ISO 28001:2007
(Main)Security management systems for the supply chain — Best practices for implementing supply chain security, assessments and plans — Requirements and guidance
Security management systems for the supply chain — Best practices for implementing supply chain security, assessments and plans — Requirements and guidance
ISO 28001:2007 provides requirements and guidance for organizations in international supply chains to develop and implement supply chain security processes; establish and document a minimum level of security within a supply chain(s) or segment of a supply chain; assist in meeting the applicable authorized economic operator (AEO) criteria set forth in the World Customs Organization Framework of Standards and conforming national supply chain security programmes. In addition, ISO 28001:2007 establishes certain documentation requirements that would permit verification. Users of ISO 28001:2007 will define the portion of an international supply chain within which they have established security; conduct security assessments on that portion of the supply chain and develop adequate countermeasures; develop and implement a supply chain security plan; train security personnel in their security related duties.
Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Meilleures pratiques pour la mise en application de la sûreté de la chaîne d'approvisionnement, évaluations et plans — Exigences et guidage
General Information
Relations
Related Packages
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 28001
First edition
2007-10-15
Security management systems for the
supply chain — Best practices for
implementing supply chain security,
assessments and plans — Requirements
and guidance
Systèmes de management de la sûreté pour la chaîne
d'approvisionnement — Meilleures pratiques pour la mise en application
de la sûreté de la chaîne d'approvisionnement, évaluations et plans —
Exigences et guidage
Reference number
©
ISO 2007
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2007 – All rights reserved
Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions. 2
4 Field of application . 5
4.1 Statement of application . 5
4.2 Business partners. 5
4.3 Internationally accepted certificates or approvals. 5
4.4 Business partners exempt from security declaration requirement. 6
4.5 Security reviews of business partners. 6
5 Supply chain security process. 6
5.1 General. 6
5.2 Identification of the scope of security assessment . 6
5.3 Conduction of the security assessment. 7
5.4 Development of the supply chain security plan . 8
5.5 Execution of the supply chain security plan .8
5.6 Documentation and monitoring of the supply chain security process. 8
5.7 Actions required after a security incident. 8
5.8 Protection of the security information. 9
Annex A (informative) Supply chain security process . 10
A.1 General. 10
A.2 Identification of the scope of the security assessment. 10
A.3 Conduction of the security assessment.11
A.4 Development of the security plan . 15
A.5 Execution of the security plan. 17
A.6 Documentation and monitoring of the security process. 17
A.7 Continual improvement. 17
Annex B (informative) Methodology for security risk assessment and development of
countermeasures. 18
B.1 General. 18
B.2 Step one – Consideration of the security threat scenarios. 20
B.3 Step two – Classification of consequences. 22
B.4 Step three – Classification of likelihood of security incidents . 23
B.5 Step four – Security incident scoring. 24
B.6 Step five – Development of countermeasures. 24
B.7 Step six – Implementation of countermeasures. 25
B.8 Step seven – Evaluation of countermeasures . 25
B.9 Step eight – Repetition of the process . 25
B.10 Continuation of the process . 25
Annex C (informative) Guidance for obtaining advice and certification . 26
C.1 General. 26
C.2 Demonstrating conformance with ISO 28001 by audit . 26
C.3 Certification of ISO 28001 by third party certification bodies. 26
Bibliography . 27
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 28001 was prepared by Technical Committee ISO/TC 8, Ships and marine technology, in collaboration
with other relevant technical committees responsible for specific nodes of the supply chain.
This first edition of ISO 28001 cancels and replaces ISO/PAS 28001:2006, which has been technically revised.
iv © ISO 2007 – All rights reserved
Introduction
Security incidents against international supply chains are threats to international trade and the economic
growth of trading nations. People, goods, infrastructure and equipment — including means of transport —
need to be protected against security incidents and their potentially devastating effects. Such protection
benefits the economy and society as a whole.
International supply chains are highly dynamic and consist of many entities and business partners. This
International Standard recognizes this complexity. It has been developed to allow an individual organization in
the supply chain to apply its requirements in conformance with the organization’s particular business model
and its role and function in the international supply chain.
This International Standard provides an option for organizations to establish and document reasonable levels
of security within international supply chains and their components. It will enable such organizations to make
better risk-based decisions concerning the security in those international supply chains.
This International Standard is multimodal and is intended to be in concert with and to complement the World
Customs Organization’s Framework of Standards to secure and facilitate global trade (Framework). It does
not attempt to cover, replace or supersede individual customs agencies’ supply chain security programmes
and their certification and validation requirements.
