ISO 28004 Sistemas de Gestión de Seguridad en La Cadena de Suministro

NORMA ISO/PAS 28004 / 2006
Sistemas de gestin de seguridad en la cadena de suministro Directrices

para la aplicacin de la norma ISO PAS 28000
PROYECTO DE LA NORMA INTERNACIONAL ISO/DIS 28004
ISO TC8
Secetaria JISC
Organizacin internacional de normalizacin
Sistemas de gestin de la seguridad de la cadena de suministro

Directrices para la aplicacin de la norma ISO/PAS 28000
Pgina 1 de 67
Prefacio
ISO (Organizacin Internacional de Normalizacin) es una federacin mundial de organismos
nacionales de normalizacin (Organismos miembros de ISO). El trabajo de preparacin de las
normas internacionales normalmente se realiza a travs de la norma ISO Comits tcnicos. Cada
organismo miembro interesado en una materia para la cual un comit tcnico ha sido establecido
tiene el derecho de estar representado en dicho comit. Las organizaciones internacionales,
gubernamentales y no gubernamental, en coordinacin con ISO, tambin participan en el trabajo.
ISO colabora estrechamente con la Comisin Electrotcnica Internacional (IEC) en todas las
materias de normalizacin electrotcnica.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas
ISO / IEC, Parte 2.
La tarea principal de los comits tcnicos es preparar Normas Internacionales. Proyecto de
Normas Internacionales adoptada por los comits tcnicos son enviados a los organismos
miembros para su votacin. La publicacin como Norma Internacional requiere la aprobacin por
al menos el 75% de los organismos miembros con derecho a voto.
En otras circunstancias, sobre todo cuando hay una necesidad urgente de mercado para este tipo
de documentos, un comit tcnico puede decidir publicar otros tipos de documentos normativos:
- ISO Especificacin Pblicamente Disponible (ISO / PAS) representa un acuerdo entre los expertos
tcnicos en un grupo de trabajo de ISO y es aceptado para su publicacin si es aprobado por ms
del 50% de los miembros del comit de padres de emitir un voto
- Una Especificacin Tcnica ISO (ISO / TS) representa un acuerdo entre los miembros de una
tcnica comit y es aceptado para su publicacin si se aprueba por 2/3 de los miembros del comit
de fundicin un voto.
Un ISO / PAS o ISO / TS es revisada despus de tres aos con el fin de decidir si va a ser confirmado
para un tres aos ms, revisados para convertirse en una norma internacional, o retirado. Si el ISO
/ PAS o ISO / TS es se confirma, se revisa de nuevo despus de otros tres aos, momento en el que
cualquiera de los dos tiene que transformarse en una Ser retirada Norma Internacional o. Se llama
la atencin la posibilidad de que algunos de los elementos de este documento puedan ser objeto
de patente los derechos. ISO no se hace responsable por la identificacin de cualquiera o todos los
derechos de patente.
ISO 28004 / PAS fue preparada por el Comit Tcnico ISO / TC 8, Embarcaciones y tecnologa
marina.
Pgina 2 de 67

Introduccin
ISO / PAS 28000: 2005, Especificacin para sistemas de gestin de la seguridad de la cadena de
suministro y de esta Empresa
Disponible Especificacin se ha desarrollado en respuesta a la necesidad de una cadena de
suministro reconocible norma de sistema de gestin contra la que sus sistemas de gestin de
seguridad pueden ser evaluados y certificado y de orientacin sobre la aplicacin de dicha norma.
ISO / PAS 28000 es compatible con la norma ISO 9001: 2000 (Calidad) e ISO 14001: 2004 (Medio
Ambiente) normas de sistemas de gestin. Facilitan la integracin de la calidad, del medio
ambiente y de la cadena de suministro sistemas de gestin de las organizaciones, si desean
hacerlo.
Esta Especificacin Disponible al Pblico incluye una caja al inicio de cada clusula / subclusula, lo
que da los requisitos completos de la norma ISO 28000 / PAS esto es seguido por la orientacin
pertinente. La numeracin clusula de esta Especificacin Disponible al Pblico est alineado con
el de la norma ISO 28000 / PAS.
Esta Especificacin Disponible al Pblico ser revisada o modificada cuando se considere
necesaria.
Esta Especificacin Disponible al Pblico no pretende incluir todas las disposiciones necesarias de
un contrato entre cadena de suministro de los operadores, proveedores y accionistas. Los usuarios
son responsables de su correcta aplicacin.
El cumplimiento de esta Especificacin Disponible al Pblico no de s misma confiere inmunidad
frente a las obligaciones legales.
1 Alcance
Esta Especificacin Disponible al Pblico ofrece asesoramiento genrico sobre la aplicacin de la
norma ISO / PAS 28000: 2005,
Especificacin para sistemas de gestin de la seguridad de la cadena de suministro.
Explica los principios subyacentes de la ISO / PAS 28000 y describe el intento, insumos tpicos,
procesos y salidas tpicas, para cada requisito de la norma ISO / PAS 28000. Esto es para ayudar a
la comprensin y la aplicacin de ISO 28000 / PAS.
Esta Especificacin Disponible al Pblico no crea requisitos adicionales a los especificados en ISO /
PAS 28000, ni prescribe enfoques obligatorios para la implementacin de la norma ISO / PAS
28000.
Pgina 3 de 67

