What standards are related to ISO 28001:2007?

ISO 28001:2007 has the following relationships with other standards: It is inter standard links to ISO/PAS 28001:2006. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

How can I purchase ISO 28001:2007?

You can purchase ISO 28001:2007 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.

ISO 28001:2007 - Security management systems for the supply chain

Security management systems for the supply chain — Best practices for implementing supply chain security, assessments and plans — Requirements and guidance

ISO 28001:2007 provides requirements and guidance for organizations in international supply chains to develop and implement supply chain security processes; establish and document a minimum level of security within a supply chain(s) or segment of a supply chain; assist in meeting the applicable authorized economic operator (AEO) criteria set forth in the World Customs Organization Framework of Standards and conforming national supply chain security programmes. In addition, ISO 28001:2007 establishes certain documentation requirements that would permit verification. Users of ISO 28001:2007 will define the portion of an international supply chain within which they have established security; conduct security assessments on that portion of the supply chain and develop adequate countermeasures; develop and implement a supply chain security plan; train security personnel in their security related duties.

Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Meilleures pratiques pour la mise en application de la sûreté de la chaîne d'approvisionnement, évaluations et plans — Exigences et guidage

General Information

Status

Published

Publication Date

22-Oct-2007

ICS

03.100.01 - Company organization and management in general

03.100.70 - Management systems

47.020.99 - Other standards related to shipbuilding and marine structures

Technical Committee

ISO/TC 292 - Security and resilience

Drafting Committee

ISO/TC 292 - Security and resilience

Current Stage

9093 - International Standard confirmed

Start Date

24-Feb-2021

Completion Date

13-Dec-2025

Ref Project

Relations

Revises

ISO/PAS 28001:2006 - Security management systems for the supply chain — Best practices for implementing supply chain security — Assessments and plans

Effective Date

15-Apr-2008

ISO 28001:2007 - Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance

Standard

ISO 28001:2007 - Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance

English language

27 pages

sale 15% off

Preview

sale 15% off

Preview

Standard

ISO 28001:2007

Russian language

35 pages

sale 15% off

Preview

sale 15% off

Preview

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 28001
First edition
2007-10-15
Security management systems for the
supply chain — Best practices for
implementing supply chain security,
assessments and plans — Requirements
and guidance
Systèmes de management de la sûreté pour la chaîne
d'approvisionnement — Meilleures pratiques pour la mise en application
de la sûreté de la chaîne d'approvisionnement, évaluations et plans —
Exigences et guidage
Reference number
©
ISO 2007
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

© ISO 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2007 – All rights reserved

Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions. 2
4 Field of application . 5
4.1 Statement of application . 5
4.2 Business partners. 5
4.3 Internationally accepted certificates or approvals. 5
4.4 Business partners exempt from security declaration requirement. 6
4.5 Security reviews of business partners. 6
5 Supply chain security process. 6
5.1 General. 6
5.2 Identification of the scope of security assessment . 6
5.3 Conduction of the security assessment. 7
5.4 Development of the supply chain security plan . 8
5.5 Execution of the supply chain security plan .8
5.6 Documentation and monitoring of the supply chain security process. 8
5.7 Actions required after a security incident. 8
5.8 Protection of the security information. 9
Annex A (informative) Supply chain security process . 10
A.1 General. 10
A.2 Identification of the scope of the security assessment. 10
A.3 Conduction of the security assessment.11
A.4 Development of the security plan . 15
A.5 Execution of the security plan. 17
A.6 Documentation and monitoring of the security process. 17
A.7 Continual improvement. 17
Annex B (informative) Methodology for security risk assessment and development of
countermeasures. 18
B.1 General. 18
B.2 Step one – Consideration of the security threat scenarios. 20
B.3 Step two – Classification of consequences. 22
B.4 Step three – Classification of likelihood of security incidents . 23
B.5 Step four – Security incident scoring. 24
B.6 Step five – Development of countermeasures. 24
B.7 Step six – Implementation of countermeasures. 25
B.8 Step seven – Evaluation of countermeasures . 25
B.9 Step eight – Repetition of the process . 25
B.10 Continuation of the process . 25
Annex C (informative) Guidance for obtaining advice and certification . 26
C.1 General. 26
C.2 Demonstrating conformance with ISO 28001 by audit . 26
C.3 Certification of ISO 28001 by third party certification bodies. 26
Bibliography . 27

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 28001 was prepared by Technical Committee ISO/TC 8, Ships and marine technology, in collaboration
with other relevant technical committees responsible for specific nodes of the supply chain.
This first edition of ISO 28001 cancels and replaces ISO/PAS 28001:2006, which has been technically revised.
iv © ISO 2007 – All rights reserved

Introduction
Security incidents against international supply chains are threats to international trade and the economic
growth of trading nations. People, goods, infrastructure and equipment — including means of transport —
need to be protected against security incidents and their potentially devastating effects. Such protection
benefits the economy and society as a whole.
International supply chains are highly dynamic and consist of many entities and business partners. This
International Standard recognizes this complexity. It has been developed to allow an individual organization in
the supply chain to apply its requirements in conformance with the organization’s particular business model
and its role and function in the international supply chain.
This International Standard provides an option for organizations to establish and document reasonable levels
of security within international supply chains and their components. It will enable such organizations to make
better risk-based decisions concerning the security in those international supply chains.
This International Standard is multimodal and is intended to be in concert with and to complement the World
Customs Organization’s Framework of Standards to secure and facilitate global trade (Framework). It does
not attempt to cover, replace or supersede individual customs agencies’ supply chain security programmes
and their certification and validation requirements.
The use of this International Standard will help an organization to establish adequate levels of security within
those part(s) of an international supply chain which it controls. It is also a basis for determining or validating
the level of existing security within such organizations’ supply chain(s) by internal or external auditors or by
those government agencies that choose to use compliance with this International Standard as the baseline for
acceptance into their supply chain security programmes. Customers, business partners, government agencies
and others might request organizations which claim compliance with this International Standard to undergo an
audit or a validation to confirm such compliance. Government agencies might find it mutually agreeable to
accept validations conducted by other governments’ agencies. If a third-party organization audit is to be
conducted, then the organization needs to consider employing a third-party certification body accredited by a
competent body, which is a member of the International Accreditation Forum (see Annex C).
It is not the intention of this International Standard to duplicate governmental requirements and standards
regarding supply chain security in compliance with the WCO SAFE Framework. Organizations that have
already been certified or validated by mutually recognizing governments are compliant with this International
Standard.
Outputs resulting from this International Standard will be the following.
⎯ A Statement of Coverage that defines the boundaries of the supply chain that is covered by the security
plan.
⎯ A Security Assessment that documents the vulnerabilities of the supply chain to defined security threat
scenarios. It also describes the impacts that can reasonably be expected from each of the potential
security threat scenarios.
⎯ A Security Plan that describes security measures in place to manage the security threat scenarios
identified by the Security assessment.
⎯ A training programme setting out how security personnel will be trained to meet their assigned security
related duties.
To undertake the security assessment needed to produce the security plan, an organization using this
International Standard will
⎯ identify the threats posed (security threat scenarios);
⎯ determine how likely persons could progress each of the security threat scenarios identified by the
Security Assessment into a security incident.
This determination is made by reviewing the current state of security in the supply chain. Based on the
findings of that review, professional judgment is used to identify how vulnerable the supply chain is to each
security threat scenario.
If the supply chain is considered unacceptably vulnerable to a security threat scenario, the organization will
develop additional procedures or operational changes to lower likelihood, consequence or both. These are
called countermeasures. Based upon a system of priorities, countermeasures need to be incorporated into the
security plan to reduce the threat to an acceptable level.
Annexes A and B are illustrative examples of risk management based security processes for protecting people,
assets and international supply chain missions. They facilitate both a macro approach for complex supply
chains and/or more discrete approaches for portions thereof.
These annexes are also intended to
⎯ facilitate understanding, adoption and implementation of methodologies, which can be customized by
organizations;
⎯ provide guidance for baseline security management for continual improvement;
⎯ assist organizations to manage resources to address existing and emerging security risks;
⎯ describe possible means for assessment of risk and mitigation of security threats in the supply chain from
raw materiel allocation through storage, manufacturing and transportation of finished goods to the market
place.
Annex C provides guidance for obtaining advice and certification for this International Standard if an
organization using it chooses to exercise this option.

