Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COLOMBIANA
NTC-ISO
28000
2008-11-26
E:
CORRESPONDENCIA:
DESCRIPTORES:
I.C.S.: 47.020.99
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC)
Apartado 14237 Bogot, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproduccin
Editada 2008-12-10
PRLOGO
COLSEGUROS
ICOLLANTAS
INLAC
METROPYME
QUALITAS INGENIERA
SERVIENTREGA S.A.
SOANSES. LTDA.
SOCIEDAD TRACTEC
TITADSU
TRANSPORTE BOTERO SOTO
VALENTINA S.A.
ALFA
SERVICIOS
DE
GESTIN
EMPRESARIAL
ALIMENTOS KRAFT
ALKOSTO
ALMACENAR
ALMACENES XITO
ALTHVIZ & CA. LTDA.
ANALDEX
ASESORAS TCNICAS CORREDORES
DE SEGUROS -ASTEC-
ICONTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIN DE NORMALIZACIN
NTC-ISO 28000
CONTENIDO
Pgina
0.
INTRODUCCIN ..........................................................................................................1
1.
2.
3.
4.
4.1
REQUISITOS GENERALES.........................................................................................5
4.2
4.3
4.4
4.5
4.6
BIBLIOGRAFA......................................................................................................................19
DOCUMENTO DE REFERENCIA..........................................................................................20
FIGURAS
Figura 1. Relacin entre la ISO 28000 y otras normas pertinentes....................................1
Figura 2. Elementos del sistema de gestin de la seguridad.............................................4
ANEXOS
ANEXO A (Informativo)
CORRESPONDENCIA ENTRE LAS NORMAS ISO 28000:2007, ISO 14001:2004
E ISO 9001:2000 ....................................................................................................................16
NTC-ISO 28000
0.
INTRODUCCIN
ntes o
existe
ficas
espec ollar
desarr
por
ISO 28001:
Mejores prcticas para implementar evaluaciones y
planes para la seguridad de la cadena de suministro.
s
norma
Plan d
e
Otras
ISO 2
seguri
085
d
instala ad y evalua 8:
c
cione
s de p iones de s
e
uerto
marti guridad de
mos
ISO 28000:
Sistemas de gestin
de la seguridad para
la cadena de
suministro
1 de 20
NTC-ISO 28000
Se prev la aplicacin de la presente norma en casos donde las cadenas de suministro de una
organizacin deben manejarse de manera segura. Un enfoque formal hacia la gestin de la
seguridad puede contribuir directamente a la capacidad empresarial y a la credibilidad de la
organizacin.
La conformidad con esta norma no confiere por s misma exencin de las obligaciones legales.
Para organizaciones que as lo deseen, pueden verificar la conformidad del sistema de gestin
de la seguridad con esta norma mediante un proceso de auditora externa o interna.
La presente norma se basa en el formato ISO adoptado por la ISO 14001:2004 debido a su
enfoque de sistemas de gestin basado en el riesgo. Sin embargo, las organizaciones que han
adoptado un enfoque de procesos hacia los sistemas de gestin (por ejemplo ISO 9001:2000)
pueden usar su sistema de gestin existente como fundamento para un sistema de gestin de
la seguridad, segn se prescribe en esta norma. Con esta norma no se pretende duplicar los
requisitos y normas gubernamentales concernientes a la gestin de la seguridad de la cadena
de suministro con base en las cuales la organizacin ya se ha certificado o se ha verificado su
conformidad. La verificacin puede realizarla una organizacin aceptable por primera, segunda
o tercera parte.
NOTA
Esta norma se basa en la metodologa conocida como Planificar-Hacer-Verificar-Actuar (PHVA). PHVA se
puede describir de la siguiente manera:
-
Planificar: Establecer los objetivos y procesos necesarios para entregar resultados de acuerdo con la
poltica de seguridad de la organizacin.
Verificar: Supervisar y medir procesos contra la poltica de seguridad, objetivos, metas, requisitos legales y
otros y reportar resultados.
Actuar: Tomar acciones para mejorar continuamente el desempeo del sistema de gestin de la seguridad.
1.
Esta norma especifica los requisitos para un sistema de gestin de la seguridad, incluidos
aquellos aspectos crticos para el aseguramiento de la seguridad de la cadena de suministro.
