ISO28000：2022供應(yīng)鏈安全管理體系

國際標準 ISO28000：20222022-03安全和韌性－安全管理體系－要求參考編號28000:2022(E)ISO28000:2022(e)目錄前言簡介1.范圍2.規(guī)范性引用文件3.術(shù)語和定義4.組織環(huán)境4.1理解組織及其環(huán)境4.2理解有關(guān)相關(guān)方的需求和期望4.2.1總則4.2.2法律、監(jiān)管和其他要求4.2.3原則4.3確定安全管理體系的范圍4.4安全管理體系5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾5.2安全方針5.2.1建立安全方針5.2.2安全方針要求5.3崗位、職責和權(quán)限6.策劃6.1應(yīng)對風險和機遇的措施6.1.1總則6.1.2確定與安全有關(guān)的風險和機遇6.1.3應(yīng)對與安全有關(guān)的風險和機遇6.2安全目標及目標實現(xiàn)方案的策劃6.2.1確定安全目標6.2.2實現(xiàn)安全目標6.3變更的策劃7.支持7.1資源7.2能力7.3意識7.4溝通7.5成文信息7.5.1總則7.5.2創(chuàng)建和更新7.5.3成文信息的控制8運作8.1運行策劃和控制8.2確定過程和活動8.3風險評估和處理8.4控制措施8.5安全戰(zhàn)略、程序、過程和處理8.5.1確定和選擇戰(zhàn)略和處理方法8.5.2所需資源8.5.3實施處理ISO28000:2022(e)8.6安全計劃8.6.1總則8.6.2響應(yīng)組織8.6.3警告和溝通8.6.4安全計劃的內(nèi)容8.6.5恢復(fù)9績效評價9.1監(jiān)測、測量、分析和評價9.2內(nèi)部審核9.2.1總則9.2.2內(nèi)部審核方案9.3管理評審9.3.1總則9.3.2管理評審?fù)度?.3.3管理評審結(jié)果10.改進10.1持續(xù)改進10.2不合格和糾正措施ISO28000:2022(e)前言ISO(國際標準化組ISO/IEC指令第部分中有描述。特別要注意的是，不同類型的ISO準。本文件是根據(jù)ISO/IEC指令第2部分的編輯規(guī)則起草的\hwww.iso.or/directives)。請注意，本文件中的某些內(nèi)容可能是專利權(quán)的對象。ISO不負責識別任何或所有此類專利權(quán)。在文件制定過程中發(fā)現(xiàn)的任何專利權(quán)的細節(jié)將在導(dǎo)言中和／或在ISO收到的專利聲明列表中（見\hwww.iso.or/patents)。本文件中使用的任何商品名稱是為方便用戶而提供的信息，不構(gòu)成對其的認可。關(guān)于標準的自愿性質(zhì)的解釋，與合格評定有關(guān)的ISO特定術(shù)語和表達方式的含義，以及關(guān)于ISO在技術(shù)性貿(mào)易壁壘(TBT)中遵守世界貿(mào)易組織(WTO)原則的信息，見/iso/foreword.html。本文件由ISO/TC292技術(shù)委員會（安全和復(fù)原力）編寫。第二版取消并取代了第一版(ISO28000:2007),第一版在技術(shù)上進行了修訂，但保留了現(xiàn)有的要求，為使用前一版的組織提供連續(xù)性。主要變化如下。在第4條中加入了關(guān)于原則的建議，以便與ISO31000更好地協(xié)調(diào)。在第8條中增加了建議，以便與ISO22301更好地保持一致，促進整合，包括：安全戰(zhàn)略、程序、過程和處理。安全計劃。對本文件的任何反饋或問題應(yīng)直接向用戶的國家標準機構(gòu)提出。