vi © ISO 2007 – All rights reserved

INTERNATIONAL STANDARD ISO 28001:2007(E)

Security management systems for the supply chain — Best
practices for implementing supply chain security, assessments
and plans — Requirements and guidance
1 Scope
This International Standard provides requirements and guidance for organizations in international supply
chains to
⎯ develop and implement supply chain security processes;
⎯ establish and document a minimum level of security within a supply chain(s) or segment of a supply
chain;
⎯ assist in meeting the applicable authorized economic operator (AEO) criteria set forth in the World
Customs Organization Framework of Standards and conforming national supply chain security
programmes.
NOTE Only a participating National Customs Agency can designate organizations as AEOs in accordance with its
supply chain security programme and its attendant certification and validation requirements.
In addition, this International Standard establishes certain documentation requirements that would permit
verification.
Users of this International Standard will
⎯ define the portion of an international supply chain within which they have established security (see 4.1);
⎯ conduct security assessments on that portion of the supply chain and develop adequate
countermeasures;
⎯ develop and implement a supply chain security plan;
⎯ train security personnel in their security related duties.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
1)
ISO 20858:— , Ships and marine technology — Maritime port facility security assessments and security plan
development
1) To be published. Revision of ISO/PAS 20858:2004.

International Convention for the Safety of Life at Sea (SOLAS), 1974, as amended, International Maritime
Organization
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
appropriate law enforcement and other government officials
those government and law enforcement personnel that have specific legal jurisdiction over the international
supply chain or portions of it
3.2
asset(s)
plant, machinery, property, buildings, vehicles, ships, aircraft, conveyances and other items of infrastructure or
plant and related systems that have a distinct and quantifiable business function or service
NOTE This definition includes any information system that is integral to the delivery of security and the application of
security management.
3.3
authorized economic operator
party involved in the international movement of goods in whatever function that has been approved by or on
behalf of a national customs administration as complying with WCO or equivalent supply chain security
standards
NOTE 1 Authorized economic operator is a term defined in the World Customs Organization Framework of Standards.
NOTE 2 Authorized economic operators include inter alia manufacturers, importers, exporters, brokers, carriers,
consolidators, intermediaries, ports, airports, terminal operators, integrated operators, warehouses and distributors.
3.4
business partner
those contractors, suppliers or service providers that an organization contracts with to assist the organization
in its function as an organization in the supply chain (3.15)
3.5
cargo transport unit
road freight vehicle, railway freight wagon, freight container, road tank vehicle, railway tank wagon or portable
tank
3.6
consequence
loss of life, damage to property or economic disruption, including disruption to transport systems, that can
reasonably be expected as a result of an attack on an organization in the supply chain or by the use of the
supply chain as a weapon
3.7
conveyance
physical instrument of international trade that transports goods from one location to another
EXAMPLES Box, pallet, cargo transport unit, cargo handling equipment, truck, ship, aircraft and railcar.
3.8
countermeasures
actions taken to lower the likelihood of a security threat scenario succeeding in its objectives, or to reduce the
likely consequences of a security threat scenario
2 © ISO 2007 – All rights reserved

3.9
custody
period of time where an organization in the supply chain is directly controlling the manufacturing, processing,
handling and transportation of goods and their related shipping information within the supply chain
3.10
downstream
handling, processes and movements of goods when they no longer are in the custody of the organization in
the supply chain
3.11
goods
those items or materials that, upon the placement of a purchase order, are being manufactured, processed,
handled or transported within the supply chain for usage or consumption by the purchaser
3.12
international supply chain
supply chain that at some point crosses an international or economic border
NOTE 1 All portions of this chain are considered international from the time a purchase order is concluded to the point
where the goods are released from customs control in the destination country or economy.
NOTE 2 If treaties or regional agreements have eliminated customs clearance of goods from specified countries or
economies, the end of the international supply chain is the port of entry into the destination country or economy where the
goods would have cleared customs if the agreements or treaties had not been in place.
3.13
likelihood
ease or difficulty with which a security threat scenario could progress to become a security incident
NOTE Likelihood is evaluated based on the resistance the security processes in place pose to a security incident
involving the security threat scenario being examined and is expressed either qualitatively or quantitatively.
3.14
management system
organization’s structure for managing its processes or activities that transform inputs of resources into a
product or service, which meet the organization’s objectives
NOTE It is not the intent of this International Standard to specify a specific management system or require the
creation of a separate security management system. ISO 9001 (Quality Management Systems), ISO 14001
(Environmental Management Systems), ISO 28000 (Security management systems for the supply chain), and the
International Maritime Organization’s International Safety Management (ISM) Code are examples of management systems.
3.15
organization in the supply chain
any entity that
⎯ manufactures, handles, processes, loads, consolidates, unloads or receives goods upon placement of a
purchase order that at some point cross an international or economy border;
⎯ transports goods by any mode in the international supply chain regardless of whether their particular
segment of the supply chain crosses national (or economy) boundaries; or
⎯ provides, manages or conducts the generation, distribution or flow of shipping information used by
customs agencies or in business practices.
3.16
risk management
process of making management decisions based on an analysis of possible threats, their consequences, and
their probability or likelihood of success
NOTE A risk management process is normally initiated for the purposes of optimizing the organization’s resource
allocation necessary to operate in a particular environment.
3.17
scope of service
function(s) that an organization in the supply chain performs, and where it performs this/these functions
3.18
security declaration
documented commitment by a business partner, which specifies security measures implemented by that
business partner, including, at a minimum, how goods and physical instruments of international trade are
safeguarded, associated information is protected and security measures are demonstrated and verified
NOTE It will be used by the organization in the supply chain to evaluate the adequacy of security measures related to
the security of goods.
3.19
security plan
planned arrangements for ensuring that security is adequately managed
NOTE 1 It is designed to ensure the application of measures that protect the organization from a security incident.
NOTE 2 The plan can be incorporated into other operational plans.
3.20
security
resistance to intentional acts designed to cause harm or damage to or by the supply chain
3.21
security incident
any act or circumstance that produces a consequence (3.6)
3.22
security personnel
those people in the organization in the supply chain that have been assigned security related duties
NOTE These people may or may not be employees of the organization.
3.23
security sensitive information
security sensitive materials
information or materials, produced by or incorporated into the supply chain security process, that contain
information about the security processes, shipments or government directives that would not be readily
available to the public and would be useful to someone wishing to initiate a security incident
3.24
supply chain
linked set of resources and processes that upon placement of a purchase order begins with the sourcing of
raw material and extends through the manufacturing, processing, handling and delivery of goods and related
services to the purchaser
NOTE The supply chain may include vendors, manufacturing facilities, logistics providers, internal distribution centres,
distributors, wholesalers and other entities involved in the manufacturing, processing, handling and delivery of the goods
and their related services.
3.25
target
personnel, means of transport, goods, physical assets, manufacturing processes and handling, control or
documentation systems within an organization in the supply chain
4 © ISO 2007 – All rights reserved

