Security management systems for the supply chain — Best practices for implementing supply chain security, assessments and plans — Requirements and guidance

ISO 28001:2007 provides requirements and guidance for organizations in international supply chains to develop and implement supply chain security processes; establish and document a minimum level of security within a supply chain(s) or segment of a supply chain; assist in meeting the applicable authorized economic operator (AEO) criteria set forth in the World Customs Organization Framework of Standards and conforming national supply chain security programmes. In addition, ISO 28001:2007 establishes certain documentation requirements that would permit verification. Users of ISO 28001:2007 will define the portion of an international supply chain within which they have established security; conduct security assessments on that portion of the supply chain and develop adequate countermeasures; develop and implement a supply chain security plan; train security personnel in their security related duties.

Systèmes de management de la sûreté pour la chaîne d'approvisionnement — Meilleures pratiques pour la mise en application de la sûreté de la chaîne d'approvisionnement, évaluations et plans — Exigences et guidage

General Information

Status
Published
Publication Date
22-Oct-2007
Current Stage
9093 - International Standard confirmed
Completion Date
24-Feb-2021
Ref Project

Relations

Buy Standard

Standard
ISO 28001:2007
English language
35 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 28001:2007 - Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance
English language
27 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 28001
Первое издание
2007-10-15

Системы менеджмента безопасности
цепи поставок. Наилучшие методы
обеспечения безопасности в цепи
поставок, оценки и планы. Требования
и руководящие указания
Security management systems for the supply chain – Best practices for
implementing supply chain security, assessments and plans –
Requirements and guidance


Ответственность за подготовку русской версии несёт GOST R

(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
ISO 28001:2007(R)
©
ISO 2007

---------------------- Page: 1 ----------------------
ISO 28001:2007(R)
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или вывести на экран, но его нельзя изменить, пока не будет получена
лицензия на загрузку интегрированных шрифтов в компьютер, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe − торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.

ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ


©  ISO 2007
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по адресу, указанному ниже, или членов ISO в стране регистрации пребывания.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии

ii © ISO 2007 – Все права сохраняются

---------------------- Page: 2 ----------------------
ISO 28001:2007(R)
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .2
4 Область применения .6
4.1 Заявление о применении .6
4.2 Партнеры по бизнесу.6
4.3 Международные сертификаты одобрения.7
4.4 Партнеры по бизнесу, освобождаемые от декларации безопасности.7
4.5 Проверки системы безопасности партнеров по бизнесу.7
5 Процесс обеспечения безопасности цепи поставок .7
5.1 Общие положения .7
5.2 Определение области оценки безопасности .8
5.3 Проведение оценки безопасности .8
5.4 Разработка плана обеспечения безопасности цепи поставок .9
5.5 Выполнение плана обеспечения безопасности цепи поставок.9
5.6 Документация и мониторинг процесса безопасности цепи поставок .9
5.7 Действия, необходимые после происшествий с нарушением безопасности.10
5.8 Защита секретной информации.10
Приложение А (информативное) Процесс обеспечения безопасности цепи поставок .12
A.1 Общие положения .12
A.2 Определение области применения оценки безопасности .13
A.3 Проведение оценки безопасности .13
A.4 Разработка плана обеспечения безопасности .17
A.5 Выполнение плана обеспечения безопасности.19
A.6 Документация и мониторинг процесса обеспечения безопасности .19
A.7 Постоянное совершенствование .19
Приложение B (информативное) Методология для оценки риска для безопасности, и
разработки контрмер .20
B.1 Общие положения .20
B.2 Шаг первый – Рассмотрение сценариев угроз.21
B.3 Шаг второй – Классификация последствий.24
B.4 Шаг третий – Классификация вероятности происшествий, связанных нарушением
безопасности.25
B.5 Шаг четвертый – Градация происшествий, связанных с недостаточным
обеспечением безопасности.26
B.6 Шаг пятый – Разработка контрмер.26
B.7 Шаг шестой – Осуществление контрмер.27
B.8 Шаг седьмой – Оценка контрмер.27
B.9 Шаг восьмой – Повторение процесса .27
B.10 Продолжение процесса .27
Приложение C (информативное) Руководство по получению консультаций и сертификации .28
C.1 Общие положения .28
C.2 Подтверждение соответствия стандарту ISO 28001 путем проведения аудита.28
C.3 Сертификация на ISO 28001 органами сертификации третьей стороны.28
Библиография.29
© ISO 2007 – Все права сохраняются iii

---------------------- Page: 3 ----------------------
ISO 28001:2007(R)
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные государственные и негосударственные организации, имеющие связи с ISO,
также принимают участие в работах. Что касается стандартизации в области электротехники, то ISO
работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами, установленными в
Директивах ISO/IEC, Часть 2.
Основная задача технических комитетов заключается в подготовке международных стандартов.
Проекты международных стандартов, принятые техническими комитетами, рассылаются комитетам-
членам на голосование. Их опубликование в качестве международных стандартов требует одобрения
не менее 75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего документа могут быть объектом
патентного права. ISO не может нести ответственность за идентификацию какого-либо одного или всех
патентных прав.
ISO 28001 был подготовлен Техническим комитетом ISO/TC 8, Суда и морские технологии, в
сотрудничестве с другими техническими комитетами, ответственными за специфические элементы
безопасности цепи поставок.
Первое издание ISO 28001 отменяет и заменяет ISO/PAS 28001, который был технически пересмотрен.