這些機構(gòu)的完整名單可在/members.html。VISO28000:2022(e)簡介表1--PDCA模型的解釋ISO28000:2022(e)圖1-PDCA模型應(yīng)用于安全管理體系這確保了與其他管理體系標準，如ISO9001、ISO14001、ISO22301、1S0/IEC27001、ISO45001等的一定程度的一致性，從而支持與相關(guān)管理體系的一致和綜合實施和運行。對于有此愿望的組織，可以通過外部或內(nèi)部審核程序來驗證安全管理體系與本文件的一致性。Vi.i.1國際標準 ISO28000:2022(e)1安全和韌性－安全管理體系－要求1范圍本文件規(guī)定了安全管理體系的要求，包括與供應(yīng)鏈相關(guān)的方面。本文件適用于所有類型和規(guī)模的組織（如商業(yè)企業(yè)、政府或其他公共機構(gòu)和非營利組織），它們打算建立、實施、維護和改進安全管理體系。它提供了一個整體的、共同的方法，并不針對具體行業(yè)或部門。這份文件可以在組織的整個生命周期中使用，并且可以適用于任何活動，無論是內(nèi)部的還是外部的，各級的規(guī)范性參考資料以下文件在文中被提及，其部分或全部內(nèi)容構(gòu)成本文件的要求。對于注明日期的參考文獻，僅適用于所引用的版本。對于未注明日期的參考文件，適用于所參考文件的最新版本（包括任何修正案）。ISO22300,安全和韌性－詞匯襲術(shù)語和定義在本文件中，適用ISO22300和下列術(shù)語和定義。國際標準化組織和國際電工委員會在以下地址維護用于標準化的術(shù)語數(shù)據(jù)庫。-ISO在線瀏覽平臺：可在https://www.iso.or/obp-IECElectropedia:可在https://www.electropedia.or/有自己的職能、責任、權(quán)限和關(guān)系以實現(xiàn)其月標的人或團體（立Z)。條目注1。組織的概念包括但不限于獨資企業(yè)、公司、企業(yè)、公司、企業(yè)、當局、合伙企業(yè)、慈善機構(gòu)或其部分或組合，無論是否成立、公共或私人。條目注釋2。如果該組織是一個較大實體的一部分，“組織”一詞僅指該較大實體中屬于安全管貍體系（見5)范圍的部分。3.2利害關(guān)系人利益相關(guān)者能影響、受影響或認為自己受某一決定或活動影響的人或絹識（見1)。ISO28000:2022(e)3.3最高管理者最高層指揮和控制絹組的人或團體（立1)。條目注釋1。最高管理者有權(quán)在組織內(nèi)下放權(quán)限和提供資源。條目注釋2。如果管貍你系的范圍(3_,_4._)只包括一個組織的一部分，那么最高管理者是指指導(dǎo)和控制該部分組織的人。3.4管理體系一套相互關(guān)聯(lián)或相互作用的絹織要素（立1),以建立政第（兇5)和啟標（立），以及實現(xiàn)這些目標的過程（沁滬。條目注釋1。一個管理體系可以解決單一學(xué)科或幾個學(xué)科的問題。條目注釋2。管理體系要素包括組織的組織、角色和責任、策劃和運行。3.5安全管理體系由協(xié)調(diào)的政策飛立6)、程序（出t)和實踐組成的體系，一個組織通過它來管理其安全呂標（立）。一個絹統(tǒng)的意圖和方向（江），由其晟高管理厲正式表達（益）。要實現(xiàn)的結(jié)果條目注釋1。一個目標可以是戰(zhàn)略的、戰(zhàn)術(shù)的、或行動的。條目注釋2。目標可以與不同的學(xué)科有關(guān)（如財務(wù)、健康和安全以及環(huán)境）。例如，它們可以是整個組織的，也可以是針對某個項目、產(chǎn)品和過程的（立2)。條目注3。