ISO28000供应链安全管理体系认证的基础知识

供应链安全管理体系（ISO 28000）认证
基础知识

一、什么是ISO28000供应链安全管理体系

1、基本概念

ISO 28000 供应链安全管理体系标准是应运输和物流行业对共同安全管理标准的需求而发展并提出的，其最终目标是改进供应链的全面安全；

ISO 28000 是一个企业供应链安全管理“模型”，作为认证企业只需要套用这个“模型”就可以了。

• 作  用：它能帮助企业各部门审核安全风险，制定风险处置预案，实施风险管控措施来降低潜在的安全威胁对企业正常运营造成的影响，需要说明的是，ISO 280000强调的是如何保障供应链“安全”，而不是告诉企业如何构建或者优化企业供应链；
• 适用范围：主要是面向生产型企业，也包括物流等服务企业，是以生产企业（或者服务企业自身）为核心，向上游追溯到生产材料的供应，向下游追溯到产成品的物流和存储渠道；
• 管控的方向：以“不受企业控制但又对企业正常运营产生重大影响的过程”为管控目标，目的是规避或者降低这种不可控因素对企业自身经营造成的影响，例如，自然灾害、突发性公共事件、人为因素事件以及金融因素等诸多安全类因素；
• 预防措施/处置预案：核心思想就是企业内部做充分的“风险评估”，制定并实施“风险处置措施”，需要说明的是，这里的“措施/预案”不是仅包括“事后”补救，更重要的还是“事前”的预防措施。
• ISO 28000标准族群关系：ISO 28000标准和其他ISO系列标准一样，都是由国际标准化组织（ISO）制定实施的，ISO28000标准并不是一个孤立的标准，他是整个ISO系列标准中的一块“拼图”，他与ISO 9001、14001等标准都是可以兼容的，是可以与其他ISO管理体系进行合并的。
• ISO 28000标准的由来：由ISO的TC8技术委员会（船舶和航运技术）研发、于2005年底出台的ISO/PAS 28000:2005《供应链安全管理体系规范》是该系列第一个发布的标准。当中汇集了各组织机构的意见，如国际海运组织、国际港口和码头协会、国际航运协会、世界海关组织、国际创新贸易网、世界航运委员会和安全技术战略委员会。
• ISO 28000标准的初衷：初衷是用于弥补各国政府和国际海关机构的安全提案中的不足及漏洞，切实保障供应链安全。这些提案包括：世界海关组织为供应链安全化和简易化设定的标准框架、欧共体加强供应链安全的规定－经授权的经济经营者（AEO）以及美国海关和边界保护提案－针对恐怖主义的海关贸易伙伴关系。

图 1  供应链安全管理流程示意图

2、ISO 28000标准的构成

ISO 28000是供应链安全管理体系的系列标准，包括：

• ISO 28000:2007 供应链安全管理体系规范
• ISO 28001:2007 供应链安全管理体系－供应链安全的最佳实施规范－评估和计划—要求和指南
• ISO 28003:2007 供应链安全管理体系－对供应链安全管理体系提供审核和认证的机构的要求
• ISO 28004:2007 供应链安全管理体系－ISO 28000实施指南

对于实施供应链管理体系认证的企业来讲，需要的仅是ISO 28001和ISO 28004两个标准就够了，一个是供应链管理体系要求，另一个是供应链管理体系认证实施的指南（使用说明书）。

3、ISO 28000标准的由来以及在我国的实施状况

ISO 28000 标准源于应对自然或人为灾害造成的供应链安全风险问题而诞生的，国际标准化组织（ISO）针对人类、货物、基础设施和设备、物流安全事故，制订了一系列文件，以预防供应链中可能出现的破坏性影响。

我国作为世界头号制造业大国，供应链安全问题是重中之重的大事，不要因为以前没出事就人为以后也不会出事！

目前，ISO28000认证在我国的开展是非常快的，因为，中美间的经济摩擦以及疫情影响，世界范围内经济不确定因素正在大量产生，在这一背景下，企业如何规避风险、降低损失显然比如何扩大生产规模更重要，至少，二者的重要性是持平的！

补充说明：目前，我手头没有ISO28000的认证企业的最终数据，但是根据业内人士透露，大量的生产型企业都在准备或者已经开展了ISO28000认证，等我拿到官方统计数据后在此补充。

二、ISO 28000的适用企业/行业

原则上来讲ISO28000适合所有类型的企业，因为是企业就有“供、销”因素存在，只要有“供、销”流程存在就涉及到了供应链管理问题。就像ISO9001质量管理体系适用于全部企业一样，ISO28000也具有普适性。但是，并不是所有企业都应该做ISO28000认证，做认证也是有成本的！根据我们对ISO28000的理解，我们认为最适合做ISO28000的企业/行业还是制造业和物流行业。具体细分领域如下：

• 来料加工型企业、订单生产型企业
• 生产外销型企业（这类企业才是ISO 28000标准的重点关注目标，因为涉外运输风险更大，不可控因素更多）
• 外贸/内销/代理销售型企业
• 国内外物流运输企业（海运、航空、公路运输以及内河运输等）
• 其他与运输/生产/外贸有关的企业，例如提供金融/担保服务的企业、电子商务服务企业、跨境结算支付企业等等。

三、ISO 28000供应链安全管理体系认证的流程和申请条件

ISO 28000的流程、认证的资料和申请条件和ISO 14001、ISO 45001等体系认证流程是一样的，我之前已经写过类似的文章，在此就不多做赘述了，感兴趣的朋友可以去翻翻ISO 14001环境管理体系认证的相关帖子，我只说ISO 28001的不同之处。

ISO 28000是面向企业供应链安全的一套管理体系标准，所以ISO28000认证的核心任务自然就是企业供应链安全评估、安全风险等级划分、风险处置措施/预案的制定和实施。

四、ISO 28000认证的风险评估及风险处置及预防措施

在评估运作的相关安全风险时，ISO 28000要求组织机构考虑事件发生的可能性，及其造成的所有后果，其中包括：

• 物理性事故的威胁和风险，如功能事故、意外损坏、恶意破坏、恐怖或犯罪行为；
• 运作性威胁和风险，包括安全控制、人为因素及其它影响组织机构绩效、状态或安全的活动；
• 自然环境（暴雨、洪灾等）所导致安全措施和设备丧失效能；
• 组织机构控制能力以外的因素，如外界提供的设备和服务存在问题。

安全风险一旦得到识别和评估，必须制订相应的目标、指针和计划，以消除或大幅减低其潜在影响（这在很大程度上与ISO 14001相互契合，即要求组织机构制订相应的目标、指针和计划，以大幅减少其运作所带来的环境影响）。

1、安全风险评估人员选择

需要由专业的人员来进行安全风险评估。

2、安全风险评估方法/模型

图 2  风险评估表

图 3  供应链安全威胁场景

图 4  后果分类

3、风险预防措施及危害处置预案制定

图 5  安全风险应对措施及处置预案