标准规范下载简介
GB/T 40753-2021 供应链安全管理体系 ISO28000实施指南.pdfccs A 90 ICS03.100.01
GB/T40753—2021/ISO28004:2007
Securitymanagement systemsfor the supply chain Guidelinesforthe implementationofISO28000
DB14/T 2278-2021 检验检测机构从业人员诚信基本要求.pdf(ISO28004:2007,IDT
引言 范围 规范性引用文件 术语和定义 安全管理体系要素 附录A(资料性)ISO28000:2007与GB/T24001—2004和GB/T19001—2000之间的 对应关系
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起章规则》的规定 起章。 本文件使用翻译法等同采用了ISO28004:2007《供应链安全管理体系规范ISO28000实施指南》。 本文件做了下列最小限度的编辑性修改: 一增加部分列项引导语; 一增加资料性附录A。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口。 本文件起草单位:中国标准化研究院、南京卫岗乳业有限公司、福建你他共创网络科技有限公司、 国网山东省电力公司、中国质量认证中心、方圆标志认证集团有限公司、北京城市系统工程研究中心、 中国网络安全审查技术与认证中心。 本文件主要起草人:秦挺鑫、白元龙、叶耀华、孙世军、潘英、宋跃炜、王晶晶、张剑、魏军、韩智海、 陈伟、朱琳、谭玲。
GB/T407532021/IS028004.2007
ISO28000:2007《供应链安全管理体系规范》和本文件根据建立公认的供应链管理体系标准这一需 求制定,可用作安全管理体系评价和认证依据,也可指导此类标准的实施。 ISO28000与GB/T19001和GB/T24001管理体系标准兼容。这些标准促进了组织根据自身意 愿对质量、环境和供应链管理体系进行整合。 本文件在各条款/分条款前有一个方框,列出了ISO28000中的完整要求,随后是相关的指导。本 文件条款号与ISO28000的条款号相一致。 本文件将进行适当评审或修改。ISO28000修订时将进行评审。 本文件未包括针对供应链运营商、供应商和利益相关方之间合同的所有必要的规定。因此,使用者 宜合理采用本文件。 遵守本文件本身并不意味着免除法律义务。
本文件为ISO28000:2007《供应链安全管理体系规范》的应用提供通用性建议。 本文件解释了ISO28000中的基本原则,对ISO28000各项要求的目的、典型输人、过程和典型输 出进行了说明,旨在帮助理解和实施ISO28000。 本文件在ISO28000条款之外不再产生附加要求,也未规定实施ISO28000的强制性方法。
本国际标准规定了安全管理体系(包括对供应链安全保证至关重要的方面)的要求。这些方面包 括但不限于金融、制造、信息管理以及商品的包装、储存和在不同运输方式和地点之间的转运。安全管 理与企业管理的许多其他方面存在联系。在任何影响安全管理的期间或地点,包括在采用供应链运输 货物时,应直接考虑这些其他方面。 本文件适用于在生产或者供应链任何阶段希望达成以下目标的从制造、服务、存储或者运输的任 何规模的组织(从小型到跨国规模): a 建立、实施、维护和改进安全管理体系; b)确保符合规定的安全管理策略; c) 验证是否符合其他要求; d)寻求通过授权的第三方认证组织对其安全管理体系进行认证或注册; e)对于本国际标准的合规性做出自我决定和声明。 一些法规以及监管规范也对在本文件中某些要求进行了阐述。 本文件并非旨在要求对合规性进行重复验证。 选择第三方认证的组织可进一步证明其在促进供应链安全方面的重要努力。
