ISO 28003:2007

INTERNATIONAL ISO
STANDARD 28003
First edition
2007-08-01

Security management systems for the
supply chain — Requirements for bodies
providing audit and certification of supply
chain security management systems
Systèmes de management de la sûreté pour la chaîne
d'approvisionnement — Exigences pour les organismes effectuant
l'audit et la certification des systèmes de management de la sûreté pour
la chaîne d'approvisionnement




Reference number
ISO 28003:2007(E)
©
ISO 2007

---------------------- Page: 1 ----------------------
ISO 28003:2007(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.


COPYRIGHT PROTECTED DOCUMENT


©  ISO 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland

ii © ISO 2007 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 28003:2007(E)
Contents Page
Foreword . iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
4 Principles for certification bodies . 2
4.1 General . 2
4.2 Impartiality. 3
4.3 Competence . 4
4.4 Responsibility . 4
4.5 Openness . 4
4.6 Confidentiality . 4
4.7 Resolution of complaints . 4
5 General requirements . 4
5.1 Legal and contractual matters . 4
5.2 Management of impartiality . 5
5.3 Liability and financing . 6
6 Structural requirements . 6
6.1 Organizational structure and top management . 6
6.2 Committee for safeguarding impartiality . 7
7 Resource requirements . 8
7.1 Competence of management and personnel . 8
7.2 Personnel involved in the certification activities . 8
7.3 Use of external auditors and external technical experts . 10
7.4 Personnel records . 11
7.5 Outsourcing . 12
8 Information requirements . 13
8.1 Publicly accessible information . 13
8.2 Certification documents . 13
8.3 Directory of certified clients . 14
8.4 Reference to certification and use of marks . 14
8.5 Confidentiality . 14
8.6 Information exchange between a certification body and its clients . 15
9 Process requirements . 16
9.1 General requirements applicable to any audit . 16
9.2 Initial audit and certification . 18
9.3 Surveillance activities . 23
9.4 Recertification . 25
9.5 Special audits . 27
9.6 Suspending, withdrawing or reducing scope of certification . 27
9.7 Appeals . 28
9.8 Complaints . 28
9.9 Records on applicants and clients . 29
10 Management system requirements for certification bodies . 30
10.1 Option 1 — Management system requirements in accordance with ISO 9001 . 30
10.2 Option 2 — General management system requirements . 30
Annex A (informative) Guide for process to determine auditor time . 34
Annex B (normative) Criteria for auditing organizations with multiple sites . 36
Annex C (normative) Auditor education, work and audit experience and training durations . 40
Annex D (normative) Auditor competence requirements . 41
Bibliography . 43
© ISO 2007 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO 28003:2007(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for whom a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization. In the field
of conformity assessment, the ISO Committee on conformity assessment (CASCO) is responsible for the
development of International Standards and Guides.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights.
ISO 28003 was prepared jointly by the ISO Committee on conformity assessment (ISO/CASCO) and
ISO/TC 8, Ships and marine technology.
This first edition cancels and replaces ISO/PAS 28003:2006, which has been technically revised.
ISO 28003 encompasses the requirements from ISO/IEC 17021, Conformity assessment — Requirements for
bodies providing audit and certification of management systems. When assessing security supply chain
security management systems, a number of requirements need to be met which go beyond what is required
for the assessment and certification of supply chain security management systems covering other operational
aspects of organizations. To formulate these additional requirements, ISO/IEC 17021 has been amended or
modified where needed.
iv © ISO 2007 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 28003:2007(E)
Introduction
This International Standard is intended for use by bodies that carry out audit and certification of supply chain
security management systems. Certification of supply chain security management systems is a third party
conformity assessment activity (see clause 5.5 of ISO/IEC 17000:2004). Bodies performing this activity are
therefore third party conformity assessment bodies, named 'certification body/bodies' in this International
Standard. This wording should not be an obstacle to the use of this International Standard by bodies with
other designations that undertake activities covered by the scope of this International Standard. Indeed, this
International Standard will be usable by any body involved in the assessment of supply chain security
management systems.
Certification of supply chain security management systems of an organization is one means of providing
assurance that the organization has implemented a system for supply chain security management in line with
its policy.
Certification of supply chain security management systems will be delivered by certification bodies accredited
by a recognized body, such as IAF members.
This International Standard specifies requirements for certification bodies. Observance of these requirements
is intended to ensure that certification bodies operate supply chain security management systems certification
in a competent, consistent and reliable manner, thereby facilitating the recognition of such bodies and the
acceptance of their certifications on a national and international basis. This International Standard will serve
as a foundation for facilitating the recognition of supply chain security management systems certification in the
interests of international trade.
Certification of a supply chain security management system provides independent verification that the supply
chain security management system of the organization
a) conforms to specified requirements;
b) is capable of consistently achieving its stated policy and objectives;
c) is effectively implemented.
Certification of a supply chain security management system thereby provides value to the organization, its
customers and interested parties.
This International Standard aims at being the basis for recognition of the competence of certification bodies in
their provision of supply chain security management system certification. This International Standard can be
used as the basis for recognition of the competence of certification bodies in their provision of supply chain
security management system certification (such recognition may be in the form of notification, peer
assessment, or direct recognition by regulatory authorities or industry consortia).
Observance of the requirements in this International Standard is intended to ensure that certification bodies
operate supply chain security management system certification in a competent, consistent and reliable
manner, thereby facilitating the recognition of such bodies and the acceptance of their certifications on a
national and international basis. This International Standard will serve as a foundation for facilitating the
recognition of supply chain security management system certification in the interests of international trade.
Certification activities involve the audit of an organization's supply chain security management system. The
form of attestation of conformity of an organization's supply chain security management system to a specific
standard (for example ISO 28000) or other specified requirements is normally a certification document or a
certificate.
© ISO 2007 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO 28003:2007(E)
It is for the organization being certified to develop its own supply chain security management systems
(including ISO 28000 supply chain security management system, other sets of specified supply chain security
management system requirements, quality systems, environmental supply chain security management
systems or occupational health and safety supply chain security management systems) and, other than where
relevant legislative requirements specify to the contrary, it is for the organization to decide how the various
components of these are to be arranged. The degree of integration between the various supply chain security
management system components will vary from organization to organization. It is therefore appropriate for
certification bodies that operate in accordance with this International Standard to take into account the culture
and practices of their clients in respect of the integration of their supply chain security management system
within the wider organization.

