供應(yīng)鏈安全管理體系ISO 28000簡(jiǎn)介及新舊版本差異分析 貫標(biāo)集團(tuán)

 01ISO 28000供應(yīng)鏈安全管理體系簡(jiǎn)介  ISO28000 是guojibiaozhun化組織（ISO）開發(fā)的供應(yīng)鏈安全管理體系標(biāo)準(zhǔn)，適用于任何規(guī)模和類型的涉及采購(gòu)、制造、服務(wù)、倉(cāng)儲(chǔ)、運(yùn)輸和銷售過程的企業(yè)和組織，能幫助企業(yè)改進(jìn)和優(yōu)化供應(yīng)鏈的效率、可見性和安全性，化解供應(yīng)鏈潛在的安全威脅。
ISO28000認(rèn)證是非強(qiáng)制性管理體系認(rèn)證，由第三方認(rèn)證機(jī)構(gòu)依據(jù)ISO28000供應(yīng)鏈安全管理體系對(duì)符合標(biāo)準(zhǔn)的企業(yè)頒發(fā)認(rèn)證證書。
最新版供應(yīng)鏈安全管理體系標(biāo)準(zhǔn)ISO28000:2022已發(fā)布，依據(jù)ISO28000:2007版標(biāo)準(zhǔn)的認(rèn)證企業(yè)需要在2025年3月15日之前完成轉(zhuǎn)版審核并獲得ISO28000:2022版證書。
   02為什么需要供應(yīng)鏈安全管理體系供應(yīng)鏈及其支持過程、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。
定義、實(shí)現(xiàn)、保持和改進(jìn)信息安全對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金周轉(zhuǎn)、贏利、守法和商業(yè)形象可能是至關(guān)重要的。
各組織及其供應(yīng)鏈系統(tǒng)和網(wǎng)絡(luò)面臨來(lái)自各個(gè)方面的安全威脅，包括計(jì)算機(jī)輔助欺詐、惡意破壞、毀壞行為、火災(zāi)或洪水。
例如惡意代碼、計(jì)算機(jī)黑客搗亂和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅，已經(jīng)變得更加普遍、更有野心和日益復(fù)雜。
 03ISO28000適用的行業(yè)及組織一級(jí)：道路貨物運(yùn)輸、管道運(yùn)輸、外航運(yùn)輸及內(nèi)航運(yùn)輸、內(nèi)河運(yùn)輸、定期航空運(yùn)輸及不定期航空運(yùn)輸、貨物辦理與倉(cāng)儲(chǔ)（含搬運(yùn)）、其他運(yùn)輸?shù)妮o助服務(wù)、郵政及特快件業(yè)務(wù)。
二級(jí)：旅行代理服務(wù)，援助旅行者服務(wù)、其他有關(guān)運(yùn)輸?shù)拇怼?br>  04ISO 28000認(rèn)證對(duì)企業(yè)有什么意義？ ISO 28000供應(yīng)鏈安全管理體系益處：1）強(qiáng)化海關(guān)與私人企業(yè)間之合作，以安全的國(guó)際貿(mào)易供應(yīng)鏈來(lái)促進(jìn)貨物移動(dòng)之安全。
2）提升高風(fēng)險(xiǎn)交運(yùn)貨物之偵測(cè)能力。
3）由于全球供應(yīng)鏈安全性與便捷化的標(biāo)準(zhǔn)，改善全球供應(yīng)鏈的安全性以及便捷性。
4）促進(jìn)貿(mào)易、增加各國(guó)政府稅收、并維護(hù)邊境安全。
同時(shí)，ISO 28000認(rèn)證的目的是規(guī)避和盡可能降低來(lái)自八個(gè)方面的風(fēng)險(xiǎn)：1）客觀失效的威脅與風(fēng)險(xiǎn)，如功能失效、附帶損壞、惡意傷害、恐怖分子或犯罪行為；2）作業(yè)的威脅和風(fēng)險(xiǎn)，包括安全控制、人為因素和其他影響組織績(jī)效、條件或安全性的活動(dòng)；3）自然環(huán)境事件 (風(fēng)暴、洪水等) 致使安全措施和設(shè)備失效；4）超出組織控制的因素，如外部供應(yīng)的設(shè)備和服務(wù)失效；5）相關(guān)方的威脅和風(fēng)險(xiǎn)，如未能滿足法規(guī)要求或?qū)γu(yù)、品牌的影響；6）安全設(shè)備的設(shè)計(jì)和安裝包括更新、維護(hù)保養(yǎng)等不到位；7）信息、數(shù)據(jù)管理和溝通缺失；8）對(duì)運(yùn)行持續(xù)性的某種威脅。
