ISO28000：2022供應(yīng)鏈安全管理體系

國(guó)際標(biāo)準(zhǔn) ISO28000：20222022-03安全和韌性－安全管理體系－要求參考編號(hào)28000:2022(E)ISO28000:2022(e)目錄前言簡(jiǎn)介1.范圍2.規(guī)范性引用文件3.術(shù)語(yǔ)和定義4.組織環(huán)境4.1理解組織及其環(huán)境4.2理解有關(guān)相關(guān)方的需求和期望4.2.1總則4.2.2法律、監(jiān)管和其他要求4.2.3原則4.3確定安全管理體系的范圍4.4安全管理體系5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾5.2安全方針5.2.1建立安全方針5.2.2安全方針要求5.3崗位、職責(zé)和權(quán)限6.策劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施6.1.1總則6.1.2確定與安全有關(guān)的風(fēng)險(xiǎn)和機(jī)遇6.1.3應(yīng)對(duì)與安全有關(guān)的風(fēng)險(xiǎn)和機(jī)遇6.2安全目標(biāo)及目標(biāo)實(shí)現(xiàn)方案的策劃6.2.1確定安全目標(biāo)6.2.2實(shí)現(xiàn)安全目標(biāo)6.3變更的策劃7.支持7.1資源7.2能力7.3意識(shí)7.4溝通7.5成文信息7.5.1總則7.5.2創(chuàng)建和更新7.5.3成文信息的控制8運(yùn)作8.1運(yùn)行策劃和控制8.2確定過(guò)程和活動(dòng)8.3風(fēng)險(xiǎn)評(píng)估和處理8.4控制措施8.5安全戰(zhàn)略、程序、過(guò)程和處理8.5.1確定和選擇戰(zhàn)略和處理方法8.5.2所需資源8.5.3實(shí)施處理ISO28000:2022(e)8.6安全計(jì)劃8.6.1總則8.6.2響應(yīng)組織8.6.3警告和溝通8.6.4安全計(jì)劃的內(nèi)容8.6.5恢復(fù)9績(jī)效評(píng)價(jià)9.1監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)9.2內(nèi)部審核9.2.1總則9.2.2內(nèi)部審核方案9.3管理評(píng)審9.3.1總則9.3.2管理評(píng)審?fù)度?.3.3管理評(píng)審結(jié)果10.改進(jìn)10.1持續(xù)改進(jìn)10.2不合格和糾正措施ISO28000:2022(e)前言ISO(國(guó)際標(biāo)準(zhǔn)化組ISO/IEC指令第部分中有描述。特別要注意的是，不同類型的ISO準(zhǔn)。本文件是根據(jù)ISO/IEC指令第2部分的編輯規(guī)則起草的\hwww.iso.or/directives)。請(qǐng)注意，本文件中的某些內(nèi)容可能是專利權(quán)的對(duì)象。ISO不負(fù)責(zé)識(shí)別任何或所有此類專利權(quán)。在文件制定過(guò)程中發(fā)現(xiàn)的任何專利權(quán)的細(xì)節(jié)將在導(dǎo)言中和／或在ISO收到的專利聲明列表中（見(jiàn)\hwww.iso.or/patents)。本文件中使用的任何商品名稱是為方便用戶而提供的信息，不構(gòu)成對(duì)其的認(rèn)可。關(guān)于標(biāo)準(zhǔn)的自愿性質(zhì)的解釋，與合格評(píng)定有關(guān)的ISO特定術(shù)語(yǔ)和表達(dá)方式的含義，以及關(guān)于ISO在技術(shù)性貿(mào)易壁壘(TBT)中遵守世界貿(mào)易組織(WTO)原則的信息，見(jiàn)/iso/foreword.html。本文件由ISO/TC292技術(shù)委員會(huì)（安全和復(fù)原力）編寫(xiě)。第二版取消并取代了第一版(ISO28000:2007),第一版在技術(shù)上進(jìn)行了修訂，但保留了現(xiàn)有的要求，為使用前一版的組織提供連續(xù)性。主要變化如下。在第4條中加入了關(guān)于原則的建議，以便與ISO31000更好地協(xié)調(diào)。在第8條中增加了建議，以便與ISO22301更好地保持一致，促進(jìn)整合，包括：安全戰(zhàn)略、程序、過(guò)程和處理。安全計(jì)劃。對(duì)本文件的任何反饋或問(wèn)題應(yīng)直接向用戶的國(guó)家標(biāo)準(zhǔn)機(jī)構(gòu)提出。這些機(jī)構(gòu)的完整名單可在/members.html。