ISO 28004-1:2007
(Main)Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 1: General principles
Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 1: General principles
ISO 28004:2007 provides generic advice on the application of ISO 28000:2007, Specification for security management systems for the supply chain. It explains the underlying principles of ISO 28000 and describes the intent, typical inputs, processes and typical outputs for each requirement of ISO 28000. This is to aid the understanding and implementation of ISO 28000. ISO 28004:2007 does not create additional requirements to those specified in ISO 28000, nor does it prescribe mandatory approaches to the implementation of ISO 28000.
Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Lignes directrices pour la mise en application de l'ISO 28000 — Partie 1: Principes généraux
L'ISO 28004:2007 contient des lignes directrices génériques sur l'application de l'ISO 28000:2007, Spécifications relatives aux systèmes de management de la sûreté de la chaîne d'approvisionnement. Elle explique les principes sous-jacents à l'ISO 28000 et décrit l'objectif, les éléments d'entrée type, les processus et les éléments de sortie type relatifs à chaque exigence de l'ISO 28000. Elle a pour objectif d'aider à la compréhension et à la mise en oeuvre de l'ISO 28000. L'ISO 28004:2007 n'ajoute pas d'exigences supplémentaires à celles spécifiées dans l'ISO 28000; de même les approches proposées sur la mise en œuvre de l'ISO 28000 n'ont aucun caractère obligatoire.
General Information
Relations
Related Packages
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 28004
First edition
2007-10-15
Security management systems for the
supply chain — Guidelines for the
implementation of ISO 28000
Systèmes de management de la sûreté pour la chaîne
d'approvisionnement — Lignes directrices pour la mise en application
de l'ISO 28000
Reference number
ISO 28004:2007(E)
©
ISO 2007
ISO 28004:2007(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2007 – All rights reserved
ISO 28004:2007(E)
Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 2
3 Terms and definitions. 2
4 Security management system elements . 4
4.1 General requirements. 4
4.2 Security management policy . 5
4.3 Security risk assessment and planning . 8
4.4 Implementation and operation . 20
4.5 Checking and corrective action . 34
4.6 Management review and continual improvement . 49
Annex A (informative) Correspondence between ISO 28000:2007, ISO 14001:2004 and
ISO 9001:2000. 53
Bibliography . 56
ISO 28004:2007(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 28004 was prepared by Technical Committee ISO/TC 8, Ships and marine technology, in collaboration
with other relevant technical committees responsible for specific nodes of the supply chain.
This first edition of ISO 28004 cancels and replaces ISO/PAS 28004:2006, which has been technically revised.
iv © ISO 2007 – All rights reserved
ISO 28004:2007(E)
Introduction
ISO 28000:2007, Specification for security management systems for the supply chain, and this International
Standard have been developed in response to the need for a recognizable supply chain management system
standard against which their security management systems can be assessed and certified and for guidance
on the implementation of such a standard.
ISO 28000 is compatible with the ISO 9001:2000 (Quality) and ISO 14001:2004 (Environmental) management
systems standards. They facilitate the integration of quality, environmental and supply chain management
systems by organizations, should they wish to do so.
This International Standard includes a box at the beginning of each clause/subclause, which gives the
complete requirements from ISO 28000; this is followed by relevant guidance. The clause numbering of this
International Standard is aligned with that of ISO 28000.
This International Standard will be reviewed or amended when considered appropriate. Reviews will be
conducted when ISO 28000 is revised.
This International Standard does not purport to include all necessary provisions of a contract between supply
chain operators, suppliers and stakeholders. Users are responsible for its correct application.
Compliance with this International Standard does not of itself confer immunity from legal obligations.
INTERNATIONAL STANDARD ISO 28004:2007(E)
Security management systems for the supply chain —
Guidelines for the implementation of ISO 28000
1 Scope
This International Standard provides generic advice on the application of ISO 28000:2007, Specification for
security management systems for the supply chain.
It explains the underlying principles of ISO 28000 and describes the intent, typical inputs, processes and typical
outputs, for each requirement of ISO 28000. This is to aid the understanding and implementation of ISO 28000.
This International Standard does not create additional requirements to those specified in ISO 28000, nor does it
prescribe mandatory approaches to the implementation of ISO 28000.
ISO 28000
1 Scope
This International Standard specifies the requirements for a security management system, including those
aspects critical to security assurance of the supply chain. These aspects include, but are not limited to,
financing, manufacturing, information management and the facilities for packing, storing and transferring
goods between modes of transport and locations. Security management is linked to many other aspects of
business management. These other aspects should be considered directly, where and when they have an
impact on security management, including transporting these goods along the supply chain.
This International Standard is applicable to all sizes of organizations, from small to multinational, in
manufacturing, service, storage or transportation at any stage of the production or supply chain that wishes to:
a) establish, implement, maintain and improve a security management system;
b) assure compliance with stated security management policy;
c) demonstrate such compliance to others;
d) seek certification/registration of its security management system by an Accredited third party
Certification Body; or
e) make a self-determination and self-declaration of compliance with this International Standard.
There are legislative and regulatory codes that address some of the requirements in this International
Standard.
It is not the intention of this International Standard to require duplicative demonstration of compliance.
Organizations that choose third party certification can further demonstrate that they are contributing
significantly to supply chain security.
ISO 28004:2007(E)
2 Normative references
No normative references are cited. This clause is included in order to retain clause numbering similar to
ISO 28000.
3 Terms and definitions
ISO 28000
3 Terms and definitions
3.1
facility
plant, machinery, property, buildings, vehicles, ships, port facilities and other items of infrastructure or plant
and related systems that have a distinct and quantifiable business function or service
NOTE This definition includes any software code that is critical to the delivery of security and the application of
security management.
3.2
security
resistance to intentional, unauthorized act(s) designed to cause harm or damage to or by, the supply chain
3.3
security management
systematic and coordinated activities and practices through which an organization optimally manages its
risks and the associated potential threats and impacts there from
3.4
security management objective
specific outcome or achievement required of security in order to meet the security management policy
NOTE It is essential that such outcomes are linked either directly or indirectly to providing the products, supply or
services delivered by the total business to its customers or end users.
3.5
security management policy
overall intentions and direction of an organization, related to the security and the framework for the control of
security-related processes and activities that are derived from and consistent with the organization’s policy
and regulatory requirements
3.6
security management programmes
means by which a security management objective is achieved
3.7
security management target
specific level of performance required to achieve a security management objective
3.8
stakeholder
person or entity having a vested interest in the organization’s performance, success or the impact of its
activities
NOTE Examples include customers, shareholders, financiers, insurers, regulators, statutory bodies, employees,
contractors, suppliers, labour organizations or society.
2 © ISO 2007 – All rights reserved
ISO 28004:2007(E)
3.9
supply chain
linked set of resources and processes that begins with the sourcing of raw material and extends through the
delivery of products or services to the end user across the modes of transport
NOTE The supply chain may include vendors, manufacturing facilities, logistics providers, internal distribution
centres, distributors, wholesalers and other entities that lead to the end user.
3.9.1
downstream
refers to the actions, processes and movements of the cargo in the supply chain that occur after the cargo
leaves the direct operational control of the organization, including but not limited to insurance, finance, data
management and the packing, storing and transferring of cargo
3.9.2
upstream
refers to the actions, processes and movements of the cargo in the supply chain that occur before the cargo
comes under the direct operational control of the organization. Including but not limited to insurance, finance,
data management and the packing, storing and transferring of cargo
3.10
top management
person or group of people who directs and controls an organization at the highest level
NOTE Top management, especially in a large multinational organization, may not be personally involved as described
in this International Standard; however top management accountability through the chain of command shall be manifest.
3.11
continual improvement
recurring process of enhancing the security management system in order to achieve improvements in overall
security performance consistent with the organization’s security policy
For the purposes of this document, the terms and definitions given in ISO 28000 and the following apply.
3.1
risk
likelihood of a security threat materializing and the consequences
3.2
security cleared
process of verifying the trustworthiness of people who will have access to security sensitive material
3.3
threat
any possible intentional action or series of actions with a damaging potential to any of the stakeholders, the
facilities, operations, the supply chain, society, economy or business continuity and integrity
ISO 28004:2007(E)
4 Security management system elements
CONTINUAL
IMPROVEMENT
Security management
policy
Management review and
continual improvement
Security planning
Risk assessment
Regulatory requirements
Security objectives and targets
Security management programme
Checking and corrective action
Measurement and monitoring
System evaluation
Non-conformance and corrective
Implementation and operation
and preventive action Responsibilities and competence,
Records Communication
Audit
Documentation
Operational control
Emergency preparedness
Figure 1 — Elements of successful security management
4.1 General requirements
a) ISO 28000 requirement
The organization shall establish, document, implement, maintain and continually improve an effective
security management system for identifying security threats, assessing risks and controlling and mitigating
their consequences.
The organization shall continually improve its effectiveness in accordance with the requirements set out in
the whole of Clause 4.
The organization shall define the scope of its security management system. Where an organization chooses
to outsource any process that affects conformity with these requirements, the organization shall ensure that
such processes are controlled. The necessary controls and responsibilities of such outsourced processes
shall be identified within the security management system.
b) Intent
The organization should establish and maintain a management system that conforms to all of the requirements
of ISO 28000. This may assist the organization in meeting security regulations, requirements and laws.
The level of detail and complexity of the security management system, the extent of documentation and the
resources devoted to it are dependent on the size and complexity of an organization and the nature of its
activities.
4 © ISO 2007 – All rights reserved
ISO 28004:2007(E)
An organization has the freedom and flexibility to define its boundaries and may choose to implement
ISO 28000 with respect to the entire organization or to specific operating units or activities of the organization.
Caution should be taken when defining the boundaries and scope of the management system. Organizations
should not attempt to limit their scope so as to exclude from assessment, an operation or activity required for
the overall operation of the organization or those that can impact on the security of its employees and other
interested parties.
If ISO 28000 is implemented for a specific operating unit or activity, the security policies and procedures
developed by other parts of the organization may be able to be used by the specific operating unit or activity to
assist in meeting the requirements of ISO 28000. This may require that these security policies or procedures
are subject to minor revision or amendment, to ensure that they are applicable to the specific operating unit or
activity.
c) Typical input
All input requirements are specified in ISO 28000.
d) Typical output
A typical output is an effectively implemented and maintained security management system that assists the
organization in continually seeking for improvements.
4.2 Security management policy
Figure 2 — Security management policy
ISO 28004:2007(E)
a) ISO 28000 requirement
The organization’s top management shall authorize an overall security management policy.
The policy shall:
a) be consistent with other organizational policies;
b) provide the framework which, enables the specific security management objectives, targets and
programmes to be produced;
c) be consistent with the organization’s overall security threat and risk management framework;
d) be appropriate to the threats to the organization and the nature and scale of its operations;
e) clearly state the overall/broad security management objectives;
f) include a commitment to continual improvement of the security management process;
g) include a commitment to comply with current applicable legislation, regulatory and statutory
requirements and with other requirements to which the organization subscribes;
h) be visibly endorsed by top management;
i) be documented, implemented and maintained;
j) be communicated to all relevant employees and third parties including contractors and visitors with the
intent that these persons are made aware of their individual security management-related obligations;
k) be available to stakeholders where appropriate;
l) provide for its review in case of the acquisition of or merger with other organizations or other change to
the business scope of the organization which may affect the continuity or relevance of the security
management system.
NOTE Organizations may choose to have a detailed security management policy for internal use which would
provide sufficient information and direction to drive the security management system (parts of which may be confidential)
and have a summarized (non-confidential) version containing the broad objectives for dissemination to its stakeholders
and other interested parties.
b) Intent
A security policy is a concise statement of top management’s commitment to security. A security policy
establishes an overall sense of direction and sets the principles of action for an organization. It sets security
objectives for security responsibility and performance required throughout the organization.
A documented security policy should be produced and authorized by the organization's top management.
c) Typical inputs
In establishing the security policy, management should consider the following items, especially in relation to its
supply chain:
• policy and objectives relevant to the organization's business as a whole;
• historical and current security performance by the organization;
• needs of stakeholders;
6 © ISO 2007 – All rights reserved
ISO 28004:2007(E)
• opportunities and needs for continual improvement;
• resources needed;
• contributions of employees;
• contributions of contractors, stakeholders and other external personnel.
d) Process
When establishing and authorizing a security policy, top management should take into account the points
listed below.
An effectively formulated and communicated security policy should:
1) be appropriate to the nature and scale of the organization’s security risks;
Threat identification, risk assessment and risk management are at the heart of a successful security
management system and should be reflected in the organization’s security policy.
