SlideShare una empresa de Scribd logo
1 de 119
Presentación ISO 28000:2007
Sistemas de Gestión de la
Seguridad
en la Cadena de Suministro
V 2020
“Casi todas las organizaciones confían de
alguna manera en su cadena de suministro
para asegurar la continuidad del negocio y
son vulnerables, sí el suministro se
interrumpe”
Preocupaciones Globales en la cadena de
suministro por :
• Contrabando de productos
• Contrabando de armas
• Tráfico de falsificaciones
Las perdidas en la cadena de suministro se
estima en 8 billones de euros en la UE.
Donde se aplican controles:
• Puertos
• Aeropuertos
• Puestos de control en fronteras
Gran dificultad para todos por:
• Reduce la velocidad del flujo de las mercancías
• Aumenta el costo
• Agrega barreras para el intercambio
Esto va en contra de:
• Producción JIT
• Reducción de inventarios
• Suministro de diversas fuentes
• Posibilidad de compras en cualquier parte del mundo
Norma ISO 28000
• La norma ISO 28000 “Especificaciones para
los Sistemas de Gestión de la Seguridad para
la Cadena de suministro” se lanzó en el 2007.
Fue la primera norma internacional dirigida
exclusivamente a la seguridad en la cadena de
suministro.
Norma ISO 28000
Los antecedentes de la ISO 28000
• Como consecuencia de la incertidumbre mundial
creada con los atentados del 11 de septiembre de
2001 en EE.UU. las entidades públicas y empresas
privadas comenzaron a tener mayor conciencia de la
necesidad de la protección de sus bienes y activos.
• Además de la legislación de cumplimiento
obligatorio, una serie de normas internacionales han
ido viendo la luz, normas en las que se contienen
requisitos específicos para garantizar la protección de
cada uno de los procesos de las empresas y las
infraestructuras críticas más significativas.
Norma ISO 28000
Para proteger la Seguridad de la Cadena de Suministro,
los Estados Unidos desarrollaron el programa C-TPAT
Customs Trade Partnership Against Terrorism, el cual
es un acuerdo voluntario entre la Aduana de ese país
y la comunidad de negocios para implementar
medidas de seguridad que protejan la cadena de
suministro, y evitar que sea utilizada por terroristas y
delincuentes, como vía para materializar el delito.
Norma ISO 28000
La Organización Mundial de Aduanas, con el referente
de C-TPAT, creó el Marco de Estándares de Seguridad
(Framework of Standars) y en su Asamblea General
del año 2005 promulgó esta iniciativa.
El Parlamento Europeo, en el mismo año, introdujo una
enmienda a su l Código Aduanero Comunitario,
permitiendo que las aduanas de la Comunidad
Europea otorguen beneficios a aquellos actores del
comercio exterior que tengan las condiciones y
cumplan los requisitos para calificarse como
Operador Económico Autorizado OEA.
Norma ISO 28000
• Como no existía un elemento que enlazara el
programa de Estados Unidos y el OEA en
Europa, la ISO International Organization for
Standardization , elabora la norma ISO/PAS
28000:2005 en respuesta a las necesidades de
la industria.
PAS: Publicly Available Specification
Norma ISO 28000
• La Norma ISO 28000 nace al abrigo de la ISO 20858:
Evaluaciones y Plan de Seguridad de la instalación
Marítima y Portuaria; y fue el Comité Técnico ISO/TC
8, “Embarcaciones y Tecnología Marina”, en
coordinación con otros comités técnicos
responsables de nodos específicos de la cadena de
suministro, el encargado de su elaboración.
• La versión revisada técnicamente que hoy se aplica
en todo el mundo es la Norma ISO 28000 se publicó
en el año 2007 y fue desarrollada por ISO/TC292
Seguridad y resiliencia.
ISO 28000. Familia de Normas
• La familia de la serie de normas ISO 28000 es
un conjunto de estándares desarrollados por
International Organization for Standardization (ISO),
que proporcionan un marco de gestión de la
seguridad de la cadena de suministro
alineados con los objetivos de negocio, y
optimizando las inversiones realizadas en
controles o salvaguardas que protejan los
activos.
ISO 28000. Familia de Normas
• ISO 28000:2007
– Define los requisitos de un sistema de gestión de
seguridad. Es la norma certificable
• ISO 28001:2007
– Mejores prácticas para implementar evaluaciones y
planes de seguridad
• ISO 28003:2007
– Requisitos para entidades de auditoría y certificación
• ISO 28002: 2011
– Sistemas de gestión de seguridad para la cadena de suministro.
Desarrollo de resiliencia en la cadena de suministro.
Requisitos con orientación para su uso.
ISO 28000. Familia de Normas
• ISO 28004:2007
– Guía para la implementación de ISO 28000
• ISO/PAS 28005:2009
– Aplicaciones informáticas para el despacho de aduanas.
– Contiene las especificaciones técnicas para el correcto
intercambio de información entre la embarcación, el puerto y
las autoridades costeras
ISO: International Organization for Standardization
PAS: Publicly Available Specification
ISO 28000. Familia de Normas
Relación entre ISO 28000 e ISO 28001
ISO 28000
• Requisitos sistema de gestión.
• Aspectos críticos a la garantía de la seguridad de la
cadena de suministro.
ISO 28001
• Mejores prácticas para implementar evaluaciones y
planes de seguridad.
• ISO 28001 Complementa a la norma ISO 28000.
Ambas normas son absolutamente compatibles
ISO 28000. Normas Relacionables
• ISO 20858:2007
– Evaluaciones y Plan de Seguridad de la instalación
Marítima y Portuaria
• ISO 22301: 2019
– Gestión de la Continuidad de Negocio
• ISO/IEC 27001:2013
− Gestión de la Seguridad de la Información
Además de sistemas de gestión de calidad y medio
ambiente
Norma ISO 28000
Aplicación
• Es adecuada para todos los tipos de organización,
de cualquier tamaño, que estén involucrados en la
fabricación, compra, producción, servicio,
almacenaje, transporte (por mar, carretera, vía aérea
y ferrocarril) y/o en procesos de ventas; que deseen
establecer, implementar, mantener y mejorar un
sistema de gestión de seguridad en cualquiera de
las fases de producción o de cadena de suministro.
Norma ISO 28000
• El objetivo de la norma es proporcionar un
marco de buenas prácticas para reducir
los riesgos para las personas y las cargas en
la cadena de suministro.
Norma ISO 28000
• Trata temas potenciales de seguridad en todas
las fases del proceso de suministro,
centrándose especialmente en las áreas de
logística.
• También, se concentra en mitigar los efectos
de los incidentes de seguridad.
Norma ISO 28000
• Los aspectos críticos de seguridad en la cadena de
suministro, pueden incluir aspectos financieros, de
fabricación, gestión de la información y logística,
almacenamiento y depósito de mercancías.
• Y son aplicables a organizaciones de todos los
tamaños, en los sectores de fabricación, servicios,
almacenaje o transporte, y en cualquiera de sus fases
de producción o de la cadena de suministro.
Norma ISO 28000
• El desarrollo y la promulgación de un marco
legislativo nuevo, así como de políticas específicas
para la protección de infraestructuras críticas ha sido
un avance dentro del ámbito de la seguridad.
• La norma ISO 28000, es imprescindible en
instalaciones portuarias, aeropuertos, grandes
centros comerciales, compañías de suministro de
energía, empresas de transporte y sector ferroviario,
etc.
Norma ISO 28000
La norma ISO 28000 de Seguridad de la Cadena de
suministro proporciona a las organizaciones:
• Probar la existencia de un sistema fuerte y seguro de
gestión de su cadena de suministro frente a los
clientes y las partes interesadas.
• Proporcionar un enfoque coherente común a todos
los proveedores dentro de su cadena de suministro.
• Demostrar que la organización se compromete a
alcanzar la satisfacción del cliente.
Norma ISO 28000
• Evaluar sus riesgos de seguridad y a implantar
controles o atenuantes para gestionar las amenazas
y potenciales impactos en la seguridad de su cadena
de suministro.
• Facilitar la integración, ya que al utilizar un sistema
de gestión basado en el método “Plan-Do-Check-
Act” ya implantado y probado en las norma ISO
9001, ISO 14001, ISO 45001, ISO 22000, ISO 26000 ,
ISO 31000 , ISO 27001 las organizaciones ya
familiarizadas con este enfoque basado en riesgos,
pueden utilizar un enfoque similar para analizar los
peligros y los riesgos de seguridad de su cadena de
suministro.
Norma ISO 28000
¿Cuáles son las principales ventajas?
• Garantía de una sistemática de operaciones
orientadas al control de los riesgos así como la
implantación de medidas para su mitigación.
• Mejora la seguridad de la evaluación de riesgos, la
protección de los activos y la visibilidad del
inventario y la gestión
• Asegura la continuidad del suministro para el
desarrollo organizacional sostenible y la reducción de
los plazos de entrega
Norma ISO 28000
¿Cuáles son las principales ventajas?
• Mejora la satisfacción del cliente y la cooperación
organizacional a lo largo de la cadena de suministro
• Optimización de los procesos de la organización con
la consecuente mejora de costos, seguridad, eficacia,
etc.
• Da valor añadido a la organización en sus
operaciones comerciales.
• Da a la organización una herramienta competitiva y
diferencial que puede ser esgrimida como arma
comercial ante clientes, autoridades e inversores.
Norma ISO 28000
¿Cuáles son las principales ventajas?
• Reduce las pérdidas como resultado de los robos en
el transporte
• Menos tiempo de despacho de aduana y la
reducción de inspecciones secundarias
• Cumplimiento con otros reglamentos y esquemas de
cadena de suministro Customs Trade Partnership
Against Terrorism (C-TPAT) y Operador Económico
Autorizado (OEA).
Norma ISO 28000
• Sigue el ciclo de mejora continua PDCA (Plan, Check, Do,
Act).Con un enfoque basado en la evaluación del riesgo.
Norma ISO 28000
Estructura de la norma ISO 28000
Los elementos básicos y fundamentales a tener en
cuenta para el correcto desarrollo e implantación
de la norma son:
1. Objetivos y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Elementos del sistema de gestión de seguridad
Anexo A
Norma ISO 28000
1. Objetivos y campo de aplicación
a) Establecer, implementar, mantener y mejorar un
sistema de gestión de la seguridad de la cadena de
suministro.
b) Conformidad con la política de gestión de la
seguridad de la cadena de suministro.
c) Demostrar Conformidad ante otros.
d) Certificación/registro de su sistema de gestión de la
seguridad por un organismo de certificación.
e) Realizar una auto-determinación y auto-declaración
de conformidad.
Norma ISO 28000
• El propósito de la norma ISO28000 es , garantizar
que los riesgos de la seguridad de la cadena de
suministro sean gestionados adecuadamente por la
organización.
• La norma ISO28000 especifica los requisitos para un
sistema de gestión de la seguridad , incluyendo
aquellos aspectos críticos para el aseguramiento de
la seguridad de la cadena de suministro.
• Marco para la gestión de la seguridad y la medición
de los puntos críticos de cualquier empresa y sus
procesos.
2. Referencias normativas
No hay referencias normativas en este
documento.
Norma ISO 28000
3.Términos y definiciones
Cadena de suministro
Conjunto relacionado de recursos y procesos que comienza con
la provisión de materias primas y se extiende hasta la
entrega de productos o servicios al usuario final a través de
los medios de transporte
Norma ISO 28000
Seguridad
• Resistencia al acto o actos intencionados y no
autorizados, destinados a causar daño o perjuicio a la
cadena de suministro o a través de ella.
• ¿y no intencionados?
Norma ISO 28000
Gestión de la Seguridad
• Actividades y prácticas sistemáticas y coordinadas a
través de las cuales una organización gestiona de
manera óptima sus riesgos y las amenazas e
impactos potenciales asociados
Norma ISO 28000
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.1 Requisitos generales
4.2 Política de la gestión de la seguridad
4.3 Evaluación de los riesgos de la seguridad y
planificación
4.4 Implementación y operación
4.5 Verificación y acción correctiva
4.6 Revisión por la dirección y mejora continua
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
Planificar
Hacer
Verificar
Actuar
Ciclo de Demming
Se trata de un enfoque basado en la evaluación del riesgo.
• Planificar
− Alineamiento Negocio – Seguridad
• Hacer
− Implantar medidas de seguridad
• Verificar
− ¿Se hacen las cosas como se han definido?
− ¿Se mitiga el riesgo en el nivel supuesto?
• Actuar
− Corregir y mejorar
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
La gestión de la seguridad bajo la norma ISO 28000
permite desarrollar una resistencia efectiva a las
acciones intencionales que pretendan causar daños o
perjuicios a la Cadena de Suministro, y los Estándares
OEA y C-TPAT conformarán los programas de
seguridad , que mediante metas definidas
permitirán alcanzar los objetivos de seguridad , que
se han orientado conforme a la política de Seguridad
de cada actor de la Cadena de Suministro.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
la columna vertebral de la norma de seguridad para la
cadena de suministro es una adecuada
identificación de amenazas , evaluación de riesgos,
que luego de valorados indiquen su probabilidad de
ocurrencia y su impacto en la cadena, permitirá
determinar las acciones de mitigación que sea
necesario implementar.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.1 Requisitos generales
El primer elemento de la norma consiste en desarrollar,
mantener, documentar y mejorar un sistema de
gestión de seguridad que sea capaz de identificar
amenazas, evaluar los riesgos y en base a ellos
tomar las acciones necesarias que permitan
anticipar los riesgos y mitigar el impacto en caso de
que se materialicen.
Muchas organizaciones mapean sus cadenas de
suministro para poder identificar los puntos débiles
de la cadena que pueden interferir en el servicio al
cliente y prever problemas antes de que ocurran.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.1 Requisitos generales
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.1 Requisitos generales
El Alcance debe incluir todas las acciones, procesos y
movimientos de la carga, tanto aguas arriba como
aguas abajo deberíamos integrar dentro del alcance
las actividades principales de la organización así
como el resto de actividades críticas requeridas en lo
que se refiere a la gestión de la seguridad de la
cadena de suministro o bien actividades
relacionadas que puedan afectar a la seguridad de
empleados y/o partes interesadas.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.1 Requisitos generales
Procesos subcontratados:
Asegurar que los procesos subcontratados se
controlan, deberán someterse también a una
evaluación de riesgos, quedando incluidos dentro del
alcance.
Se deben identificar dentro del sistema de gestión de la
seguridad los controles y responsabilidades
necesarios para dichos procesos contratados
externamente.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
Planificar
• 4.2Política de Seguridad
• 4.3 Evaluación y Planificación de Riesgos
– Análisis de Riesgos
– Marcar objetivos y metas
• Todo objetivo está compuesto por una serie de
metas, que unidas y alcanzadas conforman el
objetivo
– Gestión del riesgo
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.2 Política de la gestión de la seguridad
El segundo elemento es la determinación de la Política
de Seguridad:
Esta política nos permite orientar el establecimiento
de los objetivos, sus metas y los programas
específicos que permitan gestionar los riesgos y
asegurar la cadena de suministro.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.2 Política de la gestión de la seguridad
Debe ser apropiada a las amenazas que enfrenta la
organización, incluir el compromiso de cumplir con
la legislación y tener un respaldo visible de la alta
dirección
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.2 Política de la gestión de la seguridad
• Es una declaración clara del compromiso de la alta
dirección en materia de seguridad.
• Marca las tanto las directrices como los principios en
dicha materia para la Organización.
• Determina los objetivos globales en materia de
seguridad así como su responsabilidad.
• La política de seguridad de la organización puede
incluir información crítica o clave para la
organización por lo que suele ser habitual publicar
una política general resumen que pueda hacerse
pública.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.2 Política de la gestión de la seguridad
Las entradas típicas para una política de la gestión de la
seguridad son:
• El resto de políticas u objetivos de la organización críticas
para su negocio.
• Actividades tanto pasadas como presentes en materia de
seguridad de la empresa.
• Necesidades de los grupos de interés de la organización:
Accionistas, clientes, etc.
• Oportunidades de mejora para la organización.
• Recursos para su consecución.
• Contribución de los empleados, contratistas y terceros.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.2 Política de la gestión de la seguridad
La alta dirección, para formular y comunicar una Política de
Seguridad eficazmente, debería:
Adecuarla a la naturaleza y los riesgos de seguridad de la
organización mediante una identificación de amenazas,
evaluación y gestión del riesgo como núcleo de gestión del
sistema de seguridad.
Manifestar un compromiso con la mejora continua:
Vinculándolo con las responsabilidades legales, nacionales,
regulatorias así como cualquier pauta adicional de aplicación
por la organización para la mejora del desempeño en materia
de seguridad de la cadena de suministro. Esto debería
hacerse eco a su vez a través de los objetivos de seguridad y
gestionarse conforme el programa de gestión de seguridad.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.2 Política de la gestión de la seguridad
Incluir un compromiso para dar, al menos, conformidad a las
