iso 28000供應鏈安全管理 系統標準簡介 - bsmi · 2013-12-27 · 4 iso 28000標準...

1

ISO 28000供應鏈安全管理系統標準簡介

經濟部標準檢驗局

廣告

2

國際供應鏈安全發展趨勢

911恐怖攻擊事件

2001.9.11美國遭受恐怖份子攻擊，價值25億美元紐約雙子星世界貿易中心崩毀，五角大廈受損，無數生命財產遭受巨大損失，美國經濟遭受重創。

3

國際供應鏈安全發展趨勢US C-TPAT

(US CBP )2002

2004

2005

SOLAS ISPS Code(IMO)

WCO SAFE

2006 WCO AEO

ISO/PAS 20858(ISO/TC 8 )

ISO/PAS 28001 & 28004(ISO/TC 8 )

APEC (SCCP)

EU AEO ISO/PAS 28000(ISO/TC 8 )

2009

2010

我國推動WCO SAFE意向書

行政院優質經貿網絡計畫綱要

(優質企業認證及管理機制)

財政部修訂「優質企業進出口貨物通關辦法」

關稅法第19條修訂、財政部修訂「優質企業認證及管理辦法」

2012 我國「優質企業」（AEO）與美國（C-TPAT）(101.11.26)簽署相互承認協議

4

ISO 28000標準

2004年10月美國基於強化國際供應鏈之保安，於ISO/TC 8船舶與航運技術委員會議中提案制訂有關供應鏈安全管理系統規範之ISO/PAS 28000以及ISO/PAS 28001等標準

ISO於2005年公布ISO/PAS 28000:2005標準作為供應鏈安全管理系統規範; 2006年公布ISO/PAS 28001:2006標準作為實施供應鏈安全、評估及計畫之最佳實務之供應鏈安全管理系統要求與指引，及同系列之 ISO/PAS 28004:2006 作為ISO 28000供應鏈安全管理系統實施之指導。

2007年時，改版為現行ISO 28000、ISO 28001以及ISO 28004標準。

5

ISO 28000與其他標準間之關聯性

ISO 28001供應鏈安全監控之最佳實務

ISO20858海運港口設施安全評估與安全計畫

其他特定現行標準或擬制定標準，

ex. AEO, etc.

ISO 28000

6

供應鏈 (Supply Chain)

美國供應鏈協會－「供應鏈的範圍包括上游供應商、製造商到下游顧客，其為從產品生產到配送等相關活動流程。」

經濟部商業司－「供應鏈是指產品由最初原料至銷售商品給消費者間所有活動之環節，亦即包括原料、設備、生產、庫存、銷售、售後服務等事項。 」

7

供應鏈 (Supply Chain)

日本物流協會－「供應鏈包含產品流、資訊流、金流及交易流等四部分之雙向流程，並整合從供應商到最終顧客的所有活動，故可將供應鏈視為一個虛擬企業的集合體，由其成員進行整合採購、製造到配送產品等活動。」

供應商(Supplier)

顧客(Customer)

企業產品流資訊流金流交易流

8

供應鏈 (Supply Chain) ISO/CNS 28000:2007資源與過程相連結的組合，起始於原物料開採，並延伸透過產品或服務之提供，跨越輸送模式至最終使用者。

備考：供應鏈可能包括賣方、製造廠、物流業、配銷中心、經銷商、批發商及直至最終使用者的其他實體。

9

安全(security)

ISO/CNS 28000:2007 防止因故意、未經許可之行為，導致該供應鏈或經該供應鏈所造成之傷害或損壞。

10

安全管理(security management)

