ISO 28000

Presentado por:
Ana Lorena Arias
Ana Melissa Avila
Jorgelys Cortés
¿Qué es la ISO 28000?
La serie de normas ISO 28000 es un conjunto de
estándares desarrollados por Organización
Internacional de Normalización (ISO), que
proporcionan un marco de gestión de la seguridad
de la cadena de suministro alineados con los
objetivos de negocio, y optimizando las
inversiones realizadas en controles o salvaguardas
que protejan los activos.
Esta norma internacional es aplicable a todos los tamaños de
organizaciones y en cualquier etapa de la cadena de
suministro que busquen:
a) Establecer, implementar, mantener y mejorar un sistema de
gestión de la seguridad.
b) Asegurar conformidad con la política de gestión de la
seguridad establecida.
c) Demostrar dicha conformidad a otros.
d) Buscar certificación/registro de su sistema de gestión de
seguridad por parte de un organismo de certificación de
tercera parte acreditado
2
¿Quiénes pueden usar esta norma?

Va dirigido a organizaciones de cualquier tamaño en la

fabricación, servicio, almacenaje o transporte en
cualquier etapa de la cadena de producción o
suministro, lo que significa que cualquier empresa
pudiera certificarse en este estándar, ya que cualquier
empresa pertenece a la cadena de suministro ya sea en
un extremo u otro, o dentro de ella.
Cada día es más importante que esta norma se aplique
en instalaciones portuarias, aeropuertos, grandes
centros comerciales, compañías de suministro de
energía, organizaciones de transporte, sector
ferroviario, entre otras

3
 Requisitos

▪ La organización debe establecer, documentar, implementar, mantener y mejorar

continuamente un sistema de gestión de la seguridad eficaz para identificar las
amenazas de la seguridad, valorar los riesgos y controlar y mitigar sus
consecuencias.
▪ La organización debe mejorar continuamente su eficacia en todos los elementos del
sistema de gestión de seguridad.
• La organización debe definir el alcance de su sistema de gestión de la seguridad.
▪ Cuando una organización opte por contratar externamente cualquier proceso que
afecte la conformidad con estos requisitos, la organización debe asegurar que dichos
procesos sean controlados. Se deben identificar dentro del sistema de gestión de la
seguridad los controles y responsabilidades necesarios para dichos procesos
contratados externamente.

4
 Requisitos

▪ Se deberá establecer, implantar y mantener un procedimiento para identificar y tener

acceso a los requisitos legales aplicables y a otros requisitos que la compañía
suscriba relacionados con sus amenazas y riesgos a la seguridad. También se
determinan con este procedimiento la aplicación estos requisitos y su relevancia con
las actividades de la organización.

5
Objetivos de la ISO 28000

▪ El objetivo principal de la norma ISO 28000 es

ayudar a las organizaciones a identificar las
amenazas a la seguridad de la cadena de
suministro, evaluar sus riesgo y mitigar sus
consecuencias.
▪ Prevenir la interferencia en las cadenas de
suministro de amenazas a la seguridad.
▪ Proteger la carga, evitar los daños/robos en la
misma y asegurar que llegue al siguiente
involucrado en la cadena de suministro.
▪ Establecer un marco común y general para todos
los que integren la cadena de suministro.

6
Principios de la ISO 28000

▪ Identificar: las distintas fuentes de perturbación en el

conjunto de la cadena de suministro.
▪ Cuantificar: cada uno de los factores de riesgo, es decir,
estimar con modelos estadísticos o analíticos la
probabilidad de ocurrencia de los factores causantes de
cada factor.
▪ Evaluar el riesgo: determinar, cuantitativa o
cualitativamente, las consecuencias del riesgo (cálculo
del parámetro nr)
▪ Decidir: la política de riesgos a aplicar en cada caso:
impedir el riesgo, reducirlo a un nivel razonable,
transferirlo a otra organización o soportarlo.
▪ Actuar: poner en práctica las medidas preventivas
correspondientes. 7
Términos y definiciones

Sistema Gestión de la
seguridad

Seguridad Política de gestión de

la seguridad

Sistema de gestión
Cadena de de la seguridad para
suministro la cadena de
suministro (sgscs) 8
Términos y definiciones

