1 Kurzbeschreibung
Titel
In der deutschen Übersetzung trägt die ISO 28000:2022 [1] den Titel: Sicherheit und Belastbarkeit – Sicherheitsmanagementsysteme – Anforderungen. Im allgemeinen Sprachgebrauch ist im Deutschen die Bezeichnung ISO 28000 üblich – so auch in diesem Werk.
In der deutschen Übersetzung trägt die ISO 28000:2022 [1] den Titel: Sicherheit und Belastbarkeit – Sicherheitsmanagementsysteme – Anforderungen. Im allgemeinen Sprachgebrauch ist im Deutschen die Bezeichnung ISO 28000 üblich – so auch in diesem Werk.
Aktuelle Ausgabe
Die aktuelle Ausgabe dieser internationalen Norm liegt in englischer Fassung vor. Die ISO 28000 enthält Begriffe und Definitionen sowie Anforderungen und Empfehlungen für die Planung, Einführung, Aufrechterhaltung und Verbesserung eines Sicherheitsmanagementsystems im Unternehmen.
Die aktuelle Ausgabe dieser internationalen Norm liegt in englischer Fassung vor. Die ISO 28000 enthält Begriffe und Definitionen sowie Anforderungen und Empfehlungen für die Planung, Einführung, Aufrechterhaltung und Verbesserung eines Sicherheitsmanagementsystems im Unternehmen.
Notwendigkeit eines Sicherheitsmanagementsystems
Es gibt eine Vielzahl von Ereignissen, die zu Störungen und Ausfällen in Lieferketten führen können. Zu nennen sind hier vor allem die Sperrung von Bahnstrecken, Naturkatastrophen, die Corona-Pandemie, Cyberangriffe, Schiffsstaus vor Häfen, ein Mangel an Paletten, Brände, Explosionen, Transportunfälle und Ladungsdiebstahl insbesondere von hochwertigen Waren. Problematisch ist, dass viele Unternehmen nur unzureichend auf derartige Vorfälle vorbereitet sind, was ihre Lieferketten anfällig macht. Die Umsetzung der ISO 28000 hilft dabei, die Zuverlässigkeit und Sicherheit von Lieferketten und Liefernetzwerken zu verbessern.
Es gibt eine Vielzahl von Ereignissen, die zu Störungen und Ausfällen in Lieferketten führen können. Zu nennen sind hier vor allem die Sperrung von Bahnstrecken, Naturkatastrophen, die Corona-Pandemie, Cyberangriffe, Schiffsstaus vor Häfen, ein Mangel an Paletten, Brände, Explosionen, Transportunfälle und Ladungsdiebstahl insbesondere von hochwertigen Waren. Problematisch ist, dass viele Unternehmen nur unzureichend auf derartige Vorfälle vorbereitet sind, was ihre Lieferketten anfällig macht. Die Umsetzung der ISO 28000 hilft dabei, die Zuverlässigkeit und Sicherheit von Lieferketten und Liefernetzwerken zu verbessern.
2 Wesentliche Merkmale
Aufbau der Norm
Die ISO 28000 ist nach der High Level Structure gegliedert und folgt damit der Logik des PDCA-Zyklus (P = Plan/Planen, D = Do/Durchführen, C = Checken/Prüfen, A = Act/Handeln). Dementsprechend sind die Anforderungen in den Normabschnitten 4 bis 10 aufgeführt. Abbildung 1 zeigt den Aufbau der ISO 28000 entsprechend der High Level Structure bzw. des PDCA-Zyklus.
Die ISO 28000 ist nach der High Level Structure gegliedert und folgt damit der Logik des PDCA-Zyklus (P = Plan/Planen, D = Do/Durchführen, C = Checken/Prüfen, A = Act/Handeln). Dementsprechend sind die Anforderungen in den Normabschnitten 4 bis 10 aufgeführt. Abbildung 1 zeigt den Aufbau der ISO 28000 entsprechend der High Level Structure bzw. des PDCA-Zyklus.
Anwendungsbereich
Die ISO 28000 kann von Unternehmen angewendet werden, die in der Produktion, Dienstleistungserbringung, der Lagerung und im Transport tätig sind, also vor allem von Industrieunternehmen, Logistikunternehmen und Reedereien. Die Norm berücksichtigt insbesondere Finanz-, Produktions-, Lagerungerhaltungs- und Transportrisiken sowie Risiken des Informationsmanagements, die die Sicherheit des Unternehmens und seiner Lieferketten bedrohen können.
