Norma Internacional.

ISO 28000:2007

Especificación para los Sistemas de

Gestión de la Seguridad para la Cadena de
Suministro

NOTA IMPORTANTE PARA LOS USUARIOS DE ESTA

TRADUCCIÓN:
1. Esta traducción es una guía y con ello se ha pretendido ayudar a
la comprensión de la versión oficial en inglés y español.
2. Esta traducción no es aceptable para la auditoría a Sistemas de
Gestión y cualquier cuestión planteada ha de referirse a la
versión oficial en lengua inglesa o en su traducción oficial.

Índice.

Introducción...................................................................................................................3
1 Objeto y campo de aplicación.......................................................................................4
2 Normas para consulta..................................................................................................4
3 Términos y definiciones...............................................................................................5
4 Elementos del Sistema de Gestión de la Seguridad......................................................7
Norma ISO 28000:2007 Traducción para capacitación.
Texto valido como guía. No es aceptable para auditorías.
Página 1 de 16
Introducción

Esta norma internacional ha sido desarrollada como respuesta a la exigencia de la

industria para una norma de gestión de la seguridad. Su objetivo principal es mejorar la
seguridad en las cadenas de suministro. Esta es una norma de Alta Dirección que le
permite a una organización establecer un sistema de gestión de la seguridad de la
cadena de suministro en general.

Exige a la organización evaluar el ambiente de seguridad en el que opera y determinar

si se han implementado medidas de seguridad adecuadas y si ya existen otros requisitos
reglamentarios que la organización cumple. Si se determinan necesidades de seguridad
mediante este proceso, la organización debería implementar mecanismos y procesos
para satisfacerlas. Puesto que las cadenas de suministro son dinámicas por naturaleza,
algunas organizaciones que manejan múltiples cadenas de suministro pueden buscar
que sus proveedores de servicios cumplan con las normas ISO de seguridad para la
cadena de suministro o las normas gubernamentales relacionadas, como condición para
ser incluidos en dicha cadena de suministro a fin de simplificar la gestión de la
seguridad.

Esta norma esta internacional está intencionada para aplicar en casos donde las
cadenas de suministro de una organización tengan que ser manejadas de forma segura.
Un acercamiento formal a gestión de la seguridad puede contribuir directamente con la
capacitada del negocio y credibilidad de la organización.

El cumplimiento con esta norma internacional no lleva en sí mismo inmunidad de las

obligaciones legales. Para las organizaciones que así lo requieran, el cumplimiento con
el sistema de gestión de la seguridad con esta norma internacional puede ser verificado
por un proceso de auditoria externa o interna.

NOTA Esta Norma Internacional se basa en la metodología conocida como

PlanificarHacer-Verificar-Actuar (PDCA). PDCA se puede describir de la siguiente
manera.

Plan: establecer los objetivos y procesos necesarios para obtener resultados de acuerdo
con la política de seguridad de la organización.

Hacer: implementar los procesos.

Verificar: monitorear y medir procesos contra la política de seguridad, objetivos, metas,

requisitos legales y otros, e informar resultados.

Actuar: tomar medidas para mejorar continuamente el rendimiento del sistema de

administración de seguridad

1 Objeto y campo de aplicación

Esta norma internacional especifica los requisitos para un sistema de gestión de la

seguridad, incluyendo aquellos aspectos críticos para el aseguramiento de la seguridad
de la cadena de suministro. La gestión de la seguridad está relacionada con muchos
otros aspectos de la gestión del negocio. Estos aspectos incluyen todas las actividades
Norma ISO 28000:2007 Traducción para capacitación.
Texto valido como guía. No es aceptable para auditorías.
Página 2 de 16
controladas o influenciadas por organizaciones que tienen impacto sobre la seguridad de
la cadena de suministro. Estos otros aspectos deberían considerarse directamente,
donde y cuando tengan un impacto sobre la gestión de la seguridad, incluyendo el
transporte de estos bienes a lo largo de la cadena de suministlo.