ISO/CNS 28000:2007 藉由系統化與協調的活動與實務，使某一組織能最適地管理其風險，及隨附之潛在威脅與衝擊。

11

ISO 28000安全保護標的

實體資產

非實體資產

人員

12

安全管理系統要項

管理階層審查

持續改善

檢核矯正措施量測、監督系統評估

不符合事項矯正預防措施

紀錄稽核

實施與運作責任與能力

溝通文件化作業管制緊急準備

安全規劃風險評鑑管理

要求安全目標與標的安全管理方案

安全管理政策

SCSMS要項

13

利害相關者要求

客戶要求

輸入 輸出

供應鏈安全範圍

供應鏈安全風險評鑑

供應鏈安全計畫、

緊急應變計畫、稽核計畫

供應鏈安全訓練

商業夥伴要求

ISO 28000

ISO 28000供應鏈安全管理系統

14

ISO/CNS 28000標準架構

4. 安全管理系統要項

4.1一般要求

4.2安全管理政策

4.3安全風險評鑑與規劃

4.4實施與運作

4.5檢核與矯正措施

4.6管理階層審查與持續改善

15

4.1 一般要求 建立、文件化、實施、維持及持續改善有效的SCSMS

鑑別安全威脅、評鑑風險

控制減輕後果

依第4節要求，持續改善SCSMS有效性

界定SCSMS範圍

影響要求符合性委外程序納入管制

鑑別委外辦理程序管制及責任

16

4.2 安全管理政策

為由某一組織為控制衍生自組織的政策與法規管理要求所衍生，調和該組織安全及其管制安全相關程序與活動及其與安全、架構有關的整體意圖與方向。

17

4.2 安全管理政策

安全管理政策

SCSMS目標、標的方案架構

組織威脅、作業特性與規模

風險管理架構

整體安全威脅

法令、規章、其他要求

其他政策員工、第三者溝通

合併/變更審查影響

管理階層簽署

持續改善

文件化

利害相關者利用

18

4.2 安全管理政策

與組織其他政策、整體安全威脅、風險管理架構一致

提供可制定特定安全管理目標、標的及方案架構

適於組織威脅、作業特性與規模

整體/廣泛安全管理目標

符合法令、規章、所簽署其他要求及持續改善等承諾

最高管理階層簽署及文件化

員工、第三者(供應商、訪客等)溝通安全管理義務

適當時供利害相關者利用

組織合併/業務變更時，審查SCSMS持續性或關聯性影響

19

4.3 安全風險評鑑與規劃

4.3.1 安全風險評鑑

程序

鑑別、評鑑安全、安全管理之威脅、風險

鑑別、實施安全管理控制措施

鑑別、評鑑、管制方法

營運特性

規模

20

4.3.1 安全風險評鑑

SC安全設備

利害相關者

天然災害

營運威脅

外部因素

資訊資料

實質毀損

21

4.3.1安全風險評鑑 可能性

後果 實質毀損：如功能性損毀、偶發損毀、蓄意破壞、恐怖份子或犯罪行為(竊盜、搶劫、夾帶、走私等)。

營運威脅風險：可能影響組織功能及安全者。

天然環境事件：颱風、洪水、暴雨、地震等。

外部因素：如外部供應設備、服務之損壞。

利害相關者威脅與風險：如不符合法規要求、品牌、商譽受損等。

安全設備設計安裝(更換維修)

資訊資料管理及溝通事項

對營運持續之威脅

22

ISO 28004 啟始審查(參考) 啟始審查之要項(不侷限於下列事項)

法令、規章要求

鑑別面對之安全威脅

政策主導、情報蒐集安全威脅風險資訊

檢查既有之安全管理實務、過程、程序

評鑑先前事故、緊急事件調查之回應

文件化、可重複性

建立基線

23

風險評鑑結果

目標、標的方案

訓練、技能

資源(含員工)

設計規範安裝要求

威脅風險管理架構

作業管制

4.3.1 安全風險評鑑

24

4.3.1 安全風險評鑑

文件化

隨時更新

方法

界定適用範圍、性質、時限

蒐集安全威脅、風險資訊

分類安全威脅、風險(避免、排除、管制) 監督活動有效性、時效性

25

ISO 28001風險評鑑方法之流程圖(附錄B)(參考)

26

ISO 28001供應鏈之安全威脅情境(附錄B)(參考)

6.其他

在國際的供應鏈內進行運作，以協

助恐怖份子之事故(例如利用運輸方

式作為武器)

5.未經許可使用

為恐怖行動之目的而篡改、破壞及/

或偷竊貨物

4.貨物完整性

現場或遙控取得供應鏈的資訊/文件

系統，目的在瓦解作業或協助非法

活動

3.資訊篡改

非法武器進入或運出國家/經濟體

恐怖份子進入或逃離國家/經濟體

2.利用供應鏈作為走私與偷渡之方法

損壞/破壞資產

利用資產或物品損壞/破壞外部標的

導致內政或經濟擾亂

扣留人質/殺害人員

1.在供應鏈內強佔與/或操

控資產(包括運輸工具)

