ISO 28000

Zarządzanie bezpieczeństwem łańcucha dostaw – czyli budowanie wiarygodności biznesowej. Przegląd wymagań rodziny norm ISO 28000.

Przez ostatnie lata nieustająca globalizacja wywołuje ciągły wzrost światowego handlu, przy jednocześnie widocznym wzroście potrzeb w zakresie bezpieczeństwa łańcucha dostaw. Międzynarodowy Komitet Normalizacyjny (ISO) opublikowało wytyczne dobrej praktyki dla wdrażania bezpieczeństwa łańcucha dostaw. ISO/PAS 28001:2006 – Systemy zarządzania bezpieczeństwem dla łańcucha dostaw – najlepsza praktyka dla wdrażania, pozwoli organizacjom określić właściwe poziomy bezpieczeństwa i pomoże im podejmować lepsze decyzje dotyczące zarządzania ryzykiem. ISO/PAS 28004:2006 – Systemy zarządzania bezpieczeństwem dla łańcucha dostaw – wytyczne dla wdrożenia ISO/PAS 28000 pomoże organizacjom wdrożyć  tę normę. ISO dostarcza wymagania, które stanowią standard dostępny na poziomie globalnym. Dokumenty te zostały stworzone, aby umożliwić monitorowanie przepływu dostaw, aby zwalczać przemyt i ataki terrorystyczne, oraz aby stworzyć bezpieczny system międzynarodowego łańcucha dostaw, jak również systemowe podejście do identyfikacji, reagowania oraz monitorowania wszelkich ryzyk z tym związanych.

W szczególności wg ekspertów PBSG organizacja powinna wypracować metodykę, która pozwoli na identyfikowane zagrożeń i ryzyk, przeprowadzanie ich analizy (szacowania), określenie niezbędnych do podjęcia działań oraz wdrożenie środków kontroli. Zakres i skala podejmowanych działań związane z zagrożeniami powinny przy tym być adekwatne do typu i skali operacji. Określona metodyka powinna uwzględniać zatem prawdopodobieństwo wystąpienia oraz skutków ewentualnych zdarzeń, takich jak:

  • fizyczne uszkodzenie oraz ryzyko związane z funkcjonalnością, przypadkowym lub zamierzonym zniszczeniem, atakami terrorystycznymi itp.
  • zagrożenia dla działalności, łącznie z kontrolą bezpieczeństwa i czynnikami ludzkimi oraz innymi czynnikami mogącymi mieć wpływ na działalność organizacji,
  • klęski żywiołowe (huragany, powodzie itp.),
  • zdarzeń niezależnych od organizacji, takich jak niepowodzenia dostawców, firm serwisujących itp.
  • zagrożeń powodujących utratę reputacji oraz znaczenia marki,
  • przepływu i zarządzania informacjami i danymi,
  • projektowaniem i instalowaniem systemów bezpieczeństwa,
  • zagrożeń wpływających na ciągłość działania.

Według PBSG organizacja powinna  zapewnić mechanizmy kontroli i monitorowania oraz, jeżeli jest to niezbędne, na bieżąco aktualizować cele i plan zarządzania bezpieczeństwem oraz wszystkimi procesami mającymi wpływ na funkcjonowanie systemu bezpieczeństwa w organizacji, np.: planowanie szkoleń, program zarządzania bezpieczeństwem itp.

Przegląd rodziny norm ISO 28000

ISO/PAS 28000 Systemy zarządzania bezpieczeństwem dla łańcucha dostaw – wymagania jest standardem w zakresie zarządzania bezpieczeństwem łańcucha dostaw. Wymagania standardu określają sposób budowy systemu i zarządzania procesami w organizacjach współpracujących w ramach łańcucha dostaw.

