k）可为相关方所获取；

l）当出现被其他组织收购、合并或组织的经营范围变更时，提供这些可能影响安全管理体系连续性或相关性的评审。

注：

组织应为内部使用选有一份能提供充足的信息和方向的详细供应链安全管理方针以推进供应链安全管理体系（部份供应链安全管理体系是机密的），另有一份包含一般目标的概括性（非机密）的版本分发给

b）目的

供应链安全管理方针是最高管理者对供应链安全义务简明额要的承诺。

供应链安全管理方针建立了整体的方向意识和整套组织行动原则。

它为贯穿组织的供应链安全职责和业绩需求建立供应链安全目标。

c）典型输入

在建立供应链安全方针中，管理者应考虑下列项目，特别是与供应链相关的方面。

与组织总体业务相关的方针和目标；

组织以往和目前的供应链安全业绩；相关方需求；

持续改进的机会和需要；

资源需求；员工贡献；

合约方、相关方和其他外部个体的贡献。

d）过程

当建立和批准供应链安全方针时，最高管理者应考虑下列要点；一个易于表述和沟通的供应链安全方针应：

1）适应于组织供应链安全风险的特性和程度；

威胁识别、风险评估和风险管理是供应链安全管理系统的核心，应反映在组织供应链安全方针中；供应链安全方针应与组织可见的未来一致，对组织面临的风险特性应是实事求是的，既不夸大也不

轻视。

2）包括持续改进的承诺；

全球供应链安全威胁增加了组织减少供应链事件风险的压力。

除满足法律、官方和监管机构、以及其他规则和组织准备的指南如世界习俗组织外，组织应着眼有效和高效地改进它的供应链安全业绩和供应链安全管理系统，以满足变化的世界贸易、商务的需要和监管需要。

