※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、国家標準化団体 (ISO メンバー団体) の世界的な連合体です。国際規格の作成作業は通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。政府および非政府の国際機関も ISO と連携してこの作業に参加しています。 ISO は、電気技術の標準化に関するあらゆる事項について国際電気標準会議 (IEC) と緊密に協力しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part に記載されています。特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part の編集規則に従って起草されました ( www.iso.org/directives を参照)
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受け取った特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
適合性評価に関連する ISO 固有の用語や表現の意味の説明、および貿易の技術的障壁 (TBT) における WTO 原則への ISO の準拠に関する情報については、次の URL を参照してください。 序文 - 補足情報
この文書を担当する委員会は ISO/TC 8, 船舶および海洋技術です。
ISO 28004-3 のこの初版は、ISO/PAS 28004-3:2012 を廃止し、置き換えます。
ISO 28004 は、 「サプライチェーンのセキュリティ管理システム — ISO 28000 の実装ガイドライン」という一般タイトルのもと、次の部分で構成されています。
- Part 1: 一般原則
- Part 2:中小規模の港湾運営にISO 28000 Part 採用するためのガイドライン
- Part 3:中小企業 (港湾以外) で使用するISO 28000 を採用するための追加の具体的なガイダンス
- Part 4: ISO 28001への準拠が経営目標である場合の ISO 28000 Part 導入に関する追加の具体的なガイダンス
導入
ISO 28000:2007 および ISO 28004 に含まれるガイダンスは、ISO 28000 への適合性を判断するためにセキュリティ マネジメント システムを評価および認証できる、認識可能なサプライ チェーン マネジメント システム評価基準 (検証プロセス) の必要性に応じて開発されました。 ISO 28004 に現在含まれているガイダンスは、ISO 28000 を採用する組織を支援するように設計されています。ISO 28000 を使用できる組織の種類は膨大であるため、ISO 28004 で提供されるガイダンスは本質的に一般的なものです。その結果、一部の小規模な組織では、ISO 28000 で確立された各要件に対処するために必要な対策の範囲を定義することが困難になっています。したがって、ISO 28004 のこの部分の目的は、ガイダンスを提供し、組織が使用できる情報を拡充することです。 ISO 28000 および ISO 28004 で指定されたセキュリティ規定に準拠するために必要な検証および検証手段の範囲を定義する際に中小企業 (港湾を除く) を支援します。
ISO 28000 では、利害関係者組織が、定期的なレビュー、テスト、インシデント後の報告、および導入されたセキュリティ保護システムと方法の有効性を測定するトレーニングを通じて、セキュリティ保護管理計画と手順の能力を評価することが求められています。サプライチェーン全体のエンドツーエンドの安全性を継続的に維持するには、利害関係者組織が輸送業界に対して、それらの商品が直接管理されている間、サプライチェーンの完全性を保護するための十分な安全策が講じられていることを保証することが重要です。利害関係者組織のいずれかが、世界的な脅威や運用リスクのいずれかからサプライ チェーンを保護できなかった場合、システムの完全性に重大な影響を及ぼし、貴重品の安全な輸送に依存している組織の信頼を損なう可能性があります。
中小企業の利害関係者組織は、供給輸送システムの不可欠な部分であり、これらのパフォーマンス能力レビューを実施し、関連する法律や規制、業界のベストプラクティス、および独自の規則に準拠していることを輸送業界に検証することが求められます。業務に対する特定された脅威とリスクに基づいたセキュリティ ポリシーと目標。 ISO 28004 のこの部分に含まれる情報は、サプライ チェーンの完全性を保護するために ISO 28000 に従って作成された中小企業 (港湾を除く) のセキュリティ管理計画の品質を評価するためのガイダンスと基準を提供します。増幅情報は、ISO 28004 で現在指定されている一般的なガイダンスを強化するように設計されていますが、変更するものではありません。補足の追加以外に、ISO 28004 に対する変更は行われません。
1 スコープ
ISO 28004 のこの部分は、ISO 28000 の採用を希望する中小企業 (港湾を除く) に追加のガイダンスを提供することで、ISO 28004-1 を補完するために開発されました。 ISO 28004 のこの部分の追加ガイダンスは、一般的なガイドラインを拡張するものですが、 ISO 28004-1 の本文で提供されるガイダンスは、一般的なガイダンスと矛盾するものではなく、ISO 28000 を修正するものでもありません。
2 規範的参照
以下の文書は、全部または一部がこの文書で規範的に参照されており、その適用には不可欠です。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 28000:2007, サプライチェーンのセキュリティ管理システムの仕様
- ISO 28004-1:2007, サプライチェーンのセキュリティ管理システム — ISO 28000 の導入ガイドライン — 第 1 Part: 一般原則
参考文献
| 1 | ISO/IEC 17021, 適合性評価 — マネジメントシステムの監査と認証を提供する機関の要件 |
| 2 | ISO 17712, 貨物コンテナ — メカニカルシール |
| 3 | ISO 19011, マネジメントシステム監査のガイドライン |
| 4 | WC, 世界貿易を安全かつ促進するための基準の SAFE フレームワーク |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the WTO principles in the Technical Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 8, Ships and marine technology.
