Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 28000:2007
Índice.
Introducción...................................................................................................................3
1 Objeto y campo de aplicación.......................................................................................4
2 Normas para consulta..................................................................................................4
3 Términos y definiciones...............................................................................................5
4 Elementos del Sistema de Gestión de la Seguridad......................................................7
Norma ISO 28000:2007 Traducción para capacitación.
Texto valido como guía. No es aceptable para auditorías.
Página 1 de 16
Introducción
Esta norma esta internacional está intencionada para aplicar en casos donde las
cadenas de suministro de una organización tengan que ser manejadas de forma segura.
Un acercamiento formal a gestión de la seguridad puede contribuir directamente con la
capacitada del negocio y credibilidad de la organización.
Plan: establecer los objetivos y procesos necesarios para obtener resultados de acuerdo
con la política de seguridad de la organización.
Hay códigos legislativos y reglamentarios que tratan algunos de los requisitos de esta
norma internacional.
Las organizaciones que escojan la certificación por tercera parte pueden demostrar
mejor que contribuyen significativamente a la segulidad de la cadena de suministro.
3 Términos y definiciones
Para los fines de este documento se aplican los términos y definiciones siguientes.
3.1 Instalaciones
Planta, maquinaria, propiedad, edificios, vehículos, buques, instalaciones portuarias y
otros elementos de infraestructura o planta y sistemas relacionados que tengan una
función o servicio comercial distinto y cuantificable
NOTA Esta definición incluye cualquier código de software que sea crítico para la entrega de
seguridad y la aplicación de la administración de seguridad.
NOTA Es esencial que dichos resultados estén vinculados directa o indirectamente a la provisión de
productos, suministros o servicios entregados por el negocio total a sus clientes o usuarios finales.
NOTA La alta dirección, especialmente en una gran organización multinacional, puede no estar
involucrada personalmente como se describe en esta Norma Internacional; sin embargo, la
responsabilidad de la alta dirección a través de la cadena de mando será manifiesta.
a. Fallas físicas y riesgos, tales como falla funcional, daño incidental, daño malicioso
o acción terrorista o criminal.
b. Riesgos y amenazas operacionales, incluido el control de la seguridad, factores
humanos y otras actividades que afectan el desempeño, la condición o la
seguridad de la organización.
c. Eventos ambientales naturales, (tormenta, inundaciones, etc.), los cuales puedan
hacer que las medidas de seguridad y el equipo sean ineficaces.
d. Factores fuera de control de la organización, como fallas en equipos y servicios
suministrados externamente.
e. Amenazas y riesgos de las partes interesadas, como el incumplimiento de los
requisitos regulatorios o daños a la reputación de la marca.
f. Diseño e instalación de los equipos de seguridad incluyendo remplazos,
mantenimientos, etc.
g. Comunicación y gestión de la información y datos.
h. Una evaluación para la continuidad de operaciones
a. Ser definida con respecto a su alcance, naturaleza y tiempo para asegurar que
sea proactiva en lugar de reactiva.
b. Incluir la colección de la información relacionada a las amenazas y riesgos de
seguridad
c. Proporcionar la clasificación de las amenazas y los riesgos, y la identificación de
aquellos que se deben evitar, eliminar o controlar
d. Proporcionar el monitoreo de las acciones para asegurar la efectividad y la
oportunidad de su implementación (ver 4.5.1)
4.4.4 Documentación
a. Estos documentos, datos e información puede ser localizada y tener acceso sólo
por individuos autorizados
b. Estos documentos, datos e información son periódicamente revisados, como sea
necesario, y aprobados cuando sean adecuados por personal autorizado
c. Versiones actuales de documentos relevantes, datos e información están
disponibles en todas las locaciones donde las operaciones esenciales se están
realizando
d. Documentos obsoletos, datos e información se eliminan rápidamente de todos
los puntos de uso o se aseguran contra el uso involuntario.
e. Documentos archivados, datos e información retenidos por propósitos de
conocimiento o legal o ambos son identificados adecuadamente
a. Su política de seguridad
b. El control de actividades y mitigación de las amenazas identificadas y riesgos
significativos
c. Cumplimiento con los requisitos de seguridad estatutarios, regulatorios, legales
y otros
d. Sus objetivos de Gestión de Seguridad
e. La entrega de sus programas de Gestión de Seguridad
f. Los niveles requeridos de seguridad para la cadena de suministro
La organización debe asegurar estas operaciones y actividades son llevadas a cabo bajo
condiciones específicas por:
a) evaluar e iniciar acciones preventivas para identificar posibles fallas de seguridad con
el fin de evitar que esto ocurra;
b) La investigación de seguridad relacionada con:
1) fallas incluyendo fallas cercanas y falsas alarmas;
2) incidentes y situaciones de emergencia;
3) no conformidades;
c) tomar medidas para mitigar cualquier consecuencia que surja de tales fallas,
incidentes o no conformidades;
d) El inicio y finalización de las acciones correctivas.
e) La confirmación de la efectividad de las acciones correctivas tomadas.
Estos procedimientos deben requerir que todas las acciones correctivas y preventivas
propuestas se revisen a través del proceso de evaluación de riesgos y amenazas de
seguridad antes de la implementación, a menos que la implementación inmediata
impida exposiciones inminentes a la vida o la seguridad pública.
Cualquier acción correctiva o preventiva que se tome para eliminar las causas de no
conformidades reales y potenciales deberá ser adecuada a la magnitud de los
problemas y ser acorde con las amenazas y riesgos relacionados con la administración
de la seguridad que puedan surgir. La organización debe implementar y registrar
cualquier cambio en los procedimientos documentados resultantes de acciones
correctivas y preventivas e incluir la capacitación requerida cuando sea necesario.
4.5.5 Auditoria
b) revisar los resultados de auditorías anteriores y las acciones tomadas para rectificar
las no conformidades;
Los resultados de las revisiones de gestión deberán incluir cualquier decisión y acción
relacionada con posibles cambios en la política de seguridad, objetivos, metas y otros
elementos del sistema de gestión de seguridad, en consonancia con el compromiso de
mejora continua.