Esta norma internacional se aplica a organizaciones de cualquier tamaño, desde

pequeñas organizaciones a multinacionales, en la fabricación, el servicio, el almacenaje
o el transporte en cualquier etapa de la cadena de producción o suministro, que deseen:

a) establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad;

b) asegurar la conformidad con la política de gestión de la seguridad establecida;
c) demostrar dicha conformidad a otros;
d) buscar la certificación/registro de su sistema de gestión de la segulidad por un
Organismo de Cenificación por tercera parte Acreditado; o
e) llevar a cabo una autodeterminación y una autodeclaración de conformidad con esta
norma internacional.

Hay códigos legislativos y reglamentarios que tratan algunos de los requisitos de esta
norma internacional.

Esta norma internacional no pretende requerir una demostlación de la conformidad por

duplicado.

Las organizaciones que escojan la certificación por tercera parte pueden demostrar
mejor que contribuyen significativamente a la segulidad de la cadena de suministro.

2 Normas para consulta

No se citan normas para consulta. Este apartado se incluye con el propósito de

mantener un orden numérico de los capítulos similar al de las otras normas de sistemas
de gestión.

3 Términos y definiciones

Para los fines de este documento se aplican los términos y definiciones siguientes.

3.1 Instalaciones
Planta, maquinaria, propiedad, edificios, vehículos, buques, instalaciones portuarias y
otros elementos de infraestructura o planta y sistemas relacionados que tengan una
función o servicio comercial distinto y cuantificable

NOTA Esta definición incluye cualquier código de software que sea crítico para la entrega de
seguridad y la aplicación de la administración de seguridad.

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 3 de 16
3.2 seguridad resistencia a actos no autorizados intencionales diseñados para causar
daño a, o por, la cadena de suministro

3.3 gestión de seguridad

Actividades y prácticas sistemáticas y coordinadas a través de las cuales una
organización gestiona de manera óptima sus riesgos y las amenazas y los impactos
asociados.

3.4 objetivo de gestión de la seguridad

Resultado específico o logro requerido de seguridad para cumplir con la política de
administración de seguridad.

NOTA Es esencial que dichos resultados estén vinculados directa o indirectamente a la provisión de
productos, suministros o servicios entregados por el negocio total a sus clientes o usuarios finales.

3.5 política de gestión de seguridad

Las intenciones y la dirección generales de una organización, relacionadas con la
seguridad y el marco para el control de los procesos y actividades relacionados con la
seguridad que se derivan y son coherentes con la política y los requisitos
reglamentarios de la organización.

3.6 programas de gestión de seguridad

Medios por los cuales se logra un objetivo de gestión de la seguridad.

3.7 objetivo de gestión de seguridad

Nivel específico de rendimiento requerido para lograr un objetivo de gestión de la
seguridad.

3.8 Stakeholder (partes interesadas) persona o entidad que tenga un interés

personal en el desempeño de la organización, el éxito o el impacto de sus actividades

NOTA Los ejemplos incluyen clientes, accionistas, financistas, aseguradores, reguladores,

organismos estatutarios, empleados, contratistas, proveedores, organizaciones laborales o la
sociedad.

3.9 cadena de suministro conjunto de recursos vinculados y procesos que comienza

con el suministro de materia prima y se extiende a través de la entrega de productos o
servicios al usuario final en todos los modos de transporte

NOTA La cadena de suministro puede incluir proveedores, instalaciones de fabricación,

proveedores de logística, centros de distribución internos, distribuidores, mayoristas y otras
entidades que conducen al usuario final.

3.9.1 downstream se refiere a las acciones, procesos y movimientos de la carga en la

cadena de suministro que ocurren después de que la carga abandona el control
operacional directo de la organización, incluidos, entre otros, los seguros, las finanzas,
la gestión de datos y el embalaje, almacenamiento y transferencia de la carga.