VISO28000:2022(e)簡(jiǎn)介表1--PDCA模型的解釋ISO28000:2022(e)圖1-PDCA模型應(yīng)用于安全管理體系這確保了與其他管理體系標(biāo)準(zhǔn)，如ISO9001、ISO14001、ISO22301、1S0/IEC27001、ISO45001等的一定程度的一致性，從而支持與相關(guān)管理體系的一致和綜合實(shí)施和運(yùn)行。對(duì)于有此愿望的組織，可以通過(guò)外部或內(nèi)部審核程序來(lái)驗(yàn)證安全管理體系與本文件的一致性。Vi.i.1國(guó)際標(biāo)準(zhǔn) ISO28000:2022(e)1安全和韌性－安全管理體系－要求1范圍本文件規(guī)定了安全管理體系的要求，包括與供應(yīng)鏈相關(guān)的方面。本文件適用于所有類型和規(guī)模的組織（如商業(yè)企業(yè)、政府或其他公共機(jī)構(gòu)和非營(yíng)利組織），它們打算建立、實(shí)施、維護(hù)和改進(jìn)安全管理體系。它提供了一個(gè)整體的、共同的方法，并不針對(duì)具體行業(yè)或部門。這份文件可以在組織的整個(gè)生命周期中使用，并且可以適用于任何活動(dòng)，無(wú)論是內(nèi)部的還是外部的，各級(jí)的規(guī)范性參考資料以下文件在文中被提及，其部分或全部?jī)?nèi)容構(gòu)成本文件的要求。對(duì)于注明日期的參考文獻(xiàn)，僅適用于所引用的版本。對(duì)于未注明日期的參考文件，適用于所參考文件的最新版本（包括任何修正案）。ISO22300,安全和韌性－詞匯襲術(shù)語(yǔ)和定義在本文件中，適用ISO22300和下列術(shù)語(yǔ)和定義。國(guó)際標(biāo)準(zhǔn)化組織和國(guó)際電工委員會(huì)在以下地址維護(hù)用于標(biāo)準(zhǔn)化的術(shù)語(yǔ)數(shù)據(jù)庫(kù)。-ISO在線瀏覽平臺(tái)：可在https://www.iso.or/obp-IECElectropedia:可在https://www.electropedia.or/有自己的職能、責(zé)任、權(quán)限和關(guān)系以實(shí)現(xiàn)其月標(biāo)的人或團(tuán)體（立Z)。條目注1。組織的概念包括但不限于獨(dú)資企業(yè)、公司、企業(yè)、公司、企業(yè)、當(dāng)局、合伙企業(yè)、慈善機(jī)構(gòu)或其部分或組合，無(wú)論是否成立、公共或私人。條目注釋2。如果該組織是一個(gè)較大實(shí)體的一部分，“組織”一詞僅指該較大實(shí)體中屬于安全管貍體系（見(jiàn)5)范圍的部分。3.2利害關(guān)系人利益相關(guān)者能影響、受影響或認(rèn)為自己受某一決定或活動(dòng)影響的人或絹?zhàn)R（見(jiàn)1)。ISO28000:2022(e)3.3最高管理者最高層指揮和控制絹組的人或團(tuán)體（立1)。條目注釋1。最高管理者有權(quán)在組織內(nèi)下放權(quán)限和提供資源。條目注釋2。如果管貍你系的范圍(3_,_4._)只包括一個(gè)組織的一部分，那么最高管理者是指指導(dǎo)和控制該部分組織的人。3.4管理體系一套相互關(guān)聯(lián)或相互作用的絹織要素（立1),以建立政第（兇5)和啟標(biāo)（立），以及實(shí)現(xiàn)這些目標(biāo)的過(guò)程（沁滬。條目注釋1。一個(gè)管理體系可以解決單一學(xué)科或幾個(gè)學(xué)科的問(wèn)題。條目注釋2。管理體系要素包括組織的組織、角色和責(zé)任、策劃和運(yùn)行。3.5安全管理體系由協(xié)調(diào)的政策飛立6)、程序（出t)和實(shí)踐組成的體系，一個(gè)組織通過(guò)它來(lái)管理其安全呂標(biāo)（立）。一個(gè)絹統(tǒng)的意圖和方向（江），由其晟高管理厲正式表達(dá)（益）。要實(shí)現(xiàn)的結(jié)果條目注釋1。一個(gè)目標(biāo)可以是戰(zhàn)略的、戰(zhàn)術(shù)的、或行動(dòng)的。條目注釋2。目標(biāo)可以與不同的學(xué)科有關(guān)（如財(cái)務(wù)、健康和安全以及環(huán)境）。例如，它們可以是整個(gè)組織的，也可以是針對(duì)某個(gè)項(xiàng)目、產(chǎn)品和過(guò)程的（立2)。條目注3。目標(biāo)可以用其他方式表達(dá)，例如，作為預(yù)期的結(jié)果，作為目的，作為操作標(biāo)準(zhǔn)，作為安全目標(biāo)，或通過(guò)使用具有類似含義的其他詞匯（例如，目的，目標(biāo)，或目標(biāo)）。