Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports)

ISO 28004-3:2014 has been developed to supplement ISO 28004-1 by providing additional guidance to medium and small businesses (other than marine ports) that wish to adopt ISO 28000. The additional guidance in ISO 28004-3:2014, while amplifying the general guidance provided in the main body of ISO 28004-1, does not conflict with the general guidance, nor does it amend ISO 28000.

Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Lignes directrices pour la mise en application de l'ISO 28000 — Partie 3: Lignes directrices spécifiques supplémentaires concernant la mise en oeuvre de l'ISO 28000 pour l'utilisation dans les petites et moyennes affaires (autres que les ports marins)

General Information

Status
Published
Publication Date
03-Feb-2014
Current Stage
9060 - Close of review
Start Date
02-Dec-2029
Ref Project

Relations

Buy Standard

Standard
ISO 28004-3:2014 - Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports) Released:2/4/2014
English language
15 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 28004-3:2014 - Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000
English language
15 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 28004-3:2014
Russian language
18 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 28004-3:2014 - Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports) Released:7/1/2016
Russian language
15 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


INTERNATIONAL ISO
STANDARD 28004-3
First edition
2014-02-01
Security management systems for
the supply chain — Guidelines for the
implementation of ISO 28000 —
Part 3:
Additional specific guidance for
adopting ISO 28000 for use by
medium and small businesses (other
than marine ports)
Systèmes de management de la sûreté pour la chaîne
d’approvisionnement — Lignes directrices pour la mise en application
de l’ISO 28000 —
Partie 3: Lignes directrices spécifiques supplémentaires concernant
la mise en oeuvre de l’ISO 28000 pour l’utilisation dans les petites et
moyennes affaires (autres que les ports marins)
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Additional guidance . 1
4 Documentation .13
5 Guidance for small and medium-sized businesses obtaining advice and certification .13
5.1 General .13
5.2 Demonstrating conformance with ISO 28000 by audit .13
5.3 Certification of ISO 28000 by third party certification bodies .14
Bibliography .15
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 8, Ships and marine technology.
This first edition of ISO 28004-3 cancels and replaces ISO/PAS 28004-3:2012.
ISO 28004 consists of the following parts, under the general title Security management systems for the
supply chain — Guidelines for the implementation of ISO 28000:
— Part 1: General principles
— Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
— Part 3: Additional specific guidance·for·adopting ISO 28000 for use by medium and small business
(other than marine ports)
— Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a
management objective
iv © ISO 2014 – All rights reserved