3.9.2 upstream se refiere a las acciones, procesos y movimientos de la carga en la

cadena de suministro que se producen antes de que la carga esté bajo el control

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 4 de 16
operativo directo de la organización, incluidos, entre otros, seguros, finanzas, gestión de
datos y el embalaje, almacenamiento y transferencia de carga

3.10 alta dirección

Persona o grupo de personas que dirige y controla una organización al más alto nivel.

NOTA La alta dirección, especialmente en una gran organización multinacional, puede no estar
involucrada personalmente como se describe en esta Norma Internacional; sin embargo, la
responsabilidad de la alta dirección a través de la cadena de mando será manifiesta.

3.11 mejora continua proceso recurrente de mejora del sistema de administración de

seguridad para lograr mejoras en el desempeño general de la seguridad de acuerdo con
la política de seguridad de la organización

4 Elementos del Sistema de Gestión de la Seguridad

4.1 Requisitos Generales

La organización debe establecer, documentar, implementar, mantener y mejorar

continuamente un Sistema de Gestión de Seguridad efectiva para identificar las
amenazas de seguridad evaluando los riesgos y controlando y mitigando sus
consecuencias.

La organización debe mejorar continuamente su efectividad de acuerdo con los

requisitos establecidos en la Cláusula 4.

La organización debe definir el alcance de su sistema de gestión de seguridad. Cuando

una organización decide subcontratar cualquier proceso que afecte la conformidad con
estos requisitos, la organización debe asegurarse de que dichos procesos estén
controlados. Los controles y responsabilidades necesarios de dichos procesos
subcontratados se identificarán dentro del sistema de gestión de seguridad.

4.2 Política para la Gestión de Seguridad

La alta dirección de la organización debe autorizar una política para la gestión de

seguridad general. La política debe:

a. Ser consistente con las otras políticas de la organización.

b. Proveer el marco de referencia para los objetivos, metas y programas de gestión
de seguridad.
c. Ser consistente con el marco general de gestión de riesgos y amenazas de
seguridad.

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 5 de 16
 d. Ser apropiada a las amenazas de la organización y la naturaleza y escala de sus
operaciones.
e. Establecer claramente los objetivos generales de gestión de la seguridad.
f. Incluir un compromiso a la mejora continua de los procesos de gestión de
seguridad.
g. Incluir un compromiso para cumplir con la legislación, los requisitos estatutarios
y regulatorios aplicables y con otros requisitos para los cuales la organización
suscribe.
h. Ser respaldada visiblemente por la alta dirección.
i. Estar documentada, implementada y mantenida.
j. Ser comunicada a todos los empleados relevantes y terceras partes incluyendo
contratistas y visitantes con la intención de que estas personas sean conscientes
de sus obligaciones individuales relacionadas a la gestión de seguridad.
k. Estar disponible a las partes interesadas.
l. Prever su revisión en caso de adquisición o fusión con otras organizaciones u otro
cambio para el alcance de negocio de la organización la cual pueda afectar la
continuidad o relevancia del sistema de gestión de seguridad.

4.3 Planeación y Evaluación de Riesgos de Seguridad.

4.3.1 Evaluación de Riesgos de Seguridad.

La organización debe establecer y mantener procedimientos para la identificación y

evaluación continua de amenazas de seguridad y riesgos, y amenazas relacionadas a la
gestión de seguridad y la identificación e implementación de medidas de control de
gestión necesarios. Los métodos de control y evaluación, identificación de riesgos y
amenazas de seguridad deberían, como mínimo, ser apropiados para la naturaleza de
las operaciones. Esta evaluación debe considerar la probabilidad de un evento y todas
sus consecuencias que incluirán:

a. Fallas físicas y riesgos, tales como falla funcional, daño incidental, daño malicioso
o acción terrorista o criminal.
b. Riesgos y amenazas operacionales, incluido el control de la seguridad, factores
humanos y otras actividades que afectan el desempeño, la condición o la
seguridad de la organización.
c. Eventos ambientales naturales, (tormenta, inundaciones, etc.), los cuales puedan
hacer que las medidas de seguridad y el equipo sean ineficaces.
d. Factores fuera de control de la organización, como fallas en equipos y servicios
suministrados externamente.
e. Amenazas y riesgos de las partes interesadas, como el incumplimiento de los
requisitos regulatorios o daños a la reputación de la marca.
f. Diseño e instalación de los equipos de seguridad incluyendo remplazos,
mantenimientos, etc.
g. Comunicación y gestión de la información y datos.
h. Una evaluación para la continuidad de operaciones

