ISO 28003:2007
(Main)Security management systems for the supply chain — Requirements for bodies providing audit and certification of supply chain security management systems
Security management systems for the supply chain — Requirements for bodies providing audit and certification of supply chain security management systems
ISO 28003:2007 contains principles and requirements for bodies providing the audit and certification of supply chain security management systems according to management system specifications and standards such as ISO 28000. It defines the minimum requirements of a certification body and its associated auditors, recognizing the unique need for confidentiality when auditing and certifying/registering a client organization. Requirements for supply chain security management systems can originate from a number of sources, and ISO 28003:2007 has been developed to assist in the certification of supply chain security management systems that fulfil the requirements of ISO 28000, Specification for security management systems for the supply chain, and other supply chain security management system International Standards. The contents of ISO 28003:2007 may also be used to support certification of supply chain security management systems that are based on other specified supply chain security management system requirements. ISO 28003:2007 provides harmonized guidance for the accreditation of certification bodies applying for ISO 28000 (or other specified supply chain security management system requirements) certification/registration; defines the rules applicable for the audit and certification of a supply chain security management system complying with the supply chain security management system standard's requirements (or other sets of specified supply chain security management system requirements); provides the customers with the necessary information and confidence about the way certification of their suppliers has been granted.
Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Exigences pour les organismes effectuant l'audit et la certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement
L'ISO 28003:2007 contient les principes et les exigences relatifs aux organismes qui assurent l'audit et la certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement selon des spécifications et des normes applicables aux systèmes de management telles que l'ISO 28000. Elle définit les exigences minimales applicables à un organisme de certification et ses auditeurs associés, en reconnaissant par ailleurs le besoin unique de confidentialité pour l'audit et la certification/l'enregistrement d'un organisme client. Les exigences relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement peuvent provenir de diverses sources; l'ISO 28003:2007 a ainsi été élaborée pour faciliter la certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement qui satisfont aux exigences de l'ISO 28000, Spécifications pour les systèmes de management de la sûreté pour la chaîne d'approvisionnement, et des autres Normes internationales relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement. L'ISO 28003:2007 peut également être utilisée pour soutenir la certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement qui sont fondés sur d'autres exigences spécifiées relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement. L'ISO 28003:2007 fournit des recommandations harmonisées pour l'accréditation des organismes de certification qui sollicitent une certification/un enregistrement ISO 28000 (ou d'autres exigences spécifiées relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement), définit les règles applicables à l'audit et à la certification d'un système de management de la sûreté pour la chaîne d'approvisionnement, conforme aux exigences de la norme relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement (ou d'autres séries de normes spécifiées relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement), et fournit aux clients les informations nécessaires concernant le processus de certification de leurs fournisseurs, les rassurant par ailleurs quant à la méthode de certification effectivement employée.
General Information
Первое издание
Системы менеджмента безопасности
для цепи поставок. Требования к
органам аудита и сертификации систем
менеджмента безопасности цепи
Security management systems for the supply chain – Requirements for
bodies providing audit and certification of supply chain security
management systems
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
ISO 28003:2007(R)
ISO 2007
ISO 28003:2007(R)
ISO 28003:2007(R)
Содержание Страница
Предисловие . iv
Введение . v
1 Область применения . 1
2 Нормативные ссылки . 1
3 Термины и определения . 2
4 Принципы деятельности для органов сертификации . 2
4.1 Общие положения . 2
4.2 Беспристрастность . 3
4.3 Компетенция . 4
4.4 Ответственность . 4
4.5 Публичность . 4
4.6 Конфиденциальность. 4
4.7 Разрешение жалоб . 4
5 Общие требования . 5
5.1 Правовые и контрактные вопросы . 5
5.2 Менеджмент беспристрастности . 5
5.3 Обязательство и финансирование . 7
6 Структурные требования . 7
6.1 Организационная структура и исполнительное высшее руководство . 7
6.2 Комитет по обеспечению беспристрастности . 8
7 Ресурсные требования . 8
7.1 Компетенция менеджмента и персонала . 8
7.2 Персонал, вовлеченный в сертификационную деятельность . 9
7.3 Использование приглашенных аудиторов и технических экспертов . 11
7.4 Картотека персонала . 12
7.5 Привлечение соисполнителей . 13
8 Информационные требования . 14
8.1 Общедоступная информация . 14
8.2 Документы сертификации . 14
8.3 Список сертифицированных клиентов . 15
8.4 Ссылка на сертификацию и использование знаков . 15
8.5 Конфиденциальность . 16
8.6 Информационный обмен между органом сертификации и его клиентами . 17
9 Требования к процессу . 18
9.1 Общие требования, применимые к любому аудиту . 18
9.2 Начальный аудит и сертификация . 20
9.3 Надзорная деятельность . 26
9.4 Повторная сертификация . 28
9.5 Специальные аудиты . 30
9.6 Приостановка, отзыв или уменьшение области применения сертификации . 31
9.7 Апелляции . 31
9.8 Жалобы . 32
9.9 Официальные документы по заявителям и клиентам . 33
10 Требования к системам менеджмента органов сертификации . 34
10.1 Вариант 1. Требование к системе менеджмента в соответствии с ISO 9001 . 34
10.2 Вариант 2. Общие требования к менеджменту . 34
Приложение A (информативное) Руководство для определения времени аудитора . 38
Приложение B (нормативное) Критерии для аудита многоместных организаций . 40
Приложение C (нормативное) Обучение аудиторов, рабочий и аудиторский опыт и время
обучения . 44
Приложение D (нормативное) Требования к компетенции аудиторов . 45
Библиография . 47
© ISO 2007 – Все права сохраняются iii
ISO 28003:2007(R)
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, то
ISO работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC). В
области оценки соответствия, комитет ISO по оценке соответствия (CASCO) отвечает за разработку
международных стандартов и руководящих указаний.
Проекты международных стандартов разрабатываются в соответствии с правилами Директив ISO/IEC,
Часть 2.
Основная задача технических комитетов заключается в подготовке международных стандартов.
Проекты международных стандартов, принятые техническими комитетами, рассылаются комитетам-
членам на голосование. Их опубликование в качестве международных стандартов требует одобрения
не менее 75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего международного стандарта могут быть
объектом патентных прав. Международная организация по стандартизации не может нести
ответственность за идентификацию какого-либо одного или всех патентных прав.
ISO 28003 подготовлен совместно Комитетом ISO по оценке соответствия (ISO/CASCO) и
Техническим комитетом ISO/TC 8, Суда и морские технологии.