Introduction
ISO 28000:2007 and the guidance contained in ISO 28004, have been developed in response to the need
for a recognizable supply chain management system evaluation criteria (validation process) against
which their security management systems can be assessed and certified for determining conformance
with ISO 28000 and ISO 28004. The guidance currently contained in ISO 28004 is designed to assist
organizations adopting ISO 28000. Because the types of organizations that can use ISO 28000 are vast,
the guidance provided in ISO 28004 is general in nature. As a result, some smaller organizations have
had difficulty in defining the scope of measures needed to address each of the requirements established
in ISO 28000. Therefore, the purpose of this part of ISO 28004 is to provide guidance and amplifying
information that can be used by medium and small businesses (other than marine ports) to assist
them in defining the scope of validation and verification measures needed to comply with the security
provisions specified in ISO 28000 and ISO 28004.
ISO 28000 requires that stakeholder organizations evaluate the capabilities of their security protection
management plans and procedures through periodic reviews, testing, post-incident reports, and training
exercises to measure the effectiveness of their installed security protection systems and methods. It is
critical to the overall continued end-to-end safety of the supply chain that stakeholder organizations
ensure the transportation industry that they have sufficient safeguards in place to protect the integrity
of the supply chain while those goods are under their direct control. The failure by one of the stakeholder
organizations to protect the supply chain from any one of the global threats and operational risks can
severely impact the integrity of the system and erode the confidence of those who depend on the secure
transportation of their valuable goods.
Medium and small businesses stakeholder organizations are an integral part of the supply transportation
system and will be required to conduct these performance capabilities reviews and verify to the
transportation industry that they are in conformance with relevant legislation and regulations, industry
best practices and conformance with its own security policy and objectives based on the identified
threats and risks to their operations. The information contained in this part of ISO 28004 provides
guidance and criteria for evaluating the quality of medium and small businesses (other than marine
ports) security management plans developed in accordance with ISO 28000 to protect the integrity of
the supply chain. The amplifying information is designed to enhance, but not alter, the general guidance
currently specified in ISO 28004. No alterations to ISO 28004, other than the addition of supplements,
are made.
INTERNATIONAL STANDARD ISO 28004-3:2014(E)
Security management systems for the supply chain —
Guidelines for the implementation of ISO 28000 —
Part 3:
Additional specific guidance for adopting ISO 28000 for
use by medium and small businesses (other than marine
ports)
1 Scope
This part of ISO 28004 has been developed to supplement ISO 28004-1 by providing additional guidance
to medium and small businesses (other than marine ports) that wish to adopt ISO 28000. The additional
guidance in this part of ISO 28004, while amplifying the general guidance provided in the main body of
ISO 28004-1, does not conflict with the general guidance, nor does it amend ISO 28000.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 28000:2007, Specification for security management systems for the supply chain
ISO 28004-1:2007, Security management systems for the supply chain — Guidelines for the implementation
of ISO 28000 — Part 1: General principles
3 Additional guidance
ISO 28000 is designed to be adopted by any size organization interested in better securing their supply
chain or services they provide to supply chain operators. The main body of ISO 28004 is designed to
provide guidance to organizations of any size that wish to adopt ISO 28000. Because ISO 28004 is
designed to provide guidance to a wide size range of organizations it may appear more complex than is
needed by a smaller sized organization. The purpose of this part of ISO 28004 is to simplify the guidance
for use by smaller sized organization. Entities using this part of ISO 28004 for guidance should refer to
the main body of ISO 28004 when more information on specific issues is needed than is provided in this
part of ISO 28004. The guidance provided in this part of ISO 28004 does not amend ISO 28000 or the
main body of ISO 28004. Where specific methodologies are discussed in this part of ISO 28004 they are
provided for illustrative purposes (to explain what needs to be accomplished) and other methodologies
could be substituted.
Organizations adopting ISO 28000 will need to:
— specify what their objectives are in regard to providing supply chain security;
— assess the current state of supply chain security;
— develop plans that will include existing supply chain processes and procedures, and any additional
processes/procedures or systems that have been identified as necessary to meet the stated supply
chain security objectives;
— train personnel as to their duties and responsibilities as defined in the supply chain security plan;
— install/maintain any systems or equipment specified in the supply chain security plan;
— begin execution of the supply chain security plan;
— monitor performance of the supply chain security plan execution;
— periodically reassess the state of supply chain security to detect changes in conditions including
new threats;
— periodically test the organization’s plans (exercises) and investigate any supply chain security
incidents;
— update objectives, plans, and personnel training based on input from performance monitoring,
reassessments, exercises, or investigations.
Users of ISO 28004 that have not previously worked with management standards will note the use of
the words ‘intent’, ‘input’, and ‘output’ that are used in regard to each requirement discussed in this
part of ISO 28004. Intent is used as the title of the clause that explains what the organization needs to
accomplish. Input is used as the title of the clause that explains what needs to be analysed or considered.
Output is used as the title of the clause that explains what the organization’s objectives are or what
actions will be taken in regard to that specific requirement.
Step 1 - Preparatory work
Prior to beginning the process of adopting ISO 28000 an organization may wish to consider whether they
wish to include all or specific parts of their organization within the supply chain security management
system (within the scope of application). The organization is not limited in what it should consider in
making this decision, however, it may wish to consider some of the following in making this decision:
— Its corporate objectives.
— Customer needs or expectations.
— Government interests, if the management system is being adopted to address a government policy
or program.
— Its familiarity or lack of familiarity with ISO management systems.
Within the planned scope of application, the security management system should be extended to all areas
and functions related to the supply chain. To help identify what areas and functions may be involved the
organization may consider but not be limited to the following.
— Where goods are being manufactured, processed or handled prior to being loaded in a transport
unit, palletized, or otherwise prepared for shipment.
— Where goods prepared for shipment are stored or consolidated prior to transportation.
— Where goods are being transported.
— Where goods are loaded into or unloaded from a conveyance.
— Where custody of the goods changes hands.
— Where documentation or information pertaining to goods being shipped is handled, generated or
accessible.
— Transportation routes and means of conveyance used b
...


INTERNATIONAL ISO
STANDARD 28004-3
First edition
2014-02-01
Security management systems for
the supply chain — Guidelines for the
implementation of ISO 28000 —
Part 3:
Additional specific guidance for
adopting ISO 28000 for use by
medium and small businesses (other
than marine ports)
Systèmes de management de la sûreté pour la chaîne
d’approvisionnement — Lignes directrices pour la mise en application
de l’ISO 28000 —
Partie 3: Lignes directrices spécifiques supplémentaires concernant
la mise en oeuvre de l’ISO 28000 pour l’utilisation dans les petites et
moyennes affaires (autres que les ports marins)
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Additional guidance . 1
4 Documentation .13
5 Guidance for small and medium-sized businesses obtaining advice and certification .13
5.1 General .13
5.2 Demonstrating conformance with ISO 28000 by audit .13
5.3 Certification of ISO 28000 by third party certification bodies .14
Bibliography .15
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 8, Ships and marine technology.
This first edition of ISO 28004-3 cancels and replaces ISO/PAS 28004-3:2012.
ISO 28004 consists of the following parts, under the general title Security management systems for the
supply chain — Guidelines for the implementation of ISO 28000:
— Part 1: General principles
— Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
— Part 3: Additional specific guidance·for·adopting ISO 28000 for use by medium and small business
(other than marine ports)
— Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a
management objective
iv © ISO 2014 – All rights reserved