The security policy should be consistent with a vision of the organization’s future. It should be realistic
and should neither overstate the nature of the risks the organization faces, nor trivialize them.
2) include a commitment to continual improvement;
Global security threats increase the pressure on organizations to reduce the risk of incidents in the supply
chain. In addition to meeting legal, national and regulatory responsibilities, and other regulations and
guidance prepared by organizations such as the World Customs Organization (WCO), the organization
should aim to improve its security performance and its security management system, effectively and
efficiently, to meet the needs of changing global trade, business and regulatory needs.
Planned performance improvement should be expressed in the security objectives (see 4.3.2) and
managed through the security management programme (see 4.3.5) although the security policy
statement may include broad areas for action.
3) include a commitment to at least conform to current applicable security regulations and with other
requirements to which the organization subscribes;
Organizations are required to conform to applicable security regulatory requirements. The security policy
commitment is a public acknowledgement by the organization that it has a duty to conform to, if not
exceed, any legislation, or other requirements, either legally mandated or adopted voluntarily subscribed
to, such as the WCO SAFE Framework of Standards.
NOTE “Other requirements” can mean, for example, corporate or group policies, the organization's own internal
standards or specifications or codes of practice to which the organization subscribes.
4) be documented, implemented and maintained;
Planning and preparation are the key to successful implementation. Often, security policy statements and
security objectives are unrealistic because there are inadequate or inappropriate resources available to
deliver them. Before making any public declarations the organization should ensure that any necessary
finance, skills and resources are available and that all security objectives are realistically achievable
within this framework.
In order for the security policy to be effective, it should be documented and be periodically reviewed for
continuing adequacy and amended or revised if needed.
5) be communicated to all employees with the intent that employees are made aware of their individual
security obligations;
ISO 28004:2007(E)
The involvement and commitment of employees is vital for successful security.
Employees need to be made aware of the effects of security management on the quality of their own work
environment and should be encouraged to contribute actively to security management.
Employees (at all levels, including management levels) are unlikely to be able to make an effective
contribution to security management unless they understand the organization’s policy and their
responsibilities and are competent to perform their required tasks.
This requires the organization to communicate its security policies and security objectives to its
employees clearly, to enable them to have a framework against which they can measure their own
individual security performance.
6) be available to stakeholders;
Any individual or group (either internal or external) concerned with or affected by the security
performance of the organization would be particularly interested in the security policy statement.
Therefore, a process should exist to communicate the security policy to them. The process should ensure
that stakeholders receive the security policy where appropriate.
7) be reviewed periodically to ensure that it remains relevant and appropriate to the organization.
Change is inevitable, regulations and legislation evolve and stakeholders’ expectations increase.
Consequently, the organization’s security policy and management system needs to be reviewed regularly
to ensure their continuing suitability and effectiveness.
If changes are introduced, these should be communicated as soon as practicable.
e) Typical output
A typical output is a comprehensive, concise, understandable, security policy that is communicated throughout
the organization and to stakeholders as necessary.
4.3 Security risk assessment and planning
Figure 3 — Planning
8 © ISO 2007 – All rights reserved
ISO 28004:2007(E)
4.3.1 Security risk assessment
a) ISO 28000 requirement
The organization shall establish and maintain procedures for the ongoing identification and assessment of
security threats and security management-related threats and risks and the identification and implementation
of necessary management control measures. Security threats and risk identification, assessment and control
methods should, as a minimum, be appropriate to the nature and scale of the operations. This assessment
shall consider the likelihood of an event and all of its consequences which shall include:
a) physical failure threats and risks, such as functional failure, incidental damage, malicious damage or
terrorist or criminal action;
b) operational threats and risks, including the control of the security, human factors and other activities
which affect the organizations performance, condition or safety;
c) natural environmental events (storm, floods, etc.), which may render security measures and equipment
ineffective;
d) factors outside of the organization’s control, such as failures in externally supplied equipment and
services;
e) stakeholder threats and risks such as failure to meet regulatory requirements or damage to reputation or
brand;
f) design and installation of security equipment including replacement, maintenance, etc.
g) information and data management and communications.
h) a threat to continuity of operations.
The organization shall ensure that the results of these assessments and the effects of these controls are
considered and where appropriate, provide input into:
a) security management objectives and targets;
b) security management programmes;
c) the determination of requirements for the design, specification and installation;
d) identification of adequate resources including staffing levels;
e) identification of training needs and skills (see 4.4.2);
f) development of operational controls (see 4.4.6);
g) the organization’s overall threat and risk management framework.
The organization shall document and keep the above information up to date.
The organization’s methodology for threat and risk identification and assessment shall:
a) be defined with respect to its scope, nature and timing to ensure it is proactive rather than reactive;
b) include the collection of information related to security threats and risks;
c) provide for the classification of threats and risks and identification of those that are to be avoided,
eliminated or controlled;
d) provide for the monitoring of actions to ensure effectiveness and the timeliness of their implementation
(see 4.5.1).
ISO 28004:2007(E)
b) Intent
The organization should have a total appreciation of significant security risk, threats and vulnerabilities in its
domain, after using the processes of security threat identification, risk assessment and risk management.
The security threat identification, risk assessment and risk management processes and their outputs should
be the basis of the whole security system. It is important that the links between the security threat
identification, risk assessment and risk management processes and the other elements of the security
management system are clearly established and apparent.
The purpose of this guideline is to establish principles by which the organization can determine whether or not
given security threat identification, risk assessment and risk management processes are suitable and
sufficient. It is not the purpose to make recommendations on how these activities should be conducted.
The security threat identification, risk assessment and risk management processes should enable the
organization to identify, evaluate and control its security risks on an ongoing basis.
In all cases, consideration should be given to normal and abnormal operations within the organization and to
potential emergency conditions.
The complexity of security threat identification, risk assessment and risk management processes greatly
depends on factors such as the size of the organization, the workplace situations within the organization and
the nature, complexity and significance of the security risk. It is not the purpose of ISO 28000:2007 4.3.1, to
force small organizations with very limited security risk to undertake complex security threat identification, risk
assessment and risk management exercises.
The security threat identification, risk assessment and risk management processes should take into account
the cost and time of performing these three processes and the availability of reliable data. Information already
developed for regulatory or other purposes may be used in these processes. The organization may also take
into account the degree of practical control it can have over the security threats being considered. The
organization should determine what its security threats are, taking into account the inputs and outputs
associated with its current and relevant past activities, processes, products and /or services.
The security risk assessment should be conducted by qualified personnel using recognized methodologies
which can be documented.
An organization with no existing security management system can establish its current position with regard to
security risks by means of a risk assessment. The aim should be to consider security threats faced by the
organization, as a basis for establishing the security management system. An organization should consider
including (but not limiting itself to) the following items within its initial review:
• legislative and regulatory requirements;
• identification of the security threats faced by the organization;
• seeking security threat and risk information from appropriate policing and intelligence organizations;
• an examination of all existing security management practices, processes and procedures;
• an evaluation of feedback from the investigation of previous incidents and emergencies.
A suitable approach to the assessment can include checklists, interviews, direct inspection and measurement,
results of previous management system audits or other reviews depending on the nature of the activities. All
these activities should follow a documented repeatable methodology.
It is emphasized that an initial review is recommended to create a base line but is not a substitute for the
implementation of the structured systematic approach given in the rest of 4.3.1.
10 © ISO 2007 – All rights reserved
ISO 28004:2007(E)
c) Typical inputs
Typical inputs include the following items:
• security legal and other requirements (see 4.3.2);
• security policy (see 4.2);
• records of incidents;
• non-conformances (see 4.5.3);
• security management system audit results (see 4.5.5);
• communications from employees and other interested parties (see 4.4.3);
• information from employee security consultations, review and improvement activities in the workplace
(these activities can be either reactive or proactive in nature);
• information on best practices, typical security risk related to the organization, incidents and emergencies
having occurred in similar organizations;
• industry standards;
• government warnings;
• information on the facilities, processes and activities of the organization, including the following:
• details of change control procedures;
• site plan(s);
• process manuals and operational procedures;
• security data;
• monitoring data (see 4.5.1).
d) Process
1) Security threat identification, risk assessment and risk management
i) General
Measures for the management of risk should reflect the principle of the eliminating or reducing to a
practicable minimum security risk, where practicable, either by reducing the likelihood of occurrence or
the potential severity of impacts from security related incidents. Security threat identification, risk
assessment and risk management processes are key tools in the management of risk.
Security threat identification, risk assessment and risk management processes vary greatly across
industries, ranging from simple assessments to complex quantitative analyses with extensive
documentation. It is for the organization to plan and implement appropriate security threat identification,
risk assessment and risk management processes that suit its needs and its workplace situations and to
assist it to conform to any security legislative requirements.
Security threat identification, risk assessment and risk management processes should be carried out as
proactive measures, rather than as reactive ones, i.e. they should precede the introduction of new or
revised activities or procedures. Any necessary risk reduction and control measures that are identified
should be implemented before the changes are introduced.
ISO 28004:2007(E)
The organization should keep its methodology, personnel qualifications, documentation, data and records
concerning threat identification, risk assessment and risk management up-to-date in respect of ongoing
activities and also extend them to consider new developments and new or modified activities, before
these are introduced.
Security threat identification, risk assessment and risk management processes should not only be applied
to “normal” operations of facility and procedures, but also to periodic or occasional operations/procedures.
As well as considering the security risk and risks posed by activities carried out by its own personnel, the
organization should consider security risk and risks arising from the activities of contractors and visitors
and from the use of products or services supplied to it by others.
ii) Processes
The security threat identification, risk assessment and risk management processes should be
documented and should include the following elements:
• identification of security threats;
• evaluation of risks with existing (or proposed) control measures in place (taking into account
exposure to specific security threats, the likelihood of failure of the control measures and the
potential severity of consequences of injury, damage and operational continuity);
• evaluate the tolerability of current and residual risk;
• identification of any additional risk management measures needed;
• evaluation of whether the risk management measures are sufficient to reduce the risk to a tolerable
level.
Additionally, the processes should address the following:
— the nature, timing, scope and methodology for any form of security threat identification, risk
assessment and risk management that is to be used;
— applicable security legislation or other requirements;
— the roles and authorities of personnel responsible for performing the processes;
— the competency requirements and training needs (see 4.4.2) for personnel who are to perform the
processes. (Depending on the nature or type of processes to be used, it may be necessary for the
organization to use external advice or services);
— the use of information from employee security inputs, reviews and improvement activities (these
activities can be either reactive or proactive in nature).
iii) Subsequent actions
Following the performance of the security threat identification, risk assessment and risk management
processes:
— there should be clear evidence that any corrective or preventive actions (see 4.5.2) identified as
being necessary are monitored for their timely completion (these may require that further security
threat identification and risk assessments be conducted, to reflect proposed changes to risk
management measures and to determine revised estimates of the residual risks);
— feedback on the results and on progress in the completion of corrective or preventive actions, should
be provided to management, as input for management review (see 4.6) and for the establishment of
revised or new security objectives;
12 © ISO 2007 – All rights reserved
ISO 28004:2007(E)
— the organization should be in a position to determine whether the competency of personnel
performing specific security tasks is consistent with that specified by the risk assessment process in
establishing the necessary risk management;
— feedback from subsequent operating experience should be used to amend the processes or the data
on which they are based, as applicable.
2) After the initial evaluation of security threat identification, risk assessment and risk
managements (see also 4.6)
The security threat identification, risk assessment and risk management process should be reviewed at a
pre-determined time or period as set out in the security policy document or at a time pre-determined by
management which may form part of the management review process (see 4.6). This period can vary
depending on the following considerations:
• the nature of the security threats;
• the magnitude of the risk;
• changes from normal operation.
The review should also take place if changes within the organization call into question the validity of the
existing assessments. Such changes can include the following elements:
• expansion, contraction, restructuring, changes to facilities or aspects of the supply chain;
• reapportioning of responsibilities;
• changes to methods of working or patterns of behaviour of security threats from outside sources.
e) Typical outputs
There should be documented procedure(s) for the following elements:
• identification of security threats;
• determination of the risks associated with the identified security threats;
• indication of the level of the risks related to each security threat and whether they are or are not, tolerable;
• description of or reference to, the measures to monitor and control the risks (see 4.4.6 and 4.5.1),
particularly risks that are not tolerable;
• where appropriate, the security objectives and actions to reduce identified risks (see 4.3.3) and any
follow-up activities to monitor progress in their reduction;
• identification of the competency and training requirements to implement the control measures (see 4.4.2);
• necessary control measures detailed as part of the operational control element of the system (4.4.6);
• records generated by each of the above mentioned procedures.
