Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros

ISO 28000:2007
Sistemas de Gestión de la
Seguridad
en la Cadena de Suministro
Primera Parte

“Casi todas las organizaciones confían de
alguna manera en su cadena de suministro
para asegurar la continuidad del negocio y
son vulnerables, sí el suministro se
interrumpe”

Preocupaciones Globales en la cadena de
suministro por :
• Contrabando de productos
• Contrabando de armas
• Tráfico de falsificaciones
Las perdidas en la cadena de suministro se
estima en 8 billones de euros en la UE.

Donde se aplican controles:
• Puertos
• Aeropuertos
• Puestos de control en fronteras
Gran dificultad para todos por:
• Reduce la velocidad del flujo de las mercancías
• Aumenta el costo
• Agrega barreras para el intercambio
Esto va en contra de:
• Producción JIT
• Reducción de inventarios
• Suministro de diversas fuentes
• Posibilidad de compras en cualquier parte del mundo

Norma ISO 28000
• La norma ISO 28000 “Especificaciones para
los Sistemas de Gestión de la Seguridad para
la Cadena de suministro” se lanzó en el 2007.
Fue la primera norma internacional dirigida
exclusivamente a la seguridad en la cadena
de suministro.

Norma ISO 28000
Los antecedentes de la ISO 28000
• Como consecuencia de la incertidumbre mundial
creada con los atentados del 11 de septiembre de
2001 en EE.UU. las entidades públicas y empresas
privadas comenzaron a tener mayor conciencia de la
necesidad de la protección de sus bienes y activos.
• Además de la legislación de cumplimiento
obligatorio, una serie de normas internacionales han
ido viendo la luz, normas en las que se contienen
requisitos específicos para garantizar la protección
de cada uno de los procesos de las empresas y las
infraestructuras críticas más significativas.

Norma ISO 28000
Para proteger la Seguridad de la Cadena de Suministro,
los Estados Unidos desarrollaron el programa C-TPAT
Customs Trade Partnership Against Terrorism, el cual
es un acuerdo voluntario entre la Aduana de ese país
y la comunidad de negocios para implementar
medidas de seguridad que protejan la cadena de
suministro, y evitar que sea utilizada por terroristas y
delincuentes, como vía para materializar el delito.

Norma ISO 28000
La Organización Mundial de Aduanas, con el referente
de C-TPAT, creó el Marco de Estándares de
Seguridad (Framework of Standars) y en su Asamblea
General del año 2005 promulgó esta iniciativa. El
Parlamento Europeo, en el mismo año, introdujo una
enmienda a su l Código Aduanero Comunitario,
permitiendo que las aduanas de la Comunidad
Europea otorguen beneficios a aquellos actores del
comercio exterior que tengan las condiciones y
cumplan los requisitos para calificarse como
Operador Económico Autorizado OEA.

Norma ISO 28000
• Como no existía un elemento que enlazara el
programa de Estados Unidos y el OEA en
Europa, la ISO International Organization for
Standardization , elabora la norma ISO/PAS
28000:2005 en respuesta a las necesidades de
la industria.
PAS: Publicly Available Specification

Norma ISO 28000
• La Norma ISO 28000 nace al abrigo de la ISO 20858:
Evaluaciones y Plan de Seguridad de la instalación
Marítima y Portuaria; y fue el Comité Técnico ISO/TC
8, “Embarcaciones y Tecnología Marina”, en
coordinación con otros comités técnicos
responsables de nodos específicos de la cadena de
suministro, el encargado de su elaboración.
• La versión revisada técnicamente que hoy se aplica
en todo el mundo es la Norma ISO 28000 se publicó
en el año 2007.

ISO 28000. Familia de Normas
• La familia de la serie de normas ISO 28000 es
un conjunto de estándares desarrollados por
International Organization for Standardization (ISO),
que proporcionan un marco de gestión de la
seguridad de la cadena de suministro
alineados con los objetivos de negocio, y
optimizando las inversiones realizadas en
controles o salvaguardas que protejan los
activos.

• ISO 28000:2007
– Define los requisitos de un sistema de gestión de
seguridad. Es la norma certificable
• ISO 28001:2007
– Mejores prácticas para implementar evaluaciones y
planes de seguridad
• ISO 28003:2007
– Requisitos para entidades de auditoría y certificación

• ISO 28004:2007
– Guía para la implementación de ISO 28000
• ISO/PAS 28005:2009
– Aplicaciones informáticas para el despacho de
aduanas.
– Contiene las especificaciones técnicas para el
correcto intercambio de información entre la
embarcación, el puerto y las autoridades costeras
ISO: International Organization for Standardization
PAS: Publicly Available Specification

Relación entre ISO 28000 e ISO 28001
ISO 28000
• Requisitos sistema de gestión.
• Aspectos críticos a la garantía de la seguridad de la
cadena de suministro.
ISO 28001
• Mejores prácticas para implementar evaluaciones y
planes de seguridad.
• ISO 28001 Complementa a la norma ISO 28000.
Ambas normas son absolutamente compatibles

ISO 28000. Normas Relacionables
• ISO 20858:2007
– Evaluaciones y Plan de Seguridad de la instalación
Marítima y Portuaria
• ISO 22301: 2012
– Gestión de la Continuidad de Negocio
• ISO/IEC 27001:2013
− Gestión de la Seguridad de la Información
Además de sistemas de gestión de calidad y medio
ambiente

Norma ISO 28000
Aplicación
• Es adecuada para todos los tipos de organización,
de cualquier tamaño, que estén involucrados en la
fabricación, compra, producción, servicio,
almacenaje, transporte (por mar, carretera, vía aérea
y ferrocarril) y/o en procesos de ventas; que deseen
establecer, implementar, mantener y mejorar un
sistema de gestión de seguridad en cualquiera de
las fases de producción o de cadena de suministro.