3.26
security threat scenario
means by which a potential security incident might occur
3.27
upstream
handling, processes and movements of goods that occur before the organization in the supply chain takes
custody of the goods
3.28
World Customs Organization
WCO
independent intergovernmental body whose mission is to enhance the effectiveness and efficiency of customs
administrations
NOTE It is the only intergovernmental worldwide organization competent in customs matters.
4 Field of application
4.1 Statement of application
The organization in the supply chain shall describe the portion of the international supply chain that it claims to
be in compliance with this International Standard in a Statement of Application. The Statement of Application
shall at least include the following information:
a) details of the organization;
b) scope of service;
c) names and contact information of all business partners within the defined scope of service;
d) date the security assessment was completed and period of validity of the security assessment; and
e) signature of an individual authorized to sign on behalf of that organization.
Organizations in the supply chain may extend the Statement of Application to include other parts of the supply
chain, e.g. including final destination.
4.2 Business partners
If within the supply chain described in the Statement of Application the organization is using business partners,
the organization shall, subject to 4.3 and 4.4, require such business partners to provide a security declaration.
The organization shall consider this security declaration in its security assessment and may require specific
countermeasures to be enacted.
4.3 Internationally accepted certificates or approvals
Transportation companies and facilities, which hold internationally accepted certificates or approvals, issued
pursuant to mandatory international conventions governing the security of the various transportation sectors,
will have in place security practices, plans and processes that meet the applicable requirements of this
International Standard and are not required to be audited to confirm such compliance. For shipping companies,
ships and port facilities, the certificates or approvals shall be issued in accordance with SOLAS XI-2/4 or
SOLAS XI-2/10, as applicable.
In conformance with Clause 1, national customs agencies may, in addition to possession of internationally
accepted security certificates or approvals, require additional security measures and practices to be
implemented by transportation companies and facilities as a condition for designation as an AEO.
4.4 Business partners exempt from security declaration requirement
Those business partners that confirm to the organization that they
a) are verified compliant with this International Standard or ISO 20858,
b) are covered by 4.3, or
c) have been designated as AEOs in accordance with a national customs agency’s supply chain security
programme which has been determined to be in accordance with the WCO SAFE Framework,
shall be listed on the Statement of Application. However, the organization does not need to conduct additional
security assessments for such business partners or require them to provide security declarations.
4.5 Security reviews of business partners
Except for business partners covered by 4.3 or 4.4, the organization in the supply chain shall conduct reviews
of their business partners’ processes and facilities to ascertain the validity of their declarations of security. The
extent and the frequency of these reviews shall be determined through an analysis of the risks involved. The
organization shall maintain results of these reviews.
NOTE To provide for ease of reading the organization claiming compliance, including those parts of its supply chain
operated by business partners, whether compliant with this International Standard or not, is in the ensuing paragraphs
referred to as the “organization” unless clarity demands otherwise.
5 Supply chain security process
5.1 General
Organizations in international supply chains that have adopted this International Standard are required both to
manage security throughout their portion of the supply chain and to have a management system in place in
support of that objective. This International Standard requires security practices and/or processes to be
established and implemented in order to reduce the risk to the international supply chain from activities that
could lead to a security incident.
Organizations in the supply chain claiming compliance with this International Standard shall have a security
plan based on the output from the security assessment that documents existing security measures and
procedures and incorporates countermeasures as applicable for the portion of the international supply chain
that they have included in their Statement of Application.
5.2 Identification of the scope of the security assessment
The scope of the security assessment shall include all activities performed by the organization as described in
its Statement of Application (see 4.1). The assessment shall be periodically performed and the security plan
shall be revised as appropriate. The results of the assessment shall be documented and retained.
The security assessment shall also cover information systems, documents and networks pertaining to the
handling and movement of the goods while in the custody of the organization. Existing security arrangements
shall, subject to 4.3 and 4.4, be assessed at all locations and for business partners where there are potential
security vulnerabilities.
6 © ISO 2007 – All rights reserved

5.3 Conduction of the security assessment
5.3.1 Assessment personnel
The person or team conducting the security assessment shall collectively have skills and knowledge which
include, but are not limited to, the following:
⎯ risk assessment techniques applicable to all aspects of the international supply chain from the point
where the organization in the supply chain takes custody of the goods in to the point where the goods are
no longer in the organization’s custody or leaves the international supply chain;
⎯ applying appropriate measures to avoid unauthorized disclosure of, or access to, security sensitive
material;
⎯ operations and procedures involved in the manufacturing, handling, processing, movement and/or
documentation of goods as appropriate;
⎯ security measures related to consignment, conveyance, personnel, premises, and information systems in
that applicable portion of the supply chain;
⎯ an understanding of security threats and mitigation methodologies;
⎯ understanding of this International Standard.
The name(s) of the person or team members conducting the assessment as well as their qualifications shall
be documented.
5.3.2 Assessment process
The organization shall establish, implement and maintain (a) procedure(s) to identify existing
countermeasures to mitigate security threats. The organization shall list applicable security threat scenarios,
including those deemed necessary by appropriate government officials. If government officials have not
participated, this shall be documented in the security assessment.
For each security threat scenario, the organization shall evaluate the existing countermeasures and determine
likelihood and consequence relevant to each security threat scenario and evaluate the necessity of additional
countermeasures to reduce the security risk to an acceptable level.
The organization shall review the security declaration(s) provided by each business partner, defined in 4.2,
and apply professional judgment, knowledge of the entity(ies) and/or requirements of regulatory agencies. It
may also obtain and use any other available information, in determining the acceptance of the security
declaration.
Organizations shall consider both the detail and validity of each security declaration when conducting the
security assessment and determining the overall vulnerability of the supply chain described in its Statement of
Application.
Business partners that are covered by 4.3 or 4.4 should not need to be assessed further.
The following information shall be documented:
a) all security threat scenarios considered;
b) processes used in evaluating those threats; and
c) all countermeasures identified and prioritized.
5.4 Development of the supply chain security plan
Organizations shall develop and maintain a security plan for the entire portion of the supply chain described in
their Statement of Application. The plan may be separated into annexes in which each describes the security
in place for a particular segment of the supply chain, including security measures that the organizations’
business partners, subject to 4.3 or 4.4, will maintain according to their security declarations. The
plan/annexes shall also specify how the organization would monitor or periodically review such security
declarations.
Organizations shall review and consider the use of the guidance in informative Annexes A and B when
developing their security plans.
5.5 Execution of the supply chain security plan
The organization shall establish a management system to enable its specific supply chain security processes
to be implemented.
5.6 Documentation and monitoring of the supply chain security process
5.6.1 General
The organization shall establish and maintain procedures to document, monitor and measure the performance
of its management system referred to above. The organization shall carry out audits of the management
system at planned intervals to ensure it has been properly implemented and maintained. The results of audits
shall be documented and retained.
5.6.2 Continual improvement
The organization shall assess opportunities for improving its security arrangements as a means of enhancing
the security of its portion of the supply chain.
5.7 Actions required after a security incident
The organization shall carry out a review of its security plan after the occurrence of any security incident that
relates to any portion of the international supply chain the organization controls. This review shall
a) determine the cause of the incident and the corrective action;
b) determine the effectiveness of measures and procedures for security recovery; and
c) considering such determinations, re-assess those portions of the supply chain according to 5.3.2.
In the event of a security breach, the organization shall follow reporting procedures to Customs and/or
appropriate law enforcement agencies as appropriate, and as specified in the security plan and contractual
relationships.
The organization shall retain consignment and other required supply chain data within the time limits
prescribed in applicable laws and regulations.
8 © ISO 2007 – All rights reserved

5.8 Protection of the security information
Security plans, measures, processes, procedures and records of the organization shall be considered
sensitive security information and protected from unauthorized access or disclosure. Such information shall
only be disclosed to individuals who have a “need to know”. In addition to appropriate law enforcement
officials or their nominees, an individual has a “need to know” when
a) the individual requires access to specific sensitive security information to carry out security activities
covered by the security plan;
b) the individual is in training to carry out activities covered by the security plan;
c) the information is necessary for the individual to supervise others carrying out security activities covered
in the security plan; or
d) the individual is, or is acting on behalf of a party, who according to a contractual relationship with the
organization has been granted access to security sensitive information controlled by the organization in
accordance with agreed terms and conditions.
NOTE If the organization is certified compliant with ISO 28001 by a third party certification body accredited by a
competent accreditation body or has been certified or validated compliant with ISO 28001 by mutually recognizing
governments, such contractually agreed access to the organization's security sensitive information may not be deemed
necessary, and would in any event be dependent on the organization's explicit concurrence. The fact that its sensitive
security information is protected from unauthorized access or disclosure does not prevent the organization from briefing
business partners and others about its supply chain security arrangements and systems.
Annex A
(informative)
Supply chain security process
A.1 General
This annex provides guidance on the development of a supply chain security process that can be
implemented in an organization with an existing management system. Figure A.1 provides a graphical
description of such a process.