Это первое издание отменяет и заменяет ISO/PAS 28003:2006, которое было технически
ISO 28003 содержит в себе требования из ISO/IEC 17021, Оценка соответствия. Требования к
органам, обеспечивающим аудит и сертификацию систем менеджмента. При оценке систем
менеджмента безопасности цепи поставок необходимо выполнение ряда требований, которые выходят
за рамки того, что необходимо для оценки и сертификации упомянутых выше систем, охватывающих
другие аспекты деятельности организаций. Чтобы сформулировать эти дополнительные требования, в
ISO/IEC 17021 внесены необходимые поправки и изменения.
iv © ISO 2007 – Все права сохраняются
ISO 28003:2007(R)
Этот международный стандарт предназначается для использования органами, которые осуществляют
аудит и сертификацию систем менеджмента безопасности цепи поставок. Сертификация систем
менеджмента безопасности цепи поставок является деятельностью по оценке соответствия третьей
стороны (см. раздел 5.5 ISO/IEC 17000:2004). Следовательно, органы, осуществляющие такую
деятельность, являются органами по оценке соответствия третьей стороны, которые в настоящем
международном стандарте называются ‘органом/органами по сертификации’. Эту формулировку не
следует считать препятствием при использовании настоящей публично доступной спецификации
органами другого назначения, которые берутся за работу в области применения настоящей публично
доступной спецификации. В самом деле, настоящий международный стандарт может применять любой
орган, вовлеченный в оценку систем менеджмента безопасности цепи поставок.
Сертификация систем менеджмента безопасности цепи поставок организации является средством
предоставления гарантии, что эта организация внедрила систему для управления безопасностью цепи
поставок в соответствии с проводимой политикой.
Сертификация систем менеджмента безопасности цепи поставок будет осуществляться
сертификационными органами, аккредитованными общепризнанной организацией, например, членами
IAF (Международной авиационной федерацией).
Этот международный стандарт устанавливает требования для сертификационных органов.
Соблюдение этих требований направлено на обеспечение того, что органы по сертификации будут
осуществлять сертификацию систем менеджмента безопасности цепей поставок компетентно,
последовательно и надежно, способствуя тем самым признанию таких органов и приемке их
сертификаций на национальной и международной основе. Настоящий международный стандарт будет
служить основанием для облегчения признания сертификации систем менеджмента безопасности
цепей поставок в интересах международной торговли.
Сертификация систем менеджмента безопасности цепей поставок дает независимое подтверждение
того, что система менеджмента безопасности цепи поставок организации
a) отвечает установленным требованиям;
b) обеспечивает последовательное проведение ее политики и достижение целей;
c) эффективно выполняется.
Сертификация системы менеджмента безопасности цепи поставок дает тем самым справедливую
оценку организации, ее заказчикам и заинтересованным сторонам.
Цель настоящего международного стандарта – это быть основой для признания компетенции
сертификационных органов в проведении сертификации системы менеджмента безопасности цепи
поставок. Этот международный стандарт может быть использована в качестве основы для признания
компетенции сертификационных органов в обеспечении сертификации системы менеджмента
безопасности цепи поставок (такое признание может быть в форме извещения, равноправной
аттестации или прямого признания распорядительными органами или промышленными
Обзор требований в этом международном стандарте предназначен для обеспечения того, что
сертификационные органы осуществляли сертификацию систем менеджмента безопасности цепи
поставок компетентно, последовательно и надежно, способствуя тем самым признанию таких органов
и приемке их сертификатов на национальной и международной основе. Настоящий международный
стандарт мог бы служить основанием для облегчения признания сертификации систем менеджмента
безопасности цепи поставок в интересах международной торговли.
Деятельность по сертификации связана с аудитом системы менеджмента безопасности цепи поставок
организации. Форма аттестации соответствия системы менеджмента безопасности цепи поставок
© ISO 2007 – Все права сохраняются v
ISO 28003:2007(R)
организации специальному стандарту (например, ISO 28000) или другим заданным требованиям
является обычно документом по сертификации или сертификатом.
Организация, проходящая сертификацию, должна разрабатывать свои собственные системы
менеджмента безопасности цепи поставок (в том числе систему менеджмента безопасности цепи
поставок согласно требованиям ISO 28000, другие требования к системе менеджмента безопасности
цепи поставок, системы обеспечения качества, системы менеджмента безопасности цепи поставок,
связанные с охраной окружающей среды или обеспечением охраны труда и техники безопасности).
Помимо случаев, когда в стране устанавливаются соответствующие законодательные требования,
сама организация должна решать, как ей использовать разные элементы упомянутых систем. Степень
интеграции между разных систем менеджмента безопасности цепи поставок будет отличаться от
одной организации к другой. Поэтому сертификационным органам, которые работают в соответствии с
настоящей публично доступной спецификацией, необходимо учитывать культуру и практику своих
клиентов в отношении интеграции их системы менеджмента безопасности цепи поставок в пределах
более широкой организации.
vi © ISO 2007 – Все права сохраняются
Системы менеджмента безопасности для цепи поставок.
Требования к органам аудита и сертификации систем
менеджмента безопасности цепи поставок
1 Область применения
Настоящий международный стандарт содержит принципы и требования для органов,
предоставляющих услуги аудита и сертификации систем менеджмента безопасности цепи поставок
согласно техническим условиям на систему менеджмента и стандартам, например, ISO 28000.
Она определяет минимальные требования к сертификационному органу и связанных с ним аудиторов,
признает необходимость исключительной конфиденциальности при аудите и сертификации/регистрации
клиентской организации.
Требования для систем менеджмента безопасности цепи поставок могут исходить из ряда источников и
настоящий международный стандарт разработан для того, чтобы оказать помощь в сертификации
систем менеджмента безопасности цепи поставок, которые выполняют требования ISO 28000,
Системы менеджмента безопасности цепи поставок. Технические условия. Содержание настоящего
стандарта можно также применить для поддержки сертификации систем менеджмента безопасности
цепи поставок, которые базируются на других совокупностях заданных требований к системе
менеджмента безопасности цепи поставок.
Настоящий международный стандарт
– предоставляет гармонизированное руководство для аккредитации сертификационных органов,
подающих заявление на сертификацию/регистрация согласно ISO 28000 (или других
совокупностей заданных требований к системе менеджмента безопасности цепи поставок);
– определяет правила, применяемые для аудита и сертификации системы менеджмента
безопасности цепи поставок, которая соответствует требованиям стандартов систем
менеджмента безопасности цепей поставок (или других совокупностей заданных требований к
системе менеджмента безопасности цепей поставок);
– обеспечивает заказчиков необходимой информацией и уверенностью в отношении процедуры
выдачи сертификации их поставщиков.
ПРИМЕЧАНИЕ 1 Сертификация системы менеджмента безопасности цепи поставок иногда называется
регистрацией, а органы по сертификации – регистраторами.
ПРИМЕЧАНИЕ 2 Орган сертификации может быть государственными или частными (с распорядительными
полномочиями или без них).
ПРИМЕЧАНИЕ 3 Настоящий международный стандарт может быть использован в качестве критерия для
аккредитации или равноправной оценки или других видов аудита.
2 Нормативные ссылки
Следующие нормативные документы являются обязательными для применения с настоящим
международным стандартом. Для жестких ссылок применяются только указанное по тексту издание.
Для плавающих ссылок необходимо использовать самое последнее издание нормативного ссылочного
документа (включая любые изменения).