1 Alcance
Esta Especificacin Disponible al Pblico especifica los requisitos para un sistema de gestin de la
seguridad, incluyendo aquellos aspectos crticos a la garanta de la seguridad de la cadena de
suministro. Estos aspectos incluyen, pero no se limitan a, financiacin, fabricacin, gestin de la
informacin y las instalaciones de embalaje, almacenamiento y transferencia de mercancas entre
los modos de transporte y lugares. Gestin de la seguridad est vinculada a muchos otros aspectos
de la gestin empresarial. Estos otros aspectos deben ser considerados directamente, dnde y
cundo tienen un impacto en la gestin de la seguridad, incluyendo el transporte de estas
mercancas a lo largo de la cadena de suministro.
Esta Especificacin Disponible al Pblico es aplicable a todos los tamaos de organizaciones, desde
pequeas hasta multinacionales, en fabricacin, servicios, almacenamiento o transporte en
cualquier etapa de la cadena de produccin o suministro que desea:
a) establecer, implementar, mantener y mejorar un sistema de gestin de la seguridad
Sistemas de Gestin de Seguridad de la Cadena de Suministro - Directrices Para La Aplicacin de la
norma ISO PAS 28000 /
b) asegurar el cumplimiento de la poltica de gestin de la seguridad establecido
c) demostrar dicha conformidad a los dems
d) buscar la certificacin / registro de su sistema de gestin de la seguridad por un tercero
acreditado Organismo de Certificacin o
e) hacer una autodeterminacin y auto declaracin de cumplimiento de este Especificacin
Disponible al Pblico.
Hay cdigos legislativos y normativos que abordan algunos de los requisitos de esta disposicin del
pblico.
Especificacin. No es la intencin de este Especificacin Disponible al Pblico para exigir la
demostracin duplicacin de cumplimiento.
Las organizaciones que eligen la certificacin de terceros pueden demostrar, adems, que estn
contribuyendo de manera significativa a la seguridad del suministro en cadena.
Pgina 4 de 67

2 Referencias normativas
No hay referencias normativas se citan. Esta clusula se incluye con el fin de numeracin similar a
la clusula de conservar
3 Trminos y definiciones
3.1 facilidad
Plantas, maquinaria, bienes, edificios, vehculos, buques, instalaciones portuarias y otros
elementos de la infraestructura o de la planta y los sistemas que tienen una funcin de negocio
distinto y cuantificable o servicio relacionado
NOTA: Esta definicin incluye cualquier cdigo de software que es fundamental para la prestacin
de la seguridad y la aplicacin de gestin de la seguridad.
3.2 seguridad
Resistencia a la intencional, acto (s) autorizado diseado para causar dao o dao o por, la cadena
de suministro
3.3 gestin de la seguridad
Actividades y prcticas sistemticas y coordinadas a travs del cual una organizacin gestiona de
manera ptima su los riesgos y las amenazas e impactos potenciales asociados all desde
3.4 objetivo de gestin de seguridad
Resultado o logro especfico de seguridad requerido para cumplir con la poltica de gestin de la
seguridad
NOTA: Es esencial que estos resultados estn vinculados directa o indirectamente a proporcionar
los productos, suministro o los servicios prestados por el negocio total a sus clientes o usuarios
finales.
3.5 Poltica de gestin de la seguridad
Intenciones globales y orientacin de una organizacin, relacionados con la seguridad y el marco
para el control de procesos y actividades relacionados con la seguridad que se derivan de y
coherentes con la poltica de la organizacin y los requisitos reglamentarios
3.6 programas de gestin de la seguridad
Los medios por los cuales se logra un objetivo de gestin de seguridad
3.7 Objetivo de gestin de seguridad
Pgina 5 de 67

Determinado nivel de rendimiento requerido para lograr un objetivo de gestin de la seguridad
3.8 Partes interesadas
Persona o entidad que tenga un inters personal en el desempeo, el xito de la organizacin o el
impacto de sus actividades.
NOTA: Algunos ejemplos son los clientes, los accionistas, los financieros, aseguradoras, los
reguladores, los organismos oficiales, empleados, contratistas, proveedores, organizaciones de
trabajadores o de la sociedad.
3.9 cadena de suministro
Conjunto vinculado de recursos y procesos que comienza con el abastecimiento de materia prima
y se extiende a travs de la entrega de productos o servicios al usuario final a travs de los modos
de transporte
NOTA: La cadena de suministro puede incluir proveedores, fbricas, proveedores de logstica,
distribucin interna centros, distribuidores, mayoristas y otras entidades que llevan al usuario
final.
3.9.1 ro abajo
Se refiere a las acciones, procesos y movimientos de la carga en la cadena de suministro que se
producen despus de la carga salga del control operacional directo de la organizacin, incluyendo
pero no limitado a los seguros, las finanzas, los datos gestin y el embalaje, el almacenamiento y la
transferencia de la carga
3.9.2 ro arriba
Se refiere a las acciones, procesos y movimientos de la carga en la cadena de suministro que se
producen antes de la carga viene bajo el control operacional directo de la organizacin. Incluyendo
pero no limitado a los seguros, las finanzas, gestin de datos y el embalaje, el almacenamiento y la
transferencia de la carga
3.10 la alta direccin
Persona o grupo de personas que dirige y controla una organizacin al ms alto nivel
NOTA: La alta direccin, especialmente en una gran organizacin multinacional, no puede estar
implicado personalmente, como se describe en las Especificaciones Sin embargo la parte superior
de rendicin de cuentas a travs de la gestin de la cadena de mando ser manifiesta.
3.11 mejora continua
Pgina 6 de 67

Proceso recurrente de mejorar el sistema de gestin de la seguridad con el fin de lograr mejoras
en ms de garanta de cumplimiento de conformidad con la poltica de seguridad de la
organizacin
3.1 riesgo
Probabilidad de que se materialice una amenaza a la seguridad y las consecuencias
3.2 la habilitacin de seguridad
Proceso de verificacin de la fiabilidad de las personas que tendrn acceso a material sensible de
seguridad
3.3 amenaza
Cualquier accin intencional posible o serie de acciones con potencial daino para cualquiera de
las partes interesadas, las instalaciones, las operaciones, la cadena de suministro, la sociedad, la
economa o la continuidad del negocio y la integridad
4 elementos del sistema de gestin de seguridad
Poltica y
Estrategia
Revisin por la
direccin
4.2
4.6
Sistema de
gestion de
la seguridad
Comprobacin
y
Accin
correctiva
4.5
Implementacin
y operacin
4.4
4.1 Requisitos generales

a) ISO / PAS 28000 requisito
Pgina 7 de 67
riesgo de seguridad
Seguridad y AM Info,
riskassessmentrisk
valoracin
la planificacin y la
planificacin
4,3 4,3