iv © ISO 2007 – Все права сохраняются

---------------------- Page: 4 ----------------------
ISO 28001:2007(R)
Введение
Происшествия, связанные с недостаточным обеспечением безопасности в международных цепях
поставок, представляют угрозу международной торговле и экономическому росту стран,
занимающихся торговлей. Люди, товары, инфраструктура и оборудование, включая транспортные
средства, нуждаются в защите от происшествий связанных с безопасностью и их разрушительного
воздействия. Такая защита приносит пользу экономике и обществу в целом.
Международные цепи поставок являются весьма динамичными и включают множество организаций и
партнеров по бизнесу. Настоящий международный стандарт учитывает эту сложность. Он позволяет
отдельным организациям, работающим в цепи поставок, устанавливать свои требования в
соответствии с конкретной бизнес моделью организации и её ролью и функцией в международной
цепи поставок.
Настоящий международный стандарт позволяет организациям определить и документально оформить
приемлемые уровни безопасности международных цепей поставок и их компонентов. Они дают
возможность таким организациям на основе анализа рисков принимать более аргументированные
решения по обеспечению безопасности в рассматриваемых международных цепях поставок.
Настоящий международный стандарт является комбинированным и предназначается для того, чтобы
совместно с рамочными стандартами Всемирной таможенной организации (WCO) и в дополнение к
ним обеспечить безопасность всемирной торговли и облегчить её. Он не стремится заменить или
отменить программы обеспечения безопасности цепей поставок отдельных агентств и их требования к
сертификации и валидации.
Настоящий международный стандарт поможет организациям в определении адекватных уровней
безопасности той части (тех частей) международной цепи поставок, которой (которыми) они управляют.
Он также является основой для определения или валидации уровня существующей безопасности в
такой цепи (цепях) поставок организации внутренними или внешними аудиторами или теми
правительственными агентствами, которые выбраны для проверки соответствия этому документу, как
основание для приема в их программы обеспечения безопасности цепи поставок. Клиенты, партнеры
по бизнесу, правительственные агентства и другие органы могут попросить организации, которые
объявили о соответствии настоящему международному стандарту, провести аудит или валидацию для
подтверждения такого соответствия. Правительственные агентства могут придти к взаимному
соглашению о признании валидаций, проведенных другими правительственными агентствами. Если
аудит организации проводится третьей стороной, то организация должна рассмотреть возможность
привлечения органа сертификации третьей стороны, аккредитованного компетентным органом,
который является членом Международного форума аккредитования (IAF) (см. Приложение С).
Целью настоящего международного стандарта не является дублирование правительственных
требований и стандартов, касающихся обеспечения безопасности цепи поставок в соответствии с
рамочными стандартами WCO. Организации, которые уже были сертифицированы или валидированы
взаимно признаваемыми правительствами, считаются соответствующими настоящему стандарту.
Результаты, полученные в настоящем документе, являются следующими.
Объявление области действия, определяющей границы цепи поставок, охватываемые планом
обеспечения безопасности.
Оценка безопасности, которая документально обосновывает уязвимость цепи поставок для
определения планов обеспечения безопасности, а также описывает последствия каждой из
возможных сценариев угроз.
План обеспечения безопасности, который приводит меры по обеспечению безопасности,
© ISO 2007 – Все права сохраняются v

---------------------- Page: 5 ----------------------
ISO 28001:2007(R)
предпринимаемые на месте, по борьбе с угрозами безопасности, идентифицированными при
проведении оценки безопасности.
Программа обучения, устанавливающая, как персонал службы безопасности должен обучаться, чтобы
успешно выполнять свои обязанности.
Для оценки безопасности, необходимой для разработки плана обеспечения безопасности, организация,
использующая настоящий международный стандарт должна
– идентифицировать возможные угрозы (сценарии угроз безопасности);
– определить, может ли персонал реагировать должным образом на сценарии угроз , установленных
в результате оценки безопасности.
Такое определение производится путем анализа текущего состояния безопасности в цепи поставок.
Основываясь на данных, полученных в результате проведения такого анализа, выносится
профессиональное суждение о том, в какой мере цепь поставок остается уязвимой при реализации
каждого плана действий по обеспечению безопасности.
Если считается, что цепь поставок остается неприемлемо уязвимой при сценарии возникновения угроз,
организация должна разработать дополнительные процедуры или ввести оперативные изменения для
снижения вероятности инцидентов и их последствий или обоих. Такие действия называются
контрмерами. Основываясь на системе приоритетов, контрмеры должны вводиться в план действий по
обеспечению безопасности для снижения угроз до приемлемого уровня.
Приложения А и В являются иллюстративными примерами управления рисками, основанного на
процессах обеспечения безопасности, для защиты людей, активов и задач международной цепи
поставок. Они облегчают применение как общего подхода для комплексных цепей поставок, так и/или
более детальных методов для частей цепей поставок.
Указанные приложения также
– облегчают понимание, принятие и внедрение методологий, которые могут быть модифицированы
организациями;
– содержат руководящие указания по основам менеджмента безопасности для постоянного
усовершенствования;
– помогают организациям управлять ресурсами и направлять их на существующие и возникающие
риски для безопасности;
– описывают возможные средства для оценки рисков и ослабления угроз безопасности в цепи
поставок, связанных с распределением сырья во время хранения, изготовлением и
транспортировкой готовых изделий на рынок.
В Приложение C даются указания по получению рекомендаций и сертификации по этому
международному стандарту, если организация, использующая его, выбирает к исполнению этот
вариант.