Norma ISO 28000
• El desarrollo y la promulgación de un marco
legislativo nuevo, así como de políticas específicas
para la protección de infraestructuras críticas ha sido
un avance dentro del ámbito de la seguridad.
• La norma ISO 28000, es imprescindible en
instalaciones portuarias, aeropuertos, grandes
centros comerciales, compañías de suministro de
energía, empresas de transporte y sector ferroviario,
etc.

Norma ISO 28000
• El objetivo de la norma es proporcionar un
marco de buenas prácticas para reducir
los riesgos para las personas y las cargas en
la cadena de suministro.

Norma ISO 28000
• Trata temas potenciales de seguridad en
todas las fases del proceso de suministro,
centrándose especialmente en las áreas de
logística.
• También, se concentra en mitigar los efectos
de los incidentes de seguridad.

Norma ISO 28000
Se centra en gestionar activamente y reducir
los riesgos.
• Los aspectos críticos de seguridad en la cadena de
suministro, pueden incluir aspectos financieros, de
fabricación, gestión de la información y logística,
almacenamiento y depósito de mercancías.
• Y son aplicables a organizaciones de todos los
tamaños, en los sectores de fabricación, servicios,
almacenaje o transporte, y en cualquiera de sus fases
de producción o de la cadena de suministro.

Norma ISO 28000
La norma ISO 28000 de Seguridad de la Cadena de
suministro proporciona a las organizaciones:
• Probar la existencia de un sistema fuerte y seguro de
gestión de su cadena de suministro frente a los
clientes y las partes interesadas.
• Proporcionar un enfoque coherente común a todos
los proveedores dentro de su cadena de suministro.
• Demostrar que la organización se compromete a
alcanzar la satisfacción del cliente.

Norma ISO 28000
• Evaluar sus riesgos de seguridad y a implantar
controles o atenuantes para gestionar las amenazas
y potenciales impactos en la seguridad de su cadena
de suministro.
• Fácil integración, ya que al utilizar un sistema de
gestión basado en el método “Plan-Do-Check-Act”
ya implantado y probado en las norma ISO 9001, ISO
14001, ISO 45001, ISO 22000, ISO 26000 , ISO
31000 , ISO 27001 las organizaciones ya
familiarizadas con este enfoque basado en riesgos,
pueden utilizar un enfoque similar para analizar los
peligros y los riesgos de seguridad de su cadena de
suministro.

Norma ISO 28000
¿Cuáles son las principales ventajas?
• Garantía de una sistemática de operaciones
orientadas al control de los riesgos así como la
implantación de medidas para su mitigación.
• Mejora la seguridad de la evaluación de riesgos, la
protección de los activos y la visibilidad del
inventario y la gestión
• Asegura la continuidad del suministro para el
desarrollo empresarial sostenible y la reducción de
los plazos de entrega

Norma ISO 28000
• Mejora la satisfacción del cliente y la cooperación
empresarial a lo largo de la cadena de suministro
• Optimización de los procesos de la organización con
la consecuente mejora de costes, seguridad, eficacia,
etc.
• Da valor añadido a la empresa en sus operaciones
comerciales.
• Da a la empresa una herramienta competitiva y
diferencial que puede ser esgrimida como arma
comercial ante clientes, autoridades e inversores.

Norma ISO 28000
• Reduce las pérdidas como resultado de los robos en
el transporte
• Menos tiempo de despacho de aduana
(Aprobaciones de circuito verde) y la reducción de
inspecciones secundarias
• Cumplimiento con otros reglamentos y esquemas de
cadena de suministro Customs Trade Partnership
Against Terrorism (C-TPAT) y Operador Económico
Autorizado (OEA).

Norma ISO 28000
• Sigue el ciclo de mejora continua PDCA (Plan, Check, Do,
Act).Con un enfoque basado en la evaluación del riesgo.

Norma ISO 28000
Estructura de la norma ISO 28000
Los elementos básicos y fundamentales a tener en
cuenta para el correcto desarrollo e implantación
de la norma son:
1. Objetivos y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Elementos del sistema de gestión de seguridad
Anexo A

Norma ISO 28000
1. Objetivos y campo de aplicación
a) Establecer, implementar, mantener y mejorar un
sistema de gestión de la seguridad de la cadena de
suministro.
b) Conformidad con la política de gestión de la
seguridad de la cadena de suministro.
c) Demostrar Conformidad ante otros.
d) Certificación/registro de su sistema de gestión de la
seguridad por un organismo de certificación.
e) Realizar una auto-determinación y auto-declaración
de conformidad.

Norma ISO 28000
• El propósito de la norma ISO28000 es , garantizar
que los riesgos de la seguridad de la cadena de
suministro sean gestionados adecuadamente por la
organización.
• La norma ISO28000 especifica Los requisitos para un
sistema de gestión de la seguridad , incluyendo
aquellos aspectos críticos para el aseguramiento de
la seguridad de la cadena de suministro.
• Marco para la gestión de la seguridad y la medición
de los puntos críticos de cualquier empresa y sus
procesos.

2. Referencias normativas
No hay referencias normativas en este
documento.
Norma ISO 28000

3.Términos y definiciones
Cadena de suministro
Conjunto relacionado de recursos y procesos que comienza con
la provisión de materias primas y se extiende hasta la
entrega de productos o servicios al usuario final a través de
los medios de transporte
Norma ISO 28000

Seguridad
• Resistencia al acto o actos intencionados y no
autorizados, destinados a causar daño o perjuicio a la
cadena de suministro o a través de ella.
• ¿y no intencionados?
Norma ISO 28000

Gestión de la Seguridad
• Actividades y prácticas sistemáticas y coordinadas a
través de las cuales una organización gestiona de
manera óptima sus riesgos y las amenazas e
impactos potenciales asociados
Norma ISO 28000

Norma ISO 28000
4.1 Requisitos generales
4.2 Política de la gestión de la seguridad
4.3 Evaluación de los riesgos de la seguridad y
planificación
4.4 Implementación y operación
4.5 Verificación y acción correctiva
4.6 Revisión por la dirección y mejora continua

Norma ISO 28000
Planificar
Hacer
Verificar
Actuar

Ciclo de Demming
Se trata de un enfoque basado en la evaluación del riesgo.
• Planificar
− Alineamiento Negocio – Seguridad
• Hacer
− Implantar medidas de seguridad
• Verificar
− ¿Se hacen las cosas como se han definido?
− ¿Se mitiga el riesgo en el nivel supuesto?
• Actuar
− Corregir y mejorar
Norma ISO 28000

Norma ISO 28000
La gestión de la seguridad bajo la norma ISO 28000
permite desarrollar una resistencia efectiva a las
acciones intencionales que pretendan causar daños o
perjuicios a la Cadena de Suministro, y los Estándares
OEA y C-TPAT conformarán los programas de
seguridad , que mediante metas definidas
permitirán alcanzar los objetivos de seguridad , que
se han orientado conforme a la política de Seguridad
de cada actor de la Cadena de Suministro.