Die ISO 28000 kann von Unternehmen angewendet werden, die in der Produktion, Dienstleistungserbringung, der Lagerung und im Transport tätig sind, also vor allem von Industrieunternehmen, Logistikunternehmen und Reedereien. Die Norm berücksichtigt insbesondere Finanz-, Produktions-, Lagerungerhaltungs- und Transportrisiken sowie Risiken des Informationsmanagements, die die Sicherheit des Unternehmens und seiner Lieferketten bedrohen können.
Kompatibilität mit anderen Standards
Ein Sicherheitsmanagementsystem nach ISO 28000 kann selbstständig betrieben werden oder aber in ein übergreifendes Managementsystem integriert sein. So können Unternehmen, die bereits ein prozessorientiertes Managementsystem (z. B. nach ISO 9001, ISO 14001, ISO 50001, ISO 27001) eingeführt haben und aufrechterhalten, dieses als Grundlage für ein Sicherheitsmanagementsystem nutzen. Außerdem schließt die ISO 28000 andere Standards und Initiativen, die sich auf das Sicherheitsmanagement beziehen, nicht aus, sondern integriert diese. Zu nennen sind hier z. B.:
Ein Sicherheitsmanagementsystem nach ISO 28000 kann selbstständig betrieben werden oder aber in ein übergreifendes Managementsystem integriert sein. So können Unternehmen, die bereits ein prozessorientiertes Managementsystem (z. B. nach ISO 9001, ISO 14001, ISO 50001, ISO 27001) eingeführt haben und aufrechterhalten, dieses als Grundlage für ein Sicherheitsmanagementsystem nutzen. Außerdem schließt die ISO 28000 andere Standards und Initiativen, die sich auf das Sicherheitsmanagement beziehen, nicht aus, sondern integriert diese. Zu nennen sind hier z. B.:
| • | Customs Trade Partnership against Terrorism (C-TPAT), |
| • | Transported Asset Protection Association (TAPA), |
| • | Good Distribution Practice (GDP). |
Grundsätze
Ein Sicherheitsmanagementsystems nach ISO 28000 basiert auf acht Grundsätzen, die darauf gerichtet sind, die Wertschöpfung und den Schutz für das Unternehmen zu erhöhen. Sie werden in Abbildung 2 gezeigt.
Ein Sicherheitsmanagementsystems nach ISO 28000 basiert auf acht Grundsätzen, die darauf gerichtet sind, die Wertschöpfung und den Schutz für das Unternehmen zu erhöhen. Sie werden in Abbildung 2 gezeigt.
Prozesse und Aktivitäten identifizieren
Aufgrund der Ausrichtung der ISO 28000 an der High Level Structure weisen die Anforderungen der Norm eine Vielzahl von Analogien mit jenen anderer Managementsystemnormen auf, mit Ausnahme des Normabschnitts 8, der eine Reihe von sicherheitsmanagementspezifischen Vorgaben enthält. So hat das Unternehmen gemäß Normabschnitt 8.2 jene Prozesse und Aktivitäten zu identifizieren, die notwendig sind, um u. a. Folgendes zu erreichen:
Aufgrund der Ausrichtung der ISO 28000 an der High Level Structure weisen die Anforderungen der Norm eine Vielzahl von Analogien mit jenen anderer Managementsystemnormen auf, mit Ausnahme des Normabschnitts 8, der eine Reihe von sicherheitsmanagementspezifischen Vorgaben enthält. So hat das Unternehmen gemäß Normabschnitt 8.2 jene Prozesse und Aktivitäten zu identifizieren, die notwendig sind, um u. a. Folgendes zu erreichen:
| • | die Einhaltung seiner Sicherheitsrichtlinien, |
| • | die Einhaltung gesetzlicher und behördlicher Sicherheitsanforderungen |
| • | seine Sicherheitsmanagementziele, |
| • | das erforderliche Sicherheitsniveau der Lieferkette [1]. |
Risiken bewerten und steuern
Im Normabschnitt 8.3 fordert die ISO 28000, dass das Unternehmen einen Risikobewertungs- und steuerungsprozess implementiert und aufrechterhält. Sie weist darauf hin, dass ein entsprechender Prozess in der ISO 31000 – Risikomanagement – Leitlinien dargelegt ist und bei der Umsetzung der ISO 28000 angewendet werden kann.
Im Normabschnitt 8.3 fordert die ISO 28000, dass das Unternehmen einen Risikobewertungs- und steuerungsprozess implementiert und aufrechterhält. Sie weist darauf hin, dass ein entsprechender Prozess in der ISO 31000 – Risikomanagement – Leitlinien dargelegt ist und bei der Umsetzung der ISO 28000 angewendet werden kann.
