Está en la página 1de 78

NORMA TCNICA

COLOMBIANA

NTC-ISO
28004
2009-02-18

SISTEMAS DE GESTIN DE LA SEGURIDAD


PARA
LA
CADENA
DE
SUMINISTRO.
DIRECTRICES PARA LA IMPLEMENTACIN DE
LA NORMA ISO 28000

E:

SECURITY MANAGEMENT SYSTEMS FOR THE SUPPLY


CHAIN. GUIDELINES FOR THE IMPLEMENTATION OF
ISO 28000.

CORRESPONDENCIA:

esta norma es una adopcin idntica


por traduccin (IDT), respecto a su
documento de referencia, la norma
ISO 28004:2007.

DESCRIPTORES:

logstica; cadena; suministro; sistema


de gestin.

I.C.S.: 47.020.99
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC)
Apartado 14237 Bogot, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproduccin

Editada 2009-02-25

PRLOGO

El Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC, es el organismo


nacional de normalizacin, segn el Decreto 2269 de 1993.
ICONTEC es una entidad de carcter privado, sin nimo de lucro, cuya Misin es fundamental
para brindar soporte y desarrollo al productor y proteccin al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del pas, para lograr ventajas competitivas en
los mercados interno y externo.
La representacin de todos los sectores involucrados en el proceso de Normalizacin Tcnica
est garantizada por los Comits Tcnicos y el perodo de Consulta Pblica, este ltimo
caracterizado por la participacin del pblico en general.
La norma NTC-ISO 28004 fue ratificada por el Consejo Directivo del 2009-02-18.
Esta norma est sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
A continuacin se relacionan las empresas que colaboraron en el estudio de esta norma a
travs de su participacin en el Comit Tcnico 172 Transporte terrestre de carga.
ALPINA S.A.
AXNICA
CARROCERAS BENFOR
C.I DISAN S.A.
COLFECAR
COLSEGUROS
COLTANQUES

INLAC
ICOLLANTAS
METROPYME
SOANSES LTDASOCIEDAD TRACTEC
TITADSU
TRANSPORTE BOTERO SOTO

Adems de las anteriores, en Consulta Pblica el Proyecto se puso a consideracin de las


siguientes empresas:
3M COLOMBIA
ABBOTT LABORATORES DE COLOMBIA S.A.
ACCIN SOCIAL - PRESIDENCIA DE LA
REPBLICA
ACERAS DE CALDAS S.A.
ACERAS DE COLOMBIA -ACESCOASOCIACIN COLOMBIANA DE LA
MICRO,
PEQUEAS
Y
MEDIANAS
EMPRESAS -ACOPIACUAVIVA S.A E.S.P
ACUEDUCTO DE BOGOT
ALCALDA MUNICIPAL DE CALI
ALDA LOGSTICA

ALFA SERVICIOS DE GESTIN EMPRESARIAL


ALIMENTOS KRAFT
ALKOSTO
ALMACENAR
ALMACENES XITO
ALMACENES GENERALES DE DEPSITO
GRAN COLOMBIA S.A. -ALMAGRANALPINA S.A.
ALTHVIZ & CA. LTDA.
ANALDEX
ASOCIACIN NACIONAL DE INDUSTRIALES
-ANDI-

ASOCIACIN DE TRANSPORTADORES
INDEPENDIENTES -ATRINASOCIADOS
DISTRIBUIDORES
DE
DERIVADOS DEL PETRLEO -ADISPETROLASOCIACIN COLOMBIANA DEL PESAJE
-ASOPESAJEASOCIACIN
NACIONAL
DE
TRANSPORTADORES -ASOTRANSASESORAS TCNICAS CORREDORES
DE SEGUROS -ASTECATENCIN TCNICA EN CALIDAD LTDA.
AUTO AIRES S.A.
AUTO FUSA S.A.
AVON
BAVARIA S.A.
BEC INTERNATIONAL LTDA.
BUREAU VERITAS CERTIFICATION
C.I. DE AZCARES Y MIELES S.A.
C.I. DISAN S.A.
CAFAM
CAJA DE COMPENSACIN FAMILIAR
-COMPENSARCAJAS Y SUPLEMENTOS
CMARA DE COMERCIO DE CALI
CAMIONES Y REMOLQUES LTDA.
CARULLA
CARVAJAL S.A.
CASA LUKER S.A.
CENTELSA
CENTRALES DE TRANSPORTES S.A.
CENTRORIENTE S.A.
CHALLENGER S.A.
CHALLENGER
CIA COLOMBIANA DE TRANSPORTES
S.A. -COLDETRANS S.A.CLNICA DE OCCIDENTE S.A.
COCA-COLA - PANAMCO COLOMBIA S.A.
COLCERMICA
COLGATE PALMOLIVE
COLOMBIANA DE TANQUES LTDA.
-COLTANQUES LTDA.COLOMBIANA KIMBERLY COLPAPEL S.A.
COMFAMA
COMFENALCO SANTANDER
COMPAA COLOMBIANA AUTOMOTRZ
COMPAA DE CARGA MOVITRANSPORTES
LTDA.
COMPAA DE DISTRIBUCCIN Y
TRANSPORTE S.A. -DITRANSA S.A.COMPAA DE GALLETAS NOL

COMPAA ESPECIALIZADA EN TRANSPORTES


TERRESTRES LTDA. -CETTA LTDACOMPAA NACIONAL DE CHOCOLATES
COMPAA NACIONAL DE TRANSPORTE
-CONALTRACONCALIDAD LTDA.
CONCONCRETO S.A.
COOPERATIVA DE TRANSPORTADORES
DEL SUR -COTRASURCOOPERATIVA DE TRANSPORTADORES
VELOTAX LTDA.
COOPERATIVA DE TRANSPORTE DE
CARGA Y LOGSTICA
COORDINADORA DE CALIDAD
COORDINADORA INTERNACIONAL DE
CARGA -CORDICARGASCORPORACIN ANDINA DE FOMENTO
-CAFCORPORACIN COLOMBIANA DE LOGSTICA
S.A. ALMADELCO LGICA O.T.M.
CORPORACIN CYGA
CORPORACIN EDUCATIVA MINUTO DE
DIOS
CREDIBANCO VISA
CRITICAL CARGOS ENTER PRICE LTDA.
DESPACHADORA INTERNACIONAL DE
COLOMBIA
DIRECCIN DE IMPUESTOS Y ADUANAS
NACIONALES -DIANDUPONT DE COLOMBIA S.A.
ECOPETROL S.A.
EDUARDO BOTERO SOTO Y CA LTDA.
EMPRESA COLOMBIANA DE SOPLADO E
INYECCIN ECSI S.A.
EMPRESA DE TELECOMUNICACIONES
DE BOGOT -ETBENCLAN S.A.
ENLACE OPERATIVO
EPM BOGOT ESP
ESCUELA COLOMBIANA DE INGENIERA/
FACULTAD DE INGENIERA INDUSTRIAL
EXPRESS DEL FUTURO S.A.
EXTRUPLASTIK LTDA.
FABRICATO S.A.
FEDECAME
FEDERACIN NACIONAL DE COMERCIANTES
-FENALCOFLEXO SPRING S.A.
FORD MOTOR DE COLOMBIA

FORTALEZA DE TRANSPORTES LTDA.


-FORTRANS LTDAG2 CONSULTORES
GASES DEL LLANO S.A. E.S.P. -LLANOGASGCO SISTEMAS DE GESTIN INTEGRAL
S.A.
GENERAL MOTORS COLMOTORES
GEOMATRIX S.A.
GESTIN DE TECNOLOGA LTDA.
GESTIONARTE CONSULTORES
GIMNASIO FEMENINO
GRASCO
GRUPO SIS LTDA.
HOSPITAL SAN VICENTE ESE DE
MONTENEGRO
IAC
IBM DE COLOMBIA S.A.
INCELT S.A.
INDEPENDIENTE - CARLOS JULIO ROCHA
INDUSTRIA COLOMBIANA DE LOGSTICA Y
TRANSPORTE LTDA -ICOLTRANS LTDA.INDUSTRIA FARMACUTICA SYNTOFARMA
S.A.
INDUSTRIA PARA LABORATORIOS S.A.
INDUSTRIAS ALIMENTICIAS NOEL
INDUSTRIAS HACEB S.A.
INDUSTRIAS PHILIPS DE COLOMBIA S.A.
INMOBILIARIA LLERAS E.U.
INTERANDINA DE TRANSPORTE LTDA
-INANTRAINTERCARGUEROS ANDINOS LTDA.
JOHNSON & JOHNSON DE COLOMBIA S.A.
KENWORTH DE LA MONTAA
LABORATORIOS PFIZER S.A.
LAFAYETTE S.A -ZYLETTE S.A.LEXCO S.A. CANON
LOGSTICA DE TRANSPORTE
LUMINEX S.A.
MARQUES Y URIZA LTDA
MICHELIN COLOMBIA
MINISTERIO DE COMERCIO, INDUSTRIA
Y TURISMO
MINISTERIO DE TRANSPORTE
MOTORIZADOS EXPRESS LTDA.
MOTOTRANSPORTAR S.A.
MOVISTAR
MULTINACIONAL TRANSPORTADORA LTDA
MUNDIAL DE ALUMINIOS
MURALLA SEGURIDAD LTDA.
NESTL DE COLOMBIA
OFIXPRESS

OMNITRACS COLOMBIA
OPEN MARKET
ORGANIZACIN TERPEL
PARQUES Y FUNERARIAS S.A.
PETROCOMBUSTIBLES LTDA.
PINTURAS TERINSA
POLICA NACIONAL CARRETERAS
PRODUCTOS ALIMENTICIOS DORIA
PROFESIONALES EN DEPORTE PRODEPORT
LTDA. / CGS LTDA.
PROPIETARIOS DE CAMIONES S.A. -PROCAM
S.A.PROPILCO S.A.
PROVEEDOR & SERCARGA S.A.
PROVEMEL LTDA.
PROYECTANDO - ASESORAS EN GESTIN
ORGANIZACIONAL LTDA.
QMS ASESORES
QUINTERO HERMANOS
REDES HUMANAS LTDA
RETAR INGENIEROS LTDA
ROJAS TRASTEOS SERVICIO URBANO
BOGOT
SAC
SAMSUNG
SCHRADER CAMARGO S.A.
SECRETARA DE TRNSITO Y TRANSPORTE
SENA - CENTRO DE GESTIN INDUSTRIAL
SIEMENS
SIKA COLOMBIA S.A.
SMS CALIDAD & PROCEDIMIENTOS EU
SOANSES LTDA.
SOLETANCHE BACHY CIMAS S.A.
SSI-SERVICIO DE SALUD INMEDIATO
SUPERINTENDENCIA DE INDUSTRIA Y
COMERCIO
SUPERPOLO S.A.
SURAMERICANA DE TRANSPORTES S.A.
T.D.M. TRANSPORTES S.A.
TANQUES DEL NORDESTE LTDA
TANQUES Y CAMIONES
TECNICONTROL S.A.
TECNOQUIMICAS S.A.
TRACTOCARGA LTDA
TRACTOMULAS Y CAMIONES DEL CARIBE
TRFICOS Y FLETES S.A.
TRAMAQ
TRANSERVICIOS LTDA
TRANSGRANOS DE COLOMBIA
TRANSILVHER LTDA.

TRANSPARENCIA POR COLOMBIA


TRANSPORTADORA COMERCIAL COLOMBIANA
-T.C.CTRANSPORTE DE CARGA EXPRESS DE
COLOMBIA LTDA. -TRACEXCOLTRANSPORTES EGO LTDA
TRANSPORTES ESPECIALIZADOS RTR LTDA.
TRANSPORTES J.R. LTDA.
TRANSPORTES LA PETROLERA VLIMAR
LTDA.
TRANSPORTES M & S S.A.
TRANSPORTES MONRUB & CA. LTDA
TRANSPORTES MULTIGRANEL S.A.

TRANSPORTES PREMMIER LTDA.


TRANSPORTES SIVAL
TRANSPORTES TERRESTRES DE CARGA
LTDA.
TRANSPORTES VIGIA S.A.
TRANSPORTES VILLAGMEZ LTDA.
TRANSPORTES Y SERVICIOS LTDA.
-TRANSER LTDA.UNIAGRARIA
UNISYS DE COLOMBIA
UNIVERSIDAD AMRICA
UNIVERSIDAD CATLICA DE COLOMBIA
UNIVERSIDAD DEL MAGDALENA
YANBAL DE COLOMBIA S.A.

ICONTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados
normas internacionales, regionales y nacionales.
DIRECCIN DE NORMALIZACIN

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

CONTENIDO

Pgina

INTRODUCCIN

1.

OBJETO Y CAMPO DE APLICACIN ........................................................................1

2.

REFERENCIAS NORMATIVAS ...................................................................................2

3.

TRMINOS Y DEFINICIONES .....................................................................................2

4.

ELEMENTOS DEL SISTEMA GESTIN DE LA SEGURIDAD ..................................4

4.1

REQUISITOS GENERALES.........................................................................................4

4.2

POLTICA DE GESTIN DE LA SEGURIDAD............................................................5

4.3

EVALUACIN DEL RIESGO DE SEGURIDAD Y PLANIFICACIN ..........................9

4.4

IMPLEMENTACIN Y OPERACIN .........................................................................25

4.5

VERIFICACIN Y ACCIN CORRECTIVA ...............................................................42

4.6

REVISIN POR LA DIRECCIN Y MEJORA CONTINUA .......................................62

BIBLIOGRAFA......................................................................................................................69

DOCUMENTO DE REFERENCIA..........................................................................................70

ANEXO A (Informativo)
CORRESPONDENCIA ENTRE LAS NORMAS ISO 28000:2007,
ISO 14001:2004 E ISO 9001:2000.........................................................................................66

FIGURAS
Figura 1. Elementos del sistema de gestin de la seguridad.............................................4

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

Pgina

Figura 2. Poltica de gestin de la seguridad.......................................................................5


Figura 3. Plano ........................................................................................................................9
Figura 4. Implementacin y operacin ...............................................................................25
Figura 5. Comprobacin y accin correctiva.....................................................................42
Figura 6. Revisin de la direccin.......................................................................................62

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

INTRODUCCIN

La norma ISO 28000:2007, Sistemas de gestin de la seguridad para la cadena de suministro,


y esta norma se han desarrollado como respuesta a la necesidad de una norma reconocible de
un sistema de gestin para la cadena de suministro frente a la cual puedan evaluarse y
certificarse sus sistemas de gestin de la seguridad y de una gua para la implementacin de
una norma de esa clase.
La norma ISO 28000 es compatible con las normas de sistemas de gestin ISO 9001:2002
(calidad) e ISO 14001:2004 (ambiental). Estas facilitan la integracin de los sistemas de
gestin de la cadena de suministro, de calidad y ambiental de las organizaciones, siempre y
cuando que estas quieran hacerlo.
Esta norma incluye un recuadro al comienzo de cada numeral/subnumeral, que presenta los
requisitos completos a partir de la norma ISO 28000 y est seguida por la gua pertinente. La
numeracin de los numerales de esta norma corresponde con la de la norma ISO 28000.
Esta norma se revisar o se ajustar cuando se considere apropiado hacerlo. Se proceder a
hacer ajustes se revise la norma ISO 28000.
Esta norma no pretende incluir todas las disposiciones necesarias de un contrato entre los
operadores de la cadena de suministro, los proveedores y las partes interesadas. Los usuarios
son responsables de su correcta aplicacin.
El cumplimiento de esta norma no confiere, por s sola, inmunidad en cuanto a obligaciones
legales.

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

SISTEMAS DE GESTIN DE LA SEGURIDAD PARA LA CADENA DE SUMINISTRO.


DIRECTRICES PARA LA IMPLEMENTACIN DE LA NORMA ISO 28000

1.

OBJETO Y CAMPO DE APLICACIN

Esta norma proporciona una recomendacin genrica sobre la implementacin de la norma


ISO 28000:2007, Sistemas de gestin de la seguridad para la cadena de suministro.
Explica los principios subyacentes de la norma ISO 28000 y describe el propsito, las entradas
tpicas, los procesos y resultados tpicos, para cada requerimiento de la norma ISO 28000. Esto
con el fin de ayudar a la comprensin e implementacin de la norma ISO 28000.
Esta norma no crea requisitos adicionales a los especificados en la norma ISO 28000, ni
ordena enfoques obligatorios para la implementacin de la norma ISO 28000.

ISO 28000
1.

OBJETO Y CAMPO DE APLICACIN

Esta norma especifica los requisitos para un sistema de gestin de la seguridad, incluidos
aquellos aspectos crticos para el aseguramiento de la seguridad de la cadena de
suministro. La gestin de la seguridad est relacionada con muchos otros aspectos de la
gestin empresarial, que incluyen todas las actividades controladas o influenciadas por
organizaciones que impacta en la seguridad de la cadena de suministro. Estos otros
aspectos se deberan considerar directamente cuando y donde tengan impacto en la
gestin de la seguridad, incluido el transporte de estos bienes a lo largo de la cadena de
suministro.
La presente norma es aplicable a organizaciones de todos los tamaos, desde las
pequeas hasta las multinacionales, de manufactura, servicios, almacenamiento o
transporte en cualquier etapa de la produccin o la cadena de suministro que desee:
a)

establecer, implementar, mantener y mejorar un sistema de gestin de la seguridad;

b)

asegurar la conformidad con la poltica de gestin de la seguridad establecida;

c)

demostrar dicha conformidad ante otros;

1 de 70

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

d)

buscar certificacin/registro de su sistema de gestin de la seguridad por un


organismo de certificacin por tercera parte, acreditado; o

e)

realizar una auto-determinacin y auto-declaracin de la conformidad con esta norma.

Existen cdigos legislativos y de reglamentacin que abordan algunos de los requisitos de


esta norma.
Esta norma no pretende exigir una doble demostracin de la conformidad.
Las organizaciones que optan por la certificacin por una tercera parte pueden demostrar
adems que estn contribuyendo significativamente a la seguridad de la cadena de
suministro.

2.

REFERENCIAS NORMATIVAS

No se citan normas de referencia. Se incluye este numeral para conservar el esquema de


numerales similar a la norma ISO 28000.

3.

TRMINOS Y DEFINICIONES

ISO 28000
3.

TRMINOS Y DEFINICIONES

3.1 Instalacin. Planta, maquinaria, propiedad, edificios, vehculos, embarcaciones,


instalaciones portuarias y otros elementos de infraestructura o plantas y sistemas
relacionados que cumplen una funcin o servicio empresarial distintivo y cuantificable.
NOTA Esta definicin incluye cualquier cdigo de software que sea crtico para la obtencin de seguridad y la
aplicacin de gestin de la seguridad.

3.2 Seguridad. Resistencia a actos intencionales, sin autorizacin, destinados a causar


perjuicio o dao a, o mediante, la cadena de suministro.
3.3 Gestin de la seguridad. Actividades y prcticas sistemticas y coordinadas por medio
de las cuales una organizacin maneja ptimamente sus riesgos y las amenazas e
impactos potenciales asociados derivados de ellos.
3.4 Objetivo de gestin de la seguridad. Resultado o logro especfico de seguridad
requerido a fin de cumplir la poltica de gestin de la seguridad.
NOTA Es esencial que dichos resultados se relacionen directa o indirectamente con la entrega de productos,
suministros o servicios prestados por la totalidad de la empresa a sus clientes o usuarios finales.