regulaciones aplicables y requisitos adicionales contemplados
por la organización en materia de seguridad.
Documentar, implementar y mantener. La eficacia de la política
de seguridad radica en su documentación y revisión periódica
para la ajustarse a las nuevas necesidades de la organización
en materia de seguridad.
Comunicarse a todos los empleados: Los empleados deben
participar y comprometerse activamente con la seguridad.
Deben ser conscientes de los efectos sobre la seguridad de la
compañía tiene su propio trabajo así como sus acciones.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.2 Política de la gestión de la seguridad
• Estar disponible: Cualquier grupo de interés debería
ser capaz de consultar la política activamente para el
correcto desempeño de su actividad. Ya sea interno o
externo.
• Revisarse periódicamente: Debe adaptarse a los
cambios técnicos, reglamentarios, de requisitos de
negocio, etc. de la organización.
La política de seguridad constituye un documento
vivo y por tanto su actualización resulta
indispensable.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación de los riesgos de la seguridad y
planificación
El tercer elemento es la evaluación del Riesgo de la
seguridad y la planificación del Sistema de Gestión.
En este paso se identifica de manera efectiva el riesgo,
se planifican las acciones a seguir, se establecen los
objetivos de seguridad que se pretenden alcanzar y
se fijan las metas en base a un análisis del contexto
de la organización, sus metas y objetivos
corporativos.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgos de la
seguridad
• La organización debe establecer y mantener
procedimientos para la identificación y evaluación
de las amenazas a la seguridad y su gestión así como
la identificación e implementación de las medidas
de control necesarias.
• Los métodos de identificación de amenazas y riesgos,
los de evaluación y los de control deberían de ser
apropiados a la naturaleza y escala de las
operaciones.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgos de la seguridad
4.3.1 Evaluación del riesgo de seguridad
La evaluación de riesgos debe incluir:
• Amenazas y riesgos de fallo físico.
• Amenazas y riesgos operacionales.
• Sucesos naturales que conviertan las medidas en ineficaces.
• Factores ajenos al control de la organización.
• Amenazas y riesgos de las partes afectadas, no cumplir
reglamentaciones , daño de la reputación, marca etc.
• Diseño e instalación del equipo de seguridad.
• Gestión de la información y las comunicaciones.
• Amenazas a la continuidad de las operaciones.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgos de la seguridad
4.3.1 Evaluación del riesgo de seguridad
La organización debe asegurar que se consideren los resultados
de estas evaluaciones y los efectos de estos controles
cuando resulte apropiado debe proporcionar elementos de
entrada a:
• Los objetivos y metas de gestión de la seguridad
• Los programas de gestión de la seguridad
• La determinación de requisitos para el diseño, especificación
e instalación.
• La identificación de recursos adecuados, incluidos los niveles
de contratación de personal.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgos de la seguridad
4.3.1 Evaluación del riesgo de seguridad
• La identificación de necesidades de formación y habilidades
(véase numeral 4.4.2)
• El desarrollo de controles operacionales (véase el numeral
4.4.6)
• La estructura general de gestión de amenazas y riesgos de la
organización.
• La organización debe documentar y mantener actualizada la
anterior información.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la seguridad
4.3.1 Evaluación del riesgo de seguridad
La metodología de la organización para la identificación y
evaluación de riesgos debe:
• Estar definida respecto a su alcance, naturaleza,
programación en el tiempo, para asegurar que sea proactiva
en vez de reactiva.
• Incluir la información recolectada acerca de las amenazas y
riesgos de la seguridad.
• Proporcionar la clasificación de amenazas y riesgos y la
identificación de aquellos que deben evitarse, eliminarse o
controlarse.
• Proporcionar el seguimiento de las acciones para garantizar
su eficacia y oportuna implementación (véase numeral 4.5.1)
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la
seguridad
4.3.2 Cumplimiento legal y reglamentario
• La organización debe establecer, implementar y
mantener un procedimiento:
• Para identificar y tener acceso a los requisitos
legales aplicables y otros requisitos que suscribe la
organización en relación con sus amenazas y riesgos
para la seguridad, y para determinar cómo se
aplican estos requisitos a sus amenazas y riesgos
para la seguridad
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la
seguridad
4.3.2 Cumplimiento legal y reglamentario
• La organización debe mantener actualizada esta
información y debe comunicar la información
pertinente sobre requisitos legales y otros a sus
empleados y terceras partes pertinentes, incluidos
los contratistas.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la
seguridad
4.3.3 Objetivos desarrollados para la gestión de la
seguridad de la cadena de suministro
La organización debe establecer, implementar y
mantener objetivos de gestión de la seguridad
documentados, en las funciones y niveles
pertinentes dentro de la organización
Los objetivos deben derivarse de la política y ser
coherentes con ella.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la seguridad
4.3.3 Objetivos desarrollados para la gestión de la seguridad de
la cadena de suministro
Al establecer y revisar sus objetivos una organización debe tener
en cuenta:
• Requisitos legales, estatutarios y otros de reglamentación
sobre seguridad
• Amenazas y riesgos relacionados con la seguridad
• Opciones tecnológicas y otras
• Requisitos financieros, operacionales y empresariales
• Puntos de vista de las partes interesadas apropiadas
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la
seguridad
4.3.3 Objetivos desarrollados para la gestión de la
seguridad de la cadena de suministro
Los objetivos de gestión de la seguridad deben:
Ser coherentes con el compromiso de la organización
con la mejora continua
Cuantificarse (cuando sea posible)
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la
seguridad
4.3.3 Objetivos desarrollados para la gestión de la
seguridad de la cadena de suministro
Comunicarse a todos los empleados y terceras partes
pertinentes, incluidos los contratistas, con la
intención de que estas personas sean conscientes de
sus obligaciones individuales
Revisarse periódicamente para garantizar que sigan
siendo pertinentes y coherentes con la política de
gestión de la seguridad. Cuando sea necesario, se
deben corregir de acuerdo con los objetivos de
gestión de la seguridad.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la
seguridad
4.3.3 Objetivos desarrollados para la gestión de la
seguridad de la cadena de suministro
La cláusula describe cómo han de establecerse los
objetivos de la empresa asociados a esta norma.
Los objetivos de seguridad deben estar alineados con la
política de seguridad de la organización. Los
objetivos deben ser medibles y emplearse allí donde
sea necesario para la organización.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la seguridad
4.3.3 Objetivos desarrollados para la gestión de la seguridad de
la cadena de suministro
Los objetivos de seguridad deberían englobar:
• Seguridad Corporativa: Objetivos de alto nivel para la
compañía.
• Objetivos Específico: De más bajo nivel y más cercano a la
actividad in situ.
Los objetivos de seguridad corporativa suelen ir vinculados a
planes que por tiempo e inversión suelen retrasarse su
implementación y suelen incluir políticas generales de la
corporación.
Los objetivos específicos son mucho más cercanos a la actividad
como, por ejemplo, la disminución de incidencias relativas a
un evento de seguridad.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la
seguridad
4.3.4 Metas
La organización debe establecer, implementar y
mantener las metas de gestión de la seguridad
documentadas, apropiadas para las necesidades de
la organización. Las metas deben derivarse de los
objetivos de gestión de la seguridad y ser
coherentes con ellos.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la seguridad
4.3.4 Metas
Estas metas deben:
• Tener un nivel apropiado de detalle, ser específicos,
medibles, obtenibles, pertinentes y con base en el tiempo
(cuando sea aplicable)
• Comunicarse a todos los empleados y terceras partes
pertinentes, incluidos los contratistas, con la intención de que
estas personas sean conscientes de sus obligaciones
individuales.
• Revisarse periódicamente para asegurar que sigan siendo
pertinentes y coherentes con los objetivos de gestión de la
seguridad.
• Donde sea necesario, las metas se deben ajustar
consecuentemente.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la seguridad
4.3.4 Metas
• Se definen los requisitos a emplear por el sistema de gestión
para su definición e implementación. Constituyen métricas
parciales para el análisis de la implementación y evolución de
los objetivos.
• Las entradas que deberían considerar las metas de la
organización son los mismos que constituyen para los
objetivos.
• Las metas siempre deberán ser alcanzables al igual que los
objetivos a los que están asociados. Los programas de
seguridad deberían incidir en las metas a aplicar así como en
el método de implementación y medición a emplear.
• Deben ser específicas, medibles y estar siempre planificadas
bajo un horizonte temporal.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la seguridad
4.3.4 Metas
Debemos estar atentos a la retroinformación específica de las
metas, esto es, estar atentos a cuanta información tal como
incidentes de actividades sobre las que incide directamente la
meta.
Debido a la relación causa- efecto establecida entre objetivos y
metas debemos valorar la información obtenida de las metas
para valorar los objetivos.
Puede ser que los datos obtenidos de las metas descubramos
fallos en la planificación de los objetivos.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la seguridad
4.3.4 Metas
Cuando analicemos las metas, necesariamente, deberíamos
analizar los objetivos a los que están asociados. Al modificar
una meta debemos valorar el efecto potencial que ocasionará
sobre el objetivo.
Deberemos definir indicadores oportunos para cada meta de
seguridad.
Cada indicador debe mostrarnos un seguimiento veraz de la
implementación de las metas.
Deberíamos definir un período de tiempo en el que alcanzar la
meta. Debemos comunicar las metas al personal oportuno
como parte de la información referida a sus funciones y
responsabilidades
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la
seguridad
4.3.5 Programas de Gestión de la Seguridad
La organización debe establecer, implementar y
mantener programas de gestión de la seguridad
para lograr sus objetivos y metas.
Los programas deberán optimizarse y luego priorizarse
y la organización debe prever el uso de los costos de
manera eficiente y eficaz en la implementación de
estos programas.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.3 Evaluación y planificación de los riesgo de la seguridad
4.3.5 Programas de Gestión de la Seguridad
Se debe incluir documentación que describa:
La responsabilidad y autoridad designada para lograr objetivos
y metas de gestión de la seguridad.
Los medios y la escala en el tiempo por medio de los cuales se
logran los objetivos y metas de gestión de la seguridad.
Los programas de gestión de la seguridad deben revisarse
periódicamente para asegurar que se mantienen efectivos y
coherentes con los objetivos y metas.
Cuando sea necesario, los programas se deben ajustar
consecuentemente.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
Hacer
4.4 Implementación y operación
• Responsabilidades de seguridad
• Competencia, formación y concienciación
• Control operacional
− Para las actividades relacionadas con la
seguridad y la gestión del riesgo
• Respuesta ante incidentes
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
Es el cuarto elemento considerado la planificación del
sistema lleva a la implementación de los programas
que se definieron, para lo cual hay que establecer
una comunicación efectiva, una estructura
documental que soporte el sistema y brinde
trazabilidad y debe definirse cómo responder ante
una emergencia, considerando también cómo
recuperarse de la misma.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
Se deben definir:
• Responsabilidades y competencia
• Comunicación
• Documentación
• Control operacional
• Preparación ante emergencias
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.1 Estructura, autoridad y responsabilidades de la gestión de
la seguridad
• La organización debe establecer, y mantener una estructura
organizacional de funciones, responsabilidades y autoridad,
de manera coherente con el logro de su política, objetivos,
metas y programas de gestión de la seguridad.
• Estas funciones, responsabilidades y autoridades se deben
definir, documentar y comunicar a los individuos
responsables de la implementación y mantenimiento.
• La alta dirección debe presentar evidencia de su compromiso
con el desarrollo e implementación del sistema de gestión
de la seguridad (procesos) y mejorar continuamente su
eficacia mediante las siguientes acciones:
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.1 Estructura, autoridad y responsabilidades de la gestión de
la seguridad
• Nombrar un miembro de la alta dirección quien,
independientemente de sus otras responsabilidades, debe ser
responsable del diseño, mantenimiento, documentación y
mejora generales del sistema de gestión de seguridad de la
organización.
• Nombrar un miembro ( o varios) de la dirección, con la
autoridad necesaria para garantizar que se implementen
objetivos y metas.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.1 Estructura, autoridad y responsabilidades de la gestión de
la seguridad
• Identificar y hacer seguimiento a los requisitos y
expectativas de las partes interesadas de la organización y
emprender las acciones apropiadas y oportunas para manejar
dichas expectativas.
• Garantizar la disponibilidad de recursos adecuados.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.1 Estructura, autoridad y responsabilidades de la
gestión de la seguridad
• Considerar el impacto adverso que la política,
objetivos, las metas, los programas, etc, de gestión
de la seguridad pueden tener en otros aspectos de la
organización.
• Garantizar que cualquier programa de seguridad
generado por otras partes de la organización
complemente el sistema de gestión de
la seguridad.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.1 Estructura, autoridad y responsabilidades de la gestión de
la seguridad
• Comunicar a la organización la importancia de cumplir sus
requisitos de gestión de la seguridad a fin de cumplir con su
política.
• Garantizar que las amenazas y riesgos de la seguridad sean
evaluados y se incluyan en evaluaciones de amenazas y
riesgos organizacionales, según resulte apropiado.
• Garantizar la viabilidad de los objetivos, metas y programas
de gestión de la seguridad.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.2. Competencia, formación y toma de conciencia
La organización debe garantizar que el personal responsable del
diseño, operación y gestión de equipos y procesos de
seguridad esté calificado adecuadamente en lo relativo a
educación, entrenamiento o experiencia o ambas.
La organización debe establecer y mantener procedimientos
para que las personas que trabajan para ella o en su
nombre sean concientes de:
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.2. Competencia, formación y toma de conciencia
• La importancia del cumplimiento de la política y
procedimientos de gestión de la seguridad y los requisitos del
sistema de gestión de la seguridad.
• Sus funciones y responsabilidades en el logro de la
conformidad con la política y procedimientos de gestión de la
seguridad y con los requisitos del sistema de gestión de la
seguridad, incluidos los requisitos de preparación y respuesta
ante emergencias.
• Las consecuencias potenciales que tiene para la seguridad de
la organización desviarse de los procedimientos de operación
especificados.
• Se deben llevar registros de competencia y entrenamiento
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.3. Procedimientos de comunicación
La organización debe contar con procedimientos para asegurar
que la información pertinente de gestión de la seguridad se
comunica hacia y desde los empleados relevantes,
contratistas y otras partes interesadas.
Debido a la naturaleza confidencial de alguna información
relacionada con seguridad, se debería considerar
adecuadamente la sensibilidad de la información antes de
su divulgación.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.4 Documentación
La organización debe establecer y mantener un sistema de
documentación de gestión de la seguridad que incluya los
siguientes aspectos (sin limitarse a ellos):
• La política, objetivos y metas de seguridad
• La descripción del alcance del sistema de gestión de la
seguridad
• La descripción de los elementos principales del sistema de
gestión de la seguridad y su interacción y referencia con
documentos relacionados.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.4 Documentación
Los documentos incluidos registros, exigidos en la Norma ISO
28000
Los documentos incluidos registros, determinados por la
organización como necesarios para garantizar la planificación,
operación y control eficaces de los procesos relacionados con
sus amenazas y riesgos para la seguridad significativos.
