02544 DIN ISO 28000
Rahmen für das Management von Sicherheitsrisiken in der Lieferkette
|
Die Implementierung eines Sicherheitsmanagementsystems nach ISO 28000 erhöht die Zuverlässigkeit und Sicherheit der gesamten Lieferkette eines Unternehmens. Die internationale Norm richtet sich an alle Unternehmen, die Teil von Lieferketten und Netzwerken sind und ihre sicherheitsrelevanten Prozesse optimieren möchten. Die zertifizierbare Norm basiert auf dem Plan-Do-Check-Act-Zyklus und ähnelt in ihrer Struktur der ISO 9001. Dadurch kann sie sehr gut in ein bestehendes Managementsystem integriert werden und damit auch Sicherheitsaspekte abdecken. Der Beitrag beschreibt den Rahmen der Norm zur Identifizierung, Bewertung und Kontrolle von Sicherheitsrisiken entlang der gesamten Supply Chain und gibt Anregungen für eine Implementierung im Unternehmen. Arbeitshilfen: von: |
1.1 Ziel und Zweck eines Sicherheitsmanagementsystems (SMS)
Durch die Einführung eines Sicherheitsmanagementsystems gemäß ISO 28000:2023 steigern Unternehmen die Sicherheit und Zuverlässigkeit ihrer gesamten Lieferkette. Dieser international anerkannte Standard richtet sich an alle Unternehmen, die in Lieferketten und -netzwerke eingebunden sind und ihre sicherheitsrelevanten Prozesse effizienter gestalten möchten.
Zertifizierungsnorm
Die ISO 28000 existiert bereits seit 2007 und liegt aktuell in deutscher Sprache in der Ausgabe von November 2023 vor. Diese Norm kann auch für eine Zertifizierung herangezogen werden. Das bedeutet, dass eine externe Zertifizierungsstelle das Sicherheitsmanagementsystem eines Unternehmens bewertet. Auch bei dieser Norm ist eine Zertifizierung drei Jahre gültig und erfordert, so wie bei anderen Normen auch jährliche Überwachungsaudits zur Aufrechterhaltung des Zertifikats. Dasselbe gilt für die Auditdauer des Zertifizierungsaudits, die abhängig von Größe, Komplexität und Umfang des Sicherheitsmanagementsystems ist. [1]
Die ISO 28000 existiert bereits seit 2007 und liegt aktuell in deutscher Sprache in der Ausgabe von November 2023 vor. Diese Norm kann auch für eine Zertifizierung herangezogen werden. Das bedeutet, dass eine externe Zertifizierungsstelle das Sicherheitsmanagementsystem eines Unternehmens bewertet. Auch bei dieser Norm ist eine Zertifizierung drei Jahre gültig und erfordert, so wie bei anderen Normen auch jährliche Überwachungsaudits zur Aufrechterhaltung des Zertifikats. Dasselbe gilt für die Auditdauer des Zertifizierungsaudits, die abhängig von Größe, Komplexität und Umfang des Sicherheitsmanagementsystems ist. [1]
Beispiele für Anwendungen
In der Praxis wird die Norm vorrangig in den Branchen eingesetzt, bei denen ein hohes Risiko für Sicherheitsvorfälle in der Lieferkette besteht. Das wären z. B. [2]:
In der Praxis wird die Norm vorrangig in den Branchen eingesetzt, bei denen ein hohes Risiko für Sicherheitsvorfälle in der Lieferkette besteht. Das wären z. B. [2]:
| • | Pharmaindustrie: Verhinderung von Fälschungen |
| • | Automobilbranche: Sicherheit bei Lieferung von Komponenten und Bauteilen |
| • | Logistikbranche: Transport gefährlicher Produkte |
| • | allgemein: klimabedingte Lieferunterbrechungen |
| • | allgemein: Nichteinhaltung von Vorschriften |
1.2 Abgrenzung zu anderen Managementnormen
Aufgrund des Aufbaus der Norm nach der High-Level-Structure (HLS) bzw. Harmonized Structure (HS) ist eine Kompatibilität mit anderen Managementsystemen, wie beispielsweise der ISO 9001 (Qualitätsmanagement), der ISO 270001 (Informationssicherheit) oder der ISO 45001 (Arbeitssicherheit und Gesundheitsschutz), gegeben. [3] Abbildung 1 zeigt Beispiele für den Zusammenhang mit anderen ISO-Normen.
Die Beispiele zeigen, dass die ISO 28000 Anforderungen an ein ganzheitliches Sicherheitsmanagement für Lieferketten stellt, während andere Normen spezielle Themen, wie z. B. Qualität, allgemeines Risikomanagement, Arbeitsschutz oder IT-Sicherheit in den Vordergrund stellen.