© ISO 2007 – Все права сохраняются 1
ISO 28003:2007(R)
ISO/IEC 17000:2004, Оценка соответствия. Словарь и общие принципы
ISO 19011:2002, Руководящие указания по аудиту систем менеджмента качества и/или систем
экологического менеджмента
ISO 28000:– , Системы менеджмента безопасности цепи поставок. Технические условия
3 Термины и определения
В настоящем документе применяются термины и определения из ISO/IEC 17000 и следующие.
сертифицированный клиент
certified client
организация, чья система менеджмента безопасности цепи поставок сертифицирована/зарегистрирована
квалифицированной третьей стороной
существующая и воспринимаемая объективность
ПРИМЕЧАНИЕ 1 Объективность означает, что конфликт интересов не существует и разрешается таким образом,
что не оказывает вредного влияния на последующую деятельность органа по сертификации.
ПРИМЕЧАНИЕ 2 Другими полезными терминами для передачи смысла беспристрастности являются
объективность, независимость, свобода от конфликта интересов, свобода от пристрастия, отсутствие
предубеждения, нейтральность, справедливость, непредвзятость, уравновешенность, отчужденность и баланс.
консультирование по системе менеджмента и/или оценки связанных рисков
management system consultancy and/or associated risk assessments
участие в проектировании, реализации или поддержке системы и в проведении оценки рисков
a) подготовка или выпуск руководств или методик;
b) выдача конкретного совета, инструкций или решений в направлении разработки и реализации системы
менеджмента безопасности цепи поставок;
c) проведение внутренних аудитов;
d) оценка рисков и анализ.
ПРИМЕЧАНИЕ Организация обучения и участие в качестве инструктора не считается консультацией при условии,
что в случае, когда на курсе рассматриваются системы менеджмента безопасности цепи поставок или проведение
аудита, то этот курс ограничивается до положений общей информации, которая доступна без оплаты, т.е.
инструктор не дает специфических решений для компании.
4 Принципы деятельности для органов сертификации
4.1 Общие положения
4.1.1 Принципы деятельности являются основой для последующих специфических рабочих и
Будет опубликован.
2 © ISO 2007 – Все права сохраняются
ISO 28003:2007(R)
описательных требований в настоящем стандарте, который не дает специфические требования для
всех возможных ситуаций. Эти принципы следует применять как руководство для решений, которые
возможно придется принимать в непредвиденных ситуациях. Принципы не являются требованиями.
4.1.2 Общая цель сертификации – это дать уверенность всем сторонам, что система менеджмента
безопасности цепи поставок, процесс или продукт (включая услуги) выполняют установленные
требования. Ценность сертификации заключается в степени общественного доверия, которая
устанавливается к системе менеджмента, процессу или продукту (включая услуги) после
беспристрастной и компетентной оценки третьей стороной. К сертификации проявляют интерес
следующие стороны, список которых не ограничивается перечислением ниже:
a) клиенты органов по сертификации;
b) заказчики организаций, чьи системы менеджмента сертифицируются;
c) государственные органы власти;
d) неправительственные организации;
e) потребители и другие члены общества.
4.1.3 Принципы создания доверия включают следующее:
a) беспристрастность;
b) компетенцию;
c) ответственность;
d) публичность;
e) конфиденциальность;
f) реагирование на жалобы.
4.2 Беспристрастность
4.2.1 Чтобы производить сертификацию, подразумевающую конфиденциальность, органу по
сертификации необходимо быть беспристрастным и иметь репутацию такового.
4.2.2 Признается, что источником дохода для сертификационного органа является его клиент,
который платит за сертификацию, и что это является потенциальной угрозой беспристрастности.
4.2.3 Чтобы обладать и поддерживать беспристрастность, орган сертификации должен быть
способным демонстрировать, что в основе его решений лежит объективное доказательство
соответствия (или несоответствия), полученное сертификационным органом, и что на его решения не
влияют другие интересы или другие стороны.
4.2.4 Угрозы беспристрастности включают следующее:
a) Угрозы обусловленные преследованием собственной выгоды – угрозы, которые возникают от
человека или органа, действующего в своих собственных интересах. Проблемой в
сертификации, как угрозы беспристрастности, является собственный финансовый интерес.
b) Угрозы собственной оценки – угрозы, которые возникают от человека или органа,
самостоятельно пересматривающего проделанную работу. Такой аудит систем менеджмента
безопасности цепи поставок, по которым сертификационный орган консультирует клиента, был
бы угрозой собственной оценки и поэтому является неприемлемым.
© ISO 2007 – Все права сохраняются 3
---------------------- Page: 9 ----------------------
ISO 28003:2007(R)
c) Угрозы от знакомства (доверительных отношений) – угрозы, которые возникают от человека или
органа, который устанавливает слишком дружеские и доверительные отношения с другим
человеком вместо поиска доказательств в результатах аудита, являются угрозой от знакомства в
отношении беспристрастности.
d) Угрозы запугивания – угрозы, которые возникают от человека или органа, имеющего ощущение,
что он принуждается силой, публично или тайно, например, путем угрозы его замены или
сообщений о человеке или организации контролеру.
4.3 Компетенция
Компетенция персонала, поддержанная организационной инфраструктурой, необходима для органа по
сертификации, чтобы выдавать сертификацию, которая пользуется доверием.
4.4 Ответственность
4.4.1 Клиентская организация, но не орган сертификации, берет на себя ответственность за
соответствие требованиям сертификации.
4.4.2 Орган сертификации берет на себя ответственность за оценку достаточно объективного
доказательства, на котором базируется рекомендация для сертификации. На основе рекомендаций
аудита, он принимает решение официально предоставить сертификацию при наличии достаточного
доказательства соответствия или отказать при отсутствии такого соответствия.
ПРИМЕЧАНИЕ Доказательство аудита должно быть проверяемым. Оно базируется на выборках доступной
информации, так как аудит проводится в течение ограниченного периода и с конечными ресурсами. Подходящее
использование выборки тесно связано с доверием, которое может быть заложено в заключениях аудита.
4.5 Публичность
4.5.1 Орган сертификации нуждается в предоставлении общественного доступа или разглашении
соответствующей и своевременной информации, в том числе о статусе сертификации (т.е.
предоставление, приостановка, уменьшение области применения или отзыв сертификации) какой-либо
организации, чтобы завоевать доверие к целостности и вероятности сертификации. Публичность есть
доступ к информации или ее разглашение.
4.5.2 Чтобы завоевать или поддерживать доверие к сертификации, орган сертификации нуждается в
подходящем доступе к несекретной информации или ее разглашении особым заинтересованным
сторонам о заключениях специальных аудитов (например, аудит в ответ на жалобы).
4.6 Конфиденциальность
Чтобы получить привилегированный доступ к информации, которая необходима органу по
сертификации, чтобы оценить соответствие требованиям для адекватной сертификации, это орган
должен хранить конфиденциальную, секретную, собственническую и/или связанную с уязвимостью
информацию о системе менеджмента безопасности цепи поставок организации.
4.7 Разрешение жалоб
Стороны, которые полагаются на сертификацию, вправе ожидать расследование жалоб и, если эти
жалобы находят действительными, то сторонам следует быть уверенными в том, что жалобы
соответственно рассмотрят и сделают целесообразные усилия по их разрешению.