條目注釋4。在安全管貍系繞方面（出沙，安全目標(biāo)是由坦祝制定的（江），與安全黃略（紅D一致，以實(shí)現(xiàn)具體的結(jié)果。不確定性對(duì)啟標(biāo)的影響（立Z)條目注1。效果是對(duì)預(yù)期的偏離。它可以是積極的、消極的或兩者兼而有之，并且可以解決、創(chuàng)造或?qū)е聶C(jī)遇和威脅。條目注釋2。目標(biāo)可以有不同的方面和類別，也可以在不同的層面上應(yīng)用。條目注釋3。風(fēng)險(xiǎn)通常用風(fēng)險(xiǎn)源、潛在事件、其后果和其可能性來(lái)表示。2一組相互關(guān)聯(lián)或相互作用的活動(dòng)，使用或改變輸入以提供一個(gè)結(jié)果。條目注釋1。一個(gè)過(guò)程的結(jié)果是否被稱為產(chǎn)出、產(chǎn)品或服務(wù)，取決于背景。2ISO28000:2022(e)3.10能力運(yùn)用知識(shí)和技能來(lái)實(shí)現(xiàn)預(yù)期結(jié)果的能力3.11記載的信息一個(gè)絹?zhàn)Ｐ枰刂坪途S護(hù)的信息（立1)以及包含這些信息的媒介條目注釋1：記錄的信息可以是任何格式和媒體，以及來(lái)自任何來(lái)源。條目注釋2：記載的信息可以指。管理體系（華），包括相關(guān)過(guò)程（華?)。為組織運(yùn)作而創(chuàng)建的信息（文件）。取得成果的證據(jù)（記錄）。3.12業(yè)績(jī)可衡量的結(jié)果條目注釋1。業(yè)績(jī)可以與定量或定性的調(diào)查結(jié)果有關(guān)。條目注釋2。績(jī)效可以涉及到管理活動(dòng)、流程（立2)、產(chǎn)品、服務(wù)、體系或絹鄉(xiāng)(ll_)。3.13持續(xù)改進(jìn)提高業(yè)績(jī)的經(jīng)常性活動(dòng)（立拉）。3.14效益計(jì)劃活動(dòng)的實(shí)現(xiàn)程度和計(jì)劃成果的實(shí)現(xiàn)程度3.15陳述的、總則暗示的或強(qiáng)制性的需要或期望條目注釋1：“總則暗示“是指該絹組的習(xí)慣或通常做法（立1)和有關(guān)各方（華），所考慮的需要或期望是隱含的。條目注釋2：規(guī)定的要求是指在文心伴資科中說(shuō)明的要求(.3..,_旦）。3.16符合性滿足一項(xiàng)要求3.17不符合不符合要求（立臣）。3.18糾正措施3采取行動(dòng)，消除不符合要表的原因（立遼），防止再次發(fā)生。3ISO28000:2022(e)3.19審核體系和?立的程序（塵初，以獲得證據(jù)和客觀地評(píng)價(jià)證據(jù)，以確定審核標(biāo)準(zhǔn)得到滿足的程度。條目注釋1。審核可以是內(nèi)部審核（第一方）或外部審核（第二方或第三方），也可以是聯(lián)合審核（結(jié)合兩個(gè)或條目注釋2。內(nèi)部審核由絹組（立1)自己進(jìn)行，或由外部單位代表組織進(jìn)行。條目注釋3。"審核證據(jù)“和“審核標(biāo)準(zhǔn)”在ISO19011中定義。盂過(guò)枉（洶）來(lái)確定一個(gè)值確正一個(gè)體系、一個(gè)過(guò)程（出t)或一項(xiàng)活動(dòng)的狀態(tài)條目注1。為了確定狀況，可能需要檢查、監(jiān)督或嚴(yán)格觀察。4組織環(huán)境4.1理解組織及其環(huán)境組織應(yīng)確定與其目的相關(guān)的、影響其實(shí)現(xiàn)安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部問(wèn)題，包括其供應(yīng)鏈的要求4.2理解有關(guān)相關(guān)方的需求和期望4.2.1總則組織應(yīng)確定：a)與安全管理體系有關(guān)的有關(guān)各方。b)這些相關(guān)方的相關(guān)要求。c)這些要求中的哪些將通過(guò)安全管理體系來(lái)解決。4.2.2法律法規(guī)和其他要求該組織應(yīng)：a)實(shí)施和維護(hù)一個(gè)程序，以確定、獲取和評(píng)估與其安全有關(guān)的適用法律、法規(guī)和其他要求。b)確保在實(shí)施和維護(hù)其安全管理體系時(shí)考慮到這些適用的法律、法規(guī)和其他要求。c)記錄這些信息并保持更新。d)酌情向有關(guān)方面?zhèn)鬟_(dá)這一信息。ISO28000:2022(e)4.2.3原則總則組織內(nèi)安全管理的目的是創(chuàng)造，特別是保護(hù)價(jià)值。組織應(yīng)采用圖2中給出的、至中描述的原則。