Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
COLOMBIANA
NTC-ISO
28004
2009-02-18
E:
CORRESPONDENCIA:
DESCRIPTORES:
I.C.S.: 47.020.99
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC)
Apartado 14237 Bogot, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproduccin
Editada 2009-02-25
PRLOGO
INLAC
ICOLLANTAS
METROPYME
SOANSES LTDASOCIEDAD TRACTEC
TITADSU
TRANSPORTE BOTERO SOTO
ASOCIACIN DE TRANSPORTADORES
INDEPENDIENTES -ATRINASOCIADOS
DISTRIBUIDORES
DE
DERIVADOS DEL PETRLEO -ADISPETROLASOCIACIN COLOMBIANA DEL PESAJE
-ASOPESAJEASOCIACIN
NACIONAL
DE
TRANSPORTADORES -ASOTRANSASESORAS TCNICAS CORREDORES
DE SEGUROS -ASTECATENCIN TCNICA EN CALIDAD LTDA.
AUTO AIRES S.A.
AUTO FUSA S.A.
AVON
BAVARIA S.A.
BEC INTERNATIONAL LTDA.
BUREAU VERITAS CERTIFICATION
C.I. DE AZCARES Y MIELES S.A.
C.I. DISAN S.A.
CAFAM
CAJA DE COMPENSACIN FAMILIAR
-COMPENSARCAJAS Y SUPLEMENTOS
CMARA DE COMERCIO DE CALI
CAMIONES Y REMOLQUES LTDA.
CARULLA
CARVAJAL S.A.
CASA LUKER S.A.
CENTELSA
CENTRALES DE TRANSPORTES S.A.
CENTRORIENTE S.A.
CHALLENGER S.A.
CHALLENGER
CIA COLOMBIANA DE TRANSPORTES
S.A. -COLDETRANS S.A.CLNICA DE OCCIDENTE S.A.
COCA-COLA - PANAMCO COLOMBIA S.A.
COLCERMICA
COLGATE PALMOLIVE
COLOMBIANA DE TANQUES LTDA.
-COLTANQUES LTDA.COLOMBIANA KIMBERLY COLPAPEL S.A.
COMFAMA
COMFENALCO SANTANDER
COMPAA COLOMBIANA AUTOMOTRZ
COMPAA DE CARGA MOVITRANSPORTES
LTDA.
COMPAA DE DISTRIBUCCIN Y
TRANSPORTE S.A. -DITRANSA S.A.COMPAA DE GALLETAS NOL
OMNITRACS COLOMBIA
OPEN MARKET
ORGANIZACIN TERPEL
PARQUES Y FUNERARIAS S.A.
PETROCOMBUSTIBLES LTDA.
PINTURAS TERINSA
POLICA NACIONAL CARRETERAS
PRODUCTOS ALIMENTICIOS DORIA
PROFESIONALES EN DEPORTE PRODEPORT
LTDA. / CGS LTDA.
PROPIETARIOS DE CAMIONES S.A. -PROCAM
S.A.PROPILCO S.A.
PROVEEDOR & SERCARGA S.A.
PROVEMEL LTDA.
PROYECTANDO - ASESORAS EN GESTIN
ORGANIZACIONAL LTDA.
QMS ASESORES
QUINTERO HERMANOS
REDES HUMANAS LTDA
RETAR INGENIEROS LTDA
ROJAS TRASTEOS SERVICIO URBANO
BOGOT
SAC
SAMSUNG
SCHRADER CAMARGO S.A.
SECRETARA DE TRNSITO Y TRANSPORTE
SENA - CENTRO DE GESTIN INDUSTRIAL
SIEMENS
SIKA COLOMBIA S.A.
SMS CALIDAD & PROCEDIMIENTOS EU
SOANSES LTDA.
SOLETANCHE BACHY CIMAS S.A.
SSI-SERVICIO DE SALUD INMEDIATO
SUPERINTENDENCIA DE INDUSTRIA Y
COMERCIO
SUPERPOLO S.A.
SURAMERICANA DE TRANSPORTES S.A.
T.D.M. TRANSPORTES S.A.
TANQUES DEL NORDESTE LTDA
TANQUES Y CAMIONES
TECNICONTROL S.A.
TECNOQUIMICAS S.A.
TRACTOCARGA LTDA
TRACTOMULAS Y CAMIONES DEL CARIBE
TRFICOS Y FLETES S.A.
TRAMAQ
TRANSERVICIOS LTDA
TRANSGRANOS DE COLOMBIA
TRANSILVHER LTDA.
ICONTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados
normas internacionales, regionales y nacionales.
DIRECCIN DE NORMALIZACIN
NTC-ISO 28004
CONTENIDO
Pgina
INTRODUCCIN
1.
2.
3.
4.
4.1
REQUISITOS GENERALES.........................................................................................4
4.2
4.3
4.4
4.5
4.6
BIBLIOGRAFA......................................................................................................................69
DOCUMENTO DE REFERENCIA..........................................................................................70
ANEXO A (Informativo)
CORRESPONDENCIA ENTRE LAS NORMAS ISO 28000:2007,
ISO 14001:2004 E ISO 9001:2000.........................................................................................66
FIGURAS
Figura 1. Elementos del sistema de gestin de la seguridad.............................................4
NTC-ISO 28004
Pgina
NTC-ISO 28004
INTRODUCCIN
NTC-ISO 28004
1.
ISO 28000
1.
Esta norma especifica los requisitos para un sistema de gestin de la seguridad, incluidos
aquellos aspectos crticos para el aseguramiento de la seguridad de la cadena de
suministro. La gestin de la seguridad est relacionada con muchos otros aspectos de la
gestin empresarial, que incluyen todas las actividades controladas o influenciadas por
organizaciones que impacta en la seguridad de la cadena de suministro. Estos otros
aspectos se deberan considerar directamente cuando y donde tengan impacto en la
gestin de la seguridad, incluido el transporte de estos bienes a lo largo de la cadena de
suministro.
La presente norma es aplicable a organizaciones de todos los tamaos, desde las
pequeas hasta las multinacionales, de manufactura, servicios, almacenamiento o
transporte en cualquier etapa de la produccin o la cadena de suministro que desee:
a)
b)
c)
1 de 70
NTC-ISO 28004
d)
e)
2.
REFERENCIAS NORMATIVAS
3.
TRMINOS Y DEFINICIONES
ISO 28000
3.
TRMINOS Y DEFINICIONES
NTC-ISO 28004
3.6 Programas de gestin de la seguridad. Medios por los cuales se logra un objetivo de
gestin de la seguridad.