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 6 de 16
La organización debe asegurar que los resultados de estas evaluaciones y los efectos de
estos controles son considerados y donde sea apropiado, proporcionar la entrada en:

a. Objetivos y metas de Gestión de Seguridad

b. Programas de Gestión de Seguridad
c. La determinación de los requerimientos para el diseño, especificación e
instalación
d. Identificación de recursos adecuados incluyendo niveles de empleo
e. Identificación de necesidades de entrenamiento y habilidades (ver 4.4.2)
f. Desarrollo de controles operacionales (ver 4.4.6)
g. Marco de referencia de gestión de riesgos y amenazas de la organización

La organización debe documentar y mantener esta información actualizada

La Metodología de la organización para evaluar e identificar las amenazas y riesgos

debe:

a. Ser definida con respecto a su alcance, naturaleza y tiempo para asegurar que
sea proactiva en lugar de reactiva.
b. Incluir la colección de la información relacionada a las amenazas y riesgos de
seguridad
c. Proporcionar la clasificación de las amenazas y los riesgos, y la identificación de
aquellos que se deben evitar, eliminar o controlar
d. Proporcionar el monitoreo de las acciones para asegurar la efectividad y la
oportunidad de su implementación (ver 4.5.1)

4.3.2 Requisitos regulatorios, estatutarios, legales y otros.

La organización debe establecer, implementar y mantener un procedimiento

a. Para identificar y tener acceso a los requisitos legales aplicables y otros

requerimientos
b. Determinar cómo se aplican estos requisitos a sus amenazas y riesgos de
seguridad

La organización debe mantener esta información actualizada. Comunicará a sus

empleados y a otras terceras partes incluyendo los contratistas, la información
pertinente sobre requisitos legales y otros.

4.3.3 Objetivos de Gestión de Seguridad.

La organización debe establecer, implementar y mantener documentados los objetivos

de Gestión de Seguridad en los niveles y funciones relevantes de la organización. Los
objetivos deben ser derivados de y consistentes con la política. Cuando se establezcan y
revisen sus objetivos, una organización debe tomar en cuenta:

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 7 de 16
 a. Requisitos regulatorios, estatutarios y legales
b. Riesgos y amenazas relacionados a seguridad
c. Opciones tecnológicas y otros
d. Requisitos de negocio, financieros y operacionales
e. Puntos de vista de las partes interesadas

Los Objetivos de Gestión de Seguridad deben ser:

a. Consistentes con el compromiso de la organización para la mejora continua

b. Medibles (donde sea práctico)
c. Comunicados a todos los empleados relevantes y terceras partes, incluyendo
contratistas, con la intención de que estas personas sean conscientes de sus
obligaciones individuales
d. Revisados periódicamente para asegurar que ellos son consistentes con la política
de Gestión de Seguridad. Donde sea necesario los objetivos de Gestión de la
Seguridad deben ser modificados

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 8 de 16
4.3.4 Metas de Gestión de Seguridad.

La organización debe establecer, implementar y mantener documentadas las metas de

Gestión de Seguridad apropiadas a las necesidades de la organización. Las metas deben
ser consistentes con los objetivos de Gestión de Seguridad.