3.5 Poltica de gestin de la seguridad. Intenciones y direcciones generales de una


organizacin, relacionadas con la seguridad y la estructura para el control de los procesos y
actividades que tienen que ver con la seguridad, que se derivan de la poltica y los
requisitos de reglamentacin de la organizacin y son coherentes con ellos.
2

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

3.6 Programas de gestin de la seguridad. Medios por los cuales se logra un objetivo de
gestin de la seguridad.
3.7 Meta de la gestin de la seguridad. Nivel de desempeo especfico requerido para
alcanzar un objetivo de gestin de la seguridad.
3.8 Parte involucrada. Persona o entidad con un inters establecido en el desempeo de
la organizacin, su xito o el impacto de sus actividades.
NOTA Son ejemplos: los clientes, accionistas, entidades financieras, aseguradoras, reglamentadores,
organismos estatutarios, empleados, contratistas, proveedores, agremiaciones laborales, o la sociedad.

3.9 Cadena de suministro. Conjunto relacionado de recursos y procesos que comienza


con el suministro de materias primas y se extiende hasta la entrega de productos o
servicios al usuario final, incluidos los medios de transporte.
NOTA La cadena de suministro puede incluir vendedores, instalaciones de manufactura, proveedores de
logstica, centros de distribucin interna, distribuidores, mayoristas y otras entidades que conducen al usuario
final.

3.9.1 Aguas abajo. Se refiere a las acciones, procesos y movimientos de la carga en la


cadena de suministro, que ocurren despus de que la carga sale del control operacional
directo de la organizacin, incluidas la gestin de los seguros, las finanzas y los datos, y el
empaque, almacenamiento y transferencia de la carga, entre otros.
3.9.2 Aguas arriba. Se refiere a las acciones, procesos y movimientos de la carga en la
cadena de suministro, que ocurren antes de que la carga se encuentre bajo el control
operacional de la organizacin, incluida la gestin de datos, las finanzas y los seguros y el
empaque, almacenamiento y transferencia de la carga, entre otros.
3.10 Alta direccin. Persona o grupo de personas que dirige y controla una organizacin
en el nivel superior.
NOTA Es posible que la alta direccin, especialmente en una gran organizacin multinacional, no est
involucrada personalmente como se describe en la presente norma; sin embargo, la responsabilidad de la alta
direccin a travs de la cadena de mando debe ser manifiesta.

3.11 Mejora continua. Proceso recurrente de fortalecer el sistema de gestin de la


seguridad a fin de lograr mejoras en el desempeo de la seguridad en general de manera
coherente con la poltica de seguridad de la organizacin.

Para los propsitos del presente documento, los trminos y definiciones dados en la
norma ISO 28000 y siguientes tienen implementacin.
3.1 Riesgo. Probabilidad de materializacin de una amenaza a la seguridad y sus
consecuencias.
3.2 Certeza de seguridad. Proceso de verificar la fidelidad de las personas que tendrn
acceso a material sensible sobre seguridad.
3.3 Amenaza. Cualquier posible accin o serie de acciones intencionales con dao potencial a
cualquiera de los partes interesadas, a las instalaciones, al funcionamiento, a la cadena de
suministro, a la sociedad, a la economa o a la continuidad e integridad del negocio.
3

NORMA TCNICA COLOMBIANA


4.

NTC-ISO 28004

ELEMENTOS DEL SISTEMA GESTIN DE LA SEGURIDAD

MEJORA CONTNUA

Poltica de gestin de la seguridad

Revisin por la direccin y mejora contnua


Planificacin de la seguridad
-Evaluacin del riesgo
-Requisitos de reglamentacin
-Objetivos y metas de seguridad
-Programas de gestin de la seguridad
Verificacin y accin correctiva
Implementacin y operacin
-Medicin y seguimiento
-Evaluacin del sistema
-No conformidad y accin correctiva y preventiva
-Registros
-Auditoras

-Responsabilidades y competencia
-Comunicacin
-Documentacin
-Control operacional
-Preparacin para emergencias

Figura 1. Elementos del sistema de gestin de la seguridad

4.1

REQUISITOS GENERALES

a)

Requisito de la norma ISO 28000

La organizacin debe establecer, documentar, implementar, mantener y mejorar


continuamente un sistema de gestin de la seguridad eficaz para identificar las
amenazas a la seguridad, evaluar los riesgos y controlar y mitigar sus consecuencias.
La organizacin debe mejorar continuamente su eficacia de acuerdo con los requisitos
establecidos en todo el numeral 4.
La organizacin debe definir el alcance de su sistema de gestin de la seguridad.
Cuando la organizacin opte por contratar externamente cualquier proceso que afecte
la conformidad con estos requisitos, la organizacin debe asegurar que se controlen
dichos procesos. Se deben identificar dentro del sistema de gestin de la seguridad los
controles y responsabilidades necesarios para dichos procesos contratados
externamente.

b)

Propsito
La organizacin debera establecer y mantener un sistema de gestin que sea conforme
con todos los requisitos de la norma ISO 28000. Esto puede ayudar a la organizacin a
cumplir con las regulaciones, requisitos y leyes sobre seguridad.

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

El nivel de detalle y complejidad del sistema de gestin de la seguridad, la cantidad de


documentacin y los recursos dedicados a l depende del tamao y complejidad de una
organizacin y la naturaleza de sus actividades.
Una organizacin tiene la libertad y flexibilidad para definir sus lmites y puede escoger
implementar la norma ISO 28000 con respecto a toda la organizacin o a determinadas
operaciones especificas o actividades de la organizacin.
Debera tenerse cuidado al definir los lmites y alcance del sistema de gestin. Las
organizaciones no deberan tratar de limitar su alcance de modo que excluya de la
evaluacin una operacin o actividad que se requiera para el funcionamiento general de
la organizacin o aquellos que puedan incidir en la seguridad de sus empleados y otras
partes interesadas.
Si se implementa la norma ISO 28000 para una operacin especifica o actividad, las
polticas y procedimientos de seguridad desarrollados por las dems partes de la
organizacin puede tener capacidad de utilizarse por esa operacin especifica o
actividad para ayudar a reunir los requisitos de la norma ISO 28000. Esto puede
requerir que esas polticas o procedimientos de seguridad se sometan a una pequea
revisin o enmienda, para asegurarse de que ellos son aplicables a dicha operacin
especifica o actividad.
c)

Entradas tpicas
Todos los requisitos de entrada se especifican en la norma ISO 28000.

d)

Resultado tpico
Un resultado tpico es un sistema de gestin de la seguridad implementado y mantenido
eficazmente que ayuda a la organizacin en la bsqueda de mejora continua.

4.2

POLTICA DE GESTIN DE LA SEGURIDAD


Revisin de la
gestin

Auditora

Poltica

Planeacin

Figura 2. Poltica de gestin de la seguridad

Retroalimentacin
a partir de la
medicin del
desempeo

NORMA TCNICA COLOMBIANA


a)

NTC-ISO 28004

Requisito de la norma ISO 28000


La alta direccin de la organizacin debe autorizar una poltica de gestin de la
seguridad general. La poltica debe:
a)

ser coherente con otras polticas organizacionales;

b)

proporcionar el marco de referencia para establecer objetivos, metas y


programas especficos de gestin de la seguridad;

c)

ser coherente con la estructura de la gestin de amenazas y riesgos de la


seguridad general de la organizacin;

d)

ser apropiada para las amenazas de la organizacin y la naturaleza y escala de


sus operaciones;

e)

determinar claramente los objetivos generales/amplios de gestin de la


seguridad;

f)

incluir un compromiso con la mejora continua del proceso de gestin de la


seguridad;

g)

incluir un compromiso de cumplir con la legislacin actual aplicable, los


requisitos de reglamentacin y estatutarios y otros requisitos que suscribe la
organizacin;

h)

tener el respaldo visible de la alta direccin;

i)

ser documentada, implementada y mantenida;

j)

comunicarse a todos los empleados y terceras partes pertinentes, incluidos los


contratistas y visitantes, con la intencin de que estas personas sean
conscientes de sus obligaciones individuales relacionadas con la gestin de la
seguridad;

k)

estar disponible para las partes interesadas, cuando resulte apropiado;

l)

poderse revisar en caso de adquisicin o fusin con otras organizaciones, u


otro cambio en el alcance del negocio de la organizacin que pueda afectar la
continuidad o pertinencia del sistema de gestin de la seguridad.

NOTA Las organizaciones pueden optar por una poltica de gestin de la seguridad detallada para uso
interno que ofrezca suficiente informacin y direccin para orientar el sistema de gestin de la seguridad
(algunas partes de ste pueden ser confidenciales) y una versin resumida (no confidencial) que
contenga los objetivos generales para divulgacin entre sus partes involucradas y otras partes
interesadas.

b)

Propsito
Una poltica de seguridad es una declaracin concisa del compromiso de la alta
gerencia respecto a la seguridad. Una poltica de seguridad establece un sentido
general de direccin y fija los principios de accin para una organizacin. Fija los
objetivos de seguridad para la responsabilidad y desempeo sobre seguridad que
requieren a lo largo de la organizacin.
6

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

La alta gerencia de la organizacin debera producir y autorizar una poltica de


seguridad documentada.
c)

Entradas tpicas
Al establecer la poltica de seguridad, la direccin debera considerar los siguientes
factores, sobre todo en cuanto a su cadena de suministro:

d)

poltica y objetivos pertinentes al negocio de la organizacin como un todo;

desempeo de seguridad tanto histrico como actual de la organizacin;

necesidades de las partes interesadas;

oportunidades y necesidades para la mejora continua;

recursos necesarios;

contribucin de los empleados;

contribucin de los contratistas, partes interesadas y otro personal externo.

Proceso
Cuando establece y autoriza una poltica de seguridad, la alta gerencia debera tener en
cuenta los puntos que se indican a continuacin.
Una poltica de seguridad formulada y comunicada eficazmente debera:
1)

Ser apropiada a la naturaleza y escala de los riesgos de seguridad de la


organizacin;
La identificacin de amenazas, la evaluacin del riesgo y la gestin del riesgo
estn en el ncleo de un exitoso sistema de gestin de la seguridad y deberan
reflejarse en la poltica de seguridad de la organizacin.
La poltica de seguridad debera ser consistente con una visin del futuro de la
organizacin. Debera ser realista y no debera exagerar la naturaleza de los
riesgos que la organizacin enfrenta, ni subestimarlos.

2)

Incluir un compromiso con la mejora continua;


Las amenazas globales a la seguridad aumentan la presin en las
organizaciones para reducir el riesgo de incidentes en la cadena de suministro.
Adems de cumplir con las responsabilidades legales, nacionales y de
regulacin, as como otras regulaciones y pautas preparadas por las
organizaciones como la Organizacin Aduanera Mundial (WCO), la organizacin
debera apuntar a mejorar su desempeo de seguridad y su sistema de gestin
de la seguridad, efectiva y eficazmente, para satisfacer las necesidades de
cambio del comercio global, las del negocio y las necesidades regulatorias.

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

El mejoramiento del desempeo planeado debera expresarse en los objetivos


de seguridad (vase el numeral 4.3.2) y manejarse a travs del programa de
gestin de la seguridad (vase el numeral 4.3.5) aunque la declaracin de
poltica de seguridad puede incluir amplias reas de accin.
3)

Incluir un compromiso para al menos dar conformidad a las actuales


regulaciones de seguridad aplicables y con otros requisitos a los cuales se
subscribe la organizacin
Se exige a las organizaciones acomodarse a los requisitos regulatorios de
seguridad aplicables. El compromiso de la poltica de seguridad es un
reconocimiento pblico de la organizacin acerca de que tiene un deber al cual
acatar, si no excede, ninguna legislacin, u otros requisitos, obligatorios por la
ley o adoptados voluntariamente a los cuales est suscrita, como el marco de
normas WCO SAFE.
NOTA La expresin "Otros requisitos" puede significar, por ejemplo, polticas corporativas o de
grupo, las propias normas internas de la organizacin o las especificaciones o cdigos de prctica
a los que se subscribe la organizacin.

4)

Documentarse, implementarse y mantenerse.


La planificacin y la preparacin son la clave para la implementacin exitosa. A
menudo las declaraciones de la poltica de seguridad y los objetivos de
seguridad son poco realistas porque hay inadecuados o inapropiados recursos
disponibles para entregar. Antes de hacer cualquier declaracin pblica la
organizacin debera asegurarse de que toda financiacin, habilidades y
recursos necesarios estn disponibles y de que todos los objetivos de seguridad
son realmente alcanzables dentro de este marco.
Para que la poltica de seguridad sea eficaz, debera documentarse y debera
revisarse peridicamente para continuar la adecuacin y debera ajustarse o
revisarse si fuese necesario.

5)

Comunicarse a todos los empleados, con el supuesto de que los


empleados son conscientes de sus obligaciones de seguridad individuales
La participacin y el compromiso de los empleados son vitales para la seguridad
exitosa.
Los empleados necesitan hacerse conscientes de los efectos de la gestin de la
seguridad sobre la calidad de su propio ambiente de trabajo y deberan
estimularse a contribuir activamente en la gestin de la seguridad.
Los empleados (a todos los niveles, incluso los niveles de gerencia)
probablemente no sean capaces de hacer una contribucin eficaz a la gestin de
la seguridad, a menos que entiendan la poltica de la organizacin y sus
responsabilidades y sean competentes para desempear sus tareas requeridas.
Esto exige que la organizacin comunique sus polticas de seguridad y objetivos
de seguridad claramente a sus empleados, para permitirles tener un marco
frente al cual pueden medir su propio desempeo de seguridad individual.

NORMA TCNICA COLOMBIANA


6)

NTC-ISO 28004

Estar disponible a los partes interesadas


Cualquier individuo o grupo (interno o externo) interesado en el desempeo de
seguridad de la organizacin o afectado por ste estara particularmente
interesado en la declaracin de poltica de seguridad. Por consiguiente, debera
existir un proceso para comunicarles a ellos la poltica de seguridad. El proceso
debera asegurar que las partes interesadas reciban la poltica de seguridad
donde corresponda.

7)

Ser revisado peridicamente para asegurarse de que mantiene su


pertinencia y apropiacin para la organizacin
El cambio es inevitable, las regulaciones y la legislacin evolucionan y las
expectativas de las partes interesadas aumentan. En consecuencia, la poltica
de seguridad y el sistema de gestin de la organizacin debera revisarse
regularmente para asegurar su continua conveniencia y efectividad.
Si se introducen cambios, estos deberan comunicarse en cuanto sea factible
hacerlo.

e)

Resultado tpico
Un resultado tpico es una poltica de seguridad comprensiva, concisa y comprensible a
lo largo de la organizacin y para las partes interesadas segn sea necesario.

4.3

EVALUACIN DEL RIESGO DE SEGURIDAD Y PLANIFICACIN

Poltica

Auditora

Planificacin

Implementacin
y operacin

Figura 3. Plano

Retroalimentacin
a partir de la
medicin del
desempeo

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

4.3.1

Evaluacin del riesgo de seguridad

a)

Requisito de la norma ISO 28000

La organizacin debe establecer y mantener procedimientos para la identificacin y


evaluacin continua de las amenazas a la seguridad y de las amenazas y riesgos
relacionados con la gestin de la seguridad y la identificacin e implementacin de
medidas necesarias de control de gestin. La identificacin, evaluacin y los mtodos
de control de amenazas y riesgos de la seguridad deberan, como mnimo, ser
apropiados a la naturaleza y escala de las operaciones. Esta evaluacin debe
considerar la probabilidad de un evento y todas sus consecuencias, que deben incluir:
a)

amenazas y riesgos de falla fsica, tales como falla funcional, dao incidental,
dao malicioso o terrorista o accin criminal;

b)

amenazas y riesgos operacionales, incluidos el control de la seguridad, los


factores humanos y otras actividades que afectan el desempeo, la condicin o
la seguridad de las organizaciones;

c)

eventos del medio ambiente natural (tormentas, inundaciones, etc.) que pueden
hacer que las medidas y equipos de seguridad resulten ineficaces;

d)

factores por fuera del control de la organizacin, tales como fallas en el equipo y
servicios suministrados externamente;

e)

amenazas y riesgos de las partes involucradas, tales como falla en cumplir los
requisitos de reglamentacin o dao a la reputacin o la marca;

f)

diseo e instalacin del equipo de seguridad, incluido su reemplazo,


mantenimiento, etc.;

g)

gestin de datos e informacin y comunicaciones;

h)

una amenaza a la continuidad de las operaciones.

La organizacin debe asegurar que se consideren los resultados de estas evaluaciones


y los efectos de estos controles y, cuando resulte apropiado, debe proporcionar
elementos de entrada a:
a)

los objetivos y metas de gestin de la seguridad;

b)

los programas de gestin de la seguridad;

c)

la determinacin de requisitos para el diseo, especificacin e instalacin;

d)

la identificacin de recursos adecuados, incluidos los niveles de contratacin de


personal;

e)

la identificacin de necesidades de formacin y habilidades (vase el numeral 4.4.2);

f)

el desarrollo de controles operacionales (vase el numeral 4.4.6);

g)

la estructura general de gestin de amenazas y riesgos de la organizacin.


10

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

La organizacin debe documentar y mantener actualizada la anterior informacin.


La metodologa de la organizacin para la identificacin y evaluacin de riesgos debe:

b)

a)

estar definida con respecto a su alcance, naturaleza y programacin en el


tiempo, para asegurar que sea proactiva en vez de reactiva;

b)

incluir la informacin recolectada acerca de las amenazas y riesgos de la


seguridad;

c)

proporcionar la clasificacin de amenazas y riesgos y la identificacin de


aquellos que deben evitarse, eliminarse o controlarse;

d)

proporcionar el seguimiento de las acciones para garantizar su eficacia y


oportuna implementacin (vase el numeral 4.5.1).

