标准简介
ISO 28000:2022 是安全与韧性——安全管理体系的国际标准,为组织建立、实施、维护和持续改进供应链安全管理体系提供了要求框架。2022 年第二版取代了 2007 年的第一版,采用了 ISO 高级结构(HLS),与 ISO 9001、ISO 14001、ISO 27001 等管理体系标准保持一致。该标准适用于供应链中的所有组织,包括制造商、物流服务提供商、仓储运营商、零售商和贸易公司。
ISO 28000:2022 要求组织识别和评估供应链安全威胁和风险,建立安全管理目标和计划,实施安全控制措施,监控和评审安全绩效,并持续改进安全管理体系。标准涵盖的安全领域包括物理安全、人员安全、信息安全、货物安全、运输安全和危机管理。该标准与世界海关组织(WCO)的经认证经营者(AEO)计划、美国海关和边境保护局(CBP)的 C-TPAT 计划以及欧盟的 AEO 计划等国际贸易安全倡议密切相关。获得 ISO 28000 认证可以支持 AEO 资质申请,简化海关手续,增强供应链伙伴的信任。在全球供应链面临日益复杂威胁的背景下,ISO 28000 的重要性持续增加。
供应链安全
为管理整个供应链(从采购到制造、直至最终交付和分销)中的安全威胁提供综合框架。
HLS 一致
2022 版采用 ISO 协调结构(HLS),能够与 ISO 9001、ISO 14001、ISO 27001 及其他管理体系标准无缝集成。
多种威胁覆盖
应对现代安全威胁,包括网络攻击、恐怖主义、有组织犯罪、自然灾害、疫情以及影响供应链的地缘政治不稳定。
list_alt 安全管理要素
- 安全威胁与风险评估
- 安全管理方针与目标
- 组织环境与相关方
- 领导承诺与安全角色
- 运营策划与控制
- 供应链合作伙伴安全要求
- 事件管理与业务连续性
- 绩效评价与持续改进
谁需要合规?
参与供应链管理的组织——制造商、物流服务商、货运代理、港口运营商、仓储公司,以及任何希望保护其供应链免受安全威胁的组织。
关键要求
安全威胁评估
识别、分析和评价整个供应链的安全威胁与脆弱性。考虑与组织运营相关的物理、网络、人员和信息安全风险。
安全管理计划
制定和实施安全管理计划,应对已识别的威胁,明确响应程序,分派职责,并建立安全事件的沟通协议。
供应链合作伙伴管理
为供应链合作伙伴、承包商和服务提供商建立安全要求。核实合作伙伴的合规情况,并对外包的安全相关活动进行监督。
事件响应与恢复
建立检测、报告和响应安全事件的程序。实施业务连续性计划,尽量减少中断并从安全事件中恢复。
实施路线图
准备范围、责任和义务
围绕供应链运营、物流节点、运输伙伴、设施、货物流、承包商、安全威胁、法律义务和连续性依赖定义供应链安全管理体系范围。指定责任人,识别适用法律、客户、认证或监管驱动因素,并约定证据治理方式。
差距分析和风险优先级
依据 ISO 28000 期望和风险背景评估当前实践。审查安全风险评估、供应链背景、安全目标、威胁控制、访问控制、货物完整性、事件响应、供应商控制、应急准备、监控和持续改进,并按法律暴露、安全或消费者影响、客户影响、运营依赖和评审准备度排列差距优先级。
实施控制、记录和报告
部署所需控制、运行流程、文档、供应商或伙伴流程、测试、报告和升级路径。围绕安全风险评估、供应链地图、访问记录、货物完整性检查、事件日志、供应商评估、应急演练、监测结果、纠正措施和管理评审建立可追溯证据。
评审、审核并保持最新
在认证审核或客户安全评审前完成准备度评审、内部检查和纠正措施。产品、服务、供应商、技术、法律、市场、事件或监管变化后刷新项目。
合规检查清单
checklist 范围与问责
checklist 控制与证据
checklist 监控与改进
处罚与执行
无直接的法律处罚——ISO 28000 属于自愿性标准。然而,认证可能是海关机构可信贸易商计划(如 C-TPAT、AEO)以及高安全供应链业务伙伴的要求。失去认证可能影响贸易便利化收益。
常见问题解答
谁需要 ISO 28000?
expand_more
ISO 28000 适用于产品、服务、系统或受监管活动落入供应链运营、物流节点、运输伙伴、设施、货物流、承包商、安全威胁、法律义务和连续性依赖的组织。采用动因通常来自监管、客户、认证、市场准入或保证需求。
ISO 28000 的主要目的是什么?
expand_more
实践目的在于为安全风险评估、供应链背景、安全目标、威胁控制、访问控制、货物完整性、事件响应、供应商控制、应急准备、监控和持续改进建立可重复运行的项目。该项目应让义务可见、定义责任人、运行控制并保持证据最新。
首先应做什么?
expand_more
先确认范围、所有权和适用义务。这可以避免团队建立与实际产品、服务、系统或受监管活动不匹配的文档或控制。
实施需要多长时间?
expand_more
聚焦实施可能需要数周或数月。周期取决于成熟度、场所或系统数量、供应商参与度、技术复杂度、测试需求和外部评审深度。
哪些证据最有用?
expand_more
有用证据包括安全风险评估、供应链地图、访问记录、货物完整性检查、事件日志、供应商评估、应急演练、监测结果、纠正措施和管理评审。评审方通常期望看到可追溯证据,将义务与决策、控制、测试、报告和纠正措施连接起来。
应如何管理供应商或伙伴?
expand_more
供应商和伙伴责任应通过合同、准入要求、数据或证据请求、绩效监控,以及针对发现项、事件或变化的升级路径记录下来。
项目应何时更新?
expand_more
法律变化、产品或服务变化、供应商变化、新市场、事件、投诉、监管反馈或审核发现后都应更新项目。陈旧证据是常见合规失败原因。
可以与其他项目整合吗?
expand_more
可以。ISO 28000 通常可以与相邻合规项目共享治理、文件控制、培训、供应商管理、问题跟踪、风险管理、内部评审和纠正措施流程。