La gestin de la seguridad est relacionada con muchos otros aspectos de la gestin
empresarial, que incluyen todas las actividades controladas o influenciadas por organizaciones
que impacta en la seguridad de la cadena de suministro. Estos otros aspectos se deberan
considerar directamente cuando y donde tengan impacto en la gestin de la seguridad, incluido
el transporte de estos bienes a lo largo de la cadena de suministro.
La presente norma es aplicable a organizaciones de todos los tamaos, desde las pequeas
hasta las multinacionales, de manufactura, servicios, almacenamiento o transporte en cualquier
etapa de la produccin o la cadena de suministro que desee:
a)
b)
c)
d)
NTC-ISO 28000
Existen cdigos legislativos y de reglamentacin que abordan algunos de los requisitos de esta
norma.
Esta norma no pretende exigir una doble demostracin de la conformidad.
Las organizaciones que optan por la certificacin por una tercera parte pueden demostrar
adems que estn contribuyendo significativamente a la seguridad de la cadena de suministro.
2.
REFERENCIAS NORMATIVAS
3.
TRMINOS Y DEFINICIONES
Para los propsitos de esta norma se aplican los trminos y definiciones siguientes:
3.1 Instalacin. Planta, maquinaria, propiedad, edificios, vehculos, embarcaciones,
instalaciones portuarias y otros elementos de infraestructura o plantas y sistemas relacionados
que cumplen una funcin o servicio empresarial distintivo y cuantificable.
NOTA
Esta definicin incluye cualquier cdigo de software que sea crtico para la obtencin de seguridad y la
aplicacin de gestin de la seguridad.
NTC-ISO 28000
NOTA Son ejemplos: los clientes, accionistas, entidades financieras, aseguradoras, reglamentadores, organismos
estatutarios, empleados, contratistas, proveedores, agremiaciones laborales, o la sociedad.
3.9 Cadena de suministro. Conjunto relacionado de recursos y procesos que comienza con el
suministro de materias primas y se extiende hasta la entrega de productos o servicios al
usuario final, incluidos los medios de transporte.
NOTA
La cadena de suministro puede incluir vendedores, instalaciones de manufactura, proveedores de
logstica, centros de distribucin interna, distribuidores, mayoristas y otras entidades que conducen al usuario final.
3.9.1 Aguas abajo. Se refiere a las acciones, procesos y movimientos de la carga en la cadena
de suministro, que ocurren despus de que la carga sale del control operacional directo de la
organizacin, incluidas la gestin de los seguros, las finanzas y los datos, y el empaque,
almacenamiento y transferencia de la carga, entre otros.
3.9.2 Aguas arriba. Se refiere a las acciones, procesos y movimientos de la carga en la
cadena de suministro, que ocurren antes de que la carga se encuentre bajo el control
operacional de la organizacin, incluida la gestin de datos, las finanzas y los seguros y el
empaque, almacenamiento y transferencia de la carga, entre otros.
3.10 Alta direccin. Persona o grupo de personas que dirige y controla una organizacin en el
nivel superior.
NOTA
Es posible que la alta direccin, especialmente en una gran organizacin multinacional, no est
involucrada personalmente como se describe en la presente norma; sin embargo, la responsabilidad de la alta
direccin a travs de la cadena de mando debe ser manifiesta.
MEJORA CONTNUA
-Responsabilidades y competencia
-Comunicacin
-Documentacin
-Control operacional
-Preparacin para emergencias
NTC-ISO 28000
REQUISITOS GENERALES
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)
poderse revisar en caso de adquisicin o fusin con otras organizaciones, u otro cambio
en el alcance del negocio de la organizacin que pueda afectar la continuidad o
pertinencia del sistema de gestin de la seguridad.
NTC-ISO 28000
NOTA
Las organizaciones pueden optar por una poltica de gestin de la seguridad detallada para uso interno
que ofrezca suficiente informacin y direccin para orientar el sistema de gestin de la seguridad (algunas partes de
ste pueden ser confidenciales) y una versin resumida (no confidencial) que contenga los objetivos generales para
divulgacin entre sus partes involucradas y otras partes interesadas.
