ISO 28000
ISO 28000:2022 「セキュリティとレジリエンス – セキュリティ管理システム – 要求事項」は、国際標準化機構(ISO)が発行した管理システム規格であり、サプライチェーンに関連する側面を含むセキュリティ管理システムの要求事項を規定しています。[ 1 ]
この規格は、当初ISO/TC 8(船舶及び海事技術)によって開発され、2007年に発行されました。[ 2 ] 2015年にISO 28000シリーズの責任はISO/TC 292(セキュリティとレジリエンス)に移管され、同委員会は2019年に改訂作業を開始することを決定しました。改訂の妥当性調査はISO TMB(技術管理委員会)によって承認されました。[ 3 ] ISO 28000の改訂版は2022年3月15日に発行されました。
範囲と内容
ISOの他のマネジメントシステム規格と同様に、ISO 28000で規定されている要求事項は汎用的であり、業種、規模、業種を問わず、あらゆる組織に適用できることを意図しています。ただし、要求事項の適用範囲は、組織の環境と複雑さによって異なります。
ISO 28000:2022 は 10 の主要な条項に分かれており、附属書 SLで定められた調和された構造と標準化されたテキストを採用しています。
標準は次のように分類されます。
- 範囲
- 規範的参照
- 用語と定義
- 組織の状況
- リーダーシップ
- 計画
- サポート
- 手術
- パフォーマンス評価
- 改善
ISO 28000:2007は、より広範なサプライチェーンマネジメントシステムにおけるセキュリティを標準化するために開発されました。改訂版では、PDCAマネジメントシステムの構造がISO 28000の拡張に採用され、この規格の要素がISO 9001 :2000、ISO 14001 :2004、そして特にISO 22301 :2018といった関連規格と整合するようになりました。また、サプライチェーンにおけるセキュリティの制約が解消されたため、組織のセキュリティのあらゆる側面に適用できることが明確になりました。
利点
ISO 28000 を実装すると、組織全体で実現される幅広い戦略的、組織的、運用上のメリットが得られます。
利点には以下が含まれますが、これらに限定されません。
- セキュリティの向上とそれによる回復力の強化
- 体系化された管理手法
- 信頼性とブランド認知度の向上
- 用語と概念の使用法の統一
- サプライチェーンの側面を含む組織パフォーマンスの向上
- 国際的に認められた基準に照らしたベンチマーク
- コンプライアンスプロセスの強化
リスク管理の統合の改善
この国際規格は、セキュリティ関連リスク(組織とその利害関係者のセキュリティに関連するリスク)の評価と対応に特化しており、ここではISO 31000を参照しています。これは、共通の統合プラットフォームにおいて、既存のエンタープライズリスクマネジメントとのより広範なインターフェースを改善します。この統合的なリスクマネジメントアプローチは、ISO 31000で推奨されており、部門横断的なリスクマネジメントメカニズムの連携強化、パフォーマンス測定の改善、継続的な改善の確保、そして組織内のサイロ思考の防止を目的としています。
応用
ISO 28000:2007は当初、様々な規模の組織が、様々な複雑度のサプライチェーンに適用できるように開発されました。改訂後のISO 28000:2022は、サプライチェーンにとどまらず、組織のあらゆる側面に適用できるようになりました。
組織が ISO 28000:2022 を採用する一般的な理由は次の通りです。
- セキュリティ管理システムの開発、
- セキュリティ管理ポリシーの目的への内部コンプライアンス、
- ベストプラクティスベンチマークへの外部コンプライアンス、
- 規格への適合保証、
- セキュリティ管理システムを効果的かつ調整され統合的に適用することで、組織の回復力を強化します。
ISO 28000:2022は認証可能な規格です。[ 4 ] 2016年に認証取得数が最も多かった国は、インド(425)、日本(299)、スペイン(231)、米国(223)、英国(197)でした。[ 3 ]
歴史
ISO 28000は、もともとISOの技術委員会である船舶・海洋技術に関するISO/TC 8によって公開仕様として開発され[ 2 ]、2005年に発行されました。2007年、ISO/PAS 28000:2005は廃止され、ISO 28000:2007というタイトルの完全なISO規格に置き換えられました。2014年、ISO 28000:2007は見直され、確認されました。[ 5 ] 2015年、ISO/TC 292セキュリティとレジリエンスが規格の責任を引き継ぎ、2019年後半に規格の改訂を開始することを決定しました。[ 6 ] 2022年3月に改訂第2版が発行されました。[ 7 ]
| 年 | 説明 | |
|---|---|---|
| 2005 | ISO/PAS 28000 | |
| 2007 | ISO 28000(第1版) | |
| 2022 | ISO 28000(第2版) |
関連規格
ISO 28000は、以下のISOセキュリティマネジメント規格シリーズの最初のものである。[ 8 ]
- ISO 28001 :2007 サプライチェーンのセキュリティ管理システム – サプライチェーンのセキュリティ、評価、計画を実施するためのベストプラクティス – 要件とガイダンス
- ISO 28002 :2011 サプライチェーンのセキュリティ管理システム – サプライチェーンにおけるレジリエンスの開発 – 使用に関する要求事項とガイダンス
- ISO 28003 :2007 サプライチェーンのセキュリティ管理システム - サプライチェーンセキュリティ管理システムの監査および認証を提供する機関に対する要求事項
- ISO 28004 サプライチェーンのセキュリティ管理システム - ISO 28000 の実装ガイドライン
- ISO 28004-1 :2007 パート1:一般原則
- ISO 28004-2 :2014 パート2:中小規模の港湾業務におけるISO 28000の導入ガイドライン[ 9 ]
- ISO 28004-3 :2014 パート3: 中規模および小規模企業(海上港湾を除く)での使用を目的とした ISO 28000 の採用に関する追加の具体的ガイダンス
- ISO 28004-4 :2014 パート4: ISO 28001への準拠が経営目標である場合のISO 28000の実装に関する追加の具体的ガイダンス
- ISO 28005 サプライチェーン向けセキュリティ管理システム – 電子港湾通関(EPC)
- ISO 28005-1 :2013 パート1:メッセージ構造
- ISO 28005-2 :2011 パート2:コアデータ要素
参照
参考文献
- ^ 「ISO 28000:2022」。2022年5月4日。
- ^ a b「ISO/TC 8 - 船舶および海洋技術」 ISO 2020年11月17日。
- ^ a b「Isotc292」。
- ^ ISO 28000: 2022 セキュリティとレジリエンス - セキュリティマネジメントシステム - 要求事項[1]
- ^ https://www.iso.org/standard/44641.html ISO 28000:2007 サプライチェーンのセキュリティ管理システムの仕様
- ^ "ISOTC292" . www.isotc292online.org .
- ^ "ISOTC292" . www.isotc292online.org .
- ^ 「ISO 28000:2007」 . SRI . 2020年7月27日閲覧。
- ^ 「ISO 28004-2:2014」。ISO 。