2007版ISO28004供应链安全管理体系ISO28000的实施指南(中文版)0906.docx

2007版ISO28004供应链安全管理体系ISO28000的实施指南(中文版)0906.docx

《2007版ISO28004供应链安全管理体系ISO28000的实施指南(中文版)0906.docx》由会员分享，可在线阅读，更多相关《2007版ISO28004供应链安全管理体系ISO28000的实施指南(中文版)0906.docx（42页珍藏版）》请在冰豆网上搜索。

供应链安全管理体系

——ISO28000实施指南

Securitymanagementsystemforthesupplychain--GuidelinesfortheimplementationofISO28000

目 次

目 次 1

前 言 2

引 言 3

1范围 4

2规范性引用文件 4

3术语和定义 4

4供应链安全管理要素 5

4.1总要求 6

4.2供应链安全管理方针 7

4.3供应链安全风险策划和评价 9

4.4实施和运行 16

4.5检查和纠正措施 25

4.6管理评审和持续改进 34

附 录 A（资料性附件）ISO/PAS28000:

2005，ISO14001:

2004和ISO9001:

2000对照表 37

参考文献 40

41

前 言

国际标准化组织（ISO）是由各国标准化团体（ISO成员团体）组成的世界性联合会。

制定国际标准的工作通常由ISO的技术委员会完成。

各成员团体若对某技术委员会确立的项目感兴趣，均有权参加该委员会的工作。

与ISO保持联系的各国际组织（官方或非官方的）也可参加有关工作。

在电工技术标准化方面,ISO与国际电工委员会（IEC）保持密切合作的关系。

国际标准遵照ISO/IEC导则第2部份的规则起草。

技术委员会的主要任务是制定国际标准。

由技术委员会通过的国际标准草案提交各成员团体投票表决，需取得至少75%参加表决的成员团体的同意，才能作为国际标准正式发布。

本规范中的某些内容有可能涉及一些专利权问题，对此应引起注意。

ISO不负责识别任何这样的专利权问题。

ISO28000由ISO/TC8船舶和海洋技术技术委员会,及与之相关的对供应链负有具体说明职责的技术委员会共同制定的。

本标准是第一版，替代了ISO/PAS28004:

2006，并作了技术上的修订。

引 言

ISO28000:

2007，供应链安全管理系统规范和本标准不断发展以响应易识别的供应链管理系统标准和实施这些标准的指南的需要，而不能用于对它们的供应链安全管理系统进行评估和认证。

ISO28000与ISO9001:

2000（质量）和ISO14001:

2004（环境）管理体系标准兼容。

他们简化了组织的质量、环境和供应链管理体系集成性，组织应希望这样做。

本标准包括在每个条款/子条款前有个方框，给出了完整的ISO28000要求，随后有相关的指南。

本本标准的条款号与ISO28000的相应条款号保持一致。

恰当时本标准将被评审和修正。

修订ISO/PAS28000时也要进行评审。

本标准不能声称包含了供应链工作者、供应商和相关方所有必要的合同规定。

使用者有责任纠正应用。

遵循本标准不能免除法律责任。

供应链安全管理体系

——ISO28000实施指南

1范围

本标准在应用ISO28000:

2007，供应链安全管理系统规范时提供通用的意见。

它解释了ISO28000隐含原则，为ISO28000的每条要求描述了意向、典型输入、过程和典型输出。

这有助于理解和实施ISO28000。

本标准在ISO28000具体条款中不再产生附加条款，也不规定实施ISO28000的强制方法。

ISO28000

1 范围

本标准详细说明了供应链安全管理体系的要求，包括那些确保供应链安全的关键因素。

这些因素包括但不仅限于运输方式和目的地之间的金融、制造、信息管理、包装设施、储存和配送等内容。

安全管理与商业管理的许多方面都有联系。

应全面考虑对供应链安全管理有影响的其他因素，包括伴随着供应链的商品运输方面。

本标准适用于从小型到跨国公司所有规模的组织，且不论其处在产品的制造、服务、存储或运输的任何阶段，或对供应链有如下愿望的组织：

a）建立、实施和保持安全管理体系；b）确保符合已表述的安全管理方针；c）展示其符合性；

d）寻找由权威的第三方认证机构对供应链安全管理体系的认证/注册；e）符合本标准的自我声明。

对于在本标准的一些条款中提到的法律法规和其他要求,本标准并不试图重复这些要求的内容。

统一固定的结构不是本国际标准的目的。

组织可以选择第三方认证机构进行认证以展示对供应链安全管理体系的符合程度。

2标准引用

无标准参考引用。

本标准条款号与ISO28000条款号相似。

3术语和定义

为本文件的目的使用ISO28000及下列术语和定义。

3.1设施

工厂、机器、财产、建筑、汽车、轮船、港口设施和基础设施或与之相关的计量、服务的系统。

注：

此定义包括用于判定安全交付和安全管理的任何软件。

3.2安全

阻止了有意、未经授权而对供应链造成损害和破坏行为的状态。

3.3安全管理

组织有效地管理其风险及潜在的威胁和影响的系统地、协调地活动和实践。

3.4安全管理目标

为满足安全管理方针所要达到的具体效果或要求的安全绩效。

注：

这些具体效果直接或间接与产品采购、生产或由总商提供给顾客或终端用户的服务有关。

3.5安全管理方针

与安全相关过程控制有关的、与组织的宗旨和法规要求保持一致的组织的总体意图和方向。

3.6安全管理方案

实现安全管理目标的手段。

3.7安全管理指标

为实现安全管理目标所需规定的具体表现程度。

3.8相关方

关注组织的业绩、成就或活动效果的个人或团体。

注：

例如包括顾客、股东、金融机构、保险公司、法人团体、监管机构、雇员、合同方、供应商、劳工组织和一些社会团体等。

3.9供应链

从原材料采购一直到通过运输将产品或服务提供给最终顾客的一组过程和资源构成的网络。

注：

供应链可能包括卖主、生产商、物流商、外销中心、配送者、批发商和其他到最终用户的

实体。

3.9.1下游

发生在货物到达组织的直接作业控制之后，供应链中涉及的行为、过程和货物移动，包括但不仅限于保险、金融、数据管理、包装、存储和货物转移。

3.9.2上游

发生在货物到达组织的直接作业控制之前，供应链中涉及的行为、过程和货物移动，包括但不仅限于保险、金融、数据管理、包装、存储和货物转移。

3.10最高管理者

在最高层上指挥、控制组织的一个人或一组人。

注：

特别在大型跨国组织，最高管理者不一定是本标准描述的一个人。

无论如何，应明确最高管理者的职责。

3.11持续改进

不断对供应链安全管理体系进行强化的过程，目的是根据组织的安全方针，实现对整体安全绩

3.1风险

供应链安全威胁发生的可能性和后果的组合。

3.2安全清理

验证那些能接触到供应链安全敏感材料的人的可信性的过程。

3.3威胁

对相关方、设施、运行、供应链、社会、经济或业务的持续性和完整性有可能故意的行为或潜在破坏的活动。

4安全管理体系要素

持续改进

总要求

管理评审和持续

改进

安全管理方针

检查和纠正措施

监视和测量体系评价

不符合、纠正和预防措施

记录

安全策划

风险评价法规要求

安全目标和指标安全管理方案

实施和运行

职责和权限沟通

文件

运行控制紧急响应

图1—安全管理模式

4.1总要求

组织应根据本规范建立、实施、保持和持续改进安全管理体系，识别安全威胁，控制风险，减轻风险的后果，并形成文件。

组织应根据本公用规范第4节的要求持续改进体系的有效性。

组织应界定安全管理体系的范围并形成文件。

针对组织所选择的任何影响符合性要求的外包过程，组织应确保对其实施控制。

对此类外包过程的必要控制措施和职责应在供应链安全管理体系中加以识别。

a）ISO28000要求

b）目的

组织应建立和保持符合ISO28000的所有要求的管理体系。

这会有助于组织满足供应链安全监管、要求和法律。

供应链安全管理系统、文件记录和投入资源的具体情况和复杂性的水平，取决于组织的规模和复

杂性以及其活动的特性。

组织有权自行灵活决定本规范的实施边界，即是在整个组织，还是仅在特定的运行单位实施

ISO28000，由组织自行决定。

在定义管理系统界限和范围时应小心谨慎，组织应考虑到而不试图限制其范围，包括评估、组织整体运行需要的活动或那些影响组织员工和其他利益相关方供应链安全的方面。

当为具体运行或活动实施ISO28000，由组织其他部分强化的供应链安全方针和程序应能由具体运行单位或活动应用促进满足ISO28000要求。

c）典型输入

ISO28000详述了所有的输入要求。

d）典型输出

一个典型的输出是有助于组织持续寻求改进地有效实施和保持供应链安全管理系统。

策划

测量绩效反馈

方针

审核

管理评审

4.2安全管理方针

a）ISO28000要求

图2—供应链安全管理方针

最高管理者应确定本组织的安全管理方针。

方针应：

ａ）与组织的其他方针保持一致；ｂ）提供建立和评审安全管理目标、指标和方案的框架；ｃ）与组织总体安全威胁和风险管理框架一致；ｄ）与组织的特性及受威胁的程度所采取的行动相适宜；ｅ）清楚地陈述总体安全管理目标；ｆ）包括持续改进安全管理过程的承诺；

ｇ）包括对遵守与安全威胁有关的现行适用的法律法规及其他组织认同的要求的承诺；ｈ）应由最高管理者明确签署；

ｉ）形成文件化，付诸实施，并予以保持；ｊ）传达到所有相关的雇员和第三方包括合同方和参观人员，确保这些人树立与个人安全管理

相关的责任和意识；

k）可为相关方所获取；

l）当出现被其他组织收购、合并或组织的经营范围变更时，提供这些可能影响安全管理体系连续性或相关性的评审。

注：

组织应为内部使用选有一份能提供充足的信息和方向的详细供应链安全管理方针以推进供应链安全管理体系（部份供应链安全管理体系是机密的），另有一份包含一般目标的概括性（非机密）的版本分发给

b）目的

供应链安全管理方针是最高管理者对供应链安全义务简明额要的承诺。

供应链安全管理方针建立了整体的方向意识和整套组织行动原则。

它为贯穿组织的供应链安全职责和业绩需求建立供应链安全目标。

c）典型输入

在建立供应链安全方针中，管理者应考虑下列项目，特别是与供应链相关的方面。

与组织总体业务相关的方针和目标；

组织以往和目前的供应链安全业绩；相关方需求；

持续改进的机会和需要；

资源需求；员工贡献；

合约方、相关方和其他外部个体的贡献。

d）过程

当建立和批准供应链安全方针时，最高管理者应考虑下列要点；一个易于表述和沟通的供应链安全方针应：

1）适应于组织供应链安全风险的特性和程度；

威胁识别、风险评估和风险管理是供应链安全管理系统的核心，应反映在组织供应链安全方针中；供应链安全方针应与组织可见的未来一致，对组织面临的风险特性应是实事求是的，既不夸大也不

轻视。

2）包括持续改进的承诺；

全球供应链安全威胁增加了组织减少供应链事件风险的压力。

除满足法律、官方和监管机构、以及其他规则和组织准备的指南如世界习俗组织外，组织应着眼有效和高效地改进它的供应链安全业绩和供应链安全管理系统，以满足变化的世界贸易、商务的需要和监管需要。

即使供应链安全方针的表述中会包括宽泛的措施，策划的业绩改进应在供应链安全目标中表达（见

4.3.2）并通过供应链安全管理方案管理（见4.3.5）。

3）包括的承诺至少符合现行应用的供应链安全监管和其他组织认可的要求。

要求组织遵循现行供应链安全监