ПРИМЕЧАНИЕ Необходим подходящий баланс между принципами публичности и конфиденциальности,
включая разрешение жалоб, чтобы показывать целостность и доверие ко всем пользователям сертификации.
4 © ISO 2007 – Все права сохраняются
ISO 28003:2007(R)
5 Общие требования
5.1 Правовые и контрактные вопросы
5.1.1 Ответственность перед законом
Орган сертификации должен быть юридическим субъектом или определенной частью юридического
субъекта, т.е. таким, что его можно на законном основании считать ответственным за всю его
сертификационную деятельность. Государственный орган сертификации считается юридическим
субъектом на основе его государственного статуса.
5.1.2 Сертификационное соглашение
Орган сертификации должен иметь законное действующее соглашение на предоставление услуг
сертификационной деятельности своим клиентским организациям. Кроме того, когда имеется много
офисов органов сертификации или много рабочих мест сертифицированного клиента, орган
сертификации должен гарантировать, что имеется законное принудительное соглашение между
сертификационным органом, предоставившим сертификацию с выдачей сертификата, и
сертифицированным клиентом, исключительно охватывающее каждое сертифицированное рабочее
место клиента. Соглашение должно четко определять, каким стандартам и/или нормативным
документам должна соответствовать сертификация.
5.1.3 Ответственность за сертификационные решения
Орган сертификации должен сохранять полномочия и быть ответственным за свои решения,
относящиеся к сертификации, в том числе, предоставление, поддержание, возобновление, продление,
уменьшение области применения, приостановка и отзыв сертификации.
5.2 Менеджмент беспристрастности
5.2.1 Высшее руководство органа по сертификации должно взять на себя обязательство в
беспристрастности к деятельности по сертификации систем менеджмента безопасности цепи
поставок. Орган сертификации должен сделать публичное заявление, что он понимает важность
беспристрастности при осуществлении деятельности, связанной с сертификацией систем
менеджмента безопасности цепи поставок, контролирует конфли
First edition
Security management systems for the
supply chain — Requirements for bodies
providing audit and certification of supply
chain security management systems
Systèmes de management de la sûreté pour la chaîne
d'approvisionnement — Exigences pour les organismes effectuant
l'audit et la certification des systèmes de management de la sûreté pour
la chaîne d'approvisionnement
Reference number
ISO 28003:2007(E)
ISO 2007
ISO 28003:2007(E)
ISO 28003:2007(E)
Contents Page
Foreword . iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
4 Principles for certification bodies . 2
4.1 General . 2
4.2 Impartiality. 3
4.3 Competence . 4
4.4 Responsibility . 4
4.5 Openness . 4
4.6 Confidentiality . 4
4.7 Resolution of complaints . 4
5 General requirements . 4
5.1 Legal and contractual matters . 4
5.2 Management of impartiality . 5
5.3 Liability and financing . 6
6 Structural requirements . 6
6.1 Organizational structure and top management . 6
6.2 Committee for safeguarding impartiality . 7
7 Resource requirements . 8
7.1 Competence of management and personnel . 8
7.2 Personnel involved in the certification activities . 8
7.3 Use of external auditors and external technical experts . 10
7.4 Personnel records . 11
7.5 Outsourcing . 12
8 Information requirements . 13
8.1 Publicly accessible information . 13
8.2 Certification documents . 13
8.3 Directory of certified clients . 14
8.4 Reference to certification and use of marks . 14
8.5 Confidentiality . 14
8.6 Information exchange between a certification body and its clients . 15
9 Process requirements . 16
9.1 General requirements applicable to any audit . 16
9.2 Initial audit and certification . 18
9.3 Surveillance activities . 23
9.4 Recertification . 25
9.5 Special audits . 27
9.6 Suspending, withdrawing or reducing scope of certification . 27
9.7 Appeals . 28
9.8 Complaints . 28
9.9 Records on applicants and clients . 29
10 Management system requirements for certification bodies . 30
10.1 Option 1 — Management system requirements in accordance with ISO 9001 . 30
10.2 Option 2 — General management system requirements . 30
Annex A (informative) Guide for process to determine auditor time . 34
Annex B (normative) Criteria for auditing organizations with multiple sites . 36
Annex C (normative) Auditor education, work and audit experience and training durations . 40
Annex D (normative) Auditor competence requirements . 41
Bibliography . 43
© ISO 2007 – All rights reserved iii
ISO 28003:2007(E)
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for whom a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization. In the field
of conformity assessment, the ISO Committee on conformity assessment (CASCO) is responsible for the
development of International Standards and Guides.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
ISO 28003 was prepared jointly by the ISO Committee on conformity assessment (ISO/CASCO) and
ISO/TC 8, Ships and marine technology.
This first edition cancels and replaces ISO/PAS 28003:2006, which has been technically revised.
ISO 28003 encompasses the requirements from ISO/IEC 17021, Conformity assessment — Requirements for
bodies providing audit and certification of management systems. When assessing security supply chain
security management systems, a number of requirements need to be met which go beyond what is required
for the assessment and certification of supply chain security management systems covering other operational
aspects of organizations. To formulate these additional requirements, ISO/IEC 17021 has been amended or
modified where needed.
iv © ISO 2007 – All rights reserved
ISO 28003:2007(E)
This International Standard is intended for use by bodies that carry out audit and certification of supply chain
security management systems. Certification of supply chain security management systems is a third party
conformity assessment activity (see clause 5.5 of ISO/IEC 17000:2004). Bodies performing this activity are
therefore third party conformity assessment bodies, named 'certification body/bodies' in this International
Standard. This wording should not be an obstacle to the use of this International Standard by bodies with
other designations that undertake activities covered by the scope of this International Standard. Indeed, this
International Standard will be usable by any body involved in the assessment of supply chain security
management systems.
Certification of supply chain security management systems of an organization is one means of providing
assurance that the organization has implemented a system for supply chain security management in line with
its policy.
Certification of supply chain security management systems will be delivered by certification bodies accredited
by a recognized body, such as IAF members.
This International Standard specifies requirements for certification bodies. Observance of these requirements
is intended to ensure that certification bodies operate supply chain security management systems certification
in a competent, consistent and reliable manner, thereby facilitating the recognition of such bodies and the
acceptance of their certifications on a national and international basis. This International Standard will serve
as a foundation for facilitating the recognition of supply chain security management systems certification in the
interests of international trade.
Certification of a supply chain security management system provides independent verification that the supply
chain security management system of the organization
a) conforms to specified requirements;
b) is capable of consistently achieving its stated policy and objectives;
c) is effectively implemented.
Certification of a supply chain security management system thereby provides value to the organization, its
customers and interested parties.
This International Standard aims at being the basis for recognition of the competence of certification bodies in
their provision of supply chain security management system certification. This International Standard can be
used as the basis for recognition of the competence of certification bodies in their provision of supply chain
security management system certification (such recognition may be in the form of notification, peer
assessment, or direct recognition by regulatory authorities or industry consortia).