3.7 Meta de la gestin de la seguridad. Nivel de desempeo especfico requerido para
alcanzar un objetivo de gestin de la seguridad.
3.8 Parte involucrada. Persona o entidad con un inters establecido en el desempeo de
la organizacin, su xito o el impacto de sus actividades.
NOTA Son ejemplos: los clientes, accionistas, entidades financieras, aseguradoras, reglamentadores,
organismos estatutarios, empleados, contratistas, proveedores, agremiaciones laborales, o la sociedad.
Para los propsitos del presente documento, los trminos y definiciones dados en la
norma ISO 28000 y siguientes tienen implementacin.
3.1 Riesgo. Probabilidad de materializacin de una amenaza a la seguridad y sus
consecuencias.
3.2 Certeza de seguridad. Proceso de verificar la fidelidad de las personas que tendrn
acceso a material sensible sobre seguridad.
3.3 Amenaza. Cualquier posible accin o serie de acciones intencionales con dao potencial a
cualquiera de los partes interesadas, a las instalaciones, al funcionamiento, a la cadena de
suministro, a la sociedad, a la economa o a la continuidad e integridad del negocio.
3
NTC-ISO 28004
MEJORA CONTNUA
-Responsabilidades y competencia
-Comunicacin
-Documentacin
-Control operacional
-Preparacin para emergencias
4.1
REQUISITOS GENERALES
a)
b)
Propsito
La organizacin debera establecer y mantener un sistema de gestin que sea conforme
con todos los requisitos de la norma ISO 28000. Esto puede ayudar a la organizacin a
cumplir con las regulaciones, requisitos y leyes sobre seguridad.
NTC-ISO 28004
Entradas tpicas
Todos los requisitos de entrada se especifican en la norma ISO 28000.
d)
Resultado tpico
Un resultado tpico es un sistema de gestin de la seguridad implementado y mantenido
eficazmente que ayuda a la organizacin en la bsqueda de mejora continua.
4.2
Auditora
Poltica
Planeacin
Retroalimentacin
a partir de la
medicin del
desempeo
NTC-ISO 28004
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)
NOTA Las organizaciones pueden optar por una poltica de gestin de la seguridad detallada para uso
interno que ofrezca suficiente informacin y direccin para orientar el sistema de gestin de la seguridad
(algunas partes de ste pueden ser confidenciales) y una versin resumida (no confidencial) que
contenga los objetivos generales para divulgacin entre sus partes involucradas y otras partes
interesadas.
b)
Propsito
Una poltica de seguridad es una declaracin concisa del compromiso de la alta
gerencia respecto a la seguridad. Una poltica de seguridad establece un sentido
general de direccin y fija los principios de accin para una organizacin. Fija los
objetivos de seguridad para la responsabilidad y desempeo sobre seguridad que
requieren a lo largo de la organizacin.
6
NTC-ISO 28004
Entradas tpicas
Al establecer la poltica de seguridad, la direccin debera considerar los siguientes
factores, sobre todo en cuanto a su cadena de suministro:
d)
recursos necesarios;
Proceso
Cuando establece y autoriza una poltica de seguridad, la alta gerencia debera tener en
cuenta los puntos que se indican a continuacin.
Una poltica de seguridad formulada y comunicada eficazmente debera:
1)
2)
NTC-ISO 28004
4)
5)
NTC-ISO 28004
7)
e)
Resultado tpico
Un resultado tpico es una poltica de seguridad comprensiva, concisa y comprensible a
lo largo de la organizacin y para las partes interesadas segn sea necesario.
4.3
Poltica
Auditora
Planificacin
Implementacin
y operacin
Figura 3. Plano
Retroalimentacin
a partir de la
medicin del
desempeo
NTC-ISO 28004
4.3.1
a)
amenazas y riesgos de falla fsica, tales como falla funcional, dao incidental,
dao malicioso o terrorista o accin criminal;
b)
c)
eventos del medio ambiente natural (tormentas, inundaciones, etc.) que pueden
hacer que las medidas y equipos de seguridad resulten ineficaces;
d)
factores por fuera del control de la organizacin, tales como fallas en el equipo y
servicios suministrados externamente;
e)
amenazas y riesgos de las partes involucradas, tales como falla en cumplir los
requisitos de reglamentacin o dao a la reputacin o la marca;
f)
g)
h)
b)
c)
d)
e)
f)
g)
NTC-ISO 28004
b)
a)
b)
c)
d)
Propsito
La organizacin debera tener una apreciacin total del riesgo de seguridad significativo,
de las amenazas y vulnerabilidades que ste abarca, despus de utilizar los procesos
de identificacin de amenazas a la seguridad, evaluacin del riesgo y gestin del riesgo.
La identificacin de amenaza a la seguridad, los procesos de evaluacin del riesgo y
gestin del riesgo y sus resultados deberan ser la base de todo el sistema de
seguridad. Es importante que los nexos entre los procesos de identificacin de amenaza
a la seguridad, la evaluacin del riesgo y la gestin del riesgo y los dems elementos
del sistema de gestin de la seguridad estn claramente establecidos y visibles.
El propsito de esta pauta es establecer principios por los cuales la organizacin pueda
determinar, dada la identificacin de amenaza a la seguridad, si los procesos de
evaluacin del riesgo y de gestin del riesgo son o no convenientes y suficientes. El
propsito no es hacer recomendaciones sobre la manera como deberan dirigirse estas
actividades.
Los procesos de identificacin de la amenaza a la seguridad, evaluacin del riesgo y
gestin del riesgo deberan permitir a la organizacin identificar, evaluar y controlar sus
riesgos de seguridad sobre una base de continuidad.
En todos los casos, debera darse consideracin a las operaciones normales y
anormales dentro de la organizacin y a las potenciales condiciones de emergencia.
La complejidad de los procesos de identificacin de la amenaza a la seguridad,
evaluacin del riesgo y gestin del riesgo depende considerablemente de factores como
el tamao de la organizacin, las situaciones de lugar de trabajo dentro de la
organizacin y la naturaleza, complejidad e importancia del riesgo de seguridad. No es
propsito de la norma ISO 28000:2007 (vase el numeral 4.3.1) forzar a las pequeas
organizaciones que tienen un riesgo de seguridad muy limitado a emprender complejos
ejercicios de identificacin de amenaza a la seguridad, evaluacin del riesgo y gestin
del riesgo.