Norma ISO 28000
la columna vertebral de la norma de seguridad para la
cadena de suministro es una adecuada identificación
de riesgos, que luego de valorados indiquen su
probabilidad de ocurrencia y su impacto en la
cadena, permitirá determinar las acciones de
mitigación que sea necesario implementar.

Norma ISO 28000
El primer elemento de la norma consiste en desarrollar,
mantener, documentar y mejorar un sistema de
gestión de seguridad que sea capaz de identificar
amenazas, evaluar los riesgos y en base a ellos
tomar las acciones necesarias que permitan
anticipar los riesgos y mitigar el impacto en caso de
que se materialicen.
Muchas organizaciones mapean sus cadenas de
suministro para poder identificar los puntos débiles
de la cadena que pueden interferir en el servicio al
cliente y prever problemas antes de que ocurran.

Norma ISO 28000

Norma ISO 28000
El Alcance debe incluir todas las acciones, procesos y
movimientos de la carga, tanto aguas arriba como
aguas abajo deberíamos integrar dentro del alcance
las actividades principales de la organización así
como el resto de actividades críticas requeridas en lo
que se refiere a la gestión de la seguridad de la
cadena de suministro o bien actividades
relacionadas que puedan afectar a la seguridad de
empleados y/o partes interesadas.

Norma ISO 28000
Procesos subcontratados:
Asegurar que dichos procesos se controlan, deberán
someterse también a una evaluación de riesgos,
quedando incluidos dentro del alcance. Se deben
identificar dentro del sistema de gestión de la
seguridad los controles y responsabilidades
necesarios para dichos procesos contratados
externamente.

Norma ISO 28000
Planificar
• 4.2Política de Seguridad
• 4.3 Evaluación y Planificación de Riesgos
– Análisis de Riesgos
– Marcar objetivos y metas
• Todo objetivo está compuesto por una serie de
metas, que unidas y alcanzadas conforman el
objetivo
– Gestión del riesgo

Norma ISO 28000
El segundo elemento es la determinación de la Política
de Seguridad:
Esta política nos permite orientar el establecimiento
de los objetivos, sus metas y los programas
específicos que permitan administrar los riesgos y
asegurar la cadena de suministro.

Norma ISO 28000
Debe ser apropiada a las amenazas de la organización,
incluir el compromiso de cumplir con la legislación y
tener un respaldo visible de la alta dirección

Norma ISO 28000
• Es una declaración clara del compromiso de la alta
dirección en materia de seguridad.
• Marca las tanto las directrices como los principios en
dicha materia para la Organización.
• Determina los objetivos globales en materia de
seguridad así como su responsabilidad.
• La política de seguridad de la organización puede
incluir información crítica o clave para la
organización por lo que suele ser habitual publicar
una política general resumen que pueda hacerse
pública.

Norma ISO 28000
Las entradas típicas para una política de la gestión de la
seguridad son:
• El resto de políticas u objetivos de la organización críticas
para su negocio.
• Actividades tanto pasadas como presentes en materia de
seguridad de la empresa.
• Necesidades de los grupos de interés de la compañía:
Accionistas, clientes, etc.
• Oportunidades de mejora para la organización.
• Recursos para su consecución.
• Contribución de los empleados, contratistas y terceros.

Norma ISO 28000
La alta dirección, para una formular y comunicar una Política de
Seguridad eficazmente, debería:
Adecuarla a la naturaleza y los riesgos de seguridad de la
organización mediante una identificación de amenazas,
evaluación y gestión del riesgo como núcleo de gestión del
sistema de seguridad.
Manifestar un compromiso con la mejora continua:
Vinculándolo con las responsabilidades legales, nacionales,
regulatorias así como cualquier pauta adicional de aplicación
por la organización para la mejora del desempeño en materia
de seguridad de la cadena de suministro. Esto debería
hacerse eco a su vez a través de los objetivos de seguridad y
gestionarse conforme el programa de gestión de seguridad.

Norma ISO 28000
Incluir un compromiso para dar, al menos, conformidad a las
regulaciones aplicables y requisitos adicionales contemplados
por la organización en materia de seguridad.
Documentar, implementar y mantener. La eficacia de la política
de seguridad radica en su documentación y revisión periódica
para la ajustarse a las nuevas necesidades de la organización
en materia de seguridad.
Comunicarse a todos los empleados: Los empleados deben
participar y comprometerse activamente con la seguridad.
Deben ser conscientes de los efectos sobre la seguridad de la
compañía así como su propio trabajo que tienen sus acciones.

Norma ISO 28000
• Estar disponible: Cualquier grupo de interés debería
ser capaz de consultar la política activamente para el
correcto desempeño de su actividad. Ya sea interno
o externo.
• Revisarse periódicamente: Debe adaptarse a los
cambios técnicos, reglamentarios, de requisitos de
negocio, etc. de la organización. La política de
seguridad constituye un documento vivo y por tanto
su actualización resulta indispensable.