Observance of the requirements in this International Standard is intended to ensure that certification bodies
operate supply chain security management system certification in a competent, consistent and reliable
manner, thereby facilitating the recognition of such bodies and the acceptance of their certifications on a
national and international basis. This International Standard will serve as a foundation for facilitating the
recognition of supply chain security management system certification in the interests of international trade.
Certification activities involve the audit of an organization's supply chain security management system. The
form of attestation of conformity of an organization's supply chain security management system to a specific
standard (for example ISO 28000) or other specified requirements is normally a certification document or a
© ISO 2007 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 28003:2007(E)
It is for the organization being certified to develop its own supply chain security management systems
(including ISO 28000 supply chain security management system, other sets of specified supply chain security
management system requirements, quality systems, environmental supply chain security management
systems or occupational health and safety supply chain security management systems) and, other than where
relevant legislative requirements specify to the contrary, it is for the organization to decide how the various
components of these are to be arranged. The degree of integration between the various supply chain security
management system components will vary from organization to organization. It is therefore appropriate for
certification bodies that operate in accordance with this International Standard to take into account the culture
and practices of their clients in respect of the integration of their supply chain security management system
within the wider organization.
vi © ISO 2007 – All rights reserved
Security management systems for the supply chain —
Requirements for bodies providing audit and certification of
supply chain security management systems
1 Scope
This International Standard contains principles and requirements for bodies providing the audit and
certification of supply chain security management systems according to management system specifications
and standards such as ISO 28000.
It defines the minimum requirements of a certification body and its associated auditors, recognizing the unique
need for confidentiality when auditing and certifying/registering a client organization.
Requirements for supply chain security management systems can originate from a number of sources, and
this International Standard has been developed to assist in the certification of supply chain security
management systems that fulfil the requirements of ISO 28000, Specification for security management
systems for the supply chain, and other supply chain security management system International Standards.
The contents of this International Standard may also be used to support certification of supply chain security
management systems that are based on other specified supply chain security management system
This International Standard
⎯ provides harmonized guidance for the accreditation of certification bodies applying for ISO 28000 (or
other specified supply chain security management system requirements) certification/registration;
⎯ defines the rules applicable for the audit and certification of a supply chain security management system
complying with the supply chain security management system standard’s requirements (or other sets of
specified supply chain security management system requirements);
⎯ provides the customers with the necessary information and confidence about the way certification of their
suppliers has been granted.
NOTE 1 Certification of a supply chain security management system is sometimes also called registration, and
certification bodies are sometimes called registrars.
NOTE 2 A certification body can be nongovernmental or governmental (with or without regulatory authority).
NOTE 3 This International Standard can be used as a criteria document for accreditation or peer assessment or other
audit processes.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/IEC 17000:2004, Conformity assessment — Vocabulary and general principles
ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
© ISO 2007 – All rights reserved 1
ISO 28003:2007(E)
ISO 28000:— , Specification for security management systems for the supply chain
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17000 and the following apply.
certified client
organization whose supply chain security management system has been certified/registered by a qualified
third party
actual and perceived presence of objectivity
NOTE 1 Objectivity means that conflicts of interest do not exist or are resolved so as not to adversely influence
subsequent activities of the certification body.
NOTE 2 Other terms that are useful in conveying the element of impartiality are objectivity, independence, freedom from
conflict of interests, freedom from bias, lack of prejudice, neutrality, fairness, open-mindedness, even-handedness,
detachment and balance.
management system consultancy and/or associated risk assessments
participation in designing, implementing or maintaining a supply chain security management system and in
conducting risk assessments
a) preparing or producing manuals or procedures;
b) giving specific advice, instructions or solutions towards the development and implementation of a supply chain security
management system;
c) conducting internal audits;
d) conducting risk assessment and analysis.
NOTE Arranging training and participating as a trainer is not considered consultancy, provided that where the course
relates to supply chain security management systems or auditing, the course is confined to the provision of generic
information that is freely available in the public domain, i.e. the trainer does not provide company-specific solutions.
4 Principles for certification bodies
4.1 General
4.1.1 The principles are the basis for the subsequent specific performance and descriptive requirements in
this International Standard. This International Standard does not give specific requirements for all situations
that can occur. These principles should be applied as guidance for the decisions that may need to be made
for unanticipated situations. Principles are not requirements.
4.1.2 The overall aim of certification is to give confidence to all parties that a supply chain security
management system, process or product (including services) fulfils specified requirements. The value of
certification is the degree of public confidence and trust that is established in a management system, process
1) To be published.
2 © ISO 2007 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 28003:2007(E)
or product (including services) after it has been impartially and competently assessed by a third-party. Parties
that have an interest in certification include, but are not limited to:
a) the clients of the certification bodies;
b) the customers of the organizations whose management systems are certified;
c) governmental authorities;
d) nongovernmental organizations;
e) consumers and other members of the public.
4.1.3 Principles for inspiring confidence include:
a) impartiality,
b) competence,
c) responsibility,
d) openness,
e) confidentiality,
f) responsiveness to complaints.
4.2 Impartiality
4.2.1 Being impartial, and being perceived to be impartial, is necessary for a certification body to deliver
certification that provides confidence.
4.2.2 It is recognized that the source of revenue for a certification body is its client paying for certification, and
that this is a potential threat to impartiality.
4.2.3 To obtain and maintain confidence, a certification body has to be able to demonstrate that its decisions
are based on objective evidence of conformity (or nonconformity) obtained by the certification body, and that
its decisions are not influenced by other interests or by other parties.
4.2.4 Threats to impartiality include:
a) Self-interest threats — threats that arise from a person or body acting in their own interest. A concern
related to certification, as a threat to impartiality, is financial self-interest.
b) Self-review threats — threats that arise from a person or body reviewing the work done by themselves.
Auditing the supply chain security management systems of a client to whom the certification body
provided supply chain security management systems consultancy would be a self-review threat and
therefore is not acceptable.
c) Familiarity (or trust) threats — threats that arise from a person or body being too familiar or trusting of
another person instead of seeking audit evidence is a familiarity threat to impartiality.
d) Intimidation threats — threats that arise from a person or body having a perception of being coerced
openly or secretively, such as a threat to be replaced or reported to a supervisor.
© ISO 2007 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO 28003:2007(E)
4.3 Competence
Competence of the personnel supported by the organizational infrastructure is necessary for the certification
body to deliver certification that provides confidence. Competence is the demonstrated ability to apply
appropriate knowledge and skills effectively.
4.4 Responsibility
4.4.1 The client organization, not the certification body, has the responsibility for conformity with the
requirements for certification.
4.4.2 The certification body has the responsibility to assess sufficient objective evidence upon which to base
a recommendation for certification. Based on audit recommendations it makes a decision to grant certification
if there is sufficient evidence of conformity, or not to grant certification if there is not sufficient evidence of
NOTE Audit evidence shall be verifiable. It is based on samples of the information available, since an audit is
conducted during a finite period of time and with finite resources. The appropriate use of sampling is closely related to the
confidence that can be placed in the audit conclusions.