La organización debe determinar la confidencialidad de la
información de seguridad y tomar las medidas para evitar el
acceso no autorizado a ella.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.5 Control de Documentos y Datos
La organización debe establecer y mantener procedimientos
para controlar todos los documentos, datos e información
exigidos en el numeral 4 de la Norma a fin de garantizar que:
Sólo individuos autorizados puedan localizar y tener acceso a
estos documentos, datos e información.
Personal autorizado revise periódicamente estos documentos,
datos e información, los actualice según sea necesario y
apruebe su conveniencia.
Se encuentren disponibles versiones actuales de los
documentos, datos e información pertinentes en todos los
lugares donde se realicen operaciones esenciales para el
funcionamiento efectivo del sistema de gestión de la
seguridad.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.5 Control de Documentos y Datos
Los documentos, datos e información obsoletos sean retirados
con prontitud de todos los puntos de emisión y de uso, o se
asegure de otro modo que no se haga uso indeseado de ellos
Se identifiquen adecuadamente los documentos de archivo,
datos e información que se conservan con propósitos legales
o de preservación del conocimiento o ambos
Dichos documentos, datos e información sean seguros y si se
encuentran en formato electrónico, deben tener copia de
seguridad adecuada y se puedan recuperar.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.6. Control operacional
La organización debe identificar aquellas operaciones y
actividades que sean necesarias para lograr:
a. Su política de gestión de la seguridad
b. El control de las actividades y mitigación de amenazas
identificadas como un riesgo significativo
c. La conformidad con requisitos legales, estatutarios y otros
requisitos de reglamentación
d. Sus objetivos de gestión de la seguridad
e. La ejecución de sus programas de gestión de la seguridad
f. El nivel requerido de seguridad de la cadena de suministro
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.6. Control operacional
La organización debe garantizar que estas operaciones
y actividades se realicen bajo las condiciones
especificadas mediante:
El establecimiento, implementación y mantenimiento
de procedimientos documentados para controlar
situaciones en las que su ausencia podría conducir a
falle en el logro de las operaciones y actividades
enunciadas en el numeral 4.4.6, literales a) a f).
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.6. Control operacional
La evaluación de cualquier amenaza que surja de las
actividades aguas arriba de la cadena de suministro y
aplicación de controles para mitigar estos impactos
en la organización y otros operadores aguas abajo
de la cadena de suministro.
El establecimiento y mantenimiento de los requisitos
para bienes y servicios que tienen impacto en la
seguridad, y comunicación de estos a proveedores y
contratistas.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.6. Control operacional
Estos procedimientos deben incluir controles para el
diseño, instalación, operación, renovación y
modificación de elementos de equipos,
instrumentación, etc, relacionados con la seguridad ,
según resulte apropiado.
Cuando se actualicen las disposiciones existentes o se
introduzcan nuevas que puedan causar impacto en
las operaciones y actividades de gestión de la
seguridad, la organización debe considerar las
amenazas y riesgos de la seguridad asociados
antes de su implementación.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.6. Control operacional
Las disposiciones nuevas o actualizadas que se vayan a
considerar deben incluir:
La estructura, funciones o responsabilidades organizacionales
actualizadas
La política, objetivos, metas y programas de gestión de la
seguridad actualizados
Los procesos y procedimientos actualizados
La introducción de nueva infraestructura, equipos o tecnología
de seguridad que pueden incluir hardware o software o
ambos
La introducción de nuevos contratistas, proveedores o personal,
según sea apropiado.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.7 Preparación y Respuesta Ante Emergencias y
Recuperación de la Seguridad
La organización debe establecer, implementar y mantener
planes y procedimientos apropiados para identificar el
potencial y las respuestas ante incidentes de seguridad y
situaciones de para evitar emergencias y y mitigar las
consecuencias probables que se puedan asociar con ellos.
Los planes y procedimientos deben incluir información acerca de
la disposición y mantenimiento de cualquier equipo,
instalaciones o servicios identificados que puedan requerirse
durante o después de los incidentes o situaciones de
emergencia.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.4 Implementación y operación
4.4.7 Preparación y Respuesta Ante Emergencias y
Recuperación de la Seguridad
La organización debe revisar periódicamente la
eficacia de sus planes y procedimientos de
preparación y respuesta ante emergencias y
recuperación de la seguridad, en especial después
de que ocurren incidentes o situaciones de
emergencia causados por infracciones y amenazas a
la seguridad. La organización debe poner a prueba
periódicamente estos procedimientos.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
Preparación ante emergencias
Planes y procedimientos para identificación,
respuestas y gestión de los potenciales
incidentes a la seguridad y las acciones de
emergencias.
Planificar - Hacer
De esta evaluación se obtendrá la información necesaria para:
• Establecer los objetivos y las metas para la gestión de la
seguridad.
• Establecer los programas de gestión de la seguridad.
• La determinación de los requisitos para el diseño, la
especificación y la implantación del sistema de gestión.
• La identificación de los recursos necesarios.
• La identificación de las necesidades de formación y las
habilidades.
• El desarrollo de los controles operacionales.
• El marco de trabajo para la gestión de los riesgos globales de
la organización.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
Verificar
4.5 Verificación y acción correctiva
• Medición del desempeño
• Estudio de fallos e incidentes
• Auditorías
• Revisión por la Dirección
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
El quinto elemento de la norma es la etapa de
Verificación; con ella la organización determina
cómo funciona su sistema. La utilidad de un sistema
de medición que permita objetivamente revisar su
desempeño. La evaluación del sistema, el control de
los registros y la auditoría interna son elementos que
componen esta etapa y que son el elemento de
entrada para el sexto y último elemento Revisión por
la Dirección y mejora continua.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
Se deben determinar:
• Medición y seguimiento
• Evaluación del sistema
• No Conformidades, Acciones Correctivas,
incidentes, fallos
• Registros
• Auditorías
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.1 Medición y Seguimiento del Desempeño de la Seguridad
La organización debe establecer y mantener procedimientos
para hacer seguimiento y medir el desempeño de sus
sistema de gestión de la seguridad.
Además debe establecer y mantener procedimientos para el
seguimiento y medición del desempeño de la seguridad.
Al establecer la frecuencia de medición y seguimiento de los
parámetros de desempeño clave, la organización debe
considerar las amenazas y riesgos de seguridad asociados,
incluidos los mecanismos de deterioro potencial y sus
consecuencias.
Estos procedimientos deben proporcionar
Medidas tanto cualitativas como cuantitativas,
apropiada para las necesidades de la organización.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.1 Medición y Seguimiento del Desempeño de la
Seguridad
• Seguimiento del grado en que se cumplen la política,
objetivos y metas de gestión de la seguridad de la
organización
• Medidas proactivas de desempeño para hacer el
seguimiento a la conformidad con los programas de
gestión de la seguridad, los criterios de control
operacionales y legislación aplicable, los requisitos
estatutarios y otros requisitos de reglamentación
sobre seguridad.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.1 Medición y Seguimiento del Desempeño de la
Seguridad
• Medidas reactivas de desempeño para hacer el
seguimiento de deterioro, fallas, incidentes, no
conformidades (incluidas las fallas que estuvieron a
punto de ocurrir y las falsas alarmas) relacionadas
con la seguridad y otra evidencia histórica de
desempeño eficiente del sistema de gestión de la
seguridad
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.1 Medición y Seguimiento del Desempeño de la Seguridad
Registro de datos y resultado de seguimiento y medición
suficientes para facilitar el análisis de las acciones
preventivas y correctivas posteriores. Si se requiere equipo
de seguimiento para el desempeño y la medición o
seguimiento o todos ellos, la organización debe exigir que se
establezca y mantengan procedimientos para la calibración y
mantenimiento de dicho equipo. Se deben conservar registros
de las actividades de calibración y mantenimiento durante un
tiempo suficiente para cumplir con la legislación y la política
de la organización.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.2 Evaluación de Seguridad
La organización debe evaluar los planes, procedimientos y
capacidades de gestión de la seguridad por medio de
revisiones periódicas, ensayos, informes posteriores a los
incidentes, lecciones aprendidas, evaluaciones de
desempeño y ejercicios. Los cambios significativos en estos
factores deben reflejarse de inmediato en el (los)
procedimiento (s).
La organización debe evaluar periódicamente la conformidad
con la legislación y las reglamentaciones pertinentes, las
mejores prácticas industriales y la conformidad con su propia
política y objetivos.
La organización debe llevar registros de los resultados de las
evaluaciones periódicas.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.3 Fallas Relacionadas con la Seguridad, Incidentes, No
Conformidades, Acciones Correctivas y Preventivas
La organización debe establecer, implementar y mantener
procedimientos para definir la responsabilidad y autoridad
para:
Evaluar e iniciar acciones preventivas para identificar las fallas
potenciales en la seguridad, a fin de que se pueda evitar que
ocurran.
Investigar los siguientes aspectos relacionados con la seguridad:
1- Fallas, incluidas las que estuvieron apunto de ocurrir y las
falsas alarmas
2- Incidentes y situaciones de emergencia
3- No conformidades
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.3 Fallas Relacionadas con la Seguridad, Incidentes, No
Conformidades, Acciones Correctivas y Preventivas
Emprender acciones para mitigar cualquier consecuencia de
dichas fallas, incidentes o no conformidades.
Iniciar y completar las acciones correctivas
Confirmar la eficacia de las acciones correctivas emprendidas
Estos procedimientos deben exigir que se revisen todas las
acciones correctivas y preventivas propuestas por medio del
proceso de evaluación de amenazas y riesgos de seguridad
antes de la implementación, a menos que la implementación
inmediata impida exposiciones inminentes para la vida o
seguridad pública.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.3 Fallas Relacionadas con la Seguridad, Incidentes, No
Conformidades, Acciones Correctivas y Preventivas
• Cualquier acción correctiva o preventiva emprendida para
eliminar la causa de no conformidades reales y potenciales
debe ser apropiada para la magnitud de los problemas y
proporcional a las amenazas y riesgos de la seguridad que
probablemente se encuentren. La organización debe
implementar y registrar cualquier cambio en los
procedimientos documentados que resulten de la acción
correctiva, preventiva y debe incluir el entrenamiento
requerido cuando fuere necesario
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.4 Control de Registros
• La organización debe establecer y mantener registros según
sea necesario, para demostrar conformidad con los requisitos
de su sistema de gestión de la seguridad y de esta norma y
de los resultados logrados.
• La organización debe establecer, implementar y mantener un
procedimientos (o varios) para la identificación,
almacenamiento, protección, recuperación, retención y
disposición de los registros.
Los registros deben ser legibles y permanecer así y deben ser
identificables y trazables
• La documentación electrónica y digital debería estar protegida
contra alteración, tener copia de seguridad y ser accesible a
todo el personal autorizado.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.5 Auditoria Interna
La organización debe establecer, implementar y mantener un
programa de auditoría de gestión de la seguridad
Debe garantizar que las auditorías del sistema de gestión de la
seguridad se realicen a intervalos planificados a fin de:
Determinar si el sistema de gestión de la seguridad:
1- Cumple las disposiciones planificadas para la gestión de la
seguridad, incluidos los requisitos de la totalidad del numeral
4 de la norma.
2- Ha sido implementado y se mantiene adecuadamente
3- Es eficaz para cumplir la política y objetivos de gestión de la
seguridad de la organización
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.5 Auditoria Interna
Revisar los resultados de las auditorías anteriores y las
acciones emprendidas para rectificar las no
conformidades
Proporcionar información a la dirección sobre los
resultados de las auditorías
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.5 Auditoria Interna
Verificar el despliegue apropiado de los equipos y el
personal de seguridad
El programa de auditoría, incluido cualquier
cronograma, debe estar basado en los resultados de
las evaluaciones de amenazas y riesgos de las
actividades de la organización y en los resultados de
las auditorías anteriores.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.5 Verificación y acción correctiva
4.5.5 Auditoria Interna
Los procedimientos de auditoría deberían comprender
el alcance, la frecuencia, las metodologías y
competencias, lo mismo que las responsabilidades y
requisitos para realizar auditorías y reportar
resultados.
Cuando sea posible, las auditorías las debe llevar a
cabo personal independiente de los que tienen
responsabilidad directa de la actividad que se está
examinando.
NOTA: La frase "personal independiente" no necesariamente significa persona
externo a la organización
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
Actuar
4.6 Revisión por la dirección y mejora continua
• Mejora continua
• Planes de seguridad
• Aumento de eficacia y eficiencia
• Alineación con los requisitos del negocio
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.6 Revisión por la dirección y mejora continua
• La alta dirección deber revisar el sistema de gestión
de seguridad de la organización, a intervalos
planificados, a fin de garantizar que siga siendo
conveniente, suficiente y eficaz.
• Las revisiones deben incluir la evaluación de
oportunidades de mejora y la necesidad de cambios
en el sistema de gestión de seguridad, incluida la
política de seguridad, los objetivos y las amenazas y
los riesgos de seguridad.
• Se deben tener registros de las revisiones realizadas
por la dirección.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.6 Revisión por la dirección y mejora continua
La información de entrada de las revisiones por la
dirección debe incluir:
• Resultados de las auditorías y evaluaciones de
conformidad con los requisitos legales y con otros
requisitos que suscribe la organización
• Comunicación (es) de partes externas interesadas,
incluidas quejas
• El desempeño de la seguridad de la organización.
• El grado en que se cumplen objetivos y metas
• Estado de las acciones correctivas y preventivas.
Norma ISO 28000
4. Elementos del sistema de gestión de seguridad
4.6 Revisión por la dirección y mejora continua
• Acciones de seguimiento y revisiones por la dirección
anteriores.
• Circunstancias cambiantes, incluidas desarrollos en requisitos
legales y otros, relacionados con aspectos de su seguridad.
• Recomendaciones de mejora
• La información de salida de las revisiones por la dirección
debe incluir cualquier decisión y acción relacionada con
cambios posibles a la política, objetivos, metas y otros
elementos del sistema de gestión de seguridad, de manera
coherente con el compromiso con la mejora continua
Ejemplos de acciones a realizar en
aplicación de esta norma
Realización del análisis de riesgos.
Instalación de cámaras de video vigilancia CCTV.
Control de llaves y dispositivos con cerraduras.
Control de acceso a las oficinas, muelles de carga, almacén…
Identificación de los visitantes.
Sistema GPS para el seguimiento de los vehículos en ruta.
Definición de las rutas de transporte.
Uso de sellos y/o candados en contenedores y remolques.
Inspección ocular de los vehículos de transporte, contenedores,
remolques, tarimas,…, previa salida en ruta.
Firma de acuerdos formales con proveedores, socios
comerciales,…
.
Ejemplos de acciones a realizar en
aplicación de esta norma
Trazo del flujo de carga.
Investiga fuentes de subcontratación.
Investigación del personal que realizar el transporte de
mercancía.
Capacitación especializada para controlar sellos y examinar
contenedores, unidades,
Acceso restringido a sistemas de monitoreo y rastreo (GPS),
información confidencial,…
Identificación de los conductores que entregan o reciben bienes
o la carga.
Plan de contingencias ante el cierre de aduanas, corte de energía
eléctrica, …
ISO 28000:2007
Sistemas de Gestión de la
Seguridad
en la Cadena de Suministro
V 2020
FIN