即使供应链安全方针的表述中会包括宽泛的措施，策划的业绩改进应在供应链安全目标中表达（见

4.3.2）并通过供应链安全管理方案管理（见4.3.5）。

3）包括的承诺至少符合现行应用的供应链安全监管和其他组织认可的要求。

要求组织遵循现行供应链安全监管要求。

供应链安全方针承诺是组织公开承认它负有遵守的责任，不超出任何法律、或其他要求，包括法律授权和自愿采用的认可标准等，如世界安全习俗组织的标准框架。

注：

“其他要求”意味着，如公司或集团的方针，组织认可的自己内部标准和规范或行为

规范。

4）文件化、实施和保持

策划和准备是成功实施的关键。

通常，供应链安全方针表述和供应链安全目标是不实际的，因为没有足够和适宜的资源提供去承载它们。

在做出公布前，组织应确保任何必要的财政、技能和资源提供，在其框架范围内所有供应链安全目标是实际可达到的。

为使供应链安全方针有效，其应文件化并定期评审持续适宜性，需要得到修正或更改。

5）有目的地与所有员工沟通并使他们树立供应链安全责任意识。

员工的参与承诺对有成效的供应链安全是极其重要的。

员工需要在他们自己的工作环境质量上树立供应链安全管理效果意识，对供应链安全管理积极的贡献应得到倡导。

员工（在所有层次上，包括管理层）除非理解组织供应链安全方针和他们的职责并能胜任所要求的任务，否则不可能对供应链安全管理做出有效的贡献。

这就要求组织向员工清晰地沟通其供应链安全方针，确保他们有能测量自己个人供应链安全表现

的准则。

6）提供给相关方；

供应链安全业绩影响或涉及的任何个人或集团（无论外部或内部）在供应链安全方针表述上都会有特别兴趣。

因此，应建立供应链安全方针沟通的过程，恰当时，应确保相关方提到供应链安全方针。

7）定期评审确保对组织的相关性和适宜性。

变化是绝对的，规章和法律的完善和相关方期望的增加，所以，组织的供应链安全方针和管理系统

需要有规律地评审以确保它们的持续适宜性和有效性。

一旦出现变化，应进行可行的沟通。

e）典型输出

典型的输出是详尽的、简要的、易于理解的，供应链安全方针在整个组织内予以沟通。

需要时，与相关方沟通。

实施和运行

测量绩效反馈

策划

审核

方针

4.3供应链安全风险策划和评价

4.3.1安全风险评价

a）ISO28000要求

组织建立和保持程序,以识别和评价安全威胁和与安全管理相关的威胁和风险，识别和实施必要的管理控制措施。

至少，安全威胁和风险识别、评价和控制方法应与组织的特性、运行规模相适宜。

评价应考虑到某个事件及其所有后果的可能性，包括：

a）客观失效的威胁与风险，如功能失效、附带损坏、恶意伤害、恐怖分子或犯罪行为；

b）作业的威胁和风险，包括安全控制、人为因素和其他影响组织绩效、条件或安全性的活动；

c）自然环境事件（风暴、洪水等）致使安全措施和设备失效；

d）超出组织控制的因素，如外部供应的设备和服务失效；

e）相关方的威胁和风险，如未能满足法规要求或对名誉、品牌的影响；

f）安全设备的设计和安装包括更新、维护保养等；

g）信息、数据管理和沟通；

h）对运行持续性的某种威胁。

组织应确保考虑到这些评价结果和控制的效果，适宜时，提供并输入到：

a）安全管理目标和指标；

b）安全管理方案；

c）设计、规范和安装要求中的规定；

d）识别足够的资源，包括全员的水平；

e）识别培训需求和技巧（见4.4.2）；

f）强化运行控制（见4.4.6）；

g）组织总体的威胁和风险管理框架；组织应记录并保持以上信息的更新。

组织对威胁和风险识别和评价的方法，应：

a）依据风险的范围、性质和时限进行确定，以确保该方法是主动性而不是被动性的；

b）包括收集与安全威胁和风险相关的信息；

c）提供威胁、风险和识别的分类，使之能被规避、消除和控制；

d）规定对所要求的活动进行监视，以确保其及时有效的实施（见4.5.1）。

b）目的

在运用供应链安全威胁识别、风险评估和风险管理过程后，组织在其领域内应对重大供应链安全风险、威胁和薄弱环节有总体的认识。

供应链安全威胁识别、风险评估和风险管理过程及他们的输出应是整体供应链安全系统的基础。

在供应链安全威胁识别、风险评估和风险管理过程中建立清晰明显的联系是很重要的。

本指导方针的目的是建立原则，通过它，组织能决定给定的供应链安全威胁识别、风险评估和风险管理过程是否适宜和充分。

给出怎样开展活动的建议不是目的。

供应链安全威胁识别、风险评估和风险管理过程应促使组织在现有的基准上识别、评估和控制其供应链安全风险。

总体上，在组织内对正常和异常运行和潜在紧急预案应深入思考。

供应链安全威胁识别、风险评估和风险管理过程的复杂性在很大程度上取决于如组织规模、组织内工作环境特点和供应链安全风险的特性、复杂性和重大程度等因素。

迫使有限风险的小组织承受复杂的供应链安全威胁识别、风险评估和风险管理实践不是ISO28000:

20074.3.1的目的。

供应链安全威胁识别、风险评估和风险管理过程应考虑到成本和实施这三个过程的时间以及可靠

数据的可获得性。

为监管和其他目的的信息发展会应用到这些过程。

组织同样会超越对供应链安全威胁的思考而考虑到实际控制程度。

组织应决定什么是其供应链安全威胁，考虑与现行和有关以往的活动、过程、产品和/或服务的输入和输出。

应由有资质的人员使用认可的、文件规定的方法实施供应链安全风险评估。

尚未建立供应链安全管理系统的组织通过供应链安全评估方法关注供应链安全风险从而确定现有状况。

目标应是考虑组织面临的供应链安全威胁，作为建立供应链安全管理系统的基础。

组织在其最初的评审中应考虑包括如下项目（不仅限于）：

法律和监管要求；

组织面临的供应链安全威胁识别；

从适当的官方和专业组织搜寻供应链安全威胁和风险信息；

所有现有的供应链安全管理事务/运行、过程和程序的监视结果；

评价以往事件和紧急情况的调查反馈；

评估的一种适宜的方法能包括检查表、会谈、直接的巡视和测量，以往管理系统审核或其他基于活动特性评审的结果。

所有这些活动应遵循文件化可重复的方法。

需强调的是最初的评审仅是介绍管理体系的基础水平，而不能代替4.3.1对建立体系实施的评价。

c）典型输入

典型输入包括下列项目：

l供应链安全法律和其他要求（见4.3.2）;

l供应链安全方针（见4.2）;

l事件记录；

l不符合（见4.5.3）；

l供应链安全管理系统审核结果（见4.5.5）;

l来自员工和其他利益方的沟通（见4.4.3）；

l来自员工工作环境供应链安全咨询、评审和改进活动的信息（这些活动特性不是消极就是积极的）；

l发生在相似组织的最佳实务、组织相关的典型供应链安全风险、事件和紧急预案的信息；

l工业标准；

l政府警告；

l组织设施、过程和活动的信息包括如下：

l变更控制程序的细节；

l位置详图；

l过程手册和运行程序；

l供应链安全数据；

l监视数据（见4.5.1）。

d）过程

1）供应链安全威胁识别，风险评估和风险管理

Ⅰ）总则

风险管理措施应体现消除或减少现有的供应链安全风险原则，可行时，要么通过减少发生的可能性或来自供应链安全相关事件潜在的严重影响。

供应链安全威胁识别，风险评估和风险管理过程在管理风险中是关键工具。

供应链安全威胁识别，风险评估和风险管理过程在各个企业大有区别，范围从简单的评估到使用大量的文档记录的复杂的定量分析。

为组织策划和实施适合其需要和工作环境的适宜的供应链安全威胁识别、风险评估和风险管理过程，帮助组织符合所有的供应链安全法律要求。

供应链安全威胁识别、风险评估和风险管理过程的执行应主动测量而不是消极被动，同样，它们应在新引入或变更的活动或程序之前进行。

任何已识别的必要风险减少和控制测量应在变更发生前实施。

鉴于现行的活动，组织应在新的进展和新的或调整的活动发生之前，对其方法、人员资质、文档记录、数据和与威胁识别、风险评估和风险管理更新，同样适用于在引入前，他们思考这些。

