ISO 28000-2022 安全与韧性—安全管理体系—要求(雷泽佳译-2023).doc
《ISO 28000-2022 安全与韧性—安全管理体系—要求(雷泽佳译-2023).doc》由会员分享,可在线阅读,更多相关《ISO 28000-2022 安全与韧性—安全管理体系—要求(雷泽佳译-2023).doc(26页珍藏版)》请在文库网上搜索。
1、ISO 28001-2022 ISO 28000:2022 ISO 2022雷泽佳 译(13087319462,leizejia) 安全与韧性 安全管理体系 要求Security and resilience Security management systems RequirementsQ/ZS 20111-2003Q/ZS 20120-2003(1.0)国际标准 ISO/TS 28001 第2版 2022-03目次前言III引言IV1 范围12 规范性引用文件13 术语和定义14 组织环境44.1 理解组织及其环境44.2 理解相关方的需求和期望44.2.1 总则44.2.2 法律法规和其
2、他要求44.2.3 原则44.3 确定安全管理体系的范围64.4 安全管理体系65 领导作用65.1 领导作用和承诺65.2 安全方针75.2.1 建立安全方针75.2.2 安全方针要求75.3 岗位、职责和权限76 策划76.1 应对风险和机遇的措施76.1.1 总则76.1.2 确定与安全有关的风险并确定机遇86.1.3 应对与安全有关的风险和利用机遇86.2 安全目标及其实现的策划86.2.1 建立安全目标86.2.2 确定安全目标96.3 变更的策划97 支持97.1 资源97.2 能力97.3 意识107.4 沟通107.5 成文信息107.5.1 总则107.5.2 创建和更新10
3、7.5.3 成文信息的控制118 运行118.1 运行的策划和控制118.2 确定过程和活动118.3 风险评估和应对118.4 控制128.5 安全策略、程序、过程和应对方法128.5.1 确定和选择战略和应对方法128.5.2 资源要求128.5.3 应对的实施138.6 安全计划138.6.1 总则138.6.2 响应结构138.6.3 警告和沟通138.6.4 安全计划的内容148.6.5 恢复149 绩效评价149.1 监视、测量、分析和评价149.2 内部审核159.2.1 总则159.2.2 内部审核方案159.3 管理评审159.3.1 总则159.3.2 管理评审输入159.
4、3.3 管理评审输出1610 改进1610.1 持续改进1610.2 不符合和纠正措施16参考文献18I前言国际标准化组织(ISO)是由各国标准化团体(ISO成员团体)组成的世界性的联合会。制定国际标准工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会确定的项目感兴趣,均有权参加该委员会的工作。与ISO保持联系的各国际组织(官方的或非官方的)也可参加有关工作。ISO与国际电工委员会(IEC)在电工技术标准化方面保持密切合作的关系。制定本标准及其后续标准维护的程序在ISO/IEC指引 第1部分均有描述。应特别注意用于各不同类别ISO文件批准准则。本标准根据ISO/IEC导则第2部分的规
5、则起草(见www.iso.org/directives)。本标准中的某些内容有可能涉及一些专利权问题,对此应引起注意。ISO不负责识别任何这样的专利权问题。在标准制定期间识别的专利权细节将出现在引言/或收到的ISO专利权声明清单中(www.iso.org/patents)。ISO与合格评定相关的特定术语和表述含义的解释以及ISO遵循的世界贸易组织(WTO)贸易技术壁垒(TBT)原则相关信息访问以下URLL:www.iso.org/iso/foreword.html.本标准由ISO/TC 292安全与韧性分委员会制定。第二版取消并取代了第一版(ISO 28000:2007),第一版在技术上进行了
6、修订,但保留了现有的要求,为使用前一版的组织提供连续性。主要变化如下: 在第4章中加入了关于原则的建议,以便与ISO31000更好地协调; 在第8章中增加了建议,以便与ISO22301更好地保持一致,促进整合,包括:l 安全策略、程序、过程和应对;l 安全计划。有关本标准的任何反馈应直接向用户所在国家标准机构提出,这些机构的完整名单可以www.iso.org/members.html中找到。IIIISO 28001-2022引言大多数组织正经历着安全环境中越来越多的不确定性和波动性。因此,他们面临着影响其目标的安全问题,他们希望在其管理体系内系统地解决这些问题。正式的安全管理方法可以直接增进组
7、织的业务能力和可信度。本标准规定了安全管理体系要求,包括对供应链安全保证至关重要的方面。它要求组织: 评估其运营的安全环境,包括其供应链(包括依赖关系和相互依存关系); 确定是否有足够的安全措施来有效管理与安全相关的风险; 管理组织对法律法规和自愿义务的遵守情况; 协调安全过程和控制,包括供应链的相关上游和下游过程和控制,以满足组织的目标。安全管理与业务管理的许多方面相关联。它们包括组织控制或影响的所有活动(包括但不限于对供应链产生影响的活动)。应考虑对组织安全管理有影响的所有活动、职能和业务,包括(但不限于)其供应链。关于供应链,必须考虑到供应链本质上是动态的。因此,一些管理多个供应链的组织