4.3
4.3.1
amenazas y riesgos de falla fsica, tales como falla funcional, dao incidental, dao
malicioso o terrorista o accin criminal;
b)
c)
eventos del medio ambiente natural (tormentas, inundaciones, etc.) que pueden hacer
que las medidas y equipos de seguridad resulten ineficaces;
d)
factores por fuera del control de la organizacin, tales como fallas en el equipo y
servicios suministrados externamente;
e)
amenazas y riesgos de las partes involucradas, tales como falla en cumplir los requisitos
de reglamentacin o dao a la reputacin o la marca;
f)
g)
h)
La organizacin debe asegurar que se consideren los resultados de estas evaluaciones y los
efectos de estos controles y, cuando resulte apropiado, debe proporcionar elementos de entrada a:
a)
b)
c)
d)
e)
f)
NTC-ISO 28000
b)
c)
d)
4.3.2
para identificar y tener acceso a los requisitos legales aplicables y otros requisitos que
suscribe la organizacin en relacin con sus amenazas y riesgos para la seguridad, y
b)
para determinar cmo se aplican estos requisitos a sus amenazas y riesgos para la
seguridad.
b)
c)
d)
e)
b)
NTC-ISO 28000
c)
d)
revisarse peridicamente para garantizar que sigan siendo pertinentes y coherentes con
la poltica de gestin de la seguridad. Cuando sea necesario, se deben corregir de
acuerdo con los objetivos de gestin de la seguridad.
4.3.4
b)
ser especficos, medibles, obtenibles, pertinentes y con base en el tiempo (cuando sea
aplicable);
c)
d)
revisarse peridicamente para asegurar que sigan siendo pertinentes y coherentes con
los objetivos de gestin de la seguridad. Donde sea necesario las metas se deben
ajustar consecuentemente.
4.3.5
b)
los medios y la escala en el tiempo por medio de los cuales se logran los objetivos y
metas de gestin de la seguridad.
Los programas de gestin de la seguridad deben revisarse peridicamente para asegurar que
se mantienen efectivos y coherentes con los objetivos y metas. Cuando sea necesario, los
programas se deben ajustar consecuentemente.
NTC-ISO 28000
4.4
IMPLEMENTACIN Y OPERACIN
4.4.1
b)
c)
d)
e)
considerar el impacto adverso que la poltica, los objetivos, las metas, los programas,
etc., de gestin de la seguridad pueden tener en otros aspectos de la organizacin;
f)
g)
h)
garantizar que las amenazas y riesgos relacionados con la seguridad sean evaluados y
se incluyan en evaluaciones de amenazas y riesgos organizacionales, segn resulte
apropiado;
i)
4.4.2
La organizacin debe garantizar que el personal responsable del diseo, operacin y gestin de
equipos y procesos de seguridad est calificado adecuadamente en lo relativo a educacin,
entrenamiento o experiencia o ambas. La organizacin debe establecer y mantener procedimientos
para que las personas que trabajan para ella o en su nombre sean conscientes de:
a)
NTC-ISO 28000
b)
c)
Comunicacin
La organizacin debe contar con procedimientos para asegurar que la informacin pertinente
de gestin de la seguridad se comunica hacia y desde los empleados relevantes, contratistas y
otras partes interesadas.
Debido a la naturaleza confidencial de alguna informacin relacionada con la seguridad, se
debera considerar adecuadamente la sensibilidad de la informacin antes de su divulgacin.