Introduction
ISO 28000:2007 and the guidance contained in ISO 28004, have been developed in response to the need
for a recognizable supply chain management system evaluation criteria (validation process) against
which their security management systems can be assessed and certified for determining conformance
with ISO 28000 and ISO 28004. The guidance currently contained in ISO 28004 is designed to assist
organizations adopting ISO 28000. Because the types of organizations that can use ISO 28000 are vast,
the guidance provided in ISO 28004 is general in nature. As a result, some smaller organizations have
had difficulty in defining the scope of measures needed to address each of the requirements established
in ISO 28000. Therefore, the purpose of this part of ISO 28004 is to provide guidance and amplifying
information that can be used by medium and small businesses (other than marine ports) to assist
them in defining the scope of validation and verification measures needed to comply with the security
provisions specified in ISO 28000 and ISO 28004.
ISO 28000 requires that stakeholder organizations evaluate the capabilities of their security protection
management plans and procedures through periodic reviews, testing, post-incident reports, and training
exercises to measure the effectiveness of their installed security protection systems and methods. It is
critical to the overall continued end-to-end safety of the supply chain that stakeholder organizations
ensure the transportation industry that they have sufficient safeguards in place to protect the integrity
of the supply chain while those goods are under their direct control. The failure by one of the stakeholder
organizations to protect the supply chain from any one of the global threats and operational risks can
severely impact the integrity of the system and erode the confidence of those who depend on the secure
transportation of their valuable goods.
Medium and small businesses stakeholder organizations are an integral part of the supply transportation
system and will be required to conduct these performance capabilities reviews and verify to the
transportation industry that they are in conformance with relevant legislation and regulations, industry
best practices and conformance with its own security policy and objectives based on the identified
threats and risks to their operations. The information contained in this part of ISO 28004 provides
guidance and criteria for evaluating the quality of medium and small businesses (other than marine
ports) security management plans developed in accordance with ISO 28000 to protect the integrity of
the supply chain. The amplifying information is designed to enhance, but not alter, the general guidance
currently specified in ISO 28004. No alterations to ISO 28004, other than the addition of supplements,
are made.
INTERNATIONAL STANDARD ISO 28004-3:2014(E)
Security management systems for the supply chain —
Guidelines for the implementation of ISO 28000 —
Part 3:
Additional specific guidance for adopting ISO 28000 for
use by medium and small businesses (other than marine
ports)
1 Scope
This part of ISO 28004 has been developed to supplement ISO 28004-1 by providing additional guidance
to medium and small businesses (other than marine ports) that wish to adopt ISO 28000. The additional
guidance in this part of ISO 28004, while amplifying the general guidance provided in the main body of
ISO 28004-1, does not conflict with the general guidance, nor does it amend ISO 28000.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 28000:2007, Specification for security management systems for the supply chain
ISO 28004-1:2007, Security management systems for the supply chain — Guidelines for the implementation
of ISO 28000 — Part 1: General principles
3 Additional guidance
ISO 28000 is designed to be adopted by any size organization interested in better securing their supply
chain or services they provide to supply chain operators. The main body of ISO 28004 is designed to
provide guidance to organizations of any size that wish to adopt ISO 28000. Because ISO 28004 is
designed to provide guidance to a wide size range of organizations it may appear more complex than is
needed by a smaller sized organization. The purpose of this part of ISO 28004 is to simplify the guidance
for use by smaller sized organization. Entities using this part of ISO 28004 for guidance should refer to
the main body of ISO 28004 when more information on specific issues is needed than is provided in this
part of ISO 28004. The guidance provided in this part of ISO 28004 does not amend ISO 28000 or the
main body of ISO 28004. Where specific methodologies are discussed in this part of ISO 28004 they are
provided for illustrative purposes (to explain what needs to be accomplished) and other methodologies
could be substituted.
Organizations adopting ISO 28000 will need to:
— specify what their objectives are in regard to providing supply chain security;
— assess the current state of supply chain security;
— develop plans that will include existing supply chain processes and procedures, and any additional
processes/procedures or systems that have been identified as necessary to meet the stated supply
chain security objectives;
— train personnel as to their duties and responsibilities as defined in the supply chain security plan;
— install/maintain any systems or equipment specified in the supply chain security plan;
— begin execution of the supply chain security plan;
— monitor performance of the supply chain security plan execution;
— periodically reassess the state of supply chain security to detect changes in conditions including
new threats;
— periodically test the organization’s plans (exercises) and investigate any supply chain security
incidents;
— update objectives, plans, and personnel training based on input from performance monitoring,
reassessments, exercises, or investigations.
Users of ISO 28004 that have not previously worked with management standards will note the use of
the words ‘intent’, ‘input’, and ‘output’ that are used in regard to each requirement discussed in this
part of ISO 28004. Intent is used as the title of the clause that explains what the organization needs to
accomplish. Input is used as the title of the clause that explains what needs to be analysed or considered.
Output is used as the title of the clause that explains what the organization’s objectives are or what
actions will be taken in regard to that specific requirement.
Step 1 - Preparatory work
Prior to beginning the process of adopting ISO 28000 an organization may wish to consider whether they
wish to include all or specific parts of their organization within the supply chain security management
system (within the scope of application). The organization is not limited in what it should consider in
making this decision, however, it may wish to consider some of the following in making this decision:
— Its corporate objectives.
— Customer needs or expectations.
— Government interests, if the management system is being adopted to address a government policy
or program.
— Its familiarity or lack of familiarity with ISO management systems.
Within the planned scope of application, the security management system should be extended to all areas
and functions related to the supply chain. To help identify what areas and functions may be involved the
organization may consider but not be limited to the following.
— Where goods are being manufactured, processed or handled prior to being loaded in a transport
unit, palletized, or otherwise prepared for shipment.
— Where goods prepared for shipment are stored or consolidated prior to transportation.
— Where goods are being transported.
— Where goods are loaded into or unloaded from a conveyance.
— Where custody of the goods changes hands.
— Where documentation or information pertaining to goods being shipped is handled, generated or
accessible.
— Transportation routes and means of conveyance used b
...


МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28004-3
Первое издание
2014-02-01
Системы менеджмента безопасности
цепи поставок. Руководящие
указания по внедрению ISO 28000.
Часть 3:
Дополнительное специальное
руководство по принятию ISO 28000
для использования в операциях
среднего и малого бизнеса (кроме
морских портов)
Security management systems for the supply chain — Guidelines for
the implementation of ISO 28000
Part 3: Additional specific guidance for adopting ISO 28000 for use by
medium and small businesses (other than marine ports)

Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO 2014
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

©  ISO 2014
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по соответствующему адресу, указанному ниже, или комитета-члена ISO в стране
заявителя.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2014 – Все права сохраняются

Содержание Страница
Предисловие . iv
Введение . v
1  Область применения . 1
2  Нормативные ссылки . 1
3  Дополнительное руководство . 1
4  Документация . 14
5  Руководство для среднего и малого бизнеса, получающего консультацию и
сертификацию . 15
5.1  Общие положения . 15
5.2  Демонстрация соответствия стандарту ISO 28000 посредством аудита . 15
5.3  Сертификация по ISO 28000 сторонними органами сертификации . 15
Библиография . 16

Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Процедуры, используемые для разработки настоящего документа и предназначенные для его
дальнейшего поддержания, указаны в Части 1 Директив ISO/IEC. В особенности следует отметить, что
для различных типов документов ISO необходимы разные критерии для утверждения. Настоящий
документ был разработан в соответствии с редакционными правилами Части 2 Директив ISO/IEC.
(см. www.iso.org/directives).
Обращается внимание на возможность патентования некоторых элементов данного международного
стандарта. ISO не несет ответственности за идентификацию какого-либо или всех таких патентных прав.
Детали любых патентных прав, идентифицированных при разработке документа, должны содержаться в
Введении и/или в перечне полученных патентов ISO. (см. www.iso.org/patents).
Любое фирменное наименование в настоящем документе является информацией, предоставляемой
для удобства пользователей, и не носит рекомендательный характер.
Для объяснения смысла специальных терминов и выражений ISO, связанных с оценкой соответствия, а
также для информации о приверженности ISO принципам WTO Соглашения по техническим барьерам в
торговле (TBT) следует использовать следующий указатель URL: Foreword - Supplementary information
За настоящий документ несет ответственность Технический комитет ISO/TC 8, Суда и морские
технологии.
Настоящее первое издание ISO 28004-3 отменяет и замещает ISO/PAS 28004-3:2012.
ISO 28004 состоит из следующих частей под общим названием Системы менеджмента безопасности
цепи поставок. Руководящие указания по внедрению ISO 28000:
— Часть 1: Общие принципы
— Часть 2: Руководящие указания по принятию ISO 28000 для использования в работе средних и
малых морских портов
— Часть 3: Дополнительное специальное руководство по принятию ISO 28000 для использования в
операциях среднего и малого бизнеса (кроме морских портов)
— Часть 4: Дополнительное специальное руководство по внедрению ISO 28000, когда
соответствие ISO 28001 является предметом менеджмента
iv © ISO 2014 – Все права сохраняются