vi © ISO 2007 – Все права сохраняются

---------------------- Page: 6 ----------------------
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 28001:2007(R)

Системы менеджмента безопасности цепи поставок.
Наилучшие методы обеспечения безопасности в цепи
поставок, оценки и планы. Требования и руководящие
указания
1 Область применения
Настоящий документ включает требования и руководящие указания для организаций, работающих в
международных цепях поставок, касающиеся
– разработки и внедрения процессов обеспечения безопасности в цепях поставок;
– определения и документирования минимального уровня безопасности в цепи (цепях) поставок или
в сегменте цепи поставок;
– соответствия применяемым критериям уполномоченных экономических операторов,
установленных далее в рамочных стандартах Всемирной таможенной организации, и
соответствующим национальным программам по обеспечению безопасности цепи поставок.
ПРИМЕЧАНИЕ Только национальное таможенное управление может определять организации в качестве
уполномоченных экономических операторов в соответствии с программой обеспечения безопасности в цепи
поставок и требованиями, предъявляемыми к сертификации и валидации.
Кроме того, настоящий документ устанавливает требования к документации, которые позволяют
провести верификацию.
Пользователи настоящего международного стандарта должны
– определить часть международной цепи поставок, для которой они установили систему
обеспечения безопасности (см. 4.1);
– проводить оценку системы обеспечения безопасности этой части цепи поставок и разработать
адекватные контрмеры;
– разработать и внедрить план обеспечения безопасности цепи поставок;
– обучить персонал, обеспечивающий безопасность, его служебным обязанностям.
2 Нормативные ссылки
Следующие ссылочные документы являются обязательными при применении данного документа. Для
жестких ссылок применяется только цитированное издание документа. Для плавающих ссылок
необходимо использовать самое последнее издание нормативного ссылочного документа (включая
любые изменения).
© ISO 2007 – Все права сохраняются 1

---------------------- Page: 7 ----------------------
ISO 28001:2007(R)
1
ISO 20858:– , Суда и морские технологии. Оценки безопасности оборудования морских портов и
разработка плана обеспечения безопасности
International Convention for the Safety of Life at Sea (SOLAS), 1974 с внесенными изменениями,
International Maritime Organization
3 Термины и определения
В настоящем документе используются следующие термины и определения.
3.1
соответствующие правоохранительные органы и другие правительственные чиновники
appropriate law enforcement and other government officials
государственный и правоприменяющий персонал, под юрисдикцией которого находится
международная цепь поставок или её часть
3.2
актив (активы)
asset(s)
предприятие, механизмы, собственность, здания, автомобили, суда, самолеты, транспортные средства
и другие элементы инфраструктуры или предприятий и связанные системы, выполняющие отдельные
количественно оцениваемые бизнес-функции или услуги
ПРИМЕЧАНИЕ Это определение включает информационную систему, необходимую для обеспечения
безопасности и осуществления менеджмента безопасности.
3.3
уполномоченный экономический оператор
authorized economic operator
сторона, участвующая в международном движении товаров и выполняющая какую-либо функцию,
утвержденная национальной таможенной администрацией или действующая по её поручению, в
соответствии с рамочными стандартами Всемирной таможенной организации или равноценными
стандартами по безопасности цепи поставок
ПРИМЕЧАНИЕ 1 Термин "Уполномоченный экономический оператор" определен в рамочных стандартах
Всемирной таможенной организации.
ПРИМЕЧАНИЕ 2 В частности, Уполномоченными экономическими операторами могут быть изготовители,
импортеры, экспортеры, брокеры, перевозчики, объединители, посредники, порты, аэропорты, операторы
терминалов, интегрированные операторы, товарные склады и дистрибьюторы.
3.4
партнер по бизнесу
business partner
подрядчик, поставщик или организация, занимающаяся предоставлением услуг, с которыми
организация заключает контракты с целью получения помощи при выполнении её функций, как
организации, работающей в цепи поставок (3.15)
3.5
грузовые транспортные средства
cargo transport unit
грузовой автомобиль, железнодорожный грузовой вагон, грузовой контейнер, автоцистерна,
железнодорожная цистерна или передвижная цистерна