vi © ISO 2007 – All rights reserved

---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 28003:2007(E)

Security management systems for the supply chain —
Requirements for bodies providing audit and certification of
supply chain security management systems
1 Scope
This International Standard contains principles and requirements for bodies providing the audit and
certification of supply chain security management systems according to management system specifications
and standards such as ISO 28000.
It defines the minimum requirements of a certification body and its associated auditors, recognizing the unique
need for confidentiality when auditing and certifying/registering a client organization.
Requirements for supply chain security management systems can originate from a number of sources, and
this International Standard has been developed to assist in the certification of supply chain security
management systems that fulfil the requirements of ISO 28000, Specification for security management
systems for the supply chain, and other supply chain security management system International Standards.
The contents of this International Standard may also be used to support certification of supply chain security
management systems that are based on other specified supply chain security management system
requirements.
This International Standard
⎯ provides harmonized guidance for the accreditation of certification bodies applying for ISO 28000 (or
other specified supply chain security management system requirements) certification/registration;
⎯ defines the rules applicable for the audit and certification of a supply chain security management system
complying with the supply chain security management system standard’s requirements (or other sets of
specified supply chain security management system requirements);
⎯ provides the customers with the necessary information and confidence about the way certification of their
suppliers has been granted.
NOTE 1 Certification of a supply chain security management system is sometimes also called registration, and
certification bodies are sometimes called registrars.
NOTE 2 A certification body can be nongovernmental or governmental (with or without regulatory authority).
NOTE 3 This International Standard can be used as a criteria document for accreditation or peer assessment or other
audit processes.