Figure A.1 — Graphical description of a supply chain security process
A.2 Identification of the scope of the security assessment
A security assessment is an attempt to identify security risks present in that part of the supply chain the
organization, in accordance with its Statement of Application, desires to bring into compliance with this
International Standard. To accomplish this assessment the boundaries of the scope of coverage (both
physically and virtually) need to be established.
10 © ISO 2007 – All rights reserved

A.3 Conduction of the security assessment
A.3.1 General
Using qualified personnel the existing security arrangements at all locations has to be assessed where there
are potential security vulnerabilities, which should include but are not limited to the following:
⎯ where goods are being manufactured, processed or handled prior to being loaded in a transport unit,
palletized, or otherwise prepared for shipment;
⎯ where goods prepared for shipment are stored or consolidated prior to transportation;
⎯ where goods are being transported;
⎯ where goods are loaded into or unloaded from a conveyance;
⎯ where custody of the goods changes hands;
⎯ where documentation or information pertaining to goods being shipped is handled, generated or
accessible;
⎯ inland transportation routes and means of conveyance used by the various modes of transportation;
⎯ other.
A.3.2 Performance review list
The following performance review list provides an example of a systematic approach for reviewing existing
security arrangements.
Those portions of the performance review list that pertain to business partners, who have confirmed to the
organization that they
a) are verified compliant with this International Standard or with ISO 20858,
b) are covered by 4.3, or
c) have been designated as AEOs in accordance with a national customs agency’s supply chain security
programme which has been determined to be in accordance with the WCO SAFE Framework,
should contain a comment indicating how the factor has been addressed, e.g. compliant with this International
Standard, ISO 20858, or the ISPS Code.
A.3.3 Performance review
The following performance review list shown in Table A.1 can be completed and considered when conducting
a security assessment for an organization in the supply chain. This list is not all-inclusive, and can be tailored
to reflect the risk assessment and business model of the organization. If the factor indicated is already
implemented by the organization in the supply chain the “Yes” block should be checked. If the factor is not
already implemented or is partially met the “No” block should be checked and, where applicable, an
explanation added to the comment column describing other alternative measures utilized, or that the risk is
very low. If the factor is not applicable or is outside the organization’s statement of coverage, Not Applicable
(NA) should be noted in the “Comments” block. Items on the performance review list that cannot be performed
due to applicable laws/regulations should be marked as prohibited in the comment column.
Table A.1 — Performance review list
Factor YesNo Comments
Management of Supply Chain Security

• Does the organization have a management system that addresses
supply chain security?
• Does the organization have a person designated as responsible for
supply chain security?
Security Plan
• Does the organization have (a) current security plan(s)?

• Does the plan address the organization’s security expectations of
upstream and downstream business partners?

• Does the organization have a crisis management, business continuity,
and security recovery plan?
Asset Security
• Does the organization have in place measures that addresses
⎯ the physical security of buildings,
⎯ monitoring and controlling of exterior and interior perimeters,
⎯ application of access controls that prohibit unauthorized access to
facilities, conveyances, loading docks and cargo areas, and
managerial control over the issuance of identification (employee,
visitor, vendor, etc.) and other access devices?
• Are there operational security technologies which significantly enhance
asset protection? For example, intrusion detection, or recorded
CCTV/DVS cameras that cover areas of importance to the supply chain
activity, with the recordings maintained for a long enough period of time
to be of use in an incident investigation.

• Are there protocols in place to contact internal security personnel or
external law enforcement in case of security breach?

• Are procedures in place to restrict, detect, and report unauthorized
access to all cargo and conveyance storage areas?

• Are persons delivering or receiving cargo identified before cargo is
received or released?
Personnel Security
• Does the organization have procedures to evaluate the integrity of
employees prior to employment and periodically relative to their security
duties?
• Does
...

МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28001
Первое издание
2007-10-15
Системы менеджмента безопасности
цепи поставок. Наилучшие методы
обеспечения безопасности в цепи
поставок, оценки и планы. Требования
и руководящие указания
Security management systems for the supply chain – Best practices for
implementing supply chain security, assessments and plans –
Requirements and guidance
Ответственность за подготовку русской версии несёт GOST R

(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO 2007
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или вывести на экран, но его нельзя изменить, пока не будет получена
лицензия на загрузку интегрированных шрифтов в компьютер, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe − торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.

ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

© ISO 2007
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по адресу, указанному ниже, или членов ISO в стране регистрации пребывания.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2007 – Все права сохраняются

Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .2
4 Область применения .6
4.1 Заявление о применении .6
4.2 Партнеры по бизнесу.6
4.3 Международные сертификаты одобрения.7
4.4 Партнеры по бизнесу, освобождаемые от декларации безопасности.7
4.5 Проверки системы безопасности партнеров по бизнесу.7
5 Процесс обеспечения безопасности цепи поставок .7
5.1 Общие положения .7
5.2 Определение области оценки безопасности .8
5.3 Проведение оценки безопасности .8
5.4 Разработка плана обеспечения безопасности цепи поставок .9
5.5 Выполнение плана обеспечения безопасности цепи поставок.9
5.6 Документация и мониторинг процесса безопасности цепи поставок .9
5.7 Действия, необходимые после происшествий с нарушением безопасности.10
5.8 Защита секретной информации.10
Приложение А (информативное) Процесс обеспечения безопасности цепи поставок .12
A.1 Общие положения .12
A.2 Определение области применения оценки безопасности .13
A.3 Проведение оценки безопасности .13
A.4 Разработка плана обеспечения безопасности .17
A.5 Выполнение плана обеспечения безопасности.19
A.6 Документация и мониторинг процесса обеспечения безопасности .19
A.7 Постоянное совершенствование .19
Приложение B (информативное) Методология для оценки риска для безопасности, и
разработки контрмер .20
B.1 Общие положения .20
B.2 Шаг первый – Рассмотрение сценариев угроз.21
B.3 Шаг второй – Классификация последствий.24
B.4 Шаг третий – Классификация вероятности происшествий, связанных нарушением
безопасности.25
B.5 Шаг четвертый – Градация происшествий, связанных с недостаточным
обеспечением безопасности.26
B.6 Шаг пятый – Разработка контрмер.26
B.7 Шаг шестой – Осуществление контрмер.27
B.8 Шаг седьмой – Оценка контрмер.27
B.9 Шаг восьмой – Повторение процесса .27
B.10 Продолжение процесса .27
Приложение C (информативное) Руководство по получению консультаций и сертификации .28
C.1 Общие положения .28
C.2 Подтверждение соответствия стандарту ISO 28001 путем проведения аудита.28
C.3 Сертификация на ISO 28001 органами сертификации третьей стороны.28
Библиография.29
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные государственные и негосударственные организации, имеющие связи с ISO,
также принимают участие в работах. Что касается стандартизации в области электротехники, то ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами, установленными в
Директивах ISO/IEC, Часть 2.
Основная задача технических комитетов заключается в подготовке международных стандартов.
Проекты международных стандартов, принятые техническими комитетами, рассылаются комитетам-
членам на голосование. Их опубликование в качестве международных стандартов требует одобрения
не менее 75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего документа могут быть объектом
патентного права. ISO не может нести ответственность за идентификацию какого-либо одного или всех
патентных прав.
ISO 28001 был подготовлен Техническим комитетом ISO/TC 8, Суда и морские технологии, в
сотрудничестве с другими техническими комитетами, ответственными за специфические элементы
безопасности цепи поставок.
Первое издание ISO 28001 отменяет и заменяет ISO/PAS 28001, который был технически пересмотрен.