The use of this International Standard will help an organization to establish adequate levels of security within
those part(s) of an international supply chain which it controls. It is also a basis for determining or validating
the level of existing security within such organizations’ supply chain(s) by internal or external auditors or by
those government agencies that choose to use compliance with this International Standard as the baseline for
acceptance into their supply chain security programmes. Customers, business partners, government agencies
and others might request organizations which claim compliance with this International Standard to undergo an
audit or a validation to confirm such compliance. Government agencies might find it mutually agreeable to
accept validations conducted by other governments’ agencies. If a third-party organization audit is to be
conducted, then the organization needs to consider employing a third-party certification body accredited by a
competent body, which is a member of the International Accreditation Forum (see Annex C).
It is not the intention of this International Standard to duplicate governmental requirements and standards
regarding supply chain security in compliance with the WCO SAFE Framework. Organizations that have
already been certified or validated by mutually recognizing governments are compliant with this International
Standard.
Outputs resulting from this International Standard will be the following.
⎯ A Statement of Coverage that defines the boundaries of the supply chain that is covered by the security
plan.
⎯ A Security Assessment that documents the vulnerabilities of the supply chain to defined security threat
scenarios. It also describes the impacts that can reasonably be expected from each of the potential
security threat scenarios.
⎯ A Security Plan that describes security measures in place to manage the security threat scenarios
identified by the Security assessment.
⎯ A training programme setting out how security personnel will be trained to meet their assigned security
related duties.
To undertake the security assessment needed to produce the security plan, an organization using this
International Standard will
⎯ identify the threats posed (security threat scenarios);
⎯ determine how likely persons could progress each of the security threat scenarios identified by the
Security Assessment into a security incident.
This determination is made by reviewing the current state of security in the supply chain. Based on the
findings of that review, professional judgment is used to identify how vulnerable the supply chain is to each
security threat scenario.
If the supply chain is considered unacceptably vulnerable to a security threat scenario, the organization will
develop additional procedures or operational changes to lower likelihood, consequence or both. These are
called countermeasures. Based upon a system of priorities, countermeasures need to be incorporated into the
security plan to reduce the threat to an acceptable level.
Annexes A and B are illustrative examples of risk ma
...
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28001
Первое издание
2007-10-15
Системы менеджмента безопасности
цепи поставок. Наилучшие методы
обеспечения безопасности в цепи
поставок, оценки и планы. Требования
и руководящие указания
Security management systems for the supply chain – Best practices for
implementing supply chain security, assessments and plans –
Requirements and guidance
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO 2007
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или вывести на экран, но его нельзя изменить, пока не будет получена
лицензия на загрузку интегрированных шрифтов в компьютер, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe − торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2007
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по адресу, указанному ниже, или членов ISO в стране регистрации пребывания.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2007 – Все права сохраняются
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .2
4 Область применения .6
4.1 Заявление о применении .6
4.2 Партнеры по бизнесу.6
4.3 Международные сертификаты одобрения.7
4.4 Партнеры по бизнесу, освобождаемые от декларации безопасности.7
4.5 Проверки системы безопасности партнеров по бизнесу.7
5 Процесс обеспечения безопасности цепи поставок .7
5.1 Общие положения .7
5.2 Определение области оценки безопасности .8
5.3 Проведение оценки безопасности .8
5.4 Разработка плана обеспечения безопасности цепи поставок .9
5.5 Выполнение плана обеспечения безопасности цепи поставок.9
5.6 Документация и мониторинг процесса безопасности цепи поставок .9
5.7 Действия, необходимые после происшествий с нарушением безопасности.10
5.8 Защита секретной информации.10
Приложение А (информативное) Процесс обеспечения безопасности цепи поставок .12
A.1 Общие положения .12
A.2 Определение области применения оценки безопасности .13
A.3 Проведение оценки безопасности .13
A.4 Разработка плана обеспечения безопасности .17
A.5 Выполнение плана обеспечения безопасности.19
A.6 Документация и мониторинг процесса обеспечения безопасности .19
A.7 Постоянное совершенствование .19
Приложение B (информативное) Методология для оценки риска для безопасности, и
разработки контрмер .20
B.1 Общие положения .20
B.2 Шаг первый – Рассмотрение сценариев угроз.21
B.3 Шаг второй – Классификация последствий.24
B.4 Шаг третий – Классификация вероятности происшествий, связанных нарушением
безопасности.25
B.5 Шаг четвертый – Градация происшествий, связанных с недостаточным
обеспечением безопасности.26
B.6 Шаг пятый – Разработка контрмер.26
B.7 Шаг шестой – Осуществление контрмер.27
B.8 Шаг седьмой – Оценка контрмер.27
B.9 Шаг восьмой – Повторение процесса .27
B.10 Продолжение процесса .27
Приложение C (информативное) Руководство по получению консультаций и сертификации .28
C.1 Общие положения .28
C.2 Подтверждение соответствия стандарту ISO 28001 путем проведения аудита.28
C.3 Сертификация на ISO 28001 органами сертификации третьей стороны.28
Библиография.29
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные государственные и негосударственные организации, имеющие связи с ISO,
также принимают участие в работах. Что касается стандартизации в области электротехники, то ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами, установленными в
Директивах ISO/IEC, Часть 2.