Estas metas deben ser:

a. A un nivel apropiado de detalle

b. Específicas, medibles, alcanzables
c. Comunicadas a todos los empleados relevantes y terceras partes, incluyendo
contratistas, con la intención de que estas personas sean conscientes de sus
obligaciones individuales
d. Revisadas periódicamente para asegurar que ellas son consistentes con los
objetivos de Gestión de Seguridad. Donde sea necesario las metas de Gestión de
la Seguridad deben ser modificados

4.3.5 Programas de Gestión de Seguridad.

La organización debe establecer, implementar y mantener programas de Gestión de

Seguridad para el logro de sus objetivos y metas.

Los programas deben ser optimizados y luego priorizados, y la organización debe

proporcionar la implementación eficiente y rentable de estos programas

Esto debe incluir la documentación que describe:

a. Las responsabilidades y autoridades designadas para lograr los objetivos y

metas de Gestión de Seguridad
b. Los medios y la escala de tiempo a través de los cuales se lograrán los objetivos
y metas de Gestión de Seguridad

Los programas de Gestión de seguridad deben ser revisados periódicamente para

asegurar que ellos permaneces efectivos y consistentes con los objetivos y las metas.
Donde sea necesario los programas deben ser modificados.

4.4 Implementación y Operación

4.4.1 Estructura, Autoridad y Responsabilidades para la Gestión de Seguridad.

La organización debe establecer y mantener una estructura organizacional de roles,

responsabilidades y autoridades, consistente con el logro de sus programas, metas,
objetivos y política de Gestión de Seguridad.

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 9 de 16
Estos roles, responsabilidades y autoridades deben ser definidas, documentadas y
comunicadas a los individuos responsables para la implementación y mantenimiento.

La alta dirección debe proveer evidencia de su compromiso para el desarrollo e

implementación del sistema de Gestión de Seguridad (Procesos) y mejorar
continuamente su efectividad por:

a. Nombrar a un miembro de la alta dirección que independientemente de otras

responsabilidades, debe ser responsable para el diseño, mantenimiento,
documentación y mejora del sistema de Gestión de Seguridad de la
organización.
b. Nombrar un miembro(s) de Gestión con la autoridad necesaria para asegurar
que los objetivos y metas son implementados
c. Identificar y monitorear los requisitos y expectativas de las partes interesadas
de la y organización y tomar medidas apropiadas y oportunas para manejar
estas expectativas
d. Asegurar la disponibilidad de recursos adecuados
e. Considerar los impactos adversos a los programas, metas, objetivos y política de
Gestión de Seguridad etc. que pueden tener en otros aspectos de la organización
f. Asegurar que cualquier programa de seguridad generado desde otra parte de la
organización complemente el sistema de gestión de seguridad
g. Comunicar a la organización la importancia de cumplir sus requisitos de Gestión
de Seguridad para cumplir con su política.
h. Asegurar que las amenazas y los riesgos relacionados con la seguridad son
evaluados e incluidos en las evaluaciones organizacionales, según corresponda
i. Asegurar la viabilidad de los programas, metas y objetivos de Gestión de
Seguridad

4.4.2 Competencia, Formación y conciencia

La organización debe asegurar que el personal responsable para el diseño, operación y

el equipo de gestión de seguridad y procesos son adecuadamente calificados en
términos de educación, entrenamiento y/o experiencia. La organización debe establecer
y mantener procedimientos para asegurar que las personas que trabajan para ella o en
su nombre son conscientes de:

a. La importancia del cumplimiento con los procedimientos, la política y los

requisitos del sistema de Gestión de Seguridad
b. Sus roles y responsabilidades para el logro del cumplimiento de la política,
procedimientos y requisitos del sistema de Gestión de Seguridad incluyendo los
requisitos para la preparación y respuesta a emergencias
c. Las consecuencias potenciales para la seguridad de la organización al apartarse
de los procedimientos operativos especificados

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 10 de 16
4.4.3 Comunicación

La organización debe tener procedimientos para asegurar que la información de Gestión

de Seguridad pertinente es comunicada a los empleados relevantes, contratistas y otras
partes interesadas.