本文件没有规范性引用文件。
ISO28000中的术语和定义及以下术语和定义适用于本文件。
GB/T407532021/IS028004.2007
IS028000 3术语和定义 3.1 设施facility 厂房、机械、物业、建筑、车辆、船舶、港口设施及其他具有具体可量化业务功能和服务的基础设施 项目或者厂房和相关系统。 注:该定义规定了对于实现安全和应用安全管理至关重要的任何软件代码。 3.2 安全security 针对旨在对供应链造成损坏或破坏或由供应链造成损坏或破坏的故意行为的抵抗力。 3.3 安全管理securitymanagement 组织借以对风险、相关潜在威胁及其影响进行最佳管理的系统性和协调性活动。 3.4 安全管理目标securitymanagementobjective 为满足安全管理策略而要求实现的具体安全成果或成就。 注:对于在客户或者最终用户所有业务中产品、供货或服务,上述成果与这些存在直接或间接联系。 3.5 安全管理方针securitymanagementpolicy 组织与安全以及安全相关流程和活动管理用框架相关的总体目的和方向;其中,上述流程和活动 源于并符合该组织的政策和监管要求。 3.6 安全管理计划securitymanagementprogrammes 实现安全管理目标的方式。 3.7 安全管理指标securitymanagementtarget 为实现安全管理目标所需要达到的性能水平。 3.8 利益相关方stakeholder 在组织效能、成功或活动影响方面拥有既得利益的个人或实体。 注:包括客户、股东、金融组织、保险组织、监管组织、法定组织、员工、承包商、供应商、劳工组织或者协会。 3.9 供应链supplychain 从原材料来源到通过运输途径将产品或者服务交付至终端用户的一系列资源和流程。 注:供应链可包括供应商、生产设施、物流供应商、内部集散中心、经销商、批发商及其他通向最终用户的实体。 3.9.1 下游downstream 在货物离开组织的直接运行控制后(包括但不限于保险、财务、数据管理以及货物的包装、储存和 转运)供应链中货物的操作、流程和移动情况。
3术语和定义 3.1 设施facility 厂房、机械、物业、建筑、车辆、船舶、港口设施及其他具有具体可量化业务功能和服务的基础设施 项目或者厂房和相关系统。 注:该定义规定了对于实现安全和应用安全管理至关重要的任何软件代码。 3.2 安全security 针对旨在对供应链造成损坏或破坏或由供应链造成损坏或破坏的故意行为的抵抗力。 3.3 安全管理securitymanagement 组织借以对风险、相关潜在威胁及其影响进行最佳管理的系统性和协调性活动。 3.4 安全管理目标securitymanagementobjective 为满足安全管理策略而要求实现的具体安全成果或成就。 注:对于在客户或者最终用户所有业务中产品、供货或服务,上述成果与这些存在直接或间接联系。 3.5 安全管理方针securitymanagementpolicy 组织与安全以及安全相关流程和活动管理用框架相关的总体目的和方向;其中,上述流程和活动 源于并符合该组织的政策和监管要求。 3.6 安全管理计划securitymanagementprogrammes 实现安全管理目标的方式。 3.7 安全管理指标securitymanagementtarget 为实现安全管理目标所需要达到的性能水平。 3.8 利益相关方stakeholder 在组织效能、成功或活动影响方面拥有既得利益的个人或实体。 注:包括客户、股东、金融组织、保险组织、监管组织、法定组织、员工、承包商、供应商、劳工组织或者协会。 3.9 供应链supplychain 从原材料来源到通过运输途径将产品或者服务交付至终端用户的一系列资源和流程。 注:供应链可包括供应商、生产设施、物流供应商、内部集散中心、经销商、批发商及其他通向最终用户的实体。 3.9.1 下游downstream 在货物离开组织的直接运行控制后(包括但不限于保险、财务、数据管理以及货物的包装、储存和 转运)供应链中货物的操作、流程和移动情况。