iv © ISO 2007 – Все права сохраняются

Введение
Происшествия, связанные с недостаточным обеспечением безопасности в международных цепях
поставок, представляют угрозу международной торговле и экономическому росту стран,
занимающихся торговлей. Люди, товары, инфраструктура и оборудование, включая транспортные
средства, нуждаются в защите от происшествий связанных с безопасностью и их разрушительного
воздействия. Такая защита приносит пользу экономике и обществу в целом.
Международные цепи поставок являются весьма динамичными и включают множество организаций и
партнеров по бизнесу. Настоящий международный стандарт учитывает эту сложность. Он позволяет
отдельным организациям, работающим в цепи поставок, устанавливать свои требования в
соответствии с конкретной бизнес моделью организации и её ролью и функцией в международной
цепи поставок.
Настоящий международный стандарт позволяет организациям определить и документально оформить
приемлемые уровни безопасности международных цепей поставок и их компонентов. Они дают
возможность таким организациям на основе анализа рисков принимать более аргументированные
решения по обеспечению безопасности в рассматриваемых международных цепях поставок.
Настоящий международный стандарт является комбинированным и предназначается для того, чтобы
совместно с рамочными стандартами Всемирной таможенной организации (WCO) и в дополнение к
ним обеспечить безопасность всемирной торговли и облегчить её. Он не стремится заменить или
отменить программы обеспечения безопасности цепей поставок отдельных агентств и их требования к
сертификации и валидации.
Настоящий международный стандарт поможет организациям в определении адекватных уровней
безопасности той части (тех частей) международной цепи поставок, которой (которыми) они управляют.
Он также является основой для определения или валидации уровня существующей безопасности в
такой цепи (цепях) поставок организации внутренними или внешними аудиторами или теми
правительственными агентствами, которые выбраны для проверки соответствия этому документу, как
основание для приема в их программы обеспечения безопасности цепи поставок. Клиенты, партнеры
по бизнесу, правительственные агентства и другие органы могут попросить организации, которые
объявили о соответствии настоящему международному стандарту, провести аудит или валидацию для
подтверждения такого соответствия. Правительственные агентства могут придти к взаимному
соглашению о признании валидаций, проведенных другими правительственными агентствами. Если
аудит организации проводится третьей стороной, то организация должна рассмотреть возможность
привлечения органа сертификации третьей стороны, аккредитованного компетентным органом,
который является членом Международного форума аккредитования (IAF) (см. Приложение С).
Целью настоящего международного стандарта не является дублирование правительственных
требований и стандартов, касающихся обеспечения безопасности цепи поставок в соответствии с
рамочными стандартами WCO. Организации, которые уже были сертифицированы или валидированы
взаимно признаваемыми правительствами, считаются соответствующими настоящему стандарту.
Результаты, полученные в настоящем документе, являются следующими.
Объявление области действия, определяющей границы цепи поставок, охватываемые планом
обеспечения безопасности.
Оценка безопасности, которая документально обосновывает уязвимость цепи поставок для
определения планов обеспечения безопасности, а также описывает последствия каждой из
возможных сценариев угроз.
План обеспечения безопасности, который приводит меры по обеспечению безопасности,
предпринимаемые на месте, по борьбе с угрозами безопасности, идентифицированными при
проведении оценки безопасности.
Программа обучения, устанавливающая, как персонал службы безопасности должен обучаться, чтобы
успешно выполнять свои обязанности.
Для оценки безопасности, необходимой для разработки плана обеспечения безопасности, организация,
использующая настоящий международный стандарт должна
– идентифицировать возможные угрозы (сценарии угроз безопасности);
– определить, может ли персонал реагировать должным образом на сценарии угроз , установленных
в результате оценки безопасности.
Такое определение производится путем анализа текущего состояния безопасности в цепи поставок.
Основываясь на данных, полученных в результате проведения такого анализа, выносится
профессиональное суждение о том, в какой мере цепь поставок остается уязвимой при реализации
каждого плана действий по обеспечению безопасности.
Если считается, что цепь поставок остается неприемлемо уязвимой при сценарии возникновения угроз,
организация должна разработать дополнительные процедуры или ввести оперативные изменения для
снижения вероятности инцидентов и их последствий или обоих. Такие действия называются
контрмерами. Основываясь на системе приоритетов, контрмеры должны вводиться в план действий по
обеспечению безопасности для снижения угроз до приемлемого уровня.
Приложения А и В являются иллюстративными примерами управления рисками, основанного на
процессах обеспечения безопасности, для защиты людей, активов и задач международной цепи
поставок. Они облегчают применение как общего подхода для комплексных цепей поставок, так и/или
более детальных методов для частей цепей поставок.
Указанные приложения также
– облегчают понимание, принятие и внедрение методологий, которые могут быть модифицированы
организациями;
– содержат руководящие указания по основам менеджмента безопасности для постоянного
усовершенствования;
– помогают организациям управлять ресурсами и направлять их на существующие и возникающие
риски для безопасности;
– описывают возможные средства для оценки рисков и ослабления угроз безопасности в цепи
поставок, связанных с распределением сырья во время хранения, изготовлением и
транспортировкой готовых изделий на рынок.
В Приложение C даются указания по получению рекомендаций и сертификации по этому
международному стандарту, если организация, использующая его, выбирает к исполнению этот
вариант.
vi © ISO 2007 – Все права сохраняются

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28001:2007(R)