Debido a la naturaleza sensible de cierta información relacionada con la seguridad, se

debe prestar la debida consideración a la sensibilidad de la información antes de la
distribución.

4.4.4 Documentación

La organización debe establecer y mantener un sistema de documentación de Gestión

de Seguridad que incluya:

a. La Política, objetivos y metas de seguridad

b. Descripción del alcance del sistema de Gestión de Seguridad
c. Descripción de los elementos principales del sistema de Gestión de Seguridad y
su interacción, y referencia de los documentos relacionados
d. Documentos, incluyendo registros, requeridos por este estándar internacional y
e. Documentos, incluyendo registros determinados por la organización como
necesarios para asegurar la efectividad de planeación, operación y control de los
procesos que se relacionan a sus riesgos y amenazas de seguridad significativos

La organización debe determinar la seguridad de la información sensible y debe tomar

los pasos para prevenir el acceso no autorizado.

4.4.5 Control de Datos y Documentos

La organización debe establecer y mantener procedimientos para controlar todos los

documentos, datos e información requerida por la cláusula 4 de esta norma
internacional para asegurar que:

a. Estos documentos, datos e información puede ser localizada y tener acceso sólo
por individuos autorizados
b. Estos documentos, datos e información son periódicamente revisados, como sea
necesario, y aprobados cuando sean adecuados por personal autorizado
c. Versiones actuales de documentos relevantes, datos e información están
disponibles en todas las locaciones donde las operaciones esenciales se están
realizando
d. Documentos obsoletos, datos e información se eliminan rápidamente de todos
los puntos de uso o se aseguran contra el uso involuntario.
e. Documentos archivados, datos e información retenidos por propósitos de
conocimiento o legal o ambos son identificados adecuadamente

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 11 de 16
 f. Estos documentos, datos e información están seguros, y si el formato es
electrónico son adecuadamente respaldados y pueden ser recuperados

4.4.6 Control Operacional

La organización debe identificar aquellas operaciones y actividades que son necesarias

para lograr:

a. Su política de seguridad
b. El control de actividades y mitigación de las amenazas identificadas y riesgos
significativos
c. Cumplimiento con los requisitos de seguridad estatutarios, regulatorios, legales
y otros
d. Sus objetivos de Gestión de Seguridad
e. La entrega de sus programas de Gestión de Seguridad
f. Los niveles requeridos de seguridad para la cadena de suministro
La organización debe asegurar estas operaciones y actividades son llevadas a cabo bajo
condiciones específicas por:

a. Estableciendo, implementando y manteniendo procedimientos documentados

para controlar situaciones donde su ausencia pueda conducir a fallas para el
logro de las operaciones y actividades listadas en 4.4.6 a) a f)
b. Evaluar cualquier amenaza planteada por las actividades de la cadena de
suministro upstream y aplicar controles para mitigar estos impactos a la
organización y otros operadores de la cadena de suministro downstream
c. Estableciendo y manteniendo los requisitos para bienes y servicios los cuales
impacten en seguridad y se les comunique a estos proveedores y contratistas.

Estos procedimientos deben incluir controles para el diseño, instalación, operación,

reacondicionamiento y modificaciones de seguridad relacionadas a equipos,
instrumentación, etc. como sea apropiado. Donde existan nuevos arreglos que puedan
impactar las actividades y operaciones de Gestión de Seguridad. Los arreglos nuevos o
revisados que se consideren incluirán:

a. Revisión de Estructura organizacional, roles y responsabilidades

b. Revisión de política, objetivos, metas o programas
c. Revisión de procedimientos y procesos
d. La introducción de nueva infraestructura, tecnología o equipo de seguridad, el
cual puede incluir hardware y/o software
e. La introducción de nuevos contratistas, proveedores o personal, como sea
apropiado

4.4.7 Preparación para Emergencias, respuesta y recuperación de seguridad

La organización debe establecer, implementar y mantener procedimientos y planes

apropiados para identificar situaciones potenciales, para responder a emergencia e
incidentes de seguridad y para prevenir y mitigar las consecuencias que pueden estar
Norma ISO 28000:2007 Traducción para capacitación.
Texto valido como guía. No es aceptable para auditorías.
Página 12 de 16
asociados con ellos. Los planes y procedimientos deben incluir información de la
provisión y mantenimiento de algún equipo, instalación o servicio que pueda ser
requerido durante o después de la situación de emergencia.