Los procesos de identificacin de amenaza a la seguridad, evaluacin del riesgo y
gestin del riesgo deberan tener en cuenta el costo y el tiempo necesarios para realizar
11
NTC-ISO 28004
estos tres procesos y la disponibilidad de datos fiables. En estos procesos puede usarse
informacin ya desarrollada para propsitos regulatorios u otros. La organizacin
tambin puede tener en cuenta el grado de control prctico que puede tener sobre las
amenazas a la seguridad que estn en consideracin. La organizacin debera
determinar cules son sus amenazas a la seguridad, teniendo en cuenta las entradas y
los resultados que estn asociados a sus actuales y pasadas actividades, procesos,
productos y/o servicios pertinentes.
La evaluacin del riesgo de seguridad debera ser dirigida por personal calificado
utilizando metodologas reconocidas que puedan documentarse.
Una organizacin en la que no exista un sistema de gestin de la seguridad puede
establecer su posicin actual con respecto a los riesgos a la seguridad por medio de
una evaluacin del riesgo. El objetivo debera ser el de considerar las amenazas a la
seguridad afrontadas por la organizacin, como base para establecer el sistema de
gestin de la seguridad. Una organizacin debera considerar la inclusin de los
siguientes factores dentro de su revisin inicial, aunque sin limitarse a ellos:
-
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
-
d)
NTC-ISO 28004
normas de la industria;
advertencias gubernamentales;
datos de seguridad;
Proceso
1)
General
Las medidas para la gestin del riesgo deberan reflejar el principio de
eliminacin o reduccin de un riesgo de seguridad mnimo factible, donde
corresponda, ya sea reduciendo la probabilidad de ocurrencia o la
severidad potencial de los impactos a partir de los incidentes de
seguridad relatados. Los procesos de identificacin de amenaza a la
seguridad, evaluacin del riesgo y gestin del riesgo son herramientas
clave en la gestin del riesgo.
Los procesos de identificacin de amenaza a la seguridad, evaluacin del
riesgo y gestin del riesgo varan considerablemente a travs de las
industrias, y van desde las simples evaluaciones hasta los complejos
anlisis cuantitativos con extensa documentacin. Para que la
organizacin planifique e implemente los apropiados procesos de
identificacin de amenaza a la seguridad, evaluacin del riesgo y de
gestin del riesgo, sta satisface sus necesidades y sus situaciones
acerca del lugar de trabajo y ayuda a que haya conformidad con cualquier
requisito legislativo de seguridad.
13
NTC-ISO 28004
Procesos
Los procesos de identificacin de amenaza a la seguridad, evaluacin del
riesgo y gestin del riesgo deberan documentarse y deberan incluir los
siguientes elementos:
-
iii)
NTC-ISO 28004
Acciones subsiguientes
Siguiendo el desempeo de los procesos de identificacin de amenaza a
la seguridad, evaluacin del riesgo y gestin del riesgo:
2)
NTC-ISO 28004
e)
la reasignacin de responsabilidades;
Resultados tpicos
Debera haber procedimientos documentados para los siguientes elementos:
-
donde sea apropiado, los objetivos y acciones de seguridad para reducir los
riesgos identificados (vase el numeral 4.3.3) y cualquier actividad de
seguimiento para seguimiento el avance en su reduccin;
16
NTC-ISO 28004
4.3.2
a)
b)
b)
Propsito
La organizacin debera ser consciente de y entender cmo sus actividades son o sern
afectadas por los requisitos legales y otros que son aplicables y comunicar esta
informacin al personal pertinente.
Este requisito de el numeral 4.3.2 proveniente de la norma ISO 28000:2007 tiene el
propsito de promover el conocimiento y la comprensin de las responsabilidades
legales y regulatorias. No pretende exigir a la organizacin establecer bibliotecas de
documentos legales u otros que rara vez se referencian o se usan.
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
-
NTC-ISO 28004
Proceso
Deberan identificarse la legislacin pertinente y otros requisitos. Las organizaciones
deberan identificar los medios ms apropiados para acceder a la informacin,
incluyendo los medios que dan soporte a la informacin (por ejemplo, papel, CD, disco,
Internet). La organizacin debera tambin evaluar qu requisitos tienen aplicacin y
dnde la tienen, y quin necesita recibir la informacin.
e)
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
4.3.3
a)
b)
c)
d)
e)
b)
c)
b)
NTC-ISO 28004
Propsito
Es necesario asegurarse de que, a lo largo de la organizacin (donde sea prctico
hacerlo), se establezcan objetivos de seguridad medibles que sean consistentes con la
poltica de seguridad.
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
d)
opciones tecnolgicas;
Proceso
Usando informacin o datos de las entradas, los niveles apropiados de la organizacin
deberan identificar, establecer y priorizar los objetivos de seguridad.
Durante el establecimiento de los objetivos de seguridad, debera darse particular
consideracin a informacin o datos de aquellos que tienen ms probabilidad de ser
afectados por los objetivos de seguridad individuales, en la medida en que esto pueda
ayudar a asegurar que ellos son razonable y ampliamente aceptados. Tambin es til
considerar informacin o datos provenientes de fuentes externas a la organizacin; por
ejemplo, de contratistas, proveedores, socios comerciales, polica y agencias de
inteligencia o partes interesadas.
19
NTC-ISO 28004
Resultados tpicos
Los resultados tpicos incluyen objetivos de seguridad documentados, medibles donde
sea factible, para cada funcin en la organizacin.
4.3.4
a)
NTC-ISO 28004
b)
a)
b)
c)
d)
Propsito
Las metas de seguridad se disponen para lograr el objetivo dentro del marco de tiempo
especificado.
c)
d)
Entradas tpicas
-
opciones tecnolgicas;
Proceso
El proceso se define en los programas de seguridad y consiste en las metas
alcanzables para lograr el (los) objectivo(s).
21
NTC-ISO 28004
los pasos dados para mejorar los medios existentes y su periodo de tiempo;
22
NTC-ISO 28004
Resultados tpicos
Los resultados tpicos incluyen metas de seguridad documentados y medibles donde
sea factible, para cada funcin en la organizacin.
4.3.5
a)
b)
los medios y la escala en el tiempo por medio de los cuales se logran los
objetivos y metas de gestin de la seguridad.
b)
Propsito
Los programas de gestin de la seguridad deberan conectarse directamente a las
metas y objetivos. Cada programa de gestin debera describir cmo la organizacin
traducir sus objetivos y compromisos de poltica en acciones definidas para que se
logren las metas y objetivos de seguridad. El programa exigir al desarrollo de
estrategias y planes de accin que deberan emprenderse, los cuales deberan
documentarse y comunicarse. El avance del programa con respecto a alcanzar el
objetivo o los objetivos establecidos debera hacerse un seguimiento, revisarse y
registrarse. La estrategia de disuasin y mitigacin del programa debera basarse en los
resultados provenientes de la amenaza de gestin de la seguridad y la identificacin del
riesgo y evaluacin del riesgo (tales como el anlisis de impacto, la evaluacin del
programa, la experiencia operacional).