GB/T40753—2021/ISO28004:2007
3.9.2 上游upstream 在货物进入组织的直接运行控制前(包括但不限于保险、财务、数据管理以及货物的包装、储存和 转运)供应链中货物的操作、流程和移动情况。 3.10 最高管理者topmanagement 指导和控制某组织的最高层次人员或人员团体。 注:尤其在大型跨国组织,最高管理者并非如本文件所述亲自参与;同时,应明确最高管理者在行政管理体系中 的职责。 3.11 持续改进continualimprovement 为了按组织安全策略改进总体安全性能而增强安全管理体系的重复性流程。 3.1 风险risk 产生安全威胁的可能性及其后果。 3.2 安全排查securitycleared 验证接触安全敏感材料人员可信度的过程。 3.3 威胁threat 对利益相关方、设施、运行、供应链、社会、经济或业务连续性和完整性造成潜在危害的任何蓄意行 为或一系列行为。
成功安全管理的要素见图1。
图1成功安全管理的要素
GB/T407532021/1SO28004.2007
通用要求涉及以下方面。 a)ISO28000要求
组织应建立、制定、实施、维护和不断改进有效的安全管理体系,以确定安全威胁、评价风险、控制 并减轻其后果。 组织应按照第4章的要求不断提高系统的有效性。 组织应确定其安全管理体系的范围。若组织选择将影响满足这些要求的任何流程外包,则该组织 应保证这些流程处于管控下。在安全管理体系之内,应确定对这些外包流程的必要控制措施和责任。 b)目的 组织宜建立并维持符合ISO28000所有要求的管理体系。这有助于组织满足安全规范、要求和法 律的规定。 安全管理体系详细程度和复杂度、文件范围和投入的资源取决于组织的规模和复杂度及其活动的 性质。 组织有权自行灵活确定管理体系的边界和范围,可选择在整个组织内、组织具体的运行单位或活动 中实施ISO28000。 在确定管理体系的边界和范围时宜予以注意。组织不得试图通过限定其范围来规避对组织整体运 行所需的某项运行或活动,或可能对员工及其他利益相关方造成影响的那些运行或活动的评价。 当在具体的运行单位或活动中实施ISO28000时,组织其他部分制定的安全策略和程序也可用于 具体的运行单位或活动,以便满足ISO28000的要求。这就要求对这些安全策略或程序进行略微修订 或修正,以确保其适用于具体的运行单位或活动。 c)典型输人 所有输入要求均在ISO28000中作出了规定。 d)典型输出 典型输出是一个得以有效实施和保持的安全管理体系,有助于促进组织不断寻求改进
组织应建立、制定、实施、维护和不断改进有效的安全管理体系,以确定安全威胁、评价风险、控制 并减轻其后果。 组织应按照第4章的要求不断提高系统的有效性。 组织应确定其安全管理体系的范围。若组织选择将影响满足这些要求的任何流程外包,则该组织 应保证这些流程处于管控下。在安全管理体系之内,应确定对这些外包流程的必要控制措施和责任。 b)目的 组织宜建立并维持符合ISO28000所有要求的管理体系。这有助于组织满足安全规范、要求和法 律的规定。 安全管理体系详细程度和复杂度、文件范围和投入的资源取决于组织的规模和复杂度及其活动的 性质。 组织有权自行灵活确定管理体系的边界和范围,可选择在整个组织内、组织具体的运行单位或活动 中实施ISO28000。 在确定管理体系的边界和范围时宜予以注意。组织不得试图通过限定其范围来规避对组织整体运 行所需的某项运行或活动,或可能对员工及其他利益相关方造成影响的那些运行或活动的评价。 当在具体的运行单位或活动中实施ISO28000时,组织其他部分制定的安全策略和程序也可用于 具体的运行单位或活动,以便满足ISO28000的要求。这就要求对这些安全策略或程序进行略微修订 或修正,以确保其适用于具体的运行单位或活动。 c)典型输人 所有输入要求均在ISO28000中作出了规定。 d)典型输出 典型输出是一个得以有效实施和保持的安全管理体系,有助于促进组织不断寻求改进
