ISO 28000 供應鏈安全標準首度改版,企業應做好的準備?
ISO 28000 全名為 Security Management System Requirements,中文簡單翻譯為「供應鏈安全管理系統」。ISO 28000 容易與 ISO 45001 最容易混淆,請留意 ISO 28000 主要管理議題是 Security,旨在避免不肖份子透過貨物或貨櫃運輸等方式進行恐怖滲透與攻擊危害客戶安全甚至國土安全。 ISO 45001 則關注的議題是 Safey,指的保護是員工的工作安全、健康 ..等。
ISO 28000 供應鏈安全管理系統於 2007 年首次發布,經過了長達 15 年的時間,ISO 國際標準組織於 2022 年進行了第一次的修訂。 新版本主要的改變與多數 ISO 改版目的一致:統一的標準架構-共十個章節,並針對部分細節做了微調。
供應鏈安全關於技術要求層面(詳見下一段),新版本的 ISO 28000 幾乎沒有新要求。 已經通過 ISO 28000:2007 認證的公司在過渡到 ISO 28000:2022 時應該沒有太大問題,但仍應留意人員對條文的認知、重新安排訓練即可。如果執行團隊已經人事已非、系統原本就已經運行的零散無章法者,那應該要趁此機會重新整理,或請專家協助了。
供應鏈安全的技術要求
ISO 28000:2022 提到,控制應包含與安全管理相關之設施、設備、儀器、IT設備,並包含從設計、安裝、操作、更新到修正,簡單來說供應鏈安全管理系統不論 C-TPAT、ISO 28000、AEO,技術層面不外乎以下議題:資訊安全、封條安全、物理安全 、出入門禁控制、貨櫃安全、鑰匙管理、實體與場所安全、監視器(CCTV)。
▲ 供應鏈安全管理之關鍵重點--「貨櫃 8 點檢查法(原 7 點檢查)」,以確保出關前貨櫃完好無被破壞或夾帶爆裂物、毒品...等。(資料來源)
那麼,如果沒有太多新的技術要求,為什麼 ISO 還要費心改版呢?有過許多 ISO 改版經驗的專員應該不難猜到原因:答案就是「系統整合」:因為 ISO 28000 已有十多年歷史,它與其他相關 ISO 標準不同步,例如 ISO 9001 品質管理系統、ISO 14001 環境保護管理系以及 ISO 31000 風險管理標準。
新版條文章節的一致化
跟隨著全世界發證書量最大的 ISO 系統認證 ISO 9001:2015 版,一樣是十個章節(詳參閱文末)乍看之下 ISO 28000:2022 的變化看起來相當大,整個結構都重新安排了。仔細比對後,技術需求本身幾乎沒有變化。
▲ 條文章節採 Annex SL 架構,加上前言、文獻探討、名詞解釋,共 10 大章節。
與所有 ISO 管理系統標準一樣,ISO 28000 現在使用所謂的協調結構 (HS)。 這是所有管理系統標準通用的結構、核心文本和定義。透過這種方法,ISO 可確保管理系統協調一致並易於整合。
如果公司已建立並通過了 ISO 9001、ISO 14001 和或 ISO 45001 認證,建議您與相關部門討論如何在內部協調和整合管理系統。 由於所有這些標準共享相同的結構和核心要求,負責實施和維護這些標準的團隊可以利用架構整合並促進對管理系統的共同理解。
ISO 28000:2022 改版的主要變化
- 透過全面企業管理思維,引入風險管理架構,透過了解公司的背景與利害關係人要求(4.1、4.2),再導往風險評估與風險處理。新版的條文架構除了檢視與安全有關的風險,更要求企業考慮到「管理層面」有關的風險。
- 引述 ISO 31000 風險管理系統內容,參考一致化、通用的風險管理流程,讓未曾執行過風險管理的組織更有準備方向。
▲ 風險管理流程圖,現行多數管理系統與 ISO 標準都必須從風險角度切入,方決定後續所需採取的行動措施,在 ISO 28000 中亦將 ISO 31000 的風險管理架構列為參考。
- 在第 4.2.3 條中,添加八大管理原則,這原則參考自 ISO 31000 風險管理指南。 已導入過其他 ISO 的朋友應該不陌生,但是 ISO 28000 做了一些調整,如下:
- 在第 8 章,增加了 ISO 22301 持續營運有關的議題(BCP、BCM)。 這涉及安全策略、程序、過程和處理(8.5),以及安全計劃(8.6)。其實在許多國際準中(如 IATF 16949、RBA)已經有提到「防止營運中斷」、「持續營運」這個議題,在 2020 接連遭遇 COVID-19 新冠疫情、晶片荒、口罩荒、稀土荒、航運荒...等議題,更迫使品牌與企業不得不提前思考可能的中斷,以做好對各種緊急事故的應變與復原的準備。