Norma ISO 28000
of 20
-
Upload
josue-vargas-figueroa -
Category
Documents
-
view
1.145 -
download
42
Transcript of Norma ISO 28000
-
5/16/2018 Norma ISO 28000
1/20
NOR .MA TECNICA COLOMBIA NA NTCISO 28000
SISTEMAS DE GESTION DE LA SEGURIDADPARA LA CADENA D:E SUMINISTRO
o .Esta norma hagesti6n de lasuministro.est ab le ce r una laimolernentadoreglamentaci6nmediante estesatisfaoerlas.organ izacionesproveedores delas normas 9 .de surnirristro a
en respussta a 1 8 exigenciaesenclal es mejorsr tati6n de alto niveluridad de ta cedens
"'el:i" Ii e ~i ' I l 5II ~ III :; .~! \: ' # 1 ~~~.s! . .. . i i B '6~:II ;;;~l!!~ t\,r ~ Q, =t~':' \\!P~ o-'O~!!:.:: In ~ ..- i m ~. .""'1 :!f~ ~.I I B '" Ii \.!1!1! . .0~ D . : i "~~'WI;;: : r i l l
dustria de una norma dead de las eadenas deta a una organizacion
en general. Exigey deterrnlnar si se hanotros requisites decades de seguridad
ismos y procesos parapor naturateza, algunasen buscar que susca de na d e 5 um in is tro 0idos en cliche cadenaen la Figura 1.
Bgur,a. 1, IRe'laclo.ll en,tre la ISO 2S000 Y etras l i\or:miJS pertinentes1 de 20
-
5/16/2018 Norma ISO 28000
2/20
NORMA TECNtCA COLOMBlANA NTC-ISO 28000Sa prey' la apllcaclon de la presente norma en cases donde las cadenas de sumlnlstrc de unaorganizacion deben rnanejarse de manera sequra, Un enfoque formal hacia la gesti6n de laseguridad puede contribu ir d irectam ente a , la capecldedempresarial y a la cred ib ilidad de laorganiZaci6n.La conformidad con esta norma no conflere par si misma exenci6n de las obligaciones legales.Para organizaciones que asl 10deseen, pueden veriftcar la conformidad del sistema de gestlonde la seguridad conesta norma mediante un proceso de audltorla externa 0 intema.La p re sen te norma se bass en el fo rm ato ISO adoptaco por la ISO 14001 :2004 deb ido a suentoque de sistemas de gesMn basado en el riesqo. Sin embargo, las organizaciones que hanadaptado u n e nfo qu e de proce scs ha cia los siste ma s degestion (par e jem plo IS O 9001 :2000)pueden usar su sistema de 'gestion exlsiente como fundamento para un sistema de gestio" deIraseguridad, sagun S8 prescribe en esta norma. Con esta norma no se pretends oupllcar losrequlsltos y norrnas ' namentales concernientes ala laseguridad de la cadenade suministro con cuales Is orqantzacton yase ha 00 se ha verlftcado su
realizarla una organizaci6n e par primera, segunda
metas, requisilos legales 'I
de gestion de la seguridad_
1. OBJE sta no rm aa qu ello s a sLa gestion deernpresarlelquque lrnpactaco nsld era r def transports de e
los re qu is ito s pa rapara el asegurarnlaests relacionadato da s la s a ctlv td ac esuridad de 1 8 1 cadena de sum i I
cuando y donde tengan lrnpactones a 1 0 largo de 113adena de
la sequndad, lncluldosa cadena de surninlstro.ectos de la gesti6nspar crqaruzaclones
aspectos se deberfande 1 2 1 seguridad, incluido
La presente nonma es apticable aorqanlzaclones de todes los tarnefics, desde las pequeftashss ta la s mutllnaclcnales, de manufactura,servicios, alrnacenarntento a transporte en cualquteretapa de lal produecion 0 la caoena de sumlnlstro que desee:a) establecer, implementar, mantener y mejorer un sistema de gestionde ta segur idad;b) asegurar la conformidad con la polltiea de gesti6n de Ia seguridad establecida;0) dernostrar dicha canformidad ante otros;d) buscar certificaci6n/registro de su sistema de gestiol1 de ta sequridad por un organismode certificacion de tercena parte, acreditado; 0
-
5/16/2018 Norma ISO 28000
3/20
