01ISO 28000供應鏈安全管理體系簡介 ISO28000 是guojibiaozhun化組織(ISO)開發的供應鏈安全管理體系標準,適用于任何規模和類型的涉及采購、制造、服務、倉儲、運輸和銷售過程的企業和組織,能幫助企業改進和優化供應鏈的效率、可見性和安全性,化解供應鏈潛在的安全威脅。
ISO28000認證是非強制性管理體系認證,由第三方認證機構依據ISO28000供應鏈安全管理體系對符合標準的企業頒發認證證書。
最新版供應鏈安全管理體系標準ISO28000:2022已發布,依據ISO28000:2007版標準的認證企業需要在2025年3月15日之前完成轉版審核并獲得ISO28000:2022版證書。
02為什么需要供應鏈安全管理體系供應鏈及其支持過程、系統和網絡都是重要的業務資產。
定義、實現、保持和改進信息安全對保持競爭優勢、現金周轉、贏利、守法和商業形象可能是至關重要的。
各組織及其供應鏈系統和網絡面臨來自各個方面的安全威脅,包括計算機輔助欺詐、惡意破壞、毀壞行為、火災或洪水。
例如惡意代碼、計算機黑客搗亂和拒絕服務攻擊等導致破壞的安全威脅,已經變得更加普遍、更有野心和日益復雜。
03ISO28000適用的行業及組織一級:道路貨物運輸、管道運輸、外航運輸及內航運輸、內河運輸、定期航空運輸及不定期航空運輸、貨物辦理與倉儲(含搬運)、其他運輸的輔助服務、郵政及特快件業務。
二級:旅行代理服務,援助旅行者服務、其他有關運輸的代理。
04ISO 28000認證對企業有什么意義? ISO 28000供應鏈安全管理體系益處:1)強化海關與私人企業間之合作,以安全的國際貿易供應鏈來促進貨物移動之安全。
2)提升高風險交運貨物之偵測能力。
3)由于全球供應鏈安全性與便捷化的標準,改善全球供應鏈的安全性以及便捷性。
4)促進貿易、增加各國政府稅收、并維護邊境安全。
ISO 28000認證的目的是規避和盡可能降低來自八個方面的風險:1)客觀失效的威脅與風險,如功能失效、附帶損壞、惡意傷害、恐怖分子或犯罪行為;2)作業的威脅和風險,包括安全控制、人為因素和其他影響組織績效、條件或安全性的活動;3)自然環境事件 (風暴、洪水等) 致使安全措施和設備失效;4)超出組織控制的因素,如外部供應的設備和服務失效;5)相關方的威脅和風險,如未能滿足法規要求或對名譽、品牌的影響;6)安全設備的設計和安裝包括更新、維護保養等不到位;7)信息、數據管理和溝通缺失;8)對運行持續性的某種威脅。
也就是說,它對整個供應鏈從安全風險到經濟效益、從環保標準到社會責任,每個環節都做出了規范標準。
05ISO 28000認證相關知識點ISO28000供應鏈安全管理體系認證申請條件:1、國內范圍內依法登記注冊的企業2、近3年有主營業務收入,處于持續經營狀態,非即將關、停企業3、企業無不良信用或違法違規行為記錄 ISO28000供應鏈安全管理體系認證申請流程:1、預審符合,簽訂認證合同;2、開展認證前輔導,并提交相關認證材料;3、認證機構審核員進行現場審核;4、認證機構審批認證結果;5、提交認證結果至國家認監委備案,并頒發認證證書;6、后期監督。
ISO28000供應鏈安全管理體系認證材料:1.《認證申請書》。
2.申請方法人營業執照復印件、組織機構代碼復印件以及相關復印件。
3.有效的管理體系文件(質量手冊、程序文件、及相關作業流程)。
4.組織認證場所清單(兩個或者兩個以上場所時提供)。
5.服務過程流程圖,主要的設備清單以及檢測清單,主要的執行標準和法規清單,對產品符合性產品外包信息等。
6.重要環境因素清單,適用的法律法規清單及環境目標、指標和管理方案。
