Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a management objective

ISO 28004-4:2014 provides additional guidance for organizations adopting ISO 28000 that also wish to incorporate the Best Practices identified in ISO 28001 as a management objective on their international supply chains. The Best Practices in ISO 28001 both help organizations establish and document levels of security within an international supply chain and facilitate validation in national Authorized Economic Operator (AEO) programmes that are designed in accordance with the World Customs Organization (WCO) Framework of Standards. ISO 28004-4:2014 is not designed as a standalone document. The main body of ISO 28004-1 provides significant guidance pertaining to required inputs, processes, outputs and other elements required by ISO 28000. ISO 28004-4:2014 provides additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a management objective.

Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Lignes directrices pour la mise en application de l'ISO 28000 — Partie 4: Lignes directrices spécifiques supplémentaires concernant la mise en oeuvre de l'ISO 28000 si la conformité à l'ISO 28001 est un objectif de management

General Information

Status
Published
Publication Date
02-Feb-2014
Current Stage
9060 - Close of review
Start Date
02-Dec-2029
Ref Project

Relations

Buy Standard

Standard
ISO 28004-4:2014 - Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000
English language
6 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 28004-4:2014 - Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a management objective Released:2/3/2014
English language
6 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 28004-4:2014 - Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a management objective Released:7/1/2016
Russian language
6 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 28004-4:2014
Russian language
6 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


INTERNATIONAL ISO
STANDARD 28004-4
First edition
2014-02-01
Security management systems for
the supply chain — Guidelines for the
implementation of ISO 28000 —
Part 4:
Additional specific guidance
on implementing ISO 28000 if
compliance with ISO 28001 is a
management objective
Systèmes de management de la sûreté pour la chaîne
d’approvisionnement — Lignes directrices pour la mise en application
de l’ISO 28000 —
Partie 4: Lignes directrices spécifiques supplémentaires concernant
la mise en oeuvre de l’ISO 28000 si la conformité à l’ISO 28001 est un
objectif de management
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 General information . 2
4 Organization of this part of ISO 28004 . 2
5 Synergy between the World Customs Organization SAFE Framework Authorized Economic
Operator requirements . 3
6 Practical guidance as to where the various requirements of ISO 28001 would plug into
ISO 28000 as inputs, processes or outputs . 5
7 Notes on terminology . 6
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any
patent rights identified during the development of the document will be in the Introduction and/or on
the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 8, Ships and marine technology.
This first edition cancels and replaces ISO/PAS 28004-4:2012. It also incorporates the Amendment
ISO 28004-1:2007/DAmd3.
ISO 28004 consists of the following parts, under the general title Security management systems for the
supply chain — Guidelines for the implementation of ISO 28000:
— Part 1: General principles
— Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
— Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses
(other than marine ports)
— Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a
management objective
iv © ISO 2014 – All rights reserved

Introduction
This part of ISO 28004 has been developed to supplement ISO 28004-1. The additional guidance in this
part of ISO 28004, while amplifying the general guidance provided in the main body of ISO 28004-1,
does not conflict with the general guidance. While ISO 28000 is less specific than ISO 28001 on certain
technical security requirements, they do not conflict. This part of ISO 28004 helps to meet the Authorized
Economic Operator security criteria.
INTERNATIONAL STANDARD ISO 28004-4:2014(E)
Security management systems for the supply chain —
Guidelines for the implementation of ISO 28000 —
Part 4:
Additional specific guidance on implementing ISO 28000 if
compliance with ISO 28001 is a management objective
1 Scope
This part of ISO 28004 provides additional guidance for organizations adopting ISO 28000 that also
wish to incorporate the Best Practices identified in ISO 28001 as a management objective on their
international supply chains. The Best Practices in ISO 28001 both help organizations establish and
document levels of security within an international supply chain and facilitate validation in national
Authorized Economic Operator (AEO) programmes that are designed in accordance with the World
Customs Organization (WCO) Framework of Standards.
This part of ISO 28004 is not designed as a standalone document. The main body of ISO 28004-1 provides
significant guidance pertaining to required inputs, processes, outputs and other elements required by
ISO 28000. This part of ISO 28004 provides additional specific guidance on implementing ISO 28000 if
compliance with ISO 28001 is a management objective.
Some requirements specified in the WCO AEO programme are government functions and are not
addressed in the ISO international standards. These include:
— Demonstrated Compliance with Customs Requirements. Customs are to take into account the
demonstrated compliance history of a prospective AEO when considering the request for AEO
status.
— Satisfactory System for Management of Commercial Records. The AEO is to maintain timely,
accurate, complete and verifiable records relating to import and export. Maintenance of verifiable
commercial records is an essential element in the security of the international trade supply chain.
— Financial Viability. Financial viability of the AEO is an important indicator of an ability to maintain
and improve upon measures to secure the supply chain.
— Consultation, Co-operation and Communication. Customs, other competent authorities and the AEO
at all levels ― international, national and local ― should consult regularly on matters of mutual
interest, including supply chain security and facilitation measures, in a manner which will not
jeopardize enforcement activities. The results of this consultation should contribute to Customs
development and maintenance of its risk management strategy.
2 Normative references
The following referenced documents, in whole or in part, are normatively referenced in this document
and are indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 20858, Ships and marine technology — Maritime port facility security assessments and security plan
development
ISO 28000, Specification for security management systems for the supply chain
ISO 28001, Security management systems for the supply chain — Best practices for implementing supply
chain security, assessments and plans — Requirements and guidance
ISO 28004-1, Security management systems for the supply chain — Guidelines for the implementation of
ISO 28000 — Part 1: General principles
3 General information
The diagram in Figure 1 provides an illustration of how compliance and possible certification to
ISO 28000 incorporating the best practices of ISO 28001 complements the requirements of national,
regional or economic Authorized Economic Operator programs and as well as those of certain industry
programs and facilitates the validations of such programs. Organizations may also choose to adopt
ISO 28000 and ISO 28001 to improve and document supply chain security management without the goal
of achieving AEO certification.