Programas de
gestión de la
seguridad
Aguas arriba

Aguas abajo

Amenaza

Riesgo 9
Enfoques de la norma

Riesgos

Organización

Clientes

Imagen
10
Marco de referencia
▪ La Norma ISO 28000:2007 nace al abrigo de la ISO 20858: Evaluaciones y Plan de Seguridad
de la instalación Marítima y Portuaria; y fue el Comité Técnico ISO/TC 8, “Embarcaciones y
Tecnología Marina”, el encargado de su elaboración.
▪ ISO 28001: Prácticas y/o procesos de seguridad para reducir el riesgo actividades que pueden
conducir en incidentes de seguridad de la cadena de suministro internacional.
▪ ISO 28003:2014 Requisitos para los organismos que realicen auditorías y certificación de los
sistemas de gestión de la seguridad para la cadena de suministro.
▪ ISO 28004:2014 Guía para la implementación de la Norma ISO 28000.
▪ ISO 22399:2007 Proporciona información general para que cualquier organización desarrolle
sus propios criterios de desempeño específicos para la preparación de incidentes y la
continuidad operativa, y diseñe un sistema de gestión adecuado. Fuente: Especificación para
los sistemas de gestión de la
seguridad para la cadena de
suministro; Ana Rosa Morán
Zapico; julio 2016.
11
Fases para la implementación

Fuente: ISO 28.000:2007 La Seguridad en la Cadena de Suministro; Centro Español de 12

Logística.
Documentación

Las familias documentales, por orden de jerarquía, son

las siguientes:
• Manual de gestión del sistema de la seguridad en la
cadena de suministro. En este documento se incluye
la Política de Seguridad de la Organización.
• Manual de procedimientos.
• Programas de gestión de la seguridad en la cadena de
suministro.
• Instrucciones de trabajo.
• Registros

13
Control
• Control de documentos y datos:

a) sólo individuos autorizados puedan localizar y tener acceso a estos

documentos, datos e información;
b) personal autorizado revise periódicamente estos documentos, datos e
información, los actualice según sea necesario y apruebe su conveniencia;
c) estén disponibles versiones actuales de documentos, datos e
información pertinentes en todas las locaciones donde se realicen
operaciones esenciales para el funcionamiento efectivo del sistema de
gestión de la seguridad;
d) los documentos, datos e información obsoletos retenidos por
propósitos de preservación legal ó de conocimiento son identificados,
además que se asegure que no se haga uso indeseado de ellos;
e) Se identifiquen adecuadamente los documentos de archivo, datos e
información que se conservan con propósitos legales o de preservación de
conocimiento;
f) estos documentos, datos e información sean seguros y si son
archivados de forma electrónica, deben tener copia de seguridad y se
pueden ser recuperados.
14
Control

Control Operacional: Se deben identificar y planificar las operaciones necesarias para

alcanzar el cumplimiento con la política, objetivos, metas, nivel requerido de seguridad,
requisitos legales. La organización debe asegurarse de que las operaciones se llevan a cabo
bajo las condiciones especificadas.

15
Proceso de mejora continua

▪ La ISO 28000 se basa en el ciclo de mejora

continua del sistema de gestión de la seguridad, PLANEAR
identificando las amenazas, evaluando los riesgos y
controlando y mitigando sus consecuencias.
▪ La ISO 28000 se desarrolla con el mismo enfoque
utilizado por la ISO 14000, basado en sistemas de
gestión de riesgo. Al igual que otras normas de Ciclo de
ACTUAR mejora HACER
gestión, se basa en el ciclo de mejora continua
continua
▪ El sistema de gestión de la seguridad considera los
aspectos críticos para garantizar la protección
relacionada con el negocio, incluyendo todas las
actividades que tienen impacto en la cadena, a
VERIFICA
través de la identificación de amenazas, valoración R

de riesgos, control y mitigación de consecuencias.

16
Proceso de mejora continua

PLANEA
R
- Establecer objetivos y metas para
la gestión de la seguridad.
- Establecer programas de gestión
de seguridad.
- Identificación de necesidades de
capacitación y habilidades.
- Desarrollo de controles
operacionales
- Desarrollo del marco de trabajo
para gestión de riesgos.

HACER
17
Proceso de mejora continua

- Medición del desempeño

- Auditorias
VERIFICA Estudio de incidentes y
R fallos
- Revisión por la dirección
de la empresa

18
Proceso de mejora continua

- Las acciones correctivas deben

ser acordes a la magnitud de los
riesgos y amenazas que se
encuentren.

ACTUAR - La organización debe

implementar y registrar cambios
en los procedimientos
documentados e incluir las
capacitaciones cuando sean
necesarias.

19
Comunicación y consulta

▪ El proceso de comunicación para los colaboradores,

contratistas y otras partes interesadas pertinentes, es
clave para el avance del sistema, por lo que se debe
establecer mecanismos adecuados para lograr que se dé
de manera óptima.
▪ La organización debe tener procedimientos para
asegurar que la información referente a la gestión de
riesgos y seguridad, además de información legal, se
comunique hacia y desde los empleados pertinentes,
contratistas y demás partes involucradas en la
organización.

20
Noticia

El Puerto de Houston, el más grande de la

costa Este de E.E.U.U se certifica por 5ta vez

Fuente: https://ajot.com/news/port-houston-achieves-secu
rity-management-system-iso-28000-recertification-continui
ng-long-commitment-to-security
21