安全管理策略涉及以下方面,与其他要素的关系
a)ISO28000要求
GB/T407532021/ISO28004:2007
组织的最高管理者应授权全面的安全管理策略。策略应符合以下要求: a) 符合其他组织策略; b) 提供能确保具体安全管理目标、指标和计划得以实现的框架; 符合组织的总体安全威胁和风险管理框架; d) 适用于对组织造成的威胁以及组织的运营性质和规模; e) 明确阐述总体/全面的安全管理目标; 包括对安全管理流程持续改进的承诺; g 包括承诺遵守当前适用法律、法规和监管要求以及组织同意的其他要求; h) 应获得最高管理者的支持。 i 应予以实施和维护,并形成文件; j 向希望获悉个人安全管理义务的相关员工和第三方(包括承包商和访客)传达; 风险承担者可以获得(视情况而定); 1 如果出现影响安全管理体系的连续性或者相关性的对其他组织的收购或兼并或改变组织经 营范围,可对其进行审查。 注:组织可选择制定详细的内部安全管理策略,以便提供充足的信息和指示,从而推动安全管理体系(部门内容 可能为机密信息),并制定包含如下信息的简述版本(非机密信息):向利益相关方及其他相关方传播的广义 目标。
GB/T407532021/IS028004.2007
4.3安全风险评估和策
险评估和策划涉及以下方面,策划与其他因素的
4.3.1安全风险评估
安全风险评估在ISO28000中的要求、目的、典型输入、过程和典型输出包括以下方面。 a)ISO28000要求
在采用安全威胁识别、风险评估和风险管理过程后,组织宜在其领域内对重大安全风险、威胁和缺 陷进行总体评价。 安全威胁识别、风险评估和风险管理过程及其输出宜作为整个安全体系的基础。在安全威胁识别、 风险评估和风险管理过程与其他安全管理体系要素之间建立清晰明确的联系非常重要。 本文件的目的在于建立原则,组织可依据这些原则确定已有的安全威胁识别、风险评估和风险管理 过程是否适用且充分。本文件的目的不在于就活动开展方式提供建议。 安全威胁识别、风险评估和风险管理过程宜使组织能够持续对安全风险进行识别、评估和控制。 在任何情况下均宜考虑组织内部正常的和异常的运行以及潜在的紧急情况。 安全威胁识别、风险评估和风险管理过程的复杂度在很大程度上取决于以下因素:组织规模、组织 内部工作场所情况以及安全风险的性质、复杂度和重要性。ISO28000:2007中4.3.1的目的并非强制 安全风险非常有限的小型组织进行复杂的安全威胁识别、风险评估和风险管理。 安全威胁识别、风险评估和风险管理过程宜考虑执行这三个过程所需的成本和时间以及可靠数据
GB/T407532021/1S028004.2007
用于其工作场所的情况,且有助其遵守所有的安全法律要求。 安全威胁识别、风险评估和风险管理过程宜作为主动措施而非被动措施实施,即宜在发生新的活动 修订程序之前实施。所有已确定的必要的风险降低和控制措施宜在发生变化前实施。 对于现有活动,组织宜对有关威胁识别、风险评估和风险管理的方法、人员资质、文件、数据和记录 行更新,并进行扩展以便在新进展和新活动或更改的活动发生前将其纳入考虑范围。 安全威胁识别、风险评估和风险管理过程宜不仅应用于“常规”的设施运行和程序,还宜应用于定期 临时运行程序。 