ISO 28000:2007
Seguridad
FIN Primera Parte

ISO 28000:2007
Seguridad
Segunda parte

Norma ISO 28000
4.3 Evaluación de los riesgos de la seguridad y
planificación
El tercer elemento es la evaluación del Riesgo de
Seguridad y la planificación del Sistema de Gestión.
En este paso se identifica de manera efectiva el riesgo,
se planifican las acciones a seguir, se establecen los
objetivos de seguridad que se pretenden alcanzar y
se fijan las metas en base a un análisis del contexto
de la organización, sus metas y objetivos
corporativos.

Norma ISO 28000
4.3 Evaluación y planificación de los riesgos de la
seguridad
• La organización debe de establecer y mantener
procedimientos para la identificación y evaluación de
las amenazas a la seguridad y su gestión así como la
identificación e implementación de las medidas de
control necesarias.
• Los métodos de identificación de amenazas y riesgos,
los de evaluación y los de control deberían de ser
apropiados a la naturaleza y escala de las
operaciones.

Norma ISO 28000
4.3 Evaluación y planificación de los riesgos de la seguridad
4.3.1 Evaluación del riesgo de seguridad
La evaluación de riesgos debe incluir:
• Amenazas y riesgos de fallo físico.
• Amenazas y riesgos operacionales.
• Sucesos naturales que conviertan las medidas en ineficaces.
• Factores ajenos al control de la organización.
• Amenazas y riesgos de las partes afectadas, no cumplir
reglamentaciones , daño de la reputación, marca etc.
• Diseño e instalación del equipo de seguridad.
• Gestión de la información y las comunicaciones.
• Amenazas a la continuidad de las operaciones.

Norma ISO 28000
La organización debe asegurar que se consideren los resultados
de estas evaluaciones y los efectos de estos controles cuando
resulte apropiado debe proporcionar elementos de entrada a:
• Los objetivos y metas de gestión de la seguridad
• Los programas de gestión de la seguridad
• La determinación de requisitos para el diseño, especificación
e instalación.
• La identificación de recursos adecuados, incluidos los niveles
de contratación de personal.

Norma ISO 28000
• La identificación de necesidades de formación y habilidades
(véase numeral 4.4.2)
• El desarrollo de controles operacionales (véase el numeral
4.4.6)
• La estructura general de gestión de amenazas y riesgos de la
organización.
• La organización debe documentar y mantener actualizada la
anterior información.

Norma ISO 28000
4.3 Evaluación y planificación de los riesgo de la seguridad
La metodología de la organización para la identificación y
evaluación de riesgos debe:
• Estar definida respecto a su alcance, naturaleza,
programación en el tiempo, para asegurar que sea proactiva
en vez de reactiva.
• Incluir la información recolectada acerca de las amenazas y
riesgos de la seguridad.
• Proporcionar la clasificación de amenazas y riesgos y la
identificación de aquellos que deben evitarse, eliminarse o
controlarse.
• Proporcionar el seguimiento de las acciones para garantizar
su eficacia y oportuna implementación (véase numeral 4.5.1)

Norma ISO 28000
4.3 Evaluación y planificación de los riesgo de la
seguridad
4.3.2 Cumplimiento legal y reglamentario
• La organización debe establecer, implementar y
mantener un procedimiento:
• Para identificar y tener acceso a los requisitos legales
aplicables y otros requisitos que suscribe la
organización en relación con sus amenazas y riesgos
para la seguridad, y para determinar cómo se aplican
estos requisitos a sus amenazas y riesgos para la
seguridad

Norma ISO 28000
seguridad
4.3.2 Cumplimiento legal y reglamentario
• La organización debe mantener actualizada esta
información y debe comunicar la información
pertinente sobre requisitos legales y otros a sus
empleados y terceras partes pertinentes, incluidos
los contratistas.

Norma ISO 28000
seguridad
4.3.3 Objetivos desarrollados para la gestión de la
La organización debe establecer, implementar y
mantener objetivos de gestión de la seguridad
documentados, en las funciones y niveles
pertinentes dentro de la organización
Los objetivos deber derivarse de la política y ser
coherentes con ella.

Norma ISO 28000
4.3.3 Objetivos desarrollados para la gestión de la seguridad de
la cadena de suministro
Al establecer y revisar sus objetivos una organización debe tener
en cuenta:
• Requisitos legales, estatutarios y otros de reglamentación
sobre seguridad
• Amenazas y riesgos relacionados con la seguridad
• Opciones tecnológicas y otras
• Requisitos financieros, operacionales y empresariales
• Puntos de vista de las partes interesadas apropiadas

Norma ISO 28000
seguridad
Los objetivos de gestión de la seguridad deben:
Ser coherentes con el compromiso de la organización
con la mejora continua
Cuantificarse (cuando sea posible)

Norma ISO 28000
seguridad
Comunicarse a todos los empleados y terceras partes
pertinentes, incluidos los contratistas, con la
intención de que estas personas sean conscientes de
sus obligaciones individuales
Revisarse periódicamente para garantizar que sigan
siendo pertinentes y coherentes con la política de
gestión de la seguridad. Cuando sea necesario, se
deben corregir de acuerdo con los objetivos de
gestión de la seguridad.

Norma ISO 28000
seguridad
La cláusula describe cómo han de establecerse los
objetivos de la empresa asociados a esta norma.
Los objetivos de seguridad deben estar alineados con la
política de seguridad de la compañía. Los objetivos
deben ser medibles y emplearse allí donde sea
necesario para la organización.

Norma ISO 28000
4.3.3 Objetivos desarrollados para la gestión de la seguridad de
la cadena de suministro
Los objetivos de seguridad deberían englobar:
• Seguridad Corporativa: Objetivos de alto nivel para la
compañía.
• Objetivos Específico: De más bajo nivel y más cercano a la
actividad in situ.
Los objetivos de seguridad corporativa suelen ir vinculados a
planes que por tiempo e inversión suelen retrasarse su
implementación y suelen incluir políticas generales de la
corporación.
Los objetivos específicos son mucho más cercanos a la actividad
como, por ejemplo, la disminución de incidencias relativas a
un evento de seguridad.