55圖2-原則領(lǐng)導(dǎo)作用各級(jí)領(lǐng)導(dǎo)應(yīng)建立統(tǒng)一的目標(biāo)和方向。他們應(yīng)，創(chuàng)造條件，使組織的戰(zhàn)略、政策、程序和資源協(xié)調(diào)一致，以實(shí)現(xiàn)其目標(biāo)?；@立給解釋了與此原則有關(guān)的要求?；诂F(xiàn)有最佳信息的組織化和全面的程序方法包括供應(yīng)鏈在內(nèi)的組織化和全面的安全管理方法應(yīng)有助于取得一致和可比較的結(jié)果，當(dāng)各項(xiàng)活動(dòng)被理解為作為一個(gè)連貫的體系運(yùn)作的相互關(guān)聯(lián)的過(guò)程并加以管理時(shí)，這些結(jié)果會(huì)更加有效和高效。定制的安全管理體系應(yīng)該是定制的，與組織的外部和內(nèi)部環(huán)境和需求相稱。它應(yīng)該與組織的目標(biāo)相關(guān)。6SO28000:2022(e)全員積極參與組織應(yīng)適當(dāng)?shù)?、及時(shí)地讓有關(guān)各方參與進(jìn)來(lái)。它應(yīng)該適當(dāng)考慮他們的知識(shí)、觀點(diǎn)和看法，以提高對(duì)安全管理的認(rèn)識(shí)并促進(jìn)知情的安全管理。組織應(yīng)確保所有級(jí)別的人都得到尊重和參與。系統(tǒng)方法安全管理是所有組織活動(dòng)的一個(gè)組成部分。它應(yīng)該與組織的所有其他管理體系相結(jié)合。組織的風(fēng)險(xiǎn)管理－－無(wú)論是正式的、非正式的還是直觀的－－都應(yīng)該被納入安全管理體系。組織應(yīng)持續(xù)關(guān)注通過(guò)學(xué)習(xí)和經(jīng)驗(yàn)進(jìn)行改進(jìn)，以保持績(jī)效水平，對(duì)變化做出反應(yīng)，并隨著組織的外部和內(nèi)部充滿活力并持續(xù)改進(jìn)環(huán)境的變化創(chuàng)造新的機(jī)遇?？紤]到人類和文化因素人的行為和文化對(duì)安全管理的所有方面都有很大的影響，應(yīng)該在每個(gè)層次和階段都考慮到。決策應(yīng)基于對(duì)數(shù)據(jù)和信息的分，對(duì)決策有信心，更有可能產(chǎn)生預(yù)期的結(jié)果。應(yīng)考慮個(gè)人的看法。關(guān)系管理為了持續(xù)的成功，組織應(yīng)管理好與所有相關(guān)利益方的關(guān)系，因?yàn)樗麄兛赡軙?huì)影響組織的績(jī)效。4.3確定安全管理體系的范圍組織應(yīng)確定安全管理體系的邊界和適用性，以確定其范圍。在定這一范圍，應(yīng)考考慮：－4.1提到的外部和內(nèi)部問(wèn)題。。該范圍應(yīng)作為文件信息提供。如果一個(gè)組織選擇由外部提供影響其安全管理體系符合性的任何流程，該組織應(yīng)確保此類流程得到控制。應(yīng)在安全管理體系中確定對(duì)這種外部提供的流程的必要控制和責(zé)任。7ISO28000:2022(e)7的要求納入組織的業(yè)務(wù)流程。確保安全管理體系所需的資源是可用的。傳達(dá)有效安全管理和符合安全管理體系要求的重要性。確保安全管理體系實(shí)現(xiàn)其預(yù)期結(jié)果。確保安全管理目標(biāo)、指標(biāo)和方案的可行性。5.2安全方針5.2.1建立安全方針最高管理者應(yīng)制定一項(xiàng)安全方針，以：一個(gè)設(shè)定安全目標(biāo)的框架。包括對(duì)持續(xù)改進(jìn)安全管理體系的承諾?？紤]安全方針、、、影響。ISO28000:2022(e)5.2.2安全方針要求5.2.2安全方針要求安全方針應(yīng)。與其他組織政策相一致。與組織的整體安全風(fēng)險(xiǎn)評(píng)估相一致。化時(shí)，。描述并分配主要的間責(zé)制和成果責(zé)任。文件信息提供。在組織內(nèi)部進(jìn)行交流。提供。注意組織可以選擇制定詳細(xì)的安全管理政策供內(nèi)部使用，該政策將提供足夠的信息和方向來(lái)驅(qū)動(dòng)安全管理體系（其中部分內(nèi)容可以保密），并有一個(gè)包含廣泛目標(biāo)的摘要（非保密）版本，以便向其有關(guān)各方傳播。最高管理者應(yīng)指定以下責(zé)任和權(quán)限：?？?jī)效。