適用情況範例安全威脅情境範例

27

ISO 28001風險評鑑後果之分類(附錄B) (參考)

死亡與傷害—傷害但無生命喪失

經濟衝擊—輕微的資產與/或基礎設施

損害

環境影響—某些環境損壞

低度

死亡與傷害—例如生命喪失

經濟衝擊—需彌補之資產與/或基礎設

施損害

環境影響—例如部分生態系統的長期

傷害

中度

死亡與傷害—在某程度上生命之喪失

經濟衝擊—妨礙資產與/或基礎設施的

營運之大損害

環境影響—大範圍之生態系統多方面

完全破壞

高度

後果評級歸類

28

ISO 28001風險評鑑之安全事故評定表(附錄B) (參考)

文件文件適當時，對策或考量

低度

文件適當時，對策或考量

對策中度

適當時，對策或考量

對策對策高度

低度中度高度

後果分類

可能性分類

29

4.3.2 法律、法令及其他法規之要求

程序

鑑別、融入適用法律法規及所簽署安全要求

決定要求如何應用至安全威脅與風險

隨時更新資料

分送員工及相關第三者(承包商等)

30

ISO 28004 (參考) 典型輸出

鑑別與取得資訊並隨時更新程序

鑑別適用要求與適用處

要求(確實內容、總結或分析)，組織決定之取得地點

對於新安全法規隨後管制實施之觀察程序

31

4.3.3 安全管理目標

為符合安全管理政策的安全所需之特定成果或成效。

備考：此等成果直接或間接與整體產業提供至其顧客或最終使用者的產品、供應或服務相關聯，係屬重要的。

32

4.3.3 安全管理目標

文件化

由安全政策導出

考慮 法律、法令、其他要求

安全威脅、風險

技術、其他選擇

財務、作業、業務要求

利害相關者意見

33

4.3.3 安全管理目標

應符合

與持續改善承諾一致

可行時量化

員工及第三者(承包商)溝通(職責) 定期審查(相關性、SCSMS政策一致性)

34

4.3.4 安全管理標的

為達成安全管理目標所需特定程度之工作。

文件化

符合安全管理目標及

適當詳細程度

特定、可量測、可達成、具相關性

時間為基準(可行時) 員工及第三者(承包商)溝通(職責) 定期審查(相關性、SCSMS目標一致性)

35

4.3.5 安全管理方案

為達成安全管理目標所使用之方法。

最適化

依優先順序推動

成本有效

文件化

責任、職權

方法、時程

定期審查(有效性、SCSMS目標、標的一致性)

36

4.4 實施與運作

4.4.1 安全管理之架構、職責及責任

維持SCSMS政策、目標、標的、方案一致角色、職責

文件化

溝通

37

4.4.1 安全管理之架構、職責及責任

發展SCSMS及持續改善證據 1位最高管理階層設計、維護、文件化、改善

SCSMS 1位/多位最高管理階層居SCSMS職責，確保目標、標的實施

鑑別、監督、管理利害相關者要求與期望

充分資源運用

考慮SCSMS政策、目標、標的、方案可能負面影響

確保他部門任何安全方案可補充SCSMS 溝通符合安全管理要求重要性

確保威脅與風險已評鑑

確保目標、標的、方案可達成性

38

ISO 28004 (參考) 典型輸出

界定所有相關人員安全職責

作業手冊/程序書/套裝訓練中角色/責任之文件

將角色/責任分發與所有員工、其他相關團體之過程

管理階層主動參與所有層面並支持安全活動

39

4.4.2 能力、訓練及認知

設計、操作、管理安全設備及過程人員教育、訓練、經驗資格

認知 遵守政策、程序及SCSMS要求重要性

達成 前項(含緊急應變)角色責任

偏離安全程序後果

程序化

紀錄保存

40

ISO 28004 (參考) 典型輸出

個人角色能力要求

訓練需求分析

訓練方案/計畫

可供應用於組織內的訓練課程/產品範圍

訓練紀錄及評鑑有效性與訓練之紀錄

安全認知方案

安全認知之評鑑

41

4.4.3 溝通

適當安全管理資訊(考量敏感性)