ISO 28004:2007(E)
4.3.2 Legal, statutory and other security regulatory requirements
a) ISO 28000 requirement
The organization shall establish, implement and maintain a procedure
a) to identify and have access to the applicable legal requirements and other requirements to which the
organization subscribes related to its security threat and risks, and
b) to determine how these requirements apply to its security threats and risks.
The organization shall keep this information up-to-date. It shall communicate relevant information on legal
and other requirements to its employees and other relevant third parties including contractors.
b) Intent
The organization needs to be aware of and understand how its activities are or will be, affected by applicable
legal and other requirements and to communicate this information to relevant personnel.
This requirement of 4.3.2 from ISO 28000:2007 is intended to promote awareness and understanding of legal
and regulatory responsibilities. It is not intended to require the organization to establish libraries of legal or other
documents that are rarely referenced or used.
c) Typical inputs
Typical inputs include the following items:
• details of the organization's supply chain;
• security threat identification, risk assessment and risk management results (see 4.3.1);
• best practices (e.g. codes, industry association guidelines);
• legal requirements, governmental, intergovernmental, trade associations, codes and practices and
regulations;
• listing of information sources;
• national, regional or international standards;
• internal organizational requirements;
• requirements of stakeholders;
• processes to manage the dynamics of the supply chain.
d) Process
Relevant legislation and other requirements should be identified. Organizations should identify the most
appropriate means for accessing the information, including the media supporting the information (e.g. paper,
CD, disk, internet). The organization should also evaluate which requirements apply and where they apply and
who needs to receive the information.
14 © ISO 2007 – All rights reserved
ISO 28004:2007(E)
e) Typical outputs
Typical outputs include the following items:
• procedures for identifying and accessing information and keeping it up to date;
• identification of which requirements apply and where [this can take the form of a register(s)];
• requirements (actual text, summary or analysis, where appropriate), available in locations which are to be
decided by the organization;
• procedures for monitoring the implementation of controls consequent to new security legislation.
4.3.3 Security management objectives
a) ISO 28000 requirement
The organization shall establish, implement and maintain documented security management objectives at
relevant functions and levels within the organization. The objectives shall be derived from and consistent with
the policy. When establishing and reviewing its objectives, an organization shall take into account:
a) legal, statutory and other security regulatory requirements;
b) security related threats and risks;
c) technological and other options;
d) financial, operational and business requirements;
e) views of appropriate stakeholders.
The security management objectives shall be:
a) consistent with the organization’s commitment to continual improvement;
b) quantified (where practicable);
c) communicated to all relevant employees and third parties, including contractors, with the intent that
these persons are made aware of their individual obligations;
d) reviewed periodically to ensure that they remain relevant and consistent with the security management
policy. Where necessary the security management objectives shall be amended accordingly.
b) Intent
It is necessary to ensure that, throughout the organization (where practical), measurable security objectives are
established consistent with the security policy.
c) Typical inputs
Typical inputs include the following items:
• policy and objectives relevant to the organization's business as a whole;
• security policy, including the commitment to continual improvement (see 4.2);
• results of security threat identification, risk assessment and risk management (see 4.3.1);
ISO 28004:2007(E)
• legal and other requirements (see 4.3.2);
• technological options;
• financial, operational and business requirements;
• employees and stakeholder concerns (see 4.4.3);
• information from employee security inputs, assessments and improvement activities in the workplace
(these a
...
NORME ISO
INTERNATIONALE 28004
Première édition
2007-10-15
Systèmes de management de la sûreté
pour la chaîne d'approvisionnement —
Lignes directrices pour la mise en
application de l'ISO 28000
Security management systems for the supply chain — Guidelines for
the implementation of ISO 28000
Numéro de référence
ISO 28004:2007(F)
©
ISO 2007
ISO 28004:2007(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2007
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2008
Publié en Suisse
ii © ISO 2007 – Tous droits réservés
ISO 28004:2007(F)
Sommaire Page
Avant-propos. iv
Introduction . v
1 Domaine d'application. 1
2 Références normatives . 2
3 Termes et définitions. 2
4 Éléments du système de management de la sûreté . 4
4.1 Exigences générales . 4
4.2 Politique de management de la sûreté . 5
4.3 Évaluation des risques et planification . 9
4.4 Mise en œuvre et fonctionnement . 22
4.5 Contrôle et action corrective . 37
4.6 Revue de direction et amélioration continue. 54
Annexe A (informative) Correspondance entre l'ISO 28000:2007, l'ISO 14001:2004
et l'ISO 9001:2000. 58
Bibliographie . 61
ISO 28004:2007(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 28004 a été élaborée par le comité technique ISO/TC 8, Navires et technologie maritime, en
collaboration avec d'autres comités techniques pertinents responsables de nœuds spécifiques de la chaîne
d'approvisionnement.
Cette première édition de l'ISO 28004 annule et remplace l'ISO/PAS 28004:2006, qui a fait l'objet d'une
révision technique.
iv © ISO 2007 – Tous droits réservés
ISO 28004:2007(F)
Introduction
L'ISO 28000:2007, Spécifications relatives aux systèmes de management de la sûreté de la chaîne
d'approvisionnement, et la présente Norme internationale ont été élaborées en réponse au besoin d'élaborer
une norme identifiable relative aux systèmes de management de la chaîne d'approvisionnement, permettant
ainsi l'évaluation et la certification des systèmes de management de la sûreté et proposant également des
directives sur la mise en œuvre.
L'ISO 28000 est compatible avec les normes relatives aux systèmes de management ISO 9001:2000 (qualité)
et ISO 14001:2004 (environnement), facilitant l'intégration des systèmes de management de la qualité, de
l'environnement et de la chaîne d'approvisionnement en étant à la disposition des organismes souhaitant
utiliser ces systèmes.
Au début de chaque article/paragraphe de la présente Norme internationale, un encadré reprend l'intégralité
des exigences de l'ISO 28000; les directives associées sont ensuite proposées. La numérotation des articles
de la présente Norme internationale est identique à celle de l'ISO 28000.
La présente Norme internationale sera revue ou amendée dès que nécessaire. Ces revues auront lieu lors de
la révision de l'ISO 28000.
La présente Norme internationale n'a pas pour objectif d'inclure toutes les dispositions contractuelles
nécessaires entre les opérateurs, les fournisseurs et les parties prenantes de la chaîne d'approvisionnement.
Les utilisateurs sont responsables de sa bonne application.
La conformité à la présente Norme internationale ne confère en soi aucune exemption aux obligations légales.
NORME INTERNATIONALE ISO 28004:2007(F)
Systèmes de management de la sûreté pour la chaîne
d'approvisionnement — Lignes directrices pour la mise en
application de l'ISO 28000
1 Domaine d'application
La présente Norme internationale contient des lignes directrices génériques sur l'application de
l'ISO 28000:2007, Spécifications relatives aux systèmes de management de la sûreté de la chaîne
d'approvisionnement.
Elle explique les principes sous-jacents à l'ISO 28000 et décrit l'objectif, les éléments d'entrée type, les
processus et les éléments de sortie types relatifs à chaque exigence de l'ISO 28000. Elle a pour objectif
d'aider à la compréhension et à la mise en œuvre de l'ISO 28000.
La présente Norme internationale n'ajoute pas d'exigences supplémentaires à celles spécifiées dans
l'ISO 28000; de même, les approches proposées sur la mise en œuvre de l'ISO 28000 n'ont aucun caractère
obligatoire.
ISO 28000
1 Domaine d'application
La présente Norme internationale prescrit les exigences applicables à un système de management de la
sûreté, y compris les aspects cruciaux pour l'assurance sûreté de la chaîne d'approvisionnement. Ces
aspects comprennent, sans s'y limiter, le financement, la fabrication et le management des informations ainsi
que les infrastructures pour emballer, stocker et transférer les biens d'un mode de transport à un
emplacement. Le management de la sûreté est lié à beaucoup d'autres aspects de la gestion des
entreprises. Il convient de prendre tous ces aspects en considération directement, où et quand ils ont une
influence sur le management de la sûreté, y compris pendant le transport des marchandises le long de la
chaîne d'approvisionnement.
La présente Norme internationale est applicable à toutes les tailles d'organismes, de la petite entreprise à
l'entreprise multinationale, souhaitant, pendant la fabrication, la maintenance, le stockage ou le transport des
marchandises à quelque stade que ce soit de la chaîne de production ou d'approvisionnement, ce qui suit:
a) définir, mettre en place, maintenir et améliorer un système de management de la sûreté;
b) s'assurer de la conformité à la politique de sûreté définie;
c) démontrer cette conformité à autrui;
d) faire certifier ou enregistrer son système de management de la sûreté auprès d'un organisme de
certification par tierce partie accrédité; ou
e) réaliser une auto-évaluation et une autocertification de conformité à la présente Norme internationale.
Certaines exigences de la présente Norme internationale sont régies par des codes législatifs ou
réglementaires.
ISO 28004:2007(F)
Il n'est pas prévu dans la présente Norme internationale d'exiger une double démonstration de conformité.
Les organismes qui choisissent la certification par tierce partie peuvent également démontrer qu'ils
contribuent grandement à la sûreté de la chaîne d'approvisionnement.
2 Références normatives
Aucune référence normative n'est donnée. Cet article est conservé uniquement pour avoir une numérotation
similaire à l'ISO 28000.
3 Termes et définitions
ISO 28000
3 Termes et définitions
3.1
installation
usine, machine, bien, bâtiment, véhicule, navire, installation portuaire ou autre élément d'infrastructure,
d'usine ou de système connexe assurant une fonction ou un service distinct et quantifiable
NOTE Cette définition inclut tout code logiciel important pour la sûreté et l'application du management de cette
sûreté.
3.2
sûreté
résistance à un ou à des actes intentionnels non autorisés destinés à endommager la chaîne
d'approvisionnement ou à nuire à son fonctionnement
3.3
management de la sûreté
ensemble des activités et pratiques coordonnées systématiques par lesquelles un organisme gère ses
risques et les menaces et impacts potentiels qui leur sont associés
3.4
objectif du management de la sûreté
résultat ou réalisation spécifique du système de sûreté nécessaire pour mettre en œuvre la politique de
management de la sûreté
NOTE Il est essentiel que ces résultats soient liés de façon directe ou indirecte à la fourniture des produits,
approvisionnements ou services offerts par la totalité de l'entreprise à ses clients ou utilisateurs finals.
3.5
politique de management de la sûreté
ensemble des intentions et orientations d'un organisme, s'agissant de la sûreté et du cadre de contrôle des
processus et activités relatifs à la sûreté qui découlent de la politique de l'organisme et des exigences
réglementaires et sont cohérents avec ces derniers
3.6
programmes de management de la sûreté
moyen permettant d'atteindre un objectif de management de la sûreté
3.7
cible de management de la sûreté
niveau spécifique de performance requis pour atteindre un objectif de management de la sûreté
2 © ISO 2007 – Tous droits réservés
ISO 28004:2007(F)
3.8
partie prenante
personne physique ou morale ayant un intérêt direct à la performance, au succès ou à l'impact des activités
de l'organisme
NOTE Par exemple les clients, les actionnaires, les financiers, les assureurs, les autorités de réglementation, les
organismes institutionnels, les employés, les sous-traitants, les fournisseurs, les organisations syndicales ou la société
en général.
3.9
chaîne d'approvisionnement
ensemble lié de ressources et de processus qui commence avec l'identification de l'origine des matières
premières et va jusqu'à la livraison des produits ou services à l'utilisateur final en passant par les divers
modes de transport
NOTE La chaîne d'approvisionnement peut inclure les vendeurs, les fabricants, les prestataires de logistique, les
centres de distribution interne, les distributeurs, les grossistes et toutes les autres entités qui conduisent à l'utilisateur
final.