Figure 1 — Complementary security standards to secure supply chain
4 Organization of this part of ISO 28004
Clause 5 provides a series of charts showing the synergy between the World Customs Organization SAFE
Framework Authorized Economic Operator requirements and the clauses in ISO 28000 and ISO 28001
that address the AEO requirements.
Clause 6 provides practical guidance as to where the various requirements of ISO 28001 would plug into
ISO 28000 as inputs, processes or outputs.
Clause 7 provides notes, to clarify slight differences in terminology used in ISO 28000 and ISO 28001.
2 © ISO 2014 – All rights reserved

5 Synergy between the World Customs Organization SAFE Framework Author-
ized Economic Operator requirements
In Tables 1 to 9 that follow, the AEO requirement sections are listed first in Bold type. This is followed by
a brief summary of that requirement. In the boxes below each summary are the clauses of ISO 28000 and
ISO 28001 that address those requirements. The majority of the WCO AEO requirements are addressed
in Tables 1 to 9 and those defined as government functions in the introduction section of this part of
ISO 28004. Please note that National AEO programs may have additional requirements such as specific
minimum criteria that may not be fully addressed in ISO 28000 or ISO 28001.
Table 1
A. Education, Training and Awareness
Customs and AEOs shall develop mechanisms for the education and training of personnel regarding secu-
rity policies, recognition of deviations from those policies and understanding what actions must be taken in
response to security lapses
ISO 28000, 4.4.2 (Competence, training and awareness)
ISO 28001, 5.3.1 (Assessment personnel)
Table 2
B. Information Exchange, Access and Confidentiality
Customs and AEOs, as part of an overall comprehensive strategy to secure sensitive information, shall develop
or enhance the means by which entrusted information is protected against misuse and unauthorized altera-
tion.
ISO 28000, 4.2 (Security management policy), 4.4.5 (Document and data control), 4.5.4 (Controls of Records)
ISO 28001, 5.8 (Protection of the security information)
Table 3
C. Cargo Security
Customs and AEOs shall establish and/or bolster measures to ensure that the integrity of cargo is maintained
and that access controls are at the highest appropriate level, as well as establishing routine procedures that
contribute to the security of cargo.
ISO 28000, 4.4.6 (Operational control)
ISO 28001, 5.4 (Development of the supply chain security plan)
Table 4
D. Conveyance Security
Customs and AEOs shall jointly work toward the establishment of effective control regimes, where not already
provided for by other national or international regulatory mandate, to ensure that transport conveyances are
capable of being effectively secured and maintained
ISO 28000, 4.4.6 (Operational control)
ISO 28001, 5.4 (Development of the supply chain security plan)
Table 5
E. Premises Security
Customs, after taking into account the views of AEOs and their necessary compliance with mandatory interna-
tional standards, shall establish the requirements for the implementation of meaningful Customs-specific secu-
rity enhancement protocols that secure buildings, as well as ensure the monitoring and controlling of exterior
and interior perimeters.
ISO 28000, 4.4.6 (Operational control)
ISO 28001, 5.4 (Development of the supply chain security plan)
Table 6
F. Personnel Security
Customs and AEOs shall, based on their authorities and competencies, screen the background of prospective
employees to the extent legally possible. In addition, they shall prohibit unauthorized access to facilities, trans-
port conveyances, loading docks and cargo areas that may reasonably affect the security of those areas in the
supply chain under their responsibility
ISO 28000, 4.4.6 (Operational control)
ISO 28001, 5.4 (Development of the supply chain security plan)
Table 7
G. Trading Partner Security
Customs
...