2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/IEC 17000:2004, Conformity assessment — Vocabulary and general principles
ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
© ISO 2007 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO 28003:2007(E)
1)
ISO 28000:— , Specification for security management systems for the supply chain
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17000 and the following apply.
3.1
certified client
organization whose supply chain security management system has been certified/registered by a qualified
third party
3.2
impartiality
actual and perceived presence of objectivity
NOTE 1 Objectivity means that conflicts of interest do not exist or are resolved so as not to adversely influence
subsequent activities of the certification body.
NOTE 2 Other terms that are useful in conveying the element of impartiality are objectivity, independence, freedom from
conflict of interests, freedom from bias, lack of prejudice, neutrality, fairness, open-mindedness, even-handedness,
detachment and balance.
3.3
management system consultancy and/or associated risk assessments
participation in designing, implementing or maintaining a supply chain security management system and in
conducting risk assessments
EXAMPLES
a) preparing or producing manuals or procedures;
b) giving specific advice, instructions or solutions towards the development and implementation of a supply chain security
management system;
c) conducting internal audits;
d) conducting risk assessment and analysis.
NOTE Arranging training and participating as a trainer is not considered consultancy, provided that where the course
relates to supply chain security management systems or auditing, the course is confined to the provision of generic
information that is freely available in the public domain, i.e. the trainer does not provide company-specific solutions.
4 Principles for certification bodies
4.1 General
4.1.1 The principles are the basis for the subsequent specific performance and descriptive requirements in
this International Standard. This International Standard does not give specific requirements for all situations
that can occur. These principles should be applied as guidance for the decisions that may need to be made
for unanticipated situations. Principles are not requirements.
4.1.2 The overall aim of certification is to give confidence to all parties that a supply chain security
management system, process or product (including services) fulfils specified requirements. The value of
certification is the degree of public confidence and trust that is established in a management system, process

1) To be published.
2 © ISO 2007 – All rights reserved

---------------------- Page: 8 ----------------------
ISO 28003:2007(E)
or product (including services) after it has been impartially and competently assessed by a third-party. Parties
that have an interest in certification include, but are not limited to:
a) the clients of the certification bodies;
b) the customers of the organizations whose management systems are certified;
c) governmental authorities;
d) nongovernmental organizations;
e) consumers and other members of the public.
4.1.3 Principles for inspiring confidence include:
a) impartiality,
b) competence,
c) responsibility,
d) openness,
e) confidentiality,
f) responsiveness to complaints.
4.2 Impartiality
4.2.1 Being impartial, and being perceived to be impartial, is necessary for a certification body to deliver
certification that provides confidence.
4.2.2 It is recognized that the source of revenue for a certification body is its client paying for certification, and
that this is a potential threat to impartiality.
4.2.3 To obtain and maintain confidence, a certification body has to be able to demonstrate that its decisions
are based on objective evidence of conformity (or nonconformity) obtained by the certification body, and that
its decisions are not influenced by other interests or by other parties.
4.2.4 Threats to impartiality include:
a) Self-interest threats — threats that arise from a person or body acting in their own interest. A concern
related to certification, as a threat to impartiality, is financial self-interest.
b) Self-review threats — threats that arise from a person or body reviewing the work done by themselves.
Auditing the supply chain security management systems of a client to whom the certification body
provided supply chain security management systems consultancy would be a self-review threat and
therefore is not acceptable.
c) Familiarity (or trust) threats — threats that arise from a person or body being too familiar or trusting of
another person instead of seeking audit evidence is a familiarity threat to impartiality.
d) Intimidation threats — threats that arise from a person or body having a perception of being coerced
openly or secretively, such as a threat to be replaced or reported to a supervisor.
© ISO 2007 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO 28003:2007(E)
4.3 Competence
Competence of the personnel supported by the organizational infrastructure is necessary for the certification
body to deliver certification that provides confidence. Competence is the demonstrated ability to apply
appropriate knowledge and skills effectively.
4.4 Responsibility
4.4.1 The client organization, not the certification body, has the responsibility for conformity with the
requirements for certification.
4.4.2 The certification body has the responsibility to assess sufficient objective evidence upon which to base
a recommendation for certification. Based on audit recommendations it makes a decision to grant certification
if there is sufficient evidence of conformity, or not to grant certification if there is not sufficient evidence of
conformity.
NOTE Audit evidence shall be verifiable. It is based on samples of the information available, since an audit is
conducted during a finite period of time and with finite resources. The appropriate use of sampling is closely related to the
confidence that can be placed in the audit conclusions.
4.5 Openness
4.5.1 A certification body needs to provide public access or disclosure of appropriate and timely information
about the audit process and certification process, and about the certification status. (i.e. the granting,
suspending, reducing the scope of, or withdrawing of certification) of any organization, in order to gain
confidence in the integrity and credibility of certification. Openness is access to or disclosure of information.
4.5.2 To gain or maintain confidence in certification, a certification body needs to provide appropriate access,
or disclosure to, non-confidential information about the conclusions of specific audits (e.g. audits in response
to complaints), to specific interested parties.
4.6 Confidentiality
To gain the privileged access to information that is needed for the certification body to assess conformity to
requirements for certification adequately, a certification body needs to keep confidential any sensitive,
proprietary, and/or vulnerability-related information about an organization's supply chain security management
system.
4.7 Resolution of complaints
Parties that rely on certification expect to have complaints investigated and, if these are found to be valid,
should have confidence that the complaints will be appropriately addressed and a reasonable effort will be
made to resolve the complaints.
NOTE An appropriate balance between the principles of openness and confidentiality, including resolution of
complaints, is necessary in order to demonstrate integrity and credibility to all users of certification.
5 General requirements
5.1 Legal and contractual matters
5.1.1 Legal responsibility
The certification body shall be a legal entity, or a defined part of a legal entity, such that it can be held legally
responsible for all its certification activities. A governmental certification body is deemed to be a legal entity on
the basis of its governmental status.
4 © ISO 2007 – All rights reserved