N'ORMATECNICA catoMBIANA NTCISO 28000e} realizar una auto-determinacion y auto-declaraclon de la contorrnldad con esta norma.Existan c6digos legis'latrvQs y de re.glamentadon que abordan algunos de tos reouisitos de estanorma.Esta norm a no pretende exig ir una doble demoslraci6n d e la c on fo rm id ad .Las mganiz8c iones que optan per la certlficaclcn par una tercera parte pueden dernostraradernas que estan contrlbuyendo significativamenle a la segur'idad de la cadena de suministro,
2. REFERENCIAS NORMATIVASNo sa cit an norrnas de referencia. Sa incluye este numeralnumerates similar a norrnas de s is temas de gestion. conserver el esquema de
3.siguientes:
3.1instalaciones lculos. embarcacicnes,. y sistemas relaclonadcs
obtenci6n de seguridad y la
destinados a causar
nadas par media deemenazas e impaclcs
n de Ia seguridad. n"".3ULCde gesti6n de la segu de seguridad requerido
NOTA Essuministros Q Idichos resultados se rstsctonen directapar Ie \olalidad de la emprasa a sus con la enlrega de produetos,i r o I J i l W ' a l r f O S finales.3.5 Politica de gestion de la seguridact Intenciones y direceiones generales de unaorganlzacion, relacionadas con ta seguridad y la estructura para el control de los procesos yecnvidades que nenen que. ver can ta seguridad , que se derivan de la pollnca y 1.05 requisites der eg lamen ta ci6 n d ie la organizaci6n y so n cc he re nte s c on ello s.3.6 ProQramas de gestion de la seguridad. Medics par los cuales se fogra un objetivo deges ti6n de Is segur idad .
~ .....~._ de \a t gestion de hit ~se'guridad. Nivel d e de sem peno especifiec requerido paraun Qbje\ivo de gesti6n de la seguridad.involucraCla. Persona 0 entidad co n un in teres estab lec ld o en el desempeiio de ts
s u e xito 0 el irnpacto de sus actividades.3
-
5/16/2018 Norma ISO 28000
4/20
NTC-ISO 28000NOTA Son ejemplos: los Glierrt.es, aeelomstas, entfdades financieras, Bseguradoras. reglamenladores.organismos estaiutarios, ernpleadue, cemrattstas, proveaderes, aqremlaelenes laborales. 0 101ociedad.3.9 Cadena de sumlntstro, Coruunto relaclcnado de recursos y procescs que comlenzs con elsuministro de rnatenas pnmas y se extrende hasts laentrega de productos 0 servlcios alususno f inal, incluidos los medias de transperte.NOTA La cedens de suministro puede incluir vendedcres, instelaeiones de manufacture, prcvaederas deJ~,rstica. centroa de dislribuci6n inlema, distribuldores, mayorislas y otras e-nlldades que eonducen at usuario final.3.9.1 A,'Quas abajo,. Sa renerea las acetones, procesos y movimlentos de la carqa en la cadenade surnlnlstro, que ocurren despues de 'que la carga sate del control operaclonat directo de laorganizaci6n, Ineluldas la gesti6n de tos seguros. las finanzas y los datos, y el empaque,alrnacenamlento y transterencla de Ia carga, entre oCros,3.9.2 Aguasarfl'iba.cecena de rlefiere a las acclonee, procescs " rnovnruentes de 10 '1arga en laoourren antes de que la carg.a baja ,el' controlin clu ld a la gestion de datos, I' 'I lo s s egur os y elde hitcarga, entre
una organizacion enelNOTA ciOn multtnaelonat, no e.slera responsabirldad de la alIa
3.11 Mej,olra ' Ifin de lograrpolltlca de seg .
!IA~lirI.. ,tjtl"... de ta seguridadanu~n~~r~ eeherente con la
4 .
-Ev.I...._dolrioo
-
5/16/2018 Norma ISO 28000
5/20
NORMA n~CN!ICA COI..OMBIANA NTC -ISO 28 00 D4..1 ,REQUISITOSGENERALESLa organizacion debe estsolecer, docurnentar, lrnplerneruar, mantener y mejorar contlnuarnenteun sistema de gestion de la seguridad ef1ca~ para identificar las arnenazas a la segurida,d,evaluar los riesgos y contrelar y mitigar SUS eonsecuenclas.