3.9.1
aval
qualifie dans la chaîne d'approvisionnement les actions, processus et mouvements de la marchandise qui
interviennent dès que celle-ci sort de la zone de maîtrise opérationnelle directe de l'organisme et qui
comprennent les assurances, les finances, le traitement des données, l'emballage, l'entreposage et le
transfert de la marchandise sans s'y limiter
3.9.2
amont
qualifie dans la chaîne d'approvisionnement les actions, processus et mouvements de la marchandise qui
interviennent avant que celle-ci sorte de la zone de maîtrise opérationnelle directe de l'organisme et qui
comprennent les assurances, les finances, le traitement des données, l'emballage, l'entreposage et le
transfert de la marchandise sans s'y limiter
3.10
direction
personne ou groupe de personnes qui dirige et qui contrôle un organisme au plus haut niveau
NOTE Notamment dans un grand organisme multinational, la direction peut ne pas être impliquée personnellement
de la manière décrite dans la présente Norme internationale, mais sa responsabilité tout au long de la chaîne de
commandement est manifeste.
3.11
amélioration continue
processus récurrent d'enrichissement du système de management de la sûreté qui permet de progresser
dans la performance globale de sûreté en cohérence avec la politique de sûreté de l'organisme
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 28000 ainsi que les
termes suivants s'appliquent.
3.1
risque
probabilité de réalisation d'une menace à la sûreté et ses conséquences
3.2
certification de sûreté
processus de vérification de la fiabilité des personnes qui auront accès à du matériel sensible en termes de
sûreté
ISO 28004:2007(F)
3.3
menace
toute action ou série d'actions intentionnelles possibles pouvant affecter tant les parties prenantes, les
structures, le fonctionnement et la chaîne d'approvisionnement que la société, l'économie, la continuité des
affaires et l'intégrité
4 Éléments du système de management de la sûreté
Figure 1 — Éléments pour un management efficace de la sûreté
4.1 Exigences générales
a) Exigence de l'ISO 28000
L'organisme doit établir, documenter, mettre en application, maintenir et améliorer en continu un système
efficace de management de la sûreté qui permet d'identifier les risques et de contrôler et d'atténuer leurs
conséquences.
L'organisme doit améliorer en continu son efficacité conformément aux exigences de l'ensemble de
l'Article 4.
L'organisme doit définir l'objet de son système de management de la sûreté. Lorsqu'il choisit de sous-traiter
l'un des processus qui affectent la conformité à ces exigences, l'organisme doit garantir la maîtrise de ces
processus. Il doit, à l'intérieur du système de management de la sûreté, identifier les contrôles et
responsabilités nécessaires des processus sous-traités.
b) Objectif
Il convient que l'organisme établisse et maintienne un système de management conforme aux exigences de
l'ISO 28000. Celui-ci peut aider l'organisme à se conformer aux réglementations, exigences et lois en matière
de sûreté.
4 © ISO 2007 – Tous droits réservés
ISO 28004:2007(F)
Le niveau de précision et de complexité du système de management de la sûreté, ainsi que l'étendue de la
documentation et des ressources dédiées à cette dernière, dépendent de la taille et de la complexité de
l'organisme, ainsi que de la nature de ses activités.
Un organisme possède la liberté et la souplesse nécessaires pour déterminer ses propres frontières. Il peut
ainsi décider de mettre en œuvre l'ISO 28000 dans l'ensemble de l'organisme ou bien de ne l'appliquer qu'à
certaines unités d'opération ou activités spécifiques.
Il convient d'être prudent lors de la détermination des frontières et du domaine d'application du système de
management. Il convient que les organismes n'essaient pas de restreindre le champ d'application, de manière
à exclure de l'évaluation une opération ou une activité requise pour le fonctionnement général de l'organisme
ou ayant un impact sur la sûreté des employés et des autres parties intéressées.
Si l'ISO 28000 est mise en œuvre pour une unité opérationnelle ou une activité spécifique, les politiques et les
processus de sûreté développés par d'autres parties de l'organisme peuvent être utilisés pour l'unité
opérationnelle ou l'activité spécifique afin de répondre aux exigences de l'ISO 28000. Il peut être nécessaire
de réviser ou de modifier légèrement ces politiques ou processus de sûreté afin de garantir leur applicabilité à
l'unité opérationnelle ou à l'activité spécifique.
c) Élément d'entrée type
L'intégralité des exigences d'entrée sont spécifiées dans l'ISO 28000.
d) Élément de sortie type
Un élément de sortie type est un système de management de la sûreté mis en œuvre et tenu à jour de façon
efficace, qui assiste l'organisme dans sa recherche continue d'améliorations.
4.2 Politique de management de la sûreté
Figure 2 — Politique de management de la sûreté
ISO 28004:2007(F)
a) Exigence de l'ISO 28000
La direction de l'organisme au plus haut niveau doit autoriser une politique globale de management de la
sûreté.
Cette politique doit être comme suit:
a) être cohérente avec les autres politiques de l'organisme;
b) fournir le cadre permettant d'atteindre les objectifs, cibles et programmes spécifiques de management
de la sûreté;
c) être cohérente avec le cadre global de management des menaces et risques pesant sur la sûreté;
d) être proportionnée aux menaces pesant sur l'organisme et à la nature et à l'échelle de ses opérations;
e) indiquer clairement les objectifs globaux (au sens large) du management de la sûreté;
f) inclure un engagement d'amélioration continue du processus de management de la sûreté;
g) inclure un engagement de respect de la législation en vigueur, des exigences réglementaires et
statutaires, et des autres exigences auxquelles l'organisme souscrit;
h) être soutenue de façon visible par la direction;
i) être documentée, mise en œuvre et maintenue;
j) être communiquée à tous les employés concernés et aux tiers, y compris les sous-traitants et les
visiteurs, afin de sensibiliser ces personnes aux obligations qui sont les leurs en matière de
management de la sûreté;
k) être divulguée aux parties prenantes, le cas échéant;
l) être soumise à révision dans le cas d'acquisitions ou de fusions impliquant d'autres organismes, ou de
modification du domaine traité par l'organisme, susceptible d'affecter la continuité ou la pertinence du
système de management de la sûreté.
NOTE Les organismes peuvent choisir d'avoir une politique détaillée de management de la sûreté à usage interne
qui donne des informations et des orientations suffisantes pour conduire le système de management de la sûreté (dont
une partie peut être confidentielle) et une version résumée (non confidentielle) de cette politique reprenant les grands
objectifs à diffuser à leurs parties prenantes et autres parties intéressées.
b) Objectif
Une politique de sûreté est une déclaration concise de l'engagement de la direction en matière de sûreté. Une
politique de sûreté établit l'orientation générale ainsi que les principes d'action d'un organisme. Elle met en
place des objectifs de sûreté en matière de responsabilité et de performance relatives à la sûreté, nécessaires
dans l'ensemble de l'organisme.
Il convient de produire une politique de sûreté documentée et d'obtenir l'autorisation de la direction de
l'organisme.
6 © ISO 2007 – Tous droits réservés
ISO 28004:2007(F)
c) Éléments d'entrée type
Il convient que la direction, lorsqu'elle détermine sa politique de sûreté, prenne en compte les éléments
suivants, notamment pour ce qui concerne sa chaîne d'approvisionnement:
• la politique et les objectifs inhérents à l'organisme dans son ensemble;
• la performance passée et présente de l'organisme en matière de sûreté;
• les besoins des parties prenantes;
• les opportunités et les besoins en termes d'amélioration continue;
• les ressources nécessaires;
• la contribution des employés;
• la contribution des sous-traitants, des parties prenantes et de tout autre personnel externe.
d) Processus
Il convient que la direction, lorsqu'elle détermine et autorise une politique de sûreté, prenne en compte les
points énumérés ci-dessous.
Il convient qu'une politique de sûreté formulée et communiquée de manière efficace soit comme suit:
1) cohérente avec la nature et l'échelle des risques de l'organisme en matière de sûreté;
L'identification des menaces ainsi que l'évaluation et le management du risque sont au cœur d'un
système efficace de management de la sûreté. Ainsi, il convient qu'ils trouvent leur place dans la politique
de sûreté de l'organisme.
Il convient que la politique de sûreté soit cohérente avec les prévisions relatives au futur de l'organisme. Il
convient qu'elle soit réaliste et qu'elle ne surestime ni ne banalise la nature des risques auxquels
l'organisme est confronté.
2) comprenne un engagement d'amélioration continue;
Les menaces sur la sûreté à l'échelle mondiale augmentent la pression qui pèse sur les organismes en
matière de diminution des risques d'incidents dans la chaîne d'approvisionnement. En plus d'assumer
leurs responsabilités légales, nationales et réglementaires, et de se conformer à d'autres réglementations
et directives émises par des organismes telle l'Organisation mondiale des douanes (OMD), il convient
que l'organisme ait pour objectif d'améliorer ses performances en matière de sûreté, mais aussi son
système de management de la sûreté, tant en termes d'efficacité que d'efficience, afin de répondre aux
besoins d'un commerce mondial en pleine évolution, d'une part, et aux besoins commerciaux et
réglementaires, d'autre part.
Il convient qu'un plan d'amélioration de la performance figure dans les objectifs relatifs à la sûreté (voir
4.3.2) et qu'il soit géré par le programme de management de la sûreté (voir 4.3.5), même si la déclaration
de la politique en matière de sûreté a une portée plus vaste en termes de champs d'action.
3) comprenne l'engagement de se conformer a minima aux réglementations en matière de sûreté
actuellement en vigueur ainsi qu'aux exigences supplémentaires auxquelles les organismes sont soumis;
ISO 28004:2007(F)
Les organismes doivent se conformer aux exigences des réglementations en vigueur en matière de
sûreté. L'organisme reconnaît publiquement, à travers son engagement en faveur de la politique de
sûreté, son devoir de se conformer, voire davantage, à toute législation ou à toute autre exigence, qu'elle
soit une obligation légale ou qu'elle ait été acceptée volontairement par l'organisme (par exemple le cadre
de normes de l'Organisation mondiale des douanes).
NOTE L'expression «autres exigences» peut signifier, par exemple, des politiques d'entreprises ou de groupes,
les normes internes propres aux organismes ou bien des spécifications ou des codes de bonne pratique auxquels les
organismes ont souscrit.
4) soit documentée, mise en œuvre et tenue à jour;
La planification et la préparation sont la clé d'une mise en œuvre efficace. Souvent, les déclarations de
politique et les objectifs en matière de sûreté sont irréalisables en raison du manque des ressources
disponibles qualifiées. Avant d'émettre une déclaration publique, il convient que l'organisme garantisse la
disponibilité du financement, des compétences et des ressources nécessaires, et s'assure que, dans ce
contexte, tous les objectifs de sûreté sont raisonnablement atteignables.
Pour être efficace, il convient que la politique de sûreté soit documentée et révisée régulièrement afin de
s'assurer de sa pertinence et de la modifier ou la réviser si nécessaire.
5) soit communiquée à tous les employés dans l'objectif de les sensibiliser à leurs obligations
individuelles en matière de sûreté;
L'implication et l'engagement des employés est une condition sine qua non à la mise en place d'une
sûreté efficace.
Les employés doivent être avertis des effets du management de la sûreté sur la qualité de leur propre
environnement de travail et il convient qu'ils soient encouragés à contribuer activement au management
de la sûreté.
Les employés (de tous les échelons, y compris la direction) ne peuvent pas contribuer efficacement au
management de la sûreté s'ils ne comprennent pas la politique de l'organisme et leurs responsabilités,
et/ou s'ils ne possèdent pas les compétences nécessaires à la réalisation des tâches qui leur sont
attribuées.
L'organisme doit donc communiquer clairement à ses employés ses politiques et ses objectifs en matière
de sûreté, afin de leur fournir un cadre leur permettant de mesurer leur propre performance en matière de
sûreté.
6) soit accessible aux parties prenantes;
Chaque individu ou groupe (interne ou externe à l'organisme), concerné ou influencé par la performance
de l'organisme en matière de sûreté, trouve un intérêt à être informé de la déclaration en matière de
politique de sûreté. Il convient donc de mettre en place un processus de communication de cette politique
aux employés. Il convient que ce processus garantisse que les parties prenantes soient informées de la
politique de sûreté lorsque cela est nécessaire.
7) soit révisée régulièrement afin de garantir qu'elle reste pertinente et adaptée à l'organisme;
Le changement est inéluctable, les réglementations et la législation évoluent, et les attentes des parties
prenantes augmentent. Par conséquent, la politique et le système de management de l'organisme en
matière de sûreté doivent être revus régulièrement afin de garantir dans la durée leur pertinence et leur
efficacité.
Si des modifications sont apportées, il convient qu'elles soient communiquées dès que possible.
8 © ISO 2007 – Tous droits réservés
ISO 28004:2007(F)
e) Élément de sortie type
Une politique de sûreté détaillée, concise, compréhensible et communiquée, si nécessaire, au sein de
l'organisme et aux parties prenantes, est un élément de sortie type.