也就是說(shuō)，它對(duì)整個(gè)供應(yīng)鏈從安全風(fēng)險(xiǎn)到經(jīng)濟(jì)效益、從環(huán)保標(biāo)準(zhǔn)到社會(huì)責(zé)任，每個(gè)環(huán)節(jié)都做出了規(guī)范標(biāo)準(zhǔn)。
  05ISO 28000認(rèn)證相關(guān)知識(shí)點(diǎn)ISO28000供應(yīng)鏈安全管理體系認(rèn)證申請(qǐng)條件：1、國(guó)內(nèi)范圍內(nèi)依法登記注冊(cè)的企業(yè)2、近3年有主營(yíng)業(yè)務(wù)收入，處于持續(xù)經(jīng)營(yíng)狀態(tài)，非即將關(guān)、停企業(yè)3、企業(yè)無(wú)不良信用或違法違規(guī)行為記錄 ISO28000供應(yīng)鏈安全管理體系認(rèn)證申請(qǐng)流程：1、預(yù)審符合，簽訂認(rèn)證合同；2、開展認(rèn)證前輔導(dǎo)，并提交相關(guān)認(rèn)證材料；3、認(rèn)證機(jī)構(gòu)審核員進(jìn)行現(xiàn)場(chǎng)審核；4、認(rèn)證機(jī)構(gòu)審批認(rèn)證結(jié)果；5、提交認(rèn)證結(jié)果至國(guó)家認(rèn)監(jiān)委備案，并頒發(fā)認(rèn)證證書；6、后期監(jiān)督。
 ISO28000供應(yīng)鏈安全管理體系認(rèn)證材料：1.《認(rèn)證申請(qǐng)書》。
2.申請(qǐng)方法人營(yíng)業(yè)執(zhí)照復(fù)印件、組織機(jī)構(gòu)代碼復(fù)印件以及相關(guān)復(fù)印件。
3.有效的管理體系文件(質(zhì)量手冊(cè)、程序文件、及相關(guān)作業(yè)流程)。
4.組織認(rèn)證場(chǎng)所清單(兩個(gè)或者兩個(gè)以上場(chǎng)所時(shí)提供)。
5.服務(wù)過程流程圖，主要的設(shè)備清單以及檢測(cè)清單，主要的執(zhí)行標(biāo)準(zhǔn)和法規(guī)清單，對(duì)產(chǎn)品符合性產(chǎn)品外包信息等。
6.重要環(huán)境因素清單，適用的法律法規(guī)清單及環(huán)境目標(biāo)、指標(biāo)和管理方案。
7.主要危險(xiǎn)源清單，適用的法律法規(guī)清單及安全目標(biāo)、指標(biāo)和管理方案。
8.環(huán)境許可活動(dòng)的證明文件或資質(zhì)文件。
9.主要污染物，執(zhí)行的排放標(biāo)準(zhǔn)及類(級(jí))別。
10.職業(yè)健康安全管理體系所覆蓋的活動(dòng)區(qū)域示意圖。
11.申請(qǐng)認(rèn)證的產(chǎn)品簡(jiǎn)介（包括技術(shù)、產(chǎn)量、用途、質(zhì)量、銷售等方面的信息。
 ISO28000供應(yīng)鏈安全管理體系認(rèn)證費(fèi)用：ISO28000供應(yīng)鏈安全管理體系認(rèn)證費(fèi)用主要由認(rèn)證費(fèi)、服務(wù)費(fèi)、審核差旅費(fèi)三部分構(gòu)成。
認(rèn)證費(fèi)和服務(wù)費(fèi)主要由企業(yè)的實(shí)際人數(shù)、辦公場(chǎng)所數(shù)量決定。
認(rèn)證費(fèi)是交給認(rèn)證機(jī)構(gòu)和國(guó)家認(rèn)監(jiān)委的官方費(fèi)用，不同的認(rèn)證機(jī)構(gòu)，費(fèi)用會(huì)有區(qū)別。
絕大部分企業(yè)的情況，都不能完全滿足ISO28000供應(yīng)鏈安全管理體系的認(rèn)證條件，這就需要由咨詢公司去協(xié)助、輔導(dǎo)企業(yè)完善自己的管理體系，因此會(huì)有一筆服務(wù)費(fèi)產(chǎn)生。
審核差旅費(fèi)是指審核老師前往企業(yè)進(jìn)行實(shí)地考察、審核時(shí)，所產(chǎn)生的車票、住宿、餐飲等費(fèi)用，實(shí)報(bào)實(shí)銷。