4.5 Openness
4.5.1 A certification body needs to provide public access or disclosure of appropriate and timely information
about the audit process and certification process, and about the certification status. (i.e. the granting,
suspending, reducing the scope of, or withdrawing of certification) of any organization, in order to gain
confidence in the integrity and credibility of certification. Openness is access to or disclosure of information.
4.5.2 To gain or maintain confidence in certification, a certification body needs to provide appropriate access,
or disclosure to, non-confidential information about the conclusions of specific audits (e.g. audits in response
to complaints), to specific interested parties.
4.6 Confidentiality
To gain the privileged access to information that is needed for the certification body to assess conformity to
requirements for certification adequately, a certification body needs to keep confidential any sensitive,
proprietary, and/or vulnerability-related information about an organization's supply chain security management
4.7 Resolution of complaints
Parties that rely on certification expect to have complaints investigated and, if these are found to be valid,
should have confidence that the complaints will be appropriately addressed and a reasonable effort will be
made to resolve the complaints.
NOTE An appropriate balance between the principles of openness and confidentiality, including resolution of
complaints, is necessary in order to demonstrate integrity and credibility to all users of certification.
5 General requirements
5.1 Legal and contractual matters
5.1.1 Legal responsibility
The certification body shall be a legal entity, or a defined part of a legal entity, such that it can be held legally
responsible for all its certification activities. A governmental certification body is deemed to be a legal entity on
the basis of its governmental status.
4 © ISO 2007 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 28003:2007(E)
5.1.2 Certification agreement
The certification body shall have a legally enforceable agreement for the provision of certification activities to
its client organizations. In addition, where there are multiple offices of certification bodies or multiple sites of a
certified client, the certification body shall ensure there is a legally enforceable agreement between the
certification body granting certification and issuing a certificate, and the certified client, explicitly covering each
certified site of the client. The agreement shall clearly define to which standard(s) and/or other normative
documents the certification shall take place.
5.1.3 Responsibility for certification decisions
The certification body shall retain authority and shall be responsible for its decisions relating to certification,
including the granting, maintaining, renewing, extending, reducing, suspending and withdrawing of
5.2 Management of impartiality
5.2.1 The certification body shall have top management commitment to impartiality in supply chain security
management system certification activities. The certification body shall have a publicly available statement
that it understands the importance of impartiality in carrying out its supply chain security management system
certification activities, manages conflict of interest and ensures objectivity of its supply chain security
management system certification activities.
5.2.2 The certification body shall identify, analyze and document the possibilities for conflict of interests arising
from provision of certification including any conflicts arising from its relationships. Having relationships does
not necessarily present a certification body with a conflict of interest. However, if any relationship creates a
risk to impartiality, the certification body shall document how it eliminates or minimizes such risk and shall be
able to demonstrate this to the committee specified in 6.2. The demonstration shall cover all potential sources
of conflict of interests that are identified, whether they arise from within the certification body or from the
Première édition
Systèmes de management de la sûreté
pour la chaîne d'approvisionnement —
Exigences pour les organismes
effectuant l'audit et la certification des
systèmes de management de la sûreté
pour la chaîne d'approvisionnement
Security management systems for the supply chain — Requirements for
bodies providing audit and certification of supply chain security
management systems
Numéro de référence
ISO 28003:2007(F)
ISO 2007
ISO 28003:2007(F)
ISO 28003:2007(F)
Sommaire Page
Avant-propos. v
Introduction . vi
1 Domaine d'application. 1
2 Références normatives . 2
3 Termes et définitions. 2
4 Principes applicables aux organismes de certification. 3
4.1 Généralités . 3
4.2 Impartialité. 3
4.3 Compétence . 4
4.4 Responsabilité . 4
4.5 Transparence . 4
4.6 Confidentialité . 5
4.7 Traitement de plaintes. 5
5 Exigences générales . 5
5.1 Domaine juridique et contractuel. 5
5.2 Gestion de l'impartialité . 5
5.3 Responsabilité et situation financière. 7
6 Exigences structurelles . 7
6.1 Organisation et direction . 7
6.2 Comité pour la préservation de l'impartialité. 8
7 Exigences relatives aux ressources. 8
7.1 Compétence de la direction et du personnel. 8
7.2 Personnel intervenant dans les activités de certification . 9
7.3 Intervention d'auditeurs et d'experts techniques externes. 11
7.4 Enregistrements relatifs au personnel . 12
7.5 Externalisation . 13
8 Exigences relatives aux informations . 14
8.1 Informations accessibles au public. 14
8.2 Documents de certification. 14
8.3 Répertoire des clients certifiés . 15
8.4 Référence à la certification et utilisation des marques . 15
8.5 Confidentialité . 16
8.6 Échange d'informations entre l'organisme de certification et ses clients . 16
9 Exigences relatives aux processus . 18
9.1 Exigences générales applicables à tout audit . 18
9.2 Évaluation et certification initiales. 20
9.3 Activités de surveillance. 26
9.4 Renouvellement de la certification . 28
9.5 Audits particuliers . 30
9.6 Suspension, retrait ou réduction du périmètre de la certification. 30
9.7 Appels . 31
9.8 Plaintes . 32
9.9 Enregistrements relatifs aux demandeurs et aux clients. 32
10 Exigences relatives au système de management des organismes de certification. 33
10.1 Option 1 — Exigences relatives au système de management conformément à l'ISO 9001 . 33
10.2 Option 2 — Exigences générales relatives au système de management. 34
© ISO 2007 – Tous droits réservés iii
ISO 28003:2007(F)
Annexe A (informative) Guide pour le processus de détermination de la durée de l'audit . 38
Annexe B (normative) Critères applicables à l'audit des organismes comportant plusieurs sites. 40
Annexe C (normative) Formation initiale et travail des auditeurs, expérience d'audit et durées de
formation. 44
Annexe D (normative) Exigences relatives aux compétences des auditeurs. 45
Bibliographie . 47
iv © ISO 2007 – Tous droits réservés
ISO 28003:2007(F)
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
L'ISO 28003 a été élaborée conjointement par le CASCO et par le comité technique ISO/TC 8, Navires et
technologie maritime.
Cette première édition annule et remplace l'ISO/PAS 28003:2006, qui a fait l'objet d'une révision technique.
L'ISO 28003 englobe les exigences de l'ISO/CEI 17021, Évaluation de la conformité — Exigences pour les
organismes procédant à l'audit et à la certification de systèmes de management. L'évaluation des systèmes
de management de la sûreté pour la chaîne d'approvisionnement nécessite de satisfaire à de nombreuses
exigences qui dépassent le domaine d'application des exigences requises pour l'évaluation et la certification
des systèmes de management de la sûreté pour la chaîne d'approvisionnement, qui couvrent les autres
aspects opérationnels des organismes. L'ISO/CEI 17021 a été amendée ou modifiée, lorsque nécessaire,
pour établir ces exigences supplémentaires.