Norma ISO 28000
seguridad
4.3.4 Metas
mantener las metas de gestión de la seguridad
documentadas, apropiadas para las necesidades de
la organización. Las metas deben derivarse de los
objetivos de gestión de la seguridad y ser coherentes
con ellos.

Norma ISO 28000
4.3.4 Metas
Estas metas deben:
• Tener un nivel apropiado de detalle, ser específicos, medibles,
obtenibles, pertinentes y con base en el tiempo (cuando sea
aplicable)
• Comunicarse a todos los empleados y terceras partes
pertinentes, incluidos los contratistas, con la intención de que
estas personas sean conscientes de sus obligaciones
individuales.
• Revisarse periódicamente para asegurar que sigan siendo
pertinentes y coherentes con los objetivos de gestión de la
seguridad.
• Donde sea necesario, las metas se deben ajustar
consecuentemente.

Norma ISO 28000
4.3.4 Metas
• Se definen los requisitos a emplear por el sistema de gestión
para su definición e implementación. Constituyen métricas
parciales para el análisis de la implementación y evolución de
los objetivos.
• Las entradas que deberían considerar las metas de la
organización son los mismos que constituyen para los
objetivos.
• Las metas siempre deberán ser alcanzables al igual que los
objetivos a los que están asociados. Los programas de
seguridad deberían incidir en las metas a aplicar así como en
el método de implementación y medición a emplear.
• Deben ser específicas, medibles y estar siempre planificadas
bajo un horizonte temporal.

Norma ISO 28000
4.3.4 Metas
Debemos estar atentos a la retroinformación específica de las
metas, esto es, estar atentos a cuanta información tal como
incidentes de actividades sobre las que incide directamente la
meta.
Debido a la relación causa- efecto establecida entre objetivos y
metas debemos valorar la información obtenida de las metas
para valorar los objetivos.
Puede ser que los datos obtenidos de las metas descubramos
fallos en la planificación de los objetivos.

Norma ISO 28000
4.3.4 Metas
Cuando analicemos las metas, necesariamente, deberíamos
analizar los objetivos a los que están asociados. Al modificar
una meta debemos valorar el efecto potencial que ocasionará
sobre el objetivo.
Deberemos definir indicadores oportunos para cada meta de
seguridad.
Cada indicador debe mostrarnos un seguimiento veraz de la
implementación de las metas.
Deberíamos definir un período de tiempo en el que alcanzar la
meta. Debemos comunicar las metas al personal oportuno
como parte de la información referida a sus funciones y
responsabilidades

Norma ISO 28000
seguridad
4.3.5 Programas de Gestión de la Seguridad
mantener programas de gestión de la seguridad para
lograr sus objetivos y metas. Los programas deberán
optimizarse y luego priorizarse y la organización
debe prever el uso de los costos de manera eficiente
y eficaz en la implementación de estos programas.

Norma ISO 28000
4.3.5 Programas de Gestión de la Seguridad
Se debe incluir documentación que describa:
La responsabilidad y autoridad designada para lograr objetivos y
metas de gestión de la seguridad.
Los medios y la escala en el tiempo por medio de los cuales se
logran los objetivos y metas de gestión de la seguridad.
Los programas de gestión de la seguridad deber revisarse
periódicamente para asegurar que se mantienen efectivos y
coherentes con los objetivos y metas.
Cuando sea necesario, los programas se deben ajustar
consecuentemente.

Norma ISO 28000
Hacer
• Responsabilidades de seguridad
• Competencia, formación y concienciación
• Control operacional
− Para las actividades relacionadas con la
seguridad y la gestión del riesgo
• Respuesta ante incidentes

Norma ISO 28000
Es el cuarto elemento considerado la planificación del
sistema lleva a la implementación de los programas
que se definieron, para lo cual hay que establecer
una comunicación efectiva, una estructura
documental que soporte el sistema y brinde
trazabilidad y debe definirse cómo responder ante
una emergencia, considerando también cómo
recuperarse de la misma.

Norma ISO 28000
Se deben definir:
• Responsabilidades y competencia
• Comunicación
• Documentación
• Control operacional
• Preparación ante emergencias

Norma ISO 28000
4.4.1 Estructura, autoridad y responsabilidades de la gestión de
la seguridad
• La organización debe establecer, y mantener una estructura
organizacional de funciones, responsabilidades y autoridad,
de manera coherente con el logro de su política, objetivos,
metas y programas de gestión de la seguridad.
• Estas funciones, responsabilidades y autoridades se deben
definir, documentar y comunicar a los individuos
responsables de la implementación y mantenimiento.
• La alta dirección debe presentar evidencia de su compromiso
con el desarrollo e implementación del sistema de gestión de
la seguridad (procesos) y mejorar continuamente su eficacia
mediante las siguientes acciones:

Norma ISO 28000
4.4.1 Estructura, autoridad y responsabilidades de la gestión de la
seguridad
• Nombrar un miembro de la alta dirección quien,
independientemente de sus otras responsabilidades, debe ser
responsable del diseño, mantenimiento, documentación y
mejora generales del sistema de gestión de seguridad de la
organización.
• Nombrar un miembro ( o varios) de la dirección, con la
autoridad necesaria para garantizar que se implementen
objetivos y metas.
• Identificar y hacer seguimiento a los requisitos y expectativas
de las partes interesadas de la organización y emprender las
acciones apropiadas y oportunas para manejar dichas
expectativas.
• Garantizar la disponibilidad de recursos adecuados.

Norma ISO 28000
4.4.1 Estructura, autoridad y responsabilidades de la
gestión de la seguridad
• Considerar el impacto adverso que la política,
objetivos, las metas, los programas, etc, de gestión
de la seguridad pueden tener en otros aspectos de la
organización.
• Garantizar que cualquier programa de seguridad
generado por otras partes de la organización
complemente el sistema de gestión de la seguridad.