1
Будет опубликован. Пересмотр ISO/PAS 20858:2004.
2 © ISO 2007 – Все права сохраняются

---------------------- Page: 8 ----------------------
ISO 28001:2007(R)
3.6
последствие
consequence
возможные потери в людях, ущерб, причиненный собственности, или экономический ущерб, включая
разрушение транспортных систем, вызванные атакой на организацию, работающую в цепи поставок,
или вследствие использования цепи поставок как оружия
3.7
средство транспортировки
conveyance
физические средства международной торговли, используемые для перевозки товаров из одного места
в другое
ПРИМЕРЫ Коробка, поддон, грузовое транспортное средство, оборудование для погрузки и разгрузки грузов,
грузовик, судно, самолет и железнодорожный вагон.
3.8
контрмеры
countermeasures
действия, предпринимаемые для снижения вероятности сценария угроз безопасности, которые могут
возникать при выполнении поставленных целей, или для сокращения возможных последствий
3.9
охрана
custody
промежуток времени, в течение которого организация, работающая в цепи поставок, непосредственно
контролирует изготовление, обработку, погрузочно-разгрузочные работы и транспортировку товаров, а
также информацию, связанную с их доставкой в цепи поставок
3.10
последующие действия
downstream
такие действия как погрузочно-разгрузочные работы, обработка и движение товаров после того, как
они выходят из-под контроля организации в цепи поставок
3.11
товары
goods
изделия, которые после размещения заказа на покупку изготавливаются, обрабатываются,
погружаются-разгружаются и транспортируются в цепи поставок для использования и потребления
покупателем
3.12
международная цепь поставок
international supply chain
цепь поставок, которая в определенном месте пересекает международную или экономическую границу
ПРИМЕЧАНИЕ 1 Все части указанной цепи считаются международными с момента заключения заказа до
момента когда товары проходят таможенного контроль в стране или экономической зоне назначения.
ПРИМЕЧАНИЕ 2 Если договоры или региональные соглашения исключают таможенную очистку товаров из
установленных стран или экономических зон, окончанием международной цепи поставок является порт страны
или экономической зоны назначения, где товары должны проходить таможенную очистку, если соглашения или
договоры не были заключены на месте.
© ISO 2007 – Все права сохраняются 3

---------------------- Page: 9 ----------------------
ISO 28001:2007(R)
3.13
вероятность
likelihood
легкость или трудности, с которыми сценарий угроз безопасности может развиваться с переходом в
происшествие, связанное с недостаточным обеспечением безопасности
ПРИМЕЧАНИЕ Вероятность оценивается на основе противодействия процесса обеспечения безопасности
происшествию, включая проверку сценария угроз и либо количественную, либо качественную оценку.
3.14
система менеджмента
management system
структура организации для управления её процессами или действиями, которые превращают
привлекаемые ресурсы в изделия или услуги в соответствии с целями организации
ПРИМЕЧАНИЕ Целью настоящего документа не является создание специальной системы менеджмента и/или
отдельной системы менеджмента безопасности. Примерами систем менеджмента являются ISO 9001 (Системы
менеджмента качества), ISO 14001 (Системы экологического менеджмента), ISO 28000 (Системы менеджмента
безопасности цепи поставок), и система Международного менеджмента безопасности (ISM) Международной
морской организации.
3.15
организация, участвующая в цепи поставок
organization in the supply chain
любая организация, которая
– изготавливает, перегружает, обрабатывает, загружает, объединяет, отгружает или принимает
товары после размещения заказа на поставку, которые в определенном месте пересекают
международную или экономическую границу;
– транспортирует товары любым способом в международной цепи поставок независимо от того,
пересекает ли её сегмент цепи поставок национальную (или экономическую) границу; или
– обеспечивает, управляет или предоставляет, распределяет или передает информацию по
поставкам, используемую таможенными агентствами или в практике деловых отношений.
3.16
менеджмент рисков
risk management
процесс принятия решений по менеджменту, основанных на анализе возможных угроз, их последствий,
вероятности их успеха
ПРИМЕЧАНИЕ Процесс менеджмента рисков обычно инициируется для оптимизации распределения ресурсов
организации, необходимых для работы в конкретной обстановке.
3.17
область применения услуг
scope of service
функция (функции), которую (которые) выполняет организация, участвующая в цепи поставок, а также
где она выполняет эту функцию (эти функции)
3.18
декларация безопасности
security declaration
документированные обязательства партнера по бизнесу, определяющие меры по обеспечению
безопасности, осуществляемые им, включая, как минимум, защиту товаров и физических средств
международной торговли, защиту соответствующей информации, а также демонстрацию и проверку
мер по обеспечению безопасности
4 © ISO 2007 – Все права сохраняются