對象

員工

承包商

利害相關者

程序化

42

ISO 28004 (參考) 典型輸出

透過安全諮商委員會或類似團體，正式進行管理階層與員工之諮詢

參與安全風險鑑別、評鑑及管制之員工

主動鼓勵員工在工作場所作安全諮詢、檢討及改善活動，並將有關安全議題回饋管理階層

員工安全代表具有界定之角色及與管理階層溝通機制(如參與意外事件與事故調查、場址安全檢查等)

對員工與其他如承包商/訪客等利益團體之安全簡報

安全資訊公告欄

安全時事通訊

安全海報方案

與適當權責機構、供應鏈夥伴，分享敏感性安全資訊與報告之其它方式

43

4.4.4 文件化

文件化系統 安全政策、目標、標的

SCSMS範圍

SCSMS要項、相互影響、參考文件

ISO 28000標準要求文件、紀錄

決定安全威脅風險文件、紀錄

決定資訊安全敏感性

預防未經許可取得

44

4.4.5 文件與資料管制

管制文件、資料及資訊程序

授權個人歸檔取用

定期審查、必要修訂、授權人員核准

現行版本之作業地點可取用性

作廢版本即時移除、不誤用

鑑別歸檔

安全保存、備份還原電子檔

45

4.4.6作業管制

鑑別之作業、活動

安全管理政策

活動管制、減輕重大風險威脅

符合法律、法規、其他要求

安全管理目標

安全管理方案

所需供應鏈安全程度

46

4.4.6 作業管制

確保作業、活動 文件化程序

評鑑、減輕上游供應鏈活動威脅

貨物、服務安全影響要求(分送供應商、承包商)

程序 設計、安裝、作業、整修控制

設備、儀器安全有關項目調整

47

4.4.6 作業管制

修正/新配置前考量安全威脅風險

配置

組織架構、角色、責任

安全管理政策、目標、標的、方案

過程、程序

基礎設施、安全設備、工業技術(硬體/軟體)

承包商、供應商、人員

48

4.4.7 緊急準備、應變及安全復原

計畫、程序

鑑別、應變可能安全偶發事故、緊急狀況

預防、減輕後果

包含提供、維護所鑑別設備、設施、服務

當時/之後可能需要資訊

定期審查有效性(尤其事故後)

定期測試

49

ISO 28004 (參考) 典型輸出

文件化的緊急應變、安全復原計畫與程序

安全設備清單

安全設備測試紀錄

實際演練與練習

實際演習與練習之檢討

檢討產生之建議措施

建議措施達成進度

完成的措施

50

4.5 檢核與矯正措施

4.5.1 安全績效量測與監督

SCSMS績效程序

安全績效程序

量測頻率、重要績效參數考量

安全威脅、風險

潛在惡化機制

後果

51

4.5.1 安全績效量測與監督

程序 適當定性、定量量測

符合安全管理政策、目標、標的

先量測監督vs方案、作業管制準則、法律、法令符合性

重複施行(找安全惡化、損壞、偶發事故、不符合事項(虛驚、假警報)、系統績效缺失證據)

紀錄 設備校正維護程序

保留時間(法規、政策)

52

ISO 28004 (參考) 典型輸出

安全配置有效性監測程序

檢查時程表與查檢表

設備檢查查檢表

安全設備清單

校正安排與校正紀錄

維護活動與結果

完整查檢表、檢查報告(SCSMS稽核之輸出，參照第4.5.4節)

不符合報告

實施此程序結果之證據

53

4.5.2 系統評估

安全管理計畫、程序、能力評估 定期審查

測試

事故後報告

課程學習

績效評估

實習

前項因素顯著變更，程序立即反應

54

4.5.2 系統評估

定期評估符合性

法令、規章、產業最佳實務

政策、目標

保存定期評估紀錄

55

ISO 28004 (參考) 典型輸出

過程與績效之改進

不符合報告之減少

法規符合性

威脅鑑別、風險評鑑報告及風險登錄之更新

改進的過程

所採矯正與預防措施有效性評鑑之證據

56

4.5.3 不符合、矯正預防措施

程序界定職責 評估、啟始潛在缺失之預防措施

安全調查 虛驚事故、假警報

意外事故、緊急情況

不符合事項

減輕缺失、事故、不符合事項後果之措施

啟始、完成矯正措施

確認矯正措施有效性

57

4.5.3 不符合、矯正預防措施

矯正預防措施程序

實施前，經安全威脅/風險評鑑過程審查

緊急暴露於生命/公共安全下除外

適合問題大小

相襯於可能安全威脅風險

紀錄、文件化變更程序(必要時含訓練)