Основная задача технических комитетов заключается в подготовке международных стандартов.
Проекты международных стандартов, принятые техническими комитетами, рассылаются комитетам-
членам на голосование. Их опубликование в качестве международных стандартов требует одобрения
не менее 75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего документа могут быть объектом
патентного права. ISO не может нести ответственность за идентификацию какого-либо одного или всех
патентных прав.
ISO 28001 был подготовлен Техническим комитетом ISO/TC 8, Суда и морские технологии, в
сотрудничестве с другими техническими комитетами, ответственными за специфические элементы
безопасности цепи поставок.
Первое издание ISO 28001 отменяет и заменяет ISO/PAS 28001, который был технически пересмотрен.
iv © ISO 2007 – Все права сохраняются
Введение
Происшествия, связанные с недостаточным обеспечением безопасности в международных цепях
поставок, представляют угрозу международной торговле и экономическому росту стран,
занимающихся торговлей. Люди, товары, инфраструктура и оборудование, включая транспортные
средства, нуждаются в защите от происшествий связанных с безопасностью и их разрушительного
воздействия. Такая защита приносит пользу экономике и обществу в целом.
Международные цепи поставок являются весьма динамичными и включают множество организаций и
партнеров по бизнесу. Настоящий международный стандарт учитывает эту сложность. Он позволяет
отдельным организациям, работающим в цепи поставок, устанавливать свои требования в
соответствии с конкретной бизнес моделью организации и её ролью и функцией в международной
цепи поставок.
Настоящий международный стандарт позволяет организациям определить и документально оформить
приемлемые уровни безопасности международных цепей поставок и их компонентов. Они дают
возможность таким организациям на основе анализа рисков принимать более аргументированные
решения по обеспечению безопасности в рассматриваемых международных цепях поставок.
Настоящий международный стандарт является комбинированным и предназначается для того, чтобы
совместно с рамочными стандартами Всемирной таможенной организации (WCO) и в дополнение к
ним обеспечить безопасность всемирной торговли и облегчить её. Он не стремится заменить или
отменить программы обеспечения безопасности цепей поставок отдельных агентств и их требования к
сертификации и валидации.
Настоящий международный стандарт поможет организациям в определении адекватных уровней
безопасности той части (тех частей) международной цепи поставок, которой (которыми) они управляют.
Он также является основой для определения или валидации уровня существующей безопасности в
такой цепи (цепях) поставок организации внутренними или внешними аудиторами или теми
правительственными агентствами, которые выбраны для проверки соответствия этому документу, как
основание для приема в их программы обеспечения безопасности цепи поставок. Клиенты, партнеры
по бизнесу, правительственные агентства и другие органы могут попросить организации, которые
объявили о соответствии настоящему международному стандарту, провести аудит или валидацию для
подтверждения такого соответствия. Правительственные агентства могут придти к взаимному
соглашению о признании валидаций, проведенных другими правительственными агентствами. Если
аудит организации проводится третьей стороной, то организация должна рассмотреть возможность
привлечения органа сертификации третьей стороны, аккредитованного компетентным органом,
который является членом Международного форума аккредитования (IAF) (см. Приложение С).
Целью настоящего международного стандарта не является дублирование правительственных
требований и стандартов, касающихся обеспечения безопасности цепи поставок в соответствии с
рамочными стандартами WCO. Организации, которые уже были сертифицированы или валидированы
взаимно признаваемыми правительствами, считаются соответствующими настоящему стандарту.
Результаты, полученные в настоящем документе, являются следующими.
Объявление области действия, определяющей границы цепи поставок, охватываемые планом
обеспечения безопасности.
Оценка безопасности, которая документально обосновывает уязвимость цепи поставок для
определения планов обеспечения безопасности, а также описывает последствия каждой из
возможных сценариев угроз.
План обеспечения безопасности, который приводит меры по обеспечению безопасности,
предпринимаемые на месте, по борьбе с угрозами безопасности, идентифицированными при
проведении оценки безопасности.
Программа обучения, устанавливающая, как персонал службы безопасности должен обучаться, чтобы
успешно выполнять свои обязанности.
Для оценки безопасности, необходимой для разработки плана обеспечения безопасности, организация,
использующая настоящий международный стандарт должна
– идентифицировать возможные угрозы (сценарии угроз безопасности);
– определить, может ли персонал реагировать должным образом на сценарии угроз , установленных
в результате оценки безопасности.
Такое определение производится путем анализа текущего состояния безопасности в цепи поставок.
Основываясь на данных, полученных в результате проведения такого анализа, выносится
профессиональное суждение о том, в какой мере цепь поставок остается уязвимой при реализации
каждого плана дейст
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.