Propsito
La organizacin debera tener una apreciacin total del riesgo de seguridad significativo,
de las amenazas y vulnerabilidades que ste abarca, despus de utilizar los procesos
de identificacin de amenazas a la seguridad, evaluacin del riesgo y gestin del riesgo.
La identificacin de amenaza a la seguridad, los procesos de evaluacin del riesgo y
gestin del riesgo y sus resultados deberan ser la base de todo el sistema de
seguridad. Es importante que los nexos entre los procesos de identificacin de amenaza
a la seguridad, la evaluacin del riesgo y la gestin del riesgo y los dems elementos
del sistema de gestin de la seguridad estn claramente establecidos y visibles.
El propsito de esta pauta es establecer principios por los cuales la organizacin pueda
determinar, dada la identificacin de amenaza a la seguridad, si los procesos de
evaluacin del riesgo y de gestin del riesgo son o no convenientes y suficientes. El
propsito no es hacer recomendaciones sobre la manera como deberan dirigirse estas
actividades.
Los procesos de identificacin de la amenaza a la seguridad, evaluacin del riesgo y
gestin del riesgo deberan permitir a la organizacin identificar, evaluar y controlar sus
riesgos de seguridad sobre una base de continuidad.
En todos los casos, debera darse consideracin a las operaciones normales y
anormales dentro de la organizacin y a las potenciales condiciones de emergencia.
La complejidad de los procesos de identificacin de la amenaza a la seguridad,
evaluacin del riesgo y gestin del riesgo depende considerablemente de factores como
el tamao de la organizacin, las situaciones de lugar de trabajo dentro de la
organizacin y la naturaleza, complejidad e importancia del riesgo de seguridad. No es
propsito de la norma ISO 28000:2007 (vase el numeral 4.3.1) forzar a las pequeas
organizaciones que tienen un riesgo de seguridad muy limitado a emprender complejos
ejercicios de identificacin de amenaza a la seguridad, evaluacin del riesgo y gestin
del riesgo.
Los procesos de identificacin de amenaza a la seguridad, evaluacin del riesgo y
gestin del riesgo deberan tener en cuenta el costo y el tiempo necesarios para realizar
11

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

estos tres procesos y la disponibilidad de datos fiables. En estos procesos puede usarse
informacin ya desarrollada para propsitos regulatorios u otros. La organizacin
tambin puede tener en cuenta el grado de control prctico que puede tener sobre las
amenazas a la seguridad que estn en consideracin. La organizacin debera
determinar cules son sus amenazas a la seguridad, teniendo en cuenta las entradas y
los resultados que estn asociados a sus actuales y pasadas actividades, procesos,
productos y/o servicios pertinentes.
La evaluacin del riesgo de seguridad debera ser dirigida por personal calificado
utilizando metodologas reconocidas que puedan documentarse.
Una organizacin en la que no exista un sistema de gestin de la seguridad puede
establecer su posicin actual con respecto a los riesgos a la seguridad por medio de
una evaluacin del riesgo. El objetivo debera ser el de considerar las amenazas a la
seguridad afrontadas por la organizacin, como base para establecer el sistema de
gestin de la seguridad. Una organizacin debera considerar la inclusin de los
siguientes factores dentro de su revisin inicial, aunque sin limitarse a ellos:
-

requisitos legislativos y de regulacin;

identificacin de las amenazas a la seguridad afrontadas por la organizacin;

bsqueda de la amenaza a la seguridad y la informacin sobre riesgo a partir de


las apropiadas organizaciones policiales y de inteligencia;

un examen de todas las prcticas, procesos y procedimientos de gestin de la


seguridad existentes;

una evaluacin de retroalimentacin a partir de la investigacin de incidentes y


emergencias previos.

Una adecuada aproximacin a la evaluacin puede incluir listas de verificacin,


entrevistas, inspeccin y medicin directas, resultados de previas auditoras del sistema
de gestin u otras revisiones que dependen de la naturaleza de las actividades. Todas
estas tareas deberan seguir una metodologa replicable que est documentada.
Conviene hacer nfasis en que se recomienda una revisin inicial para crear una lnea
de base pero no es un sustituto para la implementacin del enfoque sistemtico
estructurado que se indica en la parte restante del numeral 4.3.1.
c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
-

aspectos legales y otros requisitos de seguridad (vase el numeral 4.3.2);

poltica de seguridad (vase el numeral 4.2);

registros de los incidentes:

no conformidades (vase el numeral 4.5.3);

resultados de la auditora al sistema de gestin de la seguridad (vase el


numeral 4.5.5);
12

NORMA TCNICA COLOMBIANA

d)

NTC-ISO 28004

comunicaciones provenientes de los empleados y otras partes interesadas


(vase el numeral 4.4.3);

informacin proveniente de consultas de seguridad de los empleados,


actividades de revisin y mejoramiento del lugar de trabajo (estas actividades
pueden ser de naturaleza reactiva o proactiva);

informacin sobre las mejores prcticas, el riesgo tpico de seguridad respecto


de la organizacin, los incidentes y emergencias que hayan ocurrido en
organizaciones similares;

normas de la industria;

advertencias gubernamentales;

informacin sobre las instalaciones, procesos y actividades de la organizacin,


incluyendo lo siguiente:
-

detalles de los cambios de procedimientos de control;

plan (planes) de locacin

manuales sobre procesos y procedimientos operacionales;

datos de seguridad;

datos de seguimiento (vase el numeral 4.5.1).

Proceso
1)

Identificacin de la amenaza a la seguridad, evaluacin del riesgo y gestin


del riesgo
i)

General
Las medidas para la gestin del riesgo deberan reflejar el principio de
eliminacin o reduccin de un riesgo de seguridad mnimo factible, donde
corresponda, ya sea reduciendo la probabilidad de ocurrencia o la
severidad potencial de los impactos a partir de los incidentes de
seguridad relatados. Los procesos de identificacin de amenaza a la
seguridad, evaluacin del riesgo y gestin del riesgo son herramientas
clave en la gestin del riesgo.
Los procesos de identificacin de amenaza a la seguridad, evaluacin del
riesgo y gestin del riesgo varan considerablemente a travs de las
industrias, y van desde las simples evaluaciones hasta los complejos
anlisis cuantitativos con extensa documentacin. Para que la
organizacin planifique e implemente los apropiados procesos de
identificacin de amenaza a la seguridad, evaluacin del riesgo y de
gestin del riesgo, sta satisface sus necesidades y sus situaciones
acerca del lugar de trabajo y ayuda a que haya conformidad con cualquier
requisito legislativo de seguridad.

13

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

Los procesos de identificacin de amenaza a la seguridad, evaluacin del


riesgo y gestin del riesgo deberan llevarse a cabo como medidas
proactivas, ms que como reactivas, es decir, deberan preceder a la
introduccin de nuevas o revisadas actividades o procedimientos.
Cualquier medida necesaria que se identifique sobre control y reduccin
de riesgo debera implementarse antes de introducir los cambios.
La organizacin debera mantener su metodologa, calificaciones
personales, documentacin, datos y registros que conciernen a la
identificacin de la amenaza, la evaluacin del riesgo y gestin del riesgo
actualizados respecto de las actividades que estn en marcha y tambin
debera extenderlos para considerar nuevos desarrollos y nuevas o
modificadas actividades, antes ponerlos en ejecucin.
Los procesos de identificacin de amenaza a la seguridad, evaluacin del
riesgo y gestin del riesgo no slo deberan aplicarse a las operaciones
"normales" del medio y los procedimientos, sino tambin a las
operaciones y procedimientos peridicos u ocasionales.
Al igual que considerar el riesgo de seguridad y los riesgos que surgen de
las actividades llevadas a cabo por su propio personal, la organizacin
debera considerar el riesgo de seguridad y los riesgos que surgen de las
actividades de los contratistas y visitantes y del uso de productos o
servicios proporcionados por otros a ella.
ii)

Procesos
Los procesos de identificacin de amenaza a la seguridad, evaluacin del
riesgo y gestin del riesgo deberan documentarse y deberan incluir los
siguientes elementos:
-

identificacin de amenazas a la seguridad;

evaluacin del riesgos con medidas del control existentes (o


propuestas) en el lugar (tomando en cuenta la exposicin a
amenazas a la seguridad especficas, la probabilidad de falla de
las medidas de control y la severidad potencial de las
consecuencias de lesin, dao y continuidad operacional);

evaluar la tolerabilidad del riesgo corriente y residual;

identificacin de cualquier medida adicional de gestin del riesgo


que fuese necesaria;

evaluacin acerca de si las medidas de gestin del riesgo son


suficientes para reducir el riesgo a un nivel tolerable.

Adicionalmente, los procesos deberan dirigirse a lo siguiente:


-

la naturaleza, tiempos, alcance y metodologa para cualquier


forma de identificacin de amenaza a la seguridad, evaluacin del
riesgo y gestin del riesgo que vaya a usarse;

legislacin de seguridad aplicable u otros requisitos;


14

NORMA TCNICA COLOMBIANA

iii)

NTC-ISO 28004

los roles y autoridad del personal responsable de la realizacin de


los procesos;

los requisitos de competencia y las necesidades de entrenamiento


(vase el numeral 4.4.2) para el personal que va a realizar los
procesos. (Dependiendo de la naturaleza o del tipo de procesos
que vaya a usarse, puede ser necesario que la organizacin
recurra a asesora o servicios externos);

el uso de informacin proveniente de los entradas sobre seguridad


de los empleados, las actividades de revisin y mejoramiento
(estas actividades pueden ser de naturaleza reactiva o proactiva).

Acciones subsiguientes
Siguiendo el desempeo de los procesos de identificacin de amenaza a
la seguridad, evaluacin del riesgo y gestin del riesgo:

2)

debera haber clara evidencia de que cualquier accin correctiva o


preventiva (vase el numeral 4.5.2) identificada como necesaria
sea monitoreada en cuanto a su oportuna realizacin (esto puede
requerir que se efecten posteriores evaluaciones de identificacin
de amenaza a la seguridad y de riesgo, a fin de reflejar los
cambios propuestos para las mediciones de gestin del riesgo y
para determinar las estimaciones revisadas de los riesgos
residuales);

debera proporcionarse a la direccin una retroalimentacin sobre


los resultados y sobre el progreso de la realizacin de las
acciones correctivas o preventivas, como entrada para la revisin
por la direccin (vase el numeral 4.6) y para el establecimiento
de objetivos de seguridad revisados o nuevos;

la organizacin debera estar en posicin de determinar si la


competencia del personal que realiza determinadas tareas de
seguridad es consistente con las especificadas por el proceso de
evaluacin del riesgo al establecer la necesaria gestin del riesgo;

la retroalimentacin proveniente de la subsiguiente experiencia de


operacin debera usarse para enmendar los procesos o los datos
sobre los que se basa, en cuanto sea aplicable.

Despus de la evaluacin inicial de identificacin de amenaza a la


seguridad, evaluacin del riesgo y gestin del riesgo (vase tambin el
numeral 4.6)
El proceso de identificacin de amenaza a la seguridad, evaluacin del riesgo y
gestin del riesgo debera revisarse en un momento o perodo predeterminado
segn se haya establecido en el documento de la poltica de seguridad, o en un
momento predeterminado por la direccin, que puede formar parte del proceso
de revisin por la direccin (vase el numeral 4.6). Este perodo puede variar,
dependiendo de las siguientes consideraciones:
-

la naturaleza de las amenazas a la seguridad;


15

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

la magnitud del riesgo;

cambios del funcionamiento normal.

La revisin tambin debera tener lugar si los cambios dentro de la organizacin


ponen en cuestionamiento la validez de las evaluaciones existentes. Estos
cambios pueden incluir los siguientes elementos:

e)

la expansin, reduccin, reestructuracin, cambios en los medios o


aspectos de la cadena de suministro;

la reasignacin de responsabilidades;

cambios en los mtodos de trabajo o patrones de comportamiento de las


amenazas a la seguridad provenientes de fuentes externas.

Resultados tpicos
Debera haber procedimientos documentados para los siguientes elementos:
-

identificacin de amenazas a la seguridad;

determinacin de los riesgos asociados a las amenazas a la seguridad


identificadas;

indicacin del nivel de los riesgos relacionados con cada amenaza a la


seguridad y si ellos son o tolerables o no;

descripcin de o referencia a las medidas para seguimiento y controlar los


riesgos (vanse los numerales 4.4.6 y 4.5.1), particularmente los riesgos que no
son tolerables;

donde sea apropiado, los objetivos y acciones de seguridad para reducir los
riesgos identificados (vase el numeral 4.3.3) y cualquier actividad de
seguimiento para seguimiento el avance en su reduccin;

identificacin de la competencia y los requisitos de entrenamiento para


implementar medidas de control (vase el numeral 4.4.2);

medidas de control necesarias detalladas como parte del elemento de control


operacional del sistema (vase el numeral 4.4.6);

registros generados por cada uno de los procedimientos antes mencionados.

16

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

4.3.2

Requisitos de seguridad legales, estatutarios y otros regulatorios

a)

Requisito ISO 28000

La organizacin debe establecer, implementar y mantener un procedimiento:


a)

para identificar y tener acceso a los requisitos legales aplicables y otros


requisitos que suscribe la organizacin en relacin con sus amenazas y riesgos
para la seguridad, y

b)

para determinar cmo se aplican estos requisitos a sus amenazas y riesgos


para la seguridad.

La organizacin debe mantener actualizada esta informacin, y debe comunicar la


informacin pertinente sobre requisitos legales y otros a sus empleados y otras terceras
partes pertinentes, incluidos los contratistas.

b)

Propsito
La organizacin debera ser consciente de y entender cmo sus actividades son o sern
afectadas por los requisitos legales y otros que son aplicables y comunicar esta
informacin al personal pertinente.
Este requisito de el numeral 4.3.2 proveniente de la norma ISO 28000:2007 tiene el
propsito de promover el conocimiento y la comprensin de las responsabilidades
legales y regulatorias. No pretende exigir a la organizacin establecer bibliotecas de
documentos legales u otros que rara vez se referencian o se usan.

c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
-

detalles de la cadena de suministro de la organizacin;

resultados de la identificacin de amenaza a la seguridad, la evaluacin del


riesgo y la gestin del riesgo (vase el numeral 4.3.1);

las mejores prcticas (por ejemplo, cdigos, recomendaciones de asociacines


de la industria);

requisitos legales, gubernamentales, intergubernamentales, las asociaciones de


comercio, los cdigos, prcticas y regulaciones;

listado de fuentes de informacin;

normas nacionales, regionales o internacionales;

requisitos internos de la organizacin;

requisitos de las partes interesadas;

procesos para manejar la dinmica de la cadena de suministro.


17

NORMA TCNICA COLOMBIANA


d)

NTC-ISO 28004

Proceso
Deberan identificarse la legislacin pertinente y otros requisitos. Las organizaciones
deberan identificar los medios ms apropiados para acceder a la informacin,
incluyendo los medios que dan soporte a la informacin (por ejemplo, papel, CD, disco,
Internet). La organizacin debera tambin evaluar qu requisitos tienen aplicacin y
dnde la tienen, y quin necesita recibir la informacin.

e)

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

procedimientos para identificar la informacin y acceder a ella y mantenerla


actualizada;

identificacin de cules requisitos tienen aplicacin y dnde [esto puede tomar la


forma de registro(s)];

requisitos (el texto real, resumen o anlisis, donde corresponda), disponibles en


situaciones que sern decididas por la organizacin;

procedimientos para seguimiento de la implementacin de controles adecuados


a la nueva legislacin de seguridad.

4.3.3

Objetivos de la gestin de la seguridad

a)

Requisito ISO 28000

La organizacin debe establecer, implementar y mantener objetivos de gestin de la


seguridad documentados, en las funciones y niveles pertinentes dentro de la
organizacin. Los objetivos deben derivarse de la poltica y ser coherentes con ella. Al
establecer y revisar sus objetivos, una organizacin debe tener en cuenta:
a)

requisitos legales, estatutarios y otros de reglamentacin sobre seguridad;

b)

amenazas y riesgos relacionados con la seguridad;

c)

opciones tecnolgicas y otras;

d)

requisitos financieros, operacionales y empresariales;

e)

puntos de vista de las partes interesadas apropiadas.

Los objetivos de gestin de la seguridad deben:


a)

ser coherentes con el compromiso de la organizacin con la mejora continua;

b)

cuantificarse (cuando sea posible);

c)

comunicarse a todos los empleados y terceras partes pertinentes, incluidos los


contratistas, con la intencin de que tales personas sean conscientes de sus
obligaciones individuales;
18

NORMA TCNICA COLOMBIANA


d)

b)

NTC-ISO 28004

revisarse peridicamente para garantizar que sigan siendo pertinentes y


coherentes con la poltica de gestin de la seguridad. cuando sea necesario, se
deben corregir de acuerdo con los objetivos de gestin de la seguridad.

Propsito
Es necesario asegurarse de que, a lo largo de la organizacin (donde sea prctico
hacerlo), se establezcan objetivos de seguridad medibles que sean consistentes con la
poltica de seguridad.

c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:

d)

poltica y objetivos pertinentes al negocio de la organizacin en su conjunto;

poltica de seguridad, incluyendo el compromiso con la mejora continua (vase el


numeral 4.2);

resultados de la identificacin de amenaza a la seguridad, evaluacin del riesgo


y gestin del riesgo (vase el numeral 4.3.1);

requisitos legales y otros (vase el numeral 4.3.2);

opciones tecnolgicas;

requisitos financieros, operacionales y comerciales;

intereses de los empleados y las partes interesadas (vase el numeral 4.4.3);

informacin proveniente de las entradas de seguridad, evaluaciones y


actividades de mejoramiento en el lugar de trabajo de los empleados (estas
actividades pueden ser de naturaleza reactiva o proactiva);

anlisis de los objetivos de seguridad establecidos;

registros pasados de no conformidades de seguridad, incidentes y dao de


propiedad;

resultados de la revisin por la direccin (vase el numeral 4.6).

Proceso
Usando informacin o datos de las entradas, los niveles apropiados de la organizacin
deberan identificar, establecer y priorizar los objetivos de seguridad.
Durante el establecimiento de los objetivos de seguridad, debera darse particular
consideracin a informacin o datos de aquellos que tienen ms probabilidad de ser
afectados por los objetivos de seguridad individuales, en la medida en que esto pueda
ayudar a asegurar que ellos son razonable y ampliamente aceptados. Tambin es til
considerar informacin o datos provenientes de fuentes externas a la organizacin; por
ejemplo, de contratistas, proveedores, socios comerciales, polica y agencias de
inteligencia o partes interesadas.
19

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

Los niveles de direccin apropiados deberan mantener reuniones regularmente para el


establecimiento de objetivos de seguridad (por ejemplo, al menos con una frecuencia
anual). Para algunas organizaciones puede haber necesidad de documentar el proceso
de establecimiento de los objetivos de seguridad.
Los objetivos de seguridad deberan apuntar tanto a amplios elementos de seguridad
corporativa como a elementos de seguridad que son especficos para suplir las
cadenas, las funciones individuales y los niveles dentro de la organizacin.
Deberan definirse los indicadores adecuados para cada objetivo de seguridad, donde
corresponda hacerlo. Estos indicadores deberan permitir el seguimiento de la
implementacin de los objetivos de seguridad.
Los objetivos de seguridad deberan ser razonables y alcanzables, en tanto que la
organizacin debera tener la capacidad de alcanzarlos y monitorear el progreso.
Debera definirse una escala de tiempo razonable y alcanzable para la realizacin de
cada objetivo de seguridad.
Los objetivos de seguridad pueden descomponerse en metas separadas, dependiendo
del tamao de la organizacin, la complejidad del objetivo de seguridad y su periodo de
tiempo. Debera haber claros nexos entre los diversos niveles de metas y objetivos de
seguridad.
Ejemplos de tipos de objetivos de seguridad son:
-

la reduccin de los niveles de riesgo;

la introduccin de rasgos adicionales en el sistema de gestin de seguridad;

los pasos dados para mejorar los medios existentes;

la eliminacin o la reduccin de la frecuencia de incidentes indeseados


particulares.

