Wat is ISO 28000

ISO 28000, de internationale standaard die voor veiligheidsbeheersystemen voor distributieketens is ontwikkeld als antwoord op de grote vraag vanuit de industrie. Organisaties ontdekken meer een meer dat ze afhankelijk zijn van effectieve distributieketens om in de wereldwijde markt te kunnen concurreren. Recente bedreigingen en incidenten die te maken hebben distributieketen en hun niveau van beveiliging hebben aangetoond dat het cruciaal is voor organisaties om hun distributieketen te beveiligen om risico’s te voorkomen.

Organisaties van alle soorten en maten die betrokken zijn bij productie en diensten, opslag of transport in elk stadium van het product, moeten overwegen hun Supply Chain Security Management System te implementeren of te verbeteren om adequate beveiligingsmaatregelen te bepalen en te voldoen aan wettelijke vereisten. Als beveiligheidsbehoeften worden geïdentificeerd bij dit proces zouden organisaties mechanismes en processen moeten implementeren om in deze behoeftes te voorzien.

Gezien het dynamische karakter van distributieketens, kunnen sommige organisaties die meerdere distributieketens beheren, naar hun dienstverleners kijken om te voldoen aan gerelateerde overheids- of ISO-toeleveringsketenbeveiligingsnormen als voorwaarde om in die distributieketen te worden opgenomen om het beveiligingsbeheer te vereenvoudigen. Een formele benadering van beveiligingsbeheer kan rechtstreeks bijdragen aan de zakelijke mogelijkheden en geloofwaardigheid van de organisatie.

Deze internationale norm is gebaseerd op het ISO-formaat dat door ISO 14000: 2004 is aangenomen vanwege de risico gebaseerde benadering van beheersystemen. Echter, organisaties die een procesbenadering van managementsystemen hebben aangenomen (bijv. ISO 9001: 2000) kunnen hun bestaande managementsysteem mogelijk gebruiken als basis voor een beveiligingsbeheersysteem zoals voorgeschreven in deze internationale norm.

De ISO 28000: 2007 is gebaseerd op de methodologie die bekend staat als Plan-Do-Check-Act (PDCA), die als volgt kan worden beschreven:

  • Plan: stel de doelstellingen en processen vast die nodig zijn om resultaten te leveren in overeenstemming met het beveiligingsbeleid van de organisatie.
  • Doen: de processen implementeren.
  • Controleren: processen bewaken en meten aan de hand van beveiligingsbeleid, doelstellingen, doelen, wettelijke en andere vereisten, en rapporteren van resultaten.
  • Handelen: acties ondernemen om de prestaties van het beveiligingsbeheersysteem voortdurend te verbeteren.

Wat is een Supply Chain?

Een supply chain is een bijbehorend geheel van middelen en processen die beginnen met het inkopen van grondstoffen en zich uitstrekken tot de levering van producten of diensten aan de eindgebruiker via verschillende vervoerswijzen. Een toeleveringsketen kan leveranciers, productiefaciliteiten, logistieke dienstverleners, interne distributiecentra, distributeurs, groothandelaren en andere entiteiten omvatten die naar de eindgebruiker leiden.

 

 

Een overzicht van ISO 28000: 2007

ISO 28000: 2007 specificeert de vereisten voor een beveiligingsbeheersysteem, inclusief die aspecten die essentieel zijn voor de beveiliging van de toeleveringsketen. ISO 28000 is opgesteld door het technisch comité ISO / TC 8 (schepen en maritieme technologie) in samenwerking met andere relevante technische comités die verantwoordelijk zijn voor specifieke knooppunten van de toeleveringsketen. Deze eerste editie van ISO 28000 annuleert en vervangt ISO / PAS 28000: 2005, dat technisch is herzien.

ISO is van toepassing op organisaties van elke omvang, van kleine organisaties tot multinationals, in productie, service, opslag of transport in elk stadium van de productie- of supply chain die:

  1. een beveiligingsbeheersysteem opzetten, implementeren, onderhouden en verbeteren;
  2. te zorgen voor overeenstemming met het aangegeven beveiligingsbeheerbeleid;
  3. blijk geven van een dergelijke overeenstemming met anderen;
  4. certificatie / registratie van zijn beveiligingsbeheersysteem zoeken door een geaccrediteerde externe certificeringsinstantie;
  5. maak een zelfbeschikking en zelfverklaring conform ISO 28000: 2007.