La organizacin debe establecer, documentar, implementar, mantener y mejorar continuamente
un sistema eficaz sistema de gestin de la seguridad para la identificacin de los riesgos de
seguridad y de control y mitigacin de sus consecuencias.
La organizacin debe mejorar continuamente su eficacia de acuerdo con los requisitos
establecidos en la totalidad de la clusula 4.
La organizacin debe definir el alcance de su sistema de gestin de la seguridad. Cuando una
organizacin decide por contratar externamente cualquier proceso que afecte la conformidad con
estos requisitos, la organizacin debe asegurarse de que tales procesos estn controlados. Los
controles y las responsabilidades necesarias de los procesos externalizados debern identificarse
en el sistema de gestin de la seguridad.
b) Intencin
La organizacin debe establecer y mantener un sistema de gestin que cumple con todos los
requisitos de la norma ISO / PAS 28000. Esto puede ayudar a la organizacin en el cumplimiento
de los reglamentos, requisitos de seguridad y las leyes.
El nivel de detalle y la complejidad del sistema de gestin de seguridad, el alcance de la
documentacin y los recursos dedicados a ella dependen del tamao y la complejidad de una
organizacin y la naturaleza de sus actividades.
Una organizacin tiene la libertad y flexibilidad para definir sus lmites y puede elegir implementar
ISO / PAS 28000 con respecto a toda la organizacin o de las unidades o actividades de la
operacin especficas organizacin.
Se debe tener cuidado al definir los lmites y el alcance del sistema de gestin. Organizaciones no
debe tratar de limitar su alcance a fin de excluir de la evaluacin, una operacin o actividad
necesaria para el funcionamiento global de la organizacin o aquellos que pueden tener un
impacto en la seguridad de sus empleados y otros Sistemas de Gestin de Seguridad de la Cadena
de Suministro partes interesadas.
Si ISO 28000 / PAS es implementado por una unidad de operacin o actividad especfica, las
polticas y procedimientos de seguridad desarrollado por otras partes de la organizacin puede ser
capaz de ser utilizado por la unidad de operacin o actividad especfica de ayudar a cumplir los
requisitos de la norma ISO / PAS 28000. Esto puede requerir que estas polticas de seguridad o
procedimientos estn sujetas a revisin menor o enmienda, para asegurarse de que son aplicables
a la especfica unidad de operacin o actividad.
c) de entrada tpica
Todos los requisitos de entrada se especifican en la norma ISO 28000 / PAS.
d) La salida tpica
Pgina 8 de 67

Un resultado tpico es un sistema de gestin de seguridad implementado y se mantiene de manera
efectiva que ayuda a la organizacin en continua bsqueda de mejoras.
4.2 La poltica de gestin de seguridad

La alta direccin de la organizacin debe autorizar a una poltica general de gestin de la
seguridad. La poltica deber:
a) ser coherente con otras polticas de la organizacin
b) proporcionar un marco que, permite la gestin de seguridad objetivos, metas especficas y
programas que se produzcan
c) ser compatibles con el marco general de amenaza a la seguridad y la gestin de riesgos de la
organizacin
d) ser adecuado a las amenazas a la organizacin y la naturaleza y escala de sus operaciones
Sistemas de Gestin de Seguridad de la Cadena de Suministro
e) establecer claramente los objetivos generales / amplio de gestin de la seguridad
f) incluir un compromiso de mejora continua del proceso de gestin de la seguridad
g) incluye un compromiso de cumplir con la normativa legal aplicable, regulatorio y legal
requisitos y con otros requisitos que la organizacin suscriba
h) se aprob visiblemente por la alta direccin y/o ser documentado, implementado y mantenido
Pgina 9 de 67

j) ser comunicada a todos los empleados pertinentes y terceros incluyendo contratistas y visitantes
con la intencin de que estas personas sean conscientes de sus obligaciones relacionadas con la
gestin de seguridad individual
k) a disposicin de los interesados en su caso
l) Proveer para su revisin en el caso de la adquisicin de o fusin con otras organizaciones o otro
cambio el mbito de actividad de la organizacin que puedan afectar a la continuidad o la
pertinencia de la seguridad sistema de gestin.
NOTA: Las organizaciones pueden optar por tener una poltica de gestin de la seguridad detallada
para uso interno que lo hara proporcionar informacin y orientacin suficiente para impulsar el
sistema de gestin de la seguridad (algunas de cuyas partes pueden ser confidenciales) y tienen
una versin resumida (no confidencial) que contiene los objetivos generales para la difusin de sus
grupos de inters y otras partes interesadas.
b) Intencin
Una poltica de seguridad es una declaracin concisa de compromiso de la alta direccin con la
seguridad. Una poltica de seguridad establece un sentido general de direccin y establece los
principios de accin de una organizacin. Establece la seguridad objetivos de responsabilidad y
rendimiento de seguridad necesarios en toda la organizacin.
Una poltica de seguridad documentado debe ser producida y autorizada por la alta direccin de la
organizacin.
c) Las entradas tpicas
En el establecimiento de la poltica de seguridad, la administracin debe considerar los siguientes
elementos, especialmente en relacin con su cadena de suministro:
Poltica y objetivos relacionados con las actividades de la organizacin en su conjunto

rendimiento de seguridad histrica y actual de la organizacin
Las necesidades de las partes interesadas
Oportunidades y necesidades para la mejora continua
Los recursos necesarios
Contribuciones de los empleados
Contribuciones de los contratistas, de los interesados y dems personal externo.
d) Proceso
Al establecer y autorizar una poltica de seguridad, la alta direccin debe tener en cuenta los
puntos que se enumeran a continuacin. Una poltica de seguridad efectiva formulada y
comunicada debe:
Ser adecuado a la naturaleza y escala de los riesgos de seguridad de la organizacin
Pgina 10 de 67
La identificacin de amenazas, evaluacin de riesgos y gestin de riesgos estn en el

corazn de una garanta de xito sistema de gestin y debe reflejarse en la poltica de
seguridad de la organizacin.
La poltica de seguridad debe ser coherente con una visin de futuro de la organizacin.
Debe ser realista y tampoco debe exagerar la naturaleza de los riesgos que enfrenta la
organizacin, ni trivializar ellos.
2) incluir un compromiso de mejora continua