4.3 Évaluation des risques et planification
Figure 3 — Planification
ISO 28004:2007(F)
4.3.1 Évaluation des risques de sûreté
a) Exigence de l'ISO 28000
L'organisme doit établir et maintenir des procédures d'identification et d'évaluation en continu des menaces
pesant sur la sûreté et des menaces et risques liés au management de la sûreté ainsi que d'identification et
de mise en œuvre des mesures de maîtrise nécessaire de ce management. Il convient que cette
identification, cette évaluation et ce contrôle des menaces et risques pesant sur la sûreté soient au minimum
adaptés à la nature et à l'échelle des opérations. L'évaluation doit prendre en compte la probabilité d'un tel
événement et de toutes les conséquences qu'il implique, à savoir ce qui suit:
a) les menaces et risques de défaillance physique, du type panne de fonctionnement, accident
dommageable, dommage intentionnel, action terroriste ou criminelle;
b) les menaces et risques pesant sur le fonctionnement, du type contrôle de la sûreté, facteurs humains et
autres activités qui affectent la performance de l'organisme, son état ou sa sécurité;
c) les incidents liés à l'environnement naturel (tempêtes, inondations, etc.) qui peuvent rendre inefficaces
les mesures et les matériels assurant la sûreté;
d) les facteurs échappant au contrôle de l'organisme, du type défaillances d'un équipement ou de services
fournis par l'extérieur;
e) les menaces et risques du fait de parties prenantes, du type non-respect des exigences réglementaires
ou atteinte à la réputation ou à la marque de l'organisme;
f) la conception et l'installation des équipements de sûreté, maintenance et remplacement compris;
g) le traitement de l'information et des données et communications;
h) la menace sur la continuité des opérations.
L'organisme doit garantir que les résultats de ces évaluations et les effets de ces contrôles sont pris en
compte et, le cas échéant, utilisés comme données d'entrée pour ce qui suit:
a) la fixation des objectifs et cibles du management de la sûreté;
b) l'établissement des programmes de management de la sûreté;
c) la détermination des exigences de conception, spécification et installation;
d) l'identification des ressources nécessaires, y compris des niveaux de main-d'œuvre;
e) l'identification des besoins de formation et des compétences (voir 4.4.2);
f) la mise au point des contrôles de fonctionnement (voir 4.4.6);
g) le cadre global de management des menaces et des risques dans l'organisme.
L'organisme doit répertorier et conserver les informations ci-dessus à jour.
La méthodologie d'identification et d'évaluation des menaces et des risques de l'organisme doit être comme
suit:
a) être définie en fonction de son objectif, de sa nature et de son calendrier, en vérifiant qu'elle est
proactive plutôt que réactive;
b) inclure le recueil des informations relatives aux menaces et risques pesant sur la sûreté;
10 © ISO 2007 – Tous droits réservés
ISO 28004:2007(F)
c) permettre une classification des menaces et des risques et une identification de ceux qu'il faut éviter,
éliminer ou maîtriser;
d) permettre un suivi des actions garantissant l'efficacité et l'opportunité de leur mise en œuvre (voir 4.5.1).
b) Objectif
Il convient que l'organisme évalue entièrement les risques, les menaces et les points faibles significatifs en
matière de sûreté et qui sont inhérents à son secteur d'activité, après avoir utilisé les processus
d'identification des menaces de sûreté, d'évaluation et de management du risque.
Il convient que tout le système de sûreté se fonde sur des processus d'identification des menaces,
d'évaluation et de management du risque ainsi que sur leur élément de sortie. Il est important que le lien entre
les processus d'identification des menaces, d'évaluation et de management du risque et des autres éléments
du système de management de la sûreté soit apparent et clairement établi.
L'objectif de cette directive est d'établir des principes permettant à l'organisme de déterminer si des processus
donnés d'identification des menaces, d'évaluation et de management du risque sont pertinents et suffisants.
L'objectif n'est pas d'émettre des recommandations sur la façon de mener à bien ces activités.
Il convient que les processus d'identification des menaces, d'évaluation et de management du risque
permettent à l'organisme d'identifier, d'évaluer et de contrôler ses risques de sûreté de façon continue.
Dans tous les cas, il convient de se pencher sur les cas de fonctionnements normaux et anormaux au sein de
l'organisme, ainsi que sur les situations éventuelles d'urgence.
La complexité des procédés d'identification des menaces, d'évaluation et de management du risque
dépendent fortement de facteurs tels que la taille de l'organisme, l'emplacement du lieu de travail au sein de
l'organisme, mais également la nature, la complexité et l'importance du risque en matière de sûreté. Le
paragraphe 4.3.1 de l'ISO 28000:2007 n'a pas pour objectif de forcer les petits organismes confrontés à des
risques très limités à entreprendre des exercices complexes d'identification des menaces, d'évaluation et de
management du risque.
Il convient que les processus d'identification des menaces, d'évaluation et de management du risque prennent
en compte les coûts et le temps inhérents à la réalisation de ces trois processus ainsi que l'existence de
données fiables. Les informations déjà développées dans un objectif réglementaire ou autre peuvent être
utilisées dans ces processus. L'organisme peut également prendre en compte le degré de contrôle pratique
qu'il peut exercer sur les menaces considérées. Il convient que l'organisme détermine les menaces
auxquelles il est confronté, en prenant en compte les éléments d'entrée et de sortie associés à ses activités,
processus, produits et/ou services pertinents actuels et passés.
Il convient que l'évaluation des risques soit réalisée par du personnel qualifié utilisant des méthodologies
reconnues et pouvant être documentées.
Un organisme dépourvu de système de management de la sûreté peut déterminer sa situation actuelle en
termes d'exposition à des risques de sûreté en procédant à une évaluation des risques. Il convient que
l'objectif consiste à considérer les menaces auxquelles l'organisme est soumis comme la base du système de
management de la sûreté. Il convient qu'un organisme considère l'introduction des éléments suivants (sans
s'y limiter) lors de sa revue initiale:
• les exigences législatives et réglementaires;
• l'identification des menaces pesant sur la sûreté de l'organisme;
• la recherche des informations relatives aux menaces en matière de sûreté et d'exposition aux risques,
provenant des organismes de maintien de l'ordre et de renseignements;
ISO 28004:2007(F)
• l'étude de l'intégralité des pratiques, processus et modes opératoires existants dans le domaine du
management de la sécurité;
• une évaluation du retour d'informations suite à l'analyse des incidents et des urgences précédents.
Une approche efficace de l'évaluation peut comprendre des listes de contrôle, des entretiens, une inspection
et une mesure directes, ainsi que les résultats des audits des systèmes de management précédents ou
d'autres revues, selon la nature des activités. Il convient que toutes ces activités obéissent à une
méthodologie documentée et renouvelable.
Une revue initiale est recommandée afin de créer une ligne directrice, mais elle ne remplace en aucun cas la
mise en œuvre d'une approche systématique structurée présente dans la suite de 4.3.1.
c) Éléments d'entrée types
Les éléments d'entrée types sont les suivants:
• les exigences légales en matière de sûreté et autres exigences (voir 4.3.2);
• la politique de sûreté (voir 4.2);
• les enregistrements des incidents;
• les non-conformités (voir 4.5.3);
• les résultats des audits du système de management de la sûreté (voir 4.5.5);
• les communications des employés et des autre parties prenantes (voir 4.4.3);
• les informations émanant des consultations relatives à la sûreté des employés, ainsi que des activités de
revue et d'amélioration sur le lieu de travail (ces activités peuvent aussi bien être de nature réactive que
proactive);
• les informations sur les bonnes pratiques, les risques types liés à l'organisme, les incidents et les
urgences survenus dans des organismes similaires;
• les normes du secteur;
• les avertissements du gouvernement;
• les informations sur les installations, les processus et les activités de l'organisme, dont les informations
ci-dessous:
• description des procédures de contrôle des modifications;
• le ou les plans du site;
• les manuels de procédés et les procédures opérationnelles;
• les données liées à la sûreté;
• les données de contrôle (voir 4.5.1);
12 © ISO 2007 – Tous droits réservés
ISO 28004:2007(F)
d) Processus
1) Identification des menaces de sûreté, évaluation et management du risque
i) Généralités
Il convient que les mesures prises en matière de management du risque appliquent le principe
d'élimination ou de réduction du risque pesant sur la sûreté jusqu'au niveau le plus bas, si possible, soit
en diminuant la probabilité de survenance de ce risque, soit en réduisant la gravité potentielle des
conséquences des incidents de sûreté. Les processus d'identification des menaces, d'évaluation et de
management du risque sont des outils majeurs dans le management du risque.
Les processus d'identification des menaces, d'évaluation et de management du risque varient en fonction
des secteurs, allant de simples évaluations à des analyses quantitatives complexes impliquant des
besoins croissant en documentation. Il incombe à l'organisme de planifier et de mettre en œuvre les
processus pertinents d'identification des menaces, d'évaluation et de management du risque
correspondants à ses besoins ainsi qu'à l'emplacement du lieu de travail, et de s'assurer qu'ils sont
conformes aux exigences légales en matière de sûreté.
Il convient que les processus d'identification des menaces, d'évaluation et de management du risque
soient proactifs plutôt que réactifs. En d'autres termes, il convient qu'ils précèdent l'introduction d'activités
ou de processus nouveaux ou revus. Il convient de mettre en œuvre toute mesure de contrôle et de
diminution du risque avant l'introduction des modifications.
Il convient que l'organisme conserve la méthodologie, les qualifications du personnel, la documentation et
les données qui lui sont propres ainsi que les enregistrements relatifs à la mise à jour de l'identification
des menaces, de l'évaluation et du management du risque des activités en cours. De même, il convient
de les étendre afin de prendre en compte de nouveaux développements ainsi que des activités nouvelles
ou modifiées avant leur introduction.
Il convient que les processus d'identification des menaces, d'évaluation et de management du risque ne
soient pas uniquement appliqués aux opérations «communes» de la structure et des procédures, mais
également aux opérations/procédures périodiques ou occasionnelles.
Outre les risques pesant sur la sûreté et ceux provenant des activités du personnel, il convient que
l'organisme considère les risques en matière de sûreté provenant des activités des sous-traitants et des
visiteurs ainsi que ceux liés à l'utilisation de produits et de services fournis par des organismes externes.
ii) Processus
Il convient que les processus d'identification des menaces, d'évaluation et de management du risque
soient documentés et qu'ils comprennent les éléments suivants:
• l'identification des menaces pesant sur la sûreté;
• l'évaluation des risques via des mesures de contrôle déjà installées, existantes ou disponibles (en
prenant en compte l'exposition à des menaces particulières, la probabilité d'échec des mesures de
contrôle et la gravité potentielle des conséquences d'une blessure, d'un endommagement et de la
discontinuité du fonctionnement);
• l'évaluation de la tolérance aux risques en cours et résiduels;
• l'identification de toute mesure supplémentaire de management du risque nécessaire;
• l'évaluation de l'efficacité des mesures de management du risque destinées à ramener le risque à un
niveau tolérable.
ISO 28004:2007(F)
En outre, il convient que les processus abordent les éléments suivants:
⎯ la nature, le cycle de fonctionnement, le domaine et la méthodologie correspondants à chaque forme
d'identification des menaces, d'évaluation et de management du risque destinée à être utilisée
ultérieurement;
⎯ la législation relative à la sûreté en vigueur ou toutes les autres exigences;
⎯ le rôle et l'autorité du personnel responsable de la réalisation des processus;
⎯ les exigences en matière de compétences ainsi que les besoins en formation (voir 4.4.2) du
personnel destiné à réaliser ces processus (selon la nature ou le type de processus à utiliser, le
recours à des conseils ou services externes peut être utile à l'organisme);
⎯ l'utilisation des informations provenant des informations relatives à la sûreté fournies par les activités
de revue et d'amélioration des employés (ces activités peuvent être de nature réactive comme
proactive).
iii) Actions ultérieures
À la suite de la performance des processus d'identification des menaces, d'évaluation et de management
du risque:
⎯ il convient de démontrer clairement que le respect du délai de réalisation de toute action préventive
ou corrective (voir 4.5.2) identifiée comme nécessaire a été contrôlé (cela peut requérir la réalisation
d'une identification des menaces et d'évaluations du risque plus poussées pour présenter les
modifications proposées en matière de mesures de management du risque et pour déterminer une
estimation révisée des risques résiduels);
⎯ il convient de fournir à la direction les retours d'informations relatifs aux résultats et à la clôture des
actions correctives ou préventives, lesquels constituent un élément d'entrée pour la revue de
direction (voir 4.6) et pour l'instauration d'objectifs de sûreté, qu'ils soient révisés ou nouveaux;
⎯ il convient que l'organisme soit en position de déterminer si les qualifications du personnel effectuant
des tâches spécifiques à la sûreté correspondent à celles spécifiées par le processus d'évaluation du
risque pour l'instauration du management du risque nécessaire;
⎯ il convient d'utiliser un retour d'informations sur l'expérience d'opérations ultérieures afin d'amender
les processus ou les données à partir desquelles ces processus sont fondés, le cas échéant.
