この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、国家標準化団体 (ISO メンバー団体) の世界的な連合体です。国際規格の作成作業は通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。政府および非政府の国際機関も ISO と連携してこの作業に参加しています。 ISO は、電気技術の標準化に関するあらゆる事項について、国際電気標準会議 (IEC) と緊密に協力しています。
国際規格は、ISO/IEC 指令Part 2 部に規定されている規則に従って草案されています。
技術委員会の主な任務は、国際規格を作成することです。技術委員会によって採択された国際規格草案は、投票のために加盟団体に回覧されます。国際規格として発行するには、投票を行った加盟団体の少なくとも 75% による承認が必要です。
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、かかる特許権の一部またはすべてを特定する責任を負わないものとします。
ISO 28004 は、ISO/TC 8 技術委員会「船舶および海洋技術」によって、サプライチェーンの特定のノードを担当する他の関連技術委員会と協力して作成されました。
ISO 28004 のこの初版は、技術的に改訂された ISO/PAS 28004:2006 を廃止し、置き換えるものです。
序章
ISO 28000:2007, サプライチェーンのセキュリティ管理システムの仕様、およびこの国際規格は、セキュリティ管理システムを評価および認証できる、認識可能なサプライチェーン管理システム標準の必要性と、そのような標準の実装に関するガイダンスの必要性に応じて開発されました。
ISO 28000 は、ISO 9001:2000 (品質) および ISO 14001:2004 (環境) マネジメント システム規格と互換性があります。組織が希望する場合、これらは組織による品質、環境、サプライチェーン管理システムの統合を促進します。
この国際規格には、各条項/副条項の先頭にボックスが含まれており、ISO 28000 の完全な要件が示されています。その後、関連するガイダンスが続きます。この国際規格の条項番号は ISO 28000 の条項と一致しています。
この国際規格は、適切とみなされる場合には見直され、または修正されます。 ISO28000の改訂時に見直しが行われます。
この国際規格は、サプライチェーン運営者、供給者、利害関係者間の契約に必要な条項をすべて含めることを意図するものではありません。ユーザーは、その正しい適用に対して責任を負います。
この国際規格に準拠すること自体は、法的義務を免除されるものではありません。
1 スコープ
この国際規格は、サプライチェーンのセキュリティ管理システムの仕様であるISO 28000:2007 の適用に関する一般的なアドバイスを提供します。
ISO 28000 の基礎となる原則を説明し、ISO 28000 の各要件の意図、典型的なインプット、プロセス、および典型的なアウトプットについて説明します。これは、ISO 28000 の理解と実装を支援することを目的としています。
この国際規格は、ISO 28000 で指定されている要件に追加の要件を作成するものではなく、ISO 28000 の実装に対する必須のアプローチを規定するものでもありません。
ISO28000
1スコープ
この国際規格は、サプライチェーンのセキュリティ保証に重要な側面を含む、セキュリティ管理システムの要件を規定しています。これらの側面には、資金調達、製造、情報管理、輸送手段や場所間で商品を梱包、保管、転送するための設備が含まれますが、これらに限定されません。セキュリティ管理は、ビジネス管理の他の多くの側面と関連しています。これらの他の側面は、サプライチェーンに沿ったこれらの商品の輸送を含め、セキュリティ管理に影響を与える場合にここで, 直接考慮される必要があります。
この国際規格は、小規模から多国籍まで、生産またはサプライチェーンのあらゆる段階の製造、サービス、保管、輸送において、以下のことを行うあらゆる規模の組織に適用されます。
- a)セキュリティ管理システムを確立、実装、維持および改善する。
- b)定められたセキュリティ管理ポリシーの遵守を保証する。
- c)かかる遵守を他者に実証する。
- d)認定された第三者認証機関によるセキュリティ管理システムの認証/登録を求める。また
- e)この国際規格への準拠について自己決定および自己宣言を行う。
この国際規格の要件の一部に対処する立法および規制規定があります。
この国際規格の意図は、準拠の二重の実証を要求することではありません。
第三者認証を選択した組織は、サプライチェーンのセキュリティに大きく貢献していることをさらに証明できます。
2 規範的参照
規範的な参考文献は引用されていません。この条項は、ISO 28000 と同様の条項番号を保持するために含まれています。
3 用語と定義
ISO28000
3 用語と定義
3.1
施設
プラント、機械、不動産、建物、車両、船舶、港湾施設、およびその他のインフラストラクチャまたはプラント、および明確で定量化可能なビジネス機能またはサービスを備えた関連システム
注この定義には、セキュリティの提供およびセキュリティ管理の適用に重要なソフトウェア コードが含まれます。
3.2
安全
サプライチェーンに危害やダメージを与えることを意図した意図的かつ無許可の行為に対する抵抗
3.3
セキュリティ管理
組織がリスクとそれに関連する潜在的な脅威と影響を最適に管理するための体系的かつ調整された活動と実践。
3.4
セキュリティ管理目標
セキュリティ管理ポリシーを満たすためにセキュリティに要求される特定の結果または達成
注このような成果は、企業全体が顧客またはエンドユーザーに提供する製品、供給、またはサービスの提供に直接的または間接的に関連付けられていることが重要です。
3.5
セキュリティ管理方針
組織の全体的な意図と方向性。セキュリティ、および組織のポリシーと規制要件から派生し、それらと一致するセキュリティ関連のプロセスと活動を制御するためのフレームワークに関連します。
3.6
セキュリティ管理プログラム
セキュリティ管理目標を達成する手段
3.7
安全管理目標
セキュリティ管理目標を達成するために必要な特定のパフォーマンスレベル
3.8
利害関係者
組織の業績、成功、またはその活動の影響に利害関係を持つ個人または団体
注例には、顧客、株主、金融業者、保険会社、規制当局、法定機関、従業員、請負業者、サプライヤー、労働団体、または社会が含まれます。