Más contenido relacionado

La actualidad más candente

13 lista de verificacion norma iso 450012018
13  lista de verificacion norma iso 45001201813  lista de verificacion norma iso 450012018
13 lista de verificacion norma iso 450012018Ericka Nuñez Correa
 
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Norma iso  28000  sistema de gestion de seguridad de la cadena de suministrosNorma iso  28000  sistema de gestion de seguridad de la cadena de suministros
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministrosPrimala Sistema de Gestion
 
ISO 45001: 2018 "Sistema de Gestión de la Seguridad y Salud en el Trabajo
ISO 45001: 2018 "Sistema de Gestión de la Seguridad y Salud en el TrabajoISO 45001: 2018 "Sistema de Gestión de la Seguridad y Salud en el Trabajo
ISO 45001: 2018 "Sistema de Gestión de la Seguridad y Salud en el TrabajoPrevencionar
 
18414379 formatos-modelos-para-las-auditorias-internas-del-sgi
18414379 formatos-modelos-para-las-auditorias-internas-del-sgi18414379 formatos-modelos-para-las-auditorias-internas-del-sgi
18414379 formatos-modelos-para-las-auditorias-internas-del-sgiAna Wilda Marte Berdugo
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Plan Implementación ISO-45001.pdf
Plan Implementación ISO-45001.pdfPlan Implementación ISO-45001.pdf
Plan Implementación ISO-45001.pdfBruno Mendoza
 
ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018Primala Sistema de Gestion
 
Explicación ISO 19011.pdf
Explicación ISO 19011.pdfExplicación ISO 19011.pdf
Explicación ISO 19011.pdfasma23
 
Estandares de calidad ok
Estandares de calidad okEstandares de calidad ok
Estandares de calidad okgruposena0318
 

La actualidad más candente (20)

13 lista de verificacion norma iso 450012018
13  lista de verificacion norma iso 45001201813  lista de verificacion norma iso 450012018
13 lista de verificacion norma iso 450012018
 
AUDITORIA INTERNA
AUDITORIA INTERNA AUDITORIA INTERNA
AUDITORIA INTERNA
 
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Norma iso  28000  sistema de gestion de seguridad de la cadena de suministrosNorma iso  28000  sistema de gestion de seguridad de la cadena de suministros
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros
 
ISO 45001: 2018 "Sistema de Gestión de la Seguridad y Salud en el Trabajo
ISO 45001: 2018 "Sistema de Gestión de la Seguridad y Salud en el TrabajoISO 45001: 2018 "Sistema de Gestión de la Seguridad y Salud en el Trabajo
ISO 45001: 2018 "Sistema de Gestión de la Seguridad y Salud en el Trabajo
 
18414379 formatos-modelos-para-las-auditorias-internas-del-sgi
18414379 formatos-modelos-para-las-auditorias-internas-del-sgi18414379 formatos-modelos-para-las-auditorias-internas-del-sgi
18414379 formatos-modelos-para-las-auditorias-internas-del-sgi
 
1. iso 19011 2018 (1)
1. iso 19011 2018 (1)1. iso 19011 2018 (1)
1. iso 19011 2018 (1)
 
Iso 14001 2015
Iso 14001 2015Iso 14001 2015
Iso 14001 2015
 
Norma iso 14000
Norma iso 14000Norma iso 14000
Norma iso 14000
 
Presentación iso 9000
Presentación iso 9000Presentación iso 9000
Presentación iso 9000
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2
 
Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015
 
Normas ISO
Normas ISONormas ISO
Normas ISO
 
Iso18788 2015 - SGOS
Iso18788 2015 - SGOSIso18788 2015 - SGOS
Iso18788 2015 - SGOS
 
Plan Implementación ISO-45001.pdf
Plan Implementación ISO-45001.pdfPlan Implementación ISO-45001.pdf
Plan Implementación ISO-45001.pdf
 
ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Explicación ISO 19011.pdf
Explicación ISO 19011.pdfExplicación ISO 19011.pdf
Explicación ISO 19011.pdf
 
Norma iso 9001
Norma iso 9001Norma iso 9001
Norma iso 9001
 
Estandares de calidad ok
Estandares de calidad okEstandares de calidad ok
Estandares de calidad ok
 
Iso
IsoIso
Iso
 

Similar a Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v 2020

07 2016 iso 28000 pic ed01
07 2016 iso 28000  pic  ed0107 2016 iso 28000  pic  ed01
07 2016 iso 28000 pic ed01jesuszavala51
 
Pedro Espino Vargas ' ISO Normas Legales
Pedro Espino Vargas ' ISO Normas LegalesPedro Espino Vargas ' ISO Normas Legales
Pedro Espino Vargas ' ISO Normas LegalesDr. Pedro Espino Vargas
 
Trasnsicion iso 9001:2015
Trasnsicion iso 9001:2015Trasnsicion iso 9001:2015
Trasnsicion iso 9001:2015Marcos Avello
 
Normalización
NormalizaciónNormalización
NormalizaciónTensor
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
Normas Internacionales ISO e IEC
Normas Internacionales ISO e IECNormas Internacionales ISO e IEC
Normas Internacionales ISO e IECHaviid Sibajaa
 
A5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales MexicanasA5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales MexicanasZurielVillanueva
 
Norma IRIS y UNE-EN 9100
Norma IRIS y UNE-EN 9100Norma IRIS y UNE-EN 9100
Norma IRIS y UNE-EN 9100nuriaribas
 
Norma AA1000 AS 2008 esp
Norma AA1000 AS 2008 espNorma AA1000 AS 2008 esp
Norma AA1000 AS 2008 espMas Business
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Xiva Sandoval
 
FASES DE PROYECTOS INDUSTRIALES Y GESTION GENERAL DE SEGURIDAD
FASES DE PROYECTOS INDUSTRIALES Y GESTION GENERAL DE SEGURIDADFASES DE PROYECTOS INDUSTRIALES Y GESTION GENERAL DE SEGURIDAD
FASES DE PROYECTOS INDUSTRIALES Y GESTION GENERAL DE SEGURIDADluis carlos saavedra
 
Iso 9001 para telecomunicaciones
Iso 9001 para telecomunicacionesIso 9001 para telecomunicaciones
Iso 9001 para telecomunicacionesVictor Calvo
 