© ISO 2007 – Tous droits réservés v
ISO 28003:2007(F)
La présente Norme internationale est destinée à l'usage des organismes qui auditent et qui certifient des
systèmes de management de la sûreté pour la chaîne d'approvisionnement. La certification de systèmes de
management de la sûreté pour la chaîne d'approvisionnement est une activité d'évaluation de la conformité
par tierce partie (voir l'ISO/CEI 17000:2004, 5.5). Les organismes exerçant cette activité sont, par conséquent,
des organismes d'évaluation de la conformité par tierce partie, désignés «organisme(s) de certification» dans
la présente Norme internationale. Il convient que ce libellé ne fasse pas obstacle à l'utilisation de la présente
Norme internationale par des organismes désignés différemment, entreprenant des activités couvertes par le
domaine d'application de la présente Norme internationale. Effectivement, la présente Norme internationale
pourra être utilisée par tout organisme intervenant dans l'évaluation des systèmes de management de la
sûreté pour la chaîne d'approvisionnement.
La certification de systèmes de management de la sûreté pour la chaîne d'approvisionnement d'un organisme
est l'un des moyens permettant de s'assurer que l'organisme a mis en application un système de
management de la sûreté pour la chaîne d'approvisionnement conforme à sa politique.
La certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement est délivrée
par des organismes de certification agréés par un organisme reconnu, tel que les membres du Forum
international de l'accréditation.
La présente Norme internationale spécifie des exigences applicables aux organismes de certification. Le
respect de ces exigences est destiné à assurer que ces organismes gèrent la certification de systèmes de
management de la sûreté pour la chaîne d'approvisionnement avec compétence, et d'une façon cohérente et
fiable, facilitant ainsi la reconnaissance de ces organismes et l'acceptation de leurs certifications sur les plans
national et international. La présente Norme internationale servira de base, dans l'intérêt du commerce
international, à la reconnaissance de la certification de systèmes de management de la sûreté pour la chaîne
La certification d'un système de management de la sûreté pour la chaîne d'approvisionnement assure par une
vérification indépendante que le système de management de la sûreté pour la chaîne d'approvisionnement de
a) est conforme aux exigences spécifiées;
b) est capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés;
c) est mis en œuvre de manière efficace.
La certification d'un système de management de la sûreté pour la chaîne d'approvisionnement apporte une
valeur ajoutée à l'organisme, à ses clients et aux parties intéressées.
La présente Norme internationale a pour objectif de constituer la base de reconnaissance de la compétence
des organismes de certification dans leur processus de certification des systèmes de management de la
sûreté pour la chaîne d'approvisionnement. La présente Norme internationale peut, en outre, être utilisée
comme base de reconnaissance de la compétence des organismes de certification dans leur processus de
certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement (cette
reconnaissance peut se présenter sous la forme d'une notification, d'une évaluation par des pairs ou d'une
reconnaissance directe par les autorités de réglementation ou des consortiums industriels).
vi © ISO 2007 – Tous droits réservés
ISO 28003:2007(F)
Le respect des exigences spécifiées dans la présente Norme internationale est destiné à assurer que ces
organismes gèrent la certification de systèmes de management de la sûreté pour la chaîne
d'approvisionnement avec compétence, et d'une façon cohérence et fiable, facilitant ainsi la reconnaissance
de ces organismes et l'acceptation de leurs certifications sur les plans national et international. La présente
Norme internationale servira de base, dans l'intérêt du commerce international, à la reconnaissance de la
certification de systèmes de management de la sûreté pour la chaîne d'approvisionnement.
La certification comprend l'audit du système de management de la sûreté pour la chaîne d'approvisionnement
d'un organisme. La manière d'attester la conformité à une norme spécifique (par exemple ISO 28000) du
système de management de la sûreté pour la chaîne d'approvisionnement d'un organisme, ou à d'autres
exigences spécifiées, prend généralement la forme d'un document de certification ou d'un certificat.
L'organisme certifié est responsable du développement de ses propres systèmes de management de la
sûreté pour la chaîne d'approvisionnement (y compris le système de management de la sûreté pour la chaîne
d'approvisionnement défini dans l'ISO 28000, les autres séries d'exigences spécifiées relatives audit système,
les systèmes de qualité, les systèmes de management de la sûreté pour la chaîne d'approvisionnement en
matière d'environnement, ou les systèmes de management de la sûreté pour la chaîne d'approvisionnement
en matière de santé et de sécurité au travail) et, sauf lorsque les exigences légales spécifient le contraire, il
doit déterminer comment les diverses composantes de ces systèmes doivent être établies. Le degré
d'intégration entre les diverses composantes des systèmes de management de la sûreté pour la chaîne
d'approvisionnement varie d'un organisme à l'autre. Il est par conséquent approprié, pour les organismes de
certification qui utilisent leurs systèmes de management conformément à la présente Norme internationale, de
tenir compte de la culture et des pratiques de leurs clients en ce qui concerne l'intégration de leur système de
management de la sûreté pour la chaîne d'approvisionnement au sein de l'organisme élargi.
© ISO 2007 – Tous droits réservés vii
Systèmes de management de la sûreté pour la chaîne
d'approvisionnement — Exigences pour les organismes
effectuant l'audit et la certification des systèmes de
management de la sûreté pour la chaîne d'approvisionnement
1 Domaine d'application
La présente Norme internationale contient les principes et les exigences relatifs aux organismes qui assurent
l'audit et la certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement selon
des spécifications et des normes applicables aux systèmes de management telles que l'ISO 28000.
Elle définit les exigences minimales applicables à un organisme de certification et ses auditeurs associés, en
reconnaissant en outre le besoin unique de confidentialité pour l'audit et la certification/l'enregistrement d'un
organisme client.
Les exigences relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement
peuvent provenir de diverses sources; la présente Norme internationale a ainsi été élaborée pour faciliter la
certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement qui satisfont aux
exigences de l'ISO 28000, Spécifications relatives aux systèmes de management de la sûreté de la chaîne
d'approvisionnement, et des autres Normes internationales relatives aux systèmes de management de la
sûreté pour la chaîne d'approvisionnement. La présente Norme internationale peut également être utilisée
pour soutenir la certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement
qui sont fondés sur d'autres exigences spécifiées relatives aux systèmes de management de la sûreté pour la
chaîne d'approvisionnement.
La présente Norme internationale
⎯ fournit des recommandations harmonisées pour l'accréditation des organismes de certification qui
sollicitent une certification/un enregistrement ISO 28000 (ou d'autres exigences spécifiées relatives aux
systèmes de management de la sûreté pour la chaîne d'approvisionnement),
⎯ définit les règles applicables à l'audit et à la certification d'un système de management de la sûreté pour
la chaîne d'approvisionnement, conforme aux exigences de la norme relatives aux systèmes de
management de la sûreté pour la chaîne d'approvisionnement (ou à d'autres séries de normes spécifiées
relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement), et
⎯ fournit aux clients les informations nécessaires concernant le processus de certification de leurs
fournisseurs, les rassurant en outre quant à la méthode de certification effectivement employée.
NOTE 1 La certification d'un système de management de la sûreté pour la chaîne d'approvisionnement est parfois
appelée «enregistrement», et les organismes de certification sont parfois désignés par «organismes d'enregistrement».
