SIST ISO 28000:2018

INTERNATIONAL ISO
STANDARD 28000
First edition
2007-09-15
Specification for security management
systems for the supply chain
Spécifications pour les systèmes de management de la sûreté pour la
chaîne d'approvisionnement
Reference number
©
ISO 2007
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2007 – All rights reserved

Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions. 1
4 Security management system elements . 3
4.1 General requirements. 3
4.2 Security management policy . 4
4.3 Security risk assessment and planning . 4
4.4 Implementation and operation . 7
4.5 Checking and corrective action . 10
4.6 Management review and continual improvement . 12
Annex A (informative) Correspondence between ISO 28000:2007, ISO 14001:2004 and
ISO 9001:2000. 13
Bibliography . 16

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 28000 was prepared by Technical Committee ISO/TC 8, Ships and marine technology, in collaboration
with other relevant technical committees responsible for specific nodes of the supply chain.
This first edition of ISO 28000 cancels and replaces ISO/PAS 28000:2005, which has been technically revised
iv © ISO 2007 – All rights reserved

O 2 858: Ma tim Po t Fac ty Sec r ty
IS 0 ri e r ili u i
Assessments and Security Plan
I 280 : Be ract s Cu dy in
SO 01 st P ice sto
Supply Chain Security
Other specific existing standards or those
to be developed.
Introduction
This International Standard has been developed in response to demand from industry for a security
management standard. Its ultimate objective is to improve the security of supply chains. It is a high-level
management standard that enables an organization to establish an overall supply chain security management
system. It requires the organization to assess the security environment in which it operates and to determine if
adequate security measures are in place and if other regulatory requirements already exist with which the
organization complies. If security needs are identified by this process, the organization should implement
mechanisms and processes to meet these needs. Since supply chains are dynamic in nature, some
organizations managing multiple supply chains may look to their service providers to meet related
governmental or ISO supply chain security standards as a condition of being included in that supply chain in
order to simplify security management as illustrated in Figure 1.
ISO 28000:
Security
management systems
for the supply chain
Figure 1 — Relationship between ISO 28000 and other relevant standards
This International Standard is intended to apply in cases where an organization’s supply chains are required
to be managed in a secure manner. A formal approach to security management can contribute directly to the
business capability and credibility of the organization.
Compliance with an International Standard does not in itself confer immunity from legal obligations. For
organizations that so wish, compliance of the security management system with this International Standard
may be verified by an external or internal auditing process.
This International Standard is based on the ISO format adopted by ISO 14001:2004 because of its risk based
approach to management systems. However, organizations that have adopted a process approach to
management systems (e.g. ISO 9001:2000) may be able to use their existing management system as a
foundation for a security management system as prescribed in this International Standard. It is not the
intention of this International Standard to duplicate governmental requirements and standards regarding
supply chain security management to which the organization has already been certified or verified compliant.
Verification may be by an acceptable first, second, or third party organization.
NOTE This International Standard is based on the methodology known as Plan-Do-Check-Act (PDCA). PDCA can be
described as follows.
⎯ Plan: establish the objectives and processes necessary to deliver results in accordance with the organization’s
security policy.
⎯ Do: implement the processes.
⎯ Check: monitor and measure processes against security policy, objectives, targets, legal and other requirements, and
report results.
⎯ Act: take actions to continually improve performance of the security management system.

vi © ISO 2007 – All rights reserved

INTERNATIONAL STANDARD ISO 28000:2007(E)