目標可以用其他方式表達，例如，作為預(yù)期的結(jié)果，作為目的，作為操作標準，作為安全目標，或通過使用具有類似含義的其他詞匯（例如，目的，目標，或目標）。條目注釋4。在安全管貍系繞方面（出沙，安全目標是由坦祝制定的（江），與安全黃略（紅D一致，以實現(xiàn)具體的結(jié)果。不確定性對啟標的影響（立Z)條目注1。效果是對預(yù)期的偏離。它可以是積極的、消極的或兩者兼而有之，并且可以解決、創(chuàng)造或?qū)е聶C遇和威脅。條目注釋2。目標可以有不同的方面和類別，也可以在不同的層面上應(yīng)用。條目注釋3。風險通常用風險源、潛在事件、其后果和其可能性來表示。2一組相互關(guān)聯(lián)或相互作用的活動，使用或改變輸入以提供一個結(jié)果。條目注釋1。一個過程的結(jié)果是否被稱為產(chǎn)出、產(chǎn)品或服務(wù)，取決于背景。2ISO28000:2022(e)3.10能力運用知識和技能來實現(xiàn)預(yù)期結(jié)果的能力3.11記載的信息一個絹祝需要控制和維護的信息（立1)以及包含這些信息的媒介條目注釋1：記錄的信息可以是任何格式和媒體，以及來自任何來源。條目注釋2：記載的信息可以指。管理體系（華），包括相關(guān)過程（華?)。為組織運作而創(chuàng)建的信息（文件）。取得成果的證據(jù)（記錄）。3.12業(yè)績可衡量的結(jié)果條目注釋1。業(yè)績可以與定量或定性的調(diào)查結(jié)果有關(guān)。條目注釋2?？冃Э梢陨婕暗焦芾砘顒印⒘鞒蹋?)、產(chǎn)品、服務(wù)、體系或絹鄉(xiāng)(ll_)。3.13持續(xù)改進提高業(yè)績的經(jīng)常性活動（立拉）。3.14效益計劃活動的實現(xiàn)程度和計劃成果的實現(xiàn)程度3.15陳述的、總則暗示的或強制性的需要或期望條目注釋1：“總則暗示“是指該絹組的習慣或通常做法（立1)和有關(guān)各方（華），所考慮的需要或期望是隱含的。條目注釋2：規(guī)定的要求是指在文心伴資科中說明的要求(.3..,_旦）。3.16符合性滿足一項要求3.17不符合不符合要求（立臣）。3.18糾正措施3采取行動，消除不符合要表的原因（立遼），防止再次發(fā)生。3ISO28000:2022(e)3.19審核體系和?立的程序（塵初，以獲得證據(jù)和客觀地評價證據(jù)，以確定審核標準得到滿足的程度。條目注釋1。審核可以是內(nèi)部審核（第一方）或外部審核（第二方或第三方），也可以是聯(lián)合審核（結(jié)合兩個或條目注釋2。內(nèi)部審核由絹組（立1)自己進行，或由外部單位代表組織進行。條目注釋3。"審核證據(jù)“和“審核標準”在ISO19011中定義。盂過枉（洶）來確定一個值確正一個體系、一個過程（出t)或一項活動的狀態(tài)條目注1。為了確定狀況，可能需要檢查、監(jiān)督或嚴格觀察。4組織環(huán)境4.1理解組織及其環(huán)境組織應(yīng)確定與其目的相關(guān)的、影響其實現(xiàn)安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部問題，包括其供應(yīng)鏈的要求4.2理解有關(guān)相關(guān)方的需求和期望4.2.1總則組織應(yīng)確定：a)與安全管理體系有關(guān)的有關(guān)各方。b)這些相關(guān)方的相關(guān)要求。c)這些要求中的哪些將通過安全管理體系來解決。4.2.2法律法規(guī)和其他要求該組織應(yīng)：a)實施和維護一個程序，以確定、獲取和評估與其安全有關(guān)的適用法律、法規(guī)和其他要求。b)確保在實施和維護其安全管理體系時考慮到這些適用的法律、法規(guī)和其他要求。