La organización debe periódicamente revisar la efectividad de sus procedimientos y

planes de Preparación para Emergencias, respuesta y recuperación de seguridad, en
particular después de la ocurrencia de una situación de emergencia causada por
brechas de seguridad. La organización debe periódicamente probar estos
procedimientos.

4.5 Verificación y Acciones Correctivas

4.5.1 Monitoreo y Medición del Desempeño de Seguridad

La organización debe establecer y mantener procedimientos para monitorear y medir el

desempeño de su sistema de Gestión de Seguridad. Este debe también establecer y
mantener procedimientos para monitorear y medir el desempeño de Seguridad.
La organización debe considerar los riesgos y amenazas de seguridad asociados
incluyendo los posibles mecanismos de deterioro potenciales y sus consecuencias, al
establecer la frecuencia para medir y monitorear los parámetros clave de desempeño.
Estos procedimientos deben proporcionar para:

a. Ambas mediciones cuantitativas y cualitativas, apropiadas a las necesidades de

la organización
b. Monitorear hasta qué punto la política, objetivos y metas de Gestión de
Seguridad se cumplen
c. Medidas proactivas de desempeño que monitorean el cumplimiento de los
programas de gestión de la seguridad, los criterios de control operacional y la
legislación aplicable, estatutaria y otros requisitos regulatorios de seguridad
d. Medidas reactivas de desempeño para monitorear los deterioros, fallas,
incidentes, no conformidades relacionadas con la seguridad y otra evidencia
histórica de un rendimiento deficiente del sistema de gestión de la seguridad
e. Registro de datos y resultados de medición y monitoreo suficientes para facilitar
el análisis de acciones correctivas y preventivas

4.5.2 Evaluación del sistema

La organización debe evaluar los planes, procedimientos y capacidades de

administración de seguridad a través de revisiones periódicas, pruebas, informes
posteriores a incidentes, lecciones aprendidas, evaluaciones de desempeño y ejercicios.
Los cambios significativos en estos factores deben reflejarse inmediatamente en el (los)
procedimiento (s).

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 13 de 16
La organización debe evaluar periódicamente el cumplimiento con la legislación y las
regulaciones relevantes, las mejores prácticas de la industria y el cumplimiento con su
propia política y objetivos.

La organización mantendrá registros de los resultados de las evaluaciones periódicas.

4.5.3 Fallos relacionados con la seguridad, incidentes, no conformidades y

acciones correctivas y preventivas

La organización debe establecer, implementar y mantener procedimientos para definir

la responsabilidad y la autoridad para:

a) evaluar e iniciar acciones preventivas para identificar posibles fallas de seguridad con
el fin de evitar que esto ocurra;
b) La investigación de seguridad relacionada con:
1) fallas incluyendo fallas cercanas y falsas alarmas;
2) incidentes y situaciones de emergencia;
3) no conformidades;
c) tomar medidas para mitigar cualquier consecuencia que surja de tales fallas,
incidentes o no conformidades;
d) El inicio y finalización de las acciones correctivas.
e) La confirmación de la efectividad de las acciones correctivas tomadas.

Estos procedimientos deben requerir que todas las acciones correctivas y preventivas
propuestas se revisen a través del proceso de evaluación de riesgos y amenazas de
seguridad antes de la implementación, a menos que la implementación inmediata
impida exposiciones inminentes a la vida o la seguridad pública.