2) Après l'évaluation initiale de l'identification des menaces, de l'évaluation et du management
du risque (voir également 4.6)
Il convient de revoir les processus d'identification des menaces, d'évaluation et de management du risque
à une période ou à un moment prédéterminé, tels qu'établis dans le document relatif à la politique de
sûreté, ou à un moment prédéterminé par la direction, lequel peut faire partie du processus de revue de
direction (voir 4.6). Cette période varie en fonction des considérations suivantes:
• la nature des menaces pesant sur la sûreté;
• l'amplitude du risque;
• les modifications relatives au fonctionnement normal;
14 © ISO 2007 – Tous droits réservés
ISO 28004:2007(F)
Il convient également de procéder à une revue si des modifications au sein de l'organisme remettent en
question la validité des évaluations existantes. Ces modifications sont les suivantes:
• des modifications en termes d'expansion, de diminution ou de restructuration des structures ou des
aspects de la chaîne d'approvisionnement;
• une redistribution des responsabilités;
• des modifications relatives aux méthodes de travail ou au modèle de comportement des menaces
pr
...
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28004
Первое издание
2007-10-15
Системы менеджмента безопасности
цепи поставок. Руководство по
внедрению ISO 28000
Security management systems for the supply chain – Guidelines for the
implementation of ISO 28000
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
ISO 28004:2007(R)
©
ISO 2007
ISO 28004:2007(R)
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или вывести на экран, но его нельзя изменить, пока не будет получена
лицензия на загрузку интегрированных шрифтов в компьютер, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe − торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2007
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по адресу, указанному ниже, или членов ISO в стране регистрации пребывания.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2007 – Все права сохраняются
ISO 28004:2007(R)
Содержание Страница
Предисловие . iv
Введение . v
1 Область применения . 1
2 Нормативные ссылки . 2
3 Термины и определения . 2
4 Элементы системы менеджмента безопасности . 4
4.1 Общие требования . 4
4.2 Политика в области менеджмента безопасности . 6
4.3 Оценка и планирование риска для безопасности . 10
4.4 Внедрение и работа . 22
4.5 Проверки и корректирующие действия . 37
4.6 Контроль руководства и постоянное совершенствование . 53
Приложение A (информативное) Соотношение между ISO 28000:2007, ISO 14001:2004 и
ISO 9001:2000 . 57
Библиография . 60
ISO 28004:2007(R)
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные государственные и негосударственные организации, имеющие связи с ISO,
также принимают участие в работах. Что касается стандартизации в области электротехники, то ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами, установленными в
Директивах ISO/IEC, Часть 2.
Основная задача технических комитетов заключается в подготовке международных стандартов.
Проекты международных стандартов, принятые техническими комитетами, рассылаются комитетам-
членам на голосование. Их опубликование в качестве международных стандартов требует одобрения
не менее 75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего документа могут быть объектом
патентного права. ISO не может нести ответственность за идентификацию какого-либо одного или всех
патентных прав.
ISO 28004 был подготовлен Техническим комитетом ISO/TC 8, Суда и морские технологии, в
сотрудничестве с другими техническими комитетами, ответственными за конкретные элементы цепи
поставок.
Настоящее первое издание ISO 28004 прекращает действие и замещает ISO/PAS 28004:2006, который
был технически пересмотрен.
iv © ISO 2007 – Все права сохраняются
ISO 28004:2007(R)
Введение
ISO 28000:2007, Системы менеджмента безопасности цепи поставок. Технические условия и
настоящий международный стандарт были разработаны в ответ на потребность в стандарте по
системе менеджмента цепи поставок, позволяющего организациям оценить и сертифицировать их
системы менеджмента безопасности, а также как руководство по внедрению такого стандарта.
ISO 28000 совместим со стандартами по системам менеджмента ISO 9001:2000 (менеджмент
качества) и ISO 14001:2004 (экологический менеджмент). Эти стандарты облегчают объединение
систем менеджмента качества, экологического менеджмента и менеджмента цепи поставок, если
организации ставят перед собой такую задачу.
В начале каждого раздела/подраздела настоящего международного стандарта приводится текст в
рамках, устанавливающий полные требования, взятые из международного стандарта ISO 28000, после
которого следуют соответствующие руководящие указания. Нумерация разделов настоящего
международного стандарта соответствует нумерации разделов международного стандарта ISO 28000.
Настоящий международный стандарт должен пересматриваться или в него должны вноситься
поправки, если это признано необходимым. Пересмотр настоящего документа должен проводиться при
пересмотре ISO 28000.
Настоящий международный стандарт не ставит своей целью включение всех положений контракта
между операторами цепи поставок, поставщиками и заинтересованными сторонами. Пользователи
несут ответственность за его правильное применение.
Соответствие настоящему международному стандарту само по себе не освобождает от правовых
обязательств.
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28004:2007(R)
Системы менеджмента безопасности цепи поставок.
Руководство по внедрению ISO 28000
1 Область применения
Настоящий международный стандарт содержит общие рекомендации по применению ISO 28000:2007,
Системы менеджмента безопасности цепи поставок. Технические условия.
В нем разъясняются основополагающие принципы ISO 28000 и описываются цели, типичные входные
данные, процессы и типичные результаты для каждого требования ISO 28000. Это поможет пониманию и
внедрению ISO 28000.
В настоящем документе не вводятся дополнительные требования по сравнению с требованиями,
установленными в международном стандарте ISO 28000, а также не устанавливаются обязательные
подходы к внедрению ISO 28000.
ISO 28000
1 Область применения
Настоящий международный стандарт устанавливает требования к системе менеджмента
безопасности, включая аспекты, являющиеся критическими для обеспечения безопасности цепи
поставок. Эти аспекты включают, но не ограничиваются этим, финансирование, обработку,
управление информацией, а также средства для упаковки, хранения и перемещения грузов от одного
вида транспорта к другому и от одного места положения к другому. Менеджмент безопасности связан
со многими другими аспектами управления бизнесом. Эти другие аспекты должны рассматриваться
непосредственно там и тогда, где и когда они оказывают влияние на менеджмент безопасности,
включая транспортировку этих товаров в цепи поставок.
Настоящий международный стандарт применим к организациям всех размеров, начиная от
небольших организаций и кончая многонациональными, занимающимся изготовлением,
предоставлением услуг, хранением или транспортировкой на любом этапе производства или цепи
поставок, которые хотят:
a) разработать, внедрить, поддерживать и совершенствовать систему менеджмента безопасности;
b) обеспечить соответствие проводимой политике в области менеджмента безопасности;
c) демонстрировать такое соответствие другим;
d) добиться сертификации/регистрации системы менеджмента безопасности аккредитованным
органом сертификации третьей стороны; или
e) самостоятельно определять или декларировать соответствие настоящему международному
стандарту.
Существуют законодательные и регулирующие нормы, отраженные в некоторых требованиях
настоящего международного стандарта.
Настоящий международный стандарт не требует дублирующих доказательств соответствия.
Организации, выбирающие сертификацию третьей стороной, в дальнейшем могут подтвердить, что
они внесли существенный вклад в безопасность цепи поставок.
ISO 28004:2007(R)
2 Нормативные ссылки
Нормативные ссылки отсутствуют. Данный раздел включен для сохранения нумерации разделов,
аналогичной нумерации ISO 28000.
3 Термины и определения
ISO 28000
3 Термины и определения
3.1
средства
facility
предприятие, машины, имущество, здания, транспортные средства, суда, оборудование портов и
другие объекты инфраструктуры или предприятия и связанные системы, которые выполняют
определенные и количественно оцениваемые деловые функции или услуги
ПРИМЕЧАНИЕ Данное определение включает системную программу, которая является необходимой для
достижения безопасности и применения менеджмента безопасности.
3.2
безопасность
security
противодействие умышленным несанкционированным действиям, наносящим повреждения или
ущерб цепи поставок или со стороны цепи поставок
3.3
менеджмент безопасности
security management
систематические и координированные действия и инструкции, посредством которых организация
оптимально управляет своими рисками и связанными возможными угрозами и воздействиями
3.4
цели менеджмента безопасности
security management objective
конкретные результаты или достижения, необходимые для обеспечения безопасности, для
соответствия политике в области менеджмента безопасности
ПРИМЕЧАНИЕ Важно, чтобы такие результаты были непосредственно или косвенно связаны с продукцией,
доставкой или услугами, предоставляемыми бизнесом потребителям или конечным пользователям.
3.5
политика в области обеспечения безопасности
security management police
общие намерения и направление деятельности организации, относящиеся к обеспечению безопасности, и
основа для управления процессами и действиями, связанными с обеспечением безопасности,
вытекающими из политики организации и обязательных требований и согласующихся с ними
3.6
программы менеджмента безопасности
security management programmes
средства, с помощью которых достигается цель менеджмента безопасности
3.7
задача менеджмента безопасности
security management target
конкретный уровень исполнения, необходимый для достижения цели менеджмента безопасности
2 © ISO 2007 – Все права сохраняются
ISO 28004:2007(R)
3.8
заинтересованная сторона
stakeholder
лицо или экономический субъект, имеющие законный интерес к работе, достижениям или результатам
деятельности организации
ПРИМЕЧАНИЕ Примеры включают потребителей, акционеров, финансистов, страховщиков, сотрудников
регулятивных органов, органы, учрежденные статутом, наемных сотрудников, подрядчиков, поставщиков,
трудовые организации или общества.
3.9
цепь поставок
supply chain
связанный набор ресурсов и процессов, который начинается с получения сырья и продолжается до
поставки продукции или услуг разными видами транспорта конечному потребителю
ПРИМЕЧАНИЕ Цепь поставок может включать поставщиков, производственные мощности, логистов,
внутренние центры распределения, дистрибьюторов, оптовиков и другие организации, связанные с конечным
потребителем.
3.9.1
последующие действия
downstream
относятся к действиям, процессам и перемещениям грузов в цепи поставок после того, как они
выходят из-под прямого оперативного контроля организации, включая страхование, финансирование,
управление данными, а также упаковку, хранение и транспортировку грузов, но не ограничиваясь
этим
3.9.2
предшествующие действия
upstream
относятся к действиям, процессам и перемещениям грузов в цепи поставок перед тем, как они
попадают под прямой оперативный контроль организации, включая страхование, финансирование,
управление данными, а также упаковку, хранение и транспортировку грузов, но не ограничиваясь
этим
3.10
высшее руководство
top management
лицо или группа лиц, руководящих организацией и контролирующих ее на высшем уровне
ПРИМЕЧАНИЕ Высшее руководство, особенно, крупной многонациональной организации, персонально может
не заниматься деятельностью, описанной в настоящем стандарте, но реализовывать ее через свои
распоряжения.
3.11
постоянное совершенствование
continual improvement
постоянный процесс совершенствования системы менеджмента безопасности для улучшения общих
характеристик безопасности в соответствии с политикой организации в этой области
Для целей настоящего документа используются термины и определения, установленные в ISO 28000,
а также следующие термины и определения.
3.1
риск
risk
правдоподобие реализации угрозы безопасности и её последствия
ISO 28004:2007(R)
3.2
подтверждение надежности при приеме на работу, связанную с секретностью
security cleared
процесс проверки надежности лиц для получения доступа к секретным материалам по безопасности
3.3
угроза
threat
любое возможное преднамеренное действие или серия действий с возможным нанесением ущерба
заинтересованным сторонам, средствам, операциям, цепи поставок, обществу, экономике или
непрерывности и целостности бизнеса
4 Элементы системы менеджмента безопасности
ПОСТОЯННОЕ
УСОВЕРШЕНСТВОВАНИЕ
Политика менеджмента
безопасности
Анализ менеджмента и
постоянное
совершенствование
Планирование обеспечения
безопасности
Оценка риска
Руководящие требования
Цели обеспечения безопасности
Программа менеджмента
Проверка и корректирующие
безопасности
действия
Измерение и мониторинг
Внедрение и работа
Оценка системы
Ответственность и компетенция
Несоответствия, корректирующие и
Связь
предупредительные действия
Документация
Записи
Оперативное управление
Аудит
Готовность к чрезвычайным ситуациям
Рисунок 1 – Элементы системы менеджмента безопасности
4.1 Общие требования
a) Требования ISO 28000
Организация должна разработать, документально оформить, внедрить, поддерживать и постоянно
совершенствовать эффективную систему менеджмента безопасности для идентификации угроз
безопасности, оценки рисков, а также для контроля и смягчения их последствий.
