Iso 28000 2007 SG Seguridad Cadena de Suministro SGS Octubre 2013
Iso 28000 2007 SG Seguridad Cadena de Suministro SGS Octubre 2013
Iso 28000 2007 SG Seguridad Cadena de Suministro SGS Octubre 2013
0. INTRODUCCIÓN
Área de Formación 1 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC
IS O 2 8 0 0 0
Se prevé la aplicación de la presente norma en casos donde las cadenas de suministro de una
organización deben manejarse de manera segura. Un enfoque formal hacia la gestión de la
seguridad puede contribuir directamente a la capacidad empresarial y a la credibilidad de la
organización.
La conformidad con esta norma no confiere por sí misma exención de las obligaciones legales.
Para organizaciones que así lo deseen, pueden verificar la conformidad del sistema de gestión
de la seguridad con esta norma mediante un proceso de auditoria externa o interna.
La presente norma se basa en el formato ISO adoptado por la ISO 14000:2004 debido a su
enfoque de sistemas de gestión basado en el riesgo. Sin embargo, las organizaciones que han
adoptado un enfoque de procesos hacia los sistemas de gestión (por ejemplo ISO 9001:2000) la
seguridad, según se prescribe en esta norma. Con esta norma no se pretende duplicar los
requisitos y normas gubernamentales concernientes a la gestión de la seguridad de la cadena
de suministro con base en las cuales la organización ya se ha certificado o se ha verificado su
conformidad. La verificación puede realizarla una organización aceptable por primera, segunda
o tercera parte.
NOTA Esta norma se basa en la metodología conocida como Planificar-Hacer-Verificar-Actuar (PHVA), PHVA se
puede describir de la siguiente manera:
La presente norma es aplicable a organizaciones d todos los tamaños, desde las pequeñas
hasta las multinacionales, de manufactura, servicios, almacenamiento o transporte en cualquier
etapa de la producción o la cadena de suministro que desee:
Área de Formación 2 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC
IS O 2 8 0 0 0
Existen códigos legislativos y de reglamentación que abordan algunos de los requisitos de esta
norma.
Las organizaciones que optan por la certificación por una tercera parte pueden demostrar
además que están contribuyendo significativamente a la seguridad de la cadena de suministro.
2. REFERENCIAS NORMATIVAS
No se citan normas de referencia. Se incluye este numeral para conservar el esquema de
numerales similar a otras normas de sistemas de gestión.
3. TÉRMINOS Y DEFINICIONES
Para los propósitos de esta norma se aplican los términos y definiciones siguientes:
NOTA Esta definición incluye cualquier código de software que sea crítico para la obtención de
seguridad y la aplicación de gestión de la seguridad.
NOTA Es esencial que dichos resultados se relacionen directa o indirectamente con la entrega de productos,
suministros o servicios prestados por la totalidad de la empresa a sus clientes o usuarios finales.
3.6. Programas de gestión de la seguridad. Medios por los cuales se logra un objetivo de
gestión de la seguridad.
Área de Formación 3 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC
IS O 2 8 0 0 0
Área de Formación 4 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC
IS O 2 8 0 0 0
NOTA Son ejemplos: los clientes, accionistas, entidades financieras, aseguradoras, reglamentos, organismos
estatutarios, empleados, contratistas, proveedores, agremiaciones laborales, o la sociedad.
3.9. Cadena de suministro. Conjunto relacionado de recursos y procesos que comienza con
el suministro de materias primas y se extiende hasta la entrega de productos o servicios al
usuario final, incluidos los medios de transporte.
NOTA La cadena de suministros puede incluir vendedores, instalaciones de manufactura, proveedores de logística,
centros de distribución interna, distribuidores, mayoristas y otras entidades que conducen al usuario final.
3.10. Alta dirección. Persona o grupo de personas que dirige y controla una organización en
el nivel superior.
NOTA Es posible que la alta dirección, especialmente en una gran organización multinacional, no esté involucrada
personalmente como se describe en la presente norma; sin embargo, la responsabilidad de la alta dirección a través
de la cadena de mando debe ser manifiesta.