Norma ISO 28000
4.4.1 Estructura, autoridad y responsabilidades de la gestión de
la seguridad
• Comunicar a la organización la importancia de cumplir sus
requisitos de gestión de la seguridad a fin de cumplir con su
política.
• Garantizar que las amenazas y riesgos de la seguridad sean
evaluados y se incluyan en evaluaciones de amenazas y
riesgos organizacionales, según resulte apropiado.
• Garantizar la viabilidad de los objetivos, metas y programas
de gestión de la seguridad.

Norma ISO 28000
4.4.2. Competencia, formación y toma de conciencia
La organización debe garantizar que el personal responsable del
diseño, operación y gestión de equipos y procesos de
seguridad esté calificado adecuadamente en lo relativo a
educación, entrenamiento o experiencia o ambas.
La organización debe establecer y mantener procedimientos
para que las personas que trabajan para ella o en su
nombre sean concientes de:

Norma ISO 28000
4.4.2. Competencia, formación y toma de conciencia
• La importancia del cumplimiento de la política y
procedimientos de gestión de la seguridad y los requisitos del
sistema de gestión de la seguridad.
• Sus funciones y responsabilidades en el logro de la
conformidad con la política y procedimientos de gestión de la
seguridad y con los requisitos del sistema de gestión de la
seguridad, incluidos los requisitos de preparación y respuesta
ante emergencias.
• Las consecuencias potenciales que tiene para la seguridad de
la organización desviarse de los procedimientos de operación
especificados.
• Se deben llevar registros de competencia y entrenamiento

Norma ISO 28000
4.4.3. Procedimientos de comunicación
La organización debe contar con procedimientos para asegurar
que la información pertinente de gestión de la seguridad se
comunica hacia y desde los empleados relevantes,
contratistas y otras partes interesadas.
Debido a la naturaleza confidencial de alguna información
relacionada con seguridad, se debería considerar
adecuadamente la sensibilidad de la información antes de
su divulgación.

Norma ISO 28000
4.4.4 Documentación
La organización debe establecer y mantener un sistema
de documentación de gestión de la seguridad que
incluya los siguientes aspectos (sin limitarse a ellos):
La política, objetivos y metas de seguridad
La descripción del alcance del sistema de gestión de la
seguridad
La descripción de los elementos principales del sistema
de gestión de la seguridad y su interacción y
referencia con documentos relacionados.

Norma ISO 28000
4.4.4 Documentación
Los documentos incluidos registros, exigidos en la
Norma ISO 28000
Los documentos incluidos registros, determinados por
la organización como necesarios para garantizar la
planificación, operación y control eficaces de los
procesos relacionados con sus amenazas y riesgos
para la seguridad significativos.
La organización debe determinar la confidencialidad de
la información de seguridad y tomar las medidas
para evitar el acceso no autorizado a ella.

Norma ISO 28000
4.4.5 Control de Documentos y Datos
para controlar todos los documentos, datos e información
exigidos en el numeral 4 de la Norma a fin de garantizar que:
Sólo individuos autorizados puedan localizar y tener acceso a
estos documentos, datos e información.
Personal autorizado revise periódicamente estos documentos,
datos e información, los actualice según sea necesario y
apruebe su conveniencia.
Se encuentren disponibles versiones actuales de los
documentos, datos e información pertinentes en todos los
lugares donde se realicen operaciones esenciales para el
funcionamiento efectivo del sistema de gestión de la
seguridad.

Norma ISO 28000
4.4.5 Control de Documentos y Datos
Los documentos, datos e información obsoletos sean retirados
con prontitud de todos los puntos de emisión y de uso, o se
asegure de otro modo que no se haga uso indeseado de ellos
Se identifiquen adecuadamente los documentos de archivo,
datos e información que se conservan con propósitos legales
o de preservación del conocimiento o ambos
Dichos documentos, datos e información sean seguros y si se
encuentran en formato electrónico, deben tener copia de
seguridad adecuada y se puedan recuperar.

Norma ISO 28000
4.4.6. Control operacional
La organización debe identificar aquellas operaciones y
actividades que sean necesarias para lograr:
a. Su política de gestión de la seguridad
b. El control de las actividades y mitigación de amenazas
identificadas como un riesgo significativo
c. La conformidad con requisitos legales, estatutarios y otros
requisitos de reglamentación
d. Sus objetivos de gestión de la seguridad
e. La ejecución de sus programas de gestión de la seguridad
f. El nivel requerido de seguridad de la cadena de suministro

Norma ISO 28000
La organización debe garantizar que estas operaciones
y actividades se realicen bajo las condiciones
especificadas mediante:
El establecimiento, implementación y
mantenimiento de procedimientos documentados
para controlar situaciones en las que su ausencia
podría conducir a falle en el logro de las operaciones
y actividades enunciadas en el numeral 4.4.6,
literales a) a f).

Norma ISO 28000
La evaluación de cualquier amenaza que surja de las
actividades aguas arriba de la cadena de suministro y
aplicación de controles para mitigar estos impactos
en la organización y otros operadores aguas debajo
de la cadena de suministro.
El establecimiento y mantenimiento de los requisitos
para bienes y servicios que tienen impacto en la
seguridad, y comunicación de estos a proveedores y
contratistas.

Norma ISO 28000
Estos procedimientos deben incluir controles para el
diseño, instalación, operación, renovación y
modificación de elementos de equipos,
instrumentación, etc, relacionados con la seguridad ,
según resulte apropiado. Cuando se actualicen las
disposiciones existentes o se introduzcan nuevas que
puedan causar impacto en las operaciones y
actividades de gestión de la seguridad, la
organización debe considerar las amenazas y riesgos
de la seguridad asociados antes de su
implementación.

Norma ISO 28000
Las disposiciones nuevas o actualizadas que se vayan a
considerar deben incluir:
La estructura, funciones o responsabilidades organizacionales
actualizadas
La política, objetivos, metas y programas de gestión de la
seguridad actualizados
Los procesos y procedimientos actualizados
La introducción de nueva infraestructura, equipos o tecnología
de seguridad que pueden incluir hardware o software o
ambos
La introducción de nuevos contratistas, proveedores o personal,
según sea apropiado.