Los objetivos de seguridad deberan comunicarse (por ejemplo, va sesiones de


entrenamiento o de grupos de informacin; vase el numeral 4.4.2) al personal
pertinente y deberan desplegarse a travs de los programas de gestin de seguridad
(vase el numeral 4.3.4).
e)

Resultados tpicos
Los resultados tpicos incluyen objetivos de seguridad documentados, medibles donde
sea factible, para cada funcin en la organizacin.

4.3.4

Metas de gestin de la seguridad

a)

Requisito ISO 28000

La organizacin debe establecer, implementar y mantener las metas del sistema de


gestin de la seguridad documentadas, apropiadas para las necesidades de la
organizacin. Las metas deben derivarse de los objetivos de gestin de la seguridad y
ser coherentes con ellos.
20

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

Estas metas deben:

b)

a)

tener un nivel apropiado de detalles;

b)

ser especficos, medibles, obtenibles, pertinentes y con base en el tiempo


(cuando sea aplicable);

c)

comunicarse a todos los empleados y terceras partes pertinentes, incluidos los


contratistas, con la intencin de que tales personas sean conscientes de sus
obligaciones individuales;

d)

revisarse peridicamente para asegurar que sigan siendo pertinentes y


coherentes con las metas de gestin de la seguridad. Donde sea necesario los
objetivos se deben ajustar consecuentemente.

Propsito
Las metas de seguridad se disponen para lograr el objetivo dentro del marco de tiempo
especificado.

c)

d)

Entradas tpicas
-

poltica y objetivos pertinentes al negocio de las organizaciones como un todo;

poltica de seguridad, incluyendo el compromiso hacia la mejora continua (vase


el numeral 4.2);

resultados de la identificacin de amenaza a la seguridad, evaluacin del riesgo


y gestin del riesgo (vase el numeral 4.3.1);

requisitos legales y otros (vase el numeral 4.3.2);

opciones tecnolgicas;

requisitos financieros, operacionales y comerciales;

intereses de los empleados y las partes interesadas (vase el numeral 4.4.3);

informacin proveniente de las entradas de seguridad de los empleados,


actividades de evaluacin y de mejoramiento en el lugar de trabajo (estas
actividades pueden ser de naturaleza reactiva o proactiva);

anlisis de los objetivos de seguridad establecidos;

registros pasados de no conformidades de seguridad e incidentes;

resultados de la revisin por la direccin (vase el numeral 4.6).

Proceso
El proceso se define en los programas de seguridad y consiste en las metas
alcanzables para lograr el (los) objectivo(s).
21

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

Utilizando informacin o datos provenientes de las entradas, la gestin adecuada


debera identificar, establecer y priorizar las metas de seguridad. Las metas deberan
ser especficas, medibles y basados en cronogramas .
Durante el establecimiento de las metas de seguridad, debera darse especial atencin
a la informacin o los datos provenientes de aquellos que tienen ms probabilidad de
ser afectados por las metas de seguridad individuales, por cuanto esto puede ayudar a
asegurase que los objetivos son razonables y ampliamente aceptados. Tambin es til
considerar la informacin o los datos de fuentes externas a la organizacin; por ejemplo,
contratistas, proveedores, socios comerciales, polica y agencias de inteligencia y partes
interesadas.
Las reuniones de los niveles apropiados de la organizacin para establecer las metas
de seguridad deberan revisar los objetivos de seguridad despus de ser modificados.
Para algunas organizaciones puede ser necesario documentar el proceso de establecer
las metas de seguridad.
Las metas de seguridad deberan apuntar tanto a los amplios aspectos de la seguridad
corporativa como a los aspectos de seguridad que son especficos para la cadena de
suministro, las funciones individuales y los niveles dentro de la organizacin.
Deberan definirse los indicadores adecuados para cada meta de seguridad. Estos
indicadores deberan permitir el seguimiento de la implementacin de las metas de
seguridad.
Las metas de seguridad deberan ser razonables y alcanzables, y en ello, la
organizacin debera tener la capacidad para alcanzarlas y hacer seguimiento del
avance. Debera definirse un periodo de tiempo razonable y alcanzable para la
realizacin de cada meta de seguridad.
Las metas de seguridad pueden descomponerse en metas separadas, dependiendo del
tamao de la organizacin, la complejidad de las metas de seguridad y su escala de
tiempo. Debera haber vnculos claros entre los diversos niveles de metas y objetivos de
seguridad.
Ejemplos de tipos de metas de seguridad son:
-

reduccin de los niveles de riesgo en un determinado periodo de tiempo;

la introduccin de nuevas tecnologas para reducir el riesgo o mitigar los


impactos de las amenazas a la seguridad;

los pasos dados para mejorar los medios existentes y su periodo de tiempo;

la eliminacin o la reduccin de la frecuencia de incidentes particulares


indeseados.

Las metas de seguridad deberan comunicarse (por ejemplo, sesiones de entrenamiento


o de grupos foco; vase el numeral 4.4.2) al personal pertinente y deberan desplegarse
a travs de los programas de gestin de seguridad (vase el numeral 4.3.4).

22

NORMA TCNICA COLOMBIANA


e)

NTC-ISO 28004

Resultados tpicos
Los resultados tpicos incluyen metas de seguridad documentados y medibles donde
sea factible, para cada funcin en la organizacin.

4.3.5

Programas de gestin de la seguridad

a)

Requisito ISO 28000

La organizacin debe establecer, implementar y mantener programas de gestin de la


seguridad para lograr sus objetivos y metas.
Los programas deben optimizarse y luego priorizarse y la organizacin debe prever el
uso de los costos de manera eficiente y eficaz en la implementacin de estos
programas.
Se debe incluir documentacin que describa:
a)

la responsabilidad y autoridad designada para lograr objetivos y metas* de


gestin de la seguridad;

b)

los medios y la escala en el tiempo por medio de los cuales se logran los
objetivos y metas de gestin de la seguridad.

Los programas de gestin de la seguridad deben revisarse peridicamente para


asegurar que se mantienen efectivos y coherentes con los objetivos y metas. Cuando
sea necesario, los programas se deben ajustar consecuentemente.

b)

Propsito
Los programas de gestin de la seguridad deberan conectarse directamente a las
metas y objetivos. Cada programa de gestin debera describir cmo la organizacin
traducir sus objetivos y compromisos de poltica en acciones definidas para que se
logren las metas y objetivos de seguridad. El programa exigir al desarrollo de
estrategias y planes de accin que deberan emprenderse, los cuales deberan
documentarse y comunicarse. El avance del programa con respecto a alcanzar el
objetivo o los objetivos establecidos debera hacerse un seguimiento, revisarse y
registrarse. La estrategia de disuasin y mitigacin del programa debera basarse en los
resultados provenientes de la amenaza de gestin de la seguridad y la identificacin del
riesgo y evaluacin del riesgo (tales como el anlisis de impacto, la evaluacin del
programa, la experiencia operacional).

c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
-

metas y objetivos de seguridad;

requisitos legales y otros;

resultados de la identificacin de amenaza a la seguridad, evaluacin del riesgo


y gestin del riesgo;
23

NORMA TCNICA COLOMBIANA

d)

NTC-ISO 28004

detalles de las operaciones de la organizacin;

informacin de la entrada de seguridad de los empleados, actividades de


revisin y mejoramiento en el lugar de trabajo (estas actividades pueden ser de
naturaleza reactiva o proactiva);

revisin de oportunidades disponibles a partir de nuevas o diferentes opciones


tecnolgicas;

actividades de mejoramiento continuo;

disponibilidad de recursos necesarios para lograr los objetivos de seguridad de la


organizacin.

Proceso
El programa de gestin de la seguridad debera definir:
-

las responsabilidades por lograr los objetivos;

los medios para lograr los objetivos:

el marco de tiempo para lograr esos objetivos.

El programa debera considerar la mitigacin de las amenazas a travs de las opciones


metodolgicas y tecnolgicas y la experiencia de otras entidades teniendo en cuenta los
requisitos financieros, operacionales y comerciales as como las opiniones de las
organizaciones similares y las partes interesadas.
Debera encargarse de la asignacin de responsabilidad y autoridad apropiadas para
cada tarea y debera asignar las escalas de tiempo para cada tarea individual, con el fin
de cumplir con la escala de tiempo global del objetivo de seguridad relacionado.
Tambin debera encargarse de la asignacin de los recursos adecuados (por ejemplo,
financieros, humanos, de equipo, logsticos) para cada tarea.
Donde se esperen alteraciones o modificaciones significativas en las prcticas de
trabajo, en los procesos, equipo o medios, el programa debera encargarse del ejercicio
de nueva identificacin de amenaza a la seguridad y de evaluacin del riesgo. El
programa de gestin de la seguridad debera encargarse de la consulta del personal
pertinente acerca de los cambios esperados.
e)

Resultados tpicos
Los resultados tpicos incluyen programas de gestin de la seguridad definidos y documentados
para lograr los propsitos y objetivos descritos en los numerales 4.3.3 y 4.3.4.

24

NORMA TCNICA COLOMBIANA


4.4

NTC-ISO 28004

IMPLEMENTACIN Y OPERACIN
Planificacin

Auditora

Implementacin
y operacin

Retroalimentacin
a partir de la
medicin del
desempeo

Verificacin y
accin correctiva

Figura 4. Implementacin y operacin

4.4.1

Estructura, autoridad y responsabilidades para la gestin de la seguridad

a)

Requisito ISO 28000

La organizacin debe establecer y mantener una estructura organizacional de


funciones, responsabilidades y autoridad, de manera coherente con el logro de su
poltica, objetivos, metas y programas de gestin de la seguridad.
Estas funciones, responsabilidades y autoridades se deben definir, documentar y
comunicar a los individuos responsables de la implementacin y mantenimiento.
La alta direccin debe presentar evidencia de su compromiso con el desarrollo e
implementacin del sistema de gestin de la seguridad (procesos) y mejorar
continuamente su eficacia mediante las siguientes acciones:
a)

nombrar un miembro de la alta direccin quien, independientemente de sus


otras responsabilidades, debe ser responsable del diseo, mantenimiento,
documentacin y mejora generales del sistema de gestin de la seguridad de la
organizacin;

b)

nombrar un miembro (o varios) de la direccin, con la autoridad necesaria para


garantizar que se implementen los objetivos y metas;

c)

identificar y hacer seguimiento a los requisitos y expectativas de las partes


interesadas de la organizacin y emprender las acciones apropiadas y
oportunas para manejar dichas expectativas;
25

NORMA TCNICA COLOMBIANA

b)

NTC-ISO 28004

d)

garantizar la disponibilidad de recursos adecuados;

e)

considerar el impacto adverso que la poltica, los objetivos, las metas, los
programas, etc., de gestin de la seguridad pueden tener en otros aspectos de
la organizacin;

f)

garantizar que cualquier programa de seguridad generado por otras partes de


la organizacin complemente el sistema de gestin de la seguridad;

g)

comunicar a la organizacin la importancia de cumplir sus requisitos de gestin


de la seguridad a fin de cumplir con su poltica;

h)

garantizar que las amenazas y riesgos relacionados con la seguridad sean


evaluados y se incluyan en evaluaciones de amenazas y riesgos
organizacionales, segn resulte apropiado;

i)

garantizar la viabilidad de los objetivos, metas y programas de gestin de la


seguridad.

Propsito
Para facilitar la efectiva gestin de la seguridad es necesario que se definan,
documenten y comuniquen los roles, responsabilidades y autoridades, Slo debera
utilizarse personal de seguridad definido (vase la definicin en la Clusula 3) para
tareas crticas de seguridad. Deberan proporcionarse los recursos adecuados para
hacer posible que las tareas de seguridad se realicen.

c)

Entradas tpicas
Las entradas tpicas incluyen lo siguiente:

d)

estructura organizacional;

resultados de la identificacin del riesgo de la seguridad, evaluacin del riesgo y


control del riesgo;

metas, objetivos y programas de seguridad;

requisitos legales y otros;

descripciones del trabajo;

listado de personal de seguridad calificado que necesita y/o ha recibido


autorizacin en tareas de seguridad.

Proceso
1)

Consideracin general
Deberan definirse las responsabilidades y autoridad de todas las personas que
cumplen deberes que son parte del sistema de gestin de la seguridad,
incluyendo definiciones claras de responsabilidades en las interfases de las
diferentes funciones.
26

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

Estas definiciones pueden ser exigidas, entre otras, por las siguientes categoras
de personas:
-

alta gerencia;

nivel gerencial en toda la organizacin;

los responsable de los contratistas y visitantes que tienen acceso a los


predios y a sus empleados;

los responsables del entrenamiento en seguridad;

los responsables del equipo y operaciones que son crticos para la


seguridad;

los empleados que tienen autorizacin de seguridad u otros especialistas


de seguridad dentro de la organizacin;

los representantes de seguridad de los empleados en los foros


consultivos.

Sin embargo, la organizacin debera comunicar y promover la idea de que la


seguridad es responsabilidad de todos y cada uno en la organizacin, no slo la
responsabilidad de las personas que tienen deberes definidos en el sistema de
gestin de la seguridad.
2)

Definicin de las responsabilidades de la alta gerencia


La responsabilidad de la alta gerencia debera incluir la definicin de la poltica
de seguridad de la organizacin y el aseguramiento de que el sistema de gestin
de la seguridad se lleve a cabo. Como parte de este compromiso, debera
designarse y nombrarse por la alta gerencia un determinado representante de la
direccin con responsabilidades y autoridad para implementar el sistema de
gestin de la seguridad. (En las grandes o muy complejas organizaciones puede
haber ms de un representante designado).

3)

Definicin de las responsabilidades del representante de la gestin de la


seguridad
El representante de la gestin de la seguridad debera tener responsabilidad y
autoridad para asegurar que el sistema de gestin de la seguridad se
implemente y documente, tenga acceso permanente a la alta direccin y reciba
apoyo de otro personal que ha delegado responsabilidades para el seguimiento
de la operacin general de la funcin de seguridad. El representante de la
direccin debera ser informado con regularidad sobre el desempeo del sistema
y debera mantener una participacin activa en las revisiones peridicas y en el
establecimiento de los objetivos de seguridad. Debera haber seguridad de que
cualesquiera otros deberes o funciones asignadas a este personal no entre en
conflicto con el cumplimiento de sus responsabilidades de seguridad.

27

NORMA TCNICA COLOMBIANA


4)

NTC-ISO 28004

Definicin de las responsabilidades del nivel gerencial


La responsabilidad del nivel gerencial debera incluir el aseguramiento de que la
seguridad se maneje dentro de su rea de operaciones. Donde la
responsabilidad principal por asuntos de seguridad descansa en el nivel
gerencial el rol y las responsabilidades de cualquier funcin de seguridad del
especialista dentro de la organizacin deberan definirse apropiadamente para
evitar ambigedad con respecto a las responsabilidades y autoridades. Esto
debera incluir acuerdos para resolver cualquier conflicto entre los aspectos de
seguridad y las consideraciones de productividad por el ascenso a un nivel ms
alto de direccin.

5)

Documentacin de roles y responsabilidades


Las responsabilidades y autoridades de seguridad deberan documentarse en
una forma apropiada para la organizacin. Esto puede tomar una o ms de las
siguientes formas o una alternativa de eleccin de la organizacin:
-

manuales del sistema de gestin de la seguridad;

procedimientos de trabajo y descripciones de la tarea;

descripciones del trabajo;

paquete de entrenamiento de induccin y programas de conocimiento.

Si la organizacin opta por emitir descripciones del trabajo escritas que cubran
otros aspectos de los roles y responsabilidades de los empleados, entonces las
responsabilidades de la seguridad deberan incorporarse a estas descripciones
del trabajo.
6)

Comunicacin de roles y responsabilidades


Las responsabilidades y autoridades de la seguridad deberan comunicarse
apropiadamente a aquellos a quienes afecten dentro de la organizacin. Esto
debera asegurar que los individuos entiendan el alcance y las interfases entre
las diversas funciones y los canales que van a usarse para comenzar la accin.

7)

Recursos
La direccin debera asegurarse de que estn disponibles los recursos
adecuados para el mantenimiento de una cadena de suministro segura,
incluyendo equipo, recursos humanos, especializacin y entrenamiento.
Los recursos pueden considerarse adecuados si son suficientes para llevar a
cabo programas y actividades de seguridad, incluyendo la medicin y
supervisin del desempeo.
Para las organizaciones que tienen establecidos sistemas de gestin de la
seguridad, la adecuacin de recursos puede evaluarse al menos parcialmente
comparando el logro planeado de los objetivos de seguridad con los resultados
reales.

28

NORMA TCNICA COLOMBIANA


8)

NTC-ISO 28004

Compromiso de la direccin
Los gerentes deberan proporcionar una demostracin visible de su compromiso
con la seguridad. Los medios de demostracin pueden incluir visitas e inspeccin
a los sitios, participando en la investigacin de incidentes de seguridad y
proporcionando recursos en el contexto de la accin correctiva, asistencia a las
reuniones de seguridad y envo de mensajes de apoyo.

e)

Resultados tpicos
Los resultados tpicos incluyen lo siguiente:
-

definiciones de las responsabilidades y autoridades de la seguridad para todo el


personal pertinente;

documentacin de roles/responsabilidades en los manuales/procedimientos/


paquetes de entrenamiento;

proceso para comunicar los roles y responsabilidades a todos los empleados y


otras partes pertinentes;

participacin activa de la direccin y apoyo a la seguridad, a todos los niveles.

4.4.2

Competencia, entrenamiento y toma de conciencia

a)

Requisito ISO 28000

La organizacin debe garantizar que el personal responsable del diseo, operacin y


gestin de equipos y procesos de seguridad est calificado adecuadamente en lo
relativo a educacin, entrenamiento o experiencia o ambas. La organizacin debe
establecer y mantener procedimientos para que las personas que trabajan para ella o
en su nombre sean conscientes de:
a)

la importancia del cumplimiento de la poltica y procedimientos de gestin de la


seguridad y los requisitos del sistema de gestin de la seguridad;

b)

sus funciones y responsabilidades en el logro de la conformidad con la poltica y


procedimientos de gestin de la seguridad y con los requisitos del sistema de
gestin de la seguridad, incluidos los requisitos de preparacin y respuesta ante
emergencias;

c)

las consecuencias potenciales que tiene para la seguridad de la organizacin


desviarse de los procedimientos de operacin especificados.

Se deben llevar registros de competencia y entrenamiento.

b)

Propsito
Las organizaciones deberan tener procedimientos eficaces por asegurarse de que el
personal es competente para llevar a cabo sus funciones de seguridad asignadas y ser
conscientes de los riesgos de seguridad.
29

NORMA TCNICA COLOMBIANA


c)

NTC-ISO 28004

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:

d)

definiciones de roles y responsabilidades;

descripciones del trabajo (incluyendo detalles de las tareas de seguridad que


van a realizarse);

apreciaciones sobre el desempeo de los empleados;

resultados de la identificacin del riesgo de seguridad, evaluacin del riesgo y


control del riesgo;

instrucciones sobre procedimientos y operaciones;

poltica de seguridad y objetivos de seguridad;

programas de seguridad.