Norma ISO 28000:2007 - Enfoque de gestion de riesgos para la cadena de sumini...
Norma ISO 28000:2007 - Enfoque de gestion de riesgos para la cadena de sumini...Norma ISO 28000:2007 - Enfoque de gestion de riesgos para la cadena de sumini...
Norma ISO 28000:2007 - Enfoque de gestion de riesgos para la cadena de sumini...PECB
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
Investigacion iso
Investigacion isoInvestigacion iso
Investigacion isoBrenda Arce
 

Similar a Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v 2020 (20)

Iso 28000
Iso 28000Iso 28000
Iso 28000
 
07 2016 iso 28000 pic ed01
07 2016 iso 28000  pic  ed0107 2016 iso 28000  pic  ed01
07 2016 iso 28000 pic ed01
 
Pedro Espino Vargas ' ISO Normas Legales
Pedro Espino Vargas ' ISO Normas LegalesPedro Espino Vargas ' ISO Normas Legales
Pedro Espino Vargas ' ISO Normas Legales
 
Trasnsicion iso 9001:2015
Trasnsicion iso 9001:2015Trasnsicion iso 9001:2015
Trasnsicion iso 9001:2015
 
IMPLEMENTADOR ISO 28000 Y OEA
IMPLEMENTADOR ISO 28000 Y OEAIMPLEMENTADOR ISO 28000 Y OEA
IMPLEMENTADOR ISO 28000 Y OEA
 
Normalización
NormalizaciónNormalización
Normalización
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
Normas Internacionales ISO e IEC
Normas Internacionales ISO e IECNormas Internacionales ISO e IEC
Normas Internacionales ISO e IEC
 
A5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales MexicanasA5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales Mexicanas
 
Norma IRIS y UNE-EN 9100
Norma IRIS y UNE-EN 9100Norma IRIS y UNE-EN 9100
Norma IRIS y UNE-EN 9100
 
Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000
 
Norma AA1000 AS 2008 esp
Norma AA1000 AS 2008 espNorma AA1000 AS 2008 esp
Norma AA1000 AS 2008 esp
 
4 AA1000AS-2008.pdf
4 AA1000AS-2008.pdf4 AA1000AS-2008.pdf
4 AA1000AS-2008.pdf
 
Tl 9000
Tl 9000Tl 9000
Tl 9000
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 
FASES DE PROYECTOS INDUSTRIALES Y GESTION GENERAL DE SEGURIDAD
FASES DE PROYECTOS INDUSTRIALES Y GESTION GENERAL DE SEGURIDADFASES DE PROYECTOS INDUSTRIALES Y GESTION GENERAL DE SEGURIDAD
FASES DE PROYECTOS INDUSTRIALES Y GESTION GENERAL DE SEGURIDAD
 
Iso 9001 para telecomunicaciones
Iso 9001 para telecomunicacionesIso 9001 para telecomunicaciones
Iso 9001 para telecomunicaciones
 
Norma ISO 28000:2007 - Enfoque de gestion de riesgos para la cadena de sumini...
Norma ISO 28000:2007 - Enfoque de gestion de riesgos para la cadena de sumini...Norma ISO 28000:2007 - Enfoque de gestion de riesgos para la cadena de sumini...
Norma ISO 28000:2007 - Enfoque de gestion de riesgos para la cadena de sumini...
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Investigacion iso
Investigacion isoInvestigacion iso
Investigacion iso
 

Más de Primala Sistema de Gestion

Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Primala Sistema de Gestion
 
Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos  gestion de activos y sga v 2020Accion sobre los activos  gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020Primala Sistema de Gestion
 

Más de Primala Sistema de Gestion (20)

Iso sistema integrado de gestion v 2020
Iso  sistema integrado de gestion v 2020Iso  sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020
 
Reseña historica de ISO v 2020
Reseña historica de ISO v 2020Reseña historica de ISO v 2020
Reseña historica de ISO v 2020
 
Lean manufacturing kanban v 2020
Lean manufacturing  kanban v 2020Lean manufacturing  kanban v 2020
Lean manufacturing kanban v 2020
 
Lean manufacturing smed v 2020
Lean manufacturing smed v 2020Lean manufacturing smed v 2020
Lean manufacturing smed v 2020
 
Lean nivelado v 2020
Lean nivelado v 2020Lean nivelado v 2020
Lean nivelado v 2020
 
Lean jit v 2020
Lean jit v 2020Lean jit v 2020
Lean jit v 2020
 
Lean tpm v 2020
Lean  tpm v 2020Lean  tpm v 2020
Lean tpm v 2020
 
Lean manufacturing celularizacion v 2020
Lean manufacturing  celularizacion v 2020Lean manufacturing  celularizacion v 2020
Lean manufacturing celularizacion v 2020
 
Lean hk nk 2020
Lean hk nk 2020Lean hk nk 2020
Lean hk nk 2020
 
Lean jidoka 2020
Lean jidoka 2020Lean jidoka 2020
Lean jidoka 2020
 
Lean manufacturing gestion visual v 2020
Lean manufacturing gestion  visual  v 2020Lean manufacturing gestion  visual  v 2020
Lean manufacturing gestion visual v 2020
 
Lean poka yoke v 2020
Lean poka yoke  v 2020Lean poka yoke  v 2020
Lean poka yoke v 2020
 
La fabrica visual v 2020
La fabrica visual v 2020La fabrica visual v 2020
La fabrica visual v 2020
 
Iso norma iso 45001 presentacion v 2020
Iso  norma iso 45001 presentacion v 2020Iso  norma iso 45001 presentacion v 2020
Iso norma iso 45001 presentacion v 2020
 
Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020
 
Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020
 
Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020
 
Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020
 
Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos  gestion de activos y sga v 2020Accion sobre los activos  gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020
 
Iso norma iso 55001 v 2020
Iso norma  iso 55001 v 2020 Iso norma  iso 55001 v 2020
Iso norma iso 55001 v 2020
 

Último

Habitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisionesHabitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisionesMartinOrtiz84
 
Escuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de DiosEscuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de DiosNancyAlvarez77
 
Comunicar en la era de las noticias falsas
Comunicar en la era de las noticias falsasComunicar en la era de las noticias falsas
Comunicar en la era de las noticias falsasAlejandro Romero
 
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.pptINFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.pptNombre Apellidos
 
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_2.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_2.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_2.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_2.pptxGiovanny Puente
 
Habilidades profesionales Practica entre pares.docx
Habilidades profesionales Practica entre pares.docxHabilidades profesionales Practica entre pares.docx
Habilidades profesionales Practica entre pares.docxJandryVL
 
Historia Administración Pública.22 - MMM
Historia Administración Pública.22 - MMMHistoria Administración Pública.22 - MMM
Historia Administración Pública.22 - MMMZumitaMagneBlacutt
 

Último (7)

Habitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisionesHabitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisiones
 
Escuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de DiosEscuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de Dios
 
Comunicar en la era de las noticias falsas
Comunicar en la era de las noticias falsasComunicar en la era de las noticias falsas
Comunicar en la era de las noticias falsas
 
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.pptINFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
 
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_2.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_2.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_2.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_2.pptx
 
Habilidades profesionales Practica entre pares.docx
Habilidades profesionales Practica entre pares.docxHabilidades profesionales Practica entre pares.docx
Habilidades profesionales Practica entre pares.docx
 
Historia Administración Pública.22 - MMM
Historia Administración Pública.22 - MMMHistoria Administración Pública.22 - MMM
Historia Administración Pública.22 - MMM
 

Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v 2020

  • 1. Presentación ISO 28000:2007 Sistemas de Gestión de la Seguridad en la Cadena de Suministro V 2020
  • 2. “Casi todas las organizaciones confían de alguna manera en su cadena de suministro para asegurar la continuidad del negocio y son vulnerables, sí el suministro se interrumpe”
  • 3. Preocupaciones Globales en la cadena de suministro por : • Contrabando de productos • Contrabando de armas • Tráfico de falsificaciones Las perdidas en la cadena de suministro se estima en 8 billones de euros en la UE.
  • 4. Donde se aplican controles: • Puertos • Aeropuertos • Puestos de control en fronteras Gran dificultad para todos por: • Reduce la velocidad del flujo de las mercancías • Aumenta el costo • Agrega barreras para el intercambio Esto va en contra de: • Producción JIT • Reducción de inventarios • Suministro de diversas fuentes • Posibilidad de compras en cualquier parte del mundo
  • 5. Norma ISO 28000 • La norma ISO 28000 “Especificaciones para los Sistemas de Gestión de la Seguridad para la Cadena de suministro” se lanzó en el 2007. Fue la primera norma internacional dirigida exclusivamente a la seguridad en la cadena de suministro.
  • 6. Norma ISO 28000 Los antecedentes de la ISO 28000 • Como consecuencia de la incertidumbre mundial creada con los atentados del 11 de septiembre de 2001 en EE.UU. las entidades públicas y empresas privadas comenzaron a tener mayor conciencia de la necesidad de la protección de sus bienes y activos. • Además de la legislación de cumplimiento obligatorio, una serie de normas internacionales han ido viendo la luz, normas en las que se contienen requisitos específicos para garantizar la protección de cada uno de los procesos de las empresas y las infraestructuras críticas más significativas.
  • 7. Norma ISO 28000 Para proteger la Seguridad de la Cadena de Suministro, los Estados Unidos desarrollaron el programa C-TPAT Customs Trade Partnership Against Terrorism, el cual es un acuerdo voluntario entre la Aduana de ese país y la comunidad de negocios para implementar medidas de seguridad que protejan la cadena de suministro, y evitar que sea utilizada por terroristas y delincuentes, como vía para materializar el delito.
  • 8. Norma ISO 28000 La Organización Mundial de Aduanas, con el referente de C-TPAT, creó el Marco de Estándares de Seguridad (Framework of Standars) y en su Asamblea General del año 2005 promulgó esta iniciativa. El Parlamento Europeo, en el mismo año, introdujo una enmienda a su l Código Aduanero Comunitario, permitiendo que las aduanas de la Comunidad Europea otorguen beneficios a aquellos actores del comercio exterior que tengan las condiciones y cumplan los requisitos para calificarse como Operador Económico Autorizado OEA.
  • 9. Norma ISO 28000 • Como no existía un elemento que enlazara el programa de Estados Unidos y el OEA en Europa, la ISO International Organization for Standardization , elabora la norma ISO/PAS 28000:2005 en respuesta a las necesidades de la industria. PAS: Publicly Available Specification
  • 10. Norma ISO 28000 • La Norma ISO 28000 nace al abrigo de la ISO 20858: Evaluaciones y Plan de Seguridad de la instalación Marítima y Portuaria; y fue el Comité Técnico ISO/TC 8, “Embarcaciones y Tecnología Marina”, en coordinación con otros comités técnicos responsables de nodos específicos de la cadena de suministro, el encargado de su elaboración. • La versión revisada técnicamente que hoy se aplica en todo el mundo es la Norma ISO 28000 se publicó en el año 2007 y fue desarrollada por ISO/TC292 Seguridad y resiliencia.
  • 11.
  • 12. ISO 28000. Familia de Normas • La familia de la serie de normas ISO 28000 es un conjunto de estándares desarrollados por International Organization for Standardization (ISO), que proporcionan un marco de gestión de la seguridad de la cadena de suministro alineados con los objetivos de negocio, y optimizando las inversiones realizadas en controles o salvaguardas que protejan los activos.
  • 13. ISO 28000. Familia de Normas • ISO 28000:2007 – Define los requisitos de un sistema de gestión de seguridad. Es la norma certificable • ISO 28001:2007 – Mejores prácticas para implementar evaluaciones y planes de seguridad • ISO 28003:2007 – Requisitos para entidades de auditoría y certificación • ISO 28002: 2011 – Sistemas de gestión de seguridad para la cadena de suministro. Desarrollo de resiliencia en la cadena de suministro. Requisitos con orientación para su uso.
  • 14. ISO 28000. Familia de Normas • ISO 28004:2007 – Guía para la implementación de ISO 28000 • ISO/PAS 28005:2009 – Aplicaciones informáticas para el despacho de aduanas. – Contiene las especificaciones técnicas para el correcto intercambio de información entre la embarcación, el puerto y las autoridades costeras ISO: International Organization for Standardization PAS: Publicly Available Specification
  • 15. ISO 28000. Familia de Normas Relación entre ISO 28000 e ISO 28001 ISO 28000 • Requisitos sistema de gestión. • Aspectos críticos a la garantía de la seguridad de la cadena de suministro. ISO 28001 • Mejores prácticas para implementar evaluaciones y planes de seguridad. • ISO 28001 Complementa a la norma ISO 28000. Ambas normas son absolutamente compatibles
  • 16. ISO 28000. Normas Relacionables • ISO 20858:2007 – Evaluaciones y Plan de Seguridad de la instalación Marítima y Portuaria • ISO 22301: 2019 – Gestión de la Continuidad de Negocio • ISO/IEC 27001:2013 − Gestión de la Seguridad de la Información Además de sistemas de gestión de calidad y medio ambiente
  • 17. Norma ISO 28000 Aplicación • Es adecuada para todos los tipos de organización, de cualquier tamaño, que estén involucrados en la fabricación, compra, producción, servicio, almacenaje, transporte (por mar, carretera, vía aérea y ferrocarril) y/o en procesos de ventas; que deseen establecer, implementar, mantener y mejorar un sistema de gestión de seguridad en cualquiera de las fases de producción o de cadena de suministro.
  • 18. Norma ISO 28000 • El objetivo de la norma es proporcionar un marco de buenas prácticas para reducir los riesgos para las personas y las cargas en la cadena de suministro.
  • 19. Norma ISO 28000 • Trata temas potenciales de seguridad en todas las fases del proceso de suministro, centrándose especialmente en las áreas de logística. • También, se concentra en mitigar los efectos de los incidentes de seguridad.
  • 20. Norma ISO 28000 • Los aspectos críticos de seguridad en la cadena de suministro, pueden incluir aspectos financieros, de fabricación, gestión de la información y logística, almacenamiento y depósito de mercancías. • Y son aplicables a organizaciones de todos los tamaños, en los sectores de fabricación, servicios, almacenaje o transporte, y en cualquiera de sus fases de producción o de la cadena de suministro.
  • 21. Norma ISO 28000 • El desarrollo y la promulgación de un marco legislativo nuevo, así como de políticas específicas para la protección de infraestructuras críticas ha sido un avance dentro del ámbito de la seguridad. • La norma ISO 28000, es imprescindible en instalaciones portuarias, aeropuertos, grandes centros comerciales, compañías de suministro de energía, empresas de transporte y sector ferroviario, etc.
  • 22. Norma ISO 28000 La norma ISO 28000 de Seguridad de la Cadena de suministro proporciona a las organizaciones: • Probar la existencia de un sistema fuerte y seguro de gestión de su cadena de suministro frente a los clientes y las partes interesadas. • Proporcionar un enfoque coherente común a todos los proveedores dentro de su cadena de suministro. • Demostrar que la organización se compromete a alcanzar la satisfacción del cliente.
  • 23. Norma ISO 28000 • Evaluar sus riesgos de seguridad y a implantar controles o atenuantes para gestionar las amenazas y potenciales impactos en la seguridad de su cadena de suministro. • Facilitar la integración, ya que al utilizar un sistema de gestión basado en el método “Plan-Do-Check- Act” ya implantado y probado en las norma ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 26000 , ISO 31000 , ISO 27001 las organizaciones ya familiarizadas con este enfoque basado en riesgos, pueden utilizar un enfoque similar para analizar los peligros y los riesgos de seguridad de su cadena de suministro.
  • 24. Norma ISO 28000 ¿Cuáles son las principales ventajas? • Garantía de una sistemática de operaciones orientadas al control de los riesgos así como la implantación de medidas para su mitigación. • Mejora la seguridad de la evaluación de riesgos, la protección de los activos y la visibilidad del inventario y la gestión • Asegura la continuidad del suministro para el desarrollo organizacional sostenible y la reducción de los plazos de entrega
  • 25. Norma ISO 28000 ¿Cuáles son las principales ventajas? • Mejora la satisfacción del cliente y la cooperación organizacional a lo largo de la cadena de suministro • Optimización de los procesos de la organización con la consecuente mejora de costos, seguridad, eficacia, etc. • Da valor añadido a la organización en sus operaciones comerciales. • Da a la organización una herramienta competitiva y diferencial que puede ser esgrimida como arma comercial ante clientes, autoridades e inversores.
  • 26. Norma ISO 28000 ¿Cuáles son las principales ventajas? • Reduce las pérdidas como resultado de los robos en el transporte • Menos tiempo de despacho de aduana y la reducción de inspecciones secundarias • Cumplimiento con otros reglamentos y esquemas de cadena de suministro Customs Trade Partnership Against Terrorism (C-TPAT) y Operador Económico Autorizado (OEA).
  • 27. Norma ISO 28000 • Sigue el ciclo de mejora continua PDCA (Plan, Check, Do, Act).Con un enfoque basado en la evaluación del riesgo.
  • 28. Norma ISO 28000 Estructura de la norma ISO 28000 Los elementos básicos y fundamentales a tener en cuenta para el correcto desarrollo e implantación de la norma son: 1. Objetivos y campo de aplicación 2. Referencias normativas 3. Términos y definiciones 4. Elementos del sistema de gestión de seguridad Anexo A
  • 29. Norma ISO 28000 1. Objetivos y campo de aplicación a) Establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la cadena de suministro. b) Conformidad con la política de gestión de la seguridad de la cadena de suministro. c) Demostrar Conformidad ante otros. d) Certificación/registro de su sistema de gestión de la seguridad por un organismo de certificación. e) Realizar una auto-determinación y auto-declaración de conformidad.
  • 30. Norma ISO 28000 • El propósito de la norma ISO28000 es , garantizar que los riesgos de la seguridad de la cadena de suministro sean gestionados adecuadamente por la organización. • La norma ISO28000 especifica los requisitos para un sistema de gestión de la seguridad , incluyendo aquellos aspectos críticos para el aseguramiento de la seguridad de la cadena de suministro. • Marco para la gestión de la seguridad y la medición de los puntos críticos de cualquier empresa y sus procesos.
  • 31. 2. Referencias normativas No hay referencias normativas en este documento. Norma ISO 28000
  • 32. 3.Términos y definiciones Cadena de suministro Conjunto relacionado de recursos y procesos que comienza con la provisión de materias primas y se extiende hasta la entrega de productos o servicios al usuario final a través de los medios de transporte Norma ISO 28000
  • 33. Seguridad • Resistencia al acto o actos intencionados y no autorizados, destinados a causar daño o perjuicio a la cadena de suministro o a través de ella. • ¿y no intencionados? Norma ISO 28000
  • 34. Gestión de la Seguridad • Actividades y prácticas sistemáticas y coordinadas a través de las cuales una organización gestiona de manera óptima sus riesgos y las amenazas e impactos potenciales asociados Norma ISO 28000
  • 35. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.1 Requisitos generales 4.2 Política de la gestión de la seguridad 4.3 Evaluación de los riesgos de la seguridad y planificación 4.4 Implementación y operación 4.5 Verificación y acción correctiva 4.6 Revisión por la dirección y mejora continua
  • 36. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad Planificar Hacer Verificar Actuar
  • 37. Ciclo de Demming Se trata de un enfoque basado en la evaluación del riesgo. • Planificar − Alineamiento Negocio – Seguridad • Hacer − Implantar medidas de seguridad • Verificar − ¿Se hacen las cosas como se han definido? − ¿Se mitiga el riesgo en el nivel supuesto? • Actuar − Corregir y mejorar Norma ISO 28000 4. Elementos del sistema de gestión de seguridad
  • 38. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad La gestión de la seguridad bajo la norma ISO 28000 permite desarrollar una resistencia efectiva a las acciones intencionales que pretendan causar daños o perjuicios a la Cadena de Suministro, y los Estándares OEA y C-TPAT conformarán los programas de seguridad , que mediante metas definidas permitirán alcanzar los objetivos de seguridad , que se han orientado conforme a la política de Seguridad de cada actor de la Cadena de Suministro.
  • 39. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad la columna vertebral de la norma de seguridad para la cadena de suministro es una adecuada identificación de amenazas , evaluación de riesgos, que luego de valorados indiquen su probabilidad de ocurrencia y su impacto en la cadena, permitirá determinar las acciones de mitigación que sea necesario implementar.
  • 40. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.1 Requisitos generales El primer elemento de la norma consiste en desarrollar, mantener, documentar y mejorar un sistema de gestión de seguridad que sea capaz de identificar amenazas, evaluar los riesgos y en base a ellos tomar las acciones necesarias que permitan anticipar los riesgos y mitigar el impacto en caso de que se materialicen. Muchas organizaciones mapean sus cadenas de suministro para poder identificar los puntos débiles de la cadena que pueden interferir en el servicio al cliente y prever problemas antes de que ocurran.
  • 41. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.1 Requisitos generales
  • 42. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.1 Requisitos generales El Alcance debe incluir todas las acciones, procesos y movimientos de la carga, tanto aguas arriba como aguas abajo deberíamos integrar dentro del alcance las actividades principales de la organización así como el resto de actividades críticas requeridas en lo que se refiere a la gestión de la seguridad de la cadena de suministro o bien actividades relacionadas que puedan afectar a la seguridad de empleados y/o partes interesadas.
  • 43. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.1 Requisitos generales Procesos subcontratados: Asegurar que los procesos subcontratados se controlan, deberán someterse también a una evaluación de riesgos, quedando incluidos dentro del alcance. Se deben identificar dentro del sistema de gestión de la seguridad los controles y responsabilidades necesarios para dichos procesos contratados externamente.
  • 44. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad Planificar • 4.2Política de Seguridad • 4.3 Evaluación y Planificación de Riesgos – Análisis de Riesgos – Marcar objetivos y metas • Todo objetivo está compuesto por una serie de metas, que unidas y alcanzadas conforman el objetivo – Gestión del riesgo
  • 45. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.2 Política de la gestión de la seguridad El segundo elemento es la determinación de la Política de Seguridad: Esta política nos permite orientar el establecimiento de los objetivos, sus metas y los programas específicos que permitan gestionar los riesgos y asegurar la cadena de suministro.
  • 46. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.2 Política de la gestión de la seguridad Debe ser apropiada a las amenazas que enfrenta la organización, incluir el compromiso de cumplir con la legislación y tener un respaldo visible de la alta dirección
  • 47. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.2 Política de la gestión de la seguridad • Es una declaración clara del compromiso de la alta dirección en materia de seguridad. • Marca las tanto las directrices como los principios en dicha materia para la Organización. • Determina los objetivos globales en materia de seguridad así como su responsabilidad. • La política de seguridad de la organización puede incluir información crítica o clave para la organización por lo que suele ser habitual publicar una política general resumen que pueda hacerse pública.
  • 48. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.2 Política de la gestión de la seguridad Las entradas típicas para una política de la gestión de la seguridad son: • El resto de políticas u objetivos de la organización críticas para su negocio. • Actividades tanto pasadas como presentes en materia de seguridad de la empresa. • Necesidades de los grupos de interés de la organización: Accionistas, clientes, etc. • Oportunidades de mejora para la organización. • Recursos para su consecución. • Contribución de los empleados, contratistas y terceros.
  • 49. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.2 Política de la gestión de la seguridad La alta dirección, para formular y comunicar una Política de Seguridad eficazmente, debería: Adecuarla a la naturaleza y los riesgos de seguridad de la organización mediante una identificación de amenazas, evaluación y gestión del riesgo como núcleo de gestión del sistema de seguridad. Manifestar un compromiso con la mejora continua: Vinculándolo con las responsabilidades legales, nacionales, regulatorias así como cualquier pauta adicional de aplicación por la organización para la mejora del desempeño en materia de seguridad de la cadena de suministro. Esto debería hacerse eco a su vez a través de los objetivos de seguridad y gestionarse conforme el programa de gestión de seguridad.