c)記錄這些信息并保持更新。d)酌情向有關(guān)方面?zhèn)鬟_這一信息。ISO28000:2022(e)4.2.3原則總則組織內(nèi)安全管理的目的是創(chuàng)造，特別是保護價值。組織應(yīng)采用圖2中給出的、至中描述的原則。55圖2-原則領(lǐng)導(dǎo)作用各級領(lǐng)導(dǎo)應(yīng)建立統(tǒng)一的目標和方向。他們應(yīng)，創(chuàng)造條件，使組織的戰(zhàn)略、政策、程序和資源協(xié)調(diào)一致，以實現(xiàn)其目標。籃立給解釋了與此原則有關(guān)的要求?；诂F(xiàn)有最佳信息的組織化和全面的程序方法包括供應(yīng)鏈在內(nèi)的組織化和全面的安全管理方法應(yīng)有助于取得一致和可比較的結(jié)果，當各項活動被理解為作為一個連貫的體系運作的相互關(guān)聯(lián)的過程并加以管理時，這些結(jié)果會更加有效和高效。定制的安全管理體系應(yīng)該是定制的，與組織的外部和內(nèi)部環(huán)境和需求相稱。它應(yīng)該與組織的目標相關(guān)。6SO28000:2022(e)全員積極參與組織應(yīng)適當?shù)亍⒓皶r地讓有關(guān)各方參與進來。它應(yīng)該適當考慮他們的知識、觀點和看法，以提高對安全管理的認識并促進知情的安全管理。組織應(yīng)確保所有級別的人都得到尊重和參與。系統(tǒng)方法安全管理是所有組織活動的一個組成部分。它應(yīng)該與組織的所有其他管理體系相結(jié)合。組織的風險管理－－無論是正式的、非正式的還是直觀的－－都應(yīng)該被納入安全管理體系。組織應(yīng)持續(xù)關(guān)注通過學(xué)習和經(jīng)驗進行改進，以保持績效水平，對變化做出反應(yīng)，并隨著組織的外部和內(nèi)部充滿活力并持續(xù)改進環(huán)境的變化創(chuàng)造新的機遇。考慮到人類和文化因素人的行為和文化對安全管理的所有方面都有很大的影響，應(yīng)該在每個層次和階段都考慮到。決策應(yīng)基于對數(shù)據(jù)和信息的分，對決策有信心，更有可能產(chǎn)生預(yù)期的結(jié)果。應(yīng)考慮個人的看法。關(guān)系管理為了持續(xù)的成功，組織應(yīng)管理好與所有相關(guān)利益方的關(guān)系，因為他們可能會影響組織的績效。4.3確定安全管理體系的范圍組織應(yīng)確定安全管理體系的邊界和適用性，以確定其范圍。在定這一范圍，應(yīng)考考慮：－4.1提到的外部和內(nèi)部問題。。該范圍應(yīng)作為文件信息提供。如果一個組織選擇由外部提供影響其安全管理體系符合性的任何流程，該組織應(yīng)確保此類流程得到控制。應(yīng)在安全管理體系中確定對這種外部提供的流程的必要控制和責任。7ISO28000:2022(e)7的要求納入組織的業(yè)務(wù)流程。確保安全管理體系所需的資源是可用的。傳達有效安全管理和符合安全管理體系要求的重要性。確保安全管理體系實現(xiàn)其預(yù)期結(jié)果。確保安全管理目標、指標和方案的可行性。5.2安全方針5.2.1建立安全方針最高管理者應(yīng)制定一項安全方針，以：一個設(shè)定安全目標的框架。包括對持續(xù)改進安全管理體系的承諾。考慮安全方針、、、影響。ISO28000:2022(e)5.2.2安全方針要求5.2.2安全方針要求安全方針應(yīng)。與其他組織政策相一致。與組織的整體安全風險評估相一致?；瘯r，。描述并分配主要的間責制和成果責任。文件信息提供。在組織內(nèi)部進行交流。