INTERNATIONAL ISO
STANDARD 28004-4
First edition
2014-02-01
Security management systems for
the supply chain — Guidelines for the
implementation of ISO 28000 —
Part 4:
Additional specific guidance
on implementing ISO 28000 if
compliance with ISO 28001 is a
management objective
Systèmes de management de la sûreté pour la chaîne
d’approvisionnement — Lignes directrices pour la mise en application
de l’ISO 28000 —
Partie 4: Lignes directrices spécifiques supplémentaires concernant
la mise en oeuvre de l’ISO 28000 si la conformité à l’ISO 28001 est un
objectif de management
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 General information . 2
4 Organization of this part of ISO 28004 . 2
5 Synergy between the World Customs Organization SAFE Framework Authorized Economic
Operator requirements . 3
6 Practical guidance as to where the various requirements of ISO 28001 would plug into
ISO 28000 as inputs, processes or outputs . 5
7 Notes on terminology . 6
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any
patent rights identified during the development of the document will be in the Introduction and/or on
the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 8, Ships and marine technology.
This first edition cancels and replaces ISO/PAS 28004-4:2012. It also incorporates the Amendment
ISO 28004-1:2007/DAmd3.
ISO 28004 consists of the following parts, under the general title Security management systems for the
supply chain — Guidelines for the implementation of ISO 28000:
— Part 1: General principles
— Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
— Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses
(other than marine ports)
— Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a
management objective
iv © ISO 2014 – All rights reserved

Introduction
This part of ISO 28004 has been developed to supplement ISO 28004-1. The additional guidance in this
part of ISO 28004, while amplifying the general guidance provided in the main body of ISO 28004-1,
does not conflict with the general guidance. While ISO 28000 is less specific than ISO 28001 on certain
technical security requirements, they do not conflict. This part of ISO 28004 helps to meet the Authorized
Economic Operator security criteria.
INTERNATIONAL STANDARD ISO 28004-4:2014(E)
Security management systems for the supply chain —
Guidelines for the implementation of ISO 28000 —
Part 4:
Additional specific guidance on implementing ISO 28000 if
compliance with ISO 28001 is a management objective
1 Scope
This part of ISO 28004 provides additional guidance for organizations adopting ISO 28000 that also
wish to incorporate the Best Practices identified in ISO 28001 as a management objective on their
international supply chains. The Best Practices in ISO 28001 both help organizations establish and
document levels of security within an international supply chain and facilitate validation in national
Authorized Economic Operator (AEO) programmes that are designed in accordance with the World
Customs Organization (WCO) Framework of Standards.
This part of ISO 28004 is not designed as a standalone document. The main body of ISO 28004-1 provides
significant guidance pertaining to required inputs, processes, outputs and other elements required by
ISO 28000. This part of ISO 28004 provides additional specific guidance on implementing ISO 28000 if
compliance with ISO 28001 is a management objective.
Some requirements specified in the WCO AEO programme are government functions and are not
addressed in the ISO international standards. These include:
— Demonstrated Compliance with Customs Requirements. Customs are to take into account the
demonstrated compliance history of a prospective AEO when considering the request for AEO
status.
— Satisfactory System for Management of Commercial Records. The AEO is to maintain timely,
accurate, complete and verifiable records relating to import and export. Maintenance of verifiable
commercial records is an essential element in the security of the international trade supply chain.
— Financial Viability. Financial viability of the AEO is an important indicator of an ability to maintain
and improve upon measures to secure the supply chain.
— Consultation, Co-operation and Communication. Customs, other competent authorities and the AEO
at all levels ― international, national and local ― should consult regularly on matters of mutual
interest, including supply chain security and facilitation measures, in a manner which will not
jeopardize enforcement activities. The results of this consultation should contribute to Customs
development and maintenance of its risk management strategy.
2 Normative references
The following referenced documents, in whole or in part, are normatively referenced in this document
and are indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 20858, Ships and marine technology — Maritime port facility security assessments and security plan
development
ISO 28000, Specification for security management systems for the supply chain
ISO 28001, Security management systems for the supply chain — Best practices for implementing supply
chain security, assessments and plans — Requirements and guidance
ISO 28004-1, Security management systems for the supply chain — Guidelines for the implementation of
ISO 28000 — Part 1: General principles
3 General information
The diagram in Figure 1 provides an illustration of how compliance and possible certification to
ISO 28000 incorporating the best practices of ISO 28001 complements the requirements of national,
regional or economic Authorized Economic Operator programs and as well as those of certain industry
programs and facilitates the validations of such programs. Organizations may also choose to adopt
ISO 28000 and ISO 28001 to improve and document supply chain security management without the goal
of achieving AEO certification.

Figure 1 — Complementary security standards to secure supply chain
4 Organization of this part of ISO 28004
Clause 5 provides a series of charts showing the synergy between the World Customs Organization SAFE
Framework Authorized Economic Operator requirements and the clauses in ISO 28000 and ISO 28001
that address the AEO requirements.
Clause 6 provides practical guidance as to where the various requirements of ISO 28001 would plug into
ISO 28000 as inputs, processes or outputs.
Clause 7 provides notes, to clarify slight differences in terminology used in ISO 28000 and ISO 28001.
2 © ISO 2014 – All rights reserved