Norma ISO 28000
4.4.7 Preparación y Respuesta Ante Emergencias y
Recuperación de la Seguridad
La organización debe establecer, implementar y mantener
planes y procedimientos apropiados para identificar el
potencial y las respuestas ante incidentes de seguridad y
situaciones de emergencias y para evitar y mitigar las
consecuencias probables que se puedan asociar con ellos.
Los planes y procedimientos deben incluir información acerca de
la disposición y mantenimiento de cualquier equipo,
instalaciones o servicios identificados que puedan requerirse
durante o después de los incidentes o situaciones de
emergencia.

Norma ISO 28000
4.4.7 Preparación y Respuesta Ante Emergencias y
Recuperación de la Seguridad
La organización debe revisar periódicamente la eficacia
de sus planes y procedimientos de preparación y
respuesta ante emergencias y recuperación de la
seguridad, en especial después de que ocurren
incidentes o situaciones de emergencia causados por
infracciones y amenazas a la seguridad. La
organización debe poner a prueba
periódicamente estos procedimientos.

Norma ISO 28000
Preparación ante emergencias
Planes y procedimientos para identificación,
respuestas y gestión de los potenciales
incidentes a la seguridad y las acciones de
emergencias.

Planificar - Hacer
De esta evaluación se obtendrá la información necesaria para:
• Establecer los objetivos y las metas para la gestión de la
seguridad.
• Establecer los programas de gestión de la seguridad.
• La determinación de los requisitos para el diseño, la
especificación y la implantación del sistema de gestión.
• La identificación de los recursos necesarios.
• La identificación de las necesidades de formación y las
habilidades.
• El desarrollo de los controles operacionales.
• El marco de trabajo para la gestión de los riesgos globales de
la organización.

Norma ISO 28000
Verificar
• Medición del desempeño
• Estudio de fallos e incidentes
• Auditorías
• Revisión por la Dirección

Norma ISO 28000
El quinto elemento de la norma es la etapa de
Verificación; con ella la organización determina
cómo funciona su sistema. La utilidad de un sistema
de medición que permita objetivamente revisar su
desempeño. La evaluación del sistema, el control de
los registros y la auditoría interna son elementos que
componen esta etapa y que son el elemento de
entrada para el sexto y último elemento Revisión por
la Dirección y mejora continua.

Norma ISO 28000
Se deben determinar:
• Medición y seguimiento
• Evaluación del sistema
• No Conformidades, Acciones Correctivas,
incidentes, fallos
• Registros
• Auditorías

Norma ISO 28000
4.5.1 Medición y Seguimiento del Desempeño de la Seguridad
para hacer seguimiento y medir el desempeño de sus sistema
de gestión de la seguridad.
Además debe establecer y mantener procedimientos para el
seguimiento y medición del desempeño de la seguridad.
Al establecer la frecuencia de medición y seguimiento de los
parámetros de desempeño clave, la organización debe
considerar las amenazas y riesgos de seguridad asociados,
incluidos los mecanismos de deterioro potencial y sus
consecuencias. Estos procedimientos deben proporcionar
Medidas tanto cualitativas como cuantitativas,
apropiada para las necesidades de la organización.

Norma ISO 28000
4.5.1 Medición y Seguimiento del Desempeño de la
Seguridad
• Seguimiento del grado en que se cumplen la política,
objetivos y metas de gestión de la seguridad de la
organización
• Medidas proactivas de desempeño para hacer el
seguimiento a la conformidad con los programas de
gestión de la seguridad, los criterios de control
operacionales y legislación aplicable, los requisitos
estatutarios y otros requisitos de reglamentación
sobre seguridad.

Norma ISO 28000
4.5.1 Medición y Seguimiento del Desempeño de la
Seguridad
Medidas reactivas de desempeño para hacer el
seguimiento de deterioro, fallas, incidentes, no
conformidades (incluidas las fallas que estuvieron a
punto de ocurrir y las falsas alarmas) relacionadas
con la seguridad y otra evidencia histórica de
desempeño eficiente del sistema de gestión de la
seguridad

Norma ISO 28000
4.5.1 Medición y Seguimiento del Desempeño de la Seguridad
Registro de datos y resultado de seguimiento y medición
suficientes para facilitar el análisis de las acciones preventivas
y correctivas posteriores. Si se requiere equipo de
seguimiento para el desempeño y la medición o seguimiento
o todos ellos, la organización debe exigir que se establezca y
mantengan procedimientos para la calibración y
mantenimiento de dicho equipo. Se deben conservar
registros de las actividades de calibración y mantenimiento
durante un tiempo suficiente para cumplir con la legislación y
la política de la organización.

Norma ISO 28000
4.5.2 Evaluación de Seguridad
La organización debe evaluar los planes, procedimientos y
capacidades de gestión de la seguridad por medio de
revisiones periódicas, ensayos, informes posteriores a los
incidentes, lecciones aprendidas, evaluaciones de desempeño
y ejercicios. Los cambios significativos en estos factores
deben reflejarse de inmediato en el (los) procedimiento (s).
La organización debe evaluar periódicamente la conformidad
con la legislación y las reglamentaciones pertinentes, las
mejores prácticas industriales y la conformidad con su propia
política y objetivos.
La organización debe llevar registros de los resultados de las
evaluaciones periódicas.

Norma ISO 28000
4.5.3 Fallas Relacionadas con la Seguridad, Incidentes, No
Conformidades, Acciones Correctivas y Preventivas
La organización debe establecer, implementar y mantener
procedimientos para definir la responsabilidad y autoridad
para:
Evaluar e iniciar acciones preventivas para identificar las fallas
potenciales en la seguridad, a fin de que se pueda evitar que
ocurran.
Investigar los siguientes aspectos relacionados con la seguridad:
1- Fallas, incluidas las que estuvieron apunto de ocurrir y las
falsas alarmas
2- Incidentes y situaciones de emergencia
3- No conformidades

Norma ISO 28000
Emprender acciones para mitigar cualquier consecuencia de
dichas fallas, incidentes o no conformidades.
Iniciar y completar las acciones correctivas
Confirmar la eficacia de las acciones correctivas emprendidas
Estos procedimientos deben exigir que se revisen todas las
acciones correctivas y preventivas propuestas por medio del
proceso de evaluación de amenazas y riesgos de seguridad
antes de la implementación, a menos que la implementación
inmediata impida exposiciones inminentes para la vida o
seguridad pública.