组织不仅宜考其自身人员活动所造成的安全风险和其他风险,还宜考分包商、来访人员活动以 使用其他方提供的产品或服务造成的安全风险和其他风险。 ii)过程 安全威胁识别、风险评估和风险管理过程宜形成文件并包括以下要素: ·对安全威胁的识别; 。采用现有(或拟定的)控制措施对风险进行的评价(考愿其体安全威胁的暴露程度、控制措施失 效的可能性以及损伤、损坏和运行连续性造成的可能的严重后果); ·对当前和剩余风险可接受程度的评价; ·对所需的附加风险管理措施的识别; ·评估风险管理措施是否足以将风险降低到可接受水平。 此外,过程还宜包括以下内容: 将要采用的任何形式的安全威胁识别、风险评价和风险管理的性质、时效、范围和方法; 适用的安全法规或其他要求; 负责执行这些过程的人员的职责和权限; 过程执行人员的能力要求和培训需求(见4.4.2)(取决于所采用过程的性质或类型,组织可能 还有必要采用外部建议或服务); 一一员工安全输入数据、评审和改进活动的信息的使用(这些活动可具有主动性或被动性); 1i后续措施 在执行安全威胁识别、风险评估和风险管理过程之后: 一宜提供清晰证明,对被确定有必要采取的所有纠正或预防措施(见4.5.2)予以监视,以便按时 成(这可能要求实施进一步的安全威胁识别和风险评估,以反映拟定的对风险管理措施的变更和确定 改的残余风险的估算); 一一宜将纠正或预防措施的结果和完成的进度反馈给管理层,作为管理评审(见4.6)的输人和用于 立修订的或新的安全目标; 一一组织宜确定执行具体安全任务的人员的能力是否符合在建立必要的风险管理时风险评估过程 定的能力: 一一适用时,后续运行经验反馈宜用于修正过程或作为过程的基础的数据。 2)在完成安全威胁识别、风险评估和风险管理初步评价之后(见4.6) 宜在安全策略文件中规定的预定时间或期限内,或在管理层预定的时间内对安全威胁识别、风险评 和风险管理过程进行评审,该评审可构成管理评审过程(见4.6)的一部分。这一期限可能依据以下因 的变化而变化: ·安全威胁的性质; ·风险的严重程度; ·正常运行的变更。 当组织内部发生的变更导致对现有评估的有效性产生怀疑时,宜进行评审。此类变更包括以下 素:
GB/T40753—2021/ISO28004.2007
设施或供应链的扩增、缩减、改组和变更; · 职责的重新分配; · 外源性安全威胁工作方法或行为模式的变更。 e)典型输出 以下要素宜形成文件化程序: ·安全威胁的识别; · 已确定的安全威胁相关的风险的确定; 各类安全威胁相关的风险的等级指示,及风险是否可接受; 有关风险(尤其是不能接受的风险)监视和控制措施(见4.4.6和4.5.1)的说明或索引; 适当时,安全目标和降低已识别的风险(见4.3.3)的措施及监视风险降低过程的任何后续活动; 对实施控制措施的能力和培训要求的识别(见4.4.2); 作为体系的运行控制要素一部分的必要控制措施(4.4.6); 上述各项程序产生的记录
4.3.2法律、法规及其他安全监管要求
法律、法规及其他安全监管要求在ISO28000中的要求、目的、典型输人、过程和典型输出包括以下 方面。 a)ISO28000要求 组织应制定、实施并维护满足以下要求的程序: a)确定并使用适用的法律要求及组织采用的有关安全威胁和风险的其他要求; b)确定这些要求应用于安全威胁和风险的方式。 组织应及时更新这些信息。应向员工及其他相关第三方(承包商)传达有关法律及其他要求的相 关信息。 b)目的 组织需意识到并了解适用法律及其他要求对其活动产生的或将产生的影响以及将这些信息传达给 相关人员的方式。 IS028000:2007的4.3.2旨在提高对法律和监管职责的意识和了解。其目的不在于要求组织针对 极少参考或使用的法律或其他文件建立文件库。 c)典型输人 典型输人包括下列项目: 组织供应链的详细资料; 安全威胁识别、风险评估和风险管理结果(见4.3.1); 最佳实践(如规范、行业协会指南); 法律要求及政府、政府间、贸易协会规范、实践与法规; 信息来源清单; 国家、区域或国际标准; 组织内部要求; 利益相关方要求; 供应链动态管理过程。 d)过程 宜识别相关法规及其他要求。组织确定获取信息的最恰当方法,包括支持信息的媒介(如纸质、光 盘、磁盘或互联网)。组织还宜