Системы менеджмента безопасности цепи поставок.
Наилучшие методы обеспечения безопасности в цепи
поставок, оценки и планы. Требования и руководящие
указания
1 Область применения
Настоящий документ включает требования и руководящие указания для организаций, работающих в
международных цепях поставок, касающиеся
– разработки и внедрения процессов обеспечения безопасности в цепях поставок;
– определения и документирования минимального уровня безопасности в цепи (цепях) поставок или
в сегменте цепи поставок;
– соответствия применяемым критериям уполномоченных экономических операторов,
установленных далее в рамочных стандартах Всемирной таможенной организации, и
соответствующим национальным программам по обеспечению безопасности цепи поставок.
ПРИМЕЧАНИЕ Только национальное таможенное управление может определять организации в качестве
уполномоченных экономических операторов в соответствии с программой обеспечения безопасности в цепи
поставок и требованиями, предъявляемыми к сертификации и валидации.
Кроме того, настоящий документ устанавливает требования к документации, которые позволяют
провести верификацию.
Пользователи настоящего международного стандарта должны
– определить часть международной цепи поставок, для которой они установили систему
обеспечения безопасности (см. 4.1);
– проводить оценку системы обеспечения безопасности этой части цепи поставок и разработать
адекватные контрмеры;
– разработать и внедрить план обеспечения безопасности цепи поставок;
– обучить персонал, обеспечивающий безопасность, его служебным обязанностям.
2 Нормативные ссылки
Следующие ссылочные документы являются обязательными при применении данного документа. Для
жестких ссылок применяется только цитированное издание документа. Для плавающих ссылок
необходимо использовать самое последнее издание нормативного ссылочного документа (включая
любые изменения).
ISO 20858:– , Суда и морские технологии. Оценки безопасности оборудования морских портов и
разработка плана обеспечения безопасности
International Convention for the Safety of Life at Sea (SOLAS), 1974 с внесенными изменениями,
International Maritime Organization
3 Термины и определения
В настоящем документе используются следующие термины и определения.
3.1
соответствующие правоохранительные органы и другие правительственные чиновники
appropriate law enforcement and other government officials
государственный и правоприменяющий персонал, под юрисдикцией которого находится
международная цепь поставок или её часть
3.2
актив (активы)
asset(s)
предприятие, механизмы, собственность, здания, автомобили, суда, самолеты, транспортные средства
и другие элементы инфраструктуры или предприятий и связанные системы, выполняющие отдельные
количественно оцениваемые бизнес-функции или услуги
ПРИМЕЧАНИЕ Это определение включает информационную систему, необходимую для обеспечения
безопасности и осуществления менеджмента безопасности.
3.3
уполномоченный экономический оператор
authorized economic operator
сторона, участвующая в международном движении товаров и выполняющая какую-либо функцию,
утвержденная национальной таможенной администрацией или действующая по её поручению, в
соответствии с рамочными стандартами Всемирной таможенной организации или равноценными
стандартами по безопасности цепи поставок
ПРИМЕЧАНИЕ 1 Термин "Уполномоченный экономический оператор" определен в рамочных стандартах
Всемирной таможенной организации.
ПРИМЕЧАНИЕ 2 В частности, Уполномоченными экономическими операторами могут быть изготовители,
импортеры, экспортеры, брокеры, перевозчики, объединители, посредники, порты, аэропорты, операторы
терминалов, интегрированные операторы, товарные склады и дистрибьюторы.
3.4
партнер по бизнесу
business partner
подрядчик, поставщик или организация, занимающаяся предоставлением услуг, с которыми
организация заключает контракты с целью получения помощи при выполнении её функций, как
организации, работающей в цепи поставок (3.15)
3.5
грузовые транспортные средства
cargo transport unit
грузовой автомобиль, железнодорожный грузовой вагон, грузовой контейнер, автоцистерна,
железнодорожная цистерна или передвижная цистерна

Будет опубликован. Пересмотр ISO/PAS 20858:2004.
2 © ISO 2007 – Все права сохраняются

3.6
последствие
consequence
возможные потери в людях, ущерб, причиненный собственности, или экономический ущерб, включая
разрушение транспортных систем, вызванные атакой на организацию, работающую в цепи поставок,
или вследствие использования цепи поставок как оружия
3.7
средство транспортировки
conveyance
физические средства международной торговли, используемые для перевозки товаров из одного места
в другое
ПРИМЕРЫ Коробка, поддон, грузовое транспортное средство, оборудование для погрузки и разгрузки грузов,
грузовик, судно, самолет и железнодорожный вагон.
3.8
контрмеры
countermeasures
действия, предпринимаемые для снижения вероятности сценария угроз безопасности, которые могут
возникать при выполнении поставленных целей, или для сокращения возможных последствий
3.9
охрана
custody
промежуток времени, в течение которого организация, работающая в цепи поставок, непосредственно
контролирует изготовление, обработку, погрузочно-разгрузочные работы и транспортировку товаров, а
также информацию, связанную с их доставкой в цепи поставок
3.10
последующие действия
downstream
такие действия как погрузочно-разгрузочные работы, обработка и движение товаров после того, как
они выходят из-под контроля организации в цепи поставок
3.11
товары
goods
изделия, которые после размещения заказа на покупку изготавливаются, обрабатываются,
погружаются-разгружаются и транспортируются в цепи поставок для использования и потребления
покупателем
3.12
международная цепь поставок
international supply chain
цепь поставок, которая в определенном месте пересекает международную или экономическую границу
ПРИМЕЧАНИЕ 1 Все части указанной цепи считаются международными с момента заключения заказа до
момента когда товары проходят таможенного контроль в стране или экономической зоне назначения.
ПРИМЕЧАНИЕ 2 Если договоры или региональные соглашения исключают таможенную очистку товаров из
установленных стран или экономических зон, окончанием международной цепи поставок является порт страны
или экономической зоны назначения, где товары должны проходить таможенную очистку, если соглашения или
договоры не были заключены на месте.
3.13
вероятность
likelihood
легкость или трудности, с которыми сценарий угроз безопасности может развиваться с переходом в
происшествие, связанное с недостаточным обеспечением безопасности
ПРИМЕЧАНИЕ Вероятность оценивается на основе противодействия процесса обеспечения безопасности
происшествию, включая проверку сценария угроз и либо количественную, либо качественную оценку.
3.14
система менеджмента
management system
структура организации для управления её процессами или действиями, которые превращают
привлекаемые ресурсы в изделия или услуги в соответствии с целями организации
ПРИМЕЧАНИЕ Целью настоящего документа не является создание специальной системы менеджмента и/или
отдельной системы менеджмента безопасности. Примерами систем менеджмента являются ISO 9001 (Системы
менеджмента качества), ISO 14001 (Системы экологического менеджмента), ISO 28000 (Системы менеджмента
безопасности цепи поставок), и система Международного менеджмента безопасности (ISM) Международной
морской организации.
3.15
организация, участвующая в цепи поставок
organization in the supply chain
любая организация, которая
– изготавливает, перегружает, обрабатывает, загружает, объединяет, отгружает или принимает
товары после размещения заказа на поставку, которые в определенном месте пересекают
международную или экономическую границу;
– транспортирует товары любым способом в международной цепи поставок независимо от того,
пересекает ли её сегмент цепи поставок национальную (или экономическую) границу; или
– обеспечивает, управляет или предоставляет, распределяет или передает информацию по
поставкам, используемую таможенными агентствами или в практике деловых отношений.
3.16
менеджмент рисков
risk management
процесс принятия решений по менеджменту, основанных на анализе возможных угроз, их последствий,
вероятности их успеха
ПРИМЕЧАНИЕ Процесс менеджмента рисков обычно инициируется для оптимизации распределения ресурсов
организации, необходимых для работы в конкретной обстановке.
3.17
область применения услуг
scope of service
функция (функции), которую (которые) выполняет организация, участвующая в цепи поставок, а также
где она выполняет эту функцию (эти функции)
3.18
декларация безопасности
security declaration
документированные обязательства партнера по бизнесу, определяющие меры по обеспечению
безопасности, осуществляемые им, включая, как минимум, защиту товаров и физических средств
международной торговли, защиту соответствующей информации, а также демонстрацию и проверку
мер по обеспечению безопасности
4 © ISO 2007 – Все права сохраняются