La organizaci6n debe mejor,ar conunuarnente su eficaeia de aeuerno can los requlsltos,estabh3cidosen todo el numeral 4.La o rgan lz s,c io n debe definir el aleance de au sistema de gesti6n de la seguridad. Cuando laorgalilizaci6n opts per contralar externamsrne cualquier procesc queafecte la confcrrntdad conestes requisites, Is orgaf1i~a,ci6n debe ,asegurar que se controlen c lic ho s p ro ce so s, S e d eb enidentificar centro de l s is tem a de gestion de la segul"id ad l los con-tro les y resp0!'1sabilidadesneceserios para, dichos precesos contratados externarnente.4 . 2
gestion de la seguridad
a)b) I , metas y programas
c) riesqos de la seguridad
d) leza y escala de sus
e ).de la seguridad;Ie, los recuieitos de
il comunlcsrse B . todos los em pleados y te rc era s p arte s pertinentas, in elu id os lo scontr,sltistas y vis ita nte s, co n la ln te ncio n d e q ue es tas personas sean conscentes desus obligaciones individual'es relaclonadas con la gestion de fa seguridad;
1 : < ) estar disponible para las partes lnteresadas. cuando resune apropiado:I) pccerse revlsaren caso de adquislclen .0 fusion con otras orqanlzaclones, U otro cambtoenel alcance del negocio de la orga,nizaci6n que pueda afeetar 121contlnuidad 0pertmencia del sistema de gestion de la seguridad.
5
-
5/16/2018 Norma ISO 28000
6/20
NORMA TECNICA COLOMBIANA NTC-ISO 28000NOTA Las organizaClones pueden optar por un a politics de gesli6n de la seguridad delallada para usa lntsrnoque ofrezca sufiCienle informaci6n y direccion para erientsr el sIstema de gesMn de 101seguridad (algunas partes de~ste pueclen ser confidenclales) y una version rasurmda (no confidenClal) que contenga los abjativos generales paradivulgaclOn entre sus partes lnvolucradas y otras partes mteresadas.4.3 EVALUACI6ND5L RIESGODE SE'GURIOADY PLANIFICACI6N4.3.1 Eval1uac!lon dellf;esgo de seguridad'La organizaci6n debe establecer y mantener procedimientos para la identfficaciOn y evaluaciOncontinua de las arnenazas a ls seguridad y de las arnenazas y rlesgos relacionados can lagestion de la seguridad y la identificacion e Implernen ta c ion de m edidas necesarlas cle controlde g es tio n. L a id en tific ac io n, e va lu ac io n y los metodos de control d e a rn en az as y riesgos de 1 2 1seguridad deberiarl, como mlnlrno, ser aproplados a la naturaleza y escala de las operaciones.Esta evaluacicn debeiderar Ia probabilidad de un even to todas sus consecuenclas, quedeben incluir:a) falla fisies, tales como (sUa
criminal;I, dana incidental, dano
b) seguridadJ las factoresicion a ta seguridad de
c) etc.) que pueden hacsr
d) o faUas en el equipo y
e) en cumplir los requisites
f)
g)h}La organizaci6n que se consideren los de estes evaluaclones y losefectos de estes controtes y , cuando results apropiado, debe proporclonar elementos dee ntra da a :a) 105 ,objelivos y metas de gestion de la seguridad:b) los programas de gestion de la seguridad;c) la determinacion de requisitos para el diseno, especificaci6n e lnstalaclon:d) ls identiflcaclon de recursos adecuados, incluides los nlveles de contrataclon depersonal;e) la ldentiflcacicn de necesldades de forrnacion y habllldades (vease el numeral 4.4.2);
6
-
5/16/2018 Norma ISO 28000
7/20
NORMA TECNICA COLOMBIANA NTC-fSO 28000f) el desarrollo de controles operacionales (vease el numeral 4.4.6);g) la estructurageneral de gestion de arnenazas y riesgos de la organizaci6n.La orpamzaclon debe documentar y mantener actualizada la anterior informacion.La metoc:lologia de la organizacion para la identificad6n 'I evaluaclen de riesgos debe:a) estar defrnida con respecto a su alcance, naturaleza y programaci6n en el tlempo, para
asegurar que sea proectlva en vez de reactive:b) incluir la informaciOn reeolectada acerca de las amenazas y riesgos de la seguridad;c) proporcionar la clasificaci6n de arnenazas y riesqcs y la identificacion de aquellos que
deben 0 controlarse:d) ienlo de las acetones
numeral 4.5.1).su eficacia y oportuna
4.3.2
a ) . y otros requisites quep ara la s sg urid ad , yb)
La organizac!6npertinente soincluidos los co/4.3 ..3
unicar 1 8 informacionpartes perti.nenles,
le cer , imp l. emen ta r y,.nf"',,,r."''' y nlveles pertlnen
ltlca y ser ooherentes cantener en cuenta:
gestion de la seguridadanizacion. Los objetivosy reviser sus objet, ivQs,
a)b) amenazas y riesqos re la clo na do s co n la sagurfdad;c) opciones tecnoloqicas y otras:d) requisitos financieros, operaclonales y empresariales;e) puntos de vista dales partes interesadas apropiadas,
7
-
5/16/2018 Norma ISO 28000
8/20
Los objet ivos de gest ion de 103seguridad deben:a) ser coherentes con el cornprornlsc de la organizacioncon la majora continua;b) cusntirlcarae (cuando sea pcsib le):c) comunlearse a todos los emoleados y tereerss partes pertlnentes, incluidos loscontratlstas, con la lntsnclon de que tales personas sean conscientes de susobHg8ciones individuales;d) revlsarse periodicarnente para garamtizar que slqan slsndo pernnentes y coherentes con
la politics de gestion de la segwidad. Cuando sea necesarlo, se deben corregir deacuerco can los objetivos de gestion de la seguridad.