Amenazas de seguridad globales aumentan la presin sobre las organizaciones a reducir el riesgo
de incidentes en el suministro cadena. Adems de cumplir con las responsabilidades jurdicas,
nacionales y regulatorios, y otros reglamentos y orientacin preparado por organizaciones como la
Organizacin Mundial de Aduanas (OMA), la organizacin debera aspirar a mejorar su desempeo
de seguridad y su sistema de gestin de la seguridad, eficacia y de manera eficiente, para
satisfacer las necesidades de cambio de comercio mundial, los negocios y las necesidades
reglamentarias.
Mejora del rendimiento planificado debe ser expresada en los objetivos de seguridad (ver 4.3.2) y
gestionada a travs del programa de gestin de la seguridad (ver 4.3.5), si bien la poltica de
seguridad declaracin puede incluir reas generales de accin.
3) incluir un compromiso de por lo menos cumplir con la normativa vigente de seguridad
aplicables y con otros requisitos que la organizacin suscriba
Las organizaciones deben cumplir con los requisitos reglamentarios de seguridad aplicables. La
poltica de seguridad el compromiso es un reconocimiento pblico por el organismo que tiene el
deber de cumplir con, si no exceder, cualquier legislacin u otros requisitos, ya sea por mandato
legal o adoptado voluntariamente suscrito que, como el Marco Normativo de la OMA.
NOTA: "Otros requisitos" puede significar, por ejemplo, las polticas de la empresa o del grupo, el
propio interior de la organizacin normas o especificaciones o cdigos de prcticas para que la
organizacin suscriba.
4) estar documentado, implementado y mantenido
Planificacin y preparacin son la clave para una implementacin exitosa. A menudo, las
declaraciones de poltica de seguridad y objetivos de seguridad no son realistas porque hay
recursos insuficientes o inadecuadas disponibles para entregarlos. Antes de realizar las
declaraciones pblicas de la organizacin debe asegurarse de que cualquier necesario finanzas,
habilidades y recursos estn disponibles y que todos los objetivos de seguridad son realistas y
factibles dentro de este marco.
Para que la poltica de seguridad para ser eficaz, debe ser documentado y ser revisado
peridicamente para continua adecuacin y enmiende o revise si es necesario.
Pgina 11 de 67

5) ser comunicados a todos los empleados con la intencin de que los empleados sean
conscientes de su persona obligaciones de seguridad
La participacin y el compromiso de los empleados son vitales para la seguridad y xito del sistema
de seguridad.
Los empleados tienen que ser conscientes de los efectos de la gestin de la seguridad de la calidad
de su propio trabajo
Debe fomentarse el medio ambiente y contribuir activamente a la gestin de seguridad.
Es improbable que los empleados (en todos los niveles, incluyendo los niveles de gestin) sean
capaces de hacer una efectiva contribucin a la gestin de la seguridad a menos que entiendan la
poltica y de la organizacin de su responsabilidades y sean competentes para desempear sus
tareas requeridas.
Esto requiere la organizacin para comunicar sus polticas de seguridad y objetivos de seguridad a
su empleados con claridad, para que puedan tener un marco con los que puedan medir su propio
rendimiento de la seguridad individual.
6) estar a disposicin de los interesados
Cualquier individuo o grupo (ya sea interno o externo) interesados o afectados por la seguridad
desempeo de la organizacin sera particularmente interesados en la declaracin de poltica de
seguridad.
Por lo tanto, un proceso debe existir para comunicar la poltica de seguridad a ellos. El proceso
debe garantizar que los interesados reciban la poltica de seguridad en su caso.
7) revisarse peridicamente para garantizar que siga siendo pertinente y apropiada para la
organizacin.
El cambio es inevitable, reglamentos y legislacin evolucionar y expectativas aumento de los
interesados.
En consecuencia, la poltica y la gestin de la seguridad del sistema de la organizacin deben ser
revisadas regularmente para asegurar su adecuacin y eficacia.
Si se introducen cambios, stos deben ser comunicados tan pronto como sea posible.
e) La salida tpica
Una salida tpica es una poltica integral, concisa, comprensible seguridad que se comunica en
todo la organizacin y las partes interesadas, segn sea necesario.
4.3 Seguridad y planificacin Evaluacin de riesgos
Pgina 12 de 67
4.3.1 evaluacin de riesgos de seguridad

La organizacin debe establecer y mantener procedimientos para la identificacin continua y la
evaluacin de amenazas a la seguridad y las amenazas relacionadas con la gestin de seguridad y
los riesgos y la identificacin y aplicacin de las medidas de control necesarias de gestin. Las
amenazas de seguridad y la identificacin de riesgos, la evaluacin y el control, los mtodos
deberan como mnimo ser adecuadas a la naturaleza y la escala de las operaciones. Esta
evaluacin deber considerar la probabilidad de un evento y todas sus consecuencias, que
incluirn:
a) las amenazas y los riesgos de fracaso fsicas, como la insuficiencia funcional, daos incidentales,
daos maliciosos o terrorista o accin penal
b) las amenazas y los riesgos operacionales, incluyendo el control de la seguridad, los factores
humanos y otras actividades que afectan el rendimiento de las organizaciones, el estado o la
seguridad
c) los eventos ambientales naturales (tormentas, inundaciones, etc.), que pueden hacer que las
medidas y equipos de seguridad ineficaz
d) factores fuera del control de la organizacin, tales como fallos en los equipos y se suministra
externamente servicios
Pgina 13 de 67

