企航顧問ISO28000供應鏈安全管理體系服務

2022/05/07

全球貿易的擴張，各種犯罪也不斷深入到物流供應鏈環節。在過去的十年里，各種環境法規不斷增加，而組織也越來越注重其在全球供應鏈中的安全問題。為了應對供應鏈安全問題，很多組織都相應地推出了相關物流標準，例如貨運資產保護協會（TAPA）為高科技、高價產品制定的《設施安保標準》（FSR）、《貨車運輸安保標準》（TSR）；國際標準化組織制定的ISO28000供應鏈安全管理標準；美國海關及邊境保護局推出的海關商貿反恐怖聯盟計劃（C-TPAT）；世界海關組織（WCO）推出的“優秀經濟組織”（AEO）方案。 

ISO28000供應鏈安全管理標準詳細說明了供應鏈安全管理體系的要求，并將安全管理與其他業務管理相結合；ISO28000的范圍涵蓋了組織在整個供應鏈中控制并影響的一切活動，其中就包括運輸環節。

一、ISO 28000概述

ISO28000供應鏈安全管理體系國際標準，是由ISO/TC 292（國際標準化組織安全與韌性技術委員會）起草制定的。

供應鏈安全管理體系標準的發展歷史：

1、2005年11月，發布ISO/PAS 28000:2005《供應鏈安全管理體系規范》

2、2007年9月，發布ISO 28000:2007《供應鏈安全管理體系規范》

3、2022年3月，發布ISO 28000:2022《安全與韌性 安全管理體系 要求》

ISO/TC 292已發布和正在制定中的旨在補充和支持ISO 28000的供應鏈安全管理體系系列標準有：

1、ISO 28001:2007《供應鏈安全管理體系 實施供應鏈安全、評估和計劃的最佳實踐 要求和指南》

2、ISO 28002:2011《供應鏈安全管理體系 供應鏈恢復能力的開發 要求及使用指南》

3、ISO 28003:2007《供應鏈安全管理體系 供應鏈安全管理體系認證機構要求》

4、ISO 28004-1:2007《供應鏈安全管理體系 ISO 28000實施指南 第1部分：一般原則》

5、ISO 28004-3:2014《供應鏈安全管理體系 ISO 28000實施指南 第3部分：中小業務采用ISO 28000的附加特定指南（海港除外）》

6、ISO 28004-4:2014《供應鏈安全管理體系 ISO 28000實施指南 第4部分：若以符合ISO 28001為管理目標實施ISO 28000的附加特定指南》

……

二、ISO 28000的適用范圍

ISO 28000適用于供應鏈中采購、制造、服務、倉儲、運輸任一階段的任何規模和任何類型的組織。它需要組織對其供應鏈安全管理過程的要素進行識別和評估，這些要素包括但不局限于：財務、制造、信息管理、用于包裝和儲存的設備以及不同運輸方式和地點間的貨物轉移等，并確認是否采取了足夠的安全措施以及是否遵守法律法規和其他要求。

 ISO 28000越來越成為國際性供應鏈公司的基本要求，越來越多的商業伙伴也會提出此要求。

三、ISO 28000的收益

1、向利益相關方展示了一個完整且安全的供應鏈管理體系，提高了組織的商業能力和信譽度；

2、確保一個供應鏈內上下游不同服務提供商的做事方法的一致性；

3、全面進行安全風險識別和評價，有效控制和降低了供應鏈存在的安全隱患和影響；

4、該標準是基于PDCA（策劃—實施—檢查—改進）循環原則為基礎的管理體系，以公認的ISO 9001標準為原型，可以有效地與ISO 14001&ISO 45001整合；

5、9.11事件發生后，針對供應鏈的安全管理要求，美國國土安全部海關邊境保護局 （CBP）組建了海關-商貿反恐怖聯盟（C-TPAT）。與此同時，世界其他地區組織也紛紛出臺相關標準，如：歐洲認可經營者指引（AEO）、加拿大貿易伙伴保護措施（PIP）和世界海關組織（WCO），以保障全球貿易和運輸的安全與便捷。組織若要滿足以上標準要求，實施ISO 28000就顯得更加重要也是最基本的要求。

四、ISO 28000的主要內容

1、一般需求（General requirements）：規范業者需建立、制作文件、實施、維護、及持續改善安全管理系統，以確認風險并控制及降低風險所帶來的后果。該安全管理系統需明確定義其范圍。業者如有外包作業，亦須確保外包作業在安全管控之中，其所需之管控與責任須規范在安全管理系統之中。

2、安全管理政策（Security management policy）：規范最高管理者需依公司政策核定整體安全管理政策。

3、風險評估與安全規劃（Security risk assessment and planning）：規范如何評估風險、法令規章之需求、安全管理目的（Objectives）考慮、目標（Targets）設定、以及安全計劃作成。

4、系統導入與實施（Implementation and operation）：規范安全管理組織架構與權責、員工教育訓練與安全認知、建立安全信息溝通管道、構建文件記錄系統、文件信息之管控、系統運作之管控、緊急措施與安全回復。

5、檢視與改善措施（Checking and corrective action）：規范安全績效評量與監控、系統定期核查與改善、安全威脅之矯正預防措施、記錄之管控、安全稽核。

6、管理檢討與持續改善（Management review and continual improvement）：規范最高管理者應于計劃的期間內，檢討安全管理系統，加以改善，以確保系統之適用性與有效性。

五、ISO28000供應鏈安全管理體系建設流程

1、確定組織架構圖

2、清晰了解各部門職能

3、按各部門風險識別風險評估

4、法律法規及其他要求收集

5、驗證風險評估措施的落實

6、應急準備、響應和安全恢復

六、ISO28000與C-TPAT、AEO的區別

隨著貿易全球化、便利化的發展，貿易標準化應運而生。通過統一的標準化的評定，大家可以對貿易實體的資質、能力形成認知。ISO 28000、C-TPAT、AEO均是國際貿易中的權威的標準化認證，但是側重點不同，ISO 28000側重供應鏈和產品質量，C-TPAT側重于貿易的安全性，AEO則是對外貿企業業務全流程的品控，亦是我國企業進出口環節最重要的官方認證。

1. C-TPAT認證：

   

   C-TPAT是（Customs-Trade Partnership against Terrorism）的縮寫，是美國國土安全部海關邊境保護局CBP出臺的一項加強和改善整體國際供應鏈和美國邊境安全，政府與工商界建立合作關系的倡議，是一個自發的供應鏈安全解決方案。

    

   標準要求：人身安全、倉庫與貨運安全、門禁控制、電子安全設備與安保人員、安全程序、教育及意識培訓、第三方服務商安全。

    

2. AEO認證：

   

   經認證的經營者（Authorized Economic Operator）：在世界海關組織（WCO）制定的《全球貿易安全與便利標準框架》中被定義為：“以任何一種方式參與貨物國際流通，并被海關當局認定符合世界海關組織或相應供應鏈安全標準的一方，包括生產商、進口商、出口商、報關行、承運商、理貨人、中間商、口岸和機場、貨站經營者、綜合經營者、倉儲業經營者和分銷商”。

    

   《中華人民共和國海關注冊登記和備案企業信用管理辦法》（海關總署，第251號令）是中國海關AEO認證的管理辦法，于2021年11月1日起施行。

    

   下表為ISO28000、AEO、C-TPAT的區別：

ISO 28000、C-TRAT、WCO、EU不同用語比較：

七、申請ISO 28000認證的條件

1、企業需持有工商行政管理部門頒發的《企業法人營業執照》等有效資質文件；

2、申請方應按照國際有效標準（ISO 28000）的要求在組織內建立供應鏈安全管理體系，并實施運行至少3個月以上；

3、至少完成一次內部審核，并進行了有效的管理評審；

4、管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。

八、關于企航顧問

上海企航科技咨詢有限公司【中文簡稱：企航顧問 or 企航咨詢 ，英文簡稱：SQT】

企航顧問 是從事卓越績效、精益生產、六西格瑪、管理體系的咨詢和培訓的管理顧問機構，是面向廣大企事業單位傳遞無文化障礙的先進管理理念與技術、提供國際化與本土化完美結合的管理咨詢和培訓的專業服務機構。

企航顧問 從1999年3月23日成立至今，為6,000多家不同類型的企業提供過管理咨詢服務和為10,000多家企業的數十萬人次提供過管理培訓服務，這其中包括了50%以上的國內五百強企業、420家世界五百強在華企業和1000多家國內上市企業。

企航顧問 同時也是全國六西格瑪推進工作委員會（CCPSS）委員單位、國家認證認可監督管理委員會（CNCA）首批備案批準且批準范圍最寬的管理顧問公司（備案批準號：CNCA-Z-02Q-2002-045）、中國認證認可協會（CCAA）理事單位和上海市認證協會（SCA）理事單位。

企航顧問在供應鏈領域提供的服務項目有

1. ISO 28000：供應鏈安全管理體系標準培訓和輔導

2. C-TPAT：美國海關-商貿反恐怖聯盟驗廠培訓和輔導

3. TAPA-FSR：貨運資產保護協會—設施安保標準培訓和輔導

4. TAPA-TSR：貨運資產保護協會—貨車運輸安保標準培訓和輔導

5. AEO：中國海關經認證的經營者高級認證企業的培訓和輔導

   ……