4.3.4 Objetilvos n de Iia .seguridadLa org03 lIZ2ICIC)nIs s 'e gur idadd eb en d eriv a
lrnplementar y rnantener , .-QIJI~C1fjl:;; pars las necesid
gestion de 1 1 3 1 seguridad ysistema de gestion de
organizaci6n. Las metascon elias.
al)el tiernpe (cuando sea
c) nantes, lneluldes losn consclentes de sus
d) ' 'n'' ' ' ' ' 'T'' ' ' ' ' yeoherentes canlos obJetivos ss deben
4 . 3 . 5La organizaeiosegur,idad para: : establecer, implementarusobjetivos y rnetas, de gestion de la
Los pr,og:ramas optlmlzarse y luego prlerlzarse y la cion debe prever el usa delos costas de rnanera eflcisnte y eficaz en la irnplernentaclon de estes programas.5e debe incluir eocum entae lcn que descrlba:a) la responsabilidad y autorldad designada para lograr obletlvos y rnetas de gesti6n de 1 2 1
seguridadl;b) los medics y la escals en ell tiempo PQr medic de los cuales se logren los objetivos Ymetes de g.esti6n de la segurldad.Los programas de gestion de la seguridad deben revisarse peri6dicamente para asegurar quesa rnantlenen efectivos y coherentes con los obJet'ivos y rnetas. cuendo sea necesario, 105prog lramas se debenslustsr consecuentemente,
8
-
5/16/2018 Norma ISO 28000
9/20
N 'O ,RMA TECNICA COLOMB IANA N TC -IS O 28 00 04.4 IMP'LEMENTACI6N Y OPERACION4.4.1 Estruetura., autoridad y responsabilidades para Is Igestion de la seguridadLa organlzacien debe establecer y mantener una estructura organizacional de funciones,responsabllldades y autoridad, de rnanera coherente con 81 lagro de su polltica, objetivos,mstas y pragramas de gestion de la segl!uridad.Estas funciones, responsabilidades y autoridades se deben definir, documentar y comunicar aJos individues responsables de l a l rnn le rnen tacion y mantenimiento.La alta direcci6n debe presenter evldsncla de Sll compromise con el desarrollo elmplernentacion del sistema, de gesti6n de Ja seguridad (procesos) y rnejorar continuarnente sueficacia mediante las siguientes acclones:a) nombrar unresponsab
mejorai"dIIiOomlhrn de la alta dlreccion quien,
be ser responsabte del diseno,de gestiOn de la segurida
entemente de sus otrasmiento, documentseion y
b) ) de Is direcci6n,los objetivos y metas:
n ec es aria p ara
c) requlsltos y exoecna ce to ne s a pro pia las partes interesadas~n.n"'r1'. nas para rnanejar
d)e) metes, los ,programas,de la organizaci6n;f) otras partes de Isg) isitos degestion de la
h) arnenazas y riesqos ridad sean evaluades yevaluaciones de srnenazas y ~sm)~jOiEIi2a,cic.n les, segun resulte
i) s de gesthln de la ssquridad.arantizar la4.4.2 Competencia; entrenamiento y toma de concienciaLa organizac16n debe garantizar que el personal responsable del dis,efio. cperaclon y gesti6nde equipos y proeesos de se gu rld ad e ste calificadcadeeuadarnents en 1 0 relative a educaclon,entrenamiento 0 experlencia 0 ambas. La organizaci6n debe stablecer y rnantenerprocedimienlos para que las personas que trabajan para ella 0en su nombre sean conscientesde:a) la importancia del curnpllrnlento de la politics y procedimiernos de gestiOn de la
seguridad y los requisitoe del sistema de gesti6n de la seguridad;
9
-
5/16/2018 Norma ISO 28000
10/20
NORMA TECNICA COLOMBIANA NTC-Ilsa 28000b) sus Iuncicnes y responsabilidades en el lagro de ta conformidad con la oounca y
procedimientos de gestion de Is seguridad y con los requisites del sistema de gestion del a segu ridad , incluidos lo s re qu is ite s d e p re pa ra cie n y re sp ue sta a nte emer ge nc ia s;
c) las consecuenclas potenciales que tiene para Is seguridad de 1 8 organizacion desviarsede los procedirruentos de cperacion especificados.