典型输出包括下列项目: ·识别和获取信息并不断更新的程序; ·识别适用的要求及其适用的情况(可采用登记表的形式); 。可在组织所确定的场所获得的要求(适用情况下的真实文本、总结或分析); ·监视新安全法规下对控制措施实施情况的程序
4.3.3安全管理目标
a)ISO28000要求 组织应在内部在相关职能和层面上制定、实施和维护文件化安全管理目标。这些目标应该源于并 符合本策略。在制定并审查其安全管理目标时,组织应考虑以下间题: a)法律、法规及其他安全监管要求; b 相关的安全威胁和风险; ) 技术及其他方案; d)财务、运营和业务要求; e)风险承担者的观点。 安全管理目标应满足下列要求: a)与组织的持续改进承诺一致; b 应进行量化(若可行); C 传达给所有相关人员及第三方,包括希望获悉其自身义务的承包商; d) 定期审查,以确保与安全管理策略的相关性和一致性。必要时,应对上述目标进行相应修改。
GB/T407532021/IS028004.2007
城门1号大桥预制T梁施工组织设计4.3.4安全管理指标
组织宜制定、实施并记录适合其需要的安全管理指标。上述指标不仅宜根据安全管理目标制定, 而且宜与安全管理目标一致。 指标宜: a)细节层次适当; b)符合具体性、衡量性、可达性、相关性和时限性(若可行)原则; c) 传达给所有相关人员及第三方,包括希望获悉其自身义务的承包商; 定期审查,以确保与安全管理目标的相关性和一致性。必要时,宜对上述指标进行相应修改。
设定安全指标以在规定时间框架内实现目标。
GB/T40753—2021/ISO28004:2007
4.3.5安全管理方案
组织宜制定并实施安全管理计划,以实现其各项目标和指标。 上述计划宜在优化后予以优先考虑;同时,组织宜确保上述计划得以经济、高效地实施。 安全管理计划宜包括满足下列要求的文件: a)规定了实现各项安全管理目标和指标的职责和权力; b)规定了实现各项安全管理目标和指标的手段和时标。 宜对各项安全管理计划进行定期审查,以确保其有效,且符合各项目标和指标。必要时,宜对上 刻进行相应修改。 b)目的 安全管理方案宜与目标和指标存在直接联系。各管理方案宜说明组织如何将目标和方针承诺转 实际行动并实现安全目标和指标。方案要求就所采取的行动制定策略和计划,宜记录和沟通这一 过程。宜监视、评审和记录方案与满足所述目标的进展情况。方案的遏制和缓和策略宜基于安全 成胁和危害识别及风险评估的结果(如:影响分析、方案评估、运行经验)。 曲型检入
组织宜制定并实施安全管理计划,以实现其各项目标和指标。 上述计划宜在优化后予以优先考虑;同时预应力混凝土简支空心板桥左幅施工组织设计,组织宜确保上述计划得以经济、高效地实施。 安全管理计划宜包括满足下列要求的文件: a)规定了实现各项安全管理目标和指标的职责和权力; b)规定了实现各项安全管理目标和指标的手段和时标。 宜对各项安全管理计划进行定期审查,以确保其有效,且符合各项目标和指标。必要时 进行相应修改。
b)目的 安全管理方案宜与目标和指标存在直接联系。各管理方案宜说明组织如何将目标和方针 为实际行动并实现安全目标和指标。方案要求就所采取的行动制定策略和计划,宜记录和沟 定过程。宜监视、评审和记录方案与满足所述目标的进展情况。方案的遏制和缓和策略宜基 理威胁和危害识别及风险评估的结果(如:影响分析、方案评估、运行经验)。 c)典型输人 典型输入包括下列项目: