verified_user
Standardful
首頁chevron_right標準chevron_rightISO 28000:2022
現行有效國際標準update 標準更新:2022年3月fact_check 事實核查:2026年6月28日

ISO 28000:2022

安全與韌性 安全管理系統 要求

apartment發布組織:國際標準化組織 (ISO)

標準簡介

ISO 28000:2022 是以供應鏈安全為重點的安全管理系統國際標準。該標準於 2022 年 3 月發布第二版,規定了建立、實施、維護和持續改進安全管理系統的要求。該標準涵蓋網路攻擊、恐怖主義、有組織犯罪、自然災害、疫情和地緣政治不穩定等當代威脅。

2022 年修訂版採用 ISO 協調結構(HLS),可與 ISO 9001、ISO 14001 和 ISO 27001 等其他管理系統標準整合。ISO 28000 適用於供應鏈任何階段涉及製造、服務、倉儲和運輸的各類規模組織。認證支持參與美國 C-TPAT 和歐盟 AEO 計畫等可信貿易商計畫,提供加速通關和減少檢查等便利。

local_shipping

供應鏈安全

為管理整個供應鏈(自採購至製造、直至最終交付與配銷)之安全威脅提供綜合框架。

sync

HLS 對齊

2022 版採用 ISO 協調結構(HLS),能與 ISO 9001、ISO 14001、ISO 27001 及其他管理系統標準無縫整合。

gpp_maybe

多種威脅涵蓋

因應現代安全威脅,包括網路攻擊、恐怖主義、組織性犯罪、天然災害、疫情以及影響供應鏈之地緣政治不穩定。

list_alt 安全管理要素

  • 安全威脅與風險評估
  • 安全管理政策與目標
  • 組織背景與相關方
  • 領導承諾與安全角色
  • 營運規劃與管制
  • 供應鏈夥伴安全要求
  • 事件管理與業務持續
  • 績效評估與持續改善

誰需要合規?

groups

參與供應鏈管理之組織——製造商、物流服務業者、貨運承攬業者、港口營運者、倉儲公司,以及任何希望保護其供應鏈免受安全威脅之組織。

關鍵要求

1

安全威脅評估

辨識、分析並評估整個供應鏈之安全威脅與脆弱性。考量與組織營運相關之實體、網路、人員與資訊安全風險。

2

安全管理計畫

制定並實施安全管理計畫,因應已辨識之威脅,定義回應程序、指派責任,並建立安全事件之溝通協定。

3

供應鏈夥伴管理

為供應鏈夥伴、承包商及服務提供者建立安全要求。查核夥伴之法遵情形,並對委外之安全相關活動維持監督。

4

事件回應與復原

建立偵測、通報及回應安全事件之程序。實施業務持續計畫,以將中斷降至最低並自安全事件中復原。

實施路線圖

1
階段 1schedule 預計週期: 2-4 周

准备範圍、責任和義務

圍繞供應鏈營運、物流節點、運輸夥伴、設施、貨物流、承包商、安全威脅、法律義務和连续性依賴定義供應鏈安全管理体系範圍。指定責任人,識別適用法律、客戶、認證或監管驅動因素,并約定證據治理方式。

2
階段 2schedule 預計週期: 4-8 周

差距分析和風險優先順序

依据 ISO 28000 期望和風險背景評估目前實務。審查安全風險評估、供應鏈背景、安全目标、威脅控制、访问控制、貨物完整性、事件响应、供應商控制、緊急應變准备、監控和持續改进,并按法律暴露、安全或消費者影響、客戶影響、營運依賴和審查準備度排列差距優先順序。

3
階段 3schedule 預計週期: 8-20 周

實施控制、記錄和報告

部署所需控制、執行流程、文件、供應商或夥伴流程、測試、報告和升級路徑。圍繞安全風險評估、供應鏈地图、访问記錄、貨物完整性檢查、事件日志、供應商評估、緊急應變演练、监测結果、矯正措施和管理審查建立可追溯證據。

4
階段 4schedule 預計週期: 持續進行

審查、稽核并保持最新

在認證稽核或客戶安全審查前完成準備度審查、內部檢查和矯正措施。產品、服務、供應商、技術、法律、市場、事件或監管變化后更新專案。

合規檢查清單

0 / 12

checklist 範圍与問責

checklist 控制与證據

checklist 監控与改进

處罰與執行

warning

無直接法律罰則——ISO 28000 屬自願性標準。惟認證可能為海關機關優質貿易商計畫(如 C-TPAT、AEO)以及高安全供應鏈業務夥伴所要求。失去認證可能影響貿易便捷化利益。

常見問題解答

谁需要 ISO 28000?

expand_more

ISO 28000 適用于產品、服務、系統或受監管活動落入供應鏈營運、物流節點、運輸夥伴、設施、貨物流、承包商、安全威脅、法律義務和连续性依賴的組織。採用動因通常来自監管、客戶、認證、市場准入或保證需求。

ISO 28000 的主要目的是什么?

expand_more

實務目的在于为安全風險評估、供應鏈背景、安全目标、威脅控制、访问控制、貨物完整性、事件响应、供應商控制、緊急應變准备、監控和持續改进建立可重複執行的專案。该專案应让義務可见、定義責任人、執行控制并保持證據最新。

首先应做什么?

expand_more

先確認範圍、所有權和適用義務。这可以避免團隊建立与實際產品、服務、系統或受監管活動不匹配的文件或控制。

實施需要多长時間?

expand_more

聚焦實施可能需要數週或數月。週期取決於成熟度、場所或系統數量、供應商參與度、技術複雜度、測試需求和外部審查深度。

哪些證據最有用?

expand_more

有用證據包括安全風險評估、供應鏈地图、访问記錄、貨物完整性檢查、事件日志、供應商評估、緊急應變演练、监测結果、矯正措施和管理審查。審查方通常期望看到可追溯證據,将義務与決策、控制、測試、報告和矯正措施連接起来。

应如何管理供應商或夥伴?

expand_more

供應商和夥伴責任应透過合約、准入要求、数据或證據請求、績效監控,以及针对發現項、事件或變化的升級路徑記錄下来。

專案应何时更新?

expand_more

法律變化、產品或服務變化、供應商變化、新市場、事件、投訴、監管回饋或稽核发现后都应更新專案。陈旧證據是常见合規失敗原因。

可以与其他專案整合吗?

expand_more

可以。ISO 28000 通常可以与相邻合規專案共享治理、文件控制、訓練、供應商管理、問題追蹤、風險管理、內部審查和矯正措施流程。

官方文件

查看全部

實施時間線

description
2007年
ISO 28000:2007 first edition published for supply chain security management
fact_check
2008年
ISO 28001:2007 published with best practices for supply chain security assessments
update
2022年3月
ISO 28000:2022 revised edition published with HLS structure and expanded scope
trending_up
2022-2023
Adoption grows with increasing supply chain disruptions and geopolitical tensions
schedule
2025年3月
Three-year transition deadline from ISO 28000:2007 to 2022 edition

相關分類