---------------------- Page: 10 ----------------------
ISO 28003:2007(E)
5.1.2 Certification agreement
The certification body shall have a legally enforceable agreement for the provision of certification activities to
its client organizations. In addition, where there are multiple offices of certification bodies or multiple sites of a
certified client, the certification body shall ensure there is a legally enforceable agreement between the
certification body granting certification and issuing a certificate, and the certified client, explicitly covering each
certified site of the client. The agreement shall clearly define to which standard(s) and/or other normative
documents the certification shall take place.
5.1.3 Responsibility for certification decisions
The certification body shall retain authority and shall be responsible for its decisions relating to certification,
including the granting, maintaining, renewing, extending, reducing, suspending and withdrawing of
certification.
5.2 Management of impartiality
5.2.1 The certification body shall have top management commitment to impartiality in supply chain security
management system certification activities. The certification body shall have a publicly available statement
that it understands the importance of impartiality in carrying out its supply chain security management system
certification activities, manages conflict of interest and ensures objectivity of its supply chain security
management system certification activities.

5.2.2 The certification body shall identify, analyze and document the possibilities for conflict of interests arising
from provision of certification including any conflicts arising from its relationships. Having relationships does
not necessarily present a certification body with a conflict of interest. However, if any relationship creates a
risk to impartiality, the certification body shall document how it eliminates or minimizes such risk and shall be
able to demonstrate this to the committee specified in 6.2. The demonstration shall cover all potential sources
of conflict of interests that are identified, whether they arise from within the certification body or from the
activ
...

NORME ISO
INTERNATIONALE 28003
Première édition
2007-08-01


Systèmes de management de la sûreté
pour la chaîne d'approvisionnement —
Exigences pour les organismes
effectuant l'audit et la certification des
systèmes de management de la sûreté
pour la chaîne d'approvisionnement
Security management systems for the supply chain — Requirements for
bodies providing audit and certification of supply chain security
management systems




Numéro de référence
ISO 28003:2007(F)
©
ISO 2007

---------------------- Page: 1 ----------------------
ISO 28003:2007(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.


DOCUMENT PROTÉGÉ PAR COPYRIGHT


©  ISO 2007
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2008
Publié en Suisse