提供。注意組織可以選擇制定詳細的安全管理政策供內(nèi)部使用，該政策將提供足夠的信息和方向來驅(qū)動安全管理體系（其中部分內(nèi)容可以保密），并有一個包含廣泛目標的摘要（非保密）版本，以便向其有關(guān)各方傳播。最高管理者應(yīng)指定以下責任和權(quán)限：。績效。6.1應(yīng)對風險和機遇的行動6.1總則在策劃安全管理體系時，組織應(yīng)考慮生1中提到的間題和生2中提到的要求，并確定需要應(yīng)對的風險和保證安全管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果。防止或減少不期望的影響。劃：a)應(yīng)對這些風險和機遇的行動。將這些行動納入其安全管理體系流程并加以實施。8—評估這些行動的有效性。8ISO28000:2022(e)管理風險的目的是創(chuàng)造和保護價值。管理風險應(yīng)被納入安全管理體系。與本組織及其相關(guān)方的安全有關(guān)的風險在釭3中述及。確定與安全有關(guān)的風險和機遇應(yīng)包括考慮但不限。物理或功能故障以及惡意或犯罪行。環(huán)境、人類和文化因素以及其他內(nèi)部。安全設(shè)備的設(shè)計、安裝、維護和更換。組織的信息、數(shù)據(jù)、與安全威脅和漏洞有關(guān)的信息。供應(yīng)商之間的相互依存關(guān)系。應(yīng)對與安全有關(guān)的風險和機遇對已確定的安全相關(guān)風險的評價應(yīng)提供以下投入（但不限于此）。a)本組織的整體風險管理。b)風險處理。c)安全管理目標。d)安全管理流程。e)安全管理體系的設(shè)計、規(guī)范和實施； f)確定足夠的資源，包括人員配置。g)確定培訓(xùn)需求和所需的能力水平。6.2安全目標和實現(xiàn)這些目標的策劃6.2.1確定安全目標相關(guān)的職能和級別上確立安全目。這些安全目標應(yīng)： 與安全方針相一致。（）。。酌情更新。酌情更新。99ISO28000:2022(e)6.2.2 確定安全目標在計劃如何實現(xiàn)其安全目標時，組織應(yīng)確定。將要做什么。負責。成。如何對結(jié)果進行評估。在建立和評審其安全目標時，一個組織應(yīng)考慮到：a)技術(shù)、人力、。b)對有關(guān)方的意見和影響。安全目標應(yīng)符合組織對持續(xù)發(fā)展的承諾。改進。6.3變化的策劃當組織確定需要對安全管理體系進行變更時，包括第且降：中所確定的變更，應(yīng)以有計劃的方式進行。該組織應(yīng)考慮：a)變化的目的及其潛在的后果。b)安全管理體系的完整性。c)資源的可用性。d)職責和權(quán)限的分配或重新分配。支持資源組織應(yīng)確定并提供建立、實施、維護和持續(xù)改進安全管理體系所需的資源。能力該組織應(yīng)：確定在其控制下從事影響其安全性能的工作的人員的必要能力。確保這些人在適當?shù)慕逃?、或雇用或簽約合格人員。1(ISO28000:2022(e)7.3uj在組織控制下從事工作的人應(yīng)了解。安全方針。他們對安全管理體系的有效性的貢獻，包括改進安全性能的好處。不符合安全管理體系要求的影響。溝通組織應(yīng)確定與安全管理體系相關(guān)的內(nèi)部和外部溝通，包括：1:關(guān)于它將傳達什么。何時溝通。與誰溝通。如何溝通。在傳播之前，對信息的敏感性進行評估。記錄的信息總則該組織的安全管理體系應(yīng)包括。本文件所要求的文件化信息。安全管理體系有效性所必需的文件化信息。記載的信息應(yīng)說明實現(xiàn)安全管理目標和指標的責任和權(quán)限，包括實現(xiàn)這些目標和指標的手段和時限。