Se deben lIevar registros de competencia y entrenamiento.4.4.3 Comunieaci6nLa orqanlzaclon debe contar con prccedlrmentos para asegurar quela informacion pertinenlede gesti6n de 1a segurtdad secornunlea bacia y desde los empleados relevantes, contretlstas ye tr as par te s in te re sa da s.
cial de alguna informacionI te 1 8 1 sensiibilidad de la In"~r..":: con la seguridad, setes de su divulgaoion.
4 . 4 . 4
La cion de gestion de la
a)b)0 )
d)e)
La ~lIeterminar la oonfidenciaHdadso no autortzado a ella. Id e seguridad y tornar lasI
La organizacion debe establecer y mantener procedimientos para controlar todos losdocumentos, datose informa.cion exigidos en el numeral 4 de la presents norma a fin degarantizar que:a) s610individuos autorizadcs puedan tocanzar y tener acceso a estes documentos, datose informacion; .b) personal autorizaco revise peri6dicamente estes documentcs. datos e informaci6n, losa .ctual iee seg lln sea necesario y apruebe su convenlencla;c) se encuentren disponibles versiones aetua les de los documentos, datos e informacionpsrtinentes en todos los lugares donde se realicen operaciones esenclales para elfuncionarniento efectivo del sistema de gesti6n de la seguridad;
10
-
5/16/2018 Norma ISO 28000
11/20
NORMA TI!:CNICA COLOMBIANA NTC 'ISO ' 2 8'0 00d) los docurnentos, datos e informaci6n obsoletes sean ratirados con prontitud de todos los
puntas de emisi6n y de usa, 0 se asequre de otro modo que no se ha.ga usa lndeseadode elias:
e) se identifiquen adecuadamente los documentos dearchivo, datos e informacion que seconservan con preposltos legales 0de preservaclcn del conccirnlento, 0ambos;
f) dichos doeumentos, datose lnfcrrnaclon sean seguras y sj se encuentran en formateelectronico, deben tener eopla de seguridad adecuada y se pu ed an re cu pe ra r.
4.4.'6 Control operacionalLa organizacion debe identificar aquenas operaciones yactiv idaces que sean necesanes paralogr,ar:
b)
a)
b) elc) la
d) ,e) la1 )La
a)
lto s d e re glam en ta cl6 n
se realicen baja lias
mientos cccumentadosa faUaen el lcqrc dea)a f):
cualcuier amenaza queinlstso, y apllcaclon de .!scperadores a.guas sba]o de la
agua.s arriba ce Iaestes impactes en lanistro:
c) et establecim y mantenimiento de los requisltos bienes y servlclos que tienenim pa cto e n ,Ia s eg urid adt y co rnun lcsclon d e e stes a provee dore s y eontratlstas,
Estes procedimiel1tos deben incl'uir contro les para el diseno, lnstalaclon. cperacion, rsnevaclony rncdlflcecion de elementos de equjpos, instrumentacienetc., rslacionados con 18segurldad.,ssqun rssulte apropiadu. Cuando sa actuahcen laa disposiciones exlslentes 0 S8 lntroduzcannuevas que puedan causar impact.o en las operaciones y aetlvidades de gestion de lasegurldad, la organizaci6n debe conslderar las amenazas y riesqos de 1 2 1 s.guridad asociadasantes de su implementa.cion. Las disposlclenes nuevas 0 actuallzadas Que se vayan aconslderar deben incluir:a), laesrruetcra. funclones Q r es ponsab ilid a de s: o rg aniz ac io nal'e s a ctu aflz ada s:
11
-
5/16/2018 Norma ISO 28000
12/20
NORMA TECNICA COLOMBIANA INTCISO 28000b), 18p olftic a, o bje tiv os , m e te s 0 p ro gr.am as d e gesti6n d e la s eg urid ad actualtzadcs:c) los procesos y p ro ce dlm ie nto s a ot ua nzad os ;d) la introducci6n de nueva lnfraestruotura, equipos 0 tecnologia de seguridad que pueden
incluir hardware 0 software, 0 ambos;e), la in tro du cc io n d e n ue va s c on tr atls ta s, p ro ve ed or es 0 personal. seguin sea aproplado.4.4.7 Pre'paracI6:ny respuestaante emerge,ncias y reeuperaelen de la seguridadLa orgBnizaci6n debe establecer, implementer y mantener planes y procedirnlentoa apropiadospar a id entific a r ,ei potencia l y la s respusstas ante incidentes de seguridad y situaciones deemergencia, y para evltar y mitigar las consecuencias probables que se puedan ascciar canellcs. Los planes y mlentos deben incluir i cerca die la disposicion ymantenimiento o equipo, instalaciones 0 entificados que puedan