e) las amenazas de las partes interesadas y los riesgos, tales como incumplimiento de los
requisitos reglamentarios o daos a la reputacin o marca
f) Diseo e instalacin de equipos de seguridad incluyendo el reemplazo, mantenimiento, etc.
g) La informacin y gestin de datos y comunicaciones.
h) una amenaza para la continuidad de las operaciones.
La organizacin debe asegurarse de que los resultados de estas evaluaciones y los efectos de estos
controles son considerado y en su caso, proporcionar informacin en:
a) los objetivos y metas de gestin de la seguridad
b) programas de gestin de la seguridad
c) la determinacin de los requisitos para el diseo, especificacin e instalacin
d) la identificacin de los recursos adecuados, incluyendo los niveles de dotacin de personal
e) la identificacin de las necesidades y habilidades (ver 4.4.2) de formacin
f) desarrollo de controles operacionales (vase 4.4.6)
g) el marco general de amenazas y gestin de riesgos de la organizacin.
La organizacin debe documentar y mantener la informacin anterior al da.
La metodologa de la organizacin para la identificacin y evaluacin cubrir amenazas y riesgos:
a) definir con respecto a su alcance, la naturaleza y el momento para asegurarse de que es
proactivo en lugar de reactivo
b) incluir la recopilacin de informacin relacionada con las amenazas y riesgos de seguridad
c) prever la clasificacin de amenazas y riesgos y la identificacin de las personas que deben ser
evitados, eliminado o controlada
d) asegurar el seguimiento de las acciones para garantizar la eficacia y la puntualidad de su
ejecucin (Ver 4.5.1).
b) Intencin
La organizacin debe tener una apreciacin total de seguridad significativa de riesgo, las amenazas
y vulnerabilidades en su dominio, despus de usar los procesos de identificacin de amenazas de
seguridad, evaluacin de riesgos y gestin de riesgos.
Los procesos de identificacin de amenazas a la seguridad, evaluacin de riesgos y gestin de
riesgos y sus salidas deberan ser la base de todo el sistema de seguridad. Es importante que los
Pgina 14 de 67

vnculos entre la amenaza de seguridad los procesos de identificacin, evaluacin y gestin de
riesgos y los dems elementos de la seguridad sistema de gestin estn claramente establecidos y
aparente.
El propsito de esta gua es establecer principios por los cuales la organizacin puede determinar
si los procesos de identificacin de amenaza a la seguridad dada, evaluacin de riesgos y gestin
de riesgos son adecuados y suficientes. No es el propsito de hacer recomendaciones sobre cmo
deben llevarse a cabo estas actividades.
Los procesos de gestin de identificacin de amenazas de seguridad, evaluacin de riesgos y de
riesgo deben permitir a la organizacin para identificar, evaluar y controlar los riesgos de
seguridad de forma continua.
En todos los casos, se debe considerar a las operaciones normales y anormales dentro de la
organizacin y para posibles situaciones de emergencia.
La complejidad de los procesos de identificacin de amenazas de seguridad, evaluacin de riesgos
y gestin de riesgos en gran medida depende de factores tales como el tamao de la organizacin,
las situaciones de trabajo dentro de la organizacin y la naturaleza, la complejidad y la importancia
del riesgo para la seguridad. No es el propsito de la norma ISO / PAS 28000: 2005, 4.3.1, para
obligar a las organizaciones pequeas con riesgo de seguridad muy limitada para emprender
compleja la identificacin de amenazas de seguridad, ejercicios de evaluacin de riesgos y gestin
de riesgos.
Los procesos de gestin de identificacin de amenazas de seguridad, evaluacin de riesgos y de
riesgo deben tener en cuenta el costo y el tiempo de realizacin de estos tres procesos y la
disponibilidad de datos fiables. La informacin ya desarrollado para fines reglamentarios u otros
pueden ser utilizados en estos procesos. La organizacin tambin puede tomar en cuenta el grado
de control prctico que puede tener sobre las amenazas a la seguridad estn considerando. La
organizacin debe determinar cules son sus amenazas a la seguridad son, teniendo en cuenta las
entradas y salidas asociada a sus actividades pasadas actuales y relevantes, procesos, productos y
/ o servicios.
La evaluacin de riesgos de seguridad debe ser realizada por personal cualificado, utilizando
metodologas reconocidas que puede ser documentado.
Una organizacin sin un sistema de gestin de la seguridad existente puede establecer su situacin
actual con respecto a los riesgos de seguridad por medio de una evaluacin de riesgos. El objetivo
debe ser tener en cuenta las amenazas de seguridad que enfrenta la organizacin, como base para
establecer el sistema de gestin de la seguridad. Una organizacin debera considerar incluyendo
(pero sin limitarse a) los siguientes elementos dentro de su revisin inicial:
Requisitos legales y reglamentarios
Identificacin de las amenazas de seguridad que enfrenta la organizacin
Pgina 15 de 67

La bsqueda de amenaza a la seguridad y la informacin sobre los riesgos de los organismos
policiales y de inteligencia apropiados
Un examen de todas las prcticas de gestin de seguridad, procesos y procedimientos existentes
Una evaluacin de la informacin de la investigacin de incidentes y emergencias anteriores.
Un enfoque adecuado para la evaluacin puede incluir listas de comprobacin, entrevistas,
inspecciones y mediciones directas,
Resultados de anteriores auditoras de sistemas de gestin o de otras opiniones en funcin de la
naturaleza de las actividades. Todas estas actividades deben seguir una metodologa repetible
documentado.
Se insiste en que se recomienda una revisin inicial para crear una lnea de base, pero no es un
sustituto de la aplicacin del enfoque sistemtico estructurado establecido en el resto de 4.3.1.
Entrada incluyen los siguientes elementos:
Legal de seguridad y otros requisitos (vase 4.3.2)
Poltica de seguridad (ver 4.2)
Registros de los incidentes
No conformidades (vase 4.5.2)
Resultados de la auditora del sistema de gestin de seguridad (vase 4.5.4)
Las comunicaciones de los empleados y otras partes interesadas (vase 4.4.3)
Informacin de consultas de seguridad de los empleados, revisin y actividades de mejora en el
lugar de trabajo
(Estas actividades pueden ser reactivos o proactivos en la naturaleza) informacin sobre las
mejores prcticas, los riesgos de seguridad tpico relacionados con la organizacin, incidentes y
emergencias haber ocurrido en otras organizaciones similares estndares de la industria las
advertencias del gobierno informacin sobre las instalaciones, procesos y actividades de la
organizacin, incluyendo los siguientes:
Detalles de los procedimientos de control de cambios
Plan de sitio (s)
Manuales de procesos y procedimientos operativos
Pgina 16 de 67