Cualquier acción correctiva o preventiva que se tome para eliminar las causas de no
conformidades reales y potenciales deberá ser adecuada a la magnitud de los
problemas y ser acorde con las amenazas y riesgos relacionados con la administración
de la seguridad que puedan surgir. La organización debe implementar y registrar
cualquier cambio en los procedimientos documentados resultantes de acciones
correctivas y preventivas e incluir la capacitación requerida cuando sea necesario.

4.5.4 Control de registros

La organización debe establecer y mantener registros según sea necesario para

demostrar la conformidad con los requisitos de su sistema de administración de
seguridad y de esta norma, y los resultados alcanzados.

La organización debe establecer, implementar y mantener uno o más procedimientos

para la identificación, almacenamiento, protección, recuperación, retención y
eliminación de registros.

Los registros deben ser y seguir siendo legibles, identificables y rastreables.

Norma ISO 28000:2007 Traducción para capacitación.
Texto valido como guía. No es aceptable para auditorías.
Página 14 de 16
La documentación electrónica y digital debe hacerse a prueba de manipulaciones,
respaldada de forma segura y accesible solo para personal autorizado.

4.5.5 Auditoria

La organización debe establecer, implementar y mantener un programa de auditoría de

gestión de seguridad y garantizar que las auditorías del sistema de gestión de seguridad
se realicen a intervalos planificados, con el fin de:

a) determinar si el sistema de gestión de seguridad:

1) cumple con las disposiciones planificadas para la gestión de la seguridad,

incluidos los requisitos de la Cláusula 4 de esta especificación;
2) ha sido implementado y mantenido adecuadamente;
3) es eficaz para cumplir con la política y los objetivos de gestión de la
seguridad de la organización;

b) revisar los resultados de auditorías anteriores y las acciones tomadas para rectificar
las no conformidades;

c) proporcionar información sobre los resultados de las auditorías a la gerencia;

d) verificar que el equipo de seguridad y el personal estén desplegados adecuadamente.

El programa de auditoría, incluido cualquier programa, se basará en los resultados de

las evaluaciones de amenazas y riesgos de las actividades de la organización y en los
resultados de auditorías anteriores. Los procedimientos de auditoría deben cubrir el
alcance, la frecuencia, las metodologías y las competencias, así como las
responsabilidades y los requisitos para realizar auditorías e informar los resultados. En
la medida de lo posible, las auditorías serán realizadas por personal independiente de
los responsables directos de la actividad que se esté examinando.

NOTA La frase "personal independiente" no significa necesariamente personal externo a

la organización.

4.6 Revisión de la gestión y mejora continua.

La alta dirección debe revisar el sistema de administración de seguridad de la

organización, a intervalos planificados, para asegurar su idoneidad, adecuación y
efectividad continuas. Las revisiones incluirán evaluar las oportunidades de mejora y la
necesidad de cambios en el sistema de administración de seguridad, incluidos la política
de seguridad y los objetivos y amenazas y riesgos de seguridad. Se conservarán los

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 15 de 16
registros de los exámenes de gestión. Las aportaciones a las revisiones de gestión
incluirán

a) los resultados de las auditorías y evaluaciones de cumplimiento con los requisitos

legales y con otros requisitos que la organización suscriba,
b) comunicación (es) de partes interesadas externas, incluidas las quejas,
c) el desempeño de seguridad de la organización,
d) la medida en que se han cumplido los objetivos y metas,
e) Estado de las acciones correctivas y preventivas.
f) acciones de seguimiento de revisiones de gestión anteriores,
g) circunstancias cambiantes, incluidos los desarrollos legales y otros requisitos
relacionados con sus aspectos de seguridad, y h) recomendaciones de mejora.

Los resultados de las revisiones de gestión deberán incluir cualquier decisión y acción
relacionada con posibles cambios en la política de seguridad, objetivos, metas y otros
elementos del sistema de gestión de seguridad, en consonancia con el compromiso de
mejora continua.

Norma ISO 28000:2007 Traducción para capacitación.

Texto valido como guía. No es aceptable para auditorías.
Página 16 de 16