Sleutel artikelen van ISO 28000: 2007

De ISO 28000 is onderverdeeld in de volgende hoofdclausules:

Artikel 4.2: Beveiligingsbeheerbeleid
Artikel 4.3: Beoordeling en planning van beveiligingsrisico’s
Artikel 4.4: Implementatie en werking
Artikel 4.5: Controle en corrigerende maatregelen
Artikel 4.6: Management review en continue verbetering

|| Artikel 4.2: Beleid voor beveiligingsbeheer

Het topmanagement moet een algemeen beleid voor beveiligingsbeheer goedkeuren dat:

  • consistent zijn met ander organisatiebeleid;
  • een kader bieden waarmee de specifieke doelstellingen, doelen en programma’s voor beveiligingsbeheer kunnen worden opgesteld;
  • consistent zijn met het algemene raamwerk voor beveiligingsdreigingen en risicobeheer van de organisatie;
  • passend zijn voor de bedreigingen van de organisatie en de aard en omvang van haar activiteiten;
  • duidelijk de algemene doelstellingen van het beveiligingsbeheer vermelden;
  • een verbintenis opnemen om het beveiligingsbeheerproces voortdurend te verbeteren;
  • een verbintenis omvatten om te voldoen aan de huidige toepasselijke wet- en regelgeving n wettelijke vereisten en aan andere vereisten waarop de organisatie zich abonneert;
  • zichtbaar worden onderschreven door het topmanagement; • gedocumenteerd, geïmplementeerd en onderhouden worden;
  • worden gecommuniceerd aan alle relevante werknemers en derden;
  • waar nodig beschikbaar zijn voor belanghebbenden;
  • en zorgen voor de herziening ervan.

 

 

Wat is een beveiligingsbeheerbeleid?

Een beveiligingsbeheerbeleid omvat algemene intenties en richting van een organisatie, gerelateerd aan de beveiliging en het raamwerk voor de controle van beveiliging gerelateerde processen en activiteiten die zijn afgeleid van en consistent met het beleid en de wettelijke vereisten van de organisatie.

|| Artikel 4.3 Beoordeling van beveiligingsrisico’s en planning

Een beveiligingsbeheerbeleid omvat algemene intenties en richting van een organisatie, gerelateerd aan de beveiliging en het raamwerk voor de controle van beveiliging gerelateerde processen en activiteiten die zijn afgeleid van en consistent met het beleid en de wettelijke vereisten van de organisatie.

Veiligheidsrisicobeoordeling – Bij deze beoordeling wordt er gekeken naar de waarschijnlijkheid van een gebeurtenis en alle gevolgen ervan, waaronder:

  • bedreigingen en risico’s van fysiek falen, zoals functioneel falen, incidentele schade, kwaadaardige schade of terroristische of criminele actie;
  • operationele bedreigingen en risico’s, waaronder het beheersen van de beveiliging, menselijke factoren en andere activiteiten die de prestaties, toestand of veiligheid van de organisatie beïnvloeden;
  • natuurlijke omgevingsgebeurtenissen (storm, overstromingen, enz.), Die beveiligingsmaatregelen en apparatuur ondoeltreffend kunnen maken;
  • factoren buiten de controle van de organisatie, zoals storingen in extern geleverde apparatuur en services;
  • bedreigingen en risico’s voor belanghebbenden, zoals het niet voldoen aan wettelijke vereisten of schade aan reputatie of merk;
  • design and installation of security equipment including replacement, maintenance, etc.
  • informatie- en gegevensbeheer en communicatie;
  • een bedreiging voor de continuïteit van de activiteiten.

Wettelijke en andere beveiligingsvoorschriften – Er moet een procedure worden opgesteld, geïmplementeerd en onderhouden om vast te stellen en toegang te hebben tot de toepasselijke wettelijke vereisten en andere vereisten die de organisatie onderschrijft met betrekking tot haar veiligheidsdreiging en -risico’s, en om te bepalen hoe deze vereisten van toepassing zijn op haar veiligheidsdreigingen en -risico’s.

