ISO 28000:2022是供应链安全管理体系的国际标准,帮助组织建立、实施、维护和持续改进供应链安全管理体系。该标准基于风险管理方法,识别供应链各环节的安全威胁和薄弱环节,建立相应的安全控制措施。标准涵盖了供应链的全链条,包括采购、制造、包装、仓储、运输、分销及交付等环节。核心内容包括供应链安全方针、组织角色职责、安全风险评估、安全目标指标、安全控制实施、供应商安全评估、运输工具安全、货物安全、人员安全、信息安全、危机管理、绩效评价及持续改进。该标准适用于所有参与供应链活动的组织,无论其规模和行业,通过实施可有效防范恐怖主义、盗窃、走私、欺诈等供应链安全风险,提升供应链的韧性和可靠性,满足海关贸易伙伴安全计划(如AEO)的要求。
ISO 28000:2022 供应链安全管理体系
ISO 28000:2022是供应链安全管理体系的国际标准,帮助组织建立、实施、维护和持续改进供应链安全管理体系。该标准基于风险管理方法,识别供应链各环节的安全威胁和薄弱环节,建立相应的安全控制措施。标准涵盖了供应链的全链条,包括采购、制造、包装、仓储、运输、分销及交付等环节。
标准信息
国际标准
ISO 28000:2022
国家标准
无
标准名称
Security and resilience — Security management systems — Requirements
标准名称
供应链安全管理体系 规范
发布机构
ISO 国际标准化组织
发布机构
无
发布日期
2022 年 3 月
发布日期
无
标准简介
标准目的
- 保障供应链安全识别并管控供应链全流程中的安全风险(如供应链中断、货物丢失、恶意破坏、合规风险),保障供应链的连续性与稳定性
- 提升供应链效率通过标准化的供应链安全管理流程,优化供应链环节,减少安全事件对供应链的影响,提升供应链运营效率
- 合规供应链要求确保组织供应链管理活动符合国家供应链安全、进出口贸易等相关法律法规及行业标准,规避合规风险
- 强化合作伙伴管控建立供应链合作伙伴安全评估与管控机制,提升合作伙伴的安全管理水平,构建安全、可靠的供应链体系
- 提升竞争优势通过体系认证彰显组织供应链安全管理能力,提升客户与合作伙伴的信任度,增强组织市场竞争优势
适用范围
- 行业覆盖适用于所有涉及供应链活动的组织,涵盖制造业、物流、贸易、电商、医药、食品等全行业,包括供应链上下游企业
- 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据供应链复杂度灵活调整管控力度
- 场景覆盖涵盖供应商选择、采购、运输、仓储、配送、退货、应急处置等供应链全流程场景
- 管理覆盖覆盖供应链安全方针制定、风险评估、合作伙伴管控、运行控制、应急管理、持续改进等全管理环节
- 认证覆盖支持单一站点、多站点、集团化、跨国供应链等不同组织架构的认证模式,满足一体化供应链安全管理需求
核心要素
管理控制
核心维度覆盖占比
人工智能(AI)定义
人工智能(AI)定义
人工智能的三大核心要素
三大要素能力图
信息安全核心:CIA 三要素
核心概念定义
IT服务管理三要素
IT服务管理过程
CS能力评估等级体系
服务类型细分
部署模式细分
全等级综合对比
能力维度雷达对比
ITSS咨询设计核心说明
标准内容
- 0 引言
- 1 范围
- 2 规范性引用文件
- 3 术语和定义
-
- 4.1 理解组织及其环境
- 4.2 理解相关方的需求和期望
- 4.3 确定供应链安全管理体系的范围
- 4.4 供应链安全管理体系
-
- 5.1 领导作用与承诺
- 5.2 方针
- 5.3 组织的岗位、职责和权限
-
- 6.1 应对风险和机遇的措施
- 6.2 安全目标及其实现的策划
- 6.3 变更的策划
-
- 7.1 资源
- 7.2 能力
- 7.3 意识
- 7.4 沟通
- 7.5 形成文件的信息
-
- 8.1 运行的策划和控制
- 8.2 供应链安全风险评估
- 8.3 供应链安全措施
- 8.4 应急准备和响应
-
- 9.1 监视、测量、分析和评价
- 9.2 内部审核
- 9.3 管理评审
-
- 10.1 总则
- 10.2 不符合和纠正措施
- 10.3 持续改进
体系运行过程模型
| 阶段 | ISO28000中的定义 | 在标准中的核心映射 |
|---|---|---|
| P (策划) | 明确目标、范围、资源和关键控制措施,建立实施计划。 | 组织环境分析、目标策划与职责分配 |
| D (实施) | 按策划执行流程和制度,推进过程运行与证据留存。 | 运行控制与支持保障 |
| C (检查) | 监测过程结果并开展评审,识别偏差和改进机会。 | 绩效评价、内审与管理评审 |