     06ISO 28000 新舊版本差異分析1、系統(tǒng)更好整合章節(jié)排序組成調(diào)整為「高階結(jié)構(gòu)」：條文章節(jié)型式調(diào)整成與市場(chǎng)上普及率最高的 ISO 9001 一致的高階結(jié)構(gòu)（High Level Structure， HLS），讓企業(yè)在進(jìn)行內(nèi)部多系統(tǒng)整合的過程，可以更有效率。
※ 解析：找出通用型文件（組織權(quán)責(zé)說(shuō)明、教育訓(xùn)練、文件紀(jì)錄管理、內(nèi)部審計(jì)、管理審查、供應(yīng)商管理），將各系統(tǒng)要求執(zhí)行的事項(xiàng)寫在一起符合標(biāo)準(zhǔn)化、明確到位的精神原則。
 2、加入經(jīng)營(yíng)管理思維「組織背景分析」與「利害關(guān)系人需求期望確認(rèn)」：與日前市場(chǎng)標(biāo)準(zhǔn)系統(tǒng)建置需求最多的 ISO 9001、ISO 14001、ISO 45001 改版過程一樣，加入了「4.1 理解組織及其背景」和「4.2 了解利益相關(guān)方的需求和期望」，要求將組織的內(nèi)外部議題作為建立、實(shí)施和保持管理系統(tǒng)的出發(fā)點(diǎn); 強(qiáng)調(diào)管理系統(tǒng)與組織的內(nèi)外部環(huán)境的適用性。
※ 解析：目前管理系統(tǒng)常見的「組織背景分析」執(zhí)行紀(jì)錄，會(huì)以「SWOT 分析」、「組織經(jīng)營(yíng)計(jì)劃書」呈現(xiàn)，而「利益相關(guān)方需求期望確認(rèn)」則是采取自制表格，盤點(diǎn)完與組織營(yíng)運(yùn)有關(guān)的利害關(guān)系人后，會(huì)按照既定頻率透過適合管道搜集相關(guān)利益關(guān)系人的意見，以確認(rèn)營(yíng)運(yùn)方向是否有需要配合調(diào)整。
 3、強(qiáng)化組織風(fēng)險(xiǎn)思維引用相關(guān)標(biāo)準(zhǔn)精神：在新版條文 4.2.3 中添加了一些原則以使該標(biāo)準(zhǔn)與 ISO 31000 風(fēng)險(xiǎn)管理指南保持一致，透過有效的風(fēng)險(xiǎn)管理，加強(qiáng)公司供應(yīng)鏈安全控制能力。
※ 解析：建立 ISO 28000 的風(fēng)險(xiǎn)管理工具過程中，可參考 ISO 31000 的十一大原則和參考以下「風(fēng)險(xiǎn)管理流程」 4、風(fēng)險(xiǎn)中找出機(jī)會(huì)不僅注重風(fēng)險(xiǎn)管理，也強(qiáng)調(diào)找出提升機(jī)會(huì)：在第六章延續(xù)舊版本原本放在條文 4.3 中的風(fēng)險(xiǎn)管理思維之外，也加入針對(duì)供應(yīng)鏈安全管理機(jī)會(huì)的討論，希望企業(yè)主可以找出更多能有效提升公司在供應(yīng)鏈安全管理上改進(jìn)甚至提升的機(jī)會(huì)。
※ 解析：執(zhí)行上并沒有特定的形式，但可以先了解到風(fēng)險(xiǎn)與機(jī)會(huì)本來(lái)就是一體兩面，把那些還沒有發(fā)生但已經(jīng)有考量到的問題，提前進(jìn)行防呆或解決問題可能發(fā)生的根本原因就是找出機(jī)會(huì)的展現(xiàn)，另外也可以試著去評(píng)估「加強(qiáng)」不足之處，讓可能會(huì)產(chǎn)生供應(yīng)鏈安全管制漏洞的機(jī)會(huì)降低， 也會(huì)是組織今天討論到風(fēng)險(xiǎn)機(jī)會(huì)議題時(shí)可以去思考的方向。
 5、持續(xù)運(yùn)營(yíng)是最終目的加入持續(xù)運(yùn)營(yíng)管理精神：在新版第八章，在安全政策、程序、流程和處理（8.5）以及安全計(jì)劃（8.6）相關(guān)的內(nèi)容做了加注說(shuō)明，以確保更貼近ISO 22301營(yíng)運(yùn)持續(xù)管理系統(tǒng)這套guojibiaozhun的精神。
※ 解析：在組織未建立 BCM（營(yíng)運(yùn)持續(xù)管理系統(tǒng)）的情況下，可將現(xiàn)行的「緊急應(yīng)變計(jì)畫書」以 BCP 計(jì)劃的架構(gòu)進(jìn)行視圖、調(diào)整，以確保符合新版條文加入營(yíng)運(yùn)持續(xù)管理的精神。