Proceso
Los elementos siguientes deberan ser incluidos en el proceso:
-

una identificacin sistemtica de la toma de conciencia y las competencias de


seguridad que se requieren a cada nivel y funcin dentro de la organizacin;

disposiciones para identificar y remediar cualquier dficit entre el nivel que posee
actualmente el individuo y la toma de conciencia y competencia de seguridad
que se requieren;

provisin de cualquier entrenamiento identificado como necesario, de una


manera oportuna y sistemtica;

evaluacin de los individuos para asegurarse de que ellos han adquirido y


mantienen el conocimiento y la competencia que se requieren;

mantenimiento de registros apropiados del entrenamiento y competencia de un


individuo.

NOTA Es importante que haya un fuerte nfasis en la toma de conciencia de la seguridad por parte de
toda la organizacin para lograr un exitoso sistema de gestin de la seguridad y su implementacin eficaz.

Debera establecerse y mantenerse un programa de toma de conciencia y


entrenamiento en seguridad que apunte a las siguientes reas:
-

la toma de conciencia continua de los riesgos y amenazas de seguridad;

una comprensin de los disposiciones de seguridad de la organizacin y de los


roles y responsabilidades especficos de los individuos;

un programa sistemtico de induccin y entrenamiento continuo para los


empleados y para quienes transfieren trabajos o tareas entre las divisiones,
sitios, departamentos y reas dentro de la organizacin;
30

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

entrenamiento en las disposiciones de seguridad locales y riesgo de seguridad,


riesgos, precauciones que deberan tomarse y procedimientos que deberan
seguirse; este entrenamiento debera proporcionarse antes de comenzar el
trabajo;

entrenamiento para desempear identificacin de riesgo de seguridad,


evaluacin del riesgo y control del riesgo (vase el numeral 4.31d);

entrenamiento interno o externo especfico que puede requerirse para los


empleados que tienen roles especficos en el sistema de seguridad, incluyendo a
los representantes de seguridad de los empleados;

entrenamiento para todos los individuos que manejan empleados, contratistas y


otros (por ejemplo, trabajadores temporales), en sus responsabilidades de
seguridad. Esto con el fin de asegurarse de que tanto ellos como quienes estn
bajo su control entiendan las amenazas a la seguridad y los riesgos de las
operaciones por las cuales son responsables, dondequiera que stas tengan
lugar. Adems, con el fin de asegurarse de que el personal tiene las
competencias necesarias para llevar a cabo las actividades seguramente,
siguiendo los procedimientos de seguridad;

los roles y responsabilidades (incluyendo responsabilidades legales individuales


y corporativas) de la alta gerencia para asegurar que el sistema de gestin de la
seguridad funciona para controlar los riesgos y minimizar las enfermedades,
lesiones y otras prdidas para la organizacin;

programas de entrenamiento y conocimiento para contratistas, trabajadores


temporales y visitantes, segn el nivel de riesgo al que se exponen.

La efectividad de los programas de entrenamiento y toma de conciencia deberan


evaluarse. Esto puede involucrar la evaluacin como parte del ejercicio de
entrenamiento y/o adecuados chequeos de campo para establecer si se ha logrado
suficiente competencia y toma de conciencia o para el seguimiento del impacto a lo
largo del plazo del entrenamiento efectuado.
e)

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

requisitos de competencia para los roles individuales;

anlisis de necesidades de entrenamiento;

programas y planes de entrenamiento;

gama de cursos y productos de entrenamiento disponible para uso dentro de la


organizacin;

registros de entrenamiento y registros de evaluacin de la efectividad y del


entrenamiento;

programas de toma de conciencia de la seguridad;

evaluacin de la toma de conciencia de la seguridad.


31

NORMA TCNICA COLOMBIANA


4.4.3

Comunicacin

a)

Requisito ISO 28000

NTC-ISO 28004

La organizacin debe contar con procedimientos para asegurar que la informacin


pertinente de gestin de la seguridad se comunica hacia y desde los empleados
relevantes, contratistas y otras partes interesadas.
Debido a la naturaleza confidencial de alguna informacin relacionada con la
seguridad, se debera considerar adecuadamente la sensibilidad de la informacin
antes de su divulgacin.

b)

Propsito
La organizacin debera estimular la participacin en buenas prcticas de seguridad y
apoyar su poltica de seguridad y objetivos de seguridad, a partir de todos los afectados
por sus operaciones a travs de un proceso de consulta y comunicacin.

c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:

d)

poltica de seguridad y objetivos de seguridad;

documentacin del sistema pertinente de gestin de la seguridad;

identificacin del riesgo de seguridad, evaluacin del riesgo y procedimientos de


control del riesgo;

definiciones de los roles y responsabilidades de la seguridad;

resultados de las consultas de seguridad formales e informales de los empleados


con la direccin;

detalles del programa de entrenamiento;

informacin pertinente, proveniente de las fuentes externas.

Proceso
La organizacin debera documentar y promover las disposiciones por las cuales
consulta y comunica la informacin de seguridad pertinente a y de sus empleados y
otras partes interesadas (por ejemplo, contratistas, visitantes, partes interesadas, socios
comerciales, autoridades).
Esto debera incluir las disposiciones para involucrar a los empleados en los siguientes
procesos:
-

consulta sobre el desarrollo y revisin de polticas, el desarrollo y revisin de


objetivos y decisiones de seguridad en la implementacin de procesos y
procedimientos para manejar los riesgos, incluyendo la realizacin de
32

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

evaluaciones de riesgo de seguridad y controles de riesgo pertinente a sus


propias actividades;
-

consulta sobre los cambios que afectan la seguridad del lugar de trabajo, como
la introduccin de nuevos o modificados equipos, medios, agentes qumicos,
tecnologas, procesos, procedimientos o patrones de trabajo.

Debera estimularse a los empleados para que hagan comentarios sobre aspectos de la
seguridad y se les debera ser informados en especifico en la gestin de la cadena de
mando para la seguridad.
e)

Resultados tpicos
Los resultados tpicos incluyen lo siguiente:
-

consultas formales a la direccin y a los empleados a travs de consejos de


seguridad o corporaciones similares;

participacin de los empleados en la identificacin del riesgo de seguridad,


evaluacin del riesgo y control del riesgo;

iniciativas para estimular consultas de seguridad de los empleados, actividades


de revisin y mejora del lugar de trabajo y retroalimentacin a la direccin sobre
aspectos de seguridad;

representantes de seguridad de los empleados con roles y mecanismos de


comunicacin definidos con la direccin, incluyendo, por ejemplo, la participacin
en investigaciones sobre accidentes e incidentes, inspecciones de seguridad del
sitio, etc;

sesiones de informacin de seguridad para los empleados y otras partes


interesadas; por ejemplo, contratistas o visitantes;

carteleras de noticias que contengan informacin de seguridad;

boletn de seguridad;

programa de carteles de seguridad;

otros medios para compartir informacin y reportes de seguridad sensible con las
apropiadas autoridades y pares de la cadena de suministro.

4.4.4

Documentacin

a)

Requisito ISO 28000

La organizacin debe establecer y mantener un sistema de documentacin de gestin de la


seguridad que incluya los siguientes aspectos (sin limitarse a ellos):
a)

la poltica, objetivos y metas de seguridad;

b)

la descripcin del alcance del sistema de gestin de la seguridad;


33

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

c)

la descripcin de los elementos principales del sistema de gestin de la


seguridad y su interaccin y referencia con documentos relacionados:

d)

los documentos, incluidos registros, exigidos en la presente norma, y

e)

los documentos, incluidos los registros, determinados por la organizacin como


necesarios para garantizar la planificacin, operacin y control eficaces de los
procesos relacionados con sus amenazas y riesgos para la seguridad
significativos.

La organizacin debe determinar la confidencialidad de la informacin de seguridad y


tomar las medidas para evitar el acceso no autorizado a ella.

b)

Propsito
La organizacin debera documentar y mantener documentacin actualizada para
asegurarse de que su sistema de gestin de la seguridad puede entenderse y llevarse a
cabo y operar eficazmente.

c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:

d)

detalles de los sistemas de documentacin e informacin que desarrolla la


organizacin para apoyar su sistema de gestin de la seguridad y actividades de
seguridad y para cumplir con los requisitos de la norma ISO 28000;

responsabilidades y autoridades;

informacin sobre los medios en que se usa la documentacin o la informacin y


las restricciones que esto puede poner a la naturaleza fsica de la
documentacin o el uso de medios electrnicos u otros.

Proceso
La organizacin debera identificar los datos y la informacin que se necesitan para el
sistema de gestin de la seguridad, antes de desarrollar la documentacin necesaria
para apoyar sus procesos de seguridad y su sistema de gestin de la seguridad.
No hay ningn requisito para desarrollar la documentacin en un determinado formato a
fin de cumplir con la norma ISO 28000, ni es necesario remplazar la documentacin
existente como manuales, procedimientos o instrucciones de trabajo si stos describen
adecuadamente las disposiciones actuales. Si la organizacin ya tiene un sistema de
gestin de la seguridad establecido y documentado, puede demostrar que para ella es
ms conveniente y eficaz desarrollar, por ejemplo, un documento de referencia cruzada
que describa la interrelacin entre sus procedimientos existentes y los requisitos de la
norma ISO 28000.

34

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

Debera tenerse en cuenta lo siguiente:

e)

las responsabilidades y autorizaciones de los usuarios de la documentacin y la


informacin, ya que esto debera llevar a determinar el grado de seguridad y
accesibilidad que deberan imponerse;

la manera en que se usa la documentacin fsica y el ambiente en que se usa.


Debera darse consideracin similar respecto al uso de equipo electrnico para
los sistemas de informacin.

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

documento de apreciacin global de la documentacin del sistema de gestin de


la seguridad;

registros de documentos, listas maestras o ndices;

procedimientos;

instrucciones de trabajo.

4.4.5

Control de documentos y datos

a)

Requisito ISO 28000

La organizacin debe establecer y mantener procedimientos para controlar todos los


documentos, datos e informacin exigidos en el numeral 4 de la presente norma a fin
de garantizar que:
a)

slo individuos autorizados puedan localizar y tener acceso a estos


documentos, datos e informacin;

b)

personal autorizado revise peridicamente estos documentos, datos e


informacin, los actualice segn sea necesario y apruebe su conveniencia;

c)

se encuentren disponibles versiones actuales de los documentos, datos e


informacin pertinentes en todos los lugares donde se realicen operaciones
esenciales para el funcionamiento efectivo del sistema de gestin de la
seguridad;

d)

los documentos, datos e informacin obsoletos sean retirados con prontitud de


todos los puntos de emisin y de uso, o se asegure de otro modo que no se
haga uso indeseado de ellos;

e)

se identifiquen adecuadamente los documentos de archivo, datos e informacin


que se conservan con propsitos legales o de preservacin del conocimiento, o
ambos;

f)

dichos documentos, datos e informacin sean seguros y si se encuentran en


formato electrnico, deben tener copia de seguridad adecuada y se puedan
recuperar.
35

NORMA TCNICA COLOMBIANA


b)

NTC-ISO 28004

Propsito
Todos los documentos y datos que contienen informacin crtica para la operacin del
sistema de gestin de la seguridad y el desempeo de las actividades de seguridad de
la organizacin, deberan identificarse y controlarse.

c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:

d)

detalles de los sistemas de documentacin y de datos que la organizacin


desarrolla para apoyar su sistema de gestin de la seguridad y las actividades de
seguridad y para cumplir con los requisitos de la norma ISO 28000;

detalles de las responsabilidades y autoridades.

Proceso
Los procedimientos escritos deberan definir los controles para la identificacin,
aprobacin, emisin, acceso y eliminacin de documentacin de seguridad, junto con el
control de seguridad de datos. Estos procedimientos deberan definir claramente las
categoras de documentacin y datos a los cuales se aplican y el nivel de clasificacin
con base en la sensibilidad sobre la seguridad.
La documentacin y los datos deberan estar disponibles y accesibles al personal
autorizado cuando se requiera, bajo condiciones de rutina y de no rutina, incluyendo
emergencias.

e)

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

procedimiento de control de documentos, incluyendo responsabilidades y


autoridades asignadas;

registros de documentos, listas maestras o ndices;

lista de documentacin controlada y su localizacin;

registros de archivos.

4.4.6

Control operacional

a)

Requisito ISO 28000

La organizacin debe identificar aquellas operaciones y actividades que sean


necesarias para lograr:
a)

su poltica de gestin de la seguridad;

b)

el control de las actividades y la mitigacin de amenazas identificadas como un


riesgo significativo;
36

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

c)

la conformidad con requisitos legales, estatutarios y otros requisitos de


reglamentacin sobre seguridad;

d)

sus objetivos de gestin de la seguridad;

e)

la ejecucin de sus programas de gestin de la seguridad;

f)

el nivel requerido de seguridad de la cadena de suministro.

La organizacin debe garantizar que estas operaciones y actividades se realicen bajo


las condiciones especificadas mediante:
a)

el establecimiento, implementacin y mantenimiento de procedimientos


documentados para controlar situaciones en las que su ausencia podra
conducir a falla en el logro de las operaciones y actividades enunciadas en el
numeral 4.4.6, literales a) y f);

b)

la evaluacin de cualquier amenaza que surja de las actividades aguas arriba


de la cadena de suministro, y aplicacin de controles para mitigar estos
impactos en la organizacin y otros operadores aguas abajo de la cadena de
suministro;

c)

el establecimiento y mantenimiento de los requisitos para bienes y servicios que


tienen impacto en la seguridad, y comunicacin de estos a proveedores y
contratistas.

Estos procedimientos deben incluir controles para el diseo, instalacin, operacin,


renovacin y modificacin de elementos de equipos, instrumentacin etc., relacionados
con la seguridad, segn resulte apropiado. Cuando se actualicen las disposiciones
existentes o se introduzcan nuevas que puedan causar impacto en las operaciones y
actividades de gestin de la seguridad, la organizacin debe considerar las amenazas y
riesgos de la seguridad asociados antes de su implementacin. Las disposiciones
nuevas o actualizadas que se vayan a considerar deben incluir:

b)

a)

la estructura, funciones o responsabilidades organizacionales actualizadas;

b)

la poltica, objetivos, metas o programas de gestin de la seguridad


actualizados;

c)

los procesos y procedimientos actualizados;

d)

la introduccin de nueva infraestructura, equipos o tecnologa de seguridad que


pueden incluir hardware o software, o ambos;

e)

la introduccin de nuevos contratistas, proveedores o personal, segn sea


apropiado.

Propsito
La organizacin debera establecer y debera mantener disposiciones para asegurar la
aplicacin eficaz de medidas de control y de conteo, dondequiera que estas se
requieran para controlar los riesgos de seguridad operacional, cumplir con la poltica y
37

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

los objetivos de seguridad, lograr las metas de seguridad y actuar conforme a los
requisitos legales y otros.
c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:

d)

poltica de seguridad y objetivos de seguridad;

identificacin de amenazas a la seguridad y resultados de la evaluacin del


riesgo;

requisitos legales, regulatorios y otros identificados.

Proceso
La organizacin debera establecer procedimientos para controlar sus riesgos
identificados (incluyendo los que podran provenir de contratistas, otros socios
comerciales de la cadena de suministro o visitantes), documentando a stos en los
casos donde un falla en hacerlo pudiera ocasionar incidentes, emergencias u otras
desviaciones de la poltica de seguridad y los objetivos de seguridad. Los
procedimientos de gestin del riesgo deberan revisarse con regularidad para garantizar
su conveniencia y efectividad, y los cambios que se identifican como necesarios
deberan implementarse.
Los procedimientos deberan tomar en cuenta las situaciones en donde los riesgos se
extienden a los intereses de los clientes u otras partes externas o reas de control en
otras partes de la cadena de suministro; por ejemplo, cuando los empleados de la
organizacin estn trabajando en el sitio de un cliente. A veces puede ser necesario
entrar en consulta con la parte externa con respecto a la seguridad en tales
circunstancias.
A continuacin se indican algunos ejemplos de reas en las que tpicamente surgen
riesgos y tambin algunos ejemplos de medidas de control contra ellos.
1)

Compra o transferencia de bienes y servicios y uso de recursos externos


Esto incluye, por ejemplo, los siguientes elementos:

2)

evaluacin y reevaluacin peridica de la competencia de seguridad de


los contratistas;

aprobacin del diseo de disposiciones de seguridad para nueva planta o


equipo.

Tareas sensibles de seguridad


Esto incluye, por ejemplo, lo siguiente:
-

identificacin de tareas sensibles de seguridad;

pre-determinacin y aprobacin de mtodos de trabajo seguros;

38

NORMA TCNICA COLOMBIANA

3)

NTC-ISO 28004

pre-calificacin de personal para las tareas sensibles de seguridad;

procedimientos de control de entrada de personal a las reas sensibles


de seguridad.

Mantenimiento del equipo de seguridad


Esto incluye lo siguiente:

e)

segregacin y control de acceso;

inspeccin y prueba equipo relacionado con la seguridad y sistemas de


alta integridad.

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

procedimientos;

instrucciones de operacin y mantenimiento.

4.4.7

Preparacin y respuesta ante emergencias y recuperacin de la seguridad

a)

Requisito ISO 28000

La organizacin debe establecer, implementar y mantener planes y procedimientos


apropiados para identificar el potencial y las respuestas ante incidentes de seguridad y
situaciones de emergencia, y para evitar y mitigar las consecuencias probables que se
puedan asociar con ellos. Los planes y procedimientos deben incluir informacin acerca
de la disposicin y mantenimiento de cualquier equipo, instalaciones o servicios
identificados que puedan requerirse durante o despus de los incidentes o situaciones
de emergencia.
La organizacin debe revisar peridicamente la eficacia de sus planes y procedimientos
de preparacin y respuesta ante emergencias y recuperacin de la seguridad, en
especial despus de que ocurren incidentes o situaciones de emergencia causados por
infracciones y amenazas a la seguridad. La organizacin debe poner a prueba
peridicamente estos procedimientos, cuando sea aplicable.

b)

Propsito
La preparacin, respuesta y recuperacin que siguen a un incidente de seguridad son
cubiertas por este numeral. El trmino preparacin para la emergencia significa los
planes, preparaciones y acciones preventivas que se implementan siguiendo eventos o
crisis de seguridad no planeados.
La organizacin debera evaluar activamente las necesidades de incidente potencial
y respuesta para todos los potenciales eventos de seguridad identificados a travs
del proceso de identificacin de la amenaza y de evaluacin del riesgo (vase el
numeral 4.3.1). Deberan desarrollarse planes de respuesta, procedimientos y
39

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

procesos para afrontarlos, respuestas planeadas de prueba y bsqueda de


mejoramiento de la efectividad de sus respuestas.
c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:

d)

identificacin de amenazas a la seguridad y evaluacin del riesgo;

disponibilidad de servicios de emergencia locales y agencias de seguridad y


detalles de cualquier respuesta de emergencia o arreglos de consulta que han
sido acordados;

requisitos regulatorios, legales u otros;

experimenta y revisin de incidentes previos y situaciones de emergencia y los


resultados de las acciones subsiguientes;

experiencias similares de las organizaciones a partir de previos incidentes y


situaciones de emergencia (lecciones aprendidas, mejores prcticas);

polica, inteligencia y entrada de primeros respondientes;

revisin de la prctica, ejercicios y adiestramiento realizados.

