Chứng nhận ISO 28000: Tiêu chuẩn ISO 28000 bảo mật chuỗi cung ứng

Chuỗi cung ứng thuộc doanh nghiệp của bạn càng phát triển, nguy cơ bị xâm nhập và rủi ro từ bên ngoài càng cao. Chính vì vậy doanh nghiệp cần phải có một cách để tiếp cận cấu trúc đối với quản lý rủi ro chuỗi cung ứng để tối ưu hóa độ tin cậy trong toàn bộ chuỗi giá trị. Chứng nhận ISO 28000 hay tiêu chuẩn ISO 28000 chính là minh chứng cho việc doanh nghiệp của bạn đã có giải pháp để bảo mật chuỗi cung ứng của mình.

Tiêu chuẩn ISO 28000 là gì?

ISO 28000 là tiêu chuẩn được công nhận trên toàn cầu giải quyết các mối quan ngại về an ninh phát sinh từ quản lý chuỗi cung ứng. Tiêu chuẩn này cung cấp một khuôn khổ toàn diện cho các tổ chức để xác định các lỗ hổng và thiết lập, triển khai, vận hành, xem xét, duy trì và cải thiện các hệ thống quản lý an ninh chuỗi cung ứng.

Định nghĩa

Tiêu chuẩn ISO 2800 là hệ thống quản lý bảo mật an ninh cho chuỗi cung ứng. Tiêu chuẩn này bao gồm các biện pháp thực hành tốt nhất để triển khai an ninh chuỗi cung ứng, đánh giá và kế hoạch liên quan đến an ninh cho các doanh nghiệp thuộc một phần của chuỗi cung ứng quốc tế. Bằng cách tiếp cận dựa trên rủi ro, ISO 2800 giải quyết vấn đề quản lý tủi ro trước, trong và sau bất kỳ sự cố gián đoạn nào 

Các phiên bản của tiêu chuẩn ISO 28000 là gì

ISO 28000:2007 ban đầu được phát triển để các tổ chức có quy mô khác nhau có thể áp dụng tiêu chuẩn này vào chuỗi cung ứng của họ ở nhiều mức độ phức tạp khác nhau. Bây giờ, sau khi sửa đổi, ISO 28000:2022 có thể được áp dụng ngoài chuỗi cung ứng cho mọi khía cạnh của tổ chức.

• phát triển hệ thống quản lý an ninh,
• tuân thủ nội bộ với các mục tiêu của chính sách quản lý an ninh,
• tuân thủ bên ngoài với các tiêu chuẩn thực hành tốt nhất ,
• đảm bảo sự phù hợp với tiêu chuẩn,
• tăng cường khả năng phục hồi của tổ chức thông qua việc áp dụng hệ thống quản lý an ninh một cách hiệu quả, phối hợp và tích hợp.

Tiêu chuẩn ISO 28000 đã trải qua các phiên bản sau:

Tiêu chuẩn ISO/PAS 28000:2005 -> Tiêu chuẩn ISO 28000:2007 -> Tiêu chuẩn ISO 28000:20222 (phiên bản mới nhất)

Nội dung chính của tiêu chuẩn ISO 28000:2022

ISO 28000:2007 áp dụng cho mọi quy mô tổ chức, từ nhỏ đến đa quốc gia, trong sản xuất, dịch vụ, lưu trữ hoặc vận chuyển ở bất kỳ giai đoạn nào của chuỗi sản xuất hoặc cung ứng mong muốn:

1. a) thiết lập, triển khai, duy trì và cải thiện hệ thống quản lý an ninh;

1. b) đảm bảo sự phù hợp với chính sách quản lý an ninh đã nêu;

1. c) chứng minh sự tuân thủ đó với người khác;

1. d) tìm kiếm chứng nhận/đăng ký hệ thống quản lý an ninh của mình từ một Cơ quan chứng nhận bên thứ ba được công nhận; hoặc
2. e) tự xác định và tự tuyên bố về sự phù hợp với ISO 28000:2007.