3.9
サプライチェーン
原材料の調達から始まり、輸送手段を超えたエンドユーザーへの製品またはサービスの配送に至る、リンクされたリソースとプロセスのセット。
注サプライチェーンには、ベンダー、製造施設、物流プロバイダー、社内流通センター、販売業者、卸売業者、およびエンドユーザーにつながるその他の組織が含まれる場合があります。
3.9.1
下流
貨物が組織の直接の運営管理を離れた後に発生する、サプライチェーンにおける貨物の行動、プロセス、移動を指します。これには、保険、財務、データ管理、貨物の梱包、保管、転送が含まれますが、これらに限定されません。
3.9.2
上流の
貨物が組織の直接の運営管理下に置かれる前に発生する、サプライチェーンにおける貨物のアクション、プロセス、および移動を指します。保険、金融、データ管理、貨物の梱包、保管、転送が含まれますが、これらに限定されません。
3.10
経営トップ
最高レベルで組織を指揮し、管理する個人または人々のグループ
注意この国際基準に記載されているように、特に大規模な多国籍組織のトップマネジメントは個人的に関与しない可能性があります。ただし、指揮系統を通じた経営トップの説明責任は明示されるものとします。
3.11
継続的改善
組織のセキュリティ ポリシーと一致する全体的なセキュリティ パフォーマンスの向上を達成するために、セキュリティ管理システムを強化する繰り返しのプロセス
この文書の目的としては、ISO 28000 および以下に示されている用語と定義が適用されます。
3.1
危険
セキュリティ上の脅威が現実化する可能性とその結果
3.2
セキュリティがクリアされました
セキュリティ上の機密資料にアクセスする人の信頼性を検証するプロセス
3.3
脅威
利害関係者のいずれか、施設、業務、サプライチェーン、社会、経済、または事業の継続性と誠実性に損害を与える可能性のある意図的な行為または一連の行為の可能性
参考文献
| 1 | ISO 9001:2000, 品質マネジメントシステム — 要件 |
| 2 | ISO 14001:2004, 環境マネジメントシステム — 要件と使用上のガイダンス |
| 3 | ISO/IEC 17021:2006, 適合性評価 - マネジメントシステムの監査と認証を行う機関の要件 |
| 4 | ISO 19011:2002, 品質および/または環境マネジメントシステム監査のガイドライン |
| 5 | ISO 28000:2007, サプライチェーンのセキュリティ管理システムの仕様 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards adopted by the technical committees are circulated to the member bodies for voting. Publication as an International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 28004 was prepared by Technical Committee ISO/TC 8, Ships and marine technology, in collaboration with other relevant technical committees responsible for specific nodes of the supply chain.
This first edition of ISO 28004 cancels and replaces ISO/PAS 28004:2006, which has been technically revised.
Introduction
ISO 28000:2007, Specification for security management systems for the supply chain, and this International Standard have been developed in response to the need for a recognizable supply chain management system standard against which their security management systems can be assessed and certified and for guidance on the implementation of such a standard.
ISO 28000 is compatible with the ISO 9001:2000 (Quality) and ISO 14001:2004 (Environmental) management systems standards. They facilitate the integration of quality, environmental and supply chain management systems by organizations, should they wish to do so.
This International Standard includes a box at the beginning of each clause/subclause, which gives the complete requirements from ISO 28000; this is followed by relevant guidance. The clause numbering of this International Standard is aligned with that of ISO 28000.
This International Standard will be reviewed or amended when considered appropriate. Reviews will be conducted when ISO 28000 is revised.
This International Standard does not purport to include all necessary provisions of a contract between supply chain operators, suppliers and stakeholders. Users are responsible for its correct application.