ii © ISO 2007 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO 28003:2007(F)
Sommaire Page
Avant-propos. v
Introduction . vi
1 Domaine d'application. 1
2 Références normatives . 2
3 Termes et définitions. 2
4 Principes applicables aux organismes de certification. 3
4.1 Généralités . 3
4.2 Impartialité. 3
4.3 Compétence . 4
4.4 Responsabilité . 4
4.5 Transparence . 4
4.6 Confidentialité . 5
4.7 Traitement de plaintes. 5
5 Exigences générales . 5
5.1 Domaine juridique et contractuel. 5
5.2 Gestion de l'impartialité . 5
5.3 Responsabilité et situation financière. 7
6 Exigences structurelles . 7
6.1 Organisation et direction . 7
6.2 Comité pour la préservation de l'impartialité. 8
7 Exigences relatives aux ressources. 8
7.1 Compétence de la direction et du personnel. 8
7.2 Personnel intervenant dans les activités de certification . 9
7.3 Intervention d'auditeurs et d'experts techniques externes. 11
7.4 Enregistrements relatifs au personnel . 12
7.5 Externalisation . 13
8 Exigences relatives aux informations . 14
8.1 Informations accessibles au public. 14
8.2 Documents de certification. 14
8.3 Répertoire des clients certifiés . 15
8.4 Référence à la certification et utilisation des marques . 15
8.5 Confidentialité . 16
8.6 Échange d'informations entre l'organisme de certification et ses clients . 16
9 Exigences relatives aux processus . 18
9.1 Exigences générales applicables à tout audit . 18
9.2 Évaluation et certification initiales. 20
9.3 Activités de surveillance. 26
9.4 Renouvellement de la certification . 28
9.5 Audits particuliers . 30
9.6 Suspension, retrait ou réduction du périmètre de la certification. 30
9.7 Appels . 31
9.8 Plaintes . 32
9.9 Enregistrements relatifs aux demandeurs et aux clients. 32
10 Exigences relatives au système de management des organismes de certification. 33
10.1 Option 1 — Exigences relatives au système de management conformément à l'ISO 9001 . 33
10.2 Option 2 — Exigences générales relatives au système de management. 34
© ISO 2007 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO 28003:2007(F)
Annexe A (informative) Guide pour le processus de détermination de la durée de l'audit . 38
Annexe B (normative) Critères applicables à l'audit des organismes comportant plusieurs sites. 40
Annexe C (normative) Formation initiale et travail des auditeurs, expérience d'audit et durées de
formation. 44
Annexe D (normative) Exigences relatives aux compétences des auditeurs. 45
Bibliographie . 47

iv © ISO 2007 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO 28003:2007(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'ISO 28003 a été élaborée conjointement par le CASCO et par le comité technique ISO/TC 8, Navires et
technologie maritime.
Cette première édition annule et remplace l'ISO/PAS 28003:2006, qui a fait l'objet d'une révision technique.
L'ISO 28003 englobe les exigences de l'ISO/CEI 17021, Évaluation de la conformité — Exigences pour les
organismes procédant à l'audit et à la certification de systèmes de management. L'évaluation des systèmes
de management de la sûreté pour la chaîne d'approvisionnement nécessite de satisfaire à de nombreuses
exigences qui dépassent le domaine d'application des exigences requises pour l'évaluation et la certification
des systèmes de management de la sûreté pour la chaîne d'approvisionnement, qui couvrent les autres
aspects opérationnels des organismes. L'ISO/CEI 17021 a été amendée ou modifiée, lorsque nécessaire,
pour établir ces exigences supplémentaires.
© ISO 2007 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO 28003:2007(F)
Introduction
La présente Norme internationale est destinée à l'usage des organismes qui auditent et qui certifient des
systèmes de management de la sûreté pour la chaîne d'approvisionnement. La certification de systèmes de
management de la sûreté pour la chaîne d'approvisionnement est une activité d'évaluation de la conformité
par tierce partie (voir l'ISO/CEI 17000:2004, 5.5). Les organismes exerçant cette activité sont, par conséquent,
des organismes d'évaluation de la conformité par tierce partie, désignés «organisme(s) de certification» dans
la présente Norme internationale. Il convient que ce libellé ne fasse pas obstacle à l'utilisation de la présente
Norme internationale par des organismes désignés différemment, entreprenant des activités couvertes par le
domaine d'application de la présente Norme internationale. Effectivement, la présente Norme internationale
pourra être utilisée par tout organisme intervenant dans l'évaluation des systèmes de management de la
sûreté pour la chaîne d'approvisionnement.
La certification de systèmes de management de la sûreté pour la chaîne d'approvisionnement d'un organisme
est l'un des moyens permettant de s'assurer que l'organisme a mis en application un système de
management de la sûreté pour la chaîne d'approvisionnement conforme à sa politique.
La certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement est délivrée
par des organismes de certification agréés par un organisme reconnu, tel que les membres du Forum
international de l'accréditation.
La présente Norme internationale spécifie des exigences applicables aux organismes de certification. Le
respect de ces exigences est destiné à assurer que ces organismes gèrent la certification de systèmes de
management de la sûreté pour la chaîne d'approvisionnement avec compétence, et d'une façon cohérente et
fiable, facilitant ainsi la reconnaissance de ces organismes et l'acceptation de leurs certifications sur les plans
national et international. La présente Norme internationale servira de base, dans l'intérêt du commerce
international, à la reconnaissance de la certification de systèmes de management de la sûreté pour la chaîne
d'approvisionnement.
La certification d'un système de management de la sûreté pour la chaîne d'approvisionnement assure par une
vérification indépendante que le système de management de la sûreté pour la chaîne d'approvisionnement de
l'organisme
a) est conforme aux exigences spécifiées;
b) est capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés;
c) est mis en œuvre de manière efficace.
La certification d'un système de management de la sûreté pour la chaîne d'approvisionnement apporte une
valeur ajoutée à l'organisme, à ses clients et aux parties intéressées.
La présente Norme internationale a pour objectif de constituer la base de reconnaissance de la compétence
des organismes de certification dans leur processus de certification des systèmes de management de la
sûreté pour la chaîne d'approvisionnement. La présente Norme internationale peut, en outre, être utilisée
comme base de reconnaissance de la compétence des organismes de certification dans leur processus de
certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement (cette
reconnaissance peut se présenter sous la forme d'une notification, d'une évaluation par des pairs ou d'une
reconnaissance directe par les autorités de réglementation ou des consortiums industriels).
vi © ISO 2007 – Tous droits réservés