Организация должна постоянно повышать свою эффективность в соответствии с требованиями,
установленными в Разделе 4.
Организация должна определить область применения системы менеджмента безопасности. Если
организация привлекает стороннюю организацию для выполнения какого-либо процесса, влияющего
на соответствие этим требованиям, то она должна обеспечить управление такими процессами.
Необходимое управление и ответственность за такие процессы, выполняемые сторонней
организацией, должны идентифицироваться в системе менеджмента безопасности.
4 © ISO 2007 – Все права сохраняются
ISO 28004:2007(R)
b) Цель
Организация должна разработать и поддерживать систему менеджмента, соответствующую всем
требованиям документа ISO 28000. Это может помочь организации отвечать всем правилам,
требованиям и законам, касающимся обеспечения безопасности.
Уровень детализации и сложности системы менеджмента безопасности, объем документации и её
ресурсы зависят от размеров и сложности организации, а также от характера её деятельности.
Организация обладает свободой и гибкостью при определении своих границ и может внедрить
документ ISO 28000 во всей организации, или в конкретных рабочих подразделениях, или для
конкретной деятельности.
При определении границ и области применения системы менеджмента безопасности следует
принимать меры предосторожности. Организации не должны пытаться ограничить свои области
применения с тем, чтобы исключить оценку тех операций или деятельности, которые необходимы для
работы организации в полном объеме или тех, которые могут влиять на безопасность сотрудников и
других заинтересованных сторон.
Если ISO 28000 внедряется для конкретного рабочего подразделения или для конкретной
деятельности, политика и процедуры в области обеспечения безопасности, разработанные другими
подразделениями организации, могут быть использованы отдельным рабочим подразделением или
для конкретной деятельности для помощи в выполнении требований указанного документа. Это может
потребовать небольшого пересмотра политики и процедур в области обеспечения безопасности или
внесения в них поправок, для того, чтобы они могли быть применены в отдельном рабочем
подразделении или для конкретной деятельности.
c) Типичные входные данные
Все требования, предъявляемые к входным данным, установлены в ISO 28000.
d) Типичный результат
Типичным результатом является эффективно внедренная и поддерживаемая система менеджмента
безопасности, помогающая организации в постоянном поиске усовершенствований.
ISO 28004:2007(R)
4.2 Политика в области менеджмента безопасности
Рисунок 2 Политика в области менеджмента безопасности
6 © ISO 2007 – Все права сохраняются
ISO 28004:2007(R)
a) Требование ISO 28000
Высшее руководство организации должно утверждать общую политику в области менеджмента
безопасности.
Политика должна:
a) согласовываться с политикой организации в других областях;
b) создавать основу, позволяющую выполнить конкретные цели, задачи и программы в области
менеджмента безопасности;
c) согласовываться с общей организационной структурой менеджмента угроз и рисков
безопасности;
d) соответствовать угрозам для организации, а также характеру и масштабу её деятельности;
e) четко определять общие/основные цели менеджмента безопасности;
f) включать обязательство по постоянному совершенствованию менеджмента безопасности;
g) включать обязательство по обеспечению соответствия действующему законодательству,
обязательным и законным требованиям, а также другим требованиям, под которыми организация
ставит свою подпись;
h) быть одобрена высшим руководством;
i) документально оформляться, внедряться и поддерживаться
j) сообщаться всем вовлеченным сотрудникам и третьим сторонам, включая подрядчиков и
посетителей, с тем, чтобы эти лица соблюдали свои обязательства, связанные с менеджментом
безопасности;
k) быть доступной для заинтересованных сторон, если это необходимо;
l) предусматривать её пересмотр в случае приобретения других организаций, или слияния с ними,
или других изменений в сфере деятельности организации, которые могут повлиять на
целостность или соответствие системы менеджмента безопасности.
ПРИМЕЧАНИЕ Организации могут выбрать детальную политику в области менеджмента безопасности для
внутреннего пользования, которая содержит достаточную информацию и указания по управлению системой
менеджмента безопасности (части которой могут быть конфиденциальными), и имеет сводный (не
конфиденциальный) вариант, содержащий основные цели, для распространения среди заинтересованных лиц и
организаций.
b) Цель
Политика в области обеспечения безопасности является кратким изложением обязательств высшего
руководства в этой области. Она устанавливает общие направления и принципы действия для
организации. Указанная политика также устанавливает ответственность за обеспечение безопасности
и характеристики безопасности, требуемые по всей организации.
Документально оформленная политика в области обеспечения безопасности должна разрабатываться
и утверждаться высшим руководством организации.
c) Типичные входные данные
При разработке политики в области обеспечения безопасности руководство должно рассмотреть
ISO 28004:2007(R)
следующие позиции, особенно в связи с цепью поставок организации:
• политика и цели, соответствующие деятельности организации в целом;
• исторические и текущие характеристики безопасности организации;
• потребности заинтересованных сторон;
• возможности и потребности постоянного совершенствования;
• необходимые ресурсы;
• участие сотрудников;
• участие подрядчиков, заинтересованных сторон и другого персонала, не работающего в организации.
d) Процесс
При разработке и утверждении политики в области обеспечения безопасности высшее руководство
должно принимать во внимание вопросы, перечисленные ниже.
Эффективно сформулированная и представленная политика в области обеспечения безопасности
должна:
1) соответствовать характеру и масштабу рисков организации, связанных с безопасностью;
Идентификация угроз, оценка рисков и управление рисками являются основой успешно
функционирующей системы менеджмента безопасности и должны отражаться в политике
организации в области безопасности.
Политика в области безопасности должна соответствовать представлению о будущем
организации. Она должна быть реалистичной и не должна ни преувеличивать риски, с которыми
сталкивается организация, ни преуменьшать их.
2) включать обязательство постоянного совершенствования;
Глобальные угрозы безопасности увеличивают давление на организацию в отношении снижения
рисков происшествий в цепи поставок. В дополнение к необходимости соответствия правовым,
национальным и регулирующим обязательствам и другим правилам и руководству таких
организаций как например, Всемирная таможенная организация (WCO), организация должна
поставить своей целью эффективное и результативное улучшение характеристик безопасности и
совершенствование своей системы менеджмента безопасности, с тем, чтобы отвечать
потребностям меняющейся мировой торговли, бизнеса и регулирования.
Планируемое улучшение характеристик должно отражаться в целях безопасности (см. 4.3.2) и
осуществляться через программу менеджмента безопасности (см. 4.3.5), хотя положение о
политике в этой области может включать широкую сферу деятельности.
3) включать обязательство, как минимум, соответствовать текущим применимым правилам в
области безопасности, а также другим требованиям, под которыми стоит подпись организации;
Организации должны соответствовать применяемым обязательным требованиям в области
безопасности. Обязательство в отношении политики в области безопасности является публичным
подтверждением организации, что она должна соответствовать законодательству (не превышать
его) или другим требованиям, либо предписанным законом, либо принятым добровольным
подписанием, например, рамочным стандартам Всемирной таможенной организации.
ПРИМЕЧАНИЕ “Другие требования” могут означать, например, корпоративную или групповую политику,
собственные стандарты организации, или технические требования или своды инструкций, под которыми стоит
подпись организации.
8 © ISO 2007 – Все права сохраняются
ISO 28004:2007(R)
4) документально оформляться, внедряться и поддерживаться;
Планирование и подготовка являются основой для успешного внедрения. Часто положения
политики в области безопасности и цели безопасности являются нереалистичными, поскольку
существуют неадекватные и несоответствующие ресурсы для их реализации. Перед тем, как
делать какие-либо публичные заявления, организация должна гарантировать, что имеются в
наличии любые необходимые финансы, практический опыт и ресурсы и что все цели безопасности
реально достижимы в рамках этой политики.
Для того, чтобы политика в области безопасности была эффективной, она должна документально
оформляться и периодически пересматриваться в отношении продолжающейся адекватности, а в
случае необходимости исправляться и изменяться.
5) сообщаться всем сотрудникам с тем, чтобы они были осведомлены о своих персональных
обязательствах в отношении безопасности;
Участие и обязательства сотрудников являются необходимыми для успешного обеспечения
безопасности.
Сотрудники должны быть осведомлены о влиянии менеджмента безопасности на качество среды,
в которой они работают, и должны поощряться за внесение ими вклада в менеджмент
безопасности.
Маловероятно, что сотрудники (на всех уровнях, включая руководство) смогут внести
эффективный вклад в менеджмент безопасности, если они не понимают политику организации и
свои обязанности, а также не обладают соответствующей компетентностью для решения
поставленных задач.
Это требует от организации ясного доведения политики и целей безопасности до своих
сотрудников, чтобы они могли иметь основу для определения своего собственного вклада в
обеспечение безопасности.
6) быть доступной для заинтересованных сторон;
Любое лицо или группа лиц (работающих в организации или вне организации), связанных с
безопасностью организации или испытывающих ее влияние, должны быть особенно
заинтересованы в заявлении о политике организации в области безопасности. Поэтому должен
существовать процесс информирования их об этой политике. В случае необходимости такой
процесс должен обеспечивать получение заинтересованными сторонами указанной информации.
7) должна периодически пересматриваться, чтобы обеспечить сохранение ее значимости и
соответствия для организации.
Изменения неизбежны, правила и законодательство развиваются, а ожидания заинтересованных
сторон возрастают. Поэтому политика организации в области безопасности и система
менеджмента нуждаются в регулярном пересмотре для обеспечения постоянного соответствия и
эффективности.
Если вносятся изменения, то о них необходимо сообщить по возможности как можно скорее.
e) Типичный результат
Типичным результатом является всесторонняя, лаконичная и понятная политика в области
безопасности, которая сообщается во всей организации, а также, при необходимости,
заинтересованным сторонам.
ISO 28004:2007(R)
4.3 Оценка и планирование риска для безопасности
Рисунок 3 — Планирование
4.3.1 Оценка рисков для безопасности
a) Требование ISO 28000
Организация должна разработать и поддерживать процедуры постоянной идентификации и оценки
угроз безопасности и угроз и рисков, относящихся к менеджменту безопасности, а также
идентификацию и принятие необходимых мер по корректуре менеджмента. Угрозы безопасности и
идентификация рисков, методы оценки и контроля, как минимум, должны соответствовать характеру
и масштабу деятельности организации. Оценка должна рассматривать правдоподобие событий и все
их последствия, перечисляемые ниже:
a) физические угрозы и риски выхода из строя, например, функциональный отказ, случайный
ущерб, злоумышленное причинение вреда или террористические или криминальные действия;
b) угрозы и риски, возникающие в процессе деятельности, включая управление обеспечением
безопасности, человеческий фактор и другие действия, влияющие на работу, состояние и
безопасность организации;
c) естественные природные явления (шторм, наводнение и т. д.), которые могут привести к тому,
что меры по обеспечению безопасности и сохранности оборудования окажутся неэффективными;
d) факторы, не находящиеся под контролем организации, например, дефекты оборудования и
недостатки сервиса, предоставляемого внешними организациями;
e) угрозы и риски со стороны заинтересованных сторон, например, невыполнение обязательных
требований или нанесение ущерба репутации или бренду;
f) конструкцию и установку оборудования по обеспечению безопасности, включая замену,
техническое обслуживание и т. д.;
10 © ISO 2007 – Все права сохраняются
ISO 28004:2007(R)
g) управление информацией и данными, а также систему связи;
h) угрозы непрерывности операций.
Организация должна обеспечить, чтобы результаты этих оценок и воздействия этих управляющих
факторов рассматривались и при необходимости учитывались в позициях, перечисляемых ниже:
a) цели и задачи менеджмента безопасности;
b) программы менеджмента безопасности;
c) определение требований к конструкции, техническим условиям и установке;
d) идентификация соответствующих ресурсов, включая численность персонала;
e) идентификация потребностей в обучении и квалификации персонала (см. 4.4.2);
f) разработка оперативных средств управления (см. 4.4.6);
g) организационная структура менеджмента общих угроз и рисков.