ПРИМЕЧАНИЕ Эта декларация может использоваться организацией, участвующей в цепи поставок, для
оценивания адекватности мер по обеспечению безопасности, касающихся безопасности товаров.
3.19
план обеспечения безопасности
security plan
планируемые мероприятия, обеспечивающие адекватный менеджмент безопасности
ПРИМЕЧАНИЕ 1 Данный план должен обеспечивать применение мер, защищающих организацию от
происшествий, связанных с недостаточным обеспечением безопасности.
ПРИМЕЧАНИЕ 2 Этот план может входить в другие планы деятельности.
3.20
безопасность
security
противодействие умышленным действиям, целью которых является нанесение вреда или
повреждений самой цепи поставок или связанных с нею
3.21
происшествие, связанное с нарушением безопасности
security incident
любое действие или событие, создающее последствия (3.6)
3.22
персонал, обеспечивающий безопасность
security personnel
люди в организации, работающей в цепи поставок, на которых возложены соответствующие
обязанности по обеспечению безопасности
ПРИМЕЧАНИЕ Эти люди могут быть сотрудниками организации, а могут и не быть ими.
3.23
секретная информация; секретные материалы
security sensitive information; security sensitive materials
информация или материалы, создаваемые или входящие в процесс обеспечения безопасности цепи
поставок, содержащие информацию о процессе обеспечения безопасности, поставкам или
правительственным директивам, которая недоступна для общественности и может оказаться полезной
для людей, желающих инициировать происшествие, связанное с нарушением безопасности
3.24
цепь поставок
supply chain
связанный комплекс ресурсов и процессов, которые при размещение заказа на поставку начинаются с
получения сырья, после чего следует изготовление, обработка, погрузочно-разгрузочные работы и
доставка товаров и соответствующих услуг покупателю
ПРИМЕЧАНИЕ Цепь поставок может включать поставщиков, производственные помещения, поставщиков
материально-технического снабжения, внутренние центры распределения, дистрибьюторов, оптовиков и другие
организации, участвующие в изготовлении, обработке, погрузке-разгрузке и доставке товаров и соответствующих
услуг.
3.25
объект цели
target
персонал, транспортные средства, товары, физические активы, процессы изготовления и обработка,
системы контроля или документации в организации, участвующей в цепи поставок
3.26
сценарий угроз
threat scenario
происшествия, которые могут произойти вследствие недостаточного обеспечения безопасности
3.27
предшествующие действия
upstream
такие действия, как обработка, процессы и движение товаров, выполняемые до того, как они
переходят под контроль организации, участвующей в цепи поставок
3.28
Всемирная таможенная организация
World Customs Organization
WCO
независимый межправительственный орган, задачей которого является повышение результативности
и эффективности работы таможенных администраций
ПРИМЕЧАНИЕ Этот орган является межправительственной всемирной организацией, занимающейся только
таможенными вопросами.
4 Область применения
4.1 Заявление о применении
Организация, участвующая в цепи поставок, должна изложить в заявлении о применении ее часть
международной цепи поставок, которая объявлена ей как соответствующая настоящему стандарту.
Заявление о применении должно, как минимум, включать следующую информацию:
– подробное описание организации;
– сферу услуг;
– названия всех партнеров по бизнесу в установленной сфере услуг и необходимая информация по
установлению контактов с ними;
– дату завершения оценки безопасности и время действия документов подтверждения соответствия;
– подпись лица, уполномоченного поставить подпись от имени организации.
Организация, участвующая в цепи поставок, может расширить Заявление о применении, включив в
него другие части цепи поставок, например, конечный пункт назначения.
4.2 Партнеры по бизнесу
Если организация, участвующая в цепи поставок, использует партнеров по бизнесу в части
международной цепи поставок, то она должна в соответствии с 4.3 и 4.4 потребовать, чтобы такие
партнеры предоставили декларацию о безопасности. Организация должна рассмотреть эту
декларацию при оценивании её безопасности и может потребовать принятия специальных контрмер.
6 © ISO 2007 – Все права сохраняются

4.3 Международные сертификаты одобрения
Транспортные компании и оборудование, обладающие международными сертификатами одобрения,
выданными в соответствии с обязательными международными соглашениями, контролирующими
безопасность разных транспортных секторов, могут иметь в своем распоряжении инструкции, планы и
процессы, связанные с обеспечением безопасности и отвечающие применяемым требованиям
настоящего документа. В этом случае отпадает необходимость в проведении аудита для
подтверждения такого соответствия. Для судоходных компаний, судов и оборудования портов
сертификаты или разрешения должны выдаваться в соответствии с документами SOLAS XI-2/4 или
SOLAS XI-2/10.
В соответствии с Разделом 1, национальные таможенные агентства могут в дополнение к
международным сертификатам по безопасности одобрениям, потребовать принятия дополнительных
мер безопасности и практик транспортными компаниями, как условие для назначения их в качестве
уполномоченного экономического оператора (AEO).
4.4 Партнеры по бизнесу, освобождаемые от декларации безопасности
Партнеры по бизнесу, подтвердившие организации, что они
a) проверяются в соответствии с этим международным стандартом или ISO 20858,
b) охватываются 4.3, или
c) были объявлены как Уполномоченные экономические операторы в соответствии с программой
обеспечения безопасности цепи поставок национального таможенного управления, которая
была разработана в соответствии с рамочными стандартами WCO,
должны указываться в Заявлении о применении. Однако организация не нуждается в проведении
дополнительных оценок безопасности таких партнеров по бизнесу или предоставления деклараций
безопасности.
4.5 Проверки системы безопасности партнеров по бизнесу
За исключением партнеров по бизнесу, рассматриваемых в 4.3 или 4.4, организация, участвующая в
цепи поставок, должна проводить проверки процессов и оборудования партеров по бизнесу для
выяснения обоснованности их декларации о безопасности. Такие проверки (а также их частота)
должны проводиться с учетом результатов анализ рисков указанных партеров организации.
Организация должна хранить результаты этих проверок.
ПРИМЕЧАНИЕ Для удобства чтения организация, заявившая о соответствии, включая части цепи поставок, в
которых работают её партеры по бизнесу, независимо от того, относится ли это соответствие этому стандарту или
нет, в последующих разделах называется "организацией", если не установлены иные требования.
5 Процесс обеспечения безопасности цепи поставок
5.1 Общие положения
Организации, участвующие в международных цепях поставок, принявшие настоящий стандарт,
должны осуществлять менеджмент безопасности в их части цепи поставок и иметь в своем
распоряжении систему менеджмента для выполнения этой цели. Настоящий стандарт определяет
практические действия и/или процессы обеспечения безопасности, которые должны быть
осуществлены для снижения рисков в международной цепи поставок, связанных с действиями,
которые могут приводить к происшествиям.
Организации, участвующие в цепи поставок и заявившие о соответствии настоящему стандарту,
должны иметь план обеспечения безопасности, основанный на результатах оценки безопасности, в
котором указаны меры и процедуры обеспечения безопасности, а также контрмеры, применимые к
части международной цепи поставок, которые были включены в их Заявление о применении.
5.2 Определение области оценки безопасности
Область оценки безопасности должна включать все действия, выполняемые организацией, как
приведено в Заявлении о применении (см. 4.1). Оценка должна производиться периодически, а план
обеспечения безопасности должен в случае необходимости пересматриваться. Результаты оценки
должны документально оформляться и сохраняться.
Оценка безопасности также должна охватывать информационные системы, документы и элементы
относящиеся к погрузочно-разгрузочных работам и движению товаров, находящихся под охраной
организации. Существующие средства обеспечения безопасности в соответствии с 4.3 и 4.4 должны
оцениваться для всех мест и партнеров по бизнесу там, где существуют угрозы безопасности.
5.3 Проведение оценки безопасности
5.3.1 Персонал, занимающийся оценкой
Лицо или группа лиц, выполняющие оценку безопасности, должны обладать практическим опытом и
знаниями по следующим вопросам, но не ограничиваться ими:
– методы оценки рисков, применяемые ко всем аспектам международной цепи поставок, начиная с
момента, с которого организация, участвующая в цепи поставок, берет ответственность за товары,
до момента времени, когда такой контроль со стороны организации прекращается или товары
покидают международную цепь поставок;
– соответствующие меры, применяемые по исключению несанкционированной выдачи секретных
материалов по безопасности или доступа к ним;
– действия и процедуры при изготовлении, погрузке-разгрузке, обработке, движении и/или
документировании товаров;
– меры по обеспечению безопасности, связанные с отправкой товаров, их перевозкой, персоналом,
помещениями и информационными системами, в соответствующей части цепи поставок;
– понимание угроз безопасности и методологии их снижения;
– понимание настоящего международного стандарта.
Фамилия (фамилии) лица или членов группы, выполняющих оценку, а также их квалификация должны
документироваться.
5.3.2 Процесс оценки
Организация, участвующая в цепи поставок, должна определить, внедрить и поддерживать процедуру
(процедуры) идентификации существующих контрмер, снижающих угрозы безопасности. Организация
должна определить сценарии угроз, включая сценарии, которые считаются необходимыми
соответствующими правительственными чиновниками. Если правительственные чиновники не
участвуют в таком процессе, то это должно быть документировано в оценке безопасности.
8 © ISO 2007 – Все права сохраняются