'los lneldentes 0sltuaelones de
preparaclon ydespues de quearnenazas a laprocedlrntentcs,
y proced im ientos deeguridacl, enespe.cialpor lnfracelones y
periodicament,e estes
4 . 54.5.1La organrzaoi6n idssampafio deprecedirnlentosIrecuene ia de .d eb e c on sld era reeteriero n" F O t .. " ",
sepuimiento y rnedlr elestabtecer y mantener
dadl. A l e sta ble eer la, . c la ve . la o rg an iz ac io nlos m eeenlsrnos de
las necesidades de 1 8 1
b) grado-ensl. que se curnplen la P.(Jlilt~1lla organizaciOn;y metas de 18gest ion
c) medldas proactivas de desernpefio para hacer el seguimiento a Is conformidad con losprogramas de 9'esti6n de, Is sequridad , los crite rioa de control operaelenales y 1 8legislacion aptloable, 10$ requlsitos estatutarlos y otros requlsltos de reglamentBcionsabre seguridad;
d) msotdas reaetivas de desernpeno para haeer el segulrnlento de d ete rioro, "fa Uss,lncldentes, no ccnfermldades [lncluldas las fallas que estuvieron a punta de ocurrir y lasfalsas alarmas] relacionadas con la seguri,dad y otra evldenela hlsterica de desernpef icdefic ien te del s is tem a ,de gestion de lis seguridad:
e) registro de datos y resullados de s.eguimiento y mediclon suflclentes para facllltar ela nalls is d e la s a ccio ne s pre ven tives y eorreeuvas posterlores. 5 i se requ le re equ ipo deseguimiento para e l d ss em pe flo , y Is m edfc lo n 0 seg,uimiento, 0 todos ellcs, la
12
-
5/16/2018 Norma ISO 28000
13/20
NORMA TECNICA COlOMBIANAorqanlzacrcn debe exigir que se establszcan y mantengan procedirnlentos para lacalibracicn y rnanten.rntento de dicho equipo. Se deben conserver registros de lasaenvldades de callbraclon y mantenimiento durante tiempo suficiente, para cumpflr conla legislacion y la politica de la organizaclon.
4.5.2 Evaluaci6n del sistemaLa organizacion debe eva lusr los planes, procedlrntentos y capacldades de gestion de laseguridad per medio de revisionea perlodlcas, ensayos. informes posteriores a los incidentes.lecciones a pre nd lda s, e va lu ae ton es de desernpeno y ejerclclos, Lo s c am blo s significativos enestes facto res deben reflejarse de inmediato en el i (105) proceuimientots).La organi,zacion debe evaluar perlodicarnente la conformidad con la legislacion y lasreglamentaciones pertlnentes, la s mejores practlcas industriales y la conformidad con su propiapolitical y objetivos,La organizaci6n de los resultados de las
le nto s pa ra . de fln lr la
a )
b)1}2)3)
c)
d)e )
en la
fallas. tneldentes 0
las acclones correctivas;cia de las acetones correctivas empren
Estos, proceoirnlentos deben exigir Que se revlsen todas las aeeiones correctives y prevenfivaspropuestas per media de l proceso de evaluaci6n de amenazas y riesgos de seguridsd antes dela implementecton, a menos que la lrn ple rn en ta clo n inme dia ta im pid a e xpo sic io ne s in rn in en te spara 1 8 vida 0seguridad publica.Cualquier accion correctlva a preventlva emprendida para eliminar las causes de noconforrnidades rea.les y potenclales debe ser aproplada para la magnitud de los problemas yproporcional a las amenazas y riesgos de la seguridad que probablernente se encuentren, Laorganizc;lc ion debe im plem entar y registrar cualquisr cambio en los procedimientosdocumentados que resultende la aecion correctlva y preventiva y debe incluir el entrenarnientorequerida cuando fuera necesaric.