  • 50. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.2 Política de la gestión de la seguridad Incluir un compromiso para dar, al menos, conformidad a las regulaciones aplicables y requisitos adicionales contemplados por la organización en materia de seguridad. Documentar, implementar y mantener. La eficacia de la política de seguridad radica en su documentación y revisión periódica para la ajustarse a las nuevas necesidades de la organización en materia de seguridad. Comunicarse a todos los empleados: Los empleados deben participar y comprometerse activamente con la seguridad. Deben ser conscientes de los efectos sobre la seguridad de la compañía tiene su propio trabajo así como sus acciones.
  • 51. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.2 Política de la gestión de la seguridad • Estar disponible: Cualquier grupo de interés debería ser capaz de consultar la política activamente para el correcto desempeño de su actividad. Ya sea interno o externo. • Revisarse periódicamente: Debe adaptarse a los cambios técnicos, reglamentarios, de requisitos de negocio, etc. de la organización. La política de seguridad constituye un documento vivo y por tanto su actualización resulta indispensable.
  • 52. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación de los riesgos de la seguridad y planificación El tercer elemento es la evaluación del Riesgo de la seguridad y la planificación del Sistema de Gestión. En este paso se identifica de manera efectiva el riesgo, se planifican las acciones a seguir, se establecen los objetivos de seguridad que se pretenden alcanzar y se fijan las metas en base a un análisis del contexto de la organización, sus metas y objetivos corporativos.
  • 53. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgos de la seguridad • La organización debe establecer y mantener procedimientos para la identificación y evaluación de las amenazas a la seguridad y su gestión así como la identificación e implementación de las medidas de control necesarias. • Los métodos de identificación de amenazas y riesgos, los de evaluación y los de control deberían de ser apropiados a la naturaleza y escala de las operaciones.
  • 54. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgos de la seguridad 4.3.1 Evaluación del riesgo de seguridad La evaluación de riesgos debe incluir: • Amenazas y riesgos de fallo físico. • Amenazas y riesgos operacionales. • Sucesos naturales que conviertan las medidas en ineficaces. • Factores ajenos al control de la organización. • Amenazas y riesgos de las partes afectadas, no cumplir reglamentaciones , daño de la reputación, marca etc. • Diseño e instalación del equipo de seguridad. • Gestión de la información y las comunicaciones. • Amenazas a la continuidad de las operaciones.
  • 55. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgos de la seguridad 4.3.1 Evaluación del riesgo de seguridad La organización debe asegurar que se consideren los resultados de estas evaluaciones y los efectos de estos controles cuando resulte apropiado debe proporcionar elementos de entrada a: • Los objetivos y metas de gestión de la seguridad • Los programas de gestión de la seguridad • La determinación de requisitos para el diseño, especificación e instalación. • La identificación de recursos adecuados, incluidos los niveles de contratación de personal.
  • 56. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgos de la seguridad 4.3.1 Evaluación del riesgo de seguridad • La identificación de necesidades de formación y habilidades (véase numeral 4.4.2) • El desarrollo de controles operacionales (véase el numeral 4.4.6) • La estructura general de gestión de amenazas y riesgos de la organización. • La organización debe documentar y mantener actualizada la anterior información.
  • 57. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.1 Evaluación del riesgo de seguridad La metodología de la organización para la identificación y evaluación de riesgos debe: • Estar definida respecto a su alcance, naturaleza, programación en el tiempo, para asegurar que sea proactiva en vez de reactiva. • Incluir la información recolectada acerca de las amenazas y riesgos de la seguridad. • Proporcionar la clasificación de amenazas y riesgos y la identificación de aquellos que deben evitarse, eliminarse o controlarse. • Proporcionar el seguimiento de las acciones para garantizar su eficacia y oportuna implementación (véase numeral 4.5.1)
  • 58. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.2 Cumplimiento legal y reglamentario • La organización debe establecer, implementar y mantener un procedimiento: • Para identificar y tener acceso a los requisitos legales aplicables y otros requisitos que suscribe la organización en relación con sus amenazas y riesgos para la seguridad, y para determinar cómo se aplican estos requisitos a sus amenazas y riesgos para la seguridad
  • 59. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.2 Cumplimiento legal y reglamentario • La organización debe mantener actualizada esta información y debe comunicar la información pertinente sobre requisitos legales y otros a sus empleados y terceras partes pertinentes, incluidos los contratistas.
  • 60. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.3 Objetivos desarrollados para la gestión de la seguridad de la cadena de suministro La organización debe establecer, implementar y mantener objetivos de gestión de la seguridad documentados, en las funciones y niveles pertinentes dentro de la organización Los objetivos deben derivarse de la política y ser coherentes con ella.
  • 61. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.3 Objetivos desarrollados para la gestión de la seguridad de la cadena de suministro Al establecer y revisar sus objetivos una organización debe tener en cuenta: • Requisitos legales, estatutarios y otros de reglamentación sobre seguridad • Amenazas y riesgos relacionados con la seguridad • Opciones tecnológicas y otras • Requisitos financieros, operacionales y empresariales • Puntos de vista de las partes interesadas apropiadas
  • 62. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.3 Objetivos desarrollados para la gestión de la seguridad de la cadena de suministro Los objetivos de gestión de la seguridad deben: Ser coherentes con el compromiso de la organización con la mejora continua Cuantificarse (cuando sea posible)
  • 63. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.3 Objetivos desarrollados para la gestión de la seguridad de la cadena de suministro Comunicarse a todos los empleados y terceras partes pertinentes, incluidos los contratistas, con la intención de que estas personas sean conscientes de sus obligaciones individuales Revisarse periódicamente para garantizar que sigan siendo pertinentes y coherentes con la política de gestión de la seguridad. Cuando sea necesario, se deben corregir de acuerdo con los objetivos de gestión de la seguridad.
  • 64. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.3 Objetivos desarrollados para la gestión de la seguridad de la cadena de suministro La cláusula describe cómo han de establecerse los objetivos de la empresa asociados a esta norma. Los objetivos de seguridad deben estar alineados con la política de seguridad de la organización. Los objetivos deben ser medibles y emplearse allí donde sea necesario para la organización.
  • 65. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.3 Objetivos desarrollados para la gestión de la seguridad de la cadena de suministro Los objetivos de seguridad deberían englobar: • Seguridad Corporativa: Objetivos de alto nivel para la compañía. • Objetivos Específico: De más bajo nivel y más cercano a la actividad in situ. Los objetivos de seguridad corporativa suelen ir vinculados a planes que por tiempo e inversión suelen retrasarse su implementación y suelen incluir políticas generales de la corporación. Los objetivos específicos son mucho más cercanos a la actividad como, por ejemplo, la disminución de incidencias relativas a un evento de seguridad.
  • 66. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.4 Metas La organización debe establecer, implementar y mantener las metas de gestión de la seguridad documentadas, apropiadas para las necesidades de la organización. Las metas deben derivarse de los objetivos de gestión de la seguridad y ser coherentes con ellos.
  • 67. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.4 Metas Estas metas deben: • Tener un nivel apropiado de detalle, ser específicos, medibles, obtenibles, pertinentes y con base en el tiempo (cuando sea aplicable) • Comunicarse a todos los empleados y terceras partes pertinentes, incluidos los contratistas, con la intención de que estas personas sean conscientes de sus obligaciones individuales. • Revisarse periódicamente para asegurar que sigan siendo pertinentes y coherentes con los objetivos de gestión de la seguridad. • Donde sea necesario, las metas se deben ajustar consecuentemente.
  • 68. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.4 Metas • Se definen los requisitos a emplear por el sistema de gestión para su definición e implementación. Constituyen métricas parciales para el análisis de la implementación y evolución de los objetivos. • Las entradas que deberían considerar las metas de la organización son los mismos que constituyen para los objetivos. • Las metas siempre deberán ser alcanzables al igual que los objetivos a los que están asociados. Los programas de seguridad deberían incidir en las metas a aplicar así como en el método de implementación y medición a emplear. • Deben ser específicas, medibles y estar siempre planificadas bajo un horizonte temporal.
  • 69. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.4 Metas Debemos estar atentos a la retroinformación específica de las metas, esto es, estar atentos a cuanta información tal como incidentes de actividades sobre las que incide directamente la meta. Debido a la relación causa- efecto establecida entre objetivos y metas debemos valorar la información obtenida de las metas para valorar los objetivos. Puede ser que los datos obtenidos de las metas descubramos fallos en la planificación de los objetivos.
  • 70. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.4 Metas Cuando analicemos las metas, necesariamente, deberíamos analizar los objetivos a los que están asociados. Al modificar una meta debemos valorar el efecto potencial que ocasionará sobre el objetivo. Deberemos definir indicadores oportunos para cada meta de seguridad. Cada indicador debe mostrarnos un seguimiento veraz de la implementación de las metas. Deberíamos definir un período de tiempo en el que alcanzar la meta. Debemos comunicar las metas al personal oportuno como parte de la información referida a sus funciones y responsabilidades
  • 71. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.5 Programas de Gestión de la Seguridad La organización debe establecer, implementar y mantener programas de gestión de la seguridad para lograr sus objetivos y metas. Los programas deberán optimizarse y luego priorizarse y la organización debe prever el uso de los costos de manera eficiente y eficaz en la implementación de estos programas.
  • 72. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.3 Evaluación y planificación de los riesgo de la seguridad 4.3.5 Programas de Gestión de la Seguridad Se debe incluir documentación que describa: La responsabilidad y autoridad designada para lograr objetivos y metas de gestión de la seguridad. Los medios y la escala en el tiempo por medio de los cuales se logran los objetivos y metas de gestión de la seguridad. Los programas de gestión de la seguridad deben revisarse periódicamente para asegurar que se mantienen efectivos y coherentes con los objetivos y metas. Cuando sea necesario, los programas se deben ajustar consecuentemente.
  • 73. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad Hacer 4.4 Implementación y operación • Responsabilidades de seguridad • Competencia, formación y concienciación • Control operacional − Para las actividades relacionadas con la seguridad y la gestión del riesgo • Respuesta ante incidentes
  • 74. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación Es el cuarto elemento considerado la planificación del sistema lleva a la implementación de los programas que se definieron, para lo cual hay que establecer una comunicación efectiva, una estructura documental que soporte el sistema y brinde trazabilidad y debe definirse cómo responder ante una emergencia, considerando también cómo recuperarse de la misma.
  • 75. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación Se deben definir: • Responsabilidades y competencia • Comunicación • Documentación • Control operacional • Preparación ante emergencias
  • 76. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.1 Estructura, autoridad y responsabilidades de la gestión de la seguridad • La organización debe establecer, y mantener una estructura organizacional de funciones, responsabilidades y autoridad, de manera coherente con el logro de su política, objetivos, metas y programas de gestión de la seguridad. • Estas funciones, responsabilidades y autoridades se deben definir, documentar y comunicar a los individuos responsables de la implementación y mantenimiento. • La alta dirección debe presentar evidencia de su compromiso con el desarrollo e implementación del sistema de gestión de la seguridad (procesos) y mejorar continuamente su eficacia mediante las siguientes acciones:
  • 77. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.1 Estructura, autoridad y responsabilidades de la gestión de la seguridad • Nombrar un miembro de la alta dirección quien, independientemente de sus otras responsabilidades, debe ser responsable del diseño, mantenimiento, documentación y mejora generales del sistema de gestión de seguridad de la organización. • Nombrar un miembro ( o varios) de la dirección, con la autoridad necesaria para garantizar que se implementen objetivos y metas.
  • 78. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.1 Estructura, autoridad y responsabilidades de la gestión de la seguridad • Identificar y hacer seguimiento a los requisitos y expectativas de las partes interesadas de la organización y emprender las acciones apropiadas y oportunas para manejar dichas expectativas. • Garantizar la disponibilidad de recursos adecuados.
  • 79. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.1 Estructura, autoridad y responsabilidades de la gestión de la seguridad • Considerar el impacto adverso que la política, objetivos, las metas, los programas, etc, de gestión de la seguridad pueden tener en otros aspectos de la organización. • Garantizar que cualquier programa de seguridad generado por otras partes de la organización complemente el sistema de gestión de la seguridad.
  • 80. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.1 Estructura, autoridad y responsabilidades de la gestión de la seguridad • Comunicar a la organización la importancia de cumplir sus requisitos de gestión de la seguridad a fin de cumplir con su política. • Garantizar que las amenazas y riesgos de la seguridad sean evaluados y se incluyan en evaluaciones de amenazas y riesgos organizacionales, según resulte apropiado. • Garantizar la viabilidad de los objetivos, metas y programas de gestión de la seguridad.
  • 81. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.2. Competencia, formación y toma de conciencia La organización debe garantizar que el personal responsable del diseño, operación y gestión de equipos y procesos de seguridad esté calificado adecuadamente en lo relativo a educación, entrenamiento o experiencia o ambas. La organización debe establecer y mantener procedimientos para que las personas que trabajan para ella o en su nombre sean concientes de:
  • 82. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.2. Competencia, formación y toma de conciencia • La importancia del cumplimiento de la política y procedimientos de gestión de la seguridad y los requisitos del sistema de gestión de la seguridad. • Sus funciones y responsabilidades en el logro de la conformidad con la política y procedimientos de gestión de la seguridad y con los requisitos del sistema de gestión de la seguridad, incluidos los requisitos de preparación y respuesta ante emergencias. • Las consecuencias potenciales que tiene para la seguridad de la organización desviarse de los procedimientos de operación especificados. • Se deben llevar registros de competencia y entrenamiento
  • 83. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.3. Procedimientos de comunicación La organización debe contar con procedimientos para asegurar que la información pertinente de gestión de la seguridad se comunica hacia y desde los empleados relevantes, contratistas y otras partes interesadas. Debido a la naturaleza confidencial de alguna información relacionada con seguridad, se debería considerar adecuadamente la sensibilidad de la información antes de su divulgación.
  • 84. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.4 Documentación La organización debe establecer y mantener un sistema de documentación de gestión de la seguridad que incluya los siguientes aspectos (sin limitarse a ellos): • La política, objetivos y metas de seguridad • La descripción del alcance del sistema de gestión de la seguridad • La descripción de los elementos principales del sistema de gestión de la seguridad y su interacción y referencia con documentos relacionados.
  • 85. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.4 Documentación Los documentos incluidos registros, exigidos en la Norma ISO 28000 Los documentos incluidos registros, determinados por la organización como necesarios para garantizar la planificación, operación y control eficaces de los procesos relacionados con sus amenazas y riesgos para la seguridad significativos. La organización debe determinar la confidencialidad de la información de seguridad y tomar las medidas para evitar el acceso no autorizado a ella.