Doelstellingen voor beveiligingsbeheer- Er moet een procedure worden opgesteld, geïmplementeerd en onderhouden om de doelstellingen van het beveiligingsbeheer op relevante functies en niveaus binnen de organisatie te documenteren, die in overeenstemming is met het beleid.

Doelen voor beveiligingsbeheer- Gedocumenteerde managementdoelen worden naar behoren vastgesteld, geïmplementeerd en gehandhaafd in overeenstemming met de behoeften van de organisatie, die in overeenstemming is met de doelstellingen voor beveiligingsbeheer. Deze doelstellingen zijn:

  • tot op het juiste detailniveau;
  • specifiek, meetbaar, haalbaar, relevant en op tijd gebaseerd (indien mogelijk);
  • meegedeeld aan alle relevante werknemers en derden, inclusief aannemers;
  • en periodiek herzien om ervoor te zorgen dat ze relevant en consistent blijven met de doelstellingen voor beveiligingsbeheer. Waar nodig worden de doelstellingen dienovereenkomstig gewijzigd.

Beveiligingsbeheerprogramma’s – Managementprogramma’s worden opgesteld, uitgevoerd en onderhouden om doelstellingen en streefdoelen te bereiken, die moeten worden geoptimaliseerd en vervolgens geprioriteerd.

|| Artikel 4.4 Implementatie en werking

Na de risicobeoordeling en planning van het beveiligingsbeheersysteem moet een organisatie de volgende processen overwegen voor de implementatie en werking van het beheersysteem:

Structuur, autoriteit en verantwoordelijkheden voor beveiligingsbeheer – Er moet een organisatiestructuur van rollen en verantwoordelijkheden worden uitgevoerd en gehandhaafd, in overeenstemming met de verwezenlijking van beleid, doelstellingen, streefdoelen en programma’s voor beveiligingsbeheer.

Competentie, training en bewustzijn – Personeel dat verantwoordelijk is voor het ontwerp, de werking en het beheer van beveiligingsapparatuur en -processen, moet voldoende gekwalificeerd zijn op het gebied van opleiding, training en / of ervaring.

Communicatie – Relevante informatie over het beveiligingsbeheer wordt gecommuniceerd van en naar relevante werknemers, contractanten en andere belanghebbenden.

Documentatie – Een documentatiesysteem voor beveiligingsbeheer omvat, maar is niet beperkt tot:

  • het veiligheidsbeleid, doelstellingen en doelen,
  • omvang van het beveiligingsbeheersysteem,
  • belangrijkste elementen van het beveiligingsbeheersysteem en hun interactie, en verwijzing naar gerelateerde documenten,
  • documenten, inclusief documenten, vereist door deze internationale norm, en
  • documenten, met inbegrip van door de organisatie vastgestelde documenten die de effectieve planning, werking en controle van processen garanderen die verband houden met de aanzienlijke veiligheidsdreigingen en -risico’s.

Document- en gegevensbeheer – Alle documenten, gegevens en informatie die vereist zijn voor deze internationale norm worden gecontroleerd. Noodzakelijke operaties en activiteiten worden geïdentificeerd om het volgende te bereiken:

  • het beleid inzake veiligheidsbeheer;
  • de controle over activiteiten en de beperking van bedreigingen waarvan is vastgesteld dat ze een aanzienlijk risico inhouden;
  • naleving van wettelijke, wettelijke en andere regelgevende beveiligingseisen;
  • voldoen aan de doelstellingen van beveiligingsbeheer;
  • de levering van haar beveiligingsbeheerprogramma’s;
  • en het vereiste niveau van supply chain-beveiliging.

Paraatheid, reactie en herstel van noodsituaties – De organisatie dient passende plannen en procedures vast te stellen, uit te voeren en te onderhouden om het potentieel voor en de reacties op veiligheidsincidenten en noodsituaties te identificeren, en om de waarschijnlijke gevolgen die daarmee kunnen worden geassocieerd te voorkomen en te beperken. .