58

ISO 28004 (參考)

典型輸出

安全事故與不符合之程序

不符合報告

不符合登錄

調查報告

最新的安全風險鑑別、風險評鑑及風險管理報告

管理階層審查之投入

所採矯正與預防措施有效性評鑑之證據

59

4.5.4 紀錄管制

紀錄程序 鑑別

儲存

保護

檢索

保留

處置

易於閱讀、可辨識、可追溯

電子、數位文件 預防竄改措施

安全備份

由授權人員取用

60

4.5.5 稽核

安全管理稽核計畫

規劃期間進行

決定SCSMS ISO 28000第4節要求規劃安排

適當實施、維持

有效符合政策、目標

審查稽核結果、矯正措施、改正不符合事項

提供有關管理稽核結果資訊

查證安全設備、人員配置適當性

61

4.5.5 稽核

計畫(含時程表) 活動

威脅風險評鑑結果

先前稽核結果

程序 範圍

頻率

方法

能力

執行稽核、報告結果責任、要求

獨立人員執行

62

ISO 28004 (參考)

典型輸出

SCSMS稽核計畫/方案

SCSMS稽核程序

SCSMS稽核報告(不符合報告、建議事項及矯正措施要求)

不符合報告簽結/結案

SCSMS稽核結果已向管理階層報告之證據

63

4.6 管理階層審查與持續改善

在規劃期間

審查SCSMS 適用性

恰當性

有效性

審查 改善機會

政策

目標

因威脅、風險之系統變更需求

紀錄

64

4.6 管理階層審查與持續改善

管理階層審查

稽核結果vs法規、所簽署其他要求符合性

外部利益團體(抱怨者)溝通事項

組織安全績效

目標、標的符合度

矯正、預防措施狀態

先前審查事項追蹤

變更狀況(安全考量面法規、其他要求制定) 改善建議事項

65

4.6 管理階層審查與持續改善

管理階層審查

安全政策

目標

標的

變更決定與措施

與持續改善承諾一致

66

ISO 28004 (參考) 審查須說明之主題

目前安全政策之適合性

設定或更新即將來臨的階段，持續改善的安全目標

目前安全威脅鑑別、風險評鑑及風險管理過程之適切性

現有管制措施之目前風險程度與有效性

資源之適切性

安全檢查過程之有效性

安全風險報告過程之有效性

67

ISO 28004 (參考) 審查須說明之主題

有關安全與曾發生事故資料

所記錄無效程序的事例

自先前審查之後，所實施內部與外部安全管理系統稽核之結果，與其有效性

緊急情況的準備與安全復原安排之狀態

對安全管理系統之改善

任何安全事故調查之輸出

評鑑法令、規章、技術或安全情報與資訊，可預見變更之影響

68

ISO 28000標準

要求程序之條款 4.3.1, 4.3.2 4.4.2, 4.4.3, 4.4.5, 4.4.6, 4.4.7, 4.5.1, 4.5.3, 4.5.4, 4.5.5

69

ISO 28000標準

要求文件化之條款

4.1 4.2 4.3.1, 4.3.3, 4.3.4, 4.3.5 4.4.1, 4.4.4, 4.4.5

70

ISO 28000標準

要求記錄之條款

4.4.2 4.5.1, 4.5.2, 4.5.3, 4.5.4, (4.5.5) 4.6

71

ISO 28000標準

要求計畫之條款

4.4.7 緊急準備、應變及安全復原計畫

4.5.2 安全管理計畫

4.5.5 稽核計畫

72

ISO 28000標準

vs AEO安全審查項目及驗證基準

73

參考資料

ISO/CNS 28000 供應鏈安全管理系統規範

ISO/CNS 28001:2007 供應鏈安全管理系統－實施供應鏈安全、評鑑及計畫之最佳實務－要求與指引簡介

ISO/CNS 28004供應鏈安全管理系統－ISO/CNS 28000實施之指導綱要簡介

安全審查項目及驗證基準(關稅總局AEO網站)

74

報告完畢!敬請指教!!