6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)6.1總則在策劃安全管理體系時(shí)，組織應(yīng)考慮生1中提到的間題和生2中提到的要求，并確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和保證安全管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果。防止或減少不期望的影響。劃：a)應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)。將這些行動(dòng)納入其安全管理體系流程并加以實(shí)施。8—評(píng)估這些行動(dòng)的有效性。8ISO28000:2022(e)管理風(fēng)險(xiǎn)的目的是創(chuàng)造和保護(hù)價(jià)值。管理風(fēng)險(xiǎn)應(yīng)被納入安全管理體系。與本組織及其相關(guān)方的安全有關(guān)的風(fēng)險(xiǎn)在釭3中述及。確定與安全有關(guān)的風(fēng)險(xiǎn)和機(jī)遇應(yīng)包括考慮但不限。物理或功能故障以及惡意或犯罪行。環(huán)境、人類和文化因素以及其他內(nèi)部。安全設(shè)備的設(shè)計(jì)、安裝、維護(hù)和更換。組織的信息、數(shù)據(jù)、與安全威脅和漏洞有關(guān)的信息。供應(yīng)商之間的相互依存關(guān)系。應(yīng)對(duì)與安全有關(guān)的風(fēng)險(xiǎn)和機(jī)遇對(duì)已確定的安全相關(guān)風(fēng)險(xiǎn)的評(píng)價(jià)應(yīng)提供以下投入（但不限于此）。a)本組織的整體風(fēng)險(xiǎn)管理。b)風(fēng)險(xiǎn)處理。c)安全管理目標(biāo)。d)安全管理流程。e)安全管理體系的設(shè)計(jì)、規(guī)范和實(shí)施； f)確定足夠的資源，包括人員配置。g)確定培訓(xùn)需求和所需的能力水平。6.2安全目標(biāo)和實(shí)現(xiàn)這些目標(biāo)的策劃6.2.1確定安全目標(biāo)相關(guān)的職能和級(jí)別上確立安全目。這些安全目標(biāo)應(yīng)： 與安全方針相一致。（）。。酌情更新。酌情更新。99ISO28000:2022(e)6.2.2 確定安全目標(biāo)在計(jì)劃如何實(shí)現(xiàn)其安全目標(biāo)時(shí)，組織應(yīng)確定。將要做什么。負(fù)責(zé)。成。如何對(duì)結(jié)果進(jìn)行評(píng)估。在建立和評(píng)審其安全目標(biāo)時(shí)，一個(gè)組織應(yīng)考慮到：a)技術(shù)、人力、。b)對(duì)有關(guān)方的意見(jiàn)和影響。安全目標(biāo)應(yīng)符合組織對(duì)持續(xù)發(fā)展的承諾。改進(jìn)。6.3變化的策劃當(dāng)組織確定需要對(duì)安全管理體系進(jìn)行變更時(shí)，包括第且降：中所確定的變更，應(yīng)以有計(jì)劃的方式進(jìn)行。該組織應(yīng)考慮：a)變化的目的及其潛在的后果。b)安全管理體系的完整性。c)資源的可用性。d)職責(zé)和權(quán)限的分配或重新分配。支持資源組織應(yīng)確定并提供建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)安全管理體系所需的資源。能力該組織應(yīng)：確定在其控制下從事影響其安全性能的工作的人員的必要能力。確保這些人在適當(dāng)?shù)慕逃?、或雇用或簽約合格人員。1(ISO28000:2022(e)7.3uj在組織控制下從事工作的人應(yīng)了解。安全方針。他們對(duì)安全管理體系的有效性的貢獻(xiàn)，包括改進(jìn)安全性能的好處。不符合安全管理體系要求的影響。溝通組織應(yīng)確定與安全管理體系相關(guān)的內(nèi)部和外部溝通，包括：1:關(guān)于它將傳達(dá)什么。何時(shí)溝通。與誰(shuí)溝通。如何溝通。在傳播之前，對(duì)信息的敏感性進(jìn)行評(píng)估。記錄的信息總則該組織的安全管理體系應(yīng)包括。本文件所要求的文件化信息。安全管理體系有效性所必需的文件化信息。記載的信息應(yīng)說(shuō)明實(shí)現(xiàn)安全管理目標(biāo)和指標(biāo)的責(zé)任和權(quán)限，包括實(shí)現(xiàn)這些目標(biāo)和指標(biāo)的手段和時(shí)限。注意安全管理體系的文件化信息的范圍可能因不同的組織而不同。、流程、務(wù)的類。過(guò)程的復(fù)雜性和它們的相互作用。人的能力。組織應(yīng)確定信息的價(jià)值，并確定所需的完整性水平和安全控制，以防止未經(jīng)授權(quán)的訪問(wèn)。