01ISO 28000供應鏈安全管理體系簡介  ISO28000 是guojibiaozhun化組織（ISO）開發(fā)的供應鏈安全管理體系標準，適用于任何規(guī)模和類型的涉及采購、制造、服務、倉儲、運輸和銷售過程的企業(yè)和組織，能幫助企業(yè)改進和優(yōu)化供應鏈的效率、可見性和安全性，化解供應鏈潛在的安全威脅。
ISO28000認證是非強制性管理體系認證，由第三方認證機構依據(jù)ISO28000供應鏈安全管理體系對符合標準的企業(yè)頒發(fā)認證證書。
最新版供應鏈安全管理體系標準ISO28000:2022已發(fā)布，依據(jù)ISO28000:2007版標準的認證企業(yè)需要在2025年3月15日之前完成轉版審核并獲得ISO28000:2022版證書。
   02為什么需要供應鏈安全管理體系供應鏈及其支持過程、系統(tǒng)和網(wǎng)絡都是重要的業(yè)務資產。
定義、實現(xiàn)、保持和改進信息安全對保持競爭優(yōu)勢、現(xiàn)金周轉、贏利、守法和商業(yè)形象可能是至關重要的。
各組織及其供應鏈系統(tǒng)和網(wǎng)絡面臨來自各個方面的安全威脅，包括計算機輔助欺詐、惡意破壞、毀壞行為、火災或洪水。
例如惡意代碼、計算機黑客搗亂和拒絕服務攻擊等導致破壞的安全威脅，已經(jīng)變得更加普遍、更有野心和日益復雜。
 03ISO28000適用的行業(yè)及組織一級：道路貨物運輸、管道運輸、外航運輸及內航運輸、內河運輸、定期航空運輸及不定期航空運輸、貨物辦理與倉儲（含搬運）、其他運輸?shù)妮o助服務、郵政及特快件業(yè)務。
二級：旅行代理服務，援助旅行者服務、其他有關運輸?shù)拇怼?br>  04ISO 28000認證對企業(yè)有什么意義？ ISO 28000供應鏈安全管理體系益處：1）強化海關與私人企業(yè)間之合作，以安全的國際貿易供應鏈來促進貨物移動之安全。
2）提升高風險交運貨物之偵測能力。
3）由于全球供應鏈安全性與便捷化的標準，改善全球供應鏈的安全性以及便捷性。
4）促進貿易、增加各國政府稅收、并維護邊境安全。
同時，ISO 28000認證的目的是規(guī)避和盡可能降低來自八個方面的風險：1）客觀失效的威脅與風險，如功能失效、附帶損壞、惡意傷害、恐怖分子或犯罪行為；2）作業(yè)的威脅和風險，包括安全控制、人為因素和其他影響組織績效、條件或安全性的活動；3）自然環(huán)境事件 (風暴、洪水等) 致使安全措施和設備失效；4）超出組織控制的因素，如外部供應的設備和服務失效；5）相關方的威脅和風險，如未能滿足法規(guī)要求或對名譽、品牌的影響；6）安全設備的設計和安裝包括更新、維護保養(yǎng)等不到位；7）信息、數(shù)據(jù)管理和溝通缺失；8）對運行持續(xù)性的某種威脅。
也就是說，它對整個供應鏈從安全風險到經(jīng)濟效益、從環(huán)保標準到社會責任，每個環(huán)節(jié)都做出了規(guī)范標準。
  05ISO 28000認證相關知識點ISO28000供應鏈安全管理體系認證申請條件：1、國內范圍內依法登記注冊的企業(yè)2、近3年有主營業(yè)務收入，處于持續(xù)經(jīng)營狀態(tài)，非即將關、停企業(yè)3、企業(yè)無不良信用或違法違規(guī)行為記錄 ISO28000供應鏈安全管理體系認證申請流程：1、預審符合，簽訂認證合同；2、開展認證前輔導，并提交相關認證材料；3、認證機構審核員進行現(xiàn)場審核；4、認證機構審批認證結果；5、提交認證結果至國家認監(jiān)委備案，并頒發(fā)認證證書；6、后期監(jiān)督。
 ISO28000供應鏈安全管理體系認證材料：1.《認證申請書》。
2.申請方法人營業(yè)執(zhí)照復印件、組織機構代碼復印件以及相關復印件。
3.有效的管理體系文件(質量手冊、程序文件、及相關作業(yè)流程)。
4.組織認證場所清單(兩個或者兩個以上場所時提供)。
5.服務過程流程圖，主要的設備清單以及檢測清單，主要的執(zhí)行標準和法規(guī)清單，對產品符合性產品外包信息等。