5 Synergy between the World Customs Organization SAFE Framework Author-
ized Economic Operator requirements
In Tables 1 to 9 that follow, the AEO requirement sections are listed first in Bold type. This is followed by
a brief summary of that requirement. In the boxes below each summary are the clauses of ISO 28000 and
ISO 28001 that address those requirements. The majority of the WCO AEO requirements are addressed
in Tables 1 to 9 and those defined as government functions in the introduction section of this part of
ISO 28004. Please note that National AEO programs may have additional requirements such as specific
minimum criteria that may not be fully addressed in ISO 28000 or ISO 28001.
Table 1
A. Education, Training and Awareness
Customs and AEOs shall develop mechanisms for the education and training of personnel regarding secu-
rity policies, recognition of deviations from those policies and understanding what actions must be taken in
response to security lapses
ISO 28000, 4.4.2 (Competence, training and awareness)
ISO 28001, 5.3.1 (Assessment personnel)
Table 2
B. Information Exchange, Access and Confidentiality
Customs and AEOs, as part of an overall comprehensive strategy to secure sensitive information, shall develop
or enhance the means by which entrusted information is protected against misuse and unauthorized altera-
tion.
ISO 28000, 4.2 (Security management policy), 4.4.5 (Document and data control), 4.5.4 (Controls of Records)
ISO 28001, 5.8 (Protection of the security information)
Table 3
C. Cargo Security
Customs and AEOs shall establish and/or bolster measures to ensure that the integrity of cargo is maintained
and that access controls are at the highest appropriate level, as well as establishing routine procedures that
contribute to the security of cargo.
ISO 28000, 4.4.6 (Operational control)
ISO 28001, 5.4 (Development of the supply chain security plan)
Table 4
D. Conveyance Security
Customs and AEOs shall jointly work toward the establishment of effective control regimes, where not already
provided for by other national or international regulatory mandate, to ensure that transport conveyances are
capable of being effectively secured and maintained
ISO 28000, 4.4.6 (Operational control)
ISO 28001, 5.4 (Development of the supply chain security plan)
Table 5
E. Premises Security
Customs, after taking into account the views of AEOs and their necessary compliance with mandatory interna-
tional standards, shall establish the requirements for the implementation of meaningful Customs-specific secu-
rity enhancement protocols that secure buildings, as well as ensure the monitoring and controlling of exterior
and interior perimeters.
ISO 28000, 4.4.6 (Operational control)
ISO 28001, 5.4 (Development of the supply chain security plan)
Table 6
F. Personnel Security
Customs and AEOs shall, based on their authorities and competencies, screen the background of prospective
employees to the extent legally possible. In addition, they shall prohibit unauthorized access to facilities, trans-
port conveyances, loading docks and cargo areas that may reasonably affect the security of those areas in the
supply chain under their responsibility
ISO 28000, 4.4.6 (Operational control)
ISO 28001, 5.4 (Development of the supply chain security plan)
Table 7
G. Trading Partner Security
Customs
...


МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28004-4
Первое издание
2014-02-01
Системы менеджмента безопасности
цепи поставок. Руководящие
указания по внедрению ISO 28000.
Часть 4:
Дополнительное специальное
руководство по внедрению ISO 28000,
когда соответствие ISO 28001
является предметом менеджмента
Security management systems for the supply chain — Guidelines for
the implementation of ISO 28000 —
Part 4: Additional specific guidance on implementing ISO 28000 if
compliance with ISO 28001 is a management objective

Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO

Ссылочный номер
©
ISO 2014
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

©  ISO 2014
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по соответствующему адресу, указанному ниже, или комитета-члена ISO в стране
заявителя.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2014 – Все права сохраняются

Содержание Страница
Предисловие . iv
Введение . v
1  Область применения . 1
2  Нормативные ссылки . 1
3  Общая информация . 2
4  Структура настоящей части ISO 28004 . 2
5  Синергия между требованиями Статуса уполномоченного экономического оператора
рамочных стандартов SAFE Всемирной таможенной организации . 3
6  Практическое руководство по включению различных требований ISO 28001 в
качестве исходных данных, процессов или результатов ISO 28000. 5
7  Замечания по терминологии . 6

Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Процедуры, используемые для разработки настоящего документа и предназначенные для его
дальнейшего поддержания, указаны в Части 1 Директив ISO/IEC. В особенности следует отметить, что
для различных типов документов ISO необходимы разные критерии для утверждения. Настоящий
документ был разработан в соответствии с редакционными правилами Части 2 Директив ISO/IEC.
(см. www.iso.org/directives).
Обращается внимание на возможность патентования некоторых элементов данного международного
стандарта. ISO не несет ответственности за идентификацию какого-либо или всех таких патентных прав.
Детали любых патентных прав, идентифицированных при разработке документа, должны содержаться в
Введении и/или в перечне полученных патентов ISO. (см. www.iso.org/patents).
Любое фирменное наименование в настоящем документе является информацией, предоставляемой
для удобства пользователей, и не носит рекомендательный характер.
Для объяснения смысла специальных терминов и выражений ISO, связанных с оценкой соответствия, а
также для информации о приверженности ISO принципам WTO Соглашения по техническим барьерам в
торговле (TBT) следует использовать следующий указатель URL: Foreword - Supplementary information
За настоящий документ несет ответственность Технический комитет ISO/TC 8, Суда и морские
технологии.
Настоящее первое издание отменяет и замещает ISO/PAS 28004-4:2012. Оно также включает Поправку
ISO 28004-1:2007/DAmd3.
ISO 28004 состоит из следующих частей под общим названием Системы менеджмента безопасности
цепи поставок. Руководящие указания по внедрению ISO 28000:
— Часть 1: Общие принципы
— Часть 2: Руководящие указания по принятию ISO 28000 для использования в работе средних и
малых морских портов
— Часть 3: Дополнительное специальное руководство по принятию ISO 28000 для использования в
операциях среднего и малого бизнеса (кроме морских портов)
— Часть 4: Дополнительное специальное руководство по внедрению ISO 28000, когда
соответствие ISO 28001 является предметом менеджмента