Specification for security management systems for the supply
chain
1 Scope
This International Standard specifies the requirements for a security management system, including those
aspects critical to security assurance of the supply chain. Security management is linked to many other
aspects of business management. Aspects include all activities controlled or influenced by organizations that
impact on supply chain security. These other aspects should be considered directly, where and when they
have an impact on security management, including transporting these goods along the supply chain.
This International Standard is applicable to all sizes of organizations, from small to multinational, in
manufacturing, service, storage or transportation at any stage of the production or supply chain that wishes to:
a) establish, implement, maintain and improve a security management system;
b) assure conformance with stated security management policy;
c) demonstrate such conformance to others;
d) seek certification/registration of its security management system by an Accredited third party Certification
Body; or
e) make a self-determination and self-declaration of conformance with this International Standard.
There are legislative and regulatory codes that address some of the requirements in this International
Standard.
It is not the intention of this International Standard to require duplicative demonstration of conformance.
Organizations that choose third party certification can further demonstrate that they are contributing
significantly to supply chain security.
2 Normative references
No normative references are cited. This clause is included in order to retain clause numbering similar to other
management system standards.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
facility
plant, machinery, property, buildings, vehicles, ships, port facilities and other items of infrastructure or plant
and related systems that have a distinct and quantifiable business function or service
NOTE This definition includes any software code that is critical to the delivery of security and the application of
security management.
3.2
security
resistance to intentional, unauthorized act(s) designed to cause harm or damage to, or by, the supply chain
3.3
security management
systematic and coordinated activities and practices through which an organization optimally manages its risks,
and the associated potential threats and impacts therefrom
3.4
security management objective
specific outcome or achievement required of security in order to meet the security management policy
NOTE It is essential that such outcomes are linked either directly or indirectly to providing the products, supply or
services delivered by the total business to its customers or end users.
3.5
security management policy
overall intentions and direction of an organization, related to the security and the framework for the control of
security-related processes and activities that are derived from and consistent with the organization’s policy
and regulatory requirements
3.6
security management programmes
means by which a security management objective is achieved
3.7
security management target
specific level of performance required to achieve a security management objective
3.8
stakeholder
person or entity having a vested interest in the organization’s performance, success or the impact of its
activities
NOTE Examples include customers, shareholders, financiers, insurers, regulators, statutory bodies, employees,
contractors, suppliers, labour organizations, or society.
3.9
supply chain
linked set of resources and processes that begins with the sourcing of raw material and extends through the
delivery of products or services to the end user across the modes of transport
NOTE The supply chain may include vendors, manufacturing facilities, logistics providers, internal distribution centers,
distributors, wholesalers and other entities that lead to the end user.
3.9.1
downstream
refers to the actions, processes and movements of the cargo in the supply chain that occur after the cargo
leaves the direct operational control of the organization, including but not limited to insurance, finance, data
management, and the packing, storing and transferring of cargo
3.9.2
upstream
refers to the actions, processes and movements of the cargo in the supply chain that occur before the cargo
comes under the direct operational control of the organization, including but not limited to insurance, finance,
data management, and the packing, storing and transferring of cargo
2 © ISO 2007 – All rights reserved

3.10
top management
person or group of people who directs and controls an organization at the highest level
NOTE Top management, especially in a large multinational organization, may not be personally involved as
described in this International Standard; however top management accountability through the chain of command shall be
manifest.
3.11
continual improvement
recurring process of enhancing the security management system in order to achieve improvements in overall
security performance consistent with the organization’s security policy
4 Security management system elements

CONTINUAL
IMPROVEMENT
Security management
policy
Management review and
continual imp
...

NORME ISO
INTERNATIONALE 28000
Première édition
2007-09-15
Spécifications relatives aux systèmes
de management de la sûreté de la chaîne
d'approvisionnement
Specifications for security management systems for the supply chain

Numéro de référence
©
ISO 2007
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.

DOCUMENT PROTÉGÉ PAR COPYRIGHT

©  ISO 2007
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2008
Publié en Suisse
ii © ISO 2007 – Tous droits réservés

Sommaire Page
Avant-propos. iv
Introduction . v
1 Domaine d'application. 1
2 Références normatives . 1
3 Termes et définitions. 2
4 Éléments du système de management de la sûreté . 3
4.1 Exigences générales . 4
4.2 Politique de management de la sûreté . 4
4.3 Évaluation des risques et planification . 5
4.4 Mise en œuvre et fonctionnement . 7
4.5 Contrôle et action corrective . 10
4.6 Revue de direction et amélioration continue. 12
Annexe A (informative) Correspondance entre l’ISO 28000:2007, l’ISO 14001:2004 et
l’ISO 9001:2000. 13
Bibliographie . 16
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 28000 a été élaborée par le comité technique ISO/TC 8, Navires et technologie maritime, en
collaboration avec les autres comités techniques concernés responsables pour les nœuds spécifiques de la
chaîne d’approvisionnement.
Cette première édition de l’ISO 28000 annule et remplace l’ISO/PAS 28000:2005, qui a fait l'objet d'une
révision technique.
iv © ISO 2007 – Tous droits réservés