8、可能希望其供方满足相关的安全标准,作为纳入该供应链的条件,以满足安全管理的要求。本标准将策划-实施-检查-处置(PDCA)模式应用于组织策划、建立、实施、运行、监视、评审、保持和持续改进安全管理体系的有效性,见表1和图1。表1:PDCA模型的解释策划(建立)建立与改进安全相关的安全方针、目标、指标、控制措施、过程和程序,以提供符合组织总方针和目标的结果。实施(执行和运行)执行和运行安全方针、控制措施、过程和程序。检查(监视和评审)根据安全方针和目标监视和评审绩效,向管理层报告结果以供评审,并确定和授权补救和改进措施。处置(保持和改进)根据管理评审的结果,通过采取纠正措施,保持和改进安全管理体系
9、,并重新评价安全管理体系的范围和安全方针和目标。组织环境(4)策划(6)领导作用(5)支持(7)运行(8)绩效评价(9)持续改进(10)策划实施实施改进图1:应用于安全管理体系的PDCA模式这确保了与其他管理体系标准的一致性,如ISO 9001、ISO 14001、ISO 22301、ISO/IEC 27001、IS0 45001等,从而支持与相关管理体系的一致和整合实施和运行。对于有此愿望的组织,可以通过外部或内部审核程序来验证安全管理体系与本标准的一致性。VV安全与韧性安全管理体系要求1 范围本标准规定了安全管理体系要求,包括与供应链相关的方面。本标准适用于所有类型和规模的组织(如商业企业
10、、政府或其他公共机构和非营利组织),旨在建立、实施、保持和改进安全管理体系。它提供了一个整体的、共同的方法,并不针对具体行业或部门。本标准可以在组织整个生命周期中使用,并可应用于任何层级的内部或外部活动。2 规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本标准。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。ISO 22300 安全与韧性术语3 术语和定义ISO 22300 界定的以及下列术语和定义适用于本标准。ISO和IEC在以下地址维护用于标准化的术语数据库:ISO在线浏览平台:https:/www.iso.org/obr
11、IEC在线电工术语库:http:/www.electropedia.org/3.1组织 organization 为实现目标,由职责、权限和相互关系构成自身功能的一个人或一组人。注:组织包括但不限于企事业单位、政府机构、社团、个体工商户,或者上述组织的某部分或其组合,无论其是否为法人组织、公有或私有。3.2相关方(利益相关方) interested party;stakeholder 可影响或者受到决策或活动所影响,或者自认为受决策或活动影响的个人或组织。 示例:相关方可包括顾客、游客、居民、社区、供方、监管部门、非政府组织、投资方和工作人员。3.3最高管理者 top management 在
12、最高层指挥和控制组织的一个人或一组人。注1:在保留对安全管理体系)承担最终责任的前提下,最高管理者有权在组织内授权和提供资源。 注2:若管理体系的范围仅覆盖组织的一部分,则最高管理者是指那些指挥和控制该部分的人员。3.4管理体系 management system 组织用于建立方针和目标以及实现这些目标的过程的一组相互关联或相互作用的要素。注1: 一个管理体系可针对单个或多个领域。注2: 体系要素包括组织的结构、岗位和职责、策划、运行、绩效评价和改进。注3: 管理体系的范围可包括:整个组织,组织中具体且可识别的职能或部门,或者跨组织的一个或多个职能。 3.5安全管理体系 safety mana
13、gement system用于建立和实现安全方针和目标的管理体系或管理体系的一部分。3.6方针 policy 由组织最高管理者正式表述的组织的意图和方向。3.7目标 objective 要实现的结果。注1:目标可以是战略性的、战术性的或运行层面的。注2: 目标可涉及不同领域(如财务的、健康安全的和环境的目标),并可应用于不同层面(如战略层面、组织整 体层面、项目层面、产品和过程层面)。注3:目标可按其他方式来表述,例如:按预期结果、意图、追求、目的、运行准则来表述目标。注4: 安全目标,是由组织设定的,与安全方针一致的,与安全相关的目标。3.8风险 risk不确定因素对目标的影响。注1: 影响
14、是指对预期的偏离正面的或负面的。注2: 不确定性是指对事件及其后果或可能性缺乏甚至部分缺乏相关信息、理解或知识的状态。注3: 通常,风险以潜在事件和后果,或两者的组合来描述其特性。注4: 通常,风险以某事件 (包括情况的变化)的后果及其发生的可能性的组合来表述。 注5:本标准中风险指安全风险。3.9过程 process 利用输入实现预期结果的相互关联或相互作用的一组活动。 注:过程的“预期结果”称为输出,还是称为产品)或服务,随相关语境而定。 3.10能力 competence 应用知识和技能实现预期结果的本领。 3.11成文信息 documented information 组织需要控制并保