Proceso
La organizacin debera desarrollar un plan de emergencia, identificar y proporcionar
apropiadas disposiciones de emergencia y probar con regularidad su capacidad a travs
de ejercicios de prctica. Los planes de preparacin para la emergencia, respuesta y
recuperacin de la seguridad deberan incluir medidas para restaurar la seguridad,
proteger los datos y los medios y asegurar la continuidad de la seguridad.
Los ejercicios de prctica deberan poner a prueba la efectividad de las partes ms
crticas del plan de respuesta de seguridad y la integridad del proceso de planeacin de
emergencia. Aunque los ejercicios en computador pueden ser tiles durante el proceso
de planificacin, deberan efectuarse ejercicios y adiestramiento de prctica realista.
Deberan evaluarse los resultados del adiestramiento y prctica de emergencias y
deberan implementarse los cambios que se identifiquen como necesarios.
1)

Respuesta de emergencia y plan de recuperacin de seguridad


La respuesta de emergencia y el plan de recuperacin de seguridad deberan
esbozar las acciones que se van a tomar cuando surjan situaciones especficas y
deberan incluir lo siguiente:
-

identificacin de incidentes y emergencias potenciales;

identificacin de la persona que tomar el cargo durante la emergencia;

detalles de las acciones que tomar el personal durante una emergencia,


incluyendo las acciones que tomar el personal externo que est en el
sitio de la emergencia, como contratistas o visitantes (de quienes se
40

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

puede requerir, por ejemplo, que se trasladen a puntos especficos de


reunin de evacuacin);
-

la responsabilidad, la autoridad y los deberes del personal que tiene roles


especficos durante la emergencia (por ejemplo, seguridad, vigilancia
contra incendios, personal de primeros auxilios, especialistas en
contaminacin radiolgica o txica);

procedimientos de evacuacin;

procedimientos que describen cmo se reintegran las medidas de


seguridad y las condiciones seguras a corto y mediano plazos;

identificacin, localizacin y proteccin de materiales de seguridad,


registros, datos y equipo y accin de emergencia que se requieran;

interfaz con la servicios de emergencia y primeros respondientes;

comunicacin con las partes interesadas;

disponibilidad de la informacin necesaria durante la emergencia; por


ejemplo, dibujos de diseo de planta, datos de seguridad,
procedimientos, instrucciones de trabajo y nmeros de telfonos de
contacto;

interfaz y comunicacin con otros pares de la cadena de suministro del


negocio /de comercio;

asegurar la integridad de los sistemas de comunicacin.

La participacin de agencias externas en la planeacin y respuesta de


emergencia debera documentarse claramente. Estas agencias deberan ser
aconsejadas acerca de las posibles circunstancias de su participacin y se les
debera proporcionar dicha informacin a medida que requieran facilitar su
participacin en las actividades de respuesta.
2)

Equipo de seguridad
Deberan identificarse las necesidades de equipo de seguridad y debera
proporcionarse el equipo en la cantidad adecuada. Esto debera probarse a
intervalos de tiempo especificados para continuar la operabilidad.

3)

Simulacros y ejercicios de prctica


El simulacro y los ejercicios de prctica deberan llevarse a cabo de acuerdo con
un marco de tiempo predeterminado. Donde sea apropiado y factible, debera
estimularse la participacin de servicios externos de seguridad en los simulacros
y ejercicios de prctica.

e)

Resultados tpicos
Los resultados tpicos incluyen lo siguiente:

41

NORMA TCNICA COLOMBIANA

4.5

NTC-ISO 28004

planes y procedimientos documentados de respuesta ante emergencias y de


recuperacin de la seguridad;

lista de equipo de seguridad;

registros de prueba para el equipo de seguridad;

simulacros y ejercicios de prctica;

revisiones de los simulacros y ejercicios de prctica;

acciones recomendadas que surgen de las revisiones;

avance frente al logro de acciones recomendadas;

acciones completadas.

VERIFICACIN Y ACCIN CORRECTIVA


Implementacin
y operacin

Comprobacin
y accin
correctiva

Auditora

Retroalimentacin
a partir de la
medicin del
desempeo

Revisin por la
direccin

Figura 5. Comprobacin y accin correctiva

4.5.1

Medicin y seguimiento del desempeo de seguridad

a)

Requisito ISO 28000

La organizacin debe establecer y mantener procedimientos para hacer seguimiento y


medir el desempeo de su sistema de gestin de la seguridad. Adems, debe
establecer y mantener procedimientos para el seguimiento y medicin del desempeo
de la seguridad. Al establecer la frecuencia de medicin y seguimiento de los
parmetros de desempeo clave, la organizacin debe considerar las amenazas y
riesgos de seguridad asociados, incluidos los mecanismos de deterioro potencial y sus
consecuencias. Estos procedimientos deben proporcionar:
42

NORMA TCNICA COLOMBIANA

b)

NTC-ISO 28004

a)

medidas tanto cualitativas como cuantitativas, apropiadas para las necesidades


de la organizacin;

b)

seguimiento del grado en el que se cumplen la poltica, objetivos y metas de la


gestin de la seguridad de la organizacin;

c)

medidas proactivas de desempeo para hacer el seguimiento a la conformidad


con los programas de gestin de la seguridad, los criterios de control
operacionales y la legislacin aplicable, los requisitos estatutarios y otros
requisitos de reglamentacin sobre seguridad;

d)

medidas reactivas de desempeo para hacer el seguimiento de deterioro, fallas,


incidentes, no conformidades (incluidas las fallas que estuvieron a punto de
ocurrir y las falsas alarmas) relacionadas con la seguridad y otra evidencia
histrica de desempeo deficiente del sistema de gestin de la seguridad;

e)

registro de datos y resultados de seguimiento y medicin suficientes para


facilitar el anlisis de las acciones preventivas y correctivas posteriores. Si se
requiere equipo de seguimiento para el desempeo, y la medicin o
seguimiento, o todos ellos, la organizacin debe exigir que se establezcan y
mantengan procedimientos para la calibracin y mantenimiento de dicho equipo.
Se deben conservar registros de las actividades de calibracin y mantenimiento
durante tiempo suficiente, para cumplir con la legislacin y la poltica de la
organizacin.

Propsito
La organizacin debera identificar los indicadores clave de desempeo para su
desempeo de seguridad a travs de toda la organizacin y de la cadena de suministro
que controla o sobre la cual tiene influencia. stos deberan incluir, pero no limitarse a,
el indicador medible que determina si:

c)

estn logrndose la poltica de seguridad y los objetivos de seguridad;

estn controlndose las amenazas y/o estn mitigndose, por cuanto se han
implementado apropiadas medidas preventivas y stas han sido eficaces;

las lecciones estn siendo aprendidas a partir de las fallas del sistema de gestin
de seguridad, incluyendo incidentes de seguridad y posibles prdidas;

los programas de toma de conciencia, entrenamiento, comunicacin y consulta


para los empleados y partes interesadas son eficaces;

la informacin que puede usarse para revisar y mejorar aspectos del sistema de
gestin de seguridad est producindose y utilizndose.

Entradas tpicas
Las entradas tpicas incluyen lo siguiente:
-

identificacin de amenazas a la seguridad, evaluacin del riesgo y gestin del


riesgo (vase el numeral 4.3.1);
43

NORMA TCNICA COLOMBIANA

d)

NTC-ISO 28004

requisitos de legislacin, regulaciones, las mejores prcticas (si las hubiere);

poltica de seguridad y objetivos de seguridad;

procedimiento para manejar no conformidades;

prueba de equipos de seguridad y registros de calibracin (incluyendo los que


pertenecen a contratistas);

registros de entrenamiento (incluyendo los que pertenecen a contratistas);

informes de direccin.

Proceso
1)

Seguimiento proactivo y reactivo


El sistema de gestin de la seguridad de una organizacin debera incorporar
seguimiento proactivo y reactivo como sigue:
-

debera usarse seguimiento proactivo para verificar la concordancia con


las actividades de seguridad de la organizacin; por ejemplo, seguimiento
de la frecuencia y efectividad de las inspecciones de seguridad;

el seguimiento reactivo debera usarse para investigar, analizar y registrar


las fallas del sistema de gestin de la seguridad, incluyendo emergencias
e incidentes de seguridad.

Los datos tanto del seguimiento proactivo como del reactivo se usan a menudo
para determinar si se alcanzan los objetivos de seguridad.
2)

Tcnicas de medicin
Los siguientes son algunos ejemplos de mtodos que pueden emplearse para
medir el desempeo de la seguridad:
-

resultados de los procesos de identificacin de riesgo de la seguridad,


evaluacin del riesgo y control del riesgo, as como el cumplimiento del
Marco de Normas WCO SAFE y del United States Customs Trade
Partnership Against Terrorism (C-TPAT) y la regulacin del European
Commission Authorized Economic Operator (AEO);

inspecciones sistemticas usando listas de control;

inspecciones de seguridad;

evaluacin de nuevos sistemas de logstica de la cadena de suministro;

revisin y evaluacin de los modelos estadsticos de logstica resultantes;

inspecciones del equipo de seguridad para verificar que est en buenas


condiciones;
44

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

disponibilidad y efectividad del empleo de personal que tenga reconocida


experiencia de seguridad o calificaciones formales;

muestreo de comportamiento: evaluacin del comportamiento de los


trabajadores para identificar prcticas de seguridad deficientes que
podran requerir correccin;

anlisis de documentacin y registros;

Benchmarking frente a la buena practica de seguridad de otras


organizaciones;

inspecciones para determinar las actitudes del empleado a fin de


descubrir comportamientos sospechosos;

retroalimentacin de las partes interesadas.

Las organizaciones deberan decidir a qu van a hacer seguimiento y con qu


frecuencia van a hacerlo, con base en el nivel de riesgo (vase el numeral 4.3.1).
Un marco de tiempo para las inspecciones basado en la identificacin de
amenaza a la seguridad y en los resultados de la evaluacin del riesgo, la
legislacin y las regulaciones, debera prepararse como parte del sistema de
gestin de la seguridad.
El seguimiento de los procesos de seguridad de rutina, nodos de logstica, socios
comerciales, actividades y prcticas de la cadena de suministro, deberan
llevarse a cabo de acuerdo con un documentado esquema de seguimiento por
personal autorizado, que tambin debera emprender chequeos de
inconvenientes de tareas crticas para asegurar la concordancia con los
procedimientos de seguridad y cdigos de prctica. Para ayudar a realizar las
inspecciones y seguimiento sistemticos, pueden usarse listas de control.
3)

Equipo de seguridad
El equipo de seguridad que se usa para hacer seguimiento a la seguridad y
garantizarla (por ejemplo, cmaras, cercos, puertas, alarmas, etc.) debera
listarse, identificarse en su especificidad y controlarse. La exactitud de este
equipo debera conocerse. Donde sea necesario, debera disponerse de
procedimientos por escrito en los que se describa cmo se realizan las medidas
de seguridad. Los equipos usados para la seguridad deberan mantenerse de
una manera apropiada y estar en capacidad de funcionar tal como se requiere.
Debera documentarse e implementarse un esquema de calibracin y
mantenimiento para el equipo de seguridad cada vez que se requiera. Este
esquema debera incluir los siguientes elementos:
-

la frecuencia de la calibracin y el mantenimiento;

referencia a los mtodos de prueba, donde sea aplicable hacerlo;

identidad del equipo que va a usarse para la calibracin;

accin que va a efectuarse cuando el equipo de seguridad especificado


se encuentra fuera de calibracin.
45

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

La calibracin y el mantenimiento deberan llevarse a cabo bajo las condiciones


apropiadas. Deberan prepararse los procedimientos adecuados para las
calibraciones crticas o difciles.
El equipo usado para hacer la calibracin debera ser acorde con las normas
nacionales donde tales normas existan. Si no existe dicha norma, debera
documentarse la base para aplicar los correspondientes niveles usados.
Deberan mantenerse registros de todas las calibraciones, actividades de
mantenimiento y resultados. Los registros deberan dar detalles de las
mediciones efectuadas antes y despus del ajuste.
Deberan identificarse claramente a los usuarios los estados de calibracin del
equipo de seguridad.
El equipo de seguridad cuyo estado de calibracin o de mantenimiento se
desconoce o se sabe que est fuera de calibracin, no debera usarse.
Adicionalmente, debera ponerse fuera de uso y sealarse claramente, mediante
etiqueta u otra clase de marca, para prevenir el mal uso. Dicha marca debera
ser acorde con los procedimientos escritos. Los procedimientos deberan incluir
la identificacin del estado de calibracin del producto. Debera emitirse una nota
de no conformidades para documentar las acciones tomadas. Los
procedimientos deberan incluir un plan de accin si se descubre equipo que
est fuera de calibracin.
4)

Inspecciones
i)

Equipo
Debera esbozarse un inventario (usando identificacin nica de todos los
elementos) de todo el equipo de seguridad. Dicho equipo debera
inspeccionarse como se requiere e incluirse en los esquemas de
inspeccin.

ii)

Inspecciones de seguridad
Deberan llevarse a cabo inspecciones de seguridad, pero estas no
deberan eximir el personal autorizado de efectuar inspecciones regulares
o de identificar las amenazas a la seguridad.

iii)

Registros de la inspeccin
Debera mantenerse un registro de cada inspeccin de seguridad llevada
a cabo. Los registros deberan indicar si los procedimientos de seguridad
documentados estaban acordes o no. Los registros de inspecciones de
seguridad, giras, sondeos y auditoras del sistema de gestin de la
seguridad deberan tener muestreo para identificar causas subyacentes
de no conformidades y riesgo de seguridad repetitivo. Debera tomarse
cualquier accin preventiva que sea necesaria. Las situaciones de
amenaza a la seguridad y el equipo no consistente identificado durante
las inspecciones debera documentarse como no conformidad, evaluado
como de riesgo y corregido de acuerdo con el procedimiento de no
conformidades.
46

NORMA TCNICA COLOMBIANA


5)

NTC-ISO 28004

Equipo del proveedor (contratista)


Los equipos de seguridad usados por contratistas deberan estar sujetos a los
mismos controles que el equipo interno. Debera exigirse a los contratistas que
den garantas de que su equipo concuerda con estos requisitos. Antes de
comenzar el trabajo, el proveedor debera proporcionar una copia de sus
registros de prueba y mantenimiento del equipo para cualquier equipo crtico
identificado que requiera dichos registros. Si alguna de las tareas requiere
entrenamiento especial, deberan suministrarse al cliente los correspondientes
registros de entrenamiento para su revisin.

6)

Tcnicas analticas estadsticas u otras tcnicas tericas


Cualquier tcnica analtica estadstica u otra tcnica terica empleada para
evaluar una situacin de seguridad, investigar un incidente o falla de seguridad o
para ayudar en la toma de decisiones respecto de la seguridad debera basarse
en principios cientficos reconocidos. La alta gerencia debera asegurarse de que
se ha identificado la necesidad de dichas tcnicas. Donde sea apropiado,
deberan documentarse pautas para su uso, junto con las circunstancias en que
estas son apropiadas.

e)

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

procedimiento(s) para el seguimiento de la efectividad de las disposiciones de


seguridad;

cronogramas de inspeccin y listas de control;

listas de control de inspeccin de equipo;

lista de equipo de seguridad;

disposiciones de calibracin y registros de calibracin;

actividades y resultados de mantenimiento;

completas listas de control e informes de inspeccin (resultados de auditora del


sistema de gestin de la seguridad (vase el numeral 4.5.4);

informes sobre no conformidades;

evidencia de los resultados de la implementacin de dicho(s) procedimiento(s).

47

NORMA TCNICA COLOMBIANA


4.5.2

Evaluacin del sistema

a)

Requisito ISO 28000

NTC-ISO 28004

La organizacin debe evaluar los planes, procedimientos y capacidades de gestin de


la seguridad por medio de revisiones peridicas, ensayos, informes posteriores a los
incidentes, lecciones aprendidas, evaluaciones de desempeo y ejercicios. Los
cambios significativos en estos factores deben reflejarse de inmediato en el (los)
procedimiento(s).
La organizacin debe evaluar peridicamente la conformidad con la legislacin y las
reglamentaciones pertinentes, las mejores prcticas industriales y la conformidad con
su propia poltica y objetivos.
La organizacin debe llevar registros de los resultados de las evaluaciones peridicas.

b)

Propsito
Las organizaciones deberan tener procedimientos eficaces para revisar y evaluar los
planes de gestin de la seguridad, los procedimientos y capacidades de la organizacin
para cumplir su poltica y metas y objetivos. La organizacin debera tambin revisar
peridicamente su cumplimiento con los requisitos regulatorios aplicables.
El propsito principal de estos procedimientos es asegurar que los planes y
procedimientos de seguridad se mantengan actualizados y en concordancia con los
cambiantes requisitos y necesidades. Estos cambios deberan ser oportunos y tomar
plenamente en cuenta cualquier cambio en las regulaciones de la cadena de suministro,
las mejores prcticas y las lecciones aprendidas.

c)

Entradas tpicas
Las entradas tpicas deberan incluir:
-

los informes de incidentes;

los resultados de los ejercicios de planificacin y preparacin para incidentes;

la identificacin de amenazas, y los informes de evaluacin del riesgo y control


del riesgo;

los informes de auditora del sistema de gestin de la seguridad, incluyendo los


informes de no conformidades;

los informes de incidentes y/o riesgos;

los informes y acciones de revisin de la direccin (vase el numeral 4.6);

el avance en el logro de los objetivos;

los requisitos regulatorios cambiantes;

48

NORMA TCNICA COLOMBIANA

d)

NTC-ISO 28004

las expectativas cambiantes de las partes involucradas y las partes interesadas;

los cambios en el alcance del trabajo, actividades y base de clientes de las


organizaciones.

Proceso
La direccin de la organizacin debera efectuar revisiones, a intervalos apropiados, de
su sistema de gestin de la seguridad para establecer y asegurar su continua
conveniencia y efectividad. Los intervalos deberan ser suficientemente cortos que para
que puedan identificarse las fallas de los sistemas antes de que surjan los consiguientes
daos y perjuicios.
El resultado de sistemas eficaces y de su implementacin, el logro del objetivo y de la
poltica con el mejoramiento continuo ha de ser uno de los principios que se desprendan
de la norma ISO 28000. El proceso y los procedimientos exigidos por el numeral 4.5.2
asegurarn que esto se logre.

e)

Resultados tpicos
Los resultados tpicos incluyen:
-

procesos y desempeo mejorados;

reduccin de los informes de no conformidades;

cumplimiento legal;

actualizacin de la identificacin de amenazas, evaluacin del riesgo y registros


de riesgo;

procesos mejorados;

evidencia de las evaluaciones de la eficacia de las acciones correctivas y


preventivas tomadas.