供应链安全威胁识别、风险评估和风险管理过程不仅应用于一般的设施和程序运行，而且要应用于定期或偶发运行/程序。

组织不但要考虑到由其人员业务活动供应链安全风险和产生的风险，也应考虑到供应链安全风险

和来自合同方、参观人员的活动带来的风险，以及产品已交付或服务提供给他人后的风险。

Ⅱ）过程

供应链安全威胁识别、风险评估和风险管理过程应形成文件和包括下列要素：

供应链安全威胁识别；

以现有（或打算）准备就绪的控制措施评估风险（考虑遭受的具体供应链安全威胁、控制措施失效的可能性和伤害、破坏和运行连续性的潜在严重后果）；

评价现有和尚存的风险的可接受性；任何附加风险管理措施需要的识别；

评价风险管理措施是否充分降低风险到可接受水平。

另外，过程应处理下列内容：

将要使用的任何类型的供应链安全威胁识别、风险评估和风险管理的特性、时效、范围和原则；可执行的供应链安全法律或其他要求；

职能和授权人员实施过程的职责；

将要实施过程的人员的能力要求和培训需要（见4.4.2）。

（取决于要应用的过程的特性或类型，也许对组织有必要使用外部建议或服务）；

来自于员工供应链安全输入、评审和改进活动的信息的使用（这些活动特性不是消极的就是积极的）。

Ⅲ后续措施

在供应链安全威胁识别、风险评估和风险管理过程业绩之后：

--应有清楚的证据表明对认为有必要的任何纠正和预防措施及时完成的监视（这也许要求引入更进

一步威胁识别和风险评估，以反映对计划风险管理测量和修正尚存风险估计测定的变更）；

--应为管理提供纠正和预防措施完成结果和进程的反馈，如管理评审输入（见4.6）和修订或新供应链

安全目标的设立；

--组织应能决定员工实施具体供应链安全任务的能力是否由在建立必要风险管理中的风险评估过

程所具体表述；

--适用时，后续运行经历的反馈应用于修正过程或修正基础数据。

2）在最初的供应链安全威胁识别、风险评估和风险管理评价之后（同样见4.6）

应于安排前的时间里或按供应链安全方针文件展开工作周期内、或由拟形成部份管理评审过程的管理安排前的时间里评审供应链安全威胁识别、风险评估和风险管理过程。

这个时期因下列考虑的内容不同而各异：

供应链安全威胁的特性；

风险的重大程度；常规运行的变更。

当组织内的变更怀疑现存的评估的有效性时，同样应进行评审。

这样的变更包括如下要素：

供应链扩大、缩小、改组、设施或环节变化；

职责重置；

外源性的供应链安全威胁行为的运作或模式的措施变更。

e）典型输出

应为下列要素编制程序：

供应链安全威胁的识别；

与识别的供应链安全威胁相关的风险测定；

每个供应链安全威胁，无论是否能承受，与其相关的风险水平指示；

描述或提及监视和控制风险的测量（见4.4.6和4.5.1），特别是不能承受的风险；

恰当时，降低已识别的风险（见4.3.3）的供应链安全目标和措施和监视降低风险进程的任何后续活

动；

实施控制措施的能力和培训要求的识别（见4.2.2）；

作为部份系统运行控制要素的必要的具体控制措施（4.4.6）；由以上提及的每项程序产生的记录。

4.3.2法律法规和其他安全规章的要求

组织应建立，实施和保持程序：

a）识别适用于安全威胁和风险相关的法律法规及其他应遵守的要求；

b）确定这些要求如何应用于组织的安全和风险识别评价中；

组织应保持信息的更新，应就符合法律和其他要求的相关信息与其雇员和其他的相关方包括合同方进行沟通。

a）ISO28000要求

b）目的

组织需要意识和理解现行的法律和其他要求对其活动的影响或要产生的影响并与相关人员沟通这

些信息。

ISO28000:

2007 4.3.2要求意欲提高遵守法律和法规的意识和责任。

要求组织建立那些很少参阅或使用的法律或其他文件的资料库不是本规范的目的。

c）典型输入

典型输入包括下列项目：

组织供应链的细节；