15、持的信息及其载体。 注1:成文信息可以任何格式和载体存在,并可来自任何来源。 注2:成文信息可涉及: 管理体系,包括相关过程; 为组织运行而产生的信息 (一组文件); 实现结果的证据(记录)。 3.12绩效 performance 可测量的结果。 可量化的结果。注1: 绩效可能涉及定量或定性的发现。结果可由定量或定性的方法来确定或评价。注2:绩效可能涉及活动、过程、产品、服务、体系或组织(3.1)的管理。3.13持续改进 continual improvement 提高绩效的循环活动。注1: 提高绩效涉及使用安全管理体系以实现与安全方针(3.11)和安全目标)相一致的整体安全绩 效的改进。注2
16、:持续并不意味着不间断,因此活动不必同时在所有领域发生。3.14有效性 effectiveness 完成策划的活动并得到策划的结果的程度。 3.15要求 requirement 明示的、通常隐含的或必须履行的需求或期望。 注1: “通常隐含”是指组织和相关方的惯例或一般做法,所考虑的需求或期望是不言而喻的。 注2: 规定要求是经明示的要求,如:在成文信息(3.8.6)中阐明。 3.16符合 conformity满足要求。3.17不符合 nonconformity未满足要求 。3.18纠正措施 corrective action 为消除不合格的原因并防止再发生所采取的措施。 3.19审核 aud
17、it 为获得审核证据并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的和文件 化的过程。注1:审核可以是内部(第一方)审核或外部(第二方或第三方)审核,也可以是一种结合(结合两个或多个领域) 的审核。注2:内部审核由组织自行实施或由外部方代表其实施。注3: “审核证据”和“审核准则”的定义见GB/T 19011。3.20测量 measurement 确定数值的过程。 3.21监视 monitoring确定体系、过程或活动的手段和过程。注:为了确定状态,可能需要检查、监督或批判地观察。4 组织环境4.1 理解组织及其环境组织应确定与其宗旨相关并影响其实现安全管理体系预期结果的内部
18、和外部因素,包括其供应链的要求。4.2 理解相关方的需求和期望4.2.1 总则组织应确定: 与安全管理体系有关的相关方; 这些有关的相关方的要求; 这些需求中哪些将通过安全管理体系来解决。4.2.2 法律法规和其他要求组织应:a) 实施和保持一个程序,以确定、获取和评估与其安全有关的适用法律、法规和其他要求;b) 确保在实施和保持其安全管理体系时考虑到这些适用的法律法规和其他要求;c) 将这些信息形成文件并保持更新;d) 适当时将此信息传达给相关方。4.2.3 原则4.2.3.1 总则组织中安全管理的目的是创造价值,特别是保护价值。组织应采用图2中给出的原则,并在4.2.3.2至4.2.3.9
19、条款中描述。创造和保护价值考虑人和文化因素动态和持续改进整合方法包容的人员积极参与定制化结构化和全面性过程方法关系管理领导作用图2:原则4.2.3.2 领导作用各级领导应建立统一的目标和方向。他们应创造条件,使组织的战略、方针、过程和资源协调一致,以实现其目标。4.2.3.3 基于现有最佳信息的结构化和全面性的程序方法包括供应链在内的结构化和全面性的安全管理方法应有助于取得一致和可比较的结果,只有将活动作为相互关联的连贯系统进行运行的过程来管理时,才能更加有效和高效地得到结果。4.2.3.4 定制化安全管理体系应是定制的,并与组织的外部和内部环境和需求要适应。安全管理体系应与其目标有关。4.2
20、.3.5 包容的人员积极参与组织应适当地、及时地让相关方参与进来。它应适当考虑他们的知识、观点和看法,以提高对安全管理的认识并促进知情的安全管理。组织应确保所有层级的人都得到尊重和参与。4.2.3.6 整合方法安全管理是所有组织活动的有机组成部分。它应与组织的所有其他管理系统相整合。组织的风险管理(无论是正式的、非正式的还是直观的)都应被整合至安全管理体系中。4.2.3.7 动态和持续改进组织应持续关注通过学习和经验进行改进,以保持绩效水平,对变化做出反应,并随着组织的外部和内部环境的变化创造新的机会。4.2.3.8 考虑人和文化因素人的行为和文化对安全管理各方面都有很大影响,应在每个层次和阶
21、段都考虑到。决策应基于对数据和信息的分析和评价,以确保决策更加客观,对决策有信心,更有可能产生预期的结果。应考虑每个人的看法。4.2.3.9 关系管理为了持续的成功,组织应管理好与所有相关方的关系,因为他们可能会影响组织的绩效。4.3 确定安全管理体系的范围组织应确定安全管理体系的边界和适用性,以确定其范围。在确定范围时,组织应考虑: 4.1中提及的各种外部和内部因素; 4.2中提及的要求。组织应将范围形成成文信息。如果组织选择外部提供任何影响其安全管理体系符合性的过程时,组织应确保这些过程受控。此类外部提供过程的必要控制和责任应在安全管理体系中加以确定。4.4 安全管理体系组织应按照本标准的
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5 文币 0人已下载
下载 | 加入VIP,免费下载 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO 28000-2022 安全与韧性安全管理体系要求(雷泽佳译-2023) 安全 韧性 安全管理 体系 要求 请求 雷泽佳