iv © ISO 2014 – Все права сохраняются

Введение
Настоящая часть ISO 28004 была подготовлена, чтобы дополнить ISO 28004-1. Дополнительное
руководство в настоящей части ISO 28004, расширяя общее руководство, изложенное в основной части
ISO 28004-1, не вступает в противоречие с общим руководством. Хотя ISO 28000 менее конкретно по
определенным техническим требованиям по безопасности, чем ISO 28001, они не вступают в
противоречие. Настоящая часть ISO 28004 помогает соответствовать критериям безопасности
Уполномоченного экономического оператора.

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28004-4:2014(R)

Системы менеджмента безопасности цепи поставок.
Руководящие указания по внедрению ISO 28000.
Часть 4.
Дополнительное специальное руководство по внедрению
ISO 28000, когда соответствие ISO 28001 является
предметом менеджмента
1 Область применения
Настоящая часть ISO 28004 содержит дополнительное руководство для организаций, принимающих
ISO 28000, которые также желают включить лучшие практики, приведенные в ISO 28001, в качестве
предмета менеджмента в своих международных цепях поставок. Лучшие практики в ISO 28001
помогают организациям определять и документировать уровни безопасности внутри международной
цепи поставок, а также способствуют валидации в национальных программах Уполномоченного
экономического оператора (AEO), которые разработаны в соответствии с рамочными стандартами
Всемирной таможенной организации (WCO).
Настоящая часть ISO 28004 не является автономным документом. Основная часть ISO 28004-1
содержит руководство, касающееся исходных данных, процессов, результатов и других требуемых
ISO 28000 элементов. Настоящая часть ISO 28004 предусматривает дополнительное специальное
руководство по внедрению ISO 28000, когда соответствие ISO 28001 является предметом
менеджмента.
Некоторые требования, установленные в программе WCO AEO, являются обязанностью органов
исполнительной власти и не рассматриваются в международных стандартах ISO. Они включают:
— Демонстрируемое соответствие таможенным требованиям. Органы таможни при рассмотрении
запроса о статусе AEO должны принимать во внимание демонстрируемое соответствие
предшествующих получению статуса событий.
— Удовлетворительная система менеджмента коммерческих документов. Статус AEO обязывает
поддерживать своевременные, точные, полные и верифицируемые документы, связанные с
импортом и экспортом. Поддержание верифицируемых коммерческих документов является
необходимым элементом безопасности международной торговой цепи поставок.
— Экономическая эффективность. Экономическая эффективность оператора AEO является важным
индикатором способности поддерживать и улучшать меры безопасности цепи поставок.
— Консультации, кооперация и коммуникация. Таможенные, другие компетентные органы и оператор
AEO на всех уровнях ― международном, национальном и местном ― должны регулярно
консультироваться по вопросам, представляющим взаимный интерес, включая безопасность цепи
поставок и оказание содействия таким образом, чтобы не ставить под угрозу принудительные
действия. Результаты таких консультаций должны способствовать развитию и поддержанию
имеющейся в таможне стратегии риск-менеджмента.
2 Нормативные ссылки
Следующие документы, полностью или частично являются ссылочными в данном документе и
обязательными при его применении. При датированных ссылочных документах применяется только
приведенное издание документа. При недатированных ссылках необходимо использовать самое
последнее издание нормативного ссылочного документа (включая любые изменения).
ISO 20858, Суда и морские технологии. Оценки безопасности морских портовых сооружений и
разработка плана обеспечения безопасности
ISO 28000, Системы менеджмента безопасности цепи поставок. Технические условия
ISO 28001, Системы менеджмента безопасности цепи поставок. Наилучшие методы обеспечения
безопасности в цепи поставок, оценки и планы. Требования и руководящие указания
ISO 28004-1, Системы менеджмента безопасности цепи поставок. Руководящие указания по
внедрению ISO 28000. Часть 1: Общие принципы
3 Общая информация
Рисунок 1 иллюстрирует, как соответствие и возможная сертификация по ISO 28000, включающему
лучший опыт из ISO 28001, дополняют требования национальных, региональных программ или
программ уполномоченного экономического оператора, а также определенные программы
промышленности и совершенствование их оценки. Организации также могут выбрать принятие
ISO 28000 и ISO 28001 для улучшения и документирования менеджмента безопасности цепи поставок
без цели сертификации уполномоченного экономического оператора AEO.

