供应链安全管理体系认证

　　ISO 28000:2022《安全与韧性 — 安全管理体系 — 要求》是国际标准化组织（ISO）于 2022 年 3 月发布的最新版国际标准，替代 2007 年旧版，由 ISO/TC 292（安全与韧性技术委员会）制定ISO。该标准以 **PDCA（计划 - 执行 - 检查 - 改进） 为核心框架，采用 ISO 高阶结构（HLS），与 ISO 9001、ISO 22301、ISO/IEC 27001 等主流管理体系高度兼容，核心是帮助各类组织建立系统化安全管理机制，全面防控供应链及运营全流程安全风险，强化业务韧性与合规能力，适用于任何行业、任何规模的组织。

一、标准适用行业与范围

ISO 28000:2022 为通用性标准，无行业限制，覆盖组织所有运营活动及内外部供应链环节，核心适用场景分为两大类ISO：

（一）核心行业（直接供应链运营主体）

1. 物流运输业：道路 / 铁路 / 航空 / 海运货运、快递、邮政、多式联运企业，覆盖港口、机场、码头、货运场站等物流节点。

2. 制造业：电子、汽车、医药、食品、化工、奢侈品、能源装备等生产企业，尤其高价值、高监管、易受盗窃或破坏的产品制造环节。

3. 仓储与分销业：第三方仓储、保税仓、冷链物流、区域分销中心、零售配送企业。

4. 跨境贸易企业：进出口贸易商、跨境电商、报关行、货代公司，适配 AEO（经认证经营者）、C-TPAT 等国际海关合规要求。

（二）泛用行业（间接关联与高韧性需求主体）

•  金融、保险、电信、IT、医疗、教育、政府机构、公共事业等组织，需防控人员、资产、信息、运营中断等安全风险；

• 供应链服务商：安保设备供应商、安全咨询机构、供应链金融企业、检验检测机构；

• 跨境电商、连锁零售、农产品供应链等，需保障货物安全、信息保密、合规通关。

特别适用于高安全风险行业：医药、精密电子、军工配套、危化品、冷链食品、奢侈品等，国际头部企业（如苹果、辉瑞）已将该认证列为供应商准入门槛。

二、标准核心内容

  新版标准强化风险导向、韧性管理、体系整合，全文共 10 章，核心内容围绕安全管理体系全流程构建，关键更新与要求如下：

（一）基础框架与核心原则（第 4 章）

新增安全管理 7 大原则：以顾客为关注焦点、领导作用、全员参与、过程方法、改进、循证决策、关系管理，与 ISO 31000 风险管理标准全面协调，要求组织将安全风险纳入整体风险管理框架ISO。明确组织需评估内外部安全环境（含供应链依赖与交叉风险），识别故意破坏、人为失误、自然灾害、外部服务中断等威胁。

（二）领导作用与策划（第 5-6 章）

• 要求**管理者制定安全方针与目标，明确安全责任架构，任命安全管理代表，确保资源投入；

• 开展安全风险评估：识别供应链全环节风险点（物理、信息、人员、货物、运输、设施），分析风险可能性与影响程度，制定风险处置措施（规避、降低、转移、接受）；

• 策划安全管理体系范围，覆盖采购、生产、仓储、运输、销售、外包、供应商管理等全流程ISO。

（三）支持与运行（第 7-8 章）

1. 资源与能力：配备人力、物力、技术、财务资源，开展安全培训（反恐、应急、合规），确保人员具备岗位安全能力。

2. 核心运行控制（与 ISO 22301 对齐）：

• 物理安全：设施门禁、监控、围栏、仓储分区、货物隔离、出入登记、访客管控；

• 货物与运输安全：集装箱封条、货物查验、运输路线监控、司机背景审核、在途追踪、交接核验；

• 信息安全：供应链数据加密、访问权限控制、文档保密、防泄露、信息备份；

• 人员安全：背景调查、权限分级、离岗管控、异常行为监测；

• 供应商与外包安全：准入审核、安全协议、绩效评估、分级管控；

• 应急与业务连续性：制定安全应急预案（恐怖袭击、盗窃、火灾、疫情、运输中断），建立预警、响应、恢复机制，定期演练，保障关键业务不中断。

（四）绩效评价与改进（第 9-10 章）

• 内部审核：每年至少 1 次，验证体系合规性与有效性；

• 管理评审：**管理者每年评审体系适宜性、充分性、有效性，调整方针目标与资源；

• 事件与不符合处理：记录安全事件、不符合项，分析根本原因，实施纠正与预防措施，持续改进；

• 绩效监测：量化安全指标（事件发生率、整改完成率、培训覆盖率、合规率），定期分析优化。

三、ISO 28000:2022 认证流程

认证由第三方权威机构（如 中翔认证等）实施，证书有效期 3 年，每年需监督审核，流程分为 5 阶段：

（一）前期准备（1-2 个月）

1. 组建跨部门团队（安全、物流、IT、法务、生产），开展现状诊断，识别安全差距；

2. 依据标准建立文件化体系：编制安全管理手册、程序文件（风险评估、应急响应、人员管控等）、作业指导书、记录表单；

3. 体系试运行≥3 个月，完成至少 1 次内部审核与管理评审，留存完整运行记录；

4. 选择具备认可资质的认证机构，提交申请材料：营业执照、体系文件、场地平面图、安全事件承诺书、内审与管评报告。

（二）**阶段审核（1-2 天，文件 + 现场初审）

1. 审核机构评审体系文件，确认符合标准要求；

2. 现场核查组织架构、安全设施、风险评估、体系运行基础，评估二阶段审核准备度，提出整改建议；

3. 确认认证范围（行业、场地、流程），明确审核重点。

（三）第二阶段审核（4-10 天，全面现场审核）

1. 全流程验证：现场检查安全措施执行（门禁、监控、货物管控、应急演练）、记录完整性、人员能力、供应商安全管理；

2. 访谈各岗位人员，核实安全职责落实、流程执行、应急响应认知；

3. 开具不符合项（一般 / 严重），要求组织限期整改。

（四）认证决定与发证

整改完成后，审核机构技术委员会评审审核报告与整改材料，符合标准则颁发ISO 28000:2022 认证证书，全球通用。

（五）获证后维护

• 监督审核：每年 1-2 次，核查体系持续符合性与有效性；

• 再认证：证书到期前 3 个月，申请全面复评，通过后延续证书有效期。

四、标准核心价值

ISO 28000:2022 实现从 “被动防御” 到 “主动管控 + 韧性提升” 的转变：降低供应链安全风险（盗窃、破坏、中断、泄露）、满足国际合规（AEO/C-TPAT）与客户要求、优化保险成本、提升品牌信誉、增强业务连续性，是全球化背景下组织保障供应链安全、强化核心竞争力的必备管理工具。