創(chuàng)建和更新文件化的信息在創(chuàng)建和更新記錄的信息時(shí)，組織應(yīng)確保適當(dāng)?shù)?。識(shí)（例如，標(biāo)題、期、作者考號(hào)）。11ISO28000:2022(e)格式（如語(yǔ)言、軟件版本、圖形）和媒體（如紙張、電子）。評(píng)審和批準(zhǔn)是否合適和充分。對(duì)文件資料的控制安全管理體系和本文件所要求的文件化信息應(yīng)是控制，以確保。它得到充分的保護(hù)（例如，防止失去保密性、不當(dāng)使用或失去）。過(guò)時(shí)的文件、數(shù)據(jù)和信息被迅速?gòu)乃邪l(fā)放點(diǎn)和使用點(diǎn)刪除，或目的或兩者保留的檔案文件、數(shù)據(jù)和信息得到適當(dāng)?shù)淖R(shí)別。制，分發(fā)、訪間、檢索和使用。儲(chǔ)存和保存，包括保存可讀性。對(duì)變化的控制（如版本控制）。保留和處置。注意訪問(wèn)權(quán)可以意味著關(guān)于只查看文件信息的權(quán)限，或查看和改變文件信息的權(quán)限和權(quán)限的決定。運(yùn)作運(yùn)行策劃和控制組織應(yīng)通過(guò)以下方式策劃、實(shí)施和控制滿足要求所需的過(guò)程，并實(shí)施第6條中確定的措施。。應(yīng)在必要的范圍內(nèi)提供有記錄的信息，以使人們確信這些過(guò)程已按策劃進(jìn)行。確定過(guò)程和活動(dòng)實(shí)現(xiàn)以下目符合其安全方針。符合法律、法規(guī)和監(jiān)管的安全要求。l?ISO28000:2022(e)其安全管理目標(biāo)。其安全管理體系的交付。供應(yīng)鏈安全所需的水平。風(fēng)險(xiǎn)評(píng)估和處理組織應(yīng)實(shí)施并保持風(fēng)險(xiǎn)評(píng)估和處理過(guò)程程序。注意：風(fēng)險(xiǎn)評(píng)估和處理的過(guò)程在ISO31000中涉及。組織應(yīng)該：確定其與安全有關(guān)的風(fēng)險(xiǎn)，。確定哪些風(fēng)險(xiǎn)需要處理。注：本子條款中的風(fēng)險(xiǎn)與組織及其相關(guān)方的安全有關(guān)。與管理體系的有效性（6.1）中涉及有關(guān)的風(fēng)險(xiǎn)和機(jī)遇的處理。控制措施8.2中所列的過(guò)程應(yīng)包括對(duì)人力資源管理的控制，以及與安全有關(guān)的設(shè)備、儀器和信息技術(shù)項(xiàng)目的設(shè)計(jì)、安裝、運(yùn)行、翻新和修改。如果對(duì)現(xiàn)有的安排進(jìn)行了修訂，或引入了可能對(duì)安全管理產(chǎn)生影響的新安排，組織應(yīng)在實(shí)施之前考慮相關(guān)的安全相關(guān)風(fēng)險(xiǎn)。要考慮的新的或修訂的安排應(yīng)包括：培訓(xùn)、宣傳和人力資源管理。修訂安全管理政策、標(biāo)、。引入新的基礎(chǔ)設(shè)施、安全設(shè)備或技術(shù)，其。組織應(yīng)控制計(jì)劃中的變更，并評(píng)審非預(yù)期變更的后果，必要時(shí)采取行動(dòng)以減輕任何不利影響。組織應(yīng)確保與安全管理體系相關(guān)的外部提供的過(guò)程、產(chǎn)品或服務(wù)得到控制。13ISO28000:2022(e)8.5安全戰(zhàn)略、程序、過(guò)程和處理8.5.1戰(zhàn)略和處理的確定和選擇組織應(yīng)實(shí)施并保持系統(tǒng)程序，以分析與安全有關(guān)的脆弱性和威脅。在這種脆弱性和威脅分析以及隨之而來(lái)的風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，組織應(yīng)確定并選擇一種安全戰(zhàn)略，其中包括一個(gè)或多個(gè)程序、過(guò)程和處理方法。識(shí)別的依8.5.2資源要求組織應(yīng)確定并實(shí)施所選安全程序、過(guò)程和處理方法的資源要求。8.5.3實(shí)施處理組織應(yīng)實(shí)施并維護(hù)選定的安全處理。8.6安全計(jì)劃8.6.1總則組織應(yīng)根據(jù)選定的戰(zhàn)略和處理方法，制定并形成文件化的安全計(jì)劃和程序。組織應(yīng)實(shí)施并維護(hù)一個(gè)響應(yīng)組織，以便能夠及時(shí)有效地警告并向有關(guān)方面通報(bào)與安全和迫在眉睫的安全威脅或正在發(fā)生的安全違規(guī)行為有關(guān)的漏洞。