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
-
d)
NTC-ISO 28004
Proceso
El programa de gestin de la seguridad debera definir:
-
Resultados tpicos
Los resultados tpicos incluyen programas de gestin de la seguridad definidos y documentados
para lograr los propsitos y objetivos descritos en los numerales 4.3.3 y 4.3.4.
24
NTC-ISO 28004
IMPLEMENTACIN Y OPERACIN
Planificacin
Auditora
Implementacin
y operacin
Retroalimentacin
a partir de la
medicin del
desempeo
Verificacin y
accin correctiva
4.4.1
a)
b)
c)
b)
NTC-ISO 28004
d)
e)
considerar el impacto adverso que la poltica, los objetivos, las metas, los
programas, etc., de gestin de la seguridad pueden tener en otros aspectos de
la organizacin;
f)
g)
h)
i)
Propsito
Para facilitar la efectiva gestin de la seguridad es necesario que se definan,
documenten y comuniquen los roles, responsabilidades y autoridades, Slo debera
utilizarse personal de seguridad definido (vase la definicin en la Clusula 3) para
tareas crticas de seguridad. Deberan proporcionarse los recursos adecuados para
hacer posible que las tareas de seguridad se realicen.
c)
Entradas tpicas
Las entradas tpicas incluyen lo siguiente:
d)
estructura organizacional;
Proceso
1)
Consideracin general
Deberan definirse las responsabilidades y autoridad de todas las personas que
cumplen deberes que son parte del sistema de gestin de la seguridad,
incluyendo definiciones claras de responsabilidades en las interfases de las
diferentes funciones.
26
NTC-ISO 28004
Estas definiciones pueden ser exigidas, entre otras, por las siguientes categoras
de personas:
-
alta gerencia;
3)
27
NTC-ISO 28004
5)
Si la organizacin opta por emitir descripciones del trabajo escritas que cubran
otros aspectos de los roles y responsabilidades de los empleados, entonces las
responsabilidades de la seguridad deberan incorporarse a estas descripciones
del trabajo.
6)
7)
Recursos
La direccin debera asegurarse de que estn disponibles los recursos
adecuados para el mantenimiento de una cadena de suministro segura,
incluyendo equipo, recursos humanos, especializacin y entrenamiento.
Los recursos pueden considerarse adecuados si son suficientes para llevar a
cabo programas y actividades de seguridad, incluyendo la medicin y
supervisin del desempeo.
Para las organizaciones que tienen establecidos sistemas de gestin de la
seguridad, la adecuacin de recursos puede evaluarse al menos parcialmente
comparando el logro planeado de los objetivos de seguridad con los resultados
reales.
28
NTC-ISO 28004
Compromiso de la direccin
Los gerentes deberan proporcionar una demostracin visible de su compromiso
con la seguridad. Los medios de demostracin pueden incluir visitas e inspeccin
a los sitios, participando en la investigacin de incidentes de seguridad y
proporcionando recursos en el contexto de la accin correctiva, asistencia a las
reuniones de seguridad y envo de mensajes de apoyo.
e)
Resultados tpicos
Los resultados tpicos incluyen lo siguiente:
-
4.4.2
a)
b)
c)
b)
Propsito
Las organizaciones deberan tener procedimientos eficaces por asegurarse de que el
personal es competente para llevar a cabo sus funciones de seguridad asignadas y ser
conscientes de los riesgos de seguridad.
29
NTC-ISO 28004
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
d)
programas de seguridad.
Proceso
Los elementos siguientes deberan ser incluidos en el proceso:
-
disposiciones para identificar y remediar cualquier dficit entre el nivel que posee
actualmente el individuo y la toma de conciencia y competencia de seguridad
que se requieren;
NOTA Es importante que haya un fuerte nfasis en la toma de conciencia de la seguridad por parte de
toda la organizacin para lograr un exitoso sistema de gestin de la seguridad y su implementacin eficaz.
NTC-ISO 28004
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
Comunicacin
a)
NTC-ISO 28004
b)
Propsito
La organizacin debera estimular la participacin en buenas prcticas de seguridad y
apoyar su poltica de seguridad y objetivos de seguridad, a partir de todos los afectados
por sus operaciones a travs de un proceso de consulta y comunicacin.
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
d)
Proceso
La organizacin debera documentar y promover las disposiciones por las cuales
consulta y comunica la informacin de seguridad pertinente a y de sus empleados y
otras partes interesadas (por ejemplo, contratistas, visitantes, partes interesadas, socios
comerciales, autoridades).
Esto debera incluir las disposiciones para involucrar a los empleados en los siguientes
procesos:
-
NTC-ISO 28004
consulta sobre los cambios que afectan la seguridad del lugar de trabajo, como
la introduccin de nuevos o modificados equipos, medios, agentes qumicos,
tecnologas, procesos, procedimientos o patrones de trabajo.
Debera estimularse a los empleados para que hagan comentarios sobre aspectos de la
seguridad y se les debera ser informados en especifico en la gestin de la cadena de
mando para la seguridad.
e)
Resultados tpicos
Los resultados tpicos incluyen lo siguiente:
-
boletn de seguridad;
otros medios para compartir informacin y reportes de seguridad sensible con las
apropiadas autoridades y pares de la cadena de suministro.
4.4.4
Documentacin
a)
b)
NTC-ISO 28004
c)
d)
e)
b)
Propsito
La organizacin debera documentar y mantener documentacin actualizada para
asegurarse de que su sistema de gestin de la seguridad puede entenderse y llevarse a
cabo y operar eficazmente.
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
d)
responsabilidades y autoridades;
Proceso
La organizacin debera identificar los datos y la informacin que se necesitan para el
sistema de gestin de la seguridad, antes de desarrollar la documentacin necesaria
para apoyar sus procesos de seguridad y su sistema de gestin de la seguridad.