---------------------- Page: 10 ----------------------
ISO 28001:2007(R)
ПРИМЕЧАНИЕ Эта декларация может использоваться организацией, участвующей в цепи поставок, для
оценивания адекватности мер по обеспечению безопасности, касающихся безопасности товаров.
3.19
план обеспечения безопасности
security plan
планируемые мероприятия, обеспечивающие адекватный менеджмент безопасности
ПРИМЕЧАНИЕ 1 Данный план должен обеспечивать применение мер, защищающих организацию от
происшествий, связанных с недостаточным обеспечением безопасности.
ПРИМЕЧАНИЕ 2 Этот план может входить в другие планы деятельности.
3.20
безопасность
security
противодействие умышленным действиям, целью которых является нанесение вреда или
повреждений самой цепи поставок или связанных с нею
3.21
происшествие, связанное с нарушением безопасности
security incident
любое действие или событие, создающее последствия (3.6)
3.22
персонал, обеспечивающий безопасность
security personnel
люди в организации, работающей в цепи поставок, на которых возложены соответствующие
обязанности по обеспечению безопасности
ПРИМЕЧАНИЕ Эти люди могут быть сотрудниками организации, а могут и не быть ими.
3.23
секретная информация; секретные материалы
security sensitive information; security sensitive materials
информация или материалы, создаваемые или входящие в процесс обеспечения безопасности цепи
поставок, содержащие информацию о процессе обеспечения безопасности, поставкам или
правительственным директивам, которая недоступна для общественности и может оказаться полезной
для людей, желающих инициировать происшествие, связанное с нарушением безопасности
3.24
цепь поставок
supply chain
связанный комплекс ресурсов и процессов, которые при размещение заказа на поставку начинаются с
получения сырья, после чего следует изготовление, обработка, погрузочно-разгрузочные работы и
доставка товаров и соответствующих услуг покупателю
ПРИМЕЧАНИЕ Цепь поставок может включать поставщиков, производственные помещения, поставщиков
материально-технического снабжения, внутренние центры распределения, дистрибьюторов, оптовиков и другие
организации, участвующие в изготовлении, обработке, погрузке-разгрузке и доставке товаров и соответствующих
услуг.
3.25
объект цели
target
персонал, транспортные средства, товары, физические активы, процессы изготовления и обработка,
системы контроля или документации в организации, участвующей в цепи поставок
© ISO 2007 – Все права сохраняются 5

---------------------- Page: 11 ----------------------
ISO 28001:2007(R)
3.26
сценарий угроз
threat scenario
происшествия, которые могут произойти вследствие недостаточного обеспечения безопасности
3.27
предшествующие действия
upstream
такие действия, как обработка, процессы и движение товаров, выполняемые до того, как они
переходят под контроль организации, участвующей в цепи поставок
3.28
Всемирная таможенная организация
World Customs Organization
WCO
независимый межправительственный орган, задачей которого является повышение результативности
и эффективности работы таможенных администраций
ПРИМЕЧАНИЕ Этот орган является межправительственной всемирной организацией, занимающейся только
таможенными вопросами.
4 Область применения
4.1 Заявление о применении
Организация, участвующая в цепи поставок, должна изложить в заявлении о применении ее часть
международной цепи поставок, которая объявлена ей как соответствующая настоящему стандарту.
Заявление о применении должно, как минимум, включать следующую информацию:
– подробное описание организации;
– сферу услуг;
– названия всех партнеров по бизнесу в установленной сфере услуг и необходимая информация по
установлению контактов с ними;
– дату завершения оценки безопасности и время действия документов подтверждения соответствия;
– подпись лица, уполномоченного поставить подпись от имени
...

INTERNATIONAL ISO
STANDARD 28001
First edition
2007-10-15

Security management systems for the
supply chain — Best practices for
implementing supply chain security,
assessments and plans — Requirements
and guidance
Systèmes de management de la sûreté pour la chaîne
d'approvisionnement — Meilleures pratiques pour la mise en application
de la sûreté de la chaîne d'approvisionnement, évaluations et plans —
Exigences et guidage




Reference number
ISO 28001:2007(E)
©
ISO 2007

---------------------- Page: 1 ----------------------
ISO 28001:2007(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.