響應(yīng)組織應(yīng)提供計(jì)劃和程序，以便在迫在眉睫的安全威脅或正在發(fā)生的安全違規(guī)行為期間管理組織。8.6.2響應(yīng)組織組織應(yīng)實(shí)施并保持一種組織，確定一個(gè)指定的人或一個(gè)或多個(gè)團(tuán)隊(duì)負(fù)責(zé)應(yīng)對(duì)與安全有關(guān)的漏洞和威脅。指定人員或每個(gè)小組的作用和責(zé)任以及這些人員或小組之間的關(guān)系應(yīng)明確確定、溝通和記錄。總而言之，各小組應(yīng)能做到：a)評(píng)估安全威脅的性質(zhì)和程度及其潛在影響。14ISO28000:2022(e)b)根據(jù)預(yù)先確定的闕值評(píng)估影響，以證明啟動(dòng)正式回應(yīng)的合理性。c)啟動(dòng)適當(dāng)?shù)陌踩憫?yīng)。d)需要采取的計(jì)劃行動(dòng)。e)以生命安全為第一優(yōu)先，確定優(yōu)先事項(xiàng)。f)監(jiān)測(cè)與安全有關(guān)的漏洞的任何變化的影響，威脅者的意圖和能力的變化或安全侵犯，以及組織的反應(yīng)。g)啟動(dòng)安全處理。h)與有關(guān)各方、當(dāng)局和媒體溝通。i)為溝通管理的溝通計(jì)劃做出貢獻(xiàn)。對(duì)于每個(gè)指定的人或團(tuán)隊(duì)來(lái)說(shuō)，應(yīng)該有確定的工作人員，包括具有履行其指定職責(zé)的必要責(zé)任、權(quán)限和能力的候補(bǔ)人員?！笇?dǎo)其行動(dòng)的成文程序，包括應(yīng)對(duì)措施的啟動(dòng)、運(yùn)作、協(xié)調(diào)和溝通的程序。8.6.3警告和溝通該組織應(yīng)記錄并維護(hù)以下程序：a)向有關(guān)各方進(jìn)行內(nèi)部和外部溝通，包括溝通的內(nèi)容、時(shí)間、對(duì)象和方式。注：組織可以將如何以及在何種情況下與員工及其緊急聯(lián)系人進(jìn)行溝通的 程序記錄下來(lái)，并加以維護(hù)。b)接收、記錄和回應(yīng)有關(guān)各方的來(lái)文，包括任何國(guó)家或區(qū)域風(fēng)險(xiǎn)咨詢體系或同等機(jī)構(gòu)。c)確保在違反安全規(guī)定、出現(xiàn)漏洞或威脅時(shí)通信手段的可用性。d)促進(jìn)與安全威脅和／或違規(guī)行為應(yīng)對(duì)者的組織化溝通。e)提供本組織在發(fā)生安全違規(guī)事件后的媒體反應(yīng)細(xì)節(jié)，包括溝通策略。f)記錄違反安全規(guī)定的細(xì)節(jié)、采取的行動(dòng)和作出的決定。在適用的情況下，還應(yīng)該考慮并執(zhí)行以下內(nèi)容：-提醒可能受到實(shí)際或即將發(fā)生的安全違規(guī)事件影響的有關(guān)各方。－確保多個(gè)響應(yīng)組織之間的適當(dāng)?shù)膮f(xié)調(diào)和溝通。警告和通信程序應(yīng)作為組織的測(cè)試和培訓(xùn)計(jì)劃的一部分進(jìn)行演練。8.6.4安全計(jì)劃的內(nèi)容組織應(yīng)記錄并維護(hù)安全計(jì)劃。這些計(jì)劃應(yīng)提供指導(dǎo)和信息，以協(xié)助團(tuán)隊(duì)?wèi)?yīng)對(duì)安全漏洞、威脅和／或違規(guī)行為，并協(xié)助組織進(jìn)行應(yīng)對(duì)和恢復(fù)其安全。15ISO28000:2022(e)總的來(lái)說(shuō)，安全計(jì)劃應(yīng)包含。a)各小組將采取的行動(dòng)的細(xì)節(jié)，以。1)繼續(xù)或恢復(fù)可接受的安全狀態(tài)。2)監(jiān)測(cè)實(shí)際或即將發(fā)生的安全威脅、漏洞或違規(guī)行為的影響以及組織對(duì)其的響應(yīng)。b)參考預(yù)定義的閾值(s)和啟動(dòng)響應(yīng)的過(guò)程；c)恢復(fù)組織安全的程序。d)管理安全漏洞和威脅或?qū)嶋H或即將發(fā)生的安全違規(guī)行為的直接后果的細(xì)節(jié)，并適當(dāng)考慮到： 1:1)個(gè)人的福利。2)可能受到損害的資產(chǎn)、信息和人員的價(jià)值。3)防止核心活動(dòng)的（進(jìn)一步）損失或無(wú)法使用。每項(xiàng)計(jì)劃應(yīng)包括：－其目的、范圍和目標(biāo)。－實(shí)施該計(jì)劃的團(tuán)隊(duì)的作用和責(zé)任。－實(shí)施解決方案的行動(dòng)。