This first edition of ISO 28004-3 cancels and replaces ISO/PAS 28004-3:2012.
ISO 28004 consists of the following parts, under the general title Security management systems for the supply chain — Guidelines for the implementation of ISO 28000:
- Part 1: General principles
- Part 2: Guidelines for adopting ISO 28000 for use in medium and small seaport operations
- Part 3: Additional specific guidance·for·adopting ISO 28000 for use by medium and small business (other than marine ports)
- Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a management objective
Introduction
ISO 28000:2007 and the guidance contained in ISO 28004, have been developed in response to the need for a recognizable supply chain management system evaluation criteria (validation process) against which their security management systems can be assessed and certified for determining conformance with ISO 28000 and ISO 28004. The guidance currently contained in ISO 28004 is designed to assist organizations adopting ISO 28000. Because the types of organizations that can use ISO 28000 are vast, the guidance provided in ISO 28004 is general in nature. As a result, some smaller organizations have had difficulty in defining the scope of measures needed to address each of the requirements established in ISO 28000. Therefore, the purpose of this part of ISO 28004 is to provide guidance and amplifying information that can be used by medium and small businesses (other than marine ports) to assist them in defining the scope of validation and verification measures needed to comply with the security provisions specified in ISO 28000 and ISO 28004.
ISO 28000 requires that stakeholder organizations evaluate the capabilities of their security protection management plans and procedures through periodic reviews, testing, post-incident reports, and training exercises to measure the effectiveness of their installed security protection systems and methods. It is critical to the overall continued end-to-end safety of the supply chain that stakeholder organizations ensure the transportation industry that they have sufficient safeguards in place to protect the integrity of the supply chain while those goods are under their direct control. The failure by one of the stakeholder organizations to protect the supply chain from any one of the global threats and operational risks can severely impact the integrity of the system and erode the confidence of those who depend on the secure transportation of their valuable goods.
Medium and small businesses stakeholder organizations are an integral part of the supply transportation system and will be required to conduct these performance capabilities reviews and verify to the transportation industry that they are in conformance with relevant legislation and regulations, industry best practices and conformance with its own security policy and objectives based on the identified threats and risks to their operations. The information contained in this part of ISO 28004 provides guidance and criteria for evaluating the quality of medium and small businesses (other than marine ports) security management plans developed in accordance with ISO 28000 to protect the integrity of the supply chain. The amplifying information is designed to enhance, but not alter, the general guidance currently specified in ISO 28004. No alterations to ISO 28004, other than the addition of supplements, are made.
1 Scope
This part of ISO 28004 has been developed to supplement ISO 28004-1 by providing additional guidance to medium and small businesses (other than marine ports) that wish to adopt ISO 28000. The additional guidance in this part of ISO 28004, while amplifying the general guidance provided in the main body of ISO 28004-1, does not conflict with the general guidance, nor does it amend ISO 28000.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 28000:2007, Specification for security management systems for the supply chain
- ISO 28004-1:2007, Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 1: General principles
Bibliography
| 1 | ISO/IEC 17021, Conformity assessment — Requirements for bodies providing audit and certification of management systems |
| 2 | ISO 17712, Freight containers — Mechanical seals |
| 3 | ISO 19011, Guidelines for auditing management systems |
| 4 | WCO (2012), SAFE framework of standards to secure and facilitate global trade |