4.4.4
Documentacin
b)
c)
d)
e)
slo individuos autorizados puedan localizar y tener acceso a estos documentos, datos
e informacin;
b)
c)
NTC-ISO 28000
d)
los documentos, datos e informacin obsoletos sean retirados con prontitud de todos los
puntos de emisin y de uso, o se asegure de otro modo que no se haga uso indeseado
de ellos;
e)
f)
4.4.6
Control operacional
La organizacin debe identificar aquellas operaciones y actividades que sean necesarias para
lograr:
a)
b)
c)
d)
e)
f)
La organizacin debe garantizar que estas operaciones y actividades se realicen bajo las
condiciones especificadas mediante:
a)
b)
c)
Estos procedimientos deben incluir controles para el diseo, instalacin, operacin, renovacin
y modificacin de elementos de equipos, instrumentacin etc., relacionados con la seguridad,
segn resulte apropiado. Cuando se actualicen las disposiciones existentes o se introduzcan
nuevas que puedan causar impacto en las operaciones y actividades de gestin de la
seguridad, la organizacin debe considerar las amenazas y riesgos de la seguridad asociados
antes de su implementacin. Las disposiciones nuevas o actualizadas que se vayan a
considerar deben incluir:
a)
b)
NTC-ISO 28000
c)
d)
e)
4.4.7
4.5.1
b)
c)
d)
e)
NTC-ISO 28000
b)
fallas, incluidas las que estuvieron a punto de ocurrir, y las falsas alarmas;
2)
3)
no conformidades;
c)
d)
e)
Estos procedimientos deben exigir que se revisen todas las acciones correctivas y preventivas
propuestas por medio del proceso de evaluacin de amenazas y riesgos de seguridad antes de
la implementacin, a menos que la implementacin inmediata impida exposiciones inminentes
para la vida o seguridad pblica.
Cualquier accin correctiva o preventiva emprendida para eliminar las causas de no
conformidades reales y potenciales debe ser apropiada para la magnitud de los problemas y
proporcional a las amenazas y riesgos de la seguridad que probablemente se encuentren. La
organizacin debe implementar y registrar cualquier cambio en los procedimientos
documentados que resulten de la accin correctiva y preventiva y debe incluir el entrenamiento
requerida cuando fuera necesario.
13
NTC-ISO 28000
Control de registros
La organizacin debe establecer y mantener registros, segn sea necesario, para demostrar
conformidad con los requisitos de su sistema de gestin de la seguridad y de esta norma, y de
los resultados logrados.
La organizacin debe establecer, implementar y mantener un procedimiento (o varios) para la
identificacin, almacenamiento, proteccin, recuperacin, retencin y disposicin de registros.
Los registros deben ser legibles y permanecer as, y deben ser identificables y trazables.
La documentacin electrnica y digital debera estar protegida contra alteracin, tener copia de
seguridad y ser accesible slo a personal autorizado.
4.5.5
Auditora
2)
3)
b)
revisar los resultados de auditoras anteriores y las acciones emprendidas para rectificar
las no-conformidades;
c)
d)
El programa de auditoria, incluido cualquier cronograma, debe estar basado en los resultados
de las evaluaciones de amenazas y riesgos de las actividades de la organizacin y en los
resultados de auditoras anteriores. Los procedimientos de auditora deberan comprender el
alcance, la frecuencia, las metodologas y competencias, lo mismo que las responsabilidades y
requisitos para realizar auditoras y reportar resultados. Cuando sea posible, las auditoras las
debe llevar a cabo personal independiente de los que tienen responsabilidad directa en la
actividad que se est examinando.
NOTA
4.6
NTC-ISO 28000
a)
b)
c)
d)
e)
f)
g)
h)
recomendaciones de mejora.
La informacin de salida de las revisiones por la direccin debe incluir cualquier decisin y
accin relacionada con cambios posibles a la poltica, objetivos, metas y otros elementos del
sistema de gestin de la seguridad, de manera coherente con el compromiso con la mejora
continua.