注意安全管理體系的文件化信息的范圍可能因不同的組織而不同。、流程、務(wù)的類。過程的復(fù)雜性和它們的相互作用。人的能力。組織應(yīng)確定信息的價值，并確定所需的完整性水平和安全控制，以防止未經(jīng)授權(quán)的訪問。創(chuàng)建和更新文件化的信息在創(chuàng)建和更新記錄的信息時，組織應(yīng)確保適當?shù)摹ＷR（例如，標題、期、作者考號）。11ISO28000:2022(e)格式（如語言、軟件版本、圖形）和媒體（如紙張、電子）。評審和批準是否合適和充分。對文件資料的控制安全管理體系和本文件所要求的文件化信息應(yīng)是控制，以確保。它得到充分的保護（例如，防止失去保密性、不當使用或失去）。過時的文件、數(shù)據(jù)和信息被迅速從所有發(fā)放點和使用點刪除，或目的或兩者保留的檔案文件、數(shù)據(jù)和信息得到適當?shù)淖R別。制，分發(fā)、訪間、檢索和使用。儲存和保存，包括保存可讀性。對變化的控制（如版本控制）。保留和處置。注意訪問權(quán)可以意味著關(guān)于只查看文件信息的權(quán)限，或查看和改變文件信息的權(quán)限和權(quán)限的決定。運作運行策劃和控制組織應(yīng)通過以下方式策劃、實施和控制滿足要求所需的過程，并實施第6條中確定的措施。。應(yīng)在必要的范圍內(nèi)提供有記錄的信息，以使人們確信這些過程已按策劃進行。確定過程和活動實現(xiàn)以下目符合其安全方針。符合法律、法規(guī)和監(jiān)管的安全要求。l?ISO28000:2022(e)其安全管理目標。其安全管理體系的交付。供應(yīng)鏈安全所需的水平。風險評估和處理組織應(yīng)實施并保持風險評估和處理過程程序。注意：風險評估和處理的過程在ISO31000中涉及。組織應(yīng)該：確定其與安全有關(guān)的風險，。確定哪些風險需要處理。注：本子條款中的風險與組織及其相關(guān)方的安全有關(guān)。與管理體系的有效性（6.1）中涉及有關(guān)的風險和機遇的處理?？刂拼胧?.2中所列的過程應(yīng)包括對人力資源管理的控制，以及與安全有關(guān)的設(shè)備、儀器和信息技術(shù)項目的設(shè)計、安裝、運行、翻新和修改。如果對現(xiàn)有的安排進行了修訂，或引入了可能對安全管理產(chǎn)生影響的新安排，組織應(yīng)在實施之前考慮相關(guān)的安全相關(guān)風險。要考慮的新的或修訂的安排應(yīng)包括：培訓(xùn)、宣傳和人力資源管理。修訂安全管理政策、標、。引入新的基礎(chǔ)設(shè)施、安全設(shè)備或技術(shù)，其。組織應(yīng)控制計劃中的變更，并評審非預(yù)期變更的后果，必要時采取行動以減輕任何不利影響。組織應(yīng)確保與安全管理體系相關(guān)的外部提供的過程、產(chǎn)品或服務(wù)得到控制。13ISO28000:2022(e)8.5安全戰(zhàn)略、程序、過程和處理8.5.1戰(zhàn)略和處理的確定和選擇組織應(yīng)實施并保持系統(tǒng)程序，以分析與安全有關(guān)的脆弱性和威脅。在這種脆弱性和威脅分析以及隨之而來的風險評估的基礎(chǔ)上，組織應(yīng)確定并選擇一種安全戰(zhàn)略，其中包括一個或多個程序、過程和處理方法。識別的依8.5.2資源要求組織應(yīng)確定并實施所選安全程序、過程和處理方法的資源要求。8.5.3實施處理組織應(yīng)實施并維護選定的安全處理。8.6安全計劃8.6.1總則組織應(yīng)根據(jù)選定的戰(zhàn)略和處理方法，制定并形成文件化的安全計劃和程序。