Рисунок 1 — Дополняющие стандарты безопасности для обеспечения цепи поставок
4 Структура настоящей части ISO 28004
Раздел 5 содержит серию таблиц, показывающих синергию между требованиями Статуса
уполномоченного экономического оператора рамочных стандартов SAFE Всемирной таможенной
организации и разделами ISO 28000 и ISO 28001, которые рассматривают требования AEO.
2 © ISO 2014 – Все права сохраняются

Раздел 6 содержит практическое руководство для включения различных требований ISO 28001 в
ISO 28000 в качестве исходных данных, процессов или результатов.
Раздел 7 содержит замечания для разъяснения небольших различий в терминологии, используемой в
ISO 28000 и ISO 28001.
5 Синергия между требованиями Статуса уполномоченного экономического
оператора рамочных стандартов SAFE Всемирной таможенной организации
В Таблицах с 1 по 9, следующих ниже, требования оператора AEO выделены жирным шрифтом. Далее
следует краткое изложение этого требования. Ниже, в следующей строке указаны разделы ISO 28000 и
ISO 28001, в которых рассматриваются эти требования. Большинство требований WCO AEO
рассмотрены в Таблицах с 1 по 9, а те требования, которые были определены как функции
государственных органов во вступлении настоящей части ISO 28004. Нужно заметить, что
национальные программы AEO могут иметь дополнительные требования такие, как специальные
минимальные критерии, которые могут не быть полностью рассмотрены в ISO 28000 или ISO 28001.
Таблица 1
A. Обучение, подготовка и осведомленность
Органы таможни и операторы AEO должны разработать механизмы для обучения и подготовки персонала
относительно политики безопасности, распознавания отклонений от этой политики и понимания действий,
которые должны быть предприняты в ответ на ошибки в обеспечении безопасности
ISO 28000, 4.4.2 (Компетентность, подготовка и осведомленность)
ISO 28001, 5.3.1 (Персонал, проводящий оценку)
Таблица 2
B. Обмен информацией, доступность и конфиденциальность
Органы таможни и операторы AEO, как части общей комплексной стратегии защиты конфиденциальной
информации, должны разработать или улучшить способы защиты охраняемой информации от неправильного
использования или несанкционированного изменения.
ISO 28000, 4.2 (Политика менеджмента безопасности), 4.4.5 (Контроль документации и данных), 4.5.4
(Управление документами)
ISO 28001, 5.8 (Защита секретной информации)
Таблица 3
C. Безопасность груза
Органы таможни и операторы AEO должны установить и/или поддерживать мероприятия, гарантирующие, что
целостность грузов сохраняется и средства контроля доступа имеют самый высокий возможный уровень, а
также установление стандартных процедур, способствующих безопасности груза.
ISO 28000, 4.4.6 (Оперативное управление)
ISO 28001, 5.4 (Разработка плана обеспечения безопасности цепи поставок)
Таблица 4
D. Безопасность транспортных средств
Органы таможни и операторы AEO должны вести совместную работу, направленную на установление
эффективных режимов контроля, в случаях, где еще нет национальных или международных документов по
обеспечению того, что транспортные средства эффективно защищаются и обслуживаются.
ISO 28000, 4.4.6 (Оперативное управление)
ISO 28001, 5.4 (Разработка плана обеспечения безопасности цепи поставок)
Таблица 5
E. Безопасность помещений
Органы таможни, после принятия во внимание положений Статуса AEO и необходимого соответствия
обязательным международным стандартам, должны будут установить требования по внедрению особых
таможенных протоколов повышения безопасности, которые обеспечивают безопасность зданий, а также
мониторинг и контроль внешнего и внутреннего периметров.
ISO 28000, 4.4.6 (Оперативное управление)
ISO 28001, 5.4 (Разработка плана обеспечения безопасности цепи поставок)
Таблица 6
F. Безопасность персонала
Органы таможни и операторы AEO должны на основе своих полномочий и компетенций защищать
персональные данные предполагаемых работников до возможных законных пределов. Кроме того они должны
запрещать несанкционированный доступ к сооружениям, транспортным средствам, погрузочным платформам и
грузовым площадкам, который может повлиять на безопасность этих объекто
...


МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28004-4
Первое издание
2014-02-01
Системы менеджмента безопасности
цепи поставок. Руководящие
указания по внедрению ISO 28000.
Часть 4:
Дополнительное специальное
руководство по внедрению ISO 28000,
когда соответствие ISO 28001
является предметом менеджмента
Security management systems for the supply chain — Guidelines for
the implementation of ISO 28000 —
Part 4: Additional specific guidance on implementing ISO 28000 if
compliance with ISO 28001 is a management objective

Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO

Ссылочный номер
©
ISO 2014
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

©  ISO 2014
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по соответствующему адресу, указанному ниже, или комитета-члена ISO в стране
заявителя.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2014 – Все права сохраняются

Содержание Страница
Предисловие . iv
Введение . v
1  Область применения . 1
2  Нормативные ссылки . 1
3  Общая информация . 2
4  Структура настоящей части ISO 28004 . 2
5  Синергия между требованиями Статуса уполномоченного экономического оператора
рамочных стандартов SAFE Всемирной таможенной организации . 3
6  Практическое руководство по включению различных требований ISO 28001 в
качестве исходных данных, процессов или результатов ISO 28000. 5
7  Замечания по терминологии . 6

Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Процедуры, используемые для разработки настоящего документа и предназначенные для его
дальнейшего поддержания, указаны в Части 1 Директив ISO/IEC. В особенности следует отметить, что
для различных типов документов ISO необходимы разные критерии для утверждения. Настоящий
документ был разработан в соответствии с редакционными правилами Части 2 Директив ISO/IEC.
(см. www.iso.org/directives).
Обращается внимание на возможность патентования некоторых элементов данного международного
стандарта. ISO не несет ответственности за идентификацию какого-либо или всех таких патентных прав.
Детали любых патентных прав, идентифицированных при разработке документа, должны содержаться в
Введении и/или в перечне полученных патентов ISO. (см. www.iso.org/patents).
Любое фирменное наименование в настоящем документе является информацией, предоставляемой
для удобства пользователей, и не носит рекомендательный характер.
Для объяснения смысла специальных терминов и выражений ISO, связанных с оценкой соответствия, а
также для информации о приверженности ISO принципам WTO Соглашения по техническим барьерам в
торговле (TBT) следует использовать следующий указатель URL: Foreword - Supplementary information
За настоящий документ несет ответственность Технический комитет ISO/TC 8, Суда и морские
технологии.
Настоящее первое издание отменяет и замещает ISO/PAS 28004-4:2012. Оно также включает Поправку
ISO 28004-1:2007/DAmd3.
ISO 28004 состоит из следующих частей под общим названием Системы менеджмента безопасности
цепи поставок. Руководящие указания по внедрению ISO 28000:
— Часть 1: Общие принципы
— Часть 2: Руководящие указания по принятию ISO 28000 для использования в работе средних и
малых морских портов
— Часть 3: Дополнительное специальное руководство по принятию ISO 28000 для использования в
операциях среднего и малого бизнеса (кроме морских портов)
— Часть 4: Дополнительное специальное руководство по внедрению ISO 28000, когда
соответствие ISO 28001 является предметом менеджмента

iv © ISO 2014 – Все права сохраняются

Введение
Настоящая часть ISO 28004 была подготовлена, чтобы дополнить ISO 28004-1. Дополнительное
руководство в настоящей части ISO 28004, расширяя общее руководство, изложенное в основной части
ISO 28004-1, не вступает в противоречие с общим руководством. Хотя ISO 28000 менее конкретно по
определенным техническим требованиям по безопасности, чем ISO 28001, они не вступают в
противоречие. Настоящая часть ISO 28004 помогает соответствовать критериям безопасности
Уполномоченного экономического оператора.

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28004-4:2014(R)

Системы менеджмента безопасности цепи поставок.
Руководящие указания по внедрению ISO 28000.
Часть 4.
Дополнительное специальное руководство по внедрению
ISO 28000, когда соответствие ISO 28001 является
предметом менеджмента
1 Область применения
Настоящая часть ISO 28004 содержит дополнительное руководство для организаций, принимающих
ISO 28000, которые также желают включить лучшие практики, приведенные в ISO 28001, в качестве
предмета менеджмента в своих международных цепях поставок. Лучшие практики в ISO 28001
помогают организациям определять и документировать уровни безопасности внутри международной
цепи поставок, а также способствуют валидации в национальных программах Уполномоченного
экономического оператора (AEO), которые разработаны в соответствии с рамочными стандартами
Всемирной таможенной организации (WCO).
Настоящая часть ISO 28004 не является автономным документом. Основная часть ISO 28004-1
содержит руководство, касающееся исходных данных, процессов, результатов и других требуемых
ISO 28000 элементов. Настоящая часть ISO 28004 предусматривает дополнительное специальное
руководство по внедрению ISO 28000, когда соответствие ISO 28001 является предметом
менеджмента.
Некоторые требования, установленные в программе WCO AEO, являются обязанностью органов
исполнительной власти и не рассматриваются в международных стандартах ISO. Они включают:
— Демонстрируемое соответствие таможенным требованиям. Органы таможни при рассмотрении
запроса о статусе AEO должны принимать во внимание демонстрируемое соответствие
предшествующих получению статуса событий.
— Удовлетворительная система менеджмента коммерческих документов. Статус AEO обязывает
поддерживать своевременные, точные, полные и верифицируемые документы, связанные с
импортом и экспортом. Поддержание верифицируемых коммерческих документов является
необходимым элементом безопасности международной торговой цепи поставок.
— Экономическая эффективность. Экономическая эффективность оператора AEO является важным
индикатором способности поддерживать и улучшать меры безопасности цепи поставок.
— Консультации, кооперация и коммуникация. Таможенные, другие компетентные органы и оператор
AEO на всех уровнях ― международном, национальном и местном ― должны регулярно
консультироваться по вопросам, представляющим взаимный интерес, включая безопасность цепи
поставок и оказание содействия таким образом, чтобы не ставить под угрозу принудительные
действия. Результаты таких консультаций должны способствовать развитию и поддержанию
имеющейся в таможне стратегии риск-менеджмента.
2 Нормативные ссылки
Следующие документы, полностью или частично являются ссылочными в данном документе и
обязательными при его применении. При датированных ссылочных документах применяется только
приведенное издание документа. При недатированных ссылках необходимо использовать самое
последнее издание нормативного ссылочного документа (включая любые изменения).
ISO 20858, Суда и морские технологии. Оценки безопасности морских портовых сооружений и
разработка плана обеспечения безопасности
ISO 28000, Системы менеджмента безопасности цепи поставок. Технические условия
ISO 28001, Системы менеджмента безопасности цепи поставок. Наилучшие методы обеспечения
безопасности в цепи поставок, оценки и планы. Требования и руководящие указания
ISO 28004-1, Системы менеджмента безопасности цепи поставок. Руководящие указания по
внедрению ISO 28000. Часть 1: Общие принципы
3 Общая информация
Рисунок 1 иллюстрирует, как соответствие и возможная сертификация по ISO 28000, включающему
лучший опыт из ISO 28001, дополняют требования национальных, региональных программ или
программ уполномоченного экономического оператора, а также определенные программы
промышленности и совершенствование их оценки. Организации также могут выбрать принятие
ISO 28000 и ISO 28001 для улучшения и документирования менеджмента безопасности цепи поставок
без цели сертификации уполномоченного экономического оператора AEO.