6.重要環(huán)境因素清單，適用的法律法規(guī)清單及環(huán)境目標、指標和管理方案。
7.主要危險源清單，適用的法律法規(guī)清單及安全目標、指標和管理方案。
8.環(huán)境許可活動的證明文件或資質文件。
9.主要污染物，執(zhí)行的排放標準及類(級)別。
10.職業(yè)健康安全管理體系所覆蓋的活動區(qū)域示意圖。
11.申請認證的產品簡介（包括技術、產量、用途、質量、銷售等方面的信息。
 ISO28000供應鏈安全管理體系認證費用：ISO28000供應鏈安全管理體系認證費用主要由認證費、服務費、審核差旅費三部分構成。
認證費和服務費主要由企業(yè)的實際人數(shù)、辦公場所數(shù)量決定。
認證費是交給認證機構和國家認監(jiān)委的官方費用，不同的認證機構，費用會有區(qū)別。
絕大部分企業(yè)的情況，都不能完全滿足ISO28000供應鏈安全管理體系的認證條件，這就需要由咨詢公司去協(xié)助、輔導企業(yè)完善自己的管理體系，因此會有一筆服務費產生。
審核差旅費是指審核老師前往企業(yè)進行實地考察、審核時，所產生的車票、住宿、餐飲等費用，實報實銷。
     06ISO 28000 新舊版本差異分析1、系統(tǒng)更好整合章節(jié)排序組成調整為「高階結構」：條文章節(jié)型式調整成與市場上普及率最高的 ISO 9001 一致的高階結構（High Level Structure， HLS），讓企業(yè)在進行內部多系統(tǒng)整合的過程，可以更有效率。
※ 解析：找出通用型文件（組織權責說明、教育訓練、文件紀錄管理、內部審計、管理審查、供應商管理），將各系統(tǒng)要求執(zhí)行的事項寫在一起符合標準化、明確到位的精神原則。
 2、加入經(jīng)營管理思維「組織背景分析」與「利害關系人需求期望確認」：與日前市場標準系統(tǒng)建置需求最多的 ISO 9001、ISO 14001、ISO 45001 改版過程一樣，加入了「4.1 理解組織及其背景」和「4.2 了解利益相關方的需求和期望」，要求將組織的內外部議題作為建立、實施和保持管理系統(tǒng)的出發(fā)點; 強調管理系統(tǒng)與組織的內外部環(huán)境的適用性。
※ 解析：目前管理系統(tǒng)常見的「組織背景分析」執(zhí)行紀錄，會以「SWOT 分析」、「組織經(jīng)營計劃書」呈現(xiàn)，而「利益相關方需求期望確認」則是采取自制表格，盤點完與組織營運有關的利害關系人后，會按照既定頻率透過適合管道搜集相關利益關系人的意見，以確認營運方向是否有需要配合調整。
 3、強化組織風險思維引用相關標準精神：在新版條文 4.2.3 中添加了一些原則以使該標準與 ISO 31000 風險管理指南保持一致，透過有效的風險管理，加強公司供應鏈安全控制能力。
※ 解析：建立 ISO 28000 的風險管理工具過程中，可參考 ISO 31000 的十一大原則和參考以下「風險管理流程」 4、風險中找出機會不僅注重風險管理，也強調找出提升機會：在第六章延續(xù)舊版本原本放在條文 4.3 中的風險管理思維之外，也加入針對供應鏈安全管理機會的討論，希望企業(yè)主可以找出更多能有效提升公司在供應鏈安全管理上改進甚至提升的機會。
※ 解析：執(zhí)行上并沒有特定的形式，但可以先了解到風險與機會本來就是一體兩面，把那些還沒有發(fā)生但已經(jīng)有考量到的問題，提前進行防呆或解決問題可能發(fā)生的根本原因就是找出機會的展現(xiàn)，另外也可以試著去評估「加強」不足之處，讓可能會產生供應鏈安全管制漏洞的機會降低， 也會是組織今天討論到風險機會議題時可以去思考的方向。
 5、持續(xù)運營是最終目的加入持續(xù)運營管理精神：在新版第八章，在安全政策、程序、流程和處理（8.5）以及安全計劃（8.6）相關的內容做了加注說明，以確保更貼近ISO 22301營運持續(xù)管理系統(tǒng)這套guojibiaozhun的精神。
※ 解析：在組織未建立 BCM（營運持續(xù)管理系統(tǒng)）的情況下，可將現(xiàn)行的「緊急應變計畫書」以 BCP 計劃的架構進行視圖、調整，以確保符合新版條文加入營運持續(xù)管理的精神。