Введение
ISO 28000:2007 и руководство, содержащееся в ISO 28004, были разработаны в ответ на необходимость
иметь идентифицируемые критерии оценки системы менеджмента цепи поставок (процесс валидации),
по которым системы менеджмента безопасности можно будет оценить и сертифицировать на
соответствие ISO 28000 и ISO 28004. Руководство, в настоящее время содержащееся в ISO 28004,
предназначено для того, чтобы помочь организациям, принимающим ISO 28000. Поскольку типов
организаций, которые могут использовать ISO 28000, множество, руководство, предоставляемое в
ISO 28004, универсально по своей сущности. В результате некоторые более мелкие организации
испытывали трудности в определении мер, необходимых для рассмотрения каждого из требований,
установленных в ISO 28000. Поэтому целью настоящей части ISO 28004 является обеспечение
руководства и расширение информации, которую можно будет использовать среднему и малому
бизнесу (кроме морских портов), чтобы помочь им в определении области валидации и мер
верификации, необходимых для соответствия требованиям по безопасности, определенных в ISO 28000
и ISO 28004.
ISO 28000 требует, чтобы заинтересованные организации оценивали возможности своих планов и
процедур менеджмента обеспечения безопасности посредством периодических пересмотров, проверок,
отчетов после происшествия и обучения, чтобы определить эффективность имеющихся методов и
систем обеспечения безопасности. Для полной непрерывной сквозной безопасности цепи поставок
важно, чтобы заинтересованные организации гарантировали транспортной отрасли то, что у них есть
достаточно готовых мер безопасности для защиты целостности цепи поставок при нахождении грузов
под их прямым контролем. Ошибка одной из заинтересованных организаций в защите цепи поставок от
любых глобальных угроз и эксплуатационных рисков может серьезно повлиять на целостность системы
и разрушить доверие тех, кто полагается на безопасную транспортировку своих дорогостоящих грузов.
Заинтересованные организации среднего и малого бизнеса являются составной частью системы
поставок и от них будут требовать проведения проверок их операционных возможностей и
подтверждения для транспортной отрасли, что возможности отвечают соответствующему
законодательству и нормативным документам, лучшим практикам отрасли, а также их собственной
политике и целям безопасности, основанным на выявленных угрозах и рисках для их функционирования.
Информация, содержащаяся в настоящей части ISO 28004, обеспечивает руководство и критерии для
оценки качества планов менеджмента безопасности, разработанных организациями среднего и малого
бизнеса (кроме морских портов) в соответствии с ISO 28000 для защиты целостности цепи поставок.
Более подробная информация представлена как усиливающая, но не изменяющая общее руководство,
определенное в ISO 28004. Кроме ряда внесенных дополнений никаких изменений в ISO 28004
произведено не было.
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28004-3:2014(R)