13
-
5/16/2018 Norma ISO 28000
14/20
NORMA T ECNIC A COL:OMB IAN A NTC -.SO 2 8'0 004.5..4 Contro'l de registr,osLa organizaci6n debe astablecer y mantener registros, segun sea necesarlo, para dernostrarconformidad con los, reQulsitos de S'll sistema de gestion de la seguridad y de esta norma, y delo s r esulta dos lo g ra do s.La organizacion debe establecer. unplernentar y rnantencr un procedimienlo (0 verios) para laidentificacion. alrnacenarnlento, protecclon, recuperaci6n, retenci6n y disposici6n de registros.Los reqlstros deben ser legible::; y permanecer asl, y deben ser identificables y trazables.La dccurnentaclen electronics y digital deberia eslar protegida ccnfraalteracicn, tener cepla deseguridad y ser accesible solo a personal autor izaao.4.5.5 Auditoria
s)
La organizacionde la seguridadreatlcen a in;
implementar y mantener un p, que las aucjtortas del ."",It",..,,,,de;
d e au dltorla d e g estio n de la seguridad se
de la sequridad:1) seguridad; inc!luid:oslos
2)3) de Ia seguridad de 181
b) prendidas para rectificar
c)d)
audltortas:
EI programs de , incluido oualquiercrono asaec en los resultadosde las eva arnenazas y ,1E'lsgos de la s organizacion 'i en losresultados de s antertores. Los procedimientos deberian comprender elalcance.Ja frecuen metodologj~:H;y cornsetenclas, 10 que l as respcnsab ll idades yrequishos para r -eaJ 'l iza rud i to r tas y reporter resultados. Cuando se a posib le , las audltorlas la sdebe llevar a cabo personal independiente de lo s que tienen responsabi l idad directs en laacllvtdad que S8 ,8St
-
5/16/2018 Norma ISO 28000
15/20
NQRMA . TECN ICA C'OIL.OMBIIANA NTC-ISO 28,'0 '0 '0a) resultados de las auoltorlas y evaluaciones de conformidad can los requisitos legales y
can otros requlsltos que suscribe 121orqanlz acicn :b) camunicaci6n (es) de partes ex1emas lnteresadas, incluidas quejas;c) el desempefio de la seguridad de la organizaci6n;d) el grada en el que se cumplen abjetivos y rnetas:e) estado de las acciones correctivas y preventlvas:f) acetones de seguimiento de revisiones par ta direcclon anteriores:g) clrcunstanclas carnblantes. incluidos desarrollos en requlsitos legales y otros,
relacionados pectos de su seguridad, y
visiortes par la dlrecclenles a la potltica,manera coherente
ir cualquier decision yy otros elementos delremise con 1 8 majora
h )La informacionacclon relacionsistema decontinua.
15
-
5/16/2018 Norma ISO 28000
16/20
NORMA TeCNICA COLOMBIANA NTCw lSO 28000ANEXOA(lnforrnativo)
CORRESPOND,ENCIA ENTRE LAS NORMASISO 28000:2007,ISO 14001:2004 E 'ISO 9001:2000
ISO 9001 :2000SO 2800D:2007 ISO 14001 :2004Requlsitos del sistemade geslicn de lasegur icJad de la cadanade sumlnlslro (s610 trtulo)
Requ is it os d el s is tema deg e5 11 6n d e ta ealldad (solotitulo)
Requlsltos del sistema degesli6n ambients I (s61otitulo) 44
Requisitosgenerales Reqursitns generalesequisitos generales 4,1 4.1.1Compromiso de IilI cJireccion 5.1o lillc a d e gesllon de lasegurldad Polltica amblental 5,3
8.5.1Evaluacion clelsegurrdady pia 5.4( s610 l i! l, . Il o)Evaluaci6n del 5.2se-guridad
7.2.2Requlsitosestannartosrequisltos rn"" r r , . .sabre seguridad
5.27.2.1
5.4.15.4.28.5.1
Objetivos dela segurlrlad
5.4.1Objet ivos. mates vprograma(s) 5.4.2