---------------------- Page: 6 ----------------------
ISO 28003:2007(F)
Le respect des exigences spécifiées dans la présente Norme internationale est destiné à assurer que ces
organismes gèrent la certification de systèmes de management de la sûreté pour la chaîne
d'approvisionnement avec compétence, et d'une façon cohérence et fiable, facilitant ainsi la reconnaissance
de ces organismes et l'acceptation de leurs certifications sur les plans national et international. La présente
Norme internationale servira de base, dans l'intérêt du commerce international, à la reconnaissance de la
certification de systèmes de management de la sûreté pour la chaîne d'approvisionnement.
La certification comprend l'audit du système de management de la sûreté pour la chaîne d'approvisionnement
d'un organisme. La manière d'attester la conformité à une norme spécifique (par exemple ISO 28000) du
système de management de la sûreté pour la chaîne d'approvisionnement d'un organisme, ou à d'autres
exigences spécifiées, prend généralement la forme d'un document de certification ou d'un certificat.
L'organisme certifié est responsable du développement de ses propres systèmes de management de la
sûreté pour la chaîne d'approvisionnement (y compris le système de management de la sûreté pour la chaîne
d'approvisionnement défini dans l'ISO 28000, les autres séries d'exigences spécifiées relatives audit système,
les systèmes de qualité, les systèmes de management de la sûreté pour la chaîne d'approvisionnement en
matière d'environnement, ou les systèmes de management de la sûreté pour la chaîne d'approvisionnement
en matière de santé et de sécurité au travail) et, sauf lorsque les exigences légales spécifient le contraire, il
doit déterminer comment les diverses composantes de ces systèmes doivent être établies. Le degré
d'intégration entre les diverses composantes des systèmes de management de la sûreté pour la chaîne
d'approvisionnement varie d'un organisme à l'autre. Il est par conséquent approprié, pour les organismes de
certification qui utilisent leurs systèmes de management conformément à la présente Norme internationale, de
tenir compte de la culture et des pratiques de leurs clients en ce qui concerne l'intégration de leur système de
management de la sûreté pour la chaîne d'approvisionnement au sein de l'organisme élargi.

© ISO 2007 – Tous droits réservés vii

---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 28003:2007(F)