Datos de seguridad
Datos de seguimiento (vase 4.5.1).
d) Proceso
1) la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de riesgos
i) General
Medidas para la gestin de riesgo deben reflejar el principio de la eliminacin o reduccin a un
riesgo de seguridad mnimo posible, siempre que sea posible, ya sea mediante la reduccin de la
probabilidad de ocurrencia o la posible gravedad de los impactos de los incidentes relacionados
con la seguridad). La identificacin de amenazas de seguridad, el riesgo los procesos de evaluacin
y gestin de riesgos son herramientas clave en la gestin del riesgo.
Procesos de identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de riesgos
varan enormemente entre industrias, que van desde las evaluaciones simples para anlisis
cuantitativo complejo con amplia documentacin. Es por la organizacin para planificar e
implementar la identificacin de amenazas de seguridad adecuado, los procesos de evaluacin y
gestin del riesgo que se adapten a sus necesidades y sus situaciones laborales y a ayudar a
cumplir con los requisitos legales de seguridad.
deben llevarse a cabo como medidas proactivas, en lugar de los tan reactivos, es decir, deben
preceder a la introduccin de nuevos o actividades o procedimientos revisados. Todas las medidas
de reduccin de riesgos y de control necesarios que se identifican deben aplicarse antes de
introducir los cambios.
La organizacin debe mantener su metodologa, cualificacin del personal, documentacin, datos
y registros relativa a la identificacin de amenazas, evaluacin de riesgos y gestin de riesgos
hasta al da respecto de curso actividades y tambin extenderlas a examinar las novedades y
actividades nuevas o modificadas, antes de que stos se introduzcan.
no slo deben aplicarse a las operaciones "normales" de instalaciones y procedimientos, sino
tambin para operaciones / procedimientos peridicos u ocasionales.
Adems de considerar el riesgo para la seguridad y los riesgos que entraan las actividades
llevadas a cabo por su propio personal, la organizacin debera considerar los riesgos de seguridad
y los riesgos derivados de las actividades de los contratistas y visitantes y del uso de los productos
o servicios que le sean suministrados por otros.
ii) Procesos
Pgina 17 de 67

Los procesos de identificacin de amenazas a la seguridad, evaluacin de riesgos y gestin de
riesgos deben ser documentada y debe incluir los siguientes elementos:
Identificacin de las amenazas a la seguridad

Evaluacin de riesgos con las medidas de control existente (o propuestas) en el lugar
(teniendo en cuenta la exposicin a las amenazas de seguridad especficos, la probabilidad
de fracaso de las medidas de control y la potencial gravedad de las consecuencias de las
lesiones, daos y continuidad operacional) evaluar la tolerabilidad del riesgo actual y
residual
Identificacin de las medidas adicionales de gestin de riesgos necesarios
Evaluacin de si las medidas de gestin de riesgos son suficientes para reducir el riesgo a
un tolerable nivel.
Adems, los procesos deben tratar los siguientes puntos:

- La naturaleza, oportunidad, alcance y metodologa para cualquier forma de identificacin de
amenazas de seguridad, el riesgo, evaluacin y gestin del riesgo de que se va a utilizar
Legislacin de seguridad aplicable u otros requisitos
Las funciones y autoridad del personal responsable de la realizacin de los procesos
- Los requisitos de competencia y las necesidades de capacitacin (ver 4.4.2 ) para el personal que
vaya a realizar los procesos. (Dependiendo de la naturaleza o el tipo de procesos para ser utilizado,
puede ser necesario para la organizacin a utilizar asesoramiento externo o servicios)
- El uso de la informacin de las entradas de seguridad de los empleados, opiniones y actividades
de mejora (estas actividades pueden ser reactivos o proactivos en la naturaleza).
iii) Las acciones posteriores
Tras la actuacin de la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de
procesos:
- No debe haber pruebas claras de que las acciones correctivas o preventivas (vase 4.5.2 )
identificados como siendo necesario son monitoreados para su finalizacin a tiempo (estos
pueden exigir mayor seguridad llevarn a cabo evaluaciones de identificacin de amenazas y
riesgos, para reflejar los cambios propuestos a riesgo medidas de gestin y para determinar las
estimaciones revisadas de los riesgos residuales)
- Informacin sobre los resultados y sobre los progresos en la realizacin de acciones correctivas o
preventivas, en caso de proporcionar a la administracin, como insumo para la revisin por la
direccin (vase 4.6 ) y para el establecimiento de revisadas o nuevas objetivos de seguridad
Pgina 18 de 67

- La organizacin debe estar en condiciones de determinar si la competencia del personal, la
realizacin de tareas especficas de seguridad es coherente con lo especificado por el proceso de
evaluacin de riesgos en el establecimiento de la gestin de riesgos es necesario
- Los comentarios de la experiencia operativa posterior se deben utilizar para modificar los
procesos o los datos en el que se basan, segn corresponda.
2) Despus de la evaluacin inicial de identificacin de amenazas de seguridad, evaluacin de
riesgos y el riesgo gerencial (vase tambin 4.6)
El proceso de gestin de la identificacin de amenazas de seguridad, evaluacin de riesgos y el
riesgo debe ser revisada en un tiempo o perodo predeterminado que figura en el documento de
poltica de seguridad o en un momento predeterminado por gestin que puede formar parte del
proceso de revisin por la direccin (vase 4.6). Este perodo puede variar dependiendo de las
siguientes consideraciones:
La naturaleza de las amenazas a la seguridad
La magnitud del riesgo
Cambios con respecto a la operacin normal.
La revisin tambin deber tener lugar si los cambios dentro de la llamada organizacin en tela de
juicio la validez de la las evaluaciones existentes. Tales cambios pueden incluir los siguientes
elementos:
Expansin, contraccin, la reestructuracin, cambios en las instalaciones o aspectos de la cadena
de suministro
Reasignar las responsabilidades
Cambios en los mtodos de trabajo o patrones de comportamiento de las amenazas a la seguridad
de fuentes externas.
e) Los productos tpicos
Deben existir procedimiento (s) para los siguientes elementos documentados:
Identificacin de las amenazas a la seguridad
Determinacin de los riesgos asociados con las amenazas a la seguridad identificadas
Indicacin del nivel de los riesgos relacionados con cada una amenaza a la seguridad y si son o no
son, tolerables
Descripcin o referencia de las medidas de vigilancia y control de los riesgos (vase 4.4.6 y 4.5.1 ),
en particular los riesgos que no son tolerables en su caso, los objetivos y las medidas de seguridad
Pgina 19 de 67