Системы менеджмента безопасности цепи поставок.
Руководящие указания по внедрению ISO 28000.
Часть 3.
Дополнительное специальное руководство по принятию
ISO 28000 для использования в операциях среднего и
малого бизнеса (кроме морских портов)
1 Область применения
Настоящая часть ISO 28004 разработана, чтобы дополнить ISO 28004-1 специальным руководством
для среднего и малого бизнеса (кроме морских портов) по использованию ISO 28000. Дополнительное
руководство в настоящей части ISO 28004, усиливая общие руководящие указания, представленные в
основных разделах ISO 28004-1, не противоречит им и не исправляет ISO 28000.
2 Нормативные ссылки
Следующие документы, полностью или частично являются ссылочными в данном документе и
обязательными при его применении. При датированных ссылках применяется только приведенное
издание документа. При недатированных ссылках необходимо использовать самое последнее издание
нормативного ссылочного документа (включая любые изменения).
ISO 28000:2007, Системы менеджмента безопасности цепи поставок. Технические условия
ISO 28004-1:2007, Системы менеджмента безопасности цепи поставок. Руководящие указания по
внедрению ISO 28000. Часть 1: Общие принципы
3 Дополнительное руководство
ISO 28000 разработан для принятия организациями, заинтересованными в лучшей защите их цепей
поставок или услуг, предоставляемых для операторов цепи поставок. Основная часть ISO 28004
разработана для предоставления руководства организациям любых размеров, желающих принять
ISO 28000. Поскольку ISO 28004 содержит руководящие указания для широкого круга организаций, он
может оказаться более сложным, чем это необходимо для организаций более малого размера. Целью
настоящей части ISO 28004 является упрощение руководства для использования небольшими
организациями. Организации, использующие настоящую часть ISO 28004 должны справляться с
основным стандартом ISO 28004, если по конкретным вопросам требуется больше информации, чем
предоставлено в настоящей части ISO 28004. Руководство, приведенное в настоящей части ISO 28004,
не изменяет ISO 28000 или основной стандарт ISO 28004. Если в настоящей части ISO 28004
обсуждаются специальные методологии, то они приведены для иллюстративных целей (чтобы
объяснить, что необходимо выполнить), и другие методологии могли бы быть замещены.
Организациям, принимающим ISO 28000, будет необходимо:
— установить, какие из их целей имеют отношение к обеспечению безопасности цепи поставок;
— оценить текущее состояние безопасности цепи поставок;
— разработать планы, которые будут включать существующие процессы и процедуры цепи поставок
и любые дополнительные процессы/процедуры или системы, которые были определены как
необходимые для соответствия установленным целям безопасности цепи поставок;
— подготовить персонал к выполнению их функций и обязанностей, как это определено в плане по
обеспечению безопасности цепи поставок;
— установить/поддерживать любые системы или оборудование, обозначенное в плане по
обеспечению безопасности цепи поставок;
— начать выполнение плана по обеспечению безопасности цепи поставок;
— контролировать результаты выполнения плана по обеспечению безопасности цепи поставок;
— периодически переоценивать состояние безопасности цепи поставок, чтобы обнаружить
изменения, включая новые угрозы;
— периодически проверять планы (тренировки) организации и расследовать любые инциденты в
области безопасности цепи поставок;
— обновлять цели, планы и подготовку персонала на основе данных контроля выполнения,
переоценок, тренировок или расследований.
Пользователи ISO 28004, которые ранее не работали со стандартами менеджмента, должны обратить
внимание на использование слов ‘намерение’, ‘исходные данные’, и ‘результаты’, которые
используются в отношении каждого требования, рассматриваемого в настоящей части ISO 28004.
Намерение используется как заголовок раздела, в котором объясняется, что необходимо организации
для выполнения работы. Исходные данные – это раздел, в котором объясняется, что необходимо
анализировать или рассматривать. Результаты – это раздел, в котором объясняется, какие цели имеет
организация или какие действия ей следует предпринять относительно конкретного требования.
Шаг 1 – Подготовительная работа
До начала процесса принятия ISO 28000 организация может рассмотреть, хочет ли она включить в
систему менеджмента безопасности цепи поставок (в пределах области применения) всю организация
или отдельные ее части. Организация не ограничена в вопросах, которые она должна рассматривать
при принятии решения, однако, она может принимать во внимание некоторые из следующих аспектов:
— Свои корпоративные цели.
— Потребности или ожидания потребителей;
— Интересы правительства, если система менеджмента принимается с учетом правительственной
политики или программы;
— Свою осведомленность или недостаток осведомленности о системах менеджмента ISO.
В пределах планируемой области применения система менеджмента безопасности должна
распространяться на все области и функции, связанные с цепью поставок. Чтобы облегчить
определение этих областей и функций, организация должна рассмотреть, не ограничиваясь этим,
следующее.
— Где грузы производились, оформлялись или обрабатывались до погрузки на транспорт, укладки на
паллеты или иной подготовки для отправки;
— Где грузы, предназначенные для отправки, хранятся или собираются до транспортировки;
— Куда грузы перевозятся;
2 © ISO 2014 – Все права сохраняются

— Куда грузы погружаются или разгружаются после транспортировки;
— Где меняется контроль над грузом;
— Где документация или информация относительно отправляемых грузов
...


МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28004-3
Первое издание
2014-02-01
Системы менеджмента безопасности
цепи поставок. Руководящие
указания по внедрению ISO 28000.
Часть 3:
Дополнительное специальное
руководство по принятию ISO 28000
для использования в операциях
среднего и малого бизнеса (кроме
морских портов)
Security management systems for the supply chain — Guidelines for
the implementation of ISO 28000
Part 3: Additional specific guidance for adopting ISO 28000 for use by
medium and small businesses (other than marine ports)

Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO 2014
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

©  ISO 2014
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по соответствующему адресу, указанному ниже, или комитета-члена ISO в стране
заявителя.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2014 – Все права сохраняются

Содержание Страница
Предисловие . iv
Введение . v
1  Область применения . 1
2  Нормативные ссылки . 1
3  Дополнительное руководство . 1
4  Документация . 14
5  Руководство для среднего и малого бизнеса, получающего консультацию и
сертификацию . 15
5.1  Общие положения . 15
5.2  Демонстрация соответствия стандарту ISO 28000 посредством аудита . 15
5.3  Сертификация по ISO 28000 сторонними органами сертификации . 15
Библиография . 16

Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Процедуры, используемые для разработки настоящего документа и предназначенные для его
дальнейшего поддержания, указаны в Части 1 Директив ISO/IEC. В особенности следует отметить, что
для различных типов документов ISO необходимы разные критерии для утверждения. Настоящий
документ был разработан в соответствии с редакционными правилами Части 2 Директив ISO/IEC.
(см. www.iso.org/directives).
Обращается внимание на возможность патентования некоторых элементов данного международного
стандарта. ISO не несет ответственности за идентификацию какого-либо или всех таких патентных прав.
Детали любых патентных прав, идентифицированных при разработке документа, должны содержаться в
Введении и/или в перечне полученных патентов ISO. (см. www.iso.org/patents).
Любое фирменное наименование в настоящем документе является информацией, предоставляемой
для удобства пользователей, и не носит рекомендательный характер.
Для объяснения смысла специальных терминов и выражений ISO, связанных с оценкой соответствия, а
также для информации о приверженности ISO принципам WTO Соглашения по техническим барьерам в
торговле (TBT) следует использовать следующий указатель URL: Foreword - Supplementary information
За настоящий документ несет ответственность Технический комитет ISO/TC 8, Суда и морские
технологии.
Настоящее первое издание ISO 28004-3 отменяет и замещает ISO/PAS 28004-3:2012.
ISO 28004 состоит из следующих частей под общим названием Системы менеджмента безопасности
цепи поставок. Руководящие указания по внедрению ISO 28000:
— Часть 1: Общие принципы
— Часть 2: Руководящие указания по принятию ISO 28000 для использования в работе средних и
малых морских портов
— Часть 3: Дополнительное специальное руководство по принятию ISO 28000 для использования в
операциях среднего и малого бизнеса (кроме морских портов)
— Часть 4: Дополнительное специальное руководство по внедрению ISO 28000, когда
соответствие ISO 28001 является предметом менеджмента
iv © ISO 2014 – Все права сохраняются

Введение
ISO 28000:2007 и руководство, содержащееся в ISO 28004, были разработаны в ответ на необходимость
иметь идентифицируемые критерии оценки системы менеджмента цепи поставок (процесс валидации),
по которым системы менеджмента безопасности можно будет оценить и сертифицировать на
соответствие ISO 28000 и ISO 28004. Руководство, в настоящее время содержащееся в ISO 28004,
предназначено для того, чтобы помочь организациям, принимающим ISO 28000. Поскольку типов
организаций, которые могут использовать ISO 28000, множество, руководство, предоставляемое в
ISO 28004, универсально по своей сущности. В результате некоторые более мелкие организации
испытывали трудности в определении мер, необходимых для рассмотрения каждого из требований,
установленных в ISO 28000. Поэтому целью настоящей части ISO 28004 является обеспечение
руководства и расширение информации, которую можно будет использовать среднему и малому
бизнесу (кроме морских портов), чтобы помочь им в определении области валидации и мер
верификации, необходимых для соответствия требованиям по безопасности, определенных в ISO 28000
и ISO 28004.
ISO 28000 требует, чтобы заинтересованные организации оценивали возможности своих планов и
процедур менеджмента обеспечения безопасности посредством периодических пересмотров, проверок,
отчетов после происшествия и обучения, чтобы определить эффективность имеющихся методов и
систем обеспечения безопасности. Для полной непрерывной сквозной безопасности цепи поставок
важно, чтобы заинтересованные организации гарантировали транспортной отрасли то, что у них есть
достаточно готовых мер безопасности для защиты целостности цепи поставок при нахождении грузов
под их прямым контролем. Ошибка одной из заинтересованных организаций в защите цепи поставок от
любых глобальных угроз и эксплуатационных рисков может серьезно повлиять на целостность системы
и разрушить доверие тех, кто полагается на безопасную транспортировку своих дорогостоящих грузов.
Заинтересованные организации среднего и малого бизнеса являются составной частью системы
поставок и от них будут требовать проведения проверок их операционных возможностей и
подтверждения для транспортной отрасли, что возможности отвечают соответствующему
законодательству и нормативным документам, лучшим практикам отрасли, а также их собственной
политике и целям безопасности, основанным на выявленных угрозах и рисках для их функционирования.
Информация, содержащаяся в настоящей части ISO 28004, обеспечивает руководство и критерии для
оценки качества планов менеджмента безопасности, разработанных организациями среднего и малого
бизнеса (кроме морских портов) в соответствии с ISO 28000 для защиты целостности цепи поставок.
Более подробная информация представлена как усиливающая, но не изменяющая общее руководство,
определенное в ISO 28004. Кроме ряда внесенных дополнений никаких изменений в ISO 28004
произведено не было.
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28004-3:2014(R)