組織應(yīng)實施并維護一個響應(yīng)組織，以便能夠及時有效地警告并向有關(guān)方面通報與安全和迫在眉睫的安全威脅或正在發(fā)生的安全違規(guī)行為有關(guān)的漏洞。響應(yīng)組織應(yīng)提供計劃和程序，以便在迫在眉睫的安全威脅或正在發(fā)生的安全違規(guī)行為期間管理組織。8.6.2響應(yīng)組織組織應(yīng)實施并保持一種組織，確定一個指定的人或一個或多個團隊負責應(yīng)對與安全有關(guān)的漏洞和威脅。指定人員或每個小組的作用和責任以及這些人員或小組之間的關(guān)系應(yīng)明確確定、溝通和記錄?？偠灾?，各小組應(yīng)能做到：a)評估安全威脅的性質(zhì)和程度及其潛在影響。14ISO28000:2022(e)b)根據(jù)預(yù)先確定的闕值評估影響，以證明啟動正式回應(yīng)的合理性。c)啟動適當?shù)陌踩憫?yīng)。d)需要采取的計劃行動。e)以生命安全為第一優(yōu)先，確定優(yōu)先事項。f)監(jiān)測與安全有關(guān)的漏洞的任何變化的影響，威脅者的意圖和能力的變化或安全侵犯，以及組織的反應(yīng)。g)啟動安全處理。h)與有關(guān)各方、當局和媒體溝通。i)為溝通管理的溝通計劃做出貢獻。對于每個指定的人或團隊來說，應(yīng)該有確定的工作人員，包括具有履行其指定職責的必要責任、權(quán)限和能力的候補人員?！笇?dǎo)其行動的成文程序，包括應(yīng)對措施的啟動、運作、協(xié)調(diào)和溝通的程序。8.6.3警告和溝通該組織應(yīng)記錄并維護以下程序：a)向有關(guān)各方進行內(nèi)部和外部溝通，包括溝通的內(nèi)容、時間、對象和方式。注：組織可以將如何以及在何種情況下與員工及其緊急聯(lián)系人進行溝通的 程序記錄下來，并加以維護。b)接收、記錄和回應(yīng)有關(guān)各方的來文，包括任何國家或區(qū)域風險咨詢體系或同等機構(gòu)。c)確保在違反安全規(guī)定、出現(xiàn)漏洞或威脅時通信手段的可用性。d)促進與安全威脅和／或違規(guī)行為應(yīng)對者的組織化溝通。e)提供本組織在發(fā)生安全違規(guī)事件后的媒體反應(yīng)細節(jié)，包括溝通策略。f)記錄違反安全規(guī)定的細節(jié)、采取的行動和作出的決定。在適用的情況下，還應(yīng)該考慮并執(zhí)行以下內(nèi)容：-提醒可能受到實際或即將發(fā)生的安全違規(guī)事件影響的有關(guān)各方。－確保多個響應(yīng)組織之間的適當?shù)膮f(xié)調(diào)和溝通。警告和通信程序應(yīng)作為組織的測試和培訓(xùn)計劃的一部分進行演練。8.6.4安全計劃的內(nèi)容組織應(yīng)記錄并維護安全計劃。這些計劃應(yīng)提供指導(dǎo)和信息，以協(xié)助團隊應(yīng)對安全漏洞、威脅和／或違規(guī)行為，并協(xié)助組織進行應(yīng)對和恢復(fù)其安全。15ISO28000:2022(e)總的來說，安全計劃應(yīng)包含。a)各小組將采取的行動的細節(jié)，以。1)繼續(xù)或恢復(fù)可接受的安全狀態(tài)。2)監(jiān)測實際或即將發(fā)生的安全威脅、漏洞或違規(guī)行為的影響以及組織對其的響應(yīng)。b)參考預(yù)定義的閾值(s)和啟動響應(yīng)的過程；c)恢復(fù)組織安全的程序。d)管理安全漏洞和威脅或?qū)嶋H或即將發(fā)生的安全違規(guī)行為的直接后果的細節(jié)，并適當考慮到： 1:1)個人的福利。