Phạm vị của tiêu chuẩn ISO 28000:2022

Tương tự như các tiêu chuẩn hệ thống quản lý khác của ISO, các yêu cầu được chỉ định trong ISO 28000 là  có mục đích áp dụng cho tất cả các tổ chức, bất kể loại hình, quy mô và ngành nghề. Tuy nhiên, mức độ áp dụng các yêu cầu phụ thuộc vào môi trường và mức độ phức tạp của tổ chức. ISO 28000:2022 được chia thành 10 điều khoản chính và áp dụng cấu trúc hài hòa và văn bản chuẩn hóa được nêu trong Phụ lục SL .Tiêu chuẩn được chia như sau:

1. Phạm vi
2. Tài liệu tham khảo chuẩn mực
3. Thuật ngữ và định nghĩa
4. Bối cảnh của tổ chức
5. Khả năng lãnh đạo
6. Kế hoạch
7. Ủng hộ
8. Hoạt động
9. Đánh giá hiệu suất
10. Sự cải tiến

ISO 28000:2007 được phát triển để chuẩn hóa bảo mật trong hệ thống quản lý chuỗi cung ứng rộng hơn. Trong lần sửa đổi, cấu trúc hệ thống quản lý PDCA đã được áp dụng trong việc mở rộng ISO 28000 để đưa các yếu tố của tiêu chuẩn này phù hợp với các tiêu chuẩn liên quan như ISO 9001 :2000, ISO 14001 :2004 và đặc biệt là ISO 22301 :2018. Ngoài ra, các hạn chế về bảo mật trong chuỗi cung ứng đã được loại bỏ để giờ đây rõ ràng là nó có thể được sử dụng trong mọi khía cạnh bảo mật của tổ chức.

Đối tượng doanh nghiệp nào sẽ cần tới tiêu chuẩn ISO 28000:2022?

• Doanh nghiệp vận tải, logistics, kho bãi

• Nhà sản xuất hàng hóa có giá trị cao, cần bảo mật

• Đơn vị xuất khẩu – nhập khẩu

• Chuỗi cung ứng của các tập đoàn đa quốc gia

Tại sao doanh nghiệp cần chứng nhận tiêu chuẩn ISO 28000:2022?

Đối với các tổ chức trải rộng trên nhiều lĩnh vực và khu vực, việc quản lý hiệu quả các rủi ro an ninh liên quan đến việc di chuyển và lưu trữ hàng hóa là một thách thức liên tục. Thách thức này có thể ảnh hưởng trực tiếp đến danh tiếng thương hiệu. Chính vì vậy ISO 28000:2022 được ra đời chủ yếu nhằm: Bảo vệ chuỗi cung ứng của bạn khỏi các mối đe dọa phức tạp. Đồng thời giúp doanh nghiệp triển khai các biện pháp kiểm soát mạnh mẽ có thể giúp bạn xác định và ứng phó với các lỗ hổng trong chuỗi cung ứng và rủi ro bảo mật mới nổi. Một vài ưu điểm có thể kể tới khi doanh nghiệp đạt chứng nhận tiêu chuẩn ISO 28000:2022 là gì?

Thúc đẩy thương mại và đẩy nhanh việc vận chuyển hàng hóa qua biên giới để cải thiện khả năng tiếp cận thị trường.

Xác định, giám sát và quản lý rủi ro bảo mật trong toàn bộ doanh nghiệp và chuỗi cung ứng của bạn.

Nâng cao hiệu quả và giảm chi phí.

Trình bày việc xác định các khía cạnh quan trọng đối với an ninh của chuỗi cung ứng.

Tiêu chuẩn ISO 28000:2022 yêu cầu những gì?

Tiêu chuẩn ISO 28000:2022 tuân theo cấu trúc HLS (High-Level Structure) – giống các tiêu chuẩn ISO hiện đại như ISO 9001, ISO 14001, ISO 45001… Gồm 10 điều khoản chính, trong đó các yêu cầu nằm từ điều 4 đến điều 10.