7.主要危險源清單,適用的法律法規清單及安全目標、指標和管理方案。
8.環境許可活動的證明文件或資質文件。
9.主要污染物,執行的排放標準及類(級)別。
10.職業健康安全管理體系所覆蓋的活動區域示意圖。
11.申請認證的產品簡介(包括技術、產量、用途、質量、銷售等方面的信息。
ISO28000供應鏈安全管理體系認證費用:ISO28000供應鏈安全管理體系認證費用主要由認證費、服務費、審核差旅費三部分構成。
認證費和服務費主要由企業的實際人數、辦公場所數量決定。
認證費是交給認證機構和國家認監委的官方費用,不同的認證機構,費用會有區別。
絕大部分企業的情況,都不能完全滿足ISO28000供應鏈安全管理體系的認證條件,這就需要由咨詢公司去協助、輔導企業完善自己的管理體系,會有一筆服務費產生。
審核差旅費是指審核老師前往企業進行實地考察、審核時,所產生的車票、住宿、餐飲等費用,實報實銷。
06ISO 28000 新舊版本差異分析1、系統更好整合章節排序組成調整為「高階結構」:條文章節型式調整成與市場上普及率最高的 ISO 9001 一致的高階結構(High Level Structure, HLS),讓企業在進行內部多系統整合的過程,可以更有效率。
※ 解析:找出通用型文件(組織權責說明、教育訓練、文件紀錄管理、內部審計、管理審查、供應商管理),將各系統要求執行的事項寫在一起符合標準化、明確到位的精神原則。
2、加入經營管理思維「組織背景分析」與「利害關系人需求期望確認」:與日前市場標準系統建置需求最多的 ISO 9001、ISO 14001、ISO 45001 改版過程一樣,加入了「4.1 理解組織及其背景」和「4.2 了解利益相關方的需求和期望」,要求將組織的內外部議題作為建立、實施和保持管理系統的出發點; 強調管理系統與組織的內外部環境的適用性。
※ 解析:目前管理系統常見的「組織背景分析」執行紀錄,會以「SWOT 分析」、「組織經營計劃書」呈現,而「利益相關方需求期望確認」則是采取自制表格,盤點完與組織營運有關的利害關系人后,會按照既定頻率透過適合管道搜集相關利益關系人的意見,以確認營運方向是否有需要配合調整。
3、強化組織風險思維引用相關標準精神:在新版條文 4.2.3 中添加了一些原則以使該標準與 ISO 31000 風險管理指南保持一致,透過有效的風險管理,加強公司供應鏈安全控制能力。
※ 解析:建立 ISO 28000 的風險管理工具過程中,可參考 ISO 31000 的十一大原則和參考以下「風險管理流程」 4、風險中找出機會不僅注重風險管理,也強調找出提升機會:在第六章延續舊版本原本放在條文 4.3 中的風險管理思維之外,也加入針對供應鏈安全管理機會的討論,希望企業主可以找出更多能有效提升公司在供應鏈安全管理上改進甚至提升的機會。
※ 解析:執行上并沒有特定的形式,但可以先了解到風險與機會本來就是一體兩面,把那些還沒有發生但已經有考量到的問題,提前進行防呆或解決問題可能發生的根本原因就是找出機會的展現,也可以試著去評估「加強」不足之處,讓可能會產生供應鏈安全管制漏洞的機會降低, 也會是組織今天討論到風險機會議題時可以去思考的方向。
5、持續運營是最終目的加入持續運營管理精神:在新版第八章,在安全政策、程序、流程和處理(8.5)以及安全計劃(8.6)相關的內容做了加注說明,以確保更貼近ISO 22301營運持續管理系統這套guojibiaozhun的精神。
※ 解析:在組織未建立 BCM(營運持續管理系統)的情況下,可將現行的「緊急應變計畫書」以 BCP 計劃的架構進行視圖、調整,以確保符合新版條文加入營運持續管理的精神。