Systèmes de management de la sûreté pour la chaîne
d'approvisionnement — Exigences pour les organismes
effectuant l'audit et la certification des systèmes de
management de la sûreté pour la chaîne d'approvisionnement
1 Domaine d'application
La présente Norme internationale contient les principes et les exigences relatifs aux organismes qui assurent
l'audit et la certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement selon
des spécifications et des normes applicables aux systèmes de management telles que l'ISO 28000.
Elle définit les exigences minimales applicables à un organisme de certification et ses auditeurs associés, en
reconnaissant en outre le besoin unique de confidentialité pour l'audit et la certification/l'enregistrement d'un
organisme client.
Les exigences relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement
peuvent provenir de diverses sources; la présente Norme internationale a ainsi été élaborée pour faciliter la
certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement qui satisfont aux
exigences de l'ISO 28000, Spécifications relatives aux systèmes de management de la sûreté de la chaîne
d'approvisionnement, et des autres Normes internationales relatives aux systèmes de management de la
sûreté pour la chaîne d'approvisionnement. La présente Norme internationale peut également être utilisée
pour soutenir la certification des systèmes de management de la sûreté pour la chaîne d'approvisionnement
qui sont fondés sur d'autres exigences spécifiées relatives aux systèmes de management de la sûreté pour la
chaîne d'approvisionnement.
La présente Norme internationale
⎯ fournit des recommandations harmonisées pour l'accréditation des organismes de certification qui
sollicitent une certification/un enregistrement ISO 28000 (ou d'autres exigences spécifiées relatives aux
systèmes de management de la sûreté pour la chaîne d'approvisionnement),
⎯ définit les règles applicables à l'audit et à la certification d'un système de management de la sûreté pour
la chaîne d'approvisionnement, conforme aux exigences de la norme relatives aux systèmes de
management de la sûreté pour la chaîne d'approvisionnement (ou à d'autres séries de normes spécifiées
relatives aux systèmes de management de la sûreté pour la chaîne d'approvisionnement), et
⎯ fournit aux clients les informations nécessaires concernant le processus de certification de leurs
fournisseurs, les rassurant en outre quant à la méthode de certification effectivement employée.
NOTE 1 La certification d'un système de management de la sûreté pour la chaîne d'approvisionnement est parfois
appelée «enregistrement», et les organismes de certification sont parfois désignés par «organismes d'enregistrement».
NOTE 2 Un organisme de certification peut être non gouvernemental ou gouvernemental (avec ou sans pouvoir
réglementaire).
NOTE 3 La présente Norme internationale peut être utilisée comme référentiel pour l'accréditation, l'évaluation par des
pairs ou d'autres processus d'audit.
© ISO 2007 – Tous droits réservés 1

---------------------- Page: 8 ----------------------
ISO 28003:2007(F)
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO/CEI 17000:2004, Évaluation de la conformité — Vocabulaire et principes généraux
ISO 19011:2002, Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de
management environnemental
ISO 28000:2007, Spécifications relatives aux systèmes de management de la sûreté de la chaîne
d'approvisionnement
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/CEI 17000 ainsi que les
suivants s'appliquent.
3.1
client certifié
organisme dont le système de management de la sûreté pour la chaîne d'approvisionnement a été
certifié/enregistré par une tierce partie qualifiée
3.2
impartialité
existence réelle et perçue comme telle d'objectivité
NOTE 1 L'objectivité implique soit l'absence de conflits d'intérêts, soit de trouver une solution à ces conflits de manière
à ne pas porter préjudice aux activités ultérieures de l'organisme de certification.
NOTE 2 D'autres termes utiles utilisés pour véhiculer la notion d'impartialité sont les suivants: objectivité,
indépendance, absence de tout conflit d'intérêts, probité, non-discrimination, neutralité, justice, ouverture d'esprit, équité,
désintéressement et équilibre.
3.3
conseil en matière de système de management et/ou évaluation des risques associés
contribution à l'élaboration, à la mise en œuvre ou à l'entretien d'un système de management de la sûreté
pour la chaîne d'approvisionnement, et à la réalisation d'appréciations de risques
EXEMPLES
a) La préparation ou la production de manuels ou des procédures;
b) la fourniture de conseils, d'instructions ou de solutions spécifiques en matière d'élaboration et de mise en application
d'un système de management de la sûreté pour la chaîne s'approvisionnement;
c) la réalisation des audits internes;
d) la réalisation d'une appréciation et d'une analyse des risques.
NOTE «Organiser des formations et y participer en tant que formateur» ne relève pas des activités de conseil, à
condition de se limiter, lorsque les cours portent sur des systèmes de management de la sûreté pour la chaîne
d'approvisionnement ou des audits, à fournir des informations génériques disponibles dans le domaine public, c'est-à-dire
que le formateur ne fournit pas de solutions spécifiques à une entreprise.
2 © ISO 2007 – Tous droits réservés