Área de Formación 5 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC
IS O 2 8 0 0 0
j) Comunicarse a todos los empleados y terceras partes pertinentes, incluidos los contratistas
y visitantes, con la intención de que estas personas sean conscientes de sus obligaciones
individuales relacionadas con la gestión de la seguridad;
l) Poderse revisar en caso de adquisición o fusión con otras organizaciones, u otro cambio en
el alcance del negocio de la organización que pueda afectar la continuidad o pertinencia del
sistema de gestión de la seguridad.
NOTA Las organizaciones puede optar por una política de gestión de la seguridad detallada para uso interno que
ofrezca suficiente información y dirección para orientar el sistema de gestión de la seguridad (algunas partes de éste
pueden ser confidenciales) y una versión resumida (no confidencial) que contenga los objetivos generales para
divulgación entre sus partes involucradas y otras partes interesadas.
Esta evaluación debe considerar la probabilidad de un evento y todas sus consecuencias, que
deben incluir:
a) Amenazas y riesgos de falla física, tales como falla funcional, daño incidental, daño
malicioso o terrorista o acción criminal;
c) Eventos del medio ambiente natural (tormentas, inundaciones, etc.) que pueden hacer que
las medidas y equipos de seguridad resulten ineficientes;
d) Factores por fuera del control de la organización, tales como fallas en el equipo y servicios
suministrados externamente.
e) Amenazas y riesgos de las partes involucradas, tales como falla en cumplir los requisitos de
reglamentación o daño a la reputación o la marca;
La organización debe asegurar que se consideren los resultados de estas evaluaciones y los
efectos de estos controles y, cuando resulte apropiado, debe proporcionar elementos de
entrada a:
a) Para identificar y tener acceso a los requisitos legales aplicables y otros requisitos que
suscribe la organización en relación con sus amenazas y riesgos para la seguridad, y
b) Para terminar cómo se aplican estos requisitos a sus amenazas y riesgos para la
seguridad.
c) Comunicarse a todos los empleados y terceras partes pertinentes, incluidos los contratistas,
con la intención de que tales personas sean conscientes de sus obligaciones individuales;
d) Revisarse periódicamente para garantizar que sigan siendo pertinentes y coherentes con la
política de gestión de la seguridad. Cuando sea necesario, se deben corregir de acuerdo
con los objetivos de gestión de la seguridad.
Área de Formación 8 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC
IS O 2 8 0 0 0
b) Ser específicos, medibles, obtenibles, pertinentes y con base en el tiempo (cuando sea
aplicable);
c) Comunicarse a todos los empleados y terceras partes pertinentes, incluidos los contratistas,
con la intención de que tales personas sean conscientes de sus obligaciones individuales;
d) Revisarse periódicamente para asegurar que sigan siendo pertinentes y coherentes con los
objetivos de gestión de la seguridad. Donde sea necesario las metas se deben ajustar
consecuentemente.
Los programas deben optimizarse y luego priorizarse y la organización debe prever el uso de
los costos de manera eficiente y eficaz en la implementación de estos programas.
b) Los medios y la escala en el tiempo por medio de los cuales se logran los objetivos y metas
de gestión de la seguridad.
Los programas de gestión de la seguridad deben revisarse periódicamente para asegurar que
se mantienen efectivos y coherentes con los objetivos y metas. Cuando sea necesario, los
programas deben se ajustados consecuentemente.
e) Considerar el impacto adverso que la política, los objetivos, las metas, los programas, etc.,
de gestión de la seguridad pueden tener en otros aspectos de la organización;
h) Garantizar que las amenazas y riesgos relacionados con la seguridad sean evaluados y se
incluyan en evaluaciones de amenazas y riesgos organizacionales, según resulte
apropiado;
La organización debe garantizar que el personal del diseño, operación y gestión de equipos y
procesos de seguridad esté calificado adecuadamente en lo relativo a educación, entrenamiento
o experiencia o ambas. La organización debe establecer y mantener procedimientos para que
las personas que trabajan para ella o en su nombre sean conscientes de:
4.4.3. Comunicación
La organización debe contar con procedimientos para asegurar que la información pertinente de
gestión de la seguridad se comunica hacia y desde los empleados relevantes, contratistas y
otras partes interesadas.