NOTE 2 Un organisme de certification peut être non gouvernemental ou gouvernemental (avec ou sans pouvoir
NOTE 3 La présente Norme internationale peut être utilisée comme référentiel pour l'accréditation, l'évaluation par des
pairs ou d'autres processus d'audit.
© ISO 2007 – Tous droits réservés 1
ISO 28003:2007(F)
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO/CEI 17000:2004, Évaluation de la conformité — Vocabulaire et principes généraux
ISO 19011:2002, Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de
management environnemental
ISO 28000:2007, Spécifications relatives aux systèmes de management de la sûreté de la chaîne
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/CEI 17000 ainsi que les
suivants s'appliquent.
client certifié
organisme dont le système de management de la sûreté pour la chaîne d'approvisionnement a été
certifié/enregistré par une tierce partie qualifiée
existence réelle et perçue comme telle d'objectivité
NOTE 1 L'objectivité implique soit l'absence de conflits d'intérêts, soit de trouver une solution à ces conflits de manière
à ne pas porter préjudice aux activités ultérieures de l'organisme de certification.
NOTE 2 D'autres termes utiles utilisés pour véhiculer la notion d'impartialité sont les suivants: objectivité,
indépendance, absence de tout conflit d'intérêts, probité, non-discrimination, neutralité, justice, ouverture d'esprit, équité,
désintéressement et équilibre.
conseil en matière de système de management et/ou évaluation des risques associés
contribution à l'élaboration, à la mise en œuvre ou à l'entretien d'un système de management de la sûreté
pour la chaîne d'approvisionnement, et à la réalisation d'appréciations de risques
a) La préparation ou la production de manuels ou des procédures;
b) la fourniture de conseils, d'instructions ou de solutions spécifiques en matière d'élaboration et de mise en application
d'un système de management de la sûreté pour la chaîne s'approvisionnement;
c) la réalisation des audits internes;
d) la réalisation d'une appréciation et d'une analyse des risques.
NOTE «Organiser des formations et y participer en tant que formateur» ne relève pas des activités de conseil, à
condition de se limiter, lorsque les cours portent sur des systèmes de management de la sûreté pour la chaîne
d'approvisionnement ou des audits, à fournir des informations génériques disponibles dans le domaine public, c'est-à-dire
que le formateur ne fournit pas de solutions spécifiques à une entreprise.
2 © ISO 2007 – Tous droits réservés
ISO 28003:2007(F)
4 Principes applicables aux organismes de certification
4.1 Généralités
4.1.1 Les principes servent de base pour cette prestation spécifique et les exigences décrites ci-après dans
la présente Norme internationale. La présente Norme internationale ne fournit pas d'exigences spécifiques
applicables à toutes les situations susceptibles de survenir. Il convient de considérer ces principes comme
des recommandations à appliquer en cas de décisions qui peuvent devoir être prises dans des situations
imprévues. Ces principes ne constituent pas des exigences.
4.1.2 La certification a pour objectif général de garantir à toutes les parties qu'un système, un processus ou
un produit (y compris un service) de management de la sûreté pour la chaîne d'approvisionnement satisfait
aux exigences spécifiées. La valeur de la certification est le degré de confiance du public à l'égard d'un
système, d'un processus ou d'un produit (y compris un service) de management, après qu'il a été évalué de
manière impartiale et compétente par une tierce partie. Les parties qui trouvent un intérêt à la certification
incluent, sans toutefois s'y limiter,
a) les clients des organismes de certification,
b) les clients des organismes dont les systèmes de management sont certifiés,
c) les pouvoirs publics,
d) les organismes non gouvernementaux,
e) les consommateurs et le grand public.
4.1.3 Les principes permettant de donner confiance comprennent
a) l'impartialité,
b) la compétence,
c) la responsabilité,
d) la transparence,
e) la confidentialité,
f) le traitement des plaintes.
4.2 Impartialité
4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être impartial et
perçu comme tel.
4.2.2 Le fait que les revenus d'un organisme de certification proviennent de ses clients qui paient pour la
certification constitue une menace potentielle pour l'impartialité.
4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d'un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées par
l'organisme de certification, et que les décisions ne soient pas influencées par d'autres intérêts ou d'autres
© ISO 2007 – Tous droits réservés 3
ISO 28003:2007(F)
4.2.4 Les menaces qui pèsent sur l'impartialité sont les suivantes:
a) Les intérêts personnels — ces menaces sont dues au fait qu'une personne ou une entité agisse dans son
propre intérêt. Son intérêt financier représente une menace susceptible de compromettre l'impartialité
d'une certification.
b) L'autoévaluation — ces menaces sont dues au fait qu'une personne ou une entité évalue son propre
travail. Auditer les systèmes de management de la sûreté pour la chaîne d'approvisionnement d'un client
auquel l'organisme de certification a prodigué des conseils en matière de systèmes de management de la
sûreté pour la chaîne d'approvisionnement créerait un risque dû à l'autoévaluation et n'est par
conséquent pas acceptable.
c) La familiarité (ou la confiance) — ces menaces sont dues au fait qu'une personne ou une entité entretient
une trop grande proximité relationnelle ou accorde une trop grande confiance à une tierce personne,
plutôt que de rechercher des preuves lors des audits.
d) L'intimidation — ces menaces sont dues au fait qu'une personne ou une entité éprouve la sensation de
subir des pressions directes ou insidieuses, par exemple la menace d'être remplacée ou dénoncée à sa
4.3 Compétence
Pour octroyer une certification qui donne confiance, l'organisme de certification doit démontrer la compétence
de son personnel, soutenue par son infrastructure interne. La compétence est l'aptitude démontrée à mettre
en pratique des connaissances et un savoir-faire appropriés de manière efficace.
4.4 Responsabilité
4.4.1 L'organisme client, et non l'organisme de certification, est responsable de la conformité aux exigences
de certification.
4.4.2 L'organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles sur
lesquelles fonder la décision de certification. C'est sur la base des conclusions de l'audit et de l'existence de
preuves de conformité suffisantes qu'il prend la décision d'accorder ou de refuser la certification.
NOTE Toute preuve d'audit doit pouvoir être vérifiée. Elle est fondée sur des éléments (échantillons) d'information
disponibles, dans la mesure où un audit est effectué pendant une durée limitée et avec des ressources également limitées.
L'utilisation appropriée de l'échantillonnage est étroitement liée à la confiance qui peut être accordée aux conclusions de
4.5 Transparence
4.5.1 Afin d'assurer la confiance dans l'intégrité et la crédibilité de la certification, un organisme de
certification doit assurer l'accessibilité ou la diffusion au public des informations appropriées et à jour relatives
à ses processus d'audit et de certification, ainsi que sur le statut de la certification (c'est-à-dire l'octroi, la
suspension, la réduction du périmètre certifié ou le retrait de la certification) de tout organisme. La
transparence est un principe fondé sur l'accessibilité ou la diffusion des informations appropriées.
4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, un organisme de certification doit
permettre un accès approprié aux parties intéressées ou faire une diffusion appropriée des informations non
confidentielles sur les résultats d'audits spécifiques (par exemple audits déclenchés en réponse à des
4 © ISO 2007 – Tous droits réservés
ISO 28003:2007(F)