para reducir los riesgos identificados (ver 4.3.3 ) y cualquier actividad de seguimiento para
monitorear el progreso en su reduccin
Identificacin de los requisitos de competencia y capacitacin para implementar las medidas de
control (vase 4.4.2 )
Medidas de control necesarias detallan como parte del elemento de control de funcionamiento
del sistema ( 4.4.6 )
Registros generados por cada uno de los procedimientos anteriormente mencionados.
4.3.2 Los requisitos legales, reglamentarios y de otras garantas reguladoras
La organizacin debe establecer, implementar y mantener un procedimiento
a) identificar y tener acceso a los requisitos legales aplicables y otros requisitos que la
Organizacin suscriba relacionados con sus amenazas y riesgos de seguridad, y
b) determinar cmo se aplican estos requisitos a sus amenazas y riesgos de seguridad.
La organizacin debe mantener esta informacin actualizada. Se comunicar la informacin
pertinente sobre cuestiones jurdicas y otros requisitos a sus empleados y otras terceras partes
pertinentes, incluidos los contratistas.
b) Intencin
La organizacin debe tener en cuenta y comprender cmo sus actividades estn o sern, afectados
por aplicable los requisitos legales y de otro tipo y se comuniquen esta informacin al personal
pertinentes.
Este requisito de 4.3.2 de la norma ISO / PAS 28000: 2005 tiene como objetivo promover el
conocimiento y la comprensin de responsabilidades legales y regulatorios. No tiene la intencin
de exigir a la organizacin a establecer bibliotecas del legal o otros documentos que rara vez se
hace referencia o utiliza.
Detalles de la cadena de suministro de la organizacin
Resultados de la identificacin amenaza a la seguridad, evaluacin de riesgos y gestin de riesgos
(vase 4.3.1 )
Mejores prcticas (por ejemplo, cdigos, directrices asociacin de la industria)
Pgina 20 de 67

Requisitos legales, gubernamentales, intergubernamentales, asociaciones de comercio, los cdigos
y las prcticas y reglamentos
Lista de fuentes de informacin
Normas nacionales, regionales o internacionales
Los requisitos de organizacin interna
Requisitos de las partes interesadas
Procesos para gestionar la dinmica de la cadena de suministro.
d) Proceso
La legislacin pertinente y otros requisitos deben ser identificados. Las organizaciones deben
identificar a los ms los medios adecuados para el acceso a la informacin, incluyendo los medios
de comunicacin el apoyo a la informacin (por ejemplo, papel, CD, disco, Internet). La
organizacin tambin debe evaluar las disposiciones aplicables y dnde aplicar y que necesita para
recibir la informacin.
Los Entradas tipicasincluyen los siguientes elementos:
Procedimientos para identificar y acceder a la informacin y mantenerla al da
Identificacin de los requisitos que se aplican y que [esto puede tomar la forma de un registro (s)]
Requisitos (texto real, sumarias o anlisis, en su caso), disponibles en lugares que han de ser
Decidido por la organizacin
Procedimientos de seguimiento de la implementacin de controles como consecuencia de la
nueva legislacin de seguridad.
4.3.3 objetivos de gestin de seguridad
La organizacin debe establecer, implementar y mantener los objetivos de gestin de seguridad
documentadas en funciones y niveles pertinentes dentro de la organizacin. Los objetivos se
derivan de y consistente con la poltica. Cuando se establezcan y revisen estos objetivos, la
organizacin debe tener en cuenta:
a) los requisitos reglamentarios de seguridad legal, estatutaria y de otro tipo
b) las amenazas y los riesgos relacionados con la seguridad
Pgina 21 de 67

c) las opciones tecnolgicas y de otro tipo
d) los requisitos financieros, operacionales y de negocio
e) puntos de vista de las partes interesadas pertinentes.
Los objetivos de la gestin de seguridad sern las siguientes:
a) en consonancia con el compromiso de la organizacin con la mejora continua
b) cuantificado (cuando sea posible)
c) comunicarse a todos los empleados pertinentes y terceras partes, incluyendo contratistas, con
la intencin de que estas personas sean conscientes de sus obligaciones individuales
d) revisarse peridicamente para garantizar que sigan siendo pertinentes y coherentes con la
gestin de la seguridad poltica. Cuando sea necesario los objetivos de gestin de seguridad se
modificarn en consecuencia.
b) Intencin
Es necesario asegurarse de que, en toda la organizacin (cuando sea factible), los objetivos de
seguridad son medibles establecido de conformidad con la poltica de seguridad.

La poltica de seguridad, incluyendo el compromiso de mejora continua (vase 4.2 )
Resultados de la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin
de riesgos (vase 4.3.1 )
Requisitos legales y otros (vase 4.3.2 )
Opciones tecnolgicas
Requisitos financieros, operacionales y de negocio
Empleados y preocupaciones de los interesados (vase 4.4.3 )
Informacin de las entradas de seguridad de los empleados, las evaluaciones y las
actividades de mejora en el lugar de trabajo
(Estas actividades pueden ser reactivos o proactivos en la naturaleza)
Anlisis de los objetivos de seguridad establecidos
Registros anteriores de no conformidades de seguridad, incidentes y daos a la propiedad
resultados de la revisin por la direccin (vase 4.6 ).
d) Proceso
Pgina 22 de 67