Для каждого сценария угроз организация должна оценить имеющиеся контрмеры и определить
последствия и вероятности каждого сценария угроз, а также оценить, следует ли предпринять
дополнительные меры. Если меры оказываются неадекватными, необходимо указать дополнительные
меры по снижению угроз до приемлемого уровня.
Организация должна проверить декларацию (декларации) безопасности, предоставляемую
(предоставляемые) каждым партнером по бизнесу, установленную в п. 4.2, и использовать
профессиональную оценку, знание предприятия (предприятий) и/или требования властных органов.
Она также должна получить и использовать любую другую доступную информацию для определения
годности декларации о безопасности.
Организации должны рассмотреть детали и достоверность каждой декларации о безопасности при
оценке безопасности и определении общей уязвимости цепи поставок, описанной в заявлении о
применении.
От партнеров по бизнесу, рассмотренных в 4.3 или 4.4, в дальнейшем не требуется такая оценка.
Должна быть документально оформлена следующая информация:
a) все рассмотренные сценарии угроз;
b) процессы, используемые для оценивания этих угроз; и
c) все контрмеры, установленные и считающиеся приоритетными.
5.4 Разработка плана обеспечения безопасности цепи поставок
Организации должны разработать и поддерживать план обеспечения безопасности для всей части
цепи поставок, описанной в их заявлении о применении. План может быть разделен на приложения, в
каждом из которых описывается система безопасности для отдельного сегмента цепи поставок,
включая меры по обеспечению безопасности, которые партнеры организации по бизнесу с учетом 4.3
или 4.4 должны принимать в соответствии с их декларациями о безопасности. В плане/приложениях
также определяется, как организация может осуществлять мониторинг или периодические проверки
таких деклараций о безопасности.
При разработке планов обеспечения безопасности организации должны проверять и рассматривать
использование руководящих указаний, представленных в Приложениях A и В.
5.5 Выполнение плана обеспечения безопасности цепи поставок
Организация должна внедрять систему менеджмента для осуществления безопасности цепи поставок.
5.6 Документация и мониторинг процесса безопасности цепи поставок
5.6.1 Общие положения
Организация должна внедрить и поддерживать процедуры по документированию, мониторингу и
измерению характеристик системы менеджмента, указанной выше. Организация должна проводить
аудиты системы менеджмента через запланированные промежутки времени с тем, чтобы обеспечить
её надлежащее функционирование и поддержание. Результаты аудитов должны документально
оформляться и сохраняться.
5.6.2 Постоянное совершенствование
Организация должна оценить возможность совершенствования мер по обеспечению безопасности, как
средство повышения безопасности своего участка цепи поставок.
5.7 Действия, необходимые после происшествий с нарушением безопасности
Организация должна проверить свой план обеспечения безопасности после любого происшествия,
связанного с безопасностью любого участка международной цепи поставок, контролируемой ей. Такая
проверка должна
a) определить причину происшествия и корректирующие действия;
b) определить эффективность мер и процедур для восстановления безопасности; и
c) на основе таких определений пересмотреть участки цепи поставок в соответствии с 5.3.2.
При наличии брешей в системе защиты организация должна соблюдать процедуры докладов таможне
и/или соответствующим правоприменительным органам, как установлено в плане обеспечения
безопасности и контрактах.
Организация должна сохранять транспортные накладные и другие требуемые документы по цепи
поставок в течение времени, установленного в соответствующих законах и нормах.
5.8 Защита секретной информации
Планы по обеспечению безопасности, меры, процессы, процедуры и записи организации должны
считаться секретной информацией по безопасности и защищаться от несанкционированного доступа
или разглашения. Такая информация должна предоставляться только лицам, обладающим правом
доступа к ней. В дополнение к соответствующим правоприменительным чиновниками или их
представителям лицо обладает таким "правом знать", если
а) ему требуется доступ к секретной информации по безопасности для выполнения действий по
обеспечению безопасности, предусмотренных в плане обеспечения безопасности;
b) оно обучается для выполнения действий, предусмотренных в плане обеспечения безопасности;
с) информация необходима ему для контроля других лиц, выполняющих действия по обеспечению
безопасности, предусмотренных в плане обеспечения безопасности; или
d) оно является представителем стороны или действует по её поручению, которой по контракту с
организацией разрешен доступ к секретной информации по безопасности, контролируемой этой
организацией, в соответствии с условиями договора.
10 © ISO 2007 – Все права сохраняются

ПРИМЕЧАНИЕ Если организация сертифицирована в соответствии с документом ISO 28001 органом
сертификации третьей стороны, аккредитованным компетентным органом аккредитования, или сертифицирована
или валидирована в соответствии с документом ISO 28001 по межправительственному соглашению, такой доступ
к секретной информации по обеспечению безопасности организации, согласованный в контракте, может считаться
необязательным и в любом случае зависит от согласия организации. То, что секретная информация организации
по обеспечению безопасности защищена от несанкционированного доступа или разглашения, не освобождает
организацию от необходимости инструктажа её партеров по бизнесу и других заинтересованных сторон по
вопросам, связанным с принимаемыми мерами и системами, обеспечивающими безопасность цепи поставок
организации.
Приложение А
(информативное)
Процесс обеспечения безопасности цепи поставок
A.1 Общие положения
Настоящее приложение содержит руководство по разработке процесса обеспечения безопасности
цепи поставок, который может быть осуществлен в организации, использующей систему менеджмента.
На Рисунке А.1 приводится графический пример такого процесса.

Определите область оценки безопасности
Проведите оценку безопасности Выберите сценарий угроз
Идентифицируйте меры безопасности Оцените меры безопасности
Перечислите сценарии угроз Определите последствия
Непрерывное
Определите правдоподобие
улучшение
Нет
Получена ли оценка?
Да
Адекватные?
Да
Нет
Разработайте план безопасности
Выполните план обеспечения безопасности сети
Разработайте контрмеры
поставок
Документируйте и контролируйте процесс
Да
обеспечения безопасности сети поставок Адекватные?
Нет
Рисунок A.1 – Графическое представление процесса безопасности цепи поставок
12 © ISO 2007 – Все права сохраняются

A.2 Определение области применения оценки безопасности
Оценка безопасности является попыткой определить риски безопасности, присутствующие в части
цепи поставок, которую организация, в соответствии с её заявлением о безопасности, желает привести
в соответствие с настоящим стандартом. Для проведения такой оценки необходимо определить
границы области её применения (как физически, так и виртуально).
A.3 Проведение оценки безопасности
A.3.1 Общие положения
С привлечением квалифицированного персонала применяемые меры безопасности должны
оцениваться в местах, являющихся уязвимыми в отношении безопасности, которые должны включать
места, перечисленные ниже, но не ограничиваться ими:
– места, в которых товары изготавливаются, обрабатываются или перерабатываются перед
погрузкой в транспортное средство, укладываются на поддоны или иным способом
подготовленные для перевозки;
– места, в которых товары, приготовленные для перевозки, хранятся или объединяются перед
транспортировкой;
– места, в которых товары транспортируются;
– места, в которых товары загружаются в транспортное средство, или разгружаются из него;
– места, в которых контроль за товарами передается от одной о
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Security management systems for the supply chain — Best practices for implementing supply chain security, assessments and plans — Requirements and guidance

Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Meilleures pratiques pour la mise en application de la sûreté de la chaîne d'approvisionnement, évaluations et plans — Exigences et guidage

General Information

Relations

Related Packages

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You