Compliance with this International Standard does not of itself confer immunity from legal obligations.
1 Scope
This International Standard provides generic advice on the application of ISO 28000:2007, Specification for security management systems for the supply chain.
It explains the underlying principles of ISO 28000 and describes the intent, typical inputs, processes and typical outputs, for each requirement of ISO 28000. This is to aid the understanding and implementation of ISO 28000.
This International Standard does not create additional requirements to those specified in ISO 28000, nor does it prescribe mandatory approaches to the implementation of ISO 28000.
ISO 28000
1 Scope
This International Standard specifies the requirements for a security management system, including those aspects critical to security assurance of the supply chain. These aspects include, but are not limited to, financing, manufacturing, information management and the facilities for packing, storing and transferring goods between modes of transport and locations. Security management is linked to many other aspects of business management. These other aspects should be considered directly ここで, and when they have an impact on security management, including transporting these goods along the supply chain.
This International Standard is applicable to all sizes of organizations, from small to multinational, in manufacturing, service, storage or transportation at any stage of the production or supply chain that wishes to:
- a) establish, implement, maintain and improve a security management system;
- b) assure compliance with stated security management policy;
- c) demonstrate such compliance to others;
- d) seek certification/registration of its security management system by an Accredited third party Certification Body; or
- e) make a self-determination and self-declaration of compliance with this International Standard.
There are legislative and regulatory codes that address some of the requirements in this International Standard.
It is not the intention of this International Standard to require duplicative demonstration of compliance.
Organizations that choose third party certification can further demonstrate that they are contributing significantly to supply chain security.
2 Normative references
No normative references are cited. This clause is included in order to retain clause numbering similar to ISO 28000.
3 Terms and definitions
ISO 28000
3 Terms and definitions
3.1
facility
plant, machinery, property, buildings, vehicles, ships, port facilities and other items of infrastructure or plant and related systems that have a distinct and quantifiable business function or service
NOTE This definition includes any software code that is critical to the delivery of security and the application of security management.
3.2
security
resistance to intentional, unauthorized act(s) designed to cause harm or damage to or by, the supply chain
3.3
security management
systematic and coordinated activities and practices through which an organization optimally manages its risks and the associated potential threats and impacts there from
3.4
security management objective
specific outcome or achievement required of security in order to meet the security management policy
NOTE It is essential that such outcomes are linked either directly or indirectly to providing the products, supply or services delivered by the total business to its customers or end users.
3.5
security management policy
overall intentions and direction of an organization, related to the security and the framework for the control of security-related processes and activities that are derived from and consistent with the organization’s policy and regulatory requirements
3.6
security management programmes
means by which a security management objective is achieved
3.7
security management target
specific level of performance required to achieve a security management objective
3.8
stakeholder
person or entity having a vested interest in the organization’s performance, success or the impact of its activities
NOTE Examples include customers, shareholders, financiers, insurers, regulators, statutory bodies, employees, contractors, suppliers, labour organizations or society.
3.9
supply chain
linked set of resources and processes that begins with the sourcing of raw material and extends through the delivery of products or services to the end user across the modes of transport
NOTE The supply chain may include vendors, manufacturing facilities, logistics providers, internal distribution centres, distributors, wholesalers and other entities that lead to the end user.
3.9.1
downstream
refers to the actions, processes and movements of the cargo in the supply chain that occur after the cargo leaves the direct operational control of the organization, including but not limited to insurance, finance, data management and the packing, storing and transferring of cargo
3.9.2
upstream
refers to the actions, processes and movements of the cargo in the supply chain that occur before the cargo comes under the direct operational control of the organization. Including but not limited to insurance, finance, data management and the packing, storing and transferring of cargo
3.10
top management
person or group of people who directs and controls an organization at the highest level
NOTE Top management, especially in a large multinational organization, may not be personally involved as described in this International Standard; however top management accountability through the chain of command shall be manifest.
3.11
continual improvement
recurring process of enhancing the security management system in order to achieve improvements in overall security performance consistent with the organization’s security policy
For the purposes of this document, the terms and definitions given in ISO 28000 and the following apply.
3.1
risk
likelihood of a security threat materializing and the consequences
3.2
security cleared
process of verifying the trustworthiness of people who will have access to security sensitive material
3.3
threat
any possible intentional action or series of actions with a damaging potential to any of the stakeholders, the facilities, operations, the supply chain, society, economy or business continuity and integrity
Bibliography
| 1 | ISO 9001:2000, Quality management systems — Requirements |
| 2 | ISO 14001:2004, Environmental management systems — Requirements with guidance for use |
| 3 | ISO/IEC 17021:2006, Conformity assessment — Requirements for bodies providing audit and certification of management systems |
| 4 | ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing |
| 5 | ISO 28000:2007, Specification for security management systems for the supply chain |