Norma ISO 28000
• Cualquier acción correctiva o preventiva emprendida para
eliminar la causa de no conformidades reales y potenciales
debe ser apropiada para la magnitud de los problemas y
proporcional a las amenazas y riesgos de la seguridad que
probablemente se encuentren. La organización debe
implementar y registrar cualquier cambio en los
procedimientos documentados que resulten de la acción
correctiva, preventiva y debe incluir el entrenamiento
requerido cuando fuere necesario

Norma ISO 28000
• 4.5.4 Control de Registros
• La organización debe establecer y mantener registros según
sea necesario, para demostrar conformidad con los requisitos
de su sistema de gestión de la seguridad y de esta norma y de
los resultados logrados.
• La organización debe establecer, implementar y mantener un
procedimientos (o varios) para la identificación,
almacenamiento, protección, recuperación, retención y
disposición de los registros.
Los registros deben ser legibles y permanecer así y deben ser
identificables y trazables
• La documentación electrónica y digital debería estar
protegida contra alteración, tener copia de seguridad y ser
accesible a todo el personal autorizado.

Norma ISO 28000
4.5.5 Auditoria Interna
La organización debe establecer, implementar y mantener un
programa de auditoría de gestión de la seguridad
Debe garantizar que las auditorías del sistema de gestión de la
seguridad se realicen a intervalos planificados a fin de:
Determinar si el sistema de gestión de la seguridad:
1- Cumple las disposiciones planificadas para la gestión de la
seguridad, incluidos los requisitos de la totalidad del numeral
4 de la norma.
2- Ha sido implementado y se mantiene adecuadamente
3- Es eficaz para cumplir la política y objetivos de gestión de la
seguridad de la organización

Norma ISO 28000
Revisar los resultados de las auditorías anteriores y las
acciones emprendidas para rectificar las no
conformidades
Proporcionar información a la dirección sobre los
resultados de las auditorías

Norma ISO 28000
Verificar el despliegue apropiado de los equipos y el
personal de seguridad
El programa de auditoría, incluido cualquier
cronograma, debe estar basado en los resultados de
las evaluaciones de amenazas y riesgos de las
actividades de la organización y en los resultados de
las auditorías anteriores.

Norma ISO 28000
Los procedimientos de auditoría deberían comprender
el alcance, la frecuencia, las metodologías y
competencias, lo mismo que las responsabilidades y
requisitos para realizar auditorías y reportar
resultados.
Cuando sea posible, las auditorías las debe llevar a cabo
personal independiente de los que tienen
responsabilidad directa de la actividad que se está
examinando.
NOTA: La frase "personal independiente" no necesariamente significa persona
externo a la organización

Norma ISO 28000
Actuar
• Mejora continua
• Planes de seguridad
• Aumento de eficacia y eficiencia
• Alineación con los requisitos del negocio

Norma ISO 28000
• La alta dirección deber revisar el sistema de gestión
de seguridad de la organización, a intervalos
planificados, a fin de garantizar que siga siendo
conveniente, suficiente y eficaz.
• Las revisiones deben incluir la evaluación de
oportunidades de mejora y la necesidad de cambios
en el sistema de gestión de seguridad, incluida la
política de seguridad, los objetivos y las amenazas y
los riesgos de seguridad.
• Se deben tener registros de las revisiones realizadas
por la dirección.

Norma ISO 28000
La información de entrada de las revisiones por la
dirección debe incluir:
• Resultados de las auditorías y evaluaciones de
conformidad con los requisitos legales y con otros
requisitos que suscribe la organización
• Comunicación (es) de partes externas interesadas,
incluidas quejas
• El desempeño de la seguridad de la organización.
• El grado en que se cumplen objetivos y metas
• Estado de las acciones correctivas y preventivas.

Norma ISO 28000
• Acciones de seguimiento y revisiones por la dirección
anteriores.
• Circunstancias cambiantes, incluidas desarrollos en requisitos
legales y otros, relacionados con aspectos de su seguridad.
• Recomendaciones de mejora
• La información de salida de las revisiones por la dirección
debe incluir cualquier decisión y acción relacionada con
cambios posibles a la política, objetivos, metas y otros
elementos del sistema de gestión de seguridad, de manera
coherente con el compromiso con la mejora continua

Ejemplos de acciones a realizar en
aplicación de esta norma
Realización del análisis de riesgos.
Instalación de cámaras de video vigilancia CCTV.
Control de llaves y dispositivos con cerraduras.
Control de acceso a las oficinas, muelles de carga, almacén…
Identificación de los visitantes.
Sistema GPS para el seguimiento de los vehículos en ruta.
Definición de las rutas de transporte.
Uso de sellos y/o candados en contenedores y remolques.
Inspección ocular de los vehículos de transporte, contenedores,
remolques, tarimas,…, previa salida en ruta.
Firma de acuerdos formales con proveedores, socios
comerciales,…
.

Ejemplos de acciones a realizar en
aplicación de esta norma
Trazo del flujo de carga.
Investiga fuentes de subcontratación.
Investigación del personal que realizar el transporte de
mercancía.
Capacitación especializada para controlar sellos y examinar
contenedores, unidades,
Acceso restringido a sistemas de monitoreo y rastreo (GPS),
información confidencial,…
Identificación de los conductores que entregan o reciben bienes
o la carga.
Plan de contingencias ante el cierre de aduanas, corte de
energía eléctrica, …

ISO 28000:2007
Seguridad
FIN

Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros

Similar to Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros (20)

More from Primala Sistema de Gestion

More from Primala Sistema de Gestion (20)

Recently uploaded

Recently uploaded (9)

Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros