ISO28000供应链安全管理体系.doc

GB/T 供应链安全管理体系 Specification for Security management systemsISO28000:20071 目 次目 次1前 言2引 言31 范围52 规范性引用文件53 术语和定义54 安全管理要素64.1 总要求64.2 安全管理方针74.3 安全风险评价和策划74.4 实施和运行84.5 检查和纠正措施104.6 管理评审和持续改进11附录A （资料性附件）ISO 28000:2007，ISO 14001:2004和ISO 9001:2000对照表13参考文献16前 言国际标准化组织(ISO)是由各国标准化团体(ISO成员团体)组成的世界性联合会。制定国际标准的工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会确立的项目感兴趣，均有权参加该委员会的工作。与ISO保持联系的各国际组织(官方或非官方的)也可参加有关工作。在电工技术标准化方面,ISO与国际电工委员会(IEC)保持密切合作的关系。国际标准遵照ISO/IEC导则第2部份的规则起草。技术委员会的主要任务是制定国际标准。由技术委员会通过的国际标准草案提交各成员团体投票表决，需取得至少75%参加表决的成员团体的同意，才能作为国际标准正式发布。需要注意的是这一部分的一些条款可能会涉及到专利权的问题.，ISO不负责承担这些专利权的识别。 ISO28000由ISO/TC8，船舶和海洋技术委员会,及与之相关的对供应链负有具体说明职责的技术委员会共同制定的。本标准代替了ISO/PAS28000:2005，并对其进行了技术性修订。引 言为响应来自工业安全管理标准方面的需求，本标准不断发展。它的最终目的是提高供应链安全。本标准是高层次的管理标准，能促使组织建立一套全面的供应链安全管理体系。它需要组织对其运作的安全环境进行评估，并确认是否采取了足够的安全措施以及是否遵守法律法规和其他要求。如果通过这些过程识别出安全需要，组织应实施相应的机制和过程以满足这些需求。因供应链的特性是动态的，管理多元供应链的组织应考虑其服务提供方是否满足相关的监管要求，或以ISO供应链安全标准作为供应链的组成部份以简化安全管理，说明如表1。ISO28000供应链安全管理体系规范 ISO20858 海运港口设施安全评估和安全更新计划 ISO28001 提升供应链安全最佳实践方法其他明确存在或待更新的标准图1ISO28000和其他相关标准的关系1本标准试图为组织供应链建立一个安全的管理模式。这种安全管理模式有利于提高组织的商业能力和信誉度。符合本标准在本质上并不能免除法律责任。因此希望通过一个外部或内部的审核程序，对组织安全管理体系与本标准的符合性进行核查。本标准建立在ISO版本的基础上，且运用其中关于管理体系的风险评估方法，已被ISO14001：2004采用。但是，对于已经按照过程方法建立了管理体系（如ISO9001：2000）的组织，也可以将现有的管理体系作为一个基础，来建立本标准中规定的安全管理体系。本标准不是对已经被证实或核实符合政府有关供应链安全管理的法规和标准的重复。本规范可以作为第一方、第二方或者第三方组织验证的依据。注：本标准基于策划-实施-检查-改进（PDCA）的运行模式。关于PDCA的含义简要说明如下： 策划：建立所需的目标和过程，以实现组织的安全方针所期望的结果； 实施：对过程予以实施； 检查：根据方针、目标、指标以及法律法规和其他要求，对过程进行监视和测量，并报告其结果。 改进：采取措施，以持续改进供应链安全管理体系的绩效。供应链安全管理体系规范1 范围本标准详细说明了供应链安全管理体系的要求，包括那些确保供应链安全的关键因素。安全管理与商业管理的许多方面都有联系。这包括了供应链安全活动中受组织控制或能够施加影响的所有方面。应全面考虑对供应链安全管理有影响的其他因素，何时、何地会影响安全管理，包括伴随着供应链的商品运输方面。本标准适用于从小型到跨国公司所有规模且不论其处在产品或供应链的制造、服务、存储或运输的任何阶段，只要有如下的愿望的组织：a) 建立、实施、保持和改进安全管理体系；b) 确保与规定的安全管理方针保持一致；c) 证实其符合性；d) 寻找由权威的第三方认证机构对供应链安全管理体系的认证/注册；e) 符合本标准的自我声明。对于在本标准的一些条款中提到的法律法规和其他要求,本规范并不试图重复这些要求的内容。选择第三方认证的组织可以进一步证明其对供应链安全所发挥的作用。2 规范性引用文件无标准参考引用。为方便查阅，本标准条款号与其他管理体系的标准条款号相同。3 术语和定义本标准统一使用下列术语和定义。3.1 设施工厂、机器、财产、建筑、汽车、轮船、港口设施和其他基础设施或与之相关的计量、服务的系统。注：此定义包括用于判定安全交付和安全管理的任何软件。3.2 安全阻止了有意、未经授权而对供应链直接或间接造成损害和破坏行为的状态。3.3 安全管理组织有效地管理其风险及潜在的威胁和影响的系统地、协调地活动和实践。3.4 安全管理目标为实现安全管理方针所要达到的具体效果或要求的安全绩效。注：这些具体效果直接或间接与产品采购、生产或由总商提供给顾客或终端用户的服务有关。3.5 安全管理方针与安全相关过程和活动的控制有关的、与组织的宗旨和法规要求保持一致的组织的总体意图和方向。3.6 安全管理方案实现安全管理目标的手段。3.7 安全管理指标为实现安全管理目标所需规定的具体绩效水平。3.8 相关方关注组织的业绩、成就或活动效果的个人或团体。注：比如包括顾客、股东、金融机构、保险公司、法人团体、监管机构、雇员、合同方、供应商、劳工组织和一些社会团体等。3.9 供应链从原材料采购开始直到通过各种运输模式将产品或服务传递给最终使用者的一系列过程和资源构成的网络。注：供应链可能包括卖主、生产商、物流商、内部配送中心、配送者、批发商和其他到最终用户的实体。3.9.1 下游发生在货物到达组织的直接作业控制之后，供应链中涉及的行为、过程和货物移动，包括但不仅限于保险、金融、数据管理、包装、存储和货物转移。3.9.2 上游发生在货物到达组织的直接作业控制之前，供应链中涉及的行为、过程和货物移动，包括但不仅限于保险、金融、数据管理、包装、存储和货物转移。3.10 最高管理者在最高层上指挥、控制组织的一个人或一组人。注：特别在大型跨国组织里，最高管理者不一定是标准中所描述的是指个人。无论如何，应明确最高管理者的职责。3.11 持续改进不断对供应链安全管理体系进行强化的过程，目的是根据组织的安全方针，实现对整体安全绩效的改进。持续改进4 安全管理方案安全管理要素管理评审和持续改进安全策划风险评价法规要求安全目标和指标安全管理方案安全管理方针检查和纠正措施监视和测量体系评价不符合、纠正和预防措施记录内审实施和运行职责和权限沟通文件运行控制紧急响应图2安全管理体系要素4.1 总要求组织应根据本标准建立、实施、保持和持续改进一套有效地安全管理体系，识别威胁、评价风险，控制和减轻风险的后果，并形成文件。组织应根据本标准第4节的要求持续改进体系的有效性。组织应界定安全管理体系的范围并形成文件。针对组织所选择的任何影响符合性要求的外包过程，组织应确保对其实施控制。对此类外包过程的必要控制措施和职责应在供应链安全管理体系中加以识别。4.2 安全管理方针最高管理者应制定本组织的安全管理方针。方针应：）与组织的其他方针保持一致；）提供建立和评审安全管理目标、指标和方案的框架；）与组织总体安全威胁和风险管理框架一致；）与组织的特性及受威胁的程度所采取的行动相适宜；）清楚地陈述总体安全管理目标；）包括持续改进安全管理过程的承诺；）包括对遵守与安全威胁有关的现行适用的法律法规及其他组织认同的要求的承诺；）应由最高管理者明确签署；）形成文件化，付诸实施，并予以保持；）传达到所有相关的雇员和第三方包括合同方和参观人员，确保这些人树立与个人安全管理相关的责任和意识；k)可为相关方所获取；l)当出现被其他组织收购、合并或组织的经营范围变更时，提供这些可能影响安全管理体系连续性或相关性的评审。注： 为内部使用需要，组织可制定一个详细的安全管理方针，该方针能为其安全管理体系（其中有一部分有机密的）的启用提供充足的信息和指导，并且还可以将包含一般目的的简述（非机密）的版本分发给其相关方和其他利益方。4.3 安全风险评价和策划4.3.1 安全风险评价组织应建立和保持程序,以识别和评价安全威胁和与安全管理相关的威胁和风险，识别和实施必要的管理控制措施。至少，安全威胁和风险识别、评价和控制方法应与组织的特性、运行规模相适宜。