El uso de la informacin o los datos de los insumos, la gestin adecuada debe identificar,
establecer y priorizar los objetivos de seguridad.
Durante el establecimiento de objetivos de seguridad, prestando especial atencin se debe dar a
la informacin o los datos de los ms propensos a ser afectados por los objetivos de seguridad
individuales, ya que esto puede ayudar a garantizar que sean razonables y ms ampliamente
aceptada. Tambin es til tener en cuenta la informacin o datos de fuentes externas a la
organizacin, por ejemplo, de contratistas, proveedores, socios comerciales, la polica y las
agencias de inteligencia o grupos de inters.
Reuniones por los niveles adecuados de gestin para el establecimiento de objetivos de seguridad
deben mantenerse regularmente (por ejemplo, al menos una vez al ao). Para algunas
organizaciones, puede haber una necesidad de documentar la proceso de establecer los objetivos
de seguridad.
Los objetivos de seguridad deben abordar tanto los problemas de seguridad de las empresas
grandes y las cuestiones de seguridad que son especficos para la cadena (s) de alimentacin, las
funciones individuales y los niveles dentro de la organizacin.
Indicadores adecuados deben definirse para cada objetivo de seguridad, siempre que sea posible.
Estos indicadores deberan permitir el seguimiento de la aplicacin de los objetivos de seguridad.
Objetivos de seguridad deben ser razonables y alcanzables, en tanto que la organizacin debe
tener la capacidad para llegar a ellos y monitorear el progreso. Una escala de tiempo razonable y
alcanzable debe definirse para la realizacin de cada objetivo de seguridad.
Objetivos de seguridad se pueden dividir en objetivos distintos, dependiendo del tamao de la
organizacin, la complejidad del objetivo de seguridad y su escala de tiempo. Debe haber vnculos
claros entre los distintos niveles de las metas y objetivos de seguridad.
Ejemplos de tipos de objetivos de seguridad incluyen:
Reduccin de los niveles de riesgo

La introduccin de caractersticas adicionales en el sistema de gestin de la seguridad
Las medidas adoptadas para mejorar las instalaciones existentes
La eliminacin o la reduccin en la frecuencia de incidente en particular no deseado (s).
Los objetivos de seguridad deben comunicarse (por ejemplo, a travs de sesiones de
formacin o de informacin de grupo vase 4.4.2 ) para personal y relevantes desplegarse
a travs del programa (s) de gestin de seguridad (ver 4.3.4 ).
e) Salidas tpicas
Los salidas tpicas incluyen documentos, en su caso, los objetivos de seguridad viables
mensurables para cada funcin en la organizacin.
Pgina 23 de 67

4.3.4 objetivos de gestin de seguridad
La organizacin debe establecer, implementar y mantener los objetivos de gestin de seguridad
documentada adecuada a las necesidades de la organizacin. Los objetivos se derivan de y ser
coherentes con los objetivos de gestin de la seguridad.
Estos objetivos tendrn:
a) a un nivel de detalle apropiado
b) especficos, medibles, alcanzables, relevantes y basados en el tiempo (cuando sea posible)
c) comunicarse a todos los empleados pertinentes y terceros, incluyendo contratistas y con la
intencin de que las personas sean conscientes de sus obligaciones individuales
d) revisarse peridicamente para garantizar que sigan siendo pertinentes y coherentes con la
gestin de la seguridad objetivos. Cuando sea necesario los objetivos sern modificados en
consecuencia.
b) Intencin
Objetivos de seguridad se establecen para alcanzar el objetivo dentro del marco de tiempo
especificado.
La poltica de seguridad, incluyendo el compromiso de mejora continua (vase 4.2 )
Resultados de la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de
riesgos (vase 4.3.1 )
Requisitos legales y otros (vase 4.3.2 )
Opciones tecnolgicas
Requisitos financieros, operacionales y de negocio
Empleados y preocupaciones de los interesados (vase 4.4.3 )
Informacin de las entradas de seguridad de los empleados, las evaluaciones y las actividades de
mejora en el lugar de trabajo (Estas actividades pueden ser reactivos o proactivos en la
naturaleza)
Anlisis de los objetivos de seguridad establecidos
Pgina 24 de 67

Registros anteriores de no conformidades e incidentes de seguridad
Resultados de la revisin por la direccin (vase 4.6 ).
d) Proceso
El proceso se define en los programas de seguridad y es las metas alcanzables para cumplir el
objetivo (s).
El uso de la informacin o los datos de los insumos, la gestin adecuada debe identificar,
establecer y priorizar los objetivos de seguridad. Los objetivos deben ser especficos, basados y
medibles.
Durante el establecimiento de objetivos de seguridad, prestando especial atencin se debe dar a
la informacin o los datos de los ms propensos a ser afectados por los objetivos de seguridad
individuales, ya que esto puede ayudar a garantizar que sean razonable y ms ampliamente
aceptada. Tambin es til tener en cuenta la informacin o datos de fuentes externas a la
organizacin, por ejemplo, de contratistas, proveedores, socios comerciales, la polica y la
inteligencia o las partes interesadas.
Reuniones por los niveles adecuados de gestin para el establecimiento de objetivos de seguridad
deben ser revisadas despus modificados los objetivos de seguridad. Para algunas organizaciones,
puede haber una necesidad de documentar el proceso de de establecer los objetivos de seguridad.
Los objetivos de seguridad deben abordar tanto los problemas de seguridad de las empresas
grandes y las cuestiones de seguridad que son especficos a la cadena de suministro (s), funciones
individuales y los niveles dentro de la organizacin.
Indicadores adecuados deben definirse para cada objetivo de seguridad. Estos indicadores deben
permitir el monitoreo de la aplicacin de los objetivos de seguridad.
Objetivos de seguridad deben ser razonables y alcanzables, en que la organizacin debe tener la
capacidad de llegar ellos y monitorear el progreso. Una escala de tiempo razonable y alcanzable
debe definirse para la realizacin de cada objetivo de seguridad.
Objetivos de seguridad pueden desglosarse en objetivos distintos, dependiendo del tamao de la
organizacin, la complejidad del objetivo de seguridad y su escala de tiempo. Debe haber vnculos
claros entre los distintos niveles de objetivos y metas de seguridad.
Ejemplos de tipos de objetivos de seguridad incluyen:
Reduccin de los niveles de riesgo dentro de un plazo determinado
La introduccin de nuevas tecnologas para reducir el riesgo o mitigar los impactos de las
amenazas de seguridad
Las medidas adoptadas para mejorar las instalaciones existentes y su calendario
Pgina 25 de 67

La eliminacin o la reduccin en la frecuencia de incidente en particular no deseado (s).
Los objetivos de seguridad deben comunicarse (por ejemplo, a travs de sesiones de formacin o
de informacin de grupo vase 4.4.2 ) para personal y relevantes desplegarse a