 

|| Artikel 4.5 Controle en corrigerende maatregelen

Bovendien moeten na de implementatie en werking van het supply chain security managementsysteem de volgende acties worden ondernomen om mogelijke onjuistheden met betrekking tot het managementsysteem te evalueren en te corrigeren:

Meting en bewaking van beveiligingsprestaties – De prestaties van het beveiligingsbeheersysteem worden bewaakt en gemeten. Bij de vaststelling van de frequentie voor het meten en bewaken van de belangrijkste prestatieparameters moet rekening worden gehouden met bijbehorende veiligheidsdreigingen en -risico’s, inclusief mogelijke verslechteringsmechanismen en de gevolgen daarvan.

Systeemevaluatie – Plannen, procedures en mogelijkheden voor beveiligingsbeheer worden geëvalueerd door middel van periodieke beoordelingen, tests, rapporten na incidenten, geleerde lessen, prestatiebeoordelingen en oefeningen. Significante veranderingen moeten onmiddellijk tot uiting komen in de procedure(s).

Beveiliging gerelateerde storingen, incidenten, afwijkingen en corrigerende en preventieve maatregelen – Verantwoordelijkheden en autoriteiten voor het evalueren en initiëren van preventieve maatregelen, het onderzoeken van storingen / incidenten, het initiëren en voltooien van corrigerende maatregelen voor deze mislukkingen / incidenten en het bevestigen van de effectiviteit van de genomen corrigerende maatregelen moeten worden gedefinieerd.

Controle van gegevens – Gegeven worden indien nodig opgesteld en bijgehouden om aan te tonen dat ze voldoen aan de eisen van het beveiligingsbeheersysteem en van deze norm en de behaalde resultaten.

Audit – De audits van het beveiligingsbeheersysteem worden met geplande tussenpozen uitgevoerd.

|| Artikel 4.6 Managementbeoordeling en voortdurende verbetering

Het topmanagement moet het beveiligingsbeheersysteem van de organisatie met geplande tussenpozen beoordelen om de voortdurende geschiktheid, toereikendheid en effectiviteit ervan te waarborgen. Managementbeoordelingen omvatten het beoordelen van verbetermogelijkheden of wijzigingen in het beveiligingsbeheersysteem.

 

ISO 28000 en andere geïntegreerde managementsysteemnormen

De internationale ISO 28000-norm is gebaseerd op het ISO-formaat dat door ISO 14001:

De integratie van alle managementsystemen in één centraal beheerd systeem wordt gedefinieerd als een Integrated Management System (IMS) en het bevat standaarden zoals: op het ISO-formaat aangenomen door ISO 14001: 2004 vanwege het risico gebaseerde benadering van managementsystemen.

  • SCSMS (ISO 28000)
  • ISMS (ISO 27001)
  • QMS (ISO 9001, ISO 13485)
  • EMS (ISO 14001)
  • EnMS (ISO 50001)
  • OHSMS (OHSAS18001)

Andere standaarden voor beveiligingsbeheer
• ISO 31000 – Risicomanagement
• ISO 27001 – Beheer van informatiebeveiliging
• ISO 22301 – Continuïteit van de organisatie

ISO 28000 series
De ISO 28000-reeks internationale normen specificeert de vereisten voor een beveiligingsbeheersysteem om de veiligheid in de toeleveringsketen te waarborgen.

De serie bestaat uit de volgende standaarden:

  • ISO 28000:2007, Specification for security management systems for the supply chain;
  • ISO 28001:2007, Security management systems for the supply chain – Best practices for implementing supply chain security – Assessments and plans – Requirements and guidance;
  • ISO 28003:2007, Security management systems for the supply chain – Requirements for bodies providing audit and certification of supply chain security management systems;
  • ISO 28004:2007, Security management systems for the supply chain – Guidelines for the implementation of ISO 28000.

Integratie met andere managementsystemen
De algemene vereisten worden gewoonlijk in elk managementsysteem geïdentificeerd. Deze vereisten helpen bij:

  • het bepalen en toepassen van doelstellingen volgens de gewoonten en behoeften van de organisatie;
  • handhaving van de doelstellingen op basis van een sterk commitment van het management door middel van monitoring en evaluatie;
  • documenteren van relevante managementsysteemprocessen;
  • regelmatige ‘health checks’ via interne of externe audits;
  • en voordelen behalen door continue verbetering zoals behaald door een regelmatige managementbeoordeling.

ISO2HANDLE ondersteunt organisaties op dit gebied en biedt een volledig managementsysteem. Meer weten? Neem dan contact met ons op.