Рисунок 1 — Дополняющие стандарты безопасности для обеспечения цепи поставок
4 Структура настоящей части ISO 28004
Раздел 5 содержит серию таблиц, показывающих синергию между требованиями Статуса
уполномоченного экономического оператора рамочных стандартов SAFE Всемирной таможенной
организации и разделами ISO 28000 и ISO 28001, которые рассматривают требования AEO.
2 © ISO 2014 – Все права сохраняются

Раздел 6 содержит практическое руководство для включения различных требований ISO 28001 в
ISO 28000 в качестве исходных данных, процессов или результатов.
Раздел 7 содержит замечания для разъяснения небольших различий в терминологии, используемой в
ISO 28000 и ISO 28001.
5 Синергия между требованиями Статуса уполномоченного экономического
оператора рамочных стандартов SAFE Всемирной таможенной организации
В Таблицах с 1 по 9, следующих ниже, требования оператора AEO выделены жирным шрифтом. Далее
следует краткое изложение этого требования. Ниже, в следующей строке указаны разделы ISO 28000 и
ISO 28001, в которых рассматриваются эти требования. Большинство требований WCO AEO
рассмотрены в Таблицах с 1 по 9, а те требования, которые были определены как функции
государственных органов во вступлении настоящей части ISO 28004. Нужно заметить, что
национальные программы AEO могут иметь дополнительные требования такие, как специальные
минимальные критерии, которые могут не быть полностью рассмотрены в ISO 28000 или ISO 28001.
Таблица 1
A. Обучение, подготовка и осведомленность
Органы таможни и операторы AEO должны разработать механизмы для обучения и подготовки персонала
относительно политики безопасности, распознавания отклонений от этой политики и понимания действий,
которые должны быть предприняты в ответ на ошибки в обеспечении безопасности
ISO 28000, 4.4.2 (Компетентность, подготовка и осведомленность)
ISO 28001, 5.3.1 (Персонал, проводящий оценку)
Таблица 2
B. Обмен информацией, доступность и конфиденциальность
Органы таможни и операторы AEO, как части общей комплексной стратегии защиты конфиденциальной
информации, должны разработать или улучшить способы защиты охраняемой информации от неправильного
использования или несанкционированного изменения.
ISO 28000, 4.2 (Политика менеджмента безопасности), 4.4.5 (Контроль документации и данных), 4.5.4
(Управление документами)
ISO 28001, 5.8 (Защита секретной информации)
Таблица 3
C. Безопасность груза
Органы таможни и операторы AEO должны установить и/или поддерживать мероприятия, гарантирующие, что
целостность грузов сохраняется и средства контроля доступа имеют самый высокий возможный уровень, а
также установление стандартных процедур, способствующих безопасности груза.
ISO 28000, 4.4.6 (Оперативное управление)
ISO 28001, 5.4 (Разработка плана обеспечения безопасности цепи поставок)
Таблица 4
D. Безопасность транспортных средств
Органы таможни и операторы AEO должны вести совместную работу, направленную на установление
эффективных режимов контроля, в случаях, где еще нет национальных или международных документов по
обеспечению того, что транспортные средства эффективно защищаются и обслуживаются.
ISO 28000, 4.4.6 (Оперативное управление)
ISO 28001, 5.4 (Разработка плана обеспечения безопасности цепи поставок)
Таблица 5
E. Безопасность помещений
Органы таможни, после принятия во внимание положений Статуса AEO и необходимого соответствия
обязательным международным стандартам, должны будут установить требования по внедрению особых
таможенных протоколов повышения безопасности, которые обеспечивают безопасность зданий, а также
мониторинг и контроль внешнего и внутреннего периметров.
ISO 28000, 4.4.6 (Оперативное управление)
ISO 28001, 5.4 (Разработка плана обеспечения безопасности цепи поставок)
Таблица 6
F. Безопасность персонала
Органы таможни и операторы AEO должны на основе своих полномочий и компетенций защищать
персональные данные предполагаемых работников до возможных законных пределов. Кроме того они должны
запрещать несанкционированный доступ к сооружениям, транспортным средствам, погрузочным платформам и
грузовым площадкам, который может повлиять на безопасность этих объекто
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.