標準簡介
ISO 28000:2022 是以供應鏈安全為重點的安全管理系統國際標準。該標準於 2022 年 3 月發布第二版,規定了建立、實施、維護和持續改進安全管理系統的要求。該標準涵蓋網路攻擊、恐怖主義、有組織犯罪、自然災害、疫情和地緣政治不穩定等當代威脅。
2022 年修訂版採用 ISO 協調結構(HLS),可與 ISO 9001、ISO 14001 和 ISO 27001 等其他管理系統標準整合。ISO 28000 適用於供應鏈任何階段涉及製造、服務、倉儲和運輸的各類規模組織。認證支持參與美國 C-TPAT 和歐盟 AEO 計畫等可信貿易商計畫,提供加速通關和減少檢查等便利。
供應鏈安全
為管理整個供應鏈(自採購至製造、直至最終交付與配銷)之安全威脅提供綜合框架。
HLS 對齊
2022 版採用 ISO 協調結構(HLS),能與 ISO 9001、ISO 14001、ISO 27001 及其他管理系統標準無縫整合。
多種威脅涵蓋
因應現代安全威脅,包括網路攻擊、恐怖主義、組織性犯罪、天然災害、疫情以及影響供應鏈之地緣政治不穩定。
list_alt 安全管理要素
- 安全威脅與風險評估
- 安全管理政策與目標
- 組織背景與相關方
- 領導承諾與安全角色
- 營運規劃與管制
- 供應鏈夥伴安全要求
- 事件管理與業務持續
- 績效評估與持續改善
誰需要合規?
參與供應鏈管理之組織——製造商、物流服務業者、貨運承攬業者、港口營運者、倉儲公司,以及任何希望保護其供應鏈免受安全威脅之組織。
關鍵要求
安全威脅評估
辨識、分析並評估整個供應鏈之安全威脅與脆弱性。考量與組織營運相關之實體、網路、人員與資訊安全風險。
安全管理計畫
制定並實施安全管理計畫,因應已辨識之威脅,定義回應程序、指派責任,並建立安全事件之溝通協定。
供應鏈夥伴管理
為供應鏈夥伴、承包商及服務提供者建立安全要求。查核夥伴之法遵情形,並對委外之安全相關活動維持監督。
事件回應與復原
建立偵測、通報及回應安全事件之程序。實施業務持續計畫,以將中斷降至最低並自安全事件中復原。
實施路線圖
准备範圍、責任和義務
圍繞供應鏈營運、物流節點、運輸夥伴、設施、貨物流、承包商、安全威脅、法律義務和连续性依賴定義供應鏈安全管理体系範圍。指定責任人,識別適用法律、客戶、認證或監管驅動因素,并約定證據治理方式。
差距分析和風險優先順序
依据 ISO 28000 期望和風險背景評估目前實務。審查安全風險評估、供應鏈背景、安全目标、威脅控制、访问控制、貨物完整性、事件响应、供應商控制、緊急應變准备、監控和持續改进,并按法律暴露、安全或消費者影響、客戶影響、營運依賴和審查準備度排列差距優先順序。
實施控制、記錄和報告
部署所需控制、執行流程、文件、供應商或夥伴流程、測試、報告和升級路徑。圍繞安全風險評估、供應鏈地图、访问記錄、貨物完整性檢查、事件日志、供應商評估、緊急應變演练、监测結果、矯正措施和管理審查建立可追溯證據。
審查、稽核并保持最新
在認證稽核或客戶安全審查前完成準備度審查、內部檢查和矯正措施。產品、服務、供應商、技術、法律、市場、事件或監管變化后更新專案。
合規檢查清單
checklist 範圍与問責
checklist 控制与證據
checklist 監控与改进
處罰與執行
無直接法律罰則——ISO 28000 屬自願性標準。惟認證可能為海關機關優質貿易商計畫(如 C-TPAT、AEO)以及高安全供應鏈業務夥伴所要求。失去認證可能影響貿易便捷化利益。
常見問題解答
谁需要 ISO 28000?
expand_more
ISO 28000 適用于產品、服務、系統或受監管活動落入供應鏈營運、物流節點、運輸夥伴、設施、貨物流、承包商、安全威脅、法律義務和连续性依賴的組織。採用動因通常来自監管、客戶、認證、市場准入或保證需求。
ISO 28000 的主要目的是什么?
expand_more
實務目的在于为安全風險評估、供應鏈背景、安全目标、威脅控制、访问控制、貨物完整性、事件响应、供應商控制、緊急應變准备、監控和持續改进建立可重複執行的專案。该專案应让義務可见、定義責任人、執行控制并保持證據最新。
首先应做什么?
expand_more
先確認範圍、所有權和適用義務。这可以避免團隊建立与實際產品、服務、系統或受監管活動不匹配的文件或控制。
實施需要多长時間?
expand_more
聚焦實施可能需要數週或數月。週期取決於成熟度、場所或系統數量、供應商參與度、技術複雜度、測試需求和外部審查深度。
哪些證據最有用?
expand_more
有用證據包括安全風險評估、供應鏈地图、访问記錄、貨物完整性檢查、事件日志、供應商評估、緊急應變演练、监测結果、矯正措施和管理審查。審查方通常期望看到可追溯證據,将義務与決策、控制、測試、報告和矯正措施連接起来。
应如何管理供應商或夥伴?
expand_more
供應商和夥伴責任应透過合約、准入要求、数据或證據請求、績效監控,以及针对發現項、事件或變化的升級路徑記錄下来。
專案应何时更新?
expand_more
法律變化、產品或服務變化、供應商變化、新市場、事件、投訴、監管回饋或稽核发现后都应更新專案。陈旧證據是常见合規失敗原因。
可以与其他專案整合吗?
expand_more
可以。ISO 28000 通常可以与相邻合規專案共享治理、文件控制、訓練、供應商管理、問題追蹤、風險管理、內部審查和矯正措施流程。