verified_user
Standardful
首页chevron_right标准chevron_rightISO 28000:2022
有效国际标准update 标准更新:2022年3月fact_check 事实核查:2026年6月28日

ISO 28000:2022

安全与韧性 安全管理体系 要求

apartment发布组织:国际标准化组织 (ISO)

标准简介

ISO 28000:2022 是安全与韧性——安全管理体系的国际标准,为组织建立、实施、维护和持续改进供应链安全管理体系提供了要求框架。2022 年第二版取代了 2007 年的第一版,采用了 ISO 高级结构(HLS),与 ISO 9001、ISO 14001、ISO 27001 等管理体系标准保持一致。该标准适用于供应链中的所有组织,包括制造商、物流服务提供商、仓储运营商、零售商和贸易公司。

ISO 28000:2022 要求组织识别和评估供应链安全威胁和风险,建立安全管理目标和计划,实施安全控制措施,监控和评审安全绩效,并持续改进安全管理体系。标准涵盖的安全领域包括物理安全、人员安全、信息安全、货物安全、运输安全和危机管理。该标准与世界海关组织(WCO)的经认证经营者(AEO)计划、美国海关和边境保护局(CBP)的 C-TPAT 计划以及欧盟的 AEO 计划等国际贸易安全倡议密切相关。获得 ISO 28000 认证可以支持 AEO 资质申请,简化海关手续,增强供应链伙伴的信任。在全球供应链面临日益复杂威胁的背景下,ISO 28000 的重要性持续增加。

local_shipping

供应链安全

为管理整个供应链(从采购到制造、直至最终交付和分销)中的安全威胁提供综合框架。

sync

HLS 一致

2022 版采用 ISO 协调结构(HLS),能够与 ISO 9001、ISO 14001、ISO 27001 及其他管理体系标准无缝集成。

gpp_maybe

多种威胁覆盖

应对现代安全威胁,包括网络攻击、恐怖主义、有组织犯罪、自然灾害、疫情以及影响供应链的地缘政治不稳定。

list_alt 安全管理要素

  • 安全威胁与风险评估
  • 安全管理方针与目标
  • 组织环境与相关方
  • 领导承诺与安全角色
  • 运营策划与控制
  • 供应链合作伙伴安全要求
  • 事件管理与业务连续性
  • 绩效评价与持续改进

谁需要合规?

groups

参与供应链管理的组织——制造商、物流服务商、货运代理、港口运营商、仓储公司,以及任何希望保护其供应链免受安全威胁的组织。

关键要求

1

安全威胁评估

识别、分析和评价整个供应链的安全威胁与脆弱性。考虑与组织运营相关的物理、网络、人员和信息安全风险。

2

安全管理计划

制定和实施安全管理计划,应对已识别的威胁,明确响应程序,分派职责,并建立安全事件的沟通协议。

3

供应链合作伙伴管理

为供应链合作伙伴、承包商和服务提供商建立安全要求。核实合作伙伴的合规情况,并对外包的安全相关活动进行监督。

4

事件响应与恢复

建立检测、报告和响应安全事件的程序。实施业务连续性计划,尽量减少中断并从安全事件中恢复。

实施路线图

1
阶段 1schedule 预计周期: 2-4 周

准备范围、责任和义务

围绕供应链运营、物流节点、运输伙伴、设施、货物流、承包商、安全威胁、法律义务和连续性依赖定义供应链安全管理体系范围。指定责任人,识别适用法律、客户、认证或监管驱动因素,并约定证据治理方式。

2
阶段 2schedule 预计周期: 4-8 周

差距分析和风险优先级

依据 ISO 28000 期望和风险背景评估当前实践。审查安全风险评估、供应链背景、安全目标、威胁控制、访问控制、货物完整性、事件响应、供应商控制、应急准备、监控和持续改进,并按法律暴露、安全或消费者影响、客户影响、运营依赖和评审准备度排列差距优先级。

3
阶段 3schedule 预计周期: 8-20 周

实施控制、记录和报告

部署所需控制、运行流程、文档、供应商或伙伴流程、测试、报告和升级路径。围绕安全风险评估、供应链地图、访问记录、货物完整性检查、事件日志、供应商评估、应急演练、监测结果、纠正措施和管理评审建立可追溯证据。

4
阶段 4schedule 预计周期: 持续进行

评审、审核并保持最新

在认证审核或客户安全评审前完成准备度评审、内部检查和纠正措施。产品、服务、供应商、技术、法律、市场、事件或监管变化后刷新项目。

合规检查清单

0 / 12

checklist 范围与问责

checklist 控制与证据

checklist 监控与改进

处罚与执行

warning

无直接的法律处罚——ISO 28000 属于自愿性标准。然而,认证可能是海关机构可信贸易商计划(如 C-TPAT、AEO)以及高安全供应链业务伙伴的要求。失去认证可能影响贸易便利化收益。

常见问题解答

谁需要 ISO 28000?

expand_more

ISO 28000 适用于产品、服务、系统或受监管活动落入供应链运营、物流节点、运输伙伴、设施、货物流、承包商、安全威胁、法律义务和连续性依赖的组织。采用动因通常来自监管、客户、认证、市场准入或保证需求。

ISO 28000 的主要目的是什么?

expand_more

实践目的在于为安全风险评估、供应链背景、安全目标、威胁控制、访问控制、货物完整性、事件响应、供应商控制、应急准备、监控和持续改进建立可重复运行的项目。该项目应让义务可见、定义责任人、运行控制并保持证据最新。

首先应做什么?

expand_more

先确认范围、所有权和适用义务。这可以避免团队建立与实际产品、服务、系统或受监管活动不匹配的文档或控制。

实施需要多长时间?

expand_more

聚焦实施可能需要数周或数月。周期取决于成熟度、场所或系统数量、供应商参与度、技术复杂度、测试需求和外部评审深度。

哪些证据最有用?

expand_more

有用证据包括安全风险评估、供应链地图、访问记录、货物完整性检查、事件日志、供应商评估、应急演练、监测结果、纠正措施和管理评审。评审方通常期望看到可追溯证据,将义务与决策、控制、测试、报告和纠正措施连接起来。

应如何管理供应商或伙伴?

expand_more

供应商和伙伴责任应通过合同、准入要求、数据或证据请求、绩效监控,以及针对发现项、事件或变化的升级路径记录下来。

项目应何时更新?

expand_more

法律变化、产品或服务变化、供应商变化、新市场、事件、投诉、监管反馈或审核发现后都应更新项目。陈旧证据是常见合规失败原因。

可以与其他项目整合吗?

expand_more

可以。ISO 28000 通常可以与相邻合规项目共享治理、文件控制、培训、供应商管理、问题跟踪、风险管理、内部评审和纠正措施流程。

官方文档

查看全部

实施时间线

description
2007年
ISO 28000:2007 first edition published for supply chain security management
fact_check
2008年
ISO 28001:2007 published with best practices for supply chain security assessments
update
2022年3月
ISO 28000:2022 revised edition published with HLS structure and expanded scope
trending_up
2022-2023
Adoption grows with increasing supply chain disruptions and geopolitical tensions
schedule
2025年3月
Three-year transition deadline from ISO 28000:2007 to 2022 edition

相关分类