2.1 Definition und Anwendungsbereich
Die ISO 28000 kann von allen Organisationen, unabhängig von Art, Branche, Sektor und Größe, angewendet werden, insbesondere von denjenigen, die in den Bereichen Beschaffung, Produktion, Service, Lagerhaltung oder Transport entlang der gesamten Produktions- und Lieferkette tätig sind. [4] Die Anwendung der Norm kann während der gesamten Lebensdauer einer Organisation sowie auf alle internen und externen Aktivitäten auf allen Ebenen angewendet werden. [5]
2.2 ISO 28000 und das PDCA-Modell
Auch diese Norm basiert auf dem PDCA-Modell, um auf dessen Basis die Effektivität des Sicherheitsmanagementsystems zu planen, einzurichten umzusetzen, zu betreiben, zu überwachen, zu überprüfen, aufrechtzuerhalten und fortlaufend zu verbessern. [5] In Abbildung 2 wird das Modell in Bezug zur ISO 28000 dargestellt und anschließend kurz erläutert.
In Tabelle 1 wird der Fokus der einzelnen Phasen des PDCA-Zyklus der ISO 28000 kurz erläutert:
Tabelle 1: Einzelne Phasen des PDCA in Bezug zur ISO 2800 (in Anl. an [5])
Phase | Kurze Erläuterung |
Plan (Planen) | Festlegung von verbindlichen Sicherheitsrichtlinien, -zielen, -vorgaben, -überwachungen und -prozessen, um die Sicherheit zu optimieren und Unternehmensziele zu unterstützen |
Do (Umsetzen) | Umsetzung der geplanten Sicherheitsrichtlinien,- ziele, vorgaben, -überwachungen und -prozesse |
Check (Prüfen) | Überprüfen der Ergebnisse, die auf Basis der Vorgaben erreicht werden. Ergebnisbericht für die Leitungsorgane erstellen, damit passende Maßnahmen geplant und umgesetzt werden können |
Act (Verbessern) | Optimierung des Sicherheitsmanagements durch gezielte Korrekturmaßnahmen auf Grundlage der Ergebnisse der Managementbewertung, der Neubewertung des Anwendungsbereichs sowie der Sicherheitsrichtlinie etc. |
Die Erläuterungen der einzelnen Phasen des PDCA-Zyklus der ISO 28000 zeigen, dass es viele Gemeinsamkeiten mit anderen Managementnormen gibt, wodurch die Integration in ein bestehendes Managementsystem unterstützt wird.
2.3.1 Grundsätze
Die ISO 28000 legt in den Abschnitten 4.2.3.1 bis 4.2.3.9 die allgemeinen Grundsätze des Sicherheitsmanagements fest (s. Abb. 3). Diese haben das Ziel, Werte innerhalb einer Organisation zu schaffen und zu schützen. Die acht Grundsätze der ISO 28000 sind den sieben Grundsätzen des Qualitätsmanagements der ISO 9001:2015 sehr ähnlich. Damit wird gezeigt, dass sowohl die ISO 28000 als auch die ISO 9001 auf grundlegenden Prinzipien basiert, die erheblichen Einfluss auf den Erfolg einer Organisation haben.
| Erläuterung der Grundsätze | |
| • | 4.2.3.2 Führung: Die Leitungsorgane sollten das Sicherheitsmanagementsystem fördern und unterstützen. |
| • | 4.2.3.3 Strukturierter Prozessansatz: Eine prozessorientierte, strukturierte und systematische Herangehensweise an das Sicherheitsmanagement einschließlich der Lieferkette ist notwendig, um die gewünschten Ergebnisse zu erreichen. |
| • | 4.2.3.4 Individuelle Anpassung: Eine individuelle Anpassung an die internen und externen Gegebenheiten (Kontext) sowie an die speziellen Bedürfnisse einer Organisation ist notwendig. Zudem sollte das Sicherheitsmanagementsystem im Einklang mit den Unternehmenszielen stehen. |
| • | 4.2.3.5 Einbindung von Personen: Alle interessierten Parteien sollten in das Sicherheitsmanagementsystem mit eingebunden werden, um ihre Erfahrungen und ihr Wissen mit einzubringen, um damit das Bewusstsein zu stärken und zu fördern. |
| • | 4.2.3.6 Integrierter Ansatz: Das Sicherheitsmanagement sollte in mögliche andere Managementsysteme einer Organisation und ein bestehendes Risikomanagement in das Sicherheitsmanagement integriert werden. |
| • | 4.2.3.7 Kontinuierliche Verbesserung: Der Fokus in einer Organisation sollte auf Lernen und Erfahrung gerichtet sein, um das Sicherheitsmanagementsystem aufrechtzuerhalten, stetig zu verbessern und um auf Veränderungen reagieren zu können, wenn sich der Kontext der Organisation ändert. |
| • | 4.2.3.8 Berücksichtigung menschlicher und kultureller Aspekte: Menschliches Verhalten und kulturelle Aspekte beeinflussen das Sicherheitsmanagement in hohem Maße und sollten daher stets einbezogen werden. Entscheidungen sollten auf Daten basieren, um Objektivität und Vertrauen zu erhöhen. Auch individuelle Wahrnehmungen müssen berücksichtigt werden. |
| • | 4.2.3.9 Beziehungsmanagement: Die Beziehungen zu interessierten Parteien müssen gepflegt werden, um nachhaltigen Erfolg zu sichern. |