2)可能受到損害的資產(chǎn)、信息和人員的價值。3)防止核心活動的（進一步）損失或無法使用。每項計劃應(yīng)包括：－其目的、范圍和目標。－實施該計劃的團隊的作用和責任。－實施解決方案的行動。－啟動（包括啟動準則）、操作、協(xié)調(diào)和溝通團隊行動所需的信息。－內(nèi)部和外部的相互依存關(guān)系。－其資源的需求。－其報告的需求。一個退出的過程。每個計劃應(yīng)在需要的時間和地點可用和可行。8.6.5恢復(fù)組織應(yīng)記錄相關(guān)過程，以恢復(fù)組織在違反安全規(guī)定之前、期間和之后采取的任何臨時措施。9績效評價9.1監(jiān)測、測量、分析和評價該組織應(yīng)確定：需要監(jiān)測和測量的內(nèi)容。監(jiān)測、測量、分析和評價的方法（如適用），以確保有效的結(jié)果。應(yīng)在何時進行監(jiān)測和測量。應(yīng)對監(jiān)測和測量的結(jié)果進行分析和評估。16ISO28000:2022(e)應(yīng)提供有記錄的資料作為結(jié)果的證據(jù)。組織應(yīng)評估安全管理體系的性能和有效性。9.2內(nèi)部審核9.2.1總則組織應(yīng)按計劃的時間間隔進行內(nèi)部審核，以提供關(guān)于安全管理體系是否存在的信息。a)符合。1)組織本身對其安全管理體系的要求。2)本標準的要求。b）有效地實施和維護。9.2.2內(nèi)部審核方案該組織應(yīng)計劃、建立、實施和維持（一個）審核方案，包括頻率、方法、責任、策劃要求和報告。在制定內(nèi)部審核方案時，組織應(yīng)考慮相關(guān)流程的重要性和以往審核的結(jié)果。該組織應(yīng)：a)確定每項審核的審核目標、標準和范圍。b)選擇審核員并進行審核，以確保審核過程的客觀性和公正性。c)確保將審核結(jié)果報告給相關(guān)管理人員。d)核實安全設(shè)備和人員是否得到適當?shù)牟渴?。e)確保無不當拖延地采取任何必要的糾正措施，以消除所發(fā)現(xiàn)的不符合要求的情況及其原因。f)確保后續(xù)審核行動包括對所采取的行動進行核查并報告核查結(jié)果。應(yīng)提供有記錄的信息，作為實施審核方案和審核結(jié)果的證據(jù)。審核方案，包括任何時間表，應(yīng)基于對組織活動的風險評估結(jié)果和以往審核的結(jié)果。審核程序應(yīng)涵蓋范圍、頻率、方法和能力，以及進行審核和報告結(jié)果的責任和要求。9.3管理評審9.3.1總則最高管理者應(yīng)按策劃的時間間隔評審組織的安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。17ISO28000:2022(e)組織應(yīng)考慮分析和評價的結(jié)果以及管理評審的結(jié)果，以確定是否存在與業(yè)務(wù)或安全管理體系有關(guān)的需求或機遇，并作為持續(xù)改進的一部分加以解決。注：組織可以利用安全管理體系的流程，如領(lǐng)導(dǎo)、計劃和績效評估，來實現(xiàn)改進。9.3.2管理評審輸入管理評審應(yīng)包括。a)以往管理評審的行動狀況。b)與安全管理體系有關(guān)的外部和內(nèi)部間題的變化。c)與安全管理體系有關(guān)的有關(guān)各方的需求和期望的變化。d)關(guān)于安全性能的信息，包括以下方面的趨勢。1)不符合要求的情況和糾正措施。2)監(jiān)測和測量結(jié)果。3)審核結(jié)果。e)持續(xù)改進的機遇。f)對遵守法律要求和本組織同意的其他要求的審核和評估結(jié)果。g)來自外部相關(guān)方的通信，