No hay ningn requisito para desarrollar la documentacin en un determinado formato a
fin de cumplir con la norma ISO 28000, ni es necesario remplazar la documentacin
existente como manuales, procedimientos o instrucciones de trabajo si stos describen
adecuadamente las disposiciones actuales. Si la organizacin ya tiene un sistema de
gestin de la seguridad establecido y documentado, puede demostrar que para ella es
ms conveniente y eficaz desarrollar, por ejemplo, un documento de referencia cruzada
que describa la interrelacin entre sus procedimientos existentes y los requisitos de la
norma ISO 28000.
34
NTC-ISO 28004
e)
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
procedimientos;
instrucciones de trabajo.
4.4.5
a)
b)
c)
d)
e)
f)
NTC-ISO 28004
Propsito
Todos los documentos y datos que contienen informacin crtica para la operacin del
sistema de gestin de la seguridad y el desempeo de las actividades de seguridad de
la organizacin, deberan identificarse y controlarse.
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
d)
Proceso
Los procedimientos escritos deberan definir los controles para la identificacin,
aprobacin, emisin, acceso y eliminacin de documentacin de seguridad, junto con el
control de seguridad de datos. Estos procedimientos deberan definir claramente las
categoras de documentacin y datos a los cuales se aplican y el nivel de clasificacin
con base en la sensibilidad sobre la seguridad.
La documentacin y los datos deberan estar disponibles y accesibles al personal
autorizado cuando se requiera, bajo condiciones de rutina y de no rutina, incluyendo
emergencias.
e)
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
registros de archivos.
4.4.6
Control operacional
a)
b)
NTC-ISO 28004
c)
d)
e)
f)
b)
c)
b)
a)
b)
c)
d)
e)
Propsito
La organizacin debera establecer y debera mantener disposiciones para asegurar la
aplicacin eficaz de medidas de control y de conteo, dondequiera que estas se
requieran para controlar los riesgos de seguridad operacional, cumplir con la poltica y
37
NTC-ISO 28004
los objetivos de seguridad, lograr las metas de seguridad y actuar conforme a los
requisitos legales y otros.
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
d)
Proceso
La organizacin debera establecer procedimientos para controlar sus riesgos
identificados (incluyendo los que podran provenir de contratistas, otros socios
comerciales de la cadena de suministro o visitantes), documentando a stos en los
casos donde un falla en hacerlo pudiera ocasionar incidentes, emergencias u otras
desviaciones de la poltica de seguridad y los objetivos de seguridad. Los
procedimientos de gestin del riesgo deberan revisarse con regularidad para garantizar
su conveniencia y efectividad, y los cambios que se identifican como necesarios
deberan implementarse.
Los procedimientos deberan tomar en cuenta las situaciones en donde los riesgos se
extienden a los intereses de los clientes u otras partes externas o reas de control en
otras partes de la cadena de suministro; por ejemplo, cuando los empleados de la
organizacin estn trabajando en el sitio de un cliente. A veces puede ser necesario
entrar en consulta con la parte externa con respecto a la seguridad en tales
circunstancias.
A continuacin se indican algunos ejemplos de reas en las que tpicamente surgen
riesgos y tambin algunos ejemplos de medidas de control contra ellos.
1)
2)
38
3)
NTC-ISO 28004
e)
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
procedimientos;
4.4.7
a)
b)
Propsito
La preparacin, respuesta y recuperacin que siguen a un incidente de seguridad son
cubiertas por este numeral. El trmino preparacin para la emergencia significa los
planes, preparaciones y acciones preventivas que se implementan siguiendo eventos o
crisis de seguridad no planeados.
La organizacin debera evaluar activamente las necesidades de incidente potencial
y respuesta para todos los potenciales eventos de seguridad identificados a travs
del proceso de identificacin de la amenaza y de evaluacin del riesgo (vase el
numeral 4.3.1). Deberan desarrollarse planes de respuesta, procedimientos y
39
NTC-ISO 28004
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
d)
Proceso
La organizacin debera desarrollar un plan de emergencia, identificar y proporcionar
apropiadas disposiciones de emergencia y probar con regularidad su capacidad a travs
de ejercicios de prctica. Los planes de preparacin para la emergencia, respuesta y
recuperacin de la seguridad deberan incluir medidas para restaurar la seguridad,
proteger los datos y los medios y asegurar la continuidad de la seguridad.
Los ejercicios de prctica deberan poner a prueba la efectividad de las partes ms
crticas del plan de respuesta de seguridad y la integridad del proceso de planeacin de
emergencia. Aunque los ejercicios en computador pueden ser tiles durante el proceso
de planificacin, deberan efectuarse ejercicios y adiestramiento de prctica realista.
Deberan evaluarse los resultados del adiestramiento y prctica de emergencias y
deberan implementarse los cambios que se identifiquen como necesarios.
1)
NTC-ISO 28004
procedimientos de evacuacin;
Equipo de seguridad
Deberan identificarse las necesidades de equipo de seguridad y debera
proporcionarse el equipo en la cantidad adecuada. Esto debera probarse a
intervalos de tiempo especificados para continuar la operabilidad.
3)
e)
Resultados tpicos
Los resultados tpicos incluyen lo siguiente:
41
4.5
NTC-ISO 28004
acciones completadas.
Comprobacin
y accin
correctiva
Auditora
Retroalimentacin
a partir de la
medicin del
desempeo
Revisin por la
direccin
4.5.1
a)
b)
NTC-ISO 28004
a)
b)
c)
d)
e)
Propsito
La organizacin debera identificar los indicadores clave de desempeo para su
desempeo de seguridad a travs de toda la organizacin y de la cadena de suministro
que controla o sobre la cual tiene influencia. stos deberan incluir, pero no limitarse a,
el indicador medible que determina si:
c)
estn controlndose las amenazas y/o estn mitigndose, por cuanto se han
implementado apropiadas medidas preventivas y stas han sido eficaces;
las lecciones estn siendo aprendidas a partir de las fallas del sistema de gestin
de seguridad, incluyendo incidentes de seguridad y posibles prdidas;
la informacin que puede usarse para revisar y mejorar aspectos del sistema de
gestin de seguridad est producindose y utilizndose.
Entradas tpicas
Las entradas tpicas incluyen lo siguiente:
-
d)
NTC-ISO 28004
informes de direccin.
Proceso
1)
Los datos tanto del seguimiento proactivo como del reactivo se usan a menudo
para determinar si se alcanzan los objetivos de seguridad.