8,5.1Programs's) de gestionde ta segur idad 5.4.1Objelivos, metes ': I4.3.5 programfl(s) Planificad6n del sistema de4.3.3 gestion de 101caUdad
Mejora continua5.4.28,5.1
Real izacion del producto (5610tftulo)l rnpiementacten yOperSC1Qn (8610 titulo) Implementacion yeperaclon (s610 titulo) 7.4 4.4Compromiso de la dlrecd6nstructura, autortdad ': Ir as oo nsab lh da ees de lagestion de la s eg ur id a d
5.15.5.1esponsabllidad yautoridadRecursos. funciones,
responsaellldad yautoridad
4.4.1.4.1 Represen tan te de l a d lr e cc len 5.52Provision de recu rses 6.1lnfraeslructura 5.3
16
-
5/16/2018 Norma ISO 28000
17/20
NORMA TECNICA COlOMBIANA NTC-ISO .28000(CQntinuaclon)
ISO 280 IlD~2 IHJ7 ISO 14001:2004 ISO 9001, :2000Competencla, (R e cu rs os h ur na no s)
6.2.1entrenamienlo y lorn a d e Competenc lS , GeneraUdadesccneiencla 4.4.2 entrenarmentc y tom a de 4.4.2conciencia Compe ten ci a, e n tr ena rn ie n tc y 6.2.2lo rn a d e o on cie nc iaCornuntcaclon Comunic ac i6 n in le rn a 5.5.3
4.4.3 Comunicacion 4.4.3C orn un ic ac ic n c on 8 1 clie nte 7.2.3
Documentac lon (R eq ulsilo s d e 1 014.4.4 Documentaelcn 4 . 4 . 4 documentac i6n) 4.2.1General idades
C on tro l d e c ee um en to s C on tr ol d e d oc ume nt os 4.2.3datosControl 7.1
con el 7.2.1
7.2..2
1.3.1
7.3.2
7 . 3 . 3
7 . 3 . 4
7.3.5
7 . 3 . 6
mb io s d el d is eiio 7.3.77.4.1
d e la s c em pra s 7.4.2Verificacion de l os p rcduc tos 7.4.3compradosC on tro l d e la p rc eu cc lo n y de 7.5.1ta p re sta clc n d el s eN ic loV alidaci6n de los procesos deprodueclon y de pre sla ci6 n d el 7.5.2servtcloP re se rv ac l6 n d el pr nd uc to 7.5,5
Preparacion y respuestaan te eme rgenc ia s y 4.4.7 Preparacion y respuesta 4.4.7 Control del producte no 8.3recuperacion de 13 an te eme rgenc ia s conformeseguridad
17
-
5/16/2018 Norma ISO 28000
18/20
NORMA TECNICA COLOMBIANA NTCISO 28000(Final)
ISO 14001:2004 ISO 9001 :2000SO 28000:2007Ver if ic ac i6 n y a ce le ncorrectlva (sola titulo)
4 . 5 Medici6n, analisis y msjora(solo muir)
7 . 6
4.5 Verificacl6n (sole t itulo)Control de los dtspesluvos desegulmiento y rnadlclonMedlci6n y segulmlentedel desempefio de Is
seguridad
B
8.1eneralidades (medlcion,analisis 'ImeJora)8.2.34.5.1 Segulmiento y medlcion 4.5.1 Seguirl 'l lento y rnedlclen de losprocesos
Seguimiento y medicioo delproducto 6.2.48.4
'i medlcl6n de los 6..2.38.2.4
no 8.38,48.5.213.5.3
t a d ir ec cio n (s 61Q
Revision poria
18
4.2.48.2.25.15.65.6.15.6.25.6.38.5.1
-
5/16/2018 Norma ISO 28000
19/20
NORMA TECNICA COLOM,BIANA NTG-ISO 28000BIBLIOGRAFIA
[1J (SO 9001:2000, Sistemas de gestion de la calidad. Requisltos.[2] 150 14001:2004, Sistemas de gestion ambiental. Requlsltos con orientaeion para suuso.[3] ISO 19011:2002, Directrices para la auditoria de los sistemas de gestion de ta calldady/o ambiente.[4] ISO/PAS 20858:2004, Ships and Mar;ne TechnoJogy. Maritime Port Facil ity SecurityAssessments and Security Plan Development.
[6]
Managem~nt Systems for the..........,_ Security. Assessments and Chain Best Practices for5]
Management Systems28000. Chain. Guidelines
19
-
5/16/2018 Norma ISO 28000
20/20
NORMA TECNICA COlOMBIANA NTC-ISO 28000DOCUMENTO DE REFERENCIAINTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Specification for SecurityManagement Systems for the Supply Chain. Geneva, Switzerland, ISO: 28000: 2007(E), p 16.
20