－啟動(dòng)（包括啟動(dòng)準(zhǔn)則）、操作、協(xié)調(diào)和溝通團(tuán)隊(duì)行動(dòng)所需的信息。－內(nèi)部和外部的相互依存關(guān)系。－其資源的需求。－其報(bào)告的需求。一個(gè)退出的過(guò)程。每個(gè)計(jì)劃應(yīng)在需要的時(shí)間和地點(diǎn)可用和可行。8.6.5恢復(fù)組織應(yīng)記錄相關(guān)過(guò)程，以恢復(fù)組織在違反安全規(guī)定之前、期間和之后采取的任何臨時(shí)措施。9績(jī)效評(píng)價(jià)9.1監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)該組織應(yīng)確定：需要監(jiān)測(cè)和測(cè)量的內(nèi)容。監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)的方法（如適用），以確保有效的結(jié)果。應(yīng)在何時(shí)進(jìn)行監(jiān)測(cè)和測(cè)量。應(yīng)對(duì)監(jiān)測(cè)和測(cè)量的結(jié)果進(jìn)行分析和評(píng)估。16ISO28000:2022(e)應(yīng)提供有記錄的資料作為結(jié)果的證據(jù)。組織應(yīng)評(píng)估安全管理體系的性能和有效性。9.2內(nèi)部審核9.2.1總則組織應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以提供關(guān)于安全管理體系是否存在的信息。a)符合。1)組織本身對(duì)其安全管理體系的要求。2)本標(biāo)準(zhǔn)的要求。b）有效地實(shí)施和維護(hù)。9.2.2內(nèi)部審核方案該組織應(yīng)計(jì)劃、建立、實(shí)施和維持（一個(gè)）審核方案，包括頻率、方法、責(zé)任、策劃要求和報(bào)告。在制定內(nèi)部審核方案時(shí)，組織應(yīng)考慮相關(guān)流程的重要性和以往審核的結(jié)果。該組織應(yīng)：a)確定每項(xiàng)審核的審核目標(biāo)、標(biāo)準(zhǔn)和范圍。b)選擇審核員并進(jìn)行審核，以確保審核過(guò)程的客觀性和公正性。c)確保將審核結(jié)果報(bào)告給相關(guān)管理人員。d)核實(shí)安全設(shè)備和人員是否得到適當(dāng)?shù)牟渴?。e)確保無(wú)不當(dāng)拖延地采取任何必要的糾正措施，以消除所發(fā)現(xiàn)的不符合要求的情況及其原因。f)確保后續(xù)審核行動(dòng)包括對(duì)所采取的行動(dòng)進(jìn)行核查并報(bào)告核查結(jié)果。應(yīng)提供有記錄的信息，作為實(shí)施審核方案和審核結(jié)果的證據(jù)。審核方案，包括任何時(shí)間表，應(yīng)基于對(duì)組織活動(dòng)的風(fēng)險(xiǎn)評(píng)估結(jié)果和以往審核的結(jié)果。審核程序應(yīng)涵蓋范圍、頻率、方法和能力，以及進(jìn)行審核和報(bào)告結(jié)果的責(zé)任和要求。9.3管理評(píng)審9.3.1總則最高管理者應(yīng)按策劃的時(shí)間間隔評(píng)審組織的安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。17ISO28000:2022(e)組織應(yīng)考慮分析和評(píng)價(jià)的結(jié)果以及管理評(píng)審的結(jié)果，以確定是否存在與業(yè)務(wù)或安全管理體系有關(guān)的需求或機(jī)遇，并作為持續(xù)改進(jìn)的一部分加以解決。注：組織可以利用安全管理體系的流程，如領(lǐng)導(dǎo)、計(jì)劃和績(jī)效評(píng)估，來(lái)實(shí)現(xiàn)改進(jìn)。9.3.2管理評(píng)審輸入管理評(píng)審應(yīng)包括。a)以往管理評(píng)審的行動(dòng)狀況。b)與安全管理體系有關(guān)的外部和內(nèi)部間題的變化。c)與安全管理體系有關(guān)的有關(guān)各方的需求和期望的變化。d)關(guān)于安全性能的信息，包括以下方面的趨勢(shì)。1)不符合要求的情況和糾正措施。2)監(jiān)測(cè)和測(cè)量結(jié)果。3)審核結(jié)果。e)持續(xù)改進(jìn)的機(jī)遇。f)對(duì)遵守法律要求和本組織同意的其他要求的審核和評(píng)估結(jié)果。g)來(lái)自外部相關(guān)方的通信，