15
NTC-ISO 28000
ANEXO A
(Informativo)
ISO 14001:2004
4.1
4.2
Poltica ambiental
ISO 9001:2000
4.1
4.2
4.1
Compromiso de la direccin
5.1
Poltica de la calidad
5.3
Mejora continua
Evaluacin del riesgo de
seguridad y planificacin
(slo ttulo)
4.3
4.3
Requisitos legales,
estatutarios y otros
requisitos reglamentarios
sobre seguridad
4.3.1
4.3.2
4.3.3
Objetivos de gestin de
la seguridad
4.3.4
Programa(s) de gestin
de la seguridad
4.3.5
4.4
Estructura, autoridad y
responsabilidades de la
gestin de la seguridad
4.4.1
Objetivos, metas y
programa(s)
4.3.2
4.3.3
Objetivos, metas y
programa(s)
4.3.3
Objetivos, metas y
programa(s)
4.3.3
Implementacin y
operacin (slo ttulo)
Recursos, funciones,
responsabilidad y
autoridad
4.4
4.4.1
8.5.1
5.4
Enfoque al cliente
5.2
Determinacin de los
requisitos relacionados con el
producto
7.2.1
7.2.2
Enfoque al cliente
Objetivos de gestin de
la seguridad
Implementacin y
operacin (slo ttulo)
Aspectos ambientales
5.2
Determinacin de los
requisitos relacionados con el
producto
7.2.1
Objetivos de la calidad
5.4.1
5.4.2
Mejora continua
8.5.1
Objetivos de la calidad
5.4.1
5.4.2
Mejora continua
8.5.1
Objetivos de la calidad
5.4.1
5.4.2
Mejora continua
8.5.1
Compromiso de la direccin
5.1
Responsabilidad y autoridad
5.5.1
Representante de la direccin
5.5.2
Provisin de recursos
Infraestructura
6.1
6.3
Contina...
16
NTC-ISO 28000
(Continuacin)
ISO 28000:2007
Competencia,
entrenamiento y toma de
conciencia
ISO 14001:2004
4.4.2
ISO 9001:2000
Competencia,
entrenamiento y toma de
conciencia
4.4.2
Comunicacin
4.4.3
Comunicacin
4.4.3
Documentacin
Control de documentos y
datos
6.2.1
Competencia, entrenamiento y
toma de conciencia
6.2.2
Comunicacin interna
5.5.3
7.2.3
4.4.4
Documentacin
4.4.4
(Requisitos de la
documentacin)
Generalidades
4.2.1
4.4.5
Control de documentos
4.4.5
Control de documentos
4.2.3
Control operacional
4.4.6
Preparacin y respuesta
ante emergencias y
recuperacin de la
seguridad
(Recursos humanos)
Generalidades
4.4.7
Control operacional
Preparacin y respuesta
ante emergencias
17
4.4.6
4.4.7
Planificacin de la realizacin
del producto
7.1
Determinacin de los
requisitos relacionados con el
producto
7.2.1
7.2.2
7.3.1
7.3.2
7.3.3
7.3.4
7.3.5
7.3.6
7.3.7
Proceso de compras
7.4.1
7.4.2
7.4.3
Control de la produccin y de
la prestacin del servicio
7.5.1
7.5.2
7.5.5
8.3
NTC-ISO 28000
(Final)
ISO 28000:2007
Verificacin y accin
correctiva (slo ttulo)
ISO 14001:2004
4.5
ISO 9001:2000
4.5
Medicin y seguimiento
del desempeo de la
seguridad
4.5.1
Seguimiento y medicin
4.5.1
7.6
Generalidades (medicin,
anlisis y mejora)
8.1
8.2.3
8.2.4
Anlisis de datos
Evaluacin del sistema
4.5.2
4.5.3
Evaluacin de conformidad
No conformidad, accin
correctiva y accin
preventiva
4.5.2
4.5.3
8.4
8.2.3
8.2.4
8.3
Anlisis de datos
8.4
Accin correctiva
8.5.2
Accin preventiva
8.5.3
Control de registros
4.5.4
Control de registros
4.5.4
4.2.4
Auditora
4.5.5
Auditora interna
4.5.5
Auditora interna
8.2.2
4.6
18
4.6
Compromiso de la direccin
5.1
5.6
Generalidades
5.6.1
5.6.2
Resultados de la revisin
5.6.3
Mejora continua
8.5.1
NTC-ISO 28000
BIBLIOGRAFA
[1]
[2]
[3]
[4]
ISO/PAS 20858:2004, Ships and Marine Technology. Maritime Port Facility Security
Assessments and Security Plan Development.
[5]
ISO/PAS 28001, Security Management Systems for the Supply Chain. Best Practices for
Implementing Supply Chain Security. Assessments and Plans.
[6]
ISO/PAS 28004:2006, Security Management Systems for the Supply Chain. Guidelines
for the Implementation of ISO/PAS 28000.
19
NTC-ISO 28000
DOCUMENTO DE REFERENCIA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Specification for Security
Management Systems for the Supply Chain. Geneva, Switzerland, ISO: 28000: 2007(E), p 16.
20