COPYRIGHT PROTECTED DOCUMENT


©  ISO 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland

ii © ISO 2007 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 28001:2007(E)
Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions. 2
4 Field of application . 5
4.1 Statement of application . 5
4.2 Business partners. 5
4.3 Internationally accepted certificates or approvals. 5
4.4 Business partners exempt from security declaration requirement. 6
4.5 Security reviews of business partners. 6
5 Supply chain security process. 6
5.1 General. 6
5.2 Identification of the scope of security assessment . 6
5.3 Conduction of the security assessment. 7
5.4 Development of the supply chain security plan . 8
5.5 Execution of the supply chain security plan .8
5.6 Documentation and monitoring of the supply chain security process. 8
5.7 Actions required after a security incident. 8
5.8 Protection of the security information. 9
Annex A (informative) Supply chain security process . 10
A.1 General. 10
A.2 Identification of the scope of the security assessment. 10
A.3 Conduction of the security assessment.11
A.4 Development of the security plan . 15
A.5 Execution of the security plan. 17
A.6 Documentation and monitoring of the security process. 17
A.7 Continual improvement. 17
Annex B (informative) Methodology for security risk assessment and development of
countermeasures. 18
B.1 General. 18
B.2 Step one – Consideration of the security threat scenarios. 20
B.3 Step two – Classification of consequences. 22
B.4 Step three – Classification of likelihood of security incidents . 23
B.5 Step four – Security incident scoring. 24
B.6 Step five – Development of countermeasures. 24
B.7 Step six – Implementation of countermeasures. 25
B.8 Step seven – Evaluation of countermeasures . 25
B.9 Step eight – Repetition of the process . 25
B.10 Continuation of the process . 25
Annex C (informative) Guidance for obtaining advice and certification . 26
C.1 General. 26
C.2 Demonstrating conformance with ISO 28001 by audit . 26
C.3 Certification of ISO 28001 by third party certification bodies. 26
Bibliography . 27

© ISO 2007 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO 28001:2007(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 28001 was prepared by Technical Committee ISO/TC 8, Ships and marine technology, in collaboration
with other relevant technical committees responsible for specific nodes of the supply chain.
This first edition of ISO 28001 cancels and replaces ISO/PAS 28001:2006, which has been technically revised.
iv © ISO 2007 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 28001:2007(E)
Introduction
Security incidents against international supply chains are threats to international trade and the economic
growth of trading nations. People, goods, infrastructure and equipment — including means of transport —
need to be protected against security incidents and their potentially devastating effects. Such protection
benefits the economy and society as a whole.
International supply chains are highly dynamic and consist of many entities and business partners. This
International Standard recognizes this complexity. It has been developed to allow an individual organization in
the supply chain to apply its requirements in conformance with the organization’s particular business model
and its role and function in the international supply chain.
This International Standard provides an option for organizations to establish and document reasonable levels
of security within international supply chains and their components. It will enable such organizations to make
better risk-based decisions concerning the security in those international supply chains.
This International Standard is multimodal and is intended to be in concert with and to complement the World
Customs Organization’s Framework of Standards to secure and facilitate global trade (Framework). It does
not attempt to cover, replace or supersede individual customs agencies’ supply chain security programmes
and their certification and validation requirements.
The use of this International Standard will help an organization to establish adequate levels of security within
those part(s) of an international supply chain which it controls. It is also a basis for determining or validating
the level of existing security within such organizations’ supply chain(s) by internal or external auditors or by
those government agencies that choose to use compliance with this International Standard as the baseline for
acceptance into their supply chain security programmes. Customers, business partners, government agencies
and others might request organizations which claim compliance with this International Standard to undergo an
audit or a validation to confirm such compliance. Government agencies might find it mutually agreeable to
accept validations conducted by other governments’ agencies. If a third-party organization audit is to be
conducted, then the organization needs to consider employing a third-party certification body accredited by a
competent body, which is a member of the International Accreditation Forum (see Annex C).
It is not the intention of this International Standard to duplicate governmental requirements and standards
regarding supply chain security in compliance with the WCO SAFE Framework. Organizations that have
already been certified or validated by mutually recognizing governments are compliant with this International
Standard.
Outputs resulting from this International Standard will be the following.
⎯ A Statement of Coverage that defines the boundaries of the supply chain that is covered by the security
plan.
⎯ A Security Assessment that documents the vulnerabilities of the supply chain to defined security threat
scenarios. It also describes the impacts that can reasonably be expected from each of the potential
security threat scenarios.
⎯ A Security Plan that describes security measures in place to manage the security threat scenarios
identified by the Security assessment.
⎯ A training programme setting out how security personnel will be trained to meet their assigned security
related duties.
© ISO 2007 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO 28001:2007(E)
To undertake the security assessment needed to produce the security plan, an organization using this
International Standard will
⎯ identify the threats posed (security threat scenarios);
⎯ determine how likely persons could progress each of the security threat scenarios identified by the
Security Assessment into a security incident.
This determination is made by reviewing the current state of security in the supply chain. Based on the
findings of that review, professional judgment is used to identify how vulnerable the supply chain is to each
security threat scenario.
If the supply chain is considered unacceptably vulnerable to a security threat scenario, the organization will
develop additional procedures or operational changes to lower likelihood, consequence or both. These are
called countermeasures. Based upon a system of priorities, countermeasures need to be incorporated into the
security plan to reduce the threat to an acceptable level.
Annexes A and B are illustrative examples of risk management based security processes for protecting people,
assets and international supply chain missions. They facilitate both a macro approach for complex supply
chains and/or more discrete approaches for portions thereof.
These annexes are also intended to
⎯ facilitate understanding, adoption and implementation of methodologies, which can be customized by
organizations;
⎯ provide guidance for baseline security management for continual improvement;
⎯ assist organizations to manage resources to address existing and emerging security risks;
⎯ describe possible means for assessment of risk and mitigation of security threats in the supply chain from
raw materiel allocation through storage, manufacturing and transportation of finished goods to the market
place.
Annex C provides guidance for obtaining advice and certification for this International Standard if an
organization using it chooses to exercise this option.