Организация должна документально оформлять и постоянно обновлять информацию, указанную
выше.
Методология организации для идентификации и оценки угроз и рисков должна:
a) быть разработана в соответствии с областью ее применения, характером и распределением по
времени, чтобы обеспечить больше предупредительный, чем реагирующий характер;
b) включать сбор информации, относящейся к угрозам и рискам безопасности;
c) предусматривать классификацию угроз и рисков, а также идентификацию тех угроз и рисков,
которые можно избежать, устранить или контролировать;
d) предусматривать мониторинг действий, чтобы обеспечить эффективность и своевременность их
осуществления (см. 4.5.1).
b) Цель
Организация должна иметь полную оценку существенных рисков, угроз и слабых звеньев, связанных с
безопасностью, после использования процессов идентификации угроз, оценки рисков и управления
рисками.
Процессы идентификации угроз, оценки рисков и управления рисками, связанными с безопасностью, а
также получаемые результаты должны быть основой всей системы безопасности. Важно, чтобы связи
между этими процессами и другими элементами системы менеджмента безопасности были четко
установленными и прозрачными.
Целью настоящего руководства является разработка принципов, позволяющих организации
определить, применимы ли и достаточны ли указанные процессы идентификации угроз, оценки рисков
и управления ими. Целью не является выдача рекомендаций, как такая деятельность должна
осуществляться.
Процессы идентификации угроз безопасности, оценки рисков и управления рисками должны позволять
организации идентифицировать, оценивать риски для ее безопасности и управлять ими на постоянной
основе.
ISO 28004:2007(R)
Во всех случаях необходимо рассмотреть нормальные и ненормальные действия внутри организации
и возможные чрезвычайные ситуации.
Сложность процессов идентификации угроз безопасности, оценки рисков и управления рисками в
значительной мере зависит от таких факторов, как размеры организации, ситуация на рабочих местах
в организации, а также характер, сложность и значительность рисков для безопасности. Целью
документа ISO 28000:2007, 4.3.1 не является принуждение небольших организаций с очень
ограниченными рисками для безопасности к проведению комплексной идентификации угроз
безопасности, оценки рисков и к осуществлению управления рисками.
Процессы идентификации угроз безопасности, оценки рисков и управления рисками должны учитывать
затраты и время на выполнение этих трех процессов, а также возможность использования надежных
данных. Для этих процессов может использоваться информация, уже разработанная для
обязательных или других целей. Организация также может принимать во внимание степень
практического управления рассматриваемыми угрозами безопасности. Организация должна
определить, какие угрозы её безопасности с учетом входных и выходных данных связаны с её
текущими и прошлыми существенными: деятельностью, процессами, продукцией и/или услугами.
Оценка риска для безопасности должна производиться квалифицированным персоналом,
использующим признанные методологии, которые могут быть документально оформлены.
Организация, не имеющая системы менеджмента безопасности, может определить свое текущее
состояние в отношении рисков для безопасности путем оценки рисков. В этом случае целью должно
являться рассмотрение угроз безопасности, с которыми сталкивается организация, как основы для
разработки системы менеджмента безопасности. При проведении первичной проверки организация
должна рассмотреть следующие вопросы (но не ограничиваться ими):
• правовые и обязательные требования;
• идентификация угроз безопасности, с которыми сталкивается организация;
• получение информации по угрозам и рискам для безопасности от соответствующих органов полиции и
разведки;
• проверка всех существующих инструкций, процессов и процедур по менеджменту безопасности;
• оценка обратной связи от исследований предыдущих происшествий и чрезвычайных ситуаций.
Приемлемый подход к оценке может включать проверочные листы, интервью, прямые проверки и
измерения, результаты предыдущих аудитов системы менеджмента или другие исследования в
зависимости от характера деятельности. Все эти действия должны следовать документально
оформленной воспроизводимой методологии.
Подчеркнем, что проведение первичной проверки рекомендуется для создания базы, но не для замены
внедрения структурированного систематического подхода, представленного в остальной части 4.3.1.
c) Типичные входные данные
Типичные входные данные включают следующие вопросы:
• правовые и другие требования к безопасности (см. 4.3.2);
• политика в области безопасности (см. 4.2);
• записи происшествий;
• несоответствия (см. 4.5.3);
• результаты аудита системы менеджмента безопасности (см. 4.5.5);
12 © ISO 2007 – Все права сохраняются
ISO 28004:2007(R)
• передача информации от сотрудников и других заинтересованных сторон (см. 4.4.3);
• информация, получаемая в результате консультаций сотрудников по вопросам безопасности,
пересмотра и совершенствования деятельности на рабочих местах (эти действия по своему характеру
могут быть либо ответными, либо предупредительными);
• информация по лучшей практике, типичным рискам организации, связанным с безопасностью,
происшествиям и чрезвычайным ситуациям, имевшим место в аналогичных организациях;
• промышленные стандарты;
• предостережения правительства;
• информация по техническим средствам, процессам и деятельности организации, включая следующее:
• подробное описание процедур управления изменениями;
• ситуационные план (ситуационные планы);
• инструкции по процессам и рабочие процедуры;
• данные по безопасности;
• данные мониторинга (см. 4.5.1).
d) Процесс
1) Идентификация угроз безопасности, оценка рисков и управление рисками
i) Общие положения
Меры по управлению рисками должны отражать принцип устранения или сведения к минимуму
рисков для безопасности, если это возможно, путем уменьшения или вероятности возникновения
происшествий, или потенциальной серьезности их воздействия. Процессы идентификации угроз
безопасности, оценки рисков и управления рисками являются ключевым инструментом управления
рисками.
Процессы идентификации угроз безопасности, оценки рисков и управления рисками в зависимости
от отраслей промышленности в значительной степени меняются от простых оценок до
комплексного количественного анализа с обширной документацией. Организация должна
планировать и внедрять соответствующие процессы идентификации угроз безопасности, оценки
рисков и управления рисками, отвечающие её потребностям и ситуациям на рабочих местах и
способствующие соответствию любым правовым требованиям в области безопасности.
Процессы идентификации угроз безопасности, оценки рисков и управления рисками должны
осуществляться как предупредительные меры, а не как ответные меры, т. е. они должны
предшествовать введению новых или скорректированных действий или процедур. Любые
необходимые идентифицированные меры по снижению рисков и управлению ими должны
осуществляться перед внесением изменений.
Организация должна сохранять свою методологию, квалификацию персонала, документацию,
данные и записи, касающиеся идентификации угроз, оценки рисков и управления рисками на
современном уровне в отношении своей текущей деятельности, а также расширять их, чтобы
рассматривать новые разработки и новые или измененные виды деятельности перед их
введением.
Процессы идентификации угроз, оценки рисков и управления рисками должны применяться не
только для "нормальных" операций, оборудования и процедур, но также для периодических или
редко выполняемых операций/процедур.
ISO 28004:2007(R)
Наряду с рассмотрением рисков для безопасности и рисков, создаваемых деятельностью своего
собственного персонала, организация также должна рассматривать риски, связанные с
безопасностью, и риски, возникающие в результате деятельности подрядчиков и инспекторов, а
также в результате использования продукции или услуг, поставляемых ей другими организациями.
ii) Процессы
Процессы идентификации угроз безопасности, оценки рисков и управления рисками должны
документально оформляться и включать:
• идентификацию угроз безопасности;
• оценку рисков, связанных с существующими (или предлагаемыми) мерами контроля на месте
(принимая во внимание воздействие на конкретные угрозы безопасности, вероятность
несостоятельности мер управления и возможную серьезность последствий, связанных с
ущербом, повреждениями и непрерывностью деятельности);
• оценку допустимости текущих и остаточных рисков;
• идентификацию любых необходимых дополнительных мер по управлению рисками;
• оценку, являются ли меры по управлению рисками достаточными для снижения рисков до
допустимого уровня.
Кроме того, процессы должны рассматривать:
— характер, распределение по времени, область применения и методологию для любой формы
идентификации угроз, оценки рисков и управления рисками, которая должна использоваться;
— применяемые правовые или другие требования в области безопасности;
— роли и полномочия персонала, ответственного за выполнение процессов;
— требования к компетентности и потребности обучения (см. 4.4.2) для персонала,
выполняющего процессы (в зависимости от характера или типа используемых процессов у
организации может возникнуть необходимость в использовании сторонних советов или услуг);
— использование информации, получаемой из входных данных сотрудников, касающихся
безопасности, в результате деятельности по пересмотру и совершенствованию (эта
деятельность может носить ответный или предупредительный характер).
iii) Последующие действия
После выполнения процессов идентификации угроз безопасности, оценки рисков и управления
рисками:
— должно быть получено четкое подтверждение, что корректирующие или предупредительные
действия (см. 4.5.2), идентифицированные как необходимые, прослеживались в отношении их
своевременного выполнения (это может потребовать проведения последующей
идентификации угроз безопасности и оценки рисков, чтобы отразить предложенные
изменения в мерах по управлению рисками, и определить пересмотренные оценки остаточных
рисков);
— данные о результатах и достижениях по завершении корректирующих и предупредительных
действий должны быть представлены руководству как входные данные для проведения им
соответствующего анализа (см. 4.6) и для определения пересмотренных или новых целей;
14 © ISO 2007 – Все права сохраняются
ISO 28004:2007(R)
— организация должна быть способна определить, согласуется ли компетентность персонала,
выполняющего определенные задачи в области безопасности, с компетентностью,
определенной процессом оценки рисков, при разработке необходимого управления рисками;
— результаты последующего опыта эксплуатации должны использоваться для внесения
поправок в процессы или данные, на которых они основаны.
2) После первичного рассмотрения идентификации угроз безопасности, оценки рисков
и управления рисками (см. также 4.6)
Процесс идентификации угроз безопасности, оценки рисков и управления рисками должен
анализироваться в заранее установленное время или в заранее определенный промежуток
времени, как определено в документе по политике безопасности, или как установлено
руководством, которое может формировать часть процесса пересмотра менеджмента (см. 4.6).
Этот промежуток времени может изменяться в зависимости от следующих факторов:
• характер угроз безопасности;
• величина риска;
• отклонения от нормальной работы.
Пересмотр также должен проводиться, если изменения в организации вызывают вопросы о
корректности существующих оценок. Такие изменения могут включать:
• расширение, сокращение, реструктуризацию, изменения в средствах и элементах цепи
поставок;
• перераспределение обязанностей;
• изменения в методах работы или в характере поведения угроз безопасности со стороны
внешних источников.
e) Типичные результаты
Необходимо документально оформить процедуру (процедуры) для следующих элементов:
• идентификация угроз безопасности;
• определение рисков, связанных с идентифицированными угрозами безопасности;
• установление уровня рисков, связанных с каждой угрозой безопасности и их допустимости;
• описание мер по мониторингу и контролю рисков или ссылка на такие меры (см. 4.4.6 и 4.5.1),
особенно, в случае, если риски являются недопустимыми;
• при необходимости, цели безопасности и действия по снижению идентифицированных рисков
(см. 4.3.3), а также любые последующие действия по мониторингу достижений в области снижения
рисков;
• идентификация требований, предъявляемых к компетентности и подготовке персонала для принятия
мер по управлению (см. 4.4.2);
• необходимые подробные меры по управлению, как часть оперативного контроля системы (см. 4.4.6);
• записи по каждой из отмеченных выше процедур.
ISO 28004:2007(R)
4.3.2 Правовые, законные и другие обязательные требования, связанные с безопасностью
a) Требования ISO 28000
Организация должна разработать, внедрить и поддерживать процедуру, чтобы
a) Идентифицировать и получить доступ к применимым правовым требованиям и другим
требованиям, под которыми стоит её подпись, относящимся к угрозам и рискам её безопасности, и
b) определить, как эти требования распространяются на угрозы и риски для ее безопасности.
Организация должна постоянно обновлять эту информацию. Она должна передавать имеющую
отношение к делу информацию по правовым и другим требованиям своим сотрудникам и другим
соответствующим третьим сторонам, включая подрядчиков.
b) Цель
Организация должна знать и понимать, как на её деятельность влияют или могут влиять применяемые
правовые и другие требования, и передавать эту информацию соответствующему персоналу.
Требование 4.3.2 ISO 28000:2007 имеет целью способствовать знанию и пониманию правовых и
обязательных обязанностей. При этом от организации не требуется создание библиотек правовых или
других документов, которые редко
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...