Introduction
La présente Norme internationale a été élaborée en réponse à une demande de l’industrie visant à disposer
d’une norme de management de la sûreté. Son objectif ultime est d’améliorer la sûreté des chaînes
d’approvisionnement. C’est une norme de management de haut niveau qui permet à un organisme de définir
un système global de management de la sûreté de sa chaîne d’approvisionnement. Il exige de l’organisme
qu’il évalue la sûreté de l’environnement dans lequel il évolue et qu’il détermine si les mesures de sécurité
adéquates sont en place et si d’autres obligations réglementaires existent déjà auxquelles l’organisme doit
souscrire. Si le processus permet d’identifier ce genre de besoins, il convient que l’organisme mette en place
des mécanismes et des processus qui les prennent en compte. Dans la mesure où les chaînes
d’approvisionnement sont de nature dynamique, pour simplifier le management de leur sûreté tel que l’illustre
la Figure 1, certains organismes qui en gèrent de multiples peuvent attendre de leurs prestataires de services
qu’ils respectent la réglementation nationale ou les normes ISO correspondantes s’ils veulent être intégrés
dans ces chaînes.
Figure 1 — Relations entre l’ISO 28000 et d’autres normes correspondantes
La présente Norme internationale est destinée à s’appliquer dans les cas où les chaînes d’approvisionnement
d’un organisme doivent être gérées d’une manière sûre. La formalisation du management de la sûreté peut
contribuer directement à la crédibilité et à l’efficacité professionnelle de l’organisme.
La conformité à une Norme internationale n’exonère pas les organismes de leurs obligations légales. Pour
ceux qui le souhaitent, il est possible de faire vérifier la conformité de leur système de management de la
sûreté à la présente Norme internationale par un processus d’audit interne ou externe.
La présente Norme internationale est bâtie sur le modèle adopté pour l’ISO 14001:2004 en raison de
l’approche système adoptée dans cette norme fondée sur une évaluation des risques. Pour les organismes
ayant en revanche adopté pour leurs systèmes de management une approche processus (comme celle de
l’ISO 9001:2000 par exemple), il est possible de se servir de leur système en vigueur comme base d’un
système de management de la sûreté du type prescrit dans la présente Norme internationale. Il n’est pas
dans les objectifs visés par la présente Norme internationale de faire doublon avec les exigences
gouvernementales ou les normes relatives au management de la sûreté des chaînes d’approvisionnement par
rapport auxquelles l’organisme a déjà été certifié ou vérifié conforme. La vérification peut être faite par une
première, une seconde ou une tierce partie.
NOTE La présente Norme internationale est bâtie sur la méthodologie dite PDCA (Plan-Do-Check-Act), qui peut être
décrite comme suit:
• Planifier (Plan): établir les objectifs et les processus nécessaires pour fournir des résultats correspondant à la
politique de sûreté de l’organisme.
• Faire (Do): mettre en œuvre les processus.
• Vérifier (Check): surveiller et mesurer les processus par rapport aux politiques, objectifs et exigences légales et
autres de sûreté et rendre compte des résultats.
• Agir (Act): entreprendre les actions pour améliorer en permanence les performances du système de
management de la sûreté.
vi © ISO 2007 – Tous droits réservés

NORME INTERNATIONALE ISO 28000:2007(F)