vi © ISO 2007 – All rights reserved

---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 28001:2007(E)

Security management systems for the supply chain — Best
practices for implementing supply chain security, assessments
and plans — Requirements and guidance
1 Scope
This International Standard provides requirements and guidance for organizations in international supply
chains to
⎯ develop and implement supply chain security processes;
⎯ establish and document a minimum level of security within a supply chain(s) or segment of a supply
chain;
⎯ assist in meeting the applicable authorized economic operator (AEO) criteria set forth in the World
Customs Organization Framework of Standards and conforming national supply chain security
programmes.
NOTE Only a participating National Customs Agency can designate organizations as AEOs in accordance with its
supply chain security programme and its attendant certification and validation requirements.
In addition, this International Standard establishes certain documentation requirements that would permit
verification.
Users of this International Standard will
⎯ define the portion of an international supply chain within which they have established security (see 4.1);
⎯ conduct security assessments on that portion of the supply chain and develop adequate
countermeasures;
⎯ develop and implement a supply chain security plan;
⎯ train security personnel in their security related duties.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
1)
ISO 20858:— , Ships and marine technology — Maritime port facility security assessments and security plan
development

1) To be published. Revision of ISO/PAS 20858:2004.

© ISO 2007 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO 28001:2007(E)
International Convention for the Safety of Life at Sea (SOLAS), 1974, as amended, International Maritime
Organization
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
appropriate law enforcement and other government officials
those government and law enforcement personnel that have specific legal jurisdiction over the international
supply chain or portions of it
3.2
asset(s)
plant, machinery, property, buildings, vehicles, ships, aircraft, conveyances and other items of infrastructure or
plant and related systems that have a distinct and quantifiable business function or service
NOTE This definition includes any information system that is integral to the delivery of security and the application of
security management.
3.3
authorized economic operator
party involved in the international movement of goods in whatever function that has been approved by or on
behalf of a national customs administration as complying with WCO or equivalent supply chain security
standards
NOTE 1 Authorized economic operator is a term defined in the World Customs Organization Framework of Standards.
NOTE 2 Authorized economic operators include inter alia manufacturers, importers, exporters, brokers, carriers,
consolidators, intermediaries, ports, airports, terminal operators, integrated operators, warehouses and distributors.
3.4
business partner
those contractors, suppliers or service providers that an organization contracts with to assist the organization
in its function as an organization in the supply chain (3.15)
3.5
cargo transport unit
road freight vehicle, railway freight wagon, freight container, road tank vehicle, railway tank wagon or portable
tank
3.6
consequence
loss of life, damage to property or economic disruption, including disruption to transport systems, that can
reasonably be expected as a result of an attack on an organization in the supply chain or by the use of the
supply chain as a weapon
3.7
conveyance
physical instrument of international trade that transports goods from one location to another
EXAMPLES Box, pallet, cargo transport unit, cargo handling equipment, truck, ship, aircraft and railcar.
3.8
countermeasures
actions taken to lower the likelihood of a security threat scenario succeeding in its objectives, or to reduce the
likely consequences of a security threat scenario
2 © ISO 2007 – All rights reserved