4.5.3

Fallas relacionadas con la seguridad, incidentes, no conformidades y acciones


correctivas y preventivas

a)

Requisito ISO 28000

La organizacin debe establecer, implementar y mantener procedimientos para definir la


responsabilidad y autoridad para:
a)

evaluar e iniciar acciones preventivas para identificar las fallas potenciales en la


seguridad, a fin de que se pueda evitar que ocurran;

b)

investigar los siguientes aspectos relacionados con la seguridad:


1)

fallas, incluidas las que estuvieron a punto de ocurrir, y las falsas alarmas;

2)

incidentes y situaciones de emergencia;


49

NORMA TCNICA COLOMBIANA


3)

NTC-ISO 28004

no conformidades;

c)

emprender acciones para mitigar cualquier consecuencia de dichas fallas,


incidentes o no conformidades;

d)

iniciar y completar las acciones correctivas;

e)

confirmar la eficacia de las acciones correctivas emprendidas.

Estos procedimientos deben exigir que se revisen todas las acciones correctivas y
preventivas propuestas por medio del proceso de evaluacin de amenazas y riesgos de
seguridad antes de la implementacin, a menos que la implementacin inmediata impida
exposiciones inminentes para la vida o seguridad pblica.
Cualquier accin correctiva o preventiva emprendida para eliminar las causas de no
conformidades reales y potenciales debe ser apropiada para la magnitud de los
problemas y proporcional a las amenazas y riesgos de la seguridad que probablemente
se encuentren. La organizacin debe implementar y registrar cualquier cambio en los
procedimientos documentados que resulten de la accin correctiva y preventiva y debe
incluir el entrenamiento requerida cuando fuera necesario.
b)

Propsito
Las organizaciones deberan tener procedimientos eficaces para informar y evaluar y/o
investigar emergencias, incidentes de seguridad e y no conformidades. El principal
propsito del o de los procedimientos es prevenir la posterior ocurrencia de la situacin,
identificando y manejando la(s) causa(s) originales. Adems, los procedimientos
deberan posibilitar la deteccin, anlisis y eliminacin de causas potenciales de no
conformidades, incluyendo las que resultan de fallas y errores humanos, del sistema,
proceso o equipo.

c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:

d)

procedimientos (en general);

plan de emergencia;

identificacin de amenazas a la seguridad, evaluacin del riesgo y gestin del


riesgo;

informes de auditora del sistema de gestin de la seguridad, incluyendo


informes de no conformidades;

incidentes de seguridad e informes de amenaza a la seguridad;

informes de mantenimiento y servicio para el equipo de seguridad.

Proceso
Se exige a la organizacin preparar procedimientos documentados para garantizar que
se investiguen los incidentes y las no conformidades de seguridad y que se inicien
50

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

acciones correctivas y/o preventivas. El avance en la aplicacin de acciones correctivas


y preventivas debera tener seguimiento y debera revisarse la eficacia de dichas
acciones.
1)

Procedimientos
Los procedimientos deberan incluir la consideracin de los siguientes
elementos:
i)

General
El procedimiento debera:

ii)

definir las responsabilidades y la autoridad de las personas


involucradas en la implementacin, informe, investigacin,
seguimiento y supervisin de las acciones correctivas y
preventivas;

exigir que se informen todas las no conformidades, incidentes de


seguridad y amenazas a la seguridad;

aplicarse a todo el personal (es decir, empleados, trabajadores


temporales, contratistas, visitantes y cualquier otra persona
involucrada en la cadena de suministro);

tener en cuenta los impactos en las partes interesadas;

garantizar que no se critique a ningn empleado por informar


incidentes de seguridad;

definir claramente el curso de accin que se va a tomar siguiendo


las no conformidades identificadas en el sistema de gestin de
seguridad.

Accin inmediata
La accin inmediata para corregir el incidente de seguridad debera
tomarse cuando se han identificado primero las no conformidades, los
incidentes de seguridad o las amenazas a la seguridad. Los
procedimientos deberan:

iii)

definir el proceso de notificacin;

donde corresponda, incluir la coordinacin con los planes y


procedimientos de emergencia;

definir la escala del esfuerzo investigativo con respecto a la


amenaza potencial o real (por ejemplo, incluir a la administracin
in la investigacin de incidentes de seguridad serios);

Registro
Deberan emplearse los medios apropiados para registrar la informacin
factual y los resultados de la investigacin inmediata y la subsiguiente
51

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

investigacin detallada. La organizacin debera garantizar que se sigan


los procedimientos para:

iv)

registrar los detalles de la no conformidad, el incidente de


seguridad o las amenazas a la seguridad;

definir dnde se van a almacenar los registros y la responsabilidad


por este almacenamiento.

Investigacin
Los procedimientos deberan definir la manera como debera manejarse
el proceso de investigacin. Los procedimientos deberan identificar:
-

el tipo de eventos que se van a investigar (por ejemplo, incidentes


que pudieran haber ocasionado una seria amenaza);

el propsito de las investigaciones;

quin va a investigar, la autoridad de los investigadores, las


calificaciones requeridas (incluyendo la direccin de lnea cuando
corresponda);

la causa original de la no conformidad;

las disposiciones para entrevistas a testigos;

aspectos prcticos como la disponibilidad de cmaras y


almacenamiento de evidencia;

disposiciones sobre informe de la investigacin, incluyendo


informes a las partes interesadas apropiados.

El personal investigador debera empezar su anlisis preliminar de los


hechos mientras se rene informacin ms extensa. La recoleccin de
datos y el anlisis deberan continuar hasta que se obtenga una
explicacin adecuada y suficientemente amplia.
v)

Accin correctiva
Las acciones correctivas son las acciones que se toman para identificar
la(s) causa(s) originales de las no conformidades e incidentes de
seguridad y dar los pasos necesarios para prevenir que se repitan. Entre
los ejemplos de elementos que se van a considerar a fin de establecer y
mantener los procedimientos de accin correctiva estn:
-

la identificacin e implementacin de medidas correctivas y


preventivas tanto para corto plazo como para largo plazo (esto
tambin puede incluir el uso de fuentes de informacin
apropiadas, como el consejo de empleados que tienen
especializacin en seguridad);

52

NORMA TCNICA COLOMBIANA

vi)

NTC-ISO 28004

la evaluacin de cualquier impacto en la identificacin de amenaza


a la seguridad y los resultados de la evaluacin del riesgo [y
cualquier necesidad de actualizar la identificacin de amenaza a la
seguridad, evaluacin del riesgo e informe(s) de gestin del
riesgo];

el registro de cualquier cambio que se requiera en los


procedimientos resultantes de la accin correctiva o la
identificacin de amenaza a la seguridad, evaluacin y gestin del
riesgo;

aplicacin de la gestin del riesgo o modificacin de la gestin del


riesgo existente, para asegurar que se tomen las acciones
correctivas y que estas sean eficaces.

Accin preventiva
Las acciones preventivas son las acciones que se toman para impedir
que ocurran potenciales no conformidades de seguridad.
Ejemplos de elementos por considerar al establecer y mantener
procedimientos de accin preventiva son los siguientes:

vii)

el uso de fuentes de informacin apropiadas, como los resultados


de las acciones correctivas, tendencias de incidentes de
seguridad, informes de auditora del sistema de gestin de
seguridad, evaluaciones de riesgo actualizadas, nueva
informacin sobre seguridad, consejo de los empleados y partes
interesadas que tienen especializacin en seguridad, etc.

iniciacin e implementacin de accin preventiva y la aplicacin de


controles para garantizar que sea eficaz;

registro de cualquier cambio en los procedimientos resultantes de


la accin preventiva y sometimiento a aprobacin.

Seguimiento
La accin correctiva o preventiva que se tome debera ser tan eficaz
como sea factible. Deberan hacerse chequeos sobre la efectividad de la
accin correctiva/preventiva tomada. Las acciones pendientes/no
cumplidas deberan informarse a la direccin a la ms temprana
oportunidad.

2)

Anlisis de la no conformidad e incidente de seguridad


Las causas de las no conformidades e incidentes de seguridad deberan
clasificarse y analizarse sobre una base regular para posibilitar un anlisis de la
causa original. Los indicadores de frecuencia y severidad deberan marcarse con
otros integrantes de la cadena de suministro.
En la clasificacin y anlisis debera incluirse lo siguiente:
-

reportes de frecuencia o tasas de severidad de los incidentes de


seguridad;
53

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

localizacin, actividad involucrada, agencia involucrada, da, momento del


da (cualquiera que corresponda);

tipo y grado de impacto sobre los medios, la cadena de suministro, etc.;

causas directas y de origen.

Debera prestarse la debida atencin a los incidentes de seguridad. Todos los


incidentes de seguridad podran ser un indicador de una amenaza o
vulnerabilidad de seguridad.
Deberan derivarse conclusiones vlidas y tomarse una accin correctiva. Este
anlisis debera enviarse a la alta direccin e incluirse en la revisin por la
direccin (vase el numeral 4.6).
3)

Resultados del seguimiento y la comunicacin


Debera evaluarse la efectividad de las investigaciones e informes de seguridad.
La evaluacin debera ser objetiva y debera arrojar un resultado cuantitativo
donde sea posible.
La organizacin, habiendo aprendido de la investigacin, debera:

4)

identificar las causas originales de las deficiencias del sistema de gestin


de la seguridad y de la gestin general de la organizacin dnde
corresponda;

comunicar los resultados y recomendaciones a la direccin y a las partes


interesadas pertinentes (vase el numeral 4.4.3);

incluir los resultados y recomendaciones pertinentes de


investigaciones en el proceso continuo de revisin de la seguridad;

hacer seguimiento a la implementacin oportuna de controles remdiales


y a su subsiguiente efectividad con el tiempo;

aplicar las lecciones aprendidas de la investigacin de los incidentes y no


conformidades de seguridad a travs de su organizacin en general, la
cadena de suministro que controla y sobre la cual tiene influencia,
centrndose en los amplios principios involucrados, en vez de restringirse
a la accin especfica diseada para evitar la repeticin de un evento que
es precisamente similar en la misma rea de la organizacin.

las

Mantenimiento de registro
Este puede cumplirse rpidamente y con un mnimo de planificacin formal o
puede ser una actividad ms compleja y a largo plazo. La documentacin
asociada debera ser apropiada al nivel de accin correctiva.
Deberan enviarse informes y sugerencias al representante de la alta gerencia
para efectos de anlisis y retencin (vase el numeral 4.5.4).

54

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

La organizacin debera mantener un registro de incidentes de seguridad.


Dichos registros pueden ser exigidos por los reguladores de la cadena de
suministro.
e)

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

procedimiento sobre incidente de seguridad y no conformidad;

informes sobre no conformidades;

registro de no conformidades;

informes de investigacin;

informes actualizados sobre identificacin de riesgo de seguridad, evaluacin del


riesgo y gestin del riesgo;

entrada de revisin de la direccin;

evidencia de evaluaciones de la eficacia de las acciones correctivas y


preventivas tomadas.

4.5.4

Control de registros

a)

Requisito ISO 28000

La organizacin debe establecer y mantener registros, segn sea necesario, para


demostrar conformidad con los requisitos de su sistema de gestin de la seguridad y
de esta norma, y de los resultados logrados.
La organizacin debe establecer, implementar y mantener un procedimiento (o varios)
para la identificacin, almacenamiento, proteccin, recuperacin, retencin y
disposicin de registros.
Los registros deben ser legibles y permanecer as, y deben ser identificables y
trazables.
La documentacin electrnica y digital debera estar protegida contra alteracin, tener
copia de seguridad y ser accesible slo a personal autorizado.
b)

Propsito
Deberan mantenerse registros para demostrar que el sistema de gestin de la
seguridad opera eficazmente. Deberan prepararse, mantenerse, ser legibles y estar
adecuadamente identificados, los registros de seguridad que soportan el sistema de
gestin y su conformidad con los requisitos.

55

NORMA TCNICA COLOMBIANA


c)

NTC-ISO 28004

Entradas tpicas
Entre los registros que deberan mantenerse (utilizados para demostrar la conformidad
con los requisitos) estn los siguientes:

d)

registros de entrenamiento y competencia;

informes de inspeccin de seguridad;

no conformidades de seguridad;

resultados de las acciones preventivas y correctivas;

informes de auditora del sistema de gestin de la seguridad;

actas de las reuniones de seguridad;

informas de ejercicios de seguridad y adiestramiento;

revisiones por la direccin;

registros de identificacin de amenazas a la seguridad, evaluacin del riesgo y


gestin del riesgo.

Proceso
El requisito de la norma ISO 28000 es bastante autoexplicativo. Sin embargo, tambin
debera darse consideracin adicional a los siguientes elementos:
-

la autoridad para la disposicin de los registros de seguridad;

la confidencialidad (marcas de proteccin) de los registros de seguridad;

requisitos legales y otros sobre retencin de los registros de seguridad;

aspectos que rodean el uso de registros electrnicos.

Los registros de seguridad deberan rellenarse totalmente, e identificarse de manera


legible y adecuada. Deberan definirse los registros de seguridad para los tiempos de
retencin. Los registros deberan mantenerse en un lugar seguro, poder recuperarse
prontamente y estar protegidos contra el deterioro. Los registros de seguridad crticos
deberan protegerse de posible fuego y cualquier otro dao como corresponda y como
exija la ley.
e)

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

procedimiento (para la identificacin, mantenimiento y disposicin de los


registros de seguridad);

registros de seguridad guardados adecuadamente y prontamente recuperables.

56

NORMA TCNICA COLOMBIANA


4.5.5

Auditora

a)

Requisito ISO 28000

NTC-ISO 28004

La organizacin debe establecer, implementar y mantener un programa de auditora


de gestin de la seguridad y debe garantizar que las auditoras del sistema de gestin
de la seguridad se realicen a intervalos planificados, a fin de:
a)

determinar si el sistema de gestin de la seguridad:


1)

cumple las disposiciones planificadas para gestin de la seguridad,


incluidos los requisitos de la totalidad del numeral 4 de la presente
norma;

2)

ha sido implementado y se mantiene adecuadamente;

3)

es eficaz para cumplir la poltica y objetivos de gestin de la seguridad


de la organizacin;

b)

revisar los resultados de auditoras anteriores y las acciones emprendidas para


rectificar las no-conformidades;

c)

proporcionar informacin a la direccin sobre los resultados de las auditoras;

d)

verificar el despliegue apropiado de los equipos y del personal de seguridad.

El programa de auditoria, incluido cualquier cronograma, debe estar basado en los


resultados de las evaluaciones de amenazas y riesgos de las actividades de la
organizacin y en los resultados de auditoras anteriores. Los procedimientos de
auditora deberan comprender el alcance, la frecuencia, las metodologas y
competencias, lo mismo que las responsabilidades y requisitos para realizar auditoras
y reportar resultados. Cuando sea posible, las auditoras las debe llevar a cabo
personal independiente de los que tienen responsabilidad directa en la actividad que
se est examinando.
NOTA
La frase personal independiente no necesariamente significa personal externo a la
organizacin.

b)

Propsito
Las auditoras internas del sistema de gestin de la seguridad de una organizacin
deberan efectuarse a intervalos planeados para determinar y proporcionar informacin
a la direccin acerca de si el sistema concuerda con los requisitos de procedimiento y
los requisitos de la totalidad del numeral 4 de la norma ISO 28000:2007 y si se han
implementado y mantenido apropiadamente. Tambin pueden realizarse para identificar
oportunidades para el mejoramiento del sistema de gestin de la seguridad de una
organizacin. En general, las auditoras del sistema de gestin de la seguridad deberan
considerar la poltica y los procedimientos de seguridad as como las condiciones y
prcticas aplicables a la cadena de suministro.
Debera establecerse un programa de auditora interna del sistema de gestin de la
seguridad para permitir a la organizacin revisar su propia concordancia de su sistema
de gestin de la seguridad con los requisitos de la norma ISO 28000 y otros segn lo
definido dentro del alcance de sus operaciones. Las auditoras planeadas del sistema
57

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

de gestin de la seguridad deberan llevarse a cabo por personal del interior de la


organizacin y/o por personal externo escogido por la organizacin, a fin de establecer
el grado de concordancia con los procedimientos de seguridad documentados y evaluar
si el sistema es eficaz o no en cumplir con los objetivos de seguridad de la organizacin.
El personal que dirige las auditoras del sistema de gestin de la seguridad debera ser
capaz de hacerlo de manera imparcial y objetiva.
NOTA
Las auditoras internas del sistema de gestin de la seguridad se centran en el desempeo del
sistema de gestin de la seguridad, y no deberan confundirse con las evaluaciones o revisiones de
seguridad u otras inspecciones de seguridad.

c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:

d)

declaracin de la poltica de seguridad;

objetivos de seguridad;

procedimientos e instrucciones de seguridad;

resultados de la identificacin de amenazas a la seguridad, evaluacin del riesgo


y gestin del riesgo;

legislacin y mejores prcticas (si se aplican);

informes de no conformidades;

procedimientos de auditora del sistema de gestin de la seguridad;

auditor o auditores competentes, independientes, internos o externos;

procedimiento sobre no conformidades;

ejercicios y adiestramiento de seguridad;

informacin de amenaza a la seguridad por parte de agencias externas.

Proceso
1)

Auditoras
Las auditoras del sistema de gestin de la seguridad proporcionan una
evaluacin amplia y formal de la concordancia con los procedimientos y prcticas
de seguridad de la organizacin.
Las auditoras del sistema de gestin de la seguridad deberan dirigirse de
acuerdo con las disposiciones planeadas. Deberan realizarse auditoras
adicionales segn lo requieran las circunstancias. Por ejemplo, despus de los
incidentes que impactan en el sistema de seguridad, los cambios en la
organizacin o los medios o el alcance de la cadena de suministro.
Las auditoras del sistema de gestin de la seguridad slo deberan llevarse a
cabo por personal competente e independiente, con las apropiadas
autorizaciones de seguridad para las reas que se estn auditando.
58

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

El resultado de la auditora del sistema de gestin de la seguridad debera incluir


evaluaciones detalladas de la efectividad de los procedimientos de seguridad, el
nivel de cumplimiento con los procedimientos y prcticas y adems debera
identificar las acciones correctivas donde sea necesario. Los resultados de las
auditoras del sistema de gestin de la seguridad deberan registrarse e
informarse a la direccin, de una manera oportuna.
NOTA Los principios generales y la metodologa descritos en la norma ISO 19011 son
apropiados para la auditora del sistema de gestin de la seguridad.

2)

Cronograma
Debera prepararse un plan, normalmente anual, que indique el cronograma de
auditoras internas del sistema de gestin de la seguridad. Las auditoras del
sistema de gestin de la seguridad deberan apuntar hacia todas las operaciones
cubiertas por el sistema de gestin de la seguridad y evaluar su conformidad con
la norma ISO 28000.
La frecuencia y el cubrimiento de las auditoras del sistema de gestin de la
seguridad deberan estar correlacionados con los riesgos asociados a los
diversos elementos del sistema de gestin de la seguridad, los datos disponibles
sobre el desempeo del sistema de gestin de la seguridad, el resultado de las
revisiones por la direccin y la medida en que el sistema de gestin de la
seguridad o el ambiente en que opera estn sujetos al cambio.
Deberan dirigirse auditoras adicionales, no programadas, del sistema de
gestin de la seguridad, si ocurren situaciones que las ameriten; por ejemplo,
despus de un incidente de seguridad.