Struktura systemu zbudowana w oparciu o wymagania ISO/PAS 28000:2005 pozwala na minimalizację ryzyka bezpieczeństwa, wystąpienia incydentów i zapobiegania negatywnym zdarzeniom mogącym wystąpić w poszczególnych etapach łańcucha. Budowa systemu opiera się na ocenie ryzyka poszczególnych  elementów procesów (finansowych, produkcyjnych, przepływu informacji itp.) ISO/PAS 28000 jako system zarządzania w szczególności został rozwinięty przez firmy logistyczne, których specyfika funkcjonowania oparta jest na łańcuchu dostaw. Obecnie struktura wymagań pozwala na wdrożenie systemu w oparciu o ISO 28000 w każdego typu organizacji (produkcja, usługi, magazynowanie, transport), gdzie specyfika procesów i potrzeby klientów wymagają właściwych mechanizmów bezpieczeństwa systemu.

ISO/PAS 28001:2006 System zarządzania bezpieczeństwem łańcucha dostaw – najlepsza praktyka wdrażania, dostarcza organizacjom wymagania i wskazówki dla międzynarodowego łańcucha dostaw w:

  • rozwijaniu i wprowadzaniu w życie procesów uwzględniających bezpieczeństwo łańcucha dostaw
  • ustalaniu i dokumentowaniu minimalnego akceptowalnego przez organizację poziomu bezpieczeństwa na przestrzeni łańcucha dostaw lub w części łańcucha dostaw;
  • wspieraniu Authorized Economic Operators w ustalaniu odpowiednich kryteriów i dostosowywaniu programu bezpieczeństwa narodowego łańcucha dostaw.

Dodatkowo, norma ISO/PAS 28001:2006 ustala zakres wymaganej dokumentacji, który pozwala na weryfikowanie procesów.

Firmy chcące wdrożyć ISO/PAS 28001:2006 powinny:

  • zdefiniować łańcuch dostaw o ustalonym poziomie bezpieczeństwa
  • przeprowadzać ocenę wrażliwości bezpieczeństwa na etapach łańcucha dostaw i rozwijać odpowiednie środki zapobiegawcze;
  • rozwijać i wprowadzać w życie plan bezpieczeństwa łańcucha dostaw;
  • szkolić personel odpowiedzialny za bezpieczeństwo dostaw.

ISO/PAS 28003 – wymagania dla auditowania i certyfikacji systemów zarządzania bezpieczeństwem łańcucha dostaw, zawiera wymagania, które mają zapewnić kompetentność i niezależności jednostkom certyfikujących system.

Celem norm jest dostarczenie zaufania sektorowi prywatnemu i publicznemu, który będzie mógł wymagać od dostawców transportujących towary drogą wodną, powietrzną, transportem drogowym i kolejowym certyfikatu bezpieczeństwa.

Norma ISO/PAS 28003:2006, System zarządzania bezpieczeństwem łańcucha dostaw – Wymagania dla jednostek certyfikacyjnych, jest dokumentem bliźniaczym do ISO/PAS 28000:2005, Wymagania dla systemu zarządzania bezpieczeństwem łańcucha dostaw. Certyfikacja na normę ISO/PAS 28000:2005 nie jest wymagana. Organizacje same decydują czy chcą się certyfikować i czy będą wymagać certyfikatu od innych.

Norma ISO/PAS 28004:2006 – System zarządzania bezpieczeństwem łańcucha dostaw – wytyczne (dla wdrożenia), dostarcza ogólnych rad  pomagających wdrożyć system ISO/PAS 28000:2005.

To wydanie normy określa zasady systemu ISO/PAS 28000 i opisuje intencje, typowe dane wejściowe, a także procesy i typowe dane wyjściowe dla każdego z wymagań systemu ISO/PAS 28000. Norma ta jest pomocą w zrozumieniu i wdrożeniu systemu ISO/PAS 28000.

ISO/PAS 28004:2006 nie tworzy dodatkowych wymagań specyficznych dla systemu ISO/PAS 28000, ani nie nakazuje stosowania określonych metod i narzędzi w systemie ISO/PAS 28000.

Szczegółowo metodykę wdrażania i zarządzana bezpieczeństwem łańcucha dostaw w oparciu o ISO 28000 eksperci PBSG prezentują w najnowszej edycji wydawnictwa Verlag.