| A (处置) | 实施纠正措施与优化行动,持续提升体系绩效。 | 不符合处置与持续改进 |
ISO28000 标准解读
- 暂无对应标准解读,欢迎联系我们获取专项方案。
信息安全运行控制
云服务信息安全控制措施
核心维度覆盖占比
个人身份信息(PII)保护控制措施
核心维度覆盖占比
个人信息安全规范控制措施
核心维度覆盖占比
公有云隐私控制措施
核心维度数量占比
隐私概念
隐私控制者 vs 隐私处理者 核心区别
| 对比维度 | 隐私控制者 | 隐私处理者 |
|---|
隐私控制措施分类
隐私控制措施分类占比
七项质量管理基本原则
领域控制措施
核心维度覆盖占比
数据安全能力成熟度等级
数据安全过程
认证咨询流程
→→→→→→→→→
初次获证要求
- 合规性证明需持有法律地位证明文件(如营业执照)
- 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
- 成立周期公司成立超过3个月
- 运行周期体系运行超过3个月
- 体系要求依据ISO28000标准建立符合的供应链安全管理体系
- 运行要求有健全的供应链安全管理体系运行证据
- 内审管评必须有一次完整的内审和管理评审
- 现场审核通过一二阶段现场审核,并完成不符合整改
证书维护要求
- 证书有效期供应链安全管理体系证书是三年有效期
- 监督审核供应链安全管理体系证书需每年一次监督审核,与上次审核间隔不超过12个月
- 再认证审核供应链安全管理体系证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
- 变更审核当组织的供应链安全管理体系发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
- 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
- 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理
实施 ISO28000 的价值
- 市场准入招投标门槛、国际贸易通行证。
- 客户信任兑现承诺、提升满意度与粘性。
- 规范管理流程标准化,职责与接口更清晰。
- 风险控制预防质量问题,降低失败成本。
- 数据驱动用过程数据分析决策,持续优化。
- 持续改进建立自我完善的改进机制。
与其他体系结合
标准名称
推荐率
常见问题及误区
Q1:只有制造业、物流行业才需要ISO28000认证,其他行业无需建立?
A:不是,任何拥有供应链体系的组织均适用,包括零售、电商、能源、汽车、食品等,核心是实现供应链全链路的安全管控,保障供应链的稳定。
Q2:ISO28000体系就是对供应链的运输和仓储环节进行安全管控?
A:不是,体系覆盖供应链全链路的安全管理,包括采购、生产、仓储、运输、配送、外包、跨境贸易等所有环节,核心是识别并管控各环节的安全风险。
Q3:供应链安全是核心企业的责任,供应商和经销商无需参与ISO28000体系?
A:不是,供应链安全是上下游企业协同的结果,体系要求核心企业带动供应商、经销商等上下游合作伙伴,共同建立安全管理机制,实现供应链全链条的安全管控。
Q4:企业现有供应链管理制度完善,没必要再建立ISO28000体系?
A:不是,现有制度多为分散的环节管理,体系强调系统化的供应链安全管理,以PDCA循环为框架,将安全管理融入供应链的整体运营,提升供应链的抗风险能力。
Q5:通过ISO28000认证后,供应链就不会发生中断?
A:不是,认证是对供应链安全管理体系的有效性认可,而供应链风险是动态变化的(如疫情、地缘政治、自然灾害),体系要求组织持续识别新风险,优化安全管控措施。
认证及咨询费用
费用影响因素占比
组织地理位置(及多个办公场所)15%
一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。
组织人员数量20%
人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。
组织业务范围10%
业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。
选择认证机构25%
不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。
咨询质量要求25%
资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。
认证周期要求10%
加急周期会带来额外资源协调成本,常规周期通常更具费用优势。
最终费用,请联系我们