4.4.4. Documentación
e) Los documentos, incluidos los registros determinados por la organización como necesarios
para garantizar la planificación, operación y control eficaces de los procesos relacionados
con sus amenazas y riesgos para la seguridad significativos.
a) Sólo individuos autorizados puedan localizar y tener acceso a estos documentos, datos e
información;
d) Los documentos, datos e información obsoletos sean retirados con prontitud de todos los
puntos de emisión y de uso, o se asegure de otro modo que no se haga uso indeseado de
ellos;
Área de Formación 11 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC
IS O 2 8 0 0 0
La organización debe identificar aquellas operaciones y actividades que sean necesarias para
lograr:
La organización debe garantizar que estas operaciones y actividades se realicen bajo las
condiciones especificadas mediante:
b) La evaluación de cualquier amenaza que surja de las actividades aguas arriba de la cadena
de suministro, y aplicación de controles para mitigar estos impactos en la organización y
otros operadores aguas debajo de la cadena de suministros;
Estos procedimientos deben incluir controles para el diseño, instalación, operación, renovación
y modificación de elementos de equipos, instrumentación etc., relacionados con la seguridad,
según resulte apropiado. Cuando se actualicen las disposiciones existentes o se introduzcan
nuevas que puedan causar impacto en las operaciones y actividades de gestión de la
seguridad, la organización debe considerar las amenazas y riesgos de la seguridad asociados
antes de su implementación. Las disposiciones nuevas o actualizadas que se vayan a
considerar deben incluir:
Área de Formación 12 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC
IS O 2 8 0 0 0
a) Evaluar e iniciar acciones preventivas para identificar las fallas potenciales en la seguridad,
a fin de que se pueda evitar que ocurran;
1) Fallas, incluidas las que estuvieron a punto de ocurrir, y las falsas alarmas;
3) No conformidades;
Estos procedimientos deben exigir que se revisen todas las acciones correctivas y preventivas
propuestas por medio del proceso de evaluación de amenazas y riesgos de seguridad antes de
la implementación, a menos que la implementación inmediata impida exposiciones inminentes
para la vida o seguridad pública.
La organización debe establecer y mantener registros, según sea necesario, para demostrar
conformidad con los requisitos de su sistema de gestión de la seguridad y de esta norma, y de
los resultados logrados.
Los registros deben ser legibles y permanecer así, y deben ser identificables y trazables.
La documentación electrónica y digital debería estar protegida contra alteración, tener copia de
seguridad y ser accesible sólo a personal autorizado.
4.5.5. Auditoria
b) Revisar los resultados de auditorías anteriores y las acciones comprendidas para rectificar
las no-conformidades;
El programa de auditoría, incluido cualquier cronograma, debe estar basado en los resultados
de las evaluaciones de amenazas y riesgos de las actividades de la organización y en los
resultados de auditorías anteriores. Los procedimientos de auditoría deberían comprender el
alcance, la frecuencia, las metodologías y competencias, lo mismo que las responsabilidades y
requisitos para realizar auditorías y reportar resultados. Cuando sea posible, las auditorías las
debe llevar a cabo personal independiente de los que tienen responsabilidad directa en la
actividad que se está examinando.
Área de Formación 15 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC
IS O 2 8 0 0 0
a) Resultados de las auditorías y evaluaciones de conformidad con los requisitos legales y con
otros requisitos que suscribe la organización;
h) Recomendaciones de mejor.
La información de salida de las revisiones por la dirección debe incluir cualquier decisión y
acción relacionada con cambios posibles a la política, objetivos, metas y otros elementos del
sistema de gestión de la seguridad, de manera coherente con el compromiso con la mejora
continua.
Área de Formación 16 de 16
Esta no es la Norma Original, es una Interpretación de SGS Colombia S.A., División S&SC