2)
Tcnicas de medicin
Los siguientes son algunos ejemplos de mtodos que pueden emplearse para
medir el desempeo de la seguridad:
-
inspecciones de seguridad;
NTC-ISO 28004
Equipo de seguridad
El equipo de seguridad que se usa para hacer seguimiento a la seguridad y
garantizarla (por ejemplo, cmaras, cercos, puertas, alarmas, etc.) debera
listarse, identificarse en su especificidad y controlarse. La exactitud de este
equipo debera conocerse. Donde sea necesario, debera disponerse de
procedimientos por escrito en los que se describa cmo se realizan las medidas
de seguridad. Los equipos usados para la seguridad deberan mantenerse de
una manera apropiada y estar en capacidad de funcionar tal como se requiere.
Debera documentarse e implementarse un esquema de calibracin y
mantenimiento para el equipo de seguridad cada vez que se requiera. Este
esquema debera incluir los siguientes elementos:
-
NTC-ISO 28004
Inspecciones
i)
Equipo
Debera esbozarse un inventario (usando identificacin nica de todos los
elementos) de todo el equipo de seguridad. Dicho equipo debera
inspeccionarse como se requiere e incluirse en los esquemas de
inspeccin.
ii)
Inspecciones de seguridad
Deberan llevarse a cabo inspecciones de seguridad, pero estas no
deberan eximir el personal autorizado de efectuar inspecciones regulares
o de identificar las amenazas a la seguridad.
iii)
Registros de la inspeccin
Debera mantenerse un registro de cada inspeccin de seguridad llevada
a cabo. Los registros deberan indicar si los procedimientos de seguridad
documentados estaban acordes o no. Los registros de inspecciones de
seguridad, giras, sondeos y auditoras del sistema de gestin de la
seguridad deberan tener muestreo para identificar causas subyacentes
de no conformidades y riesgo de seguridad repetitivo. Debera tomarse
cualquier accin preventiva que sea necesaria. Las situaciones de
amenaza a la seguridad y el equipo no consistente identificado durante
las inspecciones debera documentarse como no conformidad, evaluado
como de riesgo y corregido de acuerdo con el procedimiento de no
conformidades.
46
NTC-ISO 28004
6)
e)
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
47
a)
NTC-ISO 28004
b)
Propsito
Las organizaciones deberan tener procedimientos eficaces para revisar y evaluar los
planes de gestin de la seguridad, los procedimientos y capacidades de la organizacin
para cumplir su poltica y metas y objetivos. La organizacin debera tambin revisar
peridicamente su cumplimiento con los requisitos regulatorios aplicables.
El propsito principal de estos procedimientos es asegurar que los planes y
procedimientos de seguridad se mantengan actualizados y en concordancia con los
cambiantes requisitos y necesidades. Estos cambios deberan ser oportunos y tomar
plenamente en cuenta cualquier cambio en las regulaciones de la cadena de suministro,
las mejores prcticas y las lecciones aprendidas.
c)
Entradas tpicas
Las entradas tpicas deberan incluir:
-
48
d)
NTC-ISO 28004
Proceso
La direccin de la organizacin debera efectuar revisiones, a intervalos apropiados, de
su sistema de gestin de la seguridad para establecer y asegurar su continua
conveniencia y efectividad. Los intervalos deberan ser suficientemente cortos que para
que puedan identificarse las fallas de los sistemas antes de que surjan los consiguientes
daos y perjuicios.
El resultado de sistemas eficaces y de su implementacin, el logro del objetivo y de la
poltica con el mejoramiento continuo ha de ser uno de los principios que se desprendan
de la norma ISO 28000. El proceso y los procedimientos exigidos por el numeral 4.5.2
asegurarn que esto se logre.
e)
Resultados tpicos
Los resultados tpicos incluyen:
-
cumplimiento legal;
procesos mejorados;
4.5.3
a)
b)
fallas, incluidas las que estuvieron a punto de ocurrir, y las falsas alarmas;
2)
NTC-ISO 28004
no conformidades;
c)
d)
e)
Estos procedimientos deben exigir que se revisen todas las acciones correctivas y
preventivas propuestas por medio del proceso de evaluacin de amenazas y riesgos de
seguridad antes de la implementacin, a menos que la implementacin inmediata impida
exposiciones inminentes para la vida o seguridad pblica.
Cualquier accin correctiva o preventiva emprendida para eliminar las causas de no
conformidades reales y potenciales debe ser apropiada para la magnitud de los
problemas y proporcional a las amenazas y riesgos de la seguridad que probablemente
se encuentren. La organizacin debe implementar y registrar cualquier cambio en los
procedimientos documentados que resulten de la accin correctiva y preventiva y debe
incluir el entrenamiento requerida cuando fuera necesario.
b)
Propsito
Las organizaciones deberan tener procedimientos eficaces para informar y evaluar y/o
investigar emergencias, incidentes de seguridad e y no conformidades. El principal
propsito del o de los procedimientos es prevenir la posterior ocurrencia de la situacin,
identificando y manejando la(s) causa(s) originales. Adems, los procedimientos
deberan posibilitar la deteccin, anlisis y eliminacin de causas potenciales de no
conformidades, incluyendo las que resultan de fallas y errores humanos, del sistema,
proceso o equipo.
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
d)
plan de emergencia;
Proceso
Se exige a la organizacin preparar procedimientos documentados para garantizar que
se investiguen los incidentes y las no conformidades de seguridad y que se inicien
50
NTC-ISO 28004
Procedimientos
Los procedimientos deberan incluir la consideracin de los siguientes
elementos:
i)
General
El procedimiento debera:
ii)
Accin inmediata
La accin inmediata para corregir el incidente de seguridad debera
tomarse cuando se han identificado primero las no conformidades, los
incidentes de seguridad o las amenazas a la seguridad. Los
procedimientos deberan:
iii)
Registro
Deberan emplearse los medios apropiados para registrar la informacin
factual y los resultados de la investigacin inmediata y la subsiguiente
51
NTC-ISO 28004
iv)
Investigacin
Los procedimientos deberan definir la manera como debera manejarse
el proceso de investigacin. Los procedimientos deberan identificar:
-
Accin correctiva
Las acciones correctivas son las acciones que se toman para identificar
la(s) causa(s) originales de las no conformidades e incidentes de
seguridad y dar los pasos necesarios para prevenir que se repitan. Entre
los ejemplos de elementos que se van a considerar a fin de establecer y
mantener los procedimientos de accin correctiva estn:
-
52
vi)
NTC-ISO 28004
Accin preventiva
Las acciones preventivas son las acciones que se toman para impedir
que ocurran potenciales no conformidades de seguridad.
Ejemplos de elementos por considerar al establecer y mantener
procedimientos de accin preventiva son los siguientes:
vii)
Seguimiento
La accin correctiva o preventiva que se tome debera ser tan eficaz
como sea factible. Deberan hacerse chequeos sobre la efectividad de la
accin correctiva/preventiva tomada. Las acciones pendientes/no
cumplidas deberan informarse a la direccin a la ms temprana
oportunidad.
2)
NTC-ISO 28004
4)
las
Mantenimiento de registro
Este puede cumplirse rpidamente y con un mnimo de planificacin formal o
puede ser una actividad ms compleja y a largo plazo. La documentacin
asociada debera ser apropiada al nivel de accin correctiva.
Deberan enviarse informes y sugerencias al representante de la alta gerencia
para efectos de anlisis y retencin (vase el numeral 4.5.4).
54
NTC-ISO 28004
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
registro de no conformidades;
informes de investigacin;
4.5.4
Control de registros
a)
Propsito
Deberan mantenerse registros para demostrar que el sistema de gestin de la
seguridad opera eficazmente. Deberan prepararse, mantenerse, ser legibles y estar
adecuadamente identificados, los registros de seguridad que soportan el sistema de
gestin y su conformidad con los requisitos.
55
NTC-ISO 28004
Entradas tpicas
Entre los registros que deberan mantenerse (utilizados para demostrar la conformidad
con los requisitos) estn los siguientes:
d)
no conformidades de seguridad;
Proceso
El requisito de la norma ISO 28000 es bastante autoexplicativo. Sin embargo, tambin
debera darse consideracin adicional a los siguientes elementos:
-
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
56
Auditora
a)
NTC-ISO 28004
2)
3)
b)
c)
d)
b)
Propsito
Las auditoras internas del sistema de gestin de la seguridad de una organizacin
deberan efectuarse a intervalos planeados para determinar y proporcionar informacin
a la direccin acerca de si el sistema concuerda con los requisitos de procedimiento y
los requisitos de la totalidad del numeral 4 de la norma ISO 28000:2007 y si se han
implementado y mantenido apropiadamente. Tambin pueden realizarse para identificar
oportunidades para el mejoramiento del sistema de gestin de la seguridad de una
organizacin. En general, las auditoras del sistema de gestin de la seguridad deberan
considerar la poltica y los procedimientos de seguridad as como las condiciones y
prcticas aplicables a la cadena de suministro.
Debera establecerse un programa de auditora interna del sistema de gestin de la
seguridad para permitir a la organizacin revisar su propia concordancia de su sistema
de gestin de la seguridad con los requisitos de la norma ISO 28000 y otros segn lo
definido dentro del alcance de sus operaciones. Las auditoras planeadas del sistema
57
NTC-ISO 28004
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
d)
objetivos de seguridad;
informes de no conformidades;
Proceso
1)
Auditoras
Las auditoras del sistema de gestin de la seguridad proporcionan una
evaluacin amplia y formal de la concordancia con los procedimientos y prcticas
de seguridad de la organizacin.
Las auditoras del sistema de gestin de la seguridad deberan dirigirse de
acuerdo con las disposiciones planeadas. Deberan realizarse auditoras
adicionales segn lo requieran las circunstancias. Por ejemplo, despus de los
incidentes que impactan en el sistema de seguridad, los cambios en la
organizacin o los medios o el alcance de la cadena de suministro.
Las auditoras del sistema de gestin de la seguridad slo deberan llevarse a
cabo por personal competente e independiente, con las apropiadas
autorizaciones de seguridad para las reas que se estn auditando.
58
NTC-ISO 28004
2)
Cronograma
Debera prepararse un plan, normalmente anual, que indique el cronograma de
auditoras internas del sistema de gestin de la seguridad. Las auditoras del
sistema de gestin de la seguridad deberan apuntar hacia todas las operaciones
cubiertas por el sistema de gestin de la seguridad y evaluar su conformidad con
la norma ISO 28000.
La frecuencia y el cubrimiento de las auditoras del sistema de gestin de la
seguridad deberan estar correlacionados con los riesgos asociados a los
diversos elementos del sistema de gestin de la seguridad, los datos disponibles
sobre el desempeo del sistema de gestin de la seguridad, el resultado de las
revisiones por la direccin y la medida en que el sistema de gestin de la
seguridad o el ambiente en que opera estn sujetos al cambio.
Deberan dirigirse auditoras adicionales, no programadas, del sistema de
gestin de la seguridad, si ocurren situaciones que las ameriten; por ejemplo,
despus de un incidente de seguridad.
3)
Apoyo de la direccin
Para que la auditora de los sistemas de gestin de la seguridad sea de valor es
necesario que la alta gerencia est plenamente comprometida con el concepto
de auditora y su implementacin eficaz dentro de la organizacin. La alta
gerencia debera someter a consideracin los resultados y recomendaciones de
la auditora y tomar acciones apropiadas segn sea necesario, dentro de un
tiempo apropiado. Una vez se ha convenido que debera llevarse a cabo una
auditora del sistema de gestin de la seguridad, esta debera completarse de
una manera imparcial. Todo el personal pertinente debera ser informado de los
propsitos de la auditora y de los beneficios de la misma. Se debera instar al
personal a cooperar plenamente con los auditores y responder honesta y
constructivamente a sus preguntas.
4)
Los auditores
Una o ms personas pueden emprender las auditoras del sistema de gestin de
la seguridad. Un enfoque de equipo puede ensanchar la participacin y mejorar
la cooperacin. Un enfoque de equipo tambin puede posibilitar que se utilice
una gama ms amplia de habilidades y conocimiento especializados.
Los auditores deberan ser independientes de la parte de la organizacin o de la
actividad que va a ser auditada y, si es necesario, deberan recibir autorizacin
de seguridad para las reas que se estn auditando.
59
NTC-ISO 28004
objetivos de seguridad;
procedimientos;
registros de entrenamiento;
informes de no conformidades.
60
NTC-ISO 28004
Resultados de la auditora
El contenido del informe final de auditora del sistema de gestin de la seguridad
debera estar claro, preciso y completo. Debera fecharse y firmarse por el
auditor. Dependiendo del caso, debera contener los siguientes elementos:
-
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
4.6
NTC-ISO 28004
Factores
internos
Revisin por la
direccin
Factores
externos
Poltica
a)
b)
c)
d)
NTC-ISO 28004
e)
f)
g)
h)
recomendaciones de mejora.
Propsito
La alta gerencia debera revisar la operacin del sistema de gestin de la seguridad
para evaluar si se est implementando totalmente y si sigue siendo conveniente y eficaz
para lograr la poltica de seguridad y los objetivos de seguridad declarados por la
organizacin.
La revisin tambin debera considerar si la poltica de seguridad contina siendo
apropiada. Debera establecer nuevos o actualizados objetivos de seguridad para la
mejora continua, apropiados para los perodos prximo y considera si se necesitan
cambios en cualquier elemento del sistema de gestin de la seguridad.
c)
Entradas tpicas
Las entradas tpicas incluyen los siguientes elementos:
-
63
NTC-ISO 28004
Proceso
El proceso de revisin por la direccin incluye normalmente una reunin efectuada con
regularidad por la alta gerencia (por ejemplo, anualmente). La revisin debera centrarse
en el desempeo global del sistema de gestin de la seguridad y no en detalles
especficos, ya que stos deberan manejarse por los medios normales dentro del
sistema de gestin de la seguridad.
En la planificacin de una revisin por la direccin deberan considerarse los siguientes
aspectos:
-
adecuacin de recursos;
NTC-ISO 28004
La alta gerencia debera garantizar que el desempeo global del sistema de gestin de
la seguridad se informe en la reunin de revisin por la direccin. Deberan sostenerse
revisiones parciales del desempeo del sistema de gestin de la seguridad a intervalos
ms frecuentes, si se requiere.
Las revisiones por la direccin pueden incluir una revisin de un sistema de gestin
integrado, para que el resultado de la revisin de la seguridad, la calidad y otros
elementos del sistema de gestin puedan considerarse en la misma reunin o durante
el mismo proceso. Si se adopta este enfoque, no se debera diluir la importancia de
ninguna de las partes constitutivas del sistema de gestin integrado de una
organizacin.
e)
Resultados tpicos
Los resultados tpicos incluyen los siguientes elementos:
-
acciones correctivas especficas por los gerentes individuales, con las fechas
objetivo para su realizacin;
65
NTC-ISO 28004
ANEXO A
(Informativo)
ISO 14001:2004
ISO 9001:2000
Requisitos generales
4.1
Requisitos generales
4.1
Poltica de gestin de la
seguridad
4.2
Poltica ambiental
4.2
4.3
4.3
Requisitos legales,
estatutarios y otros
requisitos reglamentarios
sobre seguridad
5.1
Poltica de la calidad
5.3
4.3.1
4.3.2
4.3.3
Objetivos, metas y
programa(s)
Objetivos de gestin de
la seguridad
4.3.4
Programa(s) de gestin
de la seguridad
4.3.5
4.4
Estructura, autoridad y
responsabilidades de la
gestin de la seguridad
4.4.1
4.3.2
4.3.3
Objetivos, metas y
programa(s)
4.3.3
Objetivos, metas y
programa(s)
4.3.3
Implementacin y
operacin (slo ttulo)
Recursos, funciones,
responsabilidad y
autoridad
4.4
4.4.1
8.5.1
5.4
Enfoque al cliente
5.2
Determinacin de los
requisitos relacionados con el
producto
7.2.1
7.2.2
Enfoque al cliente
Objetivos de gestin de
la seguridad
Implementacin y
operacin (slo ttulo)
Aspectos ambientales
4.1
Compromiso de la direccin
Mejora continua
5.2
Determinacin de los
requisitos relacionados con el
producto
7.2.1
Objetivos de la calidad
5.4.1
5.4.2
Mejora continua
8.5.1
Objetivos de la calidad
5.4.1
5.4.2
Mejora continua
8.5.1
Objetivos de la calidad
5.4.1
5.4.2
Mejora continua
8.5.1
Compromiso de la direccin
5.1
Responsabilidad y autoridad
5.5.1
Representante de la direccin
5.5.2
Provisin de recursos
6.1
Infraestructura
6.3
Contina...
66
NTC-ISO 28004
(Continuacin)
ISO 28000:2007
Competencia,
entrenamiento y toma de
conciencia
ISO 14001:2004
4.4.2
ISO 9001:2000
Competencia,
entrenamiento y toma de
conciencia
4.4.2
Comunicacin
4.4.3
Comunicacin
4.4.3
Competencia, entrenamiento y
toma de conciencia
6.2.2
Comunicacin interna
5.5.3
7.2.3
Documentacin
4.4.4
(Requisitos de la
documentacin)
Generalidades
4.2.1
4.4.5
Control de documentos
4.4.5
Control de documentos
4.2.3
Control operacional
4.4.6
Preparacin y respuesta
ante emergencias y
recuperacin de la
seguridad
6.2.1
4.4.4
Documentacin
Control de documentos y
datos
(Recursos humanos)
Generalidades
4.4.7
Control operacional
Preparacin y respuesta
ante emergencias
67
4.4.6
4.4.7
Planificacin de la realizacin
del producto
7.1
Determinacin de los
requisitos relacionados con el
producto
7.2.1
7.2.2
7.3.1
7.3.2
7.3.3
7.3.4
7.3.5
7.3.6
7.3.7
Proceso de compras
7.4.1
7.4.2
7.4.3
Control de la produccin y de
la prestacin del servicio
7.5.1
7.5.2
7.5.5
8.3
NTC-ISO 28004
(Final)
ISO 28000:2007
Verificacin y accin
correctiva (slo ttulo)
ISO 14001:2004
4.5
ISO 9001:2000
4.5
Medicin y seguimiento
del desempeo de la
seguridad
4.5.1
Seguimiento y medicin
4.5.1
7.6
Generalidades (medicin,
anlisis y mejora)
8.1
8.2.3
8.2.4
Anlisis de datos
Evaluacin del sistema
4.5.2
4.5.3
Evaluacin de conformidad
No conformidad, accin
correctiva y accin
preventiva
4.5.2
4.5.3
8.4
8.2.3
8.2.4
8.3
Anlisis de datos
8.4
Accin correctiva
8.5.2
Accin preventiva
8.5.3
Control de registros
4.5.4
Control de registros
4.5.4
4.2.4
Auditora
4.5.5
Auditora interna
4.5.5
Auditora interna
8.2.2
4.6
68
4.6
Compromiso de la direccin
5.1
5.6
Generalidades
5.6.1
5.6.2
Resultados de la revisin
5.6.3
Mejora continua
8.5.1
NTC-ISO 28004
BIBLIOGRAFA
[1]
[2]
[3]
[4]
[5]
ISO 28001:2007, Specification for Security Management Systems for the Supply Chain.
69
NTC-ISO 28004
DOCUMENTO DE REFERENCIA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Security Management Systems
for the Supply Chain. Guidelines for the Implementation of ISO 28000, ISO: 28004: 2007(E), p 56.
70