Spécifications relatives aux systèmes de management
de la sûreté de la chaîne d'approvisionnement
1 Domaine d'application
La présente Norme internationale prescrit les exigences applicables à un système de management de la
sûreté, y compris les aspects cruciaux pour l’assurance sûreté de la chaîne d’approvisionnement. Le
management de la sûreté est lié à beaucoup d’autres aspect de la gestion des entreprises. Ces aspects
comprennent toutes les activités contrôlées par les organismes ayant un impact sur la sûreté de la chaîne
d’approvisionnement ou sur lesquelles ils ont une influence. Il convient de prendre tous ces aspects en
considération directement, où et quand ils ont une influence sur le management de la sûreté, y compris
pendant le transport des marchandises le long de la chaîne d’approvisionnement.
La présente Norme internationale est applicable à toutes les tailles d’organismes, de la petite entreprise à
l’entreprise multinationale souhaitant, pendant la fabrication, la maintenance, le stockage ou le transport des
marchandises à quelque stade que ce soit de la chaîne de production ou d’approvisionnement:
a) définir, mettre en place, maintenir et améliorer un système de management de la sûreté;
b) s’assurer de sa conformité à la politique de sûreté qu’il a définie;
c) démontrer cette conformité à autrui;
d) faire certifier ou enregistrer son système de management de la sûreté auprès d’un organisme de
certification par tierce partie accrédité; ou
e) réaliser une autoévaluation et une autocertification de conformité à la présente Norme internationale.
Certaines exigences de la présente Norme internationale sont régies par des codes législatifs ou
réglementaires.
Il n’est pas prévu dans la présente Norme internationale d’exiger une double démonstration de conformité.
Les organismes qui choisissent la certification par tierce partie peuvent également démontrer qu’ils
contribuent grandement à la sûreté de la chaîne d’approvisionnement.
2 Références normatives
Aucune référence normative n’est donnée. Le présent article est conservé uniquement pour avoir une
numérotation similaire à celle des autres normes de systèmes de management.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.1
installation
usine, machine, bien, bâtiment, véhicule, navire, installation portuaire ou autre élément d’infrastructure,
d’usine ou de système connexe assurant une fonction ou un service distinct et quantifiable
NOTE Cette définition inclut tout code logiciel important pour la sûreté et l’application du management de cette
sûreté.
3.2
sûreté
résistance à un ou des actes intentionnels non autorisés destinés à endommager la chaîne d’approvisionnement
ou à nuire à son fonctionnement
3.3
management de la sûreté
ensemble des activités et pratiques coordonnées systématiques par lesquelles un organisme gère ses risques
et les menaces et impacts potentiels qui leur sont associés
3.4
objectif du management de la sûreté
résultat ou réalisation spécifique du système de sûreté nécessaire pour mettre en œuvre la politique de
management de la sûreté
NOTE Il est essentiel que ces résultats soient liés de façon directe ou indirecte à la fourniture des produits,
approvisionnements ou services offerts par la totalité de l’entreprise à ses clients ou utilisateurs finals.
3.5
politique de management de la sûreté
ensemble des intentions et orientations d’un organisme s’agissant de la sûreté et du cadre de contrôle des
processus et activités relatifs à la sûreté qui découlent de la politique de l’organisme et des exigences
réglementaires et sont cohérents avec ces derniers
3.6
programme de management de la sûreté
moyen permettant d’atteindre un objectif de management de la sûreté
3.7
cible de management de la sûreté
niveau spécifique de performance requis pour atteindre un objectif de management de la sûreté
3.8
partie prenante
personne physique ou morale ayant un intérêt direct à la performance, au succès ou à l’impact des activités
de l’organisme
NOTE Par exemple les clients, les actionnaires, les financiers, les assureurs, les autorités de réglementation, les
organismes institutionnels, les employés, les sous-traitants, les fournisseurs, les organisations syndicales ou la société en
général.
3.9
chaîne d’approvisionnement
ensemble lié de ressources et de processus qui commence avec l’identification de l’origine des matières
premières et qui va jusqu’à la livraison des produits ou services à l’utilisateur final en passant par les divers
modes de transport
NOTE La chaîne d’approvisionnement peut inclure les vendeurs, les fabricants, les prestataires de logistique, les
centres de distribution interne, les distributeurs, les grossistes et t
...

МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28000
Первое издание
2007-09-15
Системы менеджмента безопасности
цепи поставок. Технические условия.
Specification for security management systems for the supply chain

Ответственность за подготовку русской версии несёт GOST R

(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO 2007
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или вывести на экран, но его нельзя изменить, пока не будет получена
лицензия на загрузку интегрированных шрифтов в компьютер, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe − торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.

ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

©  ISO 2005
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по адресу, указанному ниже, или членов ISO в стране регистрации пребывания.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2007 – Все права сохраняются

Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .1
4 Элементы системы менеджмента безопасности.4
4.1 Общие требования .4
4.2 Политика в области менеджмента безопасности .4
4.3 Оценка и планирование риска для безопасности.5
4.4 Внедрение и функционирование .8
4.5 Проверки и корректирующие действия .11
4.6 Контроль руководства и постоянное совершенствование .13
Приложение А (информативное) Соотношение между ISO 28000:2007, ISO 14001:2004 и
ISO 9001:2000 .15
Библиография.18

Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные государственные и негосударственные организации, имеющие связи с ISO,
также принимают участие в работе. Что касается стандартизации в области электротехники, то ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами, установленными в
Директивах ISO/IEC, Часть 2.
Основная задача технических комитетов заключается в подготовке международных стандартов.
Проекты международных стандартов, принятые техническими комитетами, рассылаются комитетам-
членам на голосование. Их опубликование в качестве международных стандартов требует одобрения
не менее 75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего документа могут быть объектом
патентного права. ISO не может нести ответственность за идентификацию какого-либо одного или всех
патентных прав.
ISO 28000 был подготовлен Техническим комитетом ISO/TC 8, Суда и морские технологии совместно
с другими соответствующими техническими комитетами, ответственными за конкретные элементы
цепи поставок.
Настоящее первое издание ISO 28000 отменяет и замещает ISO/PAS 28000:2005, который был
технически пересмотрен.
iv © ISO 2007 – Все права сохраняются

Введение
Настоящий международный стандарт был разработан в ответ на потребность промышленности в
стандарте по менеджменту безопасности. Его конечной целью является усовершенствование
безопасности цепей поставок. Это стандарт менеджмента высокого уровня, позволяющий организации
создать полную систему менеджмента безопасности цепей поставок. В соответствии с требованиями
стандарта организация должна оценить свою рабочую среду с точки зрения обеспечения безопасности,
а также определить, являются ли меры по обеспечению безопасности, принимаемые на месте,
адекватными и существуют ли уже обязательные требования к обеспечению безопасности, которые
организация выполняет. Если потребности в обеспечении безопасности определяются этим процессом,
организация должна внедрить соответствующие механизмы и процессы. Поскольку цепи поставок по
своей природе являются динамичными, некоторые организации, координирующие множество цепей
поставок, могут следить за тем, чтобы их поставщики услуг выполняли соответствующие
государственные стандарты по безопасности цепи поставок или соответствующие стандарты ISO, как
условие включения их в цепь поставок с тем, чтобы упростить менеджмент безопасности, как показано
на Рисунке1.
Рисунок 1 – Связь между ISO 28000 и другими соответствующими стандартами

Настоящий международный стандарт предназначен для применения, если цепи поставок организации
требуют менеджмента безопасности. Формальный подход к менеджменту безопасности может
повлиять на деловые возможности организации и доверие к ней.
Соответствие международному стандарту само по себе не освобождает от правовых обязательств.
Для организаций по их желанию соответствие системы менеджмента настоящему международному
стандарту может быть проверено путем проведения внешнего или внутреннего аудита.
Настоящий международный стандарт основан на формате ISO, принятом стандартом ISO 14001:2004
из-за его подхода к системам менеджмента, основанного на анализе рисков. Однако организации,
которые приняли подход к системам менеджмента, основанный на анализе процесса, (например,
ISO 9001:2000), могут использовать свои существующие системы менеджмента как основу для
системы менеджмента безопасности, как предписано в настоящем международном стандарте. Целью
настоящего документа не является дублирование правительственных требований и стандартов,
касающихся менеджмента безопасности цепи поставок, соответствие которым организации уже было
сертифицировано или проверено. Проверка может осуществляться первой, второй или третьей
организацией.
ПРИМЕЧАНИЕ Настоящий международный стандарт основывается на методологии, известной как "Plan-DO-
Check-Act" (PDCA). PDCA можно описать следующим образом:
⎯ Планирование (Plan): разработка целей и процессов, необходимых для получения результатов в
соответствии с политикой организации в области безопасности.
⎯ Осуществление (Do): внедрение процессов.
⎯ Проверка (Check): Мониторинг и измерения процессов по отношению к политике, целям, задачам,
правовым и другим требованиям в области обеспечения безопасности и представление
результатов.
⎯ Действие (Act): действия по постоянному улучшению характеристик системы менеджмента
безопасности.
vi © ISO 2007 – Все права сохраняются

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28000:2007(R)