Системы менеджмента безопасности цепи поставок.
Руководящие указания по внедрению ISO 28000.
Часть 3.
Дополнительное специальное руководство по принятию
ISO 28000 для использования в операциях среднего и
малого бизнеса (кроме морских портов)
1 Область применения
Настоящая часть ISO 28004 разработана, чтобы дополнить ISO 28004-1 специальным руководством
для среднего и малого бизнеса (кроме морских портов) по использованию ISO 28000. Дополнительное
руководство в настоящей части ISO 28004, усиливая общие руководящие указания, представленные в
основных разделах ISO 28004-1, не противоречит им и не исправляет ISO 28000.
2 Нормативные ссылки
Следующие документы, полностью или частично являются ссылочными в данном документе и
обязательными при его применении. При датированных ссылках применяется только приведенное
издание документа. При недатированных ссылках необходимо использовать самое последнее издание
нормативного ссылочного документа (включая любые изменения).
ISO 28000:2007, Системы менеджмента безопасности цепи поставок. Технические условия
ISO 28004-1:2007, Системы менеджмента безопасности цепи поставок. Руководящие указания по
внедрению ISO 28000. Часть 1: Общие принципы
3 Дополнительное руководство
ISO 28000 разработан для принятия организациями, заинтересованными в лучшей защите их цепей
поставок или услуг, предоставляемых для операторов цепи поставок. Основная часть ISO 28004
разработана для предоставления руководства организациям любых размеров, желающих принять
ISO 28000. Поскольку ISO 28004 содержит руководящие указания для широкого круга организаций, он
может оказаться более сложным, чем это необходимо для организаций более малого размера. Целью
настоящей части ISO 28004 является упрощение руководства для использования небольшими
организациями. Организации, использующие настоящую часть ISO 28004 должны справляться с
основным стандартом ISO 28004, если по конкретным вопросам требуется больше информации, чем
предоставлено в настоящей части ISO 28004. Руководство, приведенное в настоящей части ISO 28004,
не изменяет ISO 28000 или основной стандарт ISO 28004. Если в настоящей части ISO 28004
обсуждаются специальные методологии, то они приведены для иллюстративных целей (чтобы
объяснить, что необходимо выполнить), и другие методологии могли бы быть замещены.
Организациям, принимающим ISO 28000, будет необходимо:
— установить, какие из их целей имеют отношение к обеспечению безопасности цепи поставок;
— оценить текущее состояние безопасности цепи поставок;
— разработать планы, которые будут включать существующие процессы и процедуры цепи поставок
и любые дополнительные процессы/процедуры или системы, которые были определены как
необходимые для соответствия установленным целям безопасности цепи поставок;
— подготовить персонал к выполнению их функций и обязанностей, как это определено в плане по
обеспечению безопасности цепи поставок;
— установить/поддерживать любые системы или оборудование, обозначенное в плане по
обеспечению безопасности цепи поставок;
— начать выполнение плана по обеспечению безопасности цепи поставок;
— контролировать результаты выполнения плана по обеспечению безопасности цепи поставок;
— периодически переоценивать состояние безопасности цепи поставок, чтобы обнаружить
изменения, включая новые угрозы;
— периодически проверять планы (тренировки) организации и расследовать любые инциденты в
области безопасности цепи поставок;
— обновлять цели, планы и подготовку персонала на основе данных контроля выполнения,
переоценок, тренировок или расследований.
Пользователи ISO 28004, которые ранее не работали со стандартами менеджмента, должны обратить
внимание на использование слов ‘намерение’, ‘исходные данные’, и ‘результаты’, которые
используются в отношении каждого требования, рассматриваемого в настоящей части ISO 28004.
Намерение используется как заголовок раздела, в котором объясняется, что необходимо организации
для выполнения работы. Исходные данные – это раздел, в котором объясняется, что необходимо
анализировать или рассматривать. Результаты – это раздел, в котором объясняется, какие цели имеет
организация или какие действия ей следует предпринять относительно конкретного требования.
Шаг 1 – Подготовительная работа
До начала процесса принятия ISO 28000 организация может рассмотреть, хочет ли она включить в
систему менеджмента безопасности цепи поставок (в пределах области применения) всю организация
или отдельные ее части. Организация не ограничена в вопросах, которые она должна рассматривать
при принятии решения, однако, она может принимать во внимание некоторые из следующих аспектов:
— Свои корпоративные цели.
— Потребности или ожидания потребителей;
— Интересы правительства, если система менеджмента принимается с учетом правительственной
политики или программы;
— Свою осведомленность или недостаток осведомленности о системах менеджмента ISO.
В пределах планируемой области применения система менеджмента безопасности должна
распространяться на все области и функции, связанные с цепью поставок. Чтобы облегчить
определение этих областей и функций, организация должна рассмотреть, не ограничиваясь этим,
следующее.
— Где грузы производились, оформлялись или обрабатывались до погрузки на транспорт, укладки на
паллеты или иной подготовки для отправки;
— Где грузы, предназначенные для отправки, хранятся или собираются до транспортировки;
— Куда грузы перевозятся;
2 © ISO 2014 – Все права сохраняются

— Куда грузы погружаются или разгружаются после транспортировки;
— Где меняется контроль над грузом;
— Где документация или информация относительно отправляемых грузов
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.