3)

Apoyo de la direccin
Para que la auditora de los sistemas de gestin de la seguridad sea de valor es
necesario que la alta gerencia est plenamente comprometida con el concepto
de auditora y su implementacin eficaz dentro de la organizacin. La alta
gerencia debera someter a consideracin los resultados y recomendaciones de
la auditora y tomar acciones apropiadas segn sea necesario, dentro de un
tiempo apropiado. Una vez se ha convenido que debera llevarse a cabo una
auditora del sistema de gestin de la seguridad, esta debera completarse de
una manera imparcial. Todo el personal pertinente debera ser informado de los
propsitos de la auditora y de los beneficios de la misma. Se debera instar al
personal a cooperar plenamente con los auditores y responder honesta y
constructivamente a sus preguntas.

4)

Los auditores
Una o ms personas pueden emprender las auditoras del sistema de gestin de
la seguridad. Un enfoque de equipo puede ensanchar la participacin y mejorar
la cooperacin. Un enfoque de equipo tambin puede posibilitar que se utilice
una gama ms amplia de habilidades y conocimiento especializados.
Los auditores deberan ser independientes de la parte de la organizacin o de la
actividad que va a ser auditada y, si es necesario, deberan recibir autorizacin
de seguridad para las reas que se estn auditando.

59

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

Los auditores deberan entender su tarea y ser competentes para llevarla a


cabo. Deberan tener la experiencia y el conocimiento de las normas, cdigos de
prctica y sistemas pertinentes que estn interviniendo, de tal modo que les
permitan evaluar el desempeo e identificar las deficiencias. Los auditores
deberan estar familiarizados con los requisitos establecidos en cualquier
legislacin pertinente. Adems, deberan ser conscientes de las normas y pautas
de autoridad pertinentes al trabajo en que estn comprometidos y tener acceso a
ellas.
5)

Recoleccin e interpretacin de datos


Las tcnicas y ayudas usadas en la recoleccin de la informacin dependern de
la naturaleza de la auditora del sistema de gestin de la seguridad que vaya a
emprenderse. La auditora del sistema de gestin de la seguridad debera
garantizar que se somete a auditora una muestra representativa de las
actividades esenciales y que se entrevista al personal pertinente (incluyendo
representantes de seguridad de los empleados, donde corresponda). Debera
examinarse la documentacin pertinente. Esto puede incluir la siguiente
documentacin:
-

documentacin del sistema de gestin de la seguridad;

declaracin de la poltica de seguridad;

objetivos de seguridad;

resultados de los ejercicios de practica y simulacros de seguridad;

procedimientos;

actas de las reuniones de seguridad;

cualquier informe o comunicacin desde la entrada en vigor de la


seguridad u otras entidades reguladoras (verbal, cartas, avisos, etc.);

registros y certificados estatutarios;

registros de entrenamiento;

informes previos de auditora del sistema de gestin de la seguridad;

demandas de acciones correctivas;

informes de no conformidades.

Deberan hacerse posibles chequeos donde sea posible dentro de los


procedimientos de auditora del sistema de gestin de la seguridad para ayudar
a evitar la errnea interpretacin o aplicacin de los datos, informacin u otros
registros que se hayan reunido.

60

NORMA TCNICA COLOMBIANA


6)

NTC-ISO 28004

Resultados de la auditora
El contenido del informe final de auditora del sistema de gestin de la seguridad
debera estar claro, preciso y completo. Debera fecharse y firmarse por el
auditor. Dependiendo del caso, debera contener los siguientes elementos:
-

objetivos y alcance de la auditora del sistema de gestin de la seguridad;

detalles del plan de auditora del sistema de gestin de la seguridad,


identificacin de los miembros del equipo de auditora y los
representantes auditados, fechas de auditora e identificacin de las
reas sometidas a auditora;

identificacin de documentos de referencia utilizados para dirigir la


auditora del sistema de gestin de la seguridad (por ejemplo, el manual
de gestin de la seguridad de la norma ISO 28000);

detalles de las no conformidades identificadas;

la evaluacin del auditor acerca del grado de conformidad con la norma


ISO 28000;

la capacidad del sistema de gestin de la seguridad para lograr los


objetivos declarados de la gestin de seguridad;

la distribucin del informe final de auditora del sistema de gestin de la


seguridad.

Los resultados de las auditoras del sistema de gestin de la seguridad deberan


entregarse lo ms pronto posible a todas las partes pertinentes, para permitir que
se tomen las acciones correctivas. Se debera preparar un plan de accin de
medidas remediales convenidas junto con la identificacin de las personas
responsables, fechas de realizacin y requisitos de informe. Deberan
establecerse disposiciones de supervisin de seguimiento con el fin de asegurar
la implementacin satisfactoria de las recomendaciones.
La direccin debera llevar a cabo una revisin de los resultados y emprender la
accin correctiva eficaz (donde sea necesario hacerlo).
Deberan llevarse a cabo auditoras de seguimiento (no programadas) para
revisar la implementacin eficaz de las acciones correctivas.
Debera considerarse mantener confidencialidad cuando se est recolectando y
registrando la informacin contenida en los informes de auditora de los sistemas
de gestin de la seguridad.
e)

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

plan/programa de auditora del sistema de gestin de la seguridad;

procedimientos de auditora del sistema de gestin de la seguridad;


61

NORMA TCNICA COLOMBIANA

4.6

NTC-ISO 28004

informes de auditora del sistema de gestin de la seguridad, incluyendo


informes de no conformidades, recomendaciones y demandas de acciones
correctivas;

informes de no conformidades sin firma/sin cierre;

evidencia de informe a la direccin sobre los resultados de la auditora del


sistema de gestin de la seguridad.

REVISIN POR LA DIRECCIN Y MEJORA CONTINUA


Verificacin final
de accin
correctiva

Factores
internos

Revisin por la
direccin

Factores
externos

Poltica

Figura 6. Revisin de la direccin

a)

Requisito ISO 28000

La alta direccin debe revisar el sistema de gestin de la seguridad de la organizacin,


a intervalos planificados, a fin de garantizar que siga siendo conveniente, suficiente y
eficaz. Las revisiones deben incluir la evaluacin de oportunidades de mejora y la
necesidad de cambios en el sistema de gestin de la seguridad, incluida la poltica de
seguridad, los objetivos, y las amenazas y los riesgos de la seguridad. Se deben
retener registros de las revisiones realizadas por la direccin. La informacin de
entrada de las revisiones por la direccin debe incluir:
a)

resultados de las auditoras y evaluaciones de conformidad con los requisitos


legales y con otros requisitos que suscribe la organizacin;

b)

comunicacin (es) de partes externas interesadas, incluidas quejas;

c)

el desempeo de la seguridad de la organizacin;

d)

el grado en el que se cumplen objetivos y metas;


62

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

e)

estado de las acciones correctivas y preventivas;

f)

acciones de seguimiento de revisiones por la direccin anteriores;

g)

circunstancias cambiantes, incluidos desarrollos en requisitos legales y otros,


relacionados con aspectos de su seguridad, y

h)

recomendaciones de mejora.

La informacin de salida de las revisiones por la direccin debe incluir cualquier


decisin y accin relacionada con cambios posibles a la poltica, objetivos, metas y
otros elementos del sistema de gestin de la seguridad, de manera coherente con el
compromiso con la mejora continua.
b)

Propsito
La alta gerencia debera revisar la operacin del sistema de gestin de la seguridad
para evaluar si se est implementando totalmente y si sigue siendo conveniente y eficaz
para lograr la poltica de seguridad y los objetivos de seguridad declarados por la
organizacin.
La revisin tambin debera considerar si la poltica de seguridad contina siendo
apropiada. Debera establecer nuevos o actualizados objetivos de seguridad para la
mejora continua, apropiados para los perodos prximo y considera si se necesitan
cambios en cualquier elemento del sistema de gestin de la seguridad.

c)

Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
-

resultados de las auditoras internas y externas del sistema de gestin de la


seguridad;

acciones correctivas efectuadas al sistema desde la revisin anterior;

informes de ejercicios de practica y simulacros de seguridad;

informe del representante de la alta gerencia sobre el desempeo general del


sistema;

informes de otras personas de la organizacin y de las partes interesadas sobre


la eficacia del sistema, en cuanto ste impacta la cadena de suministro;

informes de identificacin de amenaza a la seguridad, evaluacin del riesgo y


procesos de gestin del riesgo;

efectividad de los programas de entrenamiento y conocimiento;

el avance y la efectividad de los objetivos de la direccin de seguridad.

63

NORMA TCNICA COLOMBIANA


d)

NTC-ISO 28004

Proceso
El proceso de revisin por la direccin incluye normalmente una reunin efectuada con
regularidad por la alta gerencia (por ejemplo, anualmente). La revisin debera centrarse
en el desempeo global del sistema de gestin de la seguridad y no en detalles
especficos, ya que stos deberan manejarse por los medios normales dentro del
sistema de gestin de la seguridad.
En la planificacin de una revisin por la direccin deberan considerarse los siguientes
aspectos:
-

temas que van a tratarse;

quines deberan asistir (gerentes, asesores especialistas en seguridad, otro


personal);

responsabilidades de los participantes individuales respeto de la revisin;

informacin que va a llevarse a la revisin.

La revisin debera tratar los siguientes asuntos:


-

conveniencia de la actual poltica de seguridad;

establecimiento o actualizacin de objetivos de seguridad para la mejora


continua en el perodo venidero;

adecuacin de los actuales procesos de identificacin de amenaza a la


seguridad, evaluacin del riesgo y gestin del riesgo;

actuales niveles de riesgo y la eficacia de las medidas de control existentes;

adecuacin de recursos;

eficacia del proceso de inspeccin de seguridad;

eficacia del proceso de informe del riesgo de seguridad;

datos relacionados con la seguridad e incidentes que han ocurrido;

casos registrados de procedimientos que no son eficaces;

resultados de las auditoras internas y externas del sistema de gestin de la


seguridad llevadas a cabo desde la revisin anterior y su eficacia;

estado de preparacin para situaciones de emergencia y disposiciones de


recuperacin de la seguridad;

mejoras al sistema de gestin de la seguridad;

resultado de cualquier investigacin en cuanto a incidentes de seguridad;

una evaluacin de los efectos de los cambios previsibles a la legislacin,


regulaciones, tecnologa o inteligencia e informacin de seguridad.
64

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

La alta gerencia debera garantizar que el desempeo global del sistema de gestin de
la seguridad se informe en la reunin de revisin por la direccin. Deberan sostenerse
revisiones parciales del desempeo del sistema de gestin de la seguridad a intervalos
ms frecuentes, si se requiere.
Las revisiones por la direccin pueden incluir una revisin de un sistema de gestin
integrado, para que el resultado de la revisin de la seguridad, la calidad y otros
elementos del sistema de gestin puedan considerarse en la misma reunin o durante
el mismo proceso. Si se adopta este enfoque, no se debera diluir la importancia de
ninguna de las partes constitutivas del sistema de gestin integrado de una
organizacin.
e)

Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-

actas de cualquier reunin de revisin que se efecte;

revisiones de la poltica de seguridad y los objetivos de seguridad;

acciones correctivas especficas por los gerentes individuales, con las fechas
objetivo para su realizacin;

acciones de mejora especficas, con las responsabilidades asignadas y las


fechas objetivo para su realizacin;

fecha para la revisin de la accin correctiva;

reas de nfasis que deberan reflejarse en la planificacin de las futuras


auditoras internas del sistema de gestin de la seguridad.

65

NORMA TCNICA COLOMBIANA

NTC-ISO 28004
ANEXO A
(Informativo)

CORRESPONDENCIA ENTRE LAS NORMAS ISO 28000:2007,


ISO 14001:2004 E ISO 9001:2000
ISO 28000:2007
Requisitos del sistema
de gestin de la
seguridad de la cadena
de suministro (slo ttulo)

ISO 14001:2004

Requisitos del sistema de


gestin ambiental (slo
ttulo)

ISO 9001:2000

Requisitos generales

4.1

Requisitos generales

4.1

Poltica de gestin de la
seguridad

4.2

Poltica ambiental

4.2

Requisitos del sistema de


gestin de la calidad (slo
ttulo)
Requisitos generales

4.3

Planificacin (slo ttulo)

4.3

Evaluacin del riesgo de


seguridad
4.3.1

Requisitos legales,
estatutarios y otros
requisitos reglamentarios
sobre seguridad

5.1

Poltica de la calidad

5.3

4.3.1

4.3.2

Requisitos legales y otros

4.3.3

Objetivos, metas y
programa(s)

Objetivos de gestin de
la seguridad
4.3.4

Programa(s) de gestin
de la seguridad
4.3.5

4.4

Estructura, autoridad y
responsabilidades de la
gestin de la seguridad
4.4.1

4.3.2

4.3.3

Objetivos, metas y
programa(s)

4.3.3

Objetivos, metas y
programa(s)

4.3.3

Implementacin y
operacin (slo ttulo)

Recursos, funciones,
responsabilidad y
autoridad

4.4

4.4.1

8.5.1

Planificacin (slo ttulo)

5.4

Enfoque al cliente

5.2

Determinacin de los
requisitos relacionados con el
producto

7.2.1

Revisin de los requisitos


relacionados con el producto

7.2.2

Enfoque al cliente

Objetivos de gestin de
la seguridad

Implementacin y
operacin (slo ttulo)

Aspectos ambientales

4.1

Compromiso de la direccin
Mejora continua

Evaluacin del riesgo de


seguridad y planificacin
(slo ttulo)

5.2

Determinacin de los
requisitos relacionados con el
producto

7.2.1

Objetivos de la calidad

5.4.1

Planificacin del sistema de


gestin de la calidad

5.4.2

Mejora continua

8.5.1

Objetivos de la calidad

5.4.1

Planificacin del sistema de


gestin de la calidad

5.4.2

Mejora continua

8.5.1

Objetivos de la calidad

5.4.1

Planificacin del sistema de


gestin de la calidad

5.4.2

Mejora continua

8.5.1

Realizacin del producto (slo


ttulo)

Compromiso de la direccin

5.1

Responsabilidad y autoridad

5.5.1

Representante de la direccin

5.5.2

Provisin de recursos

6.1

Infraestructura

6.3
Contina...

66

NORMA TCNICA COLOMBIANA

NTC-ISO 28004
(Continuacin)

ISO 28000:2007
Competencia,
entrenamiento y toma de
conciencia

ISO 14001:2004

4.4.2

ISO 9001:2000

Competencia,
entrenamiento y toma de
conciencia

4.4.2

Comunicacin

4.4.3

Comunicacin
4.4.3

Competencia, entrenamiento y
toma de conciencia

6.2.2

Comunicacin interna

5.5.3

Comunicacin con el cliente

7.2.3

Documentacin

4.4.4

(Requisitos de la
documentacin)
Generalidades

4.2.1

4.4.5

Control de documentos

4.4.5

Control de documentos

4.2.3

Control operacional

4.4.6

Preparacin y respuesta
ante emergencias y
recuperacin de la
seguridad

6.2.1

4.4.4

Documentacin

Control de documentos y
datos

(Recursos humanos)
Generalidades

4.4.7

Control operacional

Preparacin y respuesta
ante emergencias

67

4.4.6

4.4.7

Planificacin de la realizacin
del producto

7.1

Determinacin de los
requisitos relacionados con el
producto

7.2.1

Revisin de los requisitos


relacionados con el producto

7.2.2

Planificacin del diseo y


desarrollo

7.3.1

Elementos de entrada para el


diseo y desarrollo

7.3.2

Resultados del diseo y


desarrollo

7.3.3

Revisin del diseo y


desarrollo

7.3.4

Verificacin del diseo y


desarrollo

7.3.5

Validacin del diseo y


desarrollo

7.3.6

Control de cambios del diseo


y desarrollo

7.3.7

Proceso de compras

7.4.1

Informacin de las compras

7.4.2

Verificacin de los productos


comprados

7.4.3

Control de la produccin y de
la prestacin del servicio

7.5.1

Validacin de los procesos de


produccin y de prestacin del
servicio

7.5.2

Preservacin del producto

7.5.5

Control del producto no


conforme

8.3

NORMA TCNICA COLOMBIANA

NTC-ISO 28004
(Final)

ISO 28000:2007
Verificacin y accin
correctiva (slo ttulo)

ISO 14001:2004
4.5

Verificacin (slo ttulo)

ISO 9001:2000
4.5

Medicin y seguimiento
del desempeo de la
seguridad

4.5.1

Seguimiento y medicin

4.5.1

Medicin, anlisis y mejora


(slo ttulo)
Control de los dispositivos de
seguimiento y medicin

7.6

Generalidades (medicin,
anlisis y mejora)

8.1

Seguimiento y medicin de los


procesos

8.2.3

Seguimiento y medicin del


producto

8.2.4

Anlisis de datos
Evaluacin del sistema
4.5.2

Fallas relacionadas con


la seguridad, incidentes,
no conformidades y
acciones correctivas y
preventivas

4.5.3

Evaluacin de conformidad

No conformidad, accin
correctiva y accin
preventiva

4.5.2

4.5.3

8.4

Seguimiento y medicin de los


procesos

8.2.3

Seguimiento y medicin del


producto

8.2.4

Control del producto no


conforme

8.3

Anlisis de datos

8.4

Accin correctiva

8.5.2

Accin preventiva

8.5.3

Control de registros

4.5.4

Control de registros

4.5.4

Control de los registros

4.2.4

Auditora

4.5.5

Auditora interna

4.5.5

Auditora interna

8.2.2

Revisin por la direccin


y mejora continua

4.6

Revisin por la direccin

68

4.6

Compromiso de la direccin

5.1

Revisin por la direccin (slo


ttulo)

5.6

Generalidades

5.6.1

Informacin para la revisin

5.6.2

Resultados de la revisin

5.6.3

Mejora continua

8.5.1

NORMA TCNICA COLOMBIANA

NTC-ISO 28004
BIBLIOGRAFA

[1]

9001:2000, Sistemas de gestin de la calidad. Requisitos.

[2]

14001:2004, Sistemas de gestin ambiental. Requisitos con orientacin para su uso.

[3]

ISO/IEC 17021:2006, Evaluacin de la conformidad. Requisitos para los organismos


que realizan auditoria y certificacin de sistemas de gestin.

[4]

19011:2000, Directrices para la auditoria de los sistemas de gestin de la calidad y/o


ambiente.

[5]

ISO 28001:2007, Specification for Security Management Systems for the Supply Chain.

69

NORMA TCNICA COLOMBIANA

NTC-ISO 28004

DOCUMENTO DE REFERENCIA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Security Management Systems
for the Supply Chain. Guidelines for the Implementation of ISO 28000, ISO: 28004: 2007(E), p 56.

70