Системы менеджмента безопасности цепи поставок.
Технические условия
1 Область применения
Настоящий международный стандарт устанавливает требования к системе менеджмента безопасности,
включая аспекты, являющиеся критическими для обеспечения безопасности цепи поставок.
Менеджмент безопасности связан со многими другими аспектами управления бизнесом. Аспекты
включают все виды деятельности, управляемые или находящиеся под влиянием организаций, которые
влияют на безопасность цепи поставок. Эти другие аспекты должны рассматриваться непосредственно
там и тогда, где и когда они оказывают влияние на менеджмент безопасности, включая
транспортировку этих товаров в цепи поставок.
Настоящий международный стандарт применим к организациям всех размеров, начиная от небольших
и кончая многонациональными, занимающимся изготовлением, предоставлением услуг, хранением
или транспортировкой на любом этапе производства или цепи поставок, которые хотят:
a) разработать, внедрить, поддерживать и совершенствовать систему менеджмента безопасности;
b) обеспечить соответствие проводимой политике в области менеджмента безопасности;
c) демонстрировать такое соответствие другим;
d) добиться сертификации/регистрации системы менеджмента безопасности аккредитованным
органом сертификации третьей стороны; или
e) самостоятельно определять или декларировать соответствие настоящему международному
стандарту.
Существуют законодательные и регулирующие нормы, отраженные в некоторых требованиях
настоящего международного стандарта.
Настоящий международный стандарт не требует дублирующих доказательств соответствия.
Организации, выбирающие сертификацию третьей стороной, в дальнейшем могут подтвердить, что
они внесли существенный вклад в безопасность цепи поставок.
2 Нормативные ссылки
Нормативные ссылки отсутствуют. Данный раздел включен для сохранения нумерации разделов,
аналогичной нумерации других стандартов для системы менеджмента.
3 Термины и определения
В настоящем документе используются следующие термины и определения.
3.1
средства
facility
предприятие, машины, имущество, здания, транспортные средства, суда, оборудование портов и
другие объекты инфраструктуры или предприятия и связанные системы, которые выполняют
определенные и количественно оцениваемые деловые функции или услуги
ПРИМЕЧАНИЕ Данное определение включает системную программу, которая является необходимой для
достижения безопасности и применения менеджмента безопасности.
3.2
безопасность
security
противодействие умышленным несанкционированным действиям, наносящим повреждения или ущерб
цепи поставок или со стороны цепи поставок
3.3
менеджмент безопасности
security management
систематические и координированные действия и инструкции, посредством которых организация
оптимально управляет своими рисками и связанными возможными угрозами и воздействиями
3.4
цели менеджмента безопасности
security management objective
конкретные результаты или достижения, необходимые для обеспечения безопасности, для
соответствия политике в области менеджмента безопасности
ПРИМЕЧАНИЕ Важно, чтобы такие результаты были непосредственно или косвенно связаны с продукцией,
доставкой или услугами, предоставляемыми бизнесом потребителям и конечным пользователям.
3.5
политика в области обеспечения безопасности
security management policy
общие намерения и направление деятельности организации, относящиеся к обеспечению безопасности, и
основа для управления процессами и действиями, связанными с обеспечением безопасности, которые
вытекают из политики организации и обязательных требований и согласуются с ними
3.6
программы менеджмента безопасности
security management programmes
средства, с помощью которых достигается цель менеджмента безопасности
3.7
задача менеджмента безопасности
security management target
конкретный уровень исполнения, необходимый для достижения цели менеджмента безопасности
3.8
заинтересованная сторона
stakeholder
лицо или экономический субъект, имеющие законный интерес к работе, достижениям или результатам
деятельности организации
ПРИМЕЧАНИЕ Примеры включают потребителей, акционеров, финансистов, страховщиков, сотрудников
регулятивных органов, органы, учрежденные статутом, наемных сотрудников, подрядчиков, поставщиков,
трудовые организации или общества.
2 © ISO 2007 – Все права сохраняются

3.9
цепь поставок
supply chain
связанный набор ресурсов и процессов, который начинается с получения сырья и продолжается до
поставки продукции или услуг разными видами транспорта конечному потребителю
ПРИМЕЧАНИЕ Цепь поставок может включать поставщиков, производственные мощности, логистов,
внутренние центры распределения, дистрибьюторов, оптовиков и другие организации, связанные с конечным
потребителем
3.9.1
последующие действия
downstream
относятся к действиям, процессам и перемещениям грузов в цепи поставок после того, как они
выходят из-под прямого оперативного контроля организации, включая страхование, финансирование,
управление данными, а также упаковку, хранение и транспортировку
...