01
ISO 28000供应链安全管理体系简介
ISO28000 是guojibiaozhun化组织(ISO)开发的供应链安全管理体系标准,适用于任何规模和类型的涉及采购、制造、服务、仓储、运输和销售过程的企业和组织,能帮助企业改进和优化供应链的效率、可见性和安全性,化解供应链潜在的安全威胁。
Zui新版供应链安全管理体系标准ISO28000:2022已发布,依据ISO28000:2007版标准的认证企业需要在2025年3月15日之前完成转版审核并获得ISO28000:2022版证书。
02
为什么需要供应链安全管理体系
供应链及其支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。
各组织及其供应链系统和网络面临来自各个方面的安全威胁,包括计算机辅助欺诈、恶意破坏、毁坏行为、火灾或洪水。例如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁,已经变得更加普遍、更有野心和日益复杂。
03
ISO28000适用的行业及组织
一级:道路货物运输、管道运输、外航运输及内航运输、内河运输、定期航空运输及不定期航空运输、货物办理与仓储(含搬运)、其他运输的辅助服务、邮政及特快件业务。
二级:旅行代理服务,援助旅行者服务、其他有关运输的代理。
04
ISO 28000认证对企业有什么意义?
ISO 28000供应链安全管理体系益处:1)强化海关与私人企业间之合作,以安全的国际贸易供应链来促进货物移动之安全。2)提升高风险交运货物之侦测能力。3)由于全球供应链安全性与便捷化的标准,改善全球供应链的安全性以及便捷性。4)促进贸易、增加各国政府税收、并维护边境安全。
同时,ISO28000认证的目的是规避和尽可能降低来自八个方面的风险:1)客观失效的威胁与风险,如功能失效、附带损坏、恶意伤害、恐怖分子或犯罪行为;2)作业的威胁和风险,包括安全控制、人为因素和其他影响组织绩效、条件或安全性的活动;3)自然环境事件 (风暴、洪水等) 致使安全措施和设备失效;4)超出组织控制的因素,如外部供应的设备和服务失效;5)相关方的威胁和风险,如未能满足法规要求或对名誉、品牌的影响;6)安全设备的设计和安装包括更新、维护保养等不到位;7)信息、数据管理和沟通缺失;8)对运行持续性的某种威胁。也就是说,它对整个供应链从安全风险到经济效益、从环保标准到社会责任,每个环节都做出了规范标准。
05
ISO 28000认证相关知识点
ISO28000供应链安全管理体系认证申请条件:
1、国内范围内依法登记注册的企业2、近3年有主营业务收入,处于持续经营状态,非即将关、停企业3、企业无不良信用或违法违规行为记录
ISO28000供应链安全管理体系认证申请流程:
ISO28000供应链安全管理体系认证材料:
1.《认证申请书》。2.申请方法人营业执照复印件、组织机构代码复印件以及相关复印件。3.有效的管理体系文件(质量手册、程序文件、及相关作业流程)。4.组织认证场所清单(两个或者两个以上场所时提供)。5.服务过程流程图,主要的设备清单以及检测清单,主要的执行标准和法规清单,对产品符合性产品外包信息等。6.重要环境因素清单,适用的法律法规清单及环境目标、指标和管理方案。7.主要危险源清单,适用的法律法规清单及安全目标、指标和管理方案。8.环境许可活动的证明文件或资质文件。9.主要污染物,执行的排放标准及类(级)别。10.职业健康安全管理体系所覆盖的活动区域示意图。11.申请认证的产品简介(包括技术、产量、用途、质量、销售等方面的信息。
ISO28000供应链安全管理体系认证费用:
ISO28000供应链安全管理体系认证费用主要由认证费、服务费、审核差旅费三部分构成。认证费和服务费主要由企业的实际人数、办公场所数量决定。认证费是交给认证机构和国家认监委的官方费用,不同的认证机构,费用会有区别。绝大部分企业的情况,都不能完全满足ISO28000供应链安全管理体系的认证条件,这就需要由咨询公司去协助、辅导企业完善自己的管理体系,因此会有一笔服务费产生。审核差旅费是指审核老师前往企业进行实地考察、审核时,所产生的车票、住宿、餐饮等费用,实报实销。
06
ISO 28000 新旧版本差异分析
1、系统更好整合
章节排序组成调整为「高阶结构」:条文章节型式调整成与市场上普及率Zui高的 ISO 9001 一致的高阶结构(HighLevel Structure, HLS),让企业在进行内部多系统整合的过程,可以更有效率。
※解析:找出通用型文件(组织权责说明、教育训练、文件纪录管理、内部审计、管理审查、供应商管理),将各系统要求执行的事项写在一起符合标准化、明确到位的精神原则。
2、加入经营管理思维
「组织背景分析」与「利害关系人需求期望确认」:与日前市场标准系统建置需求Zui多的 ISO9001、ISO 14001、ISO 45001 改版过程一样,加入了「4.1 理解组织及其背景」和「4.2了解利益相关方的需求和期望」,要求将组织的内外部议题作为建立、实施和保持管理系统的出发点;强调管理系统与组织的内外部环境的适用性。※ 解析:目前管理系统常见的「组织背景分析」执行纪录,会以「SWOT分析」、「组织经营计划书」呈现,而「利益相关方需求期望确认」则是采取自制表格,盘点完与组织营运有关的利害关系人后,会按照既定频率透过适合管道搜集相关利益关系人的意见,以确认营运方向是否有需要配合调整。
3、强化组织风险思维
引用相关标准精神:在新版条文 4.2.3 中添加了一些原则以使该标准与 ISO 31000风险管理指南保持一致,透过有效的风险管理,加强公司供应链安全控制能力。※ 解析:建立 ISO 28000 的风险管理工具过程中,可参考 ISO 31000的十一大原则和参考以下「风险管理流程」
4、风险中找出机会
不仅注重风险管理,也强调找出提升机会:在第六章延续旧版本原本放在条文4.3中的风险管理思维之外,也加入针对供应链安全管理机会的讨论,希望企业主可以找出更多能有效提升公司在供应链安全管理上改进甚至提升的机会。
※解析:执行上并没有特定的形式,但可以先了解到风险与机会本来就是一体两面,把那些还没有发生但已经有考量到的问题,提前进行防呆或解决问题可能发生的根本原因就是找出机会的展现,另外也可以试着去评估「加强」不足之处,让可能会产生供应链安全管制漏洞的机会降低,也会是组织今天讨论到风险机会议题时可以去思考的方向。
5、持续运营是Zui终目的
加入持续运营管理精神:在新版第八章,在安全政策、程序、流程和处理(8.5)以及安全计划(8.6)相关的内容做了加注说明,以确保更贴近ISO22301营运持续管理系统这套guojibiaozhun的精神。
※ 解析:在组织未建立BCM(营运持续管理系统)的情况下,可将现行的「紧急应变计画书」以 BCP计划的架构进行视图、调整,以确保符合新版条文加入营运持续管理的精神。