---------------------- Page: 8 ----------------------
ISO 28001:2007(E)
3.9
custody
period of time where an organization in the supply chain is directly controlling the manufacturing, processing,
handling and transportation of goods and their related shipping information within the supply chain
3.10
downstream
handling, processes and movements of goods when they no longer are in the custody of the organization in
the supply chain
3.11
goods
those items or materials that, upon the placement of a purchase order, are being manufactured, processed,
handled or transported within the supply chain for usage or consumption by the purchaser
3.12
international supply chain
supply chain that at some point crosses an international or economic border
NOTE 1 All portions of this chain are considered international from the time a purchase order is concluded to the point
where the goods are released from customs control in the destination country or economy.
NOTE 2 If treaties or regional agreements have eliminated customs clearance of goods from specified countries or
economies, the end of the international supply chain is the port of entry into the destination country or economy where the
goods would have cleared customs if the agreements or treaties had not been in place.
3.13
likelihood
ease or difficulty with which a security threat scenario could progress to become a security incident
NOTE Likelihood is evaluated based on the resistance the security processes in place pose to a security incident
involving the security threat scenario being examined and is expressed either qualitatively or quantitatively.
3.14
management system
organization’s structure for managing its processes or activities that transform inputs of resources into a
product or service, which meet the organization’s objectives
NOTE It is not the intent of this International Standard to specify a specific management system or require the
creation of a separate security management system. ISO 9001 (Quality Management Systems), ISO 14001
(Environmental Management Systems), ISO 28000 (Security management systems for the supply chain), and the
International Maritime Organization’s International Safety Management (ISM) Code are examples of management systems.
3.15
organization in the supply chain
any entity that
⎯ manufactures, handles, processes, loads, consolidates, unloads or receives goods upon placement of a
purchase order that at some point cross an international or economy border;
⎯ transports goods by any mode in the international supply chain regardless of whether their particular
segment of the supply chain crosses national (or economy) boundaries; or
⎯ provides, manages or conducts the generation, distribution or flow of shipping information used by
customs agencies or in business practices.
3.16
risk management
process of making management decisions based on an analysis of possible threats, their consequences, and
their probability or likelihood of success
© ISO 2007 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO 28001:2007(E)
NOTE A risk management process is normally initiated for the purposes of optimizing the organization’s resource
allocation necessary to operate in a particular environment.
3.17
scope of service
function(s) that an organization in the supply chain performs, and where it performs this/these functions
3.18
security declaration
documented commitment by a business partner, which specifies security measures implemented by that
business partner, including, at a minimum, how goods and physical instruments of international trade are
safeguarded, associated information is protected and security measures are demonstrated and verified
NOTE It will be used by the organization in the supply chain to evaluate the adequacy of security measures related to
the security of goods.
3.19
security plan
planned arrangements for ensuring that security is adequately managed
NOTE 1 It is designed to ensure the application of measures that protect the organization from a security incident.
NOTE 2 The plan can be incorporated into other operational plans.
3.20
security
resistance to intentional acts designed to cause harm or damage to or by the supply chain
3.21
security incident
any act or circumstance that produces a consequence (3.6)
3.22
security personnel
those people in the organization in the supply chain that have been assigned security related duties
NOTE These people may or may not be employees of the organization.
3.23
security sensitive information
security sensitive materials
information or materials, produced by or incorporated into the supply chain security process, that contain
information about the security processes, shipments or government directives that would not be readily
available to the public and would be useful to someone wishing to initiate a security incident
3.24
supply chain
linked set of resources and processes that upon placement of a purchase order begins with the sourcing of
raw material and extends through the manufacturing, processing, handling and delivery of goods and related
services to the purchaser
NOTE The supply chain may include vendors, manufacturing facilities, logistics providers, internal distribution centres,
distributors, wholesalers and other entities involved in the manufacturing, processing, handling and delivery of the goods
and their related services.
3.25
target
personnel, means of transport, goods, physical assets, manufacturing processes and handling, control or
documentation systems within an organization in the supply chain
4 © ISO 2007 – All rights reserved

---------------------- Page: 10 ----------------------
ISO 28001:2007(E)
3.26
security threat scenario
means by which a potential security incident might occur
3.27
upstream
handling, processes and movements of goods that occur before the organization in the supply chain takes
custody of the goods
3.28
World Customs Organization
WCO
independent intergovernmental body whose mission is to enhance the effectiveness and efficiency of customs
administrations
NOTE It is the only intergovernmental worldwide organization competent in customs matters.
4 Field of application
4.1 Statement of application
The organization in the supply chain shall describe the portion of the international supply chain that it claims to
be in compliance with this International Standard in a Statement of Application. The Statement of Application
shall at least include the following information:
a) details of the organization;
b) scope of service;
c) names and contact information of all business partners within the defined scope of service;
d) date the security assessment was completed and period of validity of the security assessment; and
e) signature of an individual authorized to sign on behalf of that organization.
Organizations in the supply chain may extend the Statement of Application to include other parts of the supply
chain, e.g. including final destination.
4.2 Business partners
If within the supply chain described in the Statement of Application the organization is using business partners,
the organization shall, subject to 4.3 and 4.4, require such business partners to provide a security declaration.
The organization shall consider this security declaration in its security assessment and may require specific
countermeasures to be enacted.
4.3 Internationally accepted certificates or approvals
Transportation companies and facilities, which hold internationally accepted certificates or approvals, issued
pursuant to mandatory international conventions governing the security of the various transportation sectors,
will have in place security practices, plans and processes that meet the applicable requirements of this
International Standard and are not required to be audited to confirm such compliance. For shipping companies,
ships and port facilities, the certificates or approvals shall be issued in accordance with SOLAS XI-2/4 or
SOLAS XI-2/10, as applicable.
In conformance with Clause 1, national customs agencies may, in addition to possession of internationally
accepted security certificates or approvals, require additional security measures and practices to be
implemented by transportation companies and facilities as a condition for designation as an AEO.
© ISO 2007 – All rights reserved 5

---------------------- Page: 11 ----------------------
ISO 28001:2007(E)
4.4 Business partners exempt from security declaration requirement
Those business partners that confirm to the organization that they
a) are verified compliant with this International Standard or ISO 20858,
b) are covered by 4.3, or
c) have been designated as AEOs in accordance with a national customs agency’s supply chain security
programme which has been determined to be in accordance with the WCO SAFE Framework,
shall be listed on the Statement of Application. However, the organization does not need to conduct additional
security assessments for such business partners or require them to provide security declarations.
4.5 Security reviews of business partners
Except for business partners covered by 4.3 or 4.4, the organization in the supply chain shall conduct reviews
of their business partners’ processes and facilities to ascertain the validity of their declarations of security. The
extent
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.