  • 86. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.5 Control de Documentos y Datos La organización debe establecer y mantener procedimientos para controlar todos los documentos, datos e información exigidos en el numeral 4 de la Norma a fin de garantizar que: Sólo individuos autorizados puedan localizar y tener acceso a estos documentos, datos e información. Personal autorizado revise periódicamente estos documentos, datos e información, los actualice según sea necesario y apruebe su conveniencia. Se encuentren disponibles versiones actuales de los documentos, datos e información pertinentes en todos los lugares donde se realicen operaciones esenciales para el funcionamiento efectivo del sistema de gestión de la seguridad.
  • 87. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.5 Control de Documentos y Datos Los documentos, datos e información obsoletos sean retirados con prontitud de todos los puntos de emisión y de uso, o se asegure de otro modo que no se haga uso indeseado de ellos Se identifiquen adecuadamente los documentos de archivo, datos e información que se conservan con propósitos legales o de preservación del conocimiento o ambos Dichos documentos, datos e información sean seguros y si se encuentran en formato electrónico, deben tener copia de seguridad adecuada y se puedan recuperar.
  • 88. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.6. Control operacional La organización debe identificar aquellas operaciones y actividades que sean necesarias para lograr: a. Su política de gestión de la seguridad b. El control de las actividades y mitigación de amenazas identificadas como un riesgo significativo c. La conformidad con requisitos legales, estatutarios y otros requisitos de reglamentación d. Sus objetivos de gestión de la seguridad e. La ejecución de sus programas de gestión de la seguridad f. El nivel requerido de seguridad de la cadena de suministro
  • 89. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.6. Control operacional La organización debe garantizar que estas operaciones y actividades se realicen bajo las condiciones especificadas mediante: El establecimiento, implementación y mantenimiento de procedimientos documentados para controlar situaciones en las que su ausencia podría conducir a falle en el logro de las operaciones y actividades enunciadas en el numeral 4.4.6, literales a) a f).
  • 90. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.6. Control operacional La evaluación de cualquier amenaza que surja de las actividades aguas arriba de la cadena de suministro y aplicación de controles para mitigar estos impactos en la organización y otros operadores aguas abajo de la cadena de suministro. El establecimiento y mantenimiento de los requisitos para bienes y servicios que tienen impacto en la seguridad, y comunicación de estos a proveedores y contratistas.
  • 91. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.6. Control operacional Estos procedimientos deben incluir controles para el diseño, instalación, operación, renovación y modificación de elementos de equipos, instrumentación, etc, relacionados con la seguridad , según resulte apropiado. Cuando se actualicen las disposiciones existentes o se introduzcan nuevas que puedan causar impacto en las operaciones y actividades de gestión de la seguridad, la organización debe considerar las amenazas y riesgos de la seguridad asociados antes de su implementación.
  • 92. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.6. Control operacional Las disposiciones nuevas o actualizadas que se vayan a considerar deben incluir: La estructura, funciones o responsabilidades organizacionales actualizadas La política, objetivos, metas y programas de gestión de la seguridad actualizados Los procesos y procedimientos actualizados La introducción de nueva infraestructura, equipos o tecnología de seguridad que pueden incluir hardware o software o ambos La introducción de nuevos contratistas, proveedores o personal, según sea apropiado.
  • 93. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.7 Preparación y Respuesta Ante Emergencias y Recuperación de la Seguridad La organización debe establecer, implementar y mantener planes y procedimientos apropiados para identificar el potencial y las respuestas ante incidentes de seguridad y situaciones de para evitar emergencias y y mitigar las consecuencias probables que se puedan asociar con ellos. Los planes y procedimientos deben incluir información acerca de la disposición y mantenimiento de cualquier equipo, instalaciones o servicios identificados que puedan requerirse durante o después de los incidentes o situaciones de emergencia.
  • 94. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.4 Implementación y operación 4.4.7 Preparación y Respuesta Ante Emergencias y Recuperación de la Seguridad La organización debe revisar periódicamente la eficacia de sus planes y procedimientos de preparación y respuesta ante emergencias y recuperación de la seguridad, en especial después de que ocurren incidentes o situaciones de emergencia causados por infracciones y amenazas a la seguridad. La organización debe poner a prueba periódicamente estos procedimientos.
  • 95. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad Preparación ante emergencias Planes y procedimientos para identificación, respuestas y gestión de los potenciales incidentes a la seguridad y las acciones de emergencias.
  • 96. Planificar - Hacer De esta evaluación se obtendrá la información necesaria para: • Establecer los objetivos y las metas para la gestión de la seguridad. • Establecer los programas de gestión de la seguridad. • La determinación de los requisitos para el diseño, la especificación y la implantación del sistema de gestión. • La identificación de los recursos necesarios. • La identificación de las necesidades de formación y las habilidades. • El desarrollo de los controles operacionales. • El marco de trabajo para la gestión de los riesgos globales de la organización.
  • 97. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad Verificar 4.5 Verificación y acción correctiva • Medición del desempeño • Estudio de fallos e incidentes • Auditorías • Revisión por la Dirección
  • 98. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva El quinto elemento de la norma es la etapa de Verificación; con ella la organización determina cómo funciona su sistema. La utilidad de un sistema de medición que permita objetivamente revisar su desempeño. La evaluación del sistema, el control de los registros y la auditoría interna son elementos que componen esta etapa y que son el elemento de entrada para el sexto y último elemento Revisión por la Dirección y mejora continua.
  • 99. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva Se deben determinar: • Medición y seguimiento • Evaluación del sistema • No Conformidades, Acciones Correctivas, incidentes, fallos • Registros • Auditorías
  • 100. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.1 Medición y Seguimiento del Desempeño de la Seguridad La organización debe establecer y mantener procedimientos para hacer seguimiento y medir el desempeño de sus sistema de gestión de la seguridad. Además debe establecer y mantener procedimientos para el seguimiento y medición del desempeño de la seguridad. Al establecer la frecuencia de medición y seguimiento de los parámetros de desempeño clave, la organización debe considerar las amenazas y riesgos de seguridad asociados, incluidos los mecanismos de deterioro potencial y sus consecuencias. Estos procedimientos deben proporcionar Medidas tanto cualitativas como cuantitativas, apropiada para las necesidades de la organización.
  • 101. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.1 Medición y Seguimiento del Desempeño de la Seguridad • Seguimiento del grado en que se cumplen la política, objetivos y metas de gestión de la seguridad de la organización • Medidas proactivas de desempeño para hacer el seguimiento a la conformidad con los programas de gestión de la seguridad, los criterios de control operacionales y legislación aplicable, los requisitos estatutarios y otros requisitos de reglamentación sobre seguridad.
  • 102. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.1 Medición y Seguimiento del Desempeño de la Seguridad • Medidas reactivas de desempeño para hacer el seguimiento de deterioro, fallas, incidentes, no conformidades (incluidas las fallas que estuvieron a punto de ocurrir y las falsas alarmas) relacionadas con la seguridad y otra evidencia histórica de desempeño eficiente del sistema de gestión de la seguridad
  • 103. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.1 Medición y Seguimiento del Desempeño de la Seguridad Registro de datos y resultado de seguimiento y medición suficientes para facilitar el análisis de las acciones preventivas y correctivas posteriores. Si se requiere equipo de seguimiento para el desempeño y la medición o seguimiento o todos ellos, la organización debe exigir que se establezca y mantengan procedimientos para la calibración y mantenimiento de dicho equipo. Se deben conservar registros de las actividades de calibración y mantenimiento durante un tiempo suficiente para cumplir con la legislación y la política de la organización.
  • 104. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.2 Evaluación de Seguridad La organización debe evaluar los planes, procedimientos y capacidades de gestión de la seguridad por medio de revisiones periódicas, ensayos, informes posteriores a los incidentes, lecciones aprendidas, evaluaciones de desempeño y ejercicios. Los cambios significativos en estos factores deben reflejarse de inmediato en el (los) procedimiento (s). La organización debe evaluar periódicamente la conformidad con la legislación y las reglamentaciones pertinentes, las mejores prácticas industriales y la conformidad con su propia política y objetivos. La organización debe llevar registros de los resultados de las evaluaciones periódicas.
  • 105. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.3 Fallas Relacionadas con la Seguridad, Incidentes, No Conformidades, Acciones Correctivas y Preventivas La organización debe establecer, implementar y mantener procedimientos para definir la responsabilidad y autoridad para: Evaluar e iniciar acciones preventivas para identificar las fallas potenciales en la seguridad, a fin de que se pueda evitar que ocurran. Investigar los siguientes aspectos relacionados con la seguridad: 1- Fallas, incluidas las que estuvieron apunto de ocurrir y las falsas alarmas 2- Incidentes y situaciones de emergencia 3- No conformidades
  • 106. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.3 Fallas Relacionadas con la Seguridad, Incidentes, No Conformidades, Acciones Correctivas y Preventivas Emprender acciones para mitigar cualquier consecuencia de dichas fallas, incidentes o no conformidades. Iniciar y completar las acciones correctivas Confirmar la eficacia de las acciones correctivas emprendidas Estos procedimientos deben exigir que se revisen todas las acciones correctivas y preventivas propuestas por medio del proceso de evaluación de amenazas y riesgos de seguridad antes de la implementación, a menos que la implementación inmediata impida exposiciones inminentes para la vida o seguridad pública.
  • 107. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.3 Fallas Relacionadas con la Seguridad, Incidentes, No Conformidades, Acciones Correctivas y Preventivas • Cualquier acción correctiva o preventiva emprendida para eliminar la causa de no conformidades reales y potenciales debe ser apropiada para la magnitud de los problemas y proporcional a las amenazas y riesgos de la seguridad que probablemente se encuentren. La organización debe implementar y registrar cualquier cambio en los procedimientos documentados que resulten de la acción correctiva, preventiva y debe incluir el entrenamiento requerido cuando fuere necesario
  • 108. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.4 Control de Registros • La organización debe establecer y mantener registros según sea necesario, para demostrar conformidad con los requisitos de su sistema de gestión de la seguridad y de esta norma y de los resultados logrados. • La organización debe establecer, implementar y mantener un procedimientos (o varios) para la identificación, almacenamiento, protección, recuperación, retención y disposición de los registros. Los registros deben ser legibles y permanecer así y deben ser identificables y trazables • La documentación electrónica y digital debería estar protegida contra alteración, tener copia de seguridad y ser accesible a todo el personal autorizado.
  • 109. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.5 Auditoria Interna La organización debe establecer, implementar y mantener un programa de auditoría de gestión de la seguridad Debe garantizar que las auditorías del sistema de gestión de la seguridad se realicen a intervalos planificados a fin de: Determinar si el sistema de gestión de la seguridad: 1- Cumple las disposiciones planificadas para la gestión de la seguridad, incluidos los requisitos de la totalidad del numeral 4 de la norma. 2- Ha sido implementado y se mantiene adecuadamente 3- Es eficaz para cumplir la política y objetivos de gestión de la seguridad de la organización
  • 110. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.5 Auditoria Interna Revisar los resultados de las auditorías anteriores y las acciones emprendidas para rectificar las no conformidades Proporcionar información a la dirección sobre los resultados de las auditorías
  • 111. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.5 Auditoria Interna Verificar el despliegue apropiado de los equipos y el personal de seguridad El programa de auditoría, incluido cualquier cronograma, debe estar basado en los resultados de las evaluaciones de amenazas y riesgos de las actividades de la organización y en los resultados de las auditorías anteriores.
  • 112. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.5 Verificación y acción correctiva 4.5.5 Auditoria Interna Los procedimientos de auditoría deberían comprender el alcance, la frecuencia, las metodologías y competencias, lo mismo que las responsabilidades y requisitos para realizar auditorías y reportar resultados. Cuando sea posible, las auditorías las debe llevar a cabo personal independiente de los que tienen responsabilidad directa de la actividad que se está examinando. NOTA: La frase "personal independiente" no necesariamente significa persona externo a la organización
  • 113. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad Actuar 4.6 Revisión por la dirección y mejora continua • Mejora continua • Planes de seguridad • Aumento de eficacia y eficiencia • Alineación con los requisitos del negocio
  • 114. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.6 Revisión por la dirección y mejora continua • La alta dirección deber revisar el sistema de gestión de seguridad de la organización, a intervalos planificados, a fin de garantizar que siga siendo conveniente, suficiente y eficaz. • Las revisiones deben incluir la evaluación de oportunidades de mejora y la necesidad de cambios en el sistema de gestión de seguridad, incluida la política de seguridad, los objetivos y las amenazas y los riesgos de seguridad. • Se deben tener registros de las revisiones realizadas por la dirección.
  • 115. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.6 Revisión por la dirección y mejora continua La información de entrada de las revisiones por la dirección debe incluir: • Resultados de las auditorías y evaluaciones de conformidad con los requisitos legales y con otros requisitos que suscribe la organización • Comunicación (es) de partes externas interesadas, incluidas quejas • El desempeño de la seguridad de la organización. • El grado en que se cumplen objetivos y metas • Estado de las acciones correctivas y preventivas.
  • 116. Norma ISO 28000 4. Elementos del sistema de gestión de seguridad 4.6 Revisión por la dirección y mejora continua • Acciones de seguimiento y revisiones por la dirección anteriores. • Circunstancias cambiantes, incluidas desarrollos en requisitos legales y otros, relacionados con aspectos de su seguridad. • Recomendaciones de mejora • La información de salida de las revisiones por la dirección debe incluir cualquier decisión y acción relacionada con cambios posibles a la política, objetivos, metas y otros elementos del sistema de gestión de seguridad, de manera coherente con el compromiso con la mejora continua
  • 117. Ejemplos de acciones a realizar en aplicación de esta norma Realización del análisis de riesgos. Instalación de cámaras de video vigilancia CCTV. Control de llaves y dispositivos con cerraduras. Control de acceso a las oficinas, muelles de carga, almacén… Identificación de los visitantes. Sistema GPS para el seguimiento de los vehículos en ruta. Definición de las rutas de transporte. Uso de sellos y/o candados en contenedores y remolques. Inspección ocular de los vehículos de transporte, contenedores, remolques, tarimas,…, previa salida en ruta. Firma de acuerdos formales con proveedores, socios comerciales,… .
  • 118. Ejemplos de acciones a realizar en aplicación de esta norma Trazo del flujo de carga. Investiga fuentes de subcontratación. Investigación del personal que realizar el transporte de mercancía. Capacitación especializada para controlar sellos y examinar contenedores, unidades, Acceso restringido a sistemas de monitoreo y rastreo (GPS), información confidencial,… Identificación de los conductores que entregan o reciben bienes o la carga. Plan de contingencias ante el cierre de aduanas, corte de energía eléctrica, …
  • 119. ISO 28000:2007 Sistemas de Gestión de la Seguridad en la Cadena de Suministro V 2020 FIN