---------------------- Page: 9 ----------------------
ISO 28003:2007(F)
4 Principes applicables aux organismes de certification
4.1 Généralités
4.1.1 Les principes servent de base pour cette prestation spécifique et les exigences décrites ci-après dans
la présente Norme internationale. La présente Norme internationale ne fournit pas d'exigences spécifiques
applicables à toutes les situations susceptibles de survenir. Il convient de considérer ces principes comme
des recommandations à appliquer en cas de décisions qui peuvent devoir être prises dans des situations
imprévues. Ces principes ne constituent pas des exigences.
4.1.2 La certification a pour objectif général de garantir à toutes les parties qu'un système, un processus ou
un produit (y compris un service) de management de la sûreté pour la chaîne d'approvisionnement satisfait
aux exigences spécifiées. La valeur de la certification est le degré de confiance du public à l'égard d'un
système, d'un processus ou d'un produit (y compris un service) de management, après qu'il a été évalué de
manière impartiale et compétente par une tierce partie. Les parties qui trouvent un intérêt à la certification
incluent, sans toutefois s'y limiter,
a) les clients des organismes de certification,
b) les clients des organismes dont les systèmes de management sont certifiés,
c) les pouvoirs publics,
d) les organismes non gouvernementaux,
e) les consommateurs et le grand public.
4.1.3 Les principes permettant de donner confiance comprennent
a) l'impartialité,
b) la compétence,
c) la responsabilité,
d) la transparence,
e) la confidentialité,
f) le traitement des plaintes.
4.2 Impartialité
4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être impartial et
perçu comme tel.
4.2.2 Le fait que les revenus d'un organisme de certification proviennent de ses clients qui paient pour la
certification constitue une menace potentielle pour l'impartialité.
4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d'un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées par
l'organisme de certification, et que les décisions ne soient pas influencées par d'autres intérêts ou d'autres
parties.
© ISO 2007 – Tous droits réservés 3

---------------------- Page: 10 ----------------------
ISO 28003:2007(F)
4.2.4 Les menaces qui pèsent sur l'impartialité sont les suivantes:
a) Les intérêts personnels — ces menaces sont dues au fait qu'une personne ou une entité agisse dans son
propre intérêt. Son intérêt financier représente une menace susceptible de compromettre l'impartialité
d'une certification.
b) L'autoévaluation — ces menaces sont dues au fait qu'une personne ou une entité évalue son propre
travail. Auditer les systèmes de management de la sûreté pour la chaîne d'approvisionnement d'un client
auquel l'organisme de certification a prodigué des conseils en matière de systèmes de management de la
sûreté pour la chaîne d'approvisionnement créerait un risque dû à l'autoévaluation et n'est par
conséquent pas acceptable.
c) La familiarité (ou la confiance) — ces menaces sont dues au fait qu'une personne ou une entité entretient
une trop grande proximité relationnelle ou accorde une trop grande confiance à une tierce personne,
plutôt que de rechercher des preuves lors des audits.
d) L'intimidation — ces menaces sont dues au fait qu'une personne ou une entité éprouve la sensation de
subir des pressions directes ou insidieuses, par exemple la menace d'être remplacée ou dénoncée à sa
hiérarchie.
4.3 Compétence
Pour octroyer une certification qui donne confiance, l'organisme de certification doit démontrer la compétence
de son personnel, soutenue par son infrastructure interne. La compétence est l'aptitude démontrée à mettre
en pratique des connaissances et un savoir-faire appropriés de manière efficace.
4.4 Responsabilité
4.4.1 L'organisme client, et non l'organisme de certification, est responsable de la conformité aux exigences
de certification.
4.4.2 L'organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles sur
lesquelles fonder la décision de certification. C'est sur la base des conclusions de l'audit et de l'existence de
preuves de conformité suffisantes qu'il prend la décision d'accorder ou de refuser la certification.
NOTE Toute preuve d'audit doit pouvoir être vérifiée. Elle est fondée sur des éléments (échantillons) d'information
disponibles, dans la mesure où un audit est effectué pendant une durée limitée et avec des ressources également limitées.
L'utilisation appropriée de l'échantillonnage est étroitement liée à la confiance qui peut être accordée aux conclusions de
l'audit.
4.5 Transparence
4.5.1 Afin d'assurer la confiance dans l'intégrité et la crédibilité de la certification, un organisme de
certification doit assurer l'accessibilité ou la diffusion au public des informations appropriées et à jour relatives
à ses processus d'audit et de certification, ainsi que sur le statut de la certification (c'est-à-dire l'octroi, la
suspension, la réduction du périmètre certifié ou le retrait de la certification) de tout organisme. La
transparence est un principe fondé sur l'accessibilité ou la diffusion des informations appropriées.
4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, un organisme de certification doit
permettre un accès approprié aux parties intéressées ou faire une diffusion appropriée des informations non
confidentielles sur les résultats d'audits spécifiques (par exemple audits déclenchés en réponse à des
plaintes).
4 © ISO 2007 – Tous droits réservés

---------------------- Page: 11 ----------------------
ISO 28003:2007(F)
...