=> Tại GOOD Việt Nam chúng tôi cung cấp các dịch vụ liên quan tới các tiêu chuẩn ISO 9001:2015, ISO 14001, ISO 45001 nếu như doanh nghiệp có nhu cầu muốn tích hợp hoặc cấp chứng nhận tiêu chuẩn<=

1. Điều khoản 4: Bối cảnh tổ chức (Context of the Organization)

• Hiểu rõ các vấn đề nội bộ và bên ngoài ảnh hưởng đến an ninh chuỗi cung ứng

• Xác định các bên quan tâm (stakeholders): khách hàng, nhà vận chuyển, cơ quan nhà nước…

• Xác định phạm vi áp dụng hệ thống quản lý an ninh

2. Điều khoản 5: Lãnh đạo (Leadership)

• Cam kết của lãnh đạo cao nhất trong việc đảm bảo an ninh

• Thiết lập chính sách an ninh chuỗi cung ứng

• Giao trách nhiệm, quyền hạn rõ ràng cho các vai trò

3. Điều khoản 6: Lên kế hoạch (Planning)

• Đánh giá rủi ro và cơ hội liên quan đến an ninh

• Thiết lập mục tiêu an ninh phù hợp và có thể đo lường

• Lập kế hoạch đối phó tình huống khẩn cấp hoặc thay đổi

4. Điều khoản 7: Hỗ trợ (Support)

• Đảm bảo nguồn lực, năng lực, nhận thức và truyền thông nội bộ

• Quản lý tài liệu và thông tin cần thiết cho hệ thống quản lý an ninh

5. Điều khoản 8: Thực hiện (Operation)

• Lập kế hoạch, kiểm soát và thực hiện các hoạt động an ninh

• Bao gồm:

  • Kiểm soát ra vào

  • Bảo mật hàng hóa, thiết bị

  • Đào tạo nhân viên

  • Bảo vệ dữ liệu & thông tin nhạy cảm

  • Giám sát nhà cung cấp và đối tác logistics

• Quản lý sự cố và phản ứng nhanh với rủi ro

6. Điều khoản 9: Đánh giá hiệu suất (Performance Evaluation)

• Theo dõi, đo lường, phân tích hiệu quả của hệ thống an ninh

• Đánh giá nội bộ

• Xem xét của lãnh đạo định kỳ

7. Điều khoản 10: Cải tiến (Improvement)

• Quản lý hành động khắc phục khi có sự cố hoặc không phù hợp

• Liên tục cải tiến hệ thống để tăng độ an toàn và hiệu quả

Quy trình chứng nhận ISO 28000

1. Sự chuẩn bị :
   • Phân tích khoảng cách : Tiến hành đánh giá các quy trình và thủ tục quản lý rủi ro hiện tại so với các yêu cầu của ISO 28000.
   • Phát triển kế hoạch thực hiện : Tạo chiến lược để điều chỉnh hoạt động của công ty theo tiêu chuẩn ISO 28000.
2. Triển khai hệ thống :
   • Đào tạo nhóm : Đảm bảo nhân viên hiểu các quy trình mới liên quan đến an ninh chuỗi cung ứng.
   • Phát triển tài liệu : Chuẩn bị các tài liệu cần thiết liên quan đến quản lý rủi ro và an ninh.
   • Triển khai quy trình : Giới thiệu các quy trình mới hoặc quy trình đã cập nhật vào các hoạt động vận hành hàng ngày.
3. Đánh giá nội bộ :
   • Xác minh sự tuân thủ : Thực hiện kiểm toán nội bộ để đánh giá hiệu quả của các quy trình đã triển khai.
   • Hành động khắc phục : Thực hiện những điều chỉnh cần thiết cho hệ thống quản lý rủi ro.
4. Kiểm toán chứng nhận :
   • Giai đoạn 1 : Xem xét tài liệu và đánh giá mức độ sẵn sàng của tổ chức cho việc kiểm toán.
   • Giai đoạn 2 : Kiểm toán chi tiết các hoạt động và quy trình bởi các kiểm toán viên bên ngoài được công nhận.
5. Chứng nhận :
   • Sau khi đánh giá thành công, tổ chức được cấp chứng nhận ISO 28000.
6. Giám sát và cải tiến :
   • Kiểm toán giám sát : Audit thường xuyên để duy trì chứng nhận.
   • Cải tiến liên tục : Các tổ chức nên liên tục phân tích và cải thiện các quy trình bảo mật của mình.