评价应考虑到某个事件及其所有后果的可能性，包括：a)客观失效的威胁与风险，如功能失效、附带损坏、恶意伤害、恐怖分子或犯罪行为；b)作业的威胁和风险，包括安全控制、人为因素和其他影响组织绩效、条件或安全性的活动；c)自然环境事件(风暴、洪水等)致使安全措施和设备失效；d)超出组织控制的因素，如外部供应的设备和服务失效；e)相关方的威胁和风险，如未能满足法规要求或对名誉、品牌的影响；f)安全设备的设计和安装包括更新、维护保养等；g)信息、数据管理和沟通；h)对运行持续性的某种威胁。组织应考虑到这些评价结果和控制的效果，适宜时，为以下内容提供输入：a)安全管理目标和指标；b)安全管理方案；c)设计、运行和安装要求中的规定；d)识别足够的资源，包括全员的水平；e)识别培训需求和技巧(见4.4.2)；f)强化运行控制(见4.4.6)；g)组织总体的威胁和风险管理框架；组织应记录并保持以上信息的更新。组织对威胁和风险识别和评价的方法，应：a)依据风险的范围、性质和时限进行确定，以确保该方法是主动性而不是被动性的；b)包括收集与安全威胁和风险相关的信息；c)提供威胁、风险和识别的分类，使之能被规避、消除和控制；d)规定对所要求的活动进行监视，以确保其及时有效的实施(见4.5.1)。4.3.2 法律法规和其他安全规章的要求组织应建立，实施和保持程序：a)识别适用于安全威胁和风险相关的法律法规及其他应遵守的要求；b)确定这些要求如何应用于组织的安全和风险识别评价中；组织应保持信息的更新，应就符合法律和其他要求的相关信息与其雇员和其他的相关方包括合同方进行沟通；4.3.3 安全管理目标组织应在组织的相关职能和层次上建立、实施和保持形成文件的安全管理目标。目标应符合安全方针并与之保持一致。在建立和评审目标时，组织应考虑：a)符合法律法规和其他安全规章的要求；b)评价出的与安全相关的威胁和风险；c)可选择的技术方案；d)财务、运行和经营要求；e)合理的相关方的观点；安全管理目标应：a)与组织持续改进的承诺相一致；b) 可行时，宜予以量化；c)与所有相关的员工和第三方沟通，包括合同方，所有关注的人员都要树立供应链安全责任意识；d)定期评审，确保安全管理目标持续有效并与安全管理方针相一致。必要时对安全管理目标进行修订。4.3.4 安全管理指标组织应建立、实施和保持适合组织需要的形成文件的安全管理指标，指标应来源于安全管理目标并与之保持一致。指标应：a)适合于具体的层次；b)可 可测量、可实现、与目标的相关性和时限性（可行时）。c)与所有相关的雇员和相关方包括合同方进行沟通，使他们树立个人供应链安全责任意识；d) 定期评审，确保指标持续有效并与安全管理目标相一致。必要时对安全管理指标进行修订。4.3.5 安全管理方案组织应建立、实施和保持安全管理方案，以实现其目标和指标。组织应优先采用合理化方案，并高效率、低成本地实施这些方案。方案中应包括：a)确定实现安全管理目标和指标的职责和权限；b)实现安全管理目标和指标的方法和时间表。应定期评审安全管理方案，以确保它们持续有效和与目标指标保持一致。必要时对这些方案进行相应的修订。4.4 实施和运行4.4.1 安全管理的机构、职责和权限组织应建立和保持组织的职能机构、职责和权限，与其安全管理方针、目标指标和方案相一致。应对职能机构、职责和权限作出明确规定，形成文件，并就此与负有供应链安全管理体系实施和保持职责的个人进行沟通。最高管理者应通过以下活动证实实施和持续改进安全管理体系的有效性的承诺：a)最高管理者应指定一名成员，无论其是否还负有其他方面的职责，应规定其为改进组织安全管理体系总体策划、保持、形成文件所负有的职责；b)对指定管理人员进行必要的授权,确保目标指标的实施；c)识别和关注相关方的要求和期望,并采取适当和及时的措施对这些要求和期望进行管理；d)确保提供充足资源；e)考虑安全管理方针、目标、指标、方案等可能对组织的其他方面造成的负面影响；f)确保通过任何由组织其他部分形成的安全管理方案完善安全管理体系；g)为符合安全管理方针，在组织内为满足安全管理要求的重要性方面进行沟通；h)确保与安全相关的威胁和风险得到评价，适宜时，包括组织的威胁和风险评价；i)确保安全管理目标、指标和方案的可行性。4.4.2 能力、培训和意识组织应确保在安全设备和过程的策划、运行和管理方面负有责任的每个人具备相应的教育、培训和（或）经验。组织应建立和保持程序使为它工作或代表它工作的人员都意识到：a)符合安全管理方针、程序与符合和安全管理体系要求的重要性；b)他们在实现安全管理方针、程序和安全管理体系要求符合性方面的作用与职责，包括应急准备和响应方面的要求；c)偏离规定的运行程序对组织的安全造成的潜在后果。保持能力和培训的记录。4.4.3 沟通组织应制定程序以确保有关的安全管理信息在相关的员工、合同方和其他相关方中得到沟通。因为某些安全相关信息敏感的特性，对敏感信息应在发布之前进行充分的考虑。4.4.4 文件组织应建立和保持安全管理体系文件，包括但不限于以下内容：a)安全管理方针、目标和指标；b)对安全管理体系覆盖范围的描述；c)对安全管理体系主要要素及其相互作用的描述，以及相关文件的查询途径；d)本标准要求的文件，包括记录；e)组织为确保对涉及重要的安全威胁和风险相关的过程得到有效策划、运行和控制所需的文件和记录。组织应决定安全信息的敏感性，并应采取措施防止未授权侵入。4.4.5 文件和数据控制组织应按照本标准第4节的要求，对所有文件、数据和信息的控制建立和保持程序，确保：a)这些文件、数据和信息只能由授权人查找和访问；b)定期评审这些文件、数据和信息，必要时修订，并由相应的授权人批准；c)在使用处能得到相关文件、数据和信息的现行版本，使对于安全管理体系有关键作用的操作得以执行；d)作废文件、数据和信息应尽快从所有发布点和使用点上去除，防止非预期使用；e) 出于与法律有关或（和）查阅保存目的，需要保留某些文件、数据和信息时，应作出适当标识；f)这些文件、数据和信息应是安全的，如果是电子形式的文件应进行充分备份和能够得到恢复。4.4.6 运行控制组织应识别那些必要的运行和活动，以实现：a)安全管理方针；b)控制和减少有重大风险的威胁；c)符合法律、法规和其他安全要求；d)安全管理目标；e)安全管理方案的传达；f)供应链安全要求的程度；组织应确保这些运行和活动在规定的条件下得到执行：a)建立、实施和保持形成文件的程序，以控制因缺乏程序文件而导致不能实现4.4.6 a)- f)的情况；b)评价任何来自上游供应链活动的威胁，采取控制措施以减少对组织和其他下游供应链作业者的影响；c)对影响安全的产品和服务建立和保持要求，并就此与供应商和合同方进行沟通。适当时，这些程序应包括对设计、安装、运行、返工和更改与安全相关的设备、仪表等的控制。当修改现有安排或引入新安排会影响安全管理运行和活动时，组织应在实施前考虑相关的安全威胁和风险,需考虑新的或修改的安排,包括：a)组织机构、作用和职责的变化；b)安全管理方针、目标、指标或方案的更改；c)过程和程序的修订；d)引入新的基础设施、安全设备或技术,包括硬件和软件；e)适用时，当有新的合同方、雇员、供应商进入时。4.4.7 应急准备、响应和安全恢复组织应建立、实施和保持适宜的计划和程序,以识别潜在的安全事件或紧急情况，并作出响应，以便预防和减少可能随之引发的后果。计划和程序应包括设备、设施或所需服务的提供、维护和保养以及，尤其是在事件或紧急情况发生时和发生后的信息。组织应定期评审其应急准备、响应、安全恢复计划和程序的有效性，特别在由安全违章和由威胁而引发的事件或紧急情况之后。如果可行，组织还应定期测试这些程序。4.5 检查和纠正措施4.5.1 安全绩效的监视与测量组织应建立并保持程序，对安全管理绩效进行监视和测量。组织应设定监测和测量关键特性参数的频次，考虑相关的安全威胁和风险，包括潜在的恶化过程及其后果。这些程序包括：a)适合组织需要的定性和定量测量；b)对组织的安全管理方针和目标、指标满足程度的监测；c)主动性的绩效测量，即监视是否符合安全管理方案、运行准则、适用的法规和其他安全要求；d)被动性的绩效测量，即监视与安全相关的恶化、失效、事件、不符合(包括未遂事件和假警报)和其他不良安全管理体系绩效的历史证据；e) 记录充分的监视和测量的数据和结果，以便于后面的纠正和预防措施的分析。如果绩效的监视和测量需要使用设备，组织应建立和保持程序，对此类设备进行校准和维护，并保存校准和维护活动及其结果的记录。保留时间应满足法律和组织方针要求的足够长的时间。4.5.2 体系评价组织应通过定期的评审、测试、事后报告、已学课程（培训实施）、绩效评估和演习来评价安全管理策划、程序和能力。这些因素中的重大变更必须及时地在程序中得到反映。组织应定期对适用法律、法规、行业最佳实践的遵守情况及方针和目标指标的符合情况进行评价。组织应保存对上述定期评价结果的记录。4.5.3 与安全相关的失效、事件、不符合及纠正和预防措施组织应建立、实施并保持安全相关的失效、事件、不符合及纠正和预防措施的程序，在程序中规定职责和权限：a)评价和实施预防措施以识别潜在的安全失效，预防其发生； b)进行安全相关调查，包括：1)未遂事件和假警报的失效；2)事件和紧急情况；3)不符合；c)采取措施减小因失效、事件和不符合产生的后果；d)采取纠正和预防措施，并予以完成；e)确认所采取的纠正和预防措施的有效性。这些程序应要求，对于所有拟定的纠正和预防措施，在其实施前应先通过安全威胁和风险过程进行评审，除非处在生命或公共安全的紧要关头。 为消除实际和潜在的不符合而采取的任何纠正或预防措施，应与问题的严重性和面临的安全威胁和风险相适应。组织应实施并记录因纠正和预防措施而引起的对形成文件的程序的任何更改，必要时，还应包括培训的要求。4.5.4 记录控制组织应根据需要，建立并保持必要的记录，用来证实对安全管理体系及本标准要求的符合，以及所实现的结果。组织建立、实施和保持一个或多个程序，用于记录的标识、贮存、保护、检索、保存期限和处置。记录应保持清晰、易于识别并具有可追溯性。电子和数字文献记录应防止篡改，进行安全备份和仅允许由授权人员进入。4.5.5 审核组织应建立、实施和保持安全管理审核方案，并应确保按照策划的时间间隔对安全管理体系进行内部审核。目的是：a)判定安全管理体系：1)是否符合组织对安全管理的策划安排，包括满足本标准的要求2)是否得到了恰当的实施和保持；3)是否有效地满足组织的安全管理方针和目标。b)评审以往审核的结果和纠正措施的效果；c)向管理者提供审核结果的信息d)验证安全设备和人员已得到恰当配置。审核方案，包括时间表，应基于组织活动的威胁和风险评估结果和以往的审核结果。审核程序应既包括审核的范围、频次、方法和能力，又包括审核实施和报告审核结果的职责和要求。如果可能，审核应由与被审核活动无直接责任的人员进行。注 :这里“无直接责任的人员”并不意味着必须来自组织外部。4.6 管理评审和持续改进最高管理者应按计划的时间间隔，对组织的安全管理体系进行评审，以确保其持续适宜性、充分性和有效性。评审应包括评价改进的机会和对供应链安全管理体系进行修改的需求，包括安全管理方针和安全目标指标以及威胁与风险的修改需求。应保存管理评审的记录。管理评审的输入应包括：a)内部审核及法律法规和其他要求的符合性评价的结果；b)来自外部相关方的交流信息，包括抱怨；c)组织的安全绩效；d)目标和指标的实现程度；e)纠正和预防措施的状况；f)以往管理评审的后续措施的实施情况；g)客观环境的变化，包括与组织安全相关的法律法规和其他要求的发展变化；h)改进建议。管理评审的输出应包括为实现持续改进的承诺而作出的，与安全方针、目标、指标以及其他供应链安全管理体系要素的修改有关的决策和行动。附录A （资料性附件）ISO/PAS 28000:2005，ISO 14001:2004和ISO 9001:2000对照表ISO/PAS 28000:2005ISO 14001:2004ISO 9001:2000供应链安全管理体系要求（标题）4G环境管理体系要求（标题）4质量管理体系要求（标题）4总要求4.1总要求4.1总要求4.1安全管理方针4.2环境方针4.2管理承诺质量方针持续改进5.15.38.5.1安全风险评价和策划（标题）4.3规划（策划）（标题）4.3策划（标题）5.4安全风险评价4.3.1环境因素4.3.1以顾客为关注焦点与产品有关的要求的确定与产品有关的要求的评审5.27.2.17.2.2法律、法规和其他安全规章要求4.3.2法律和其他环境要求4.3.2以顾客为关注焦点与产品有关的要求的确定5.27.2.1安全管理目标4.3.3目标、指标和方案4.3.3质量目标质量管理体系策划持续改进5.4.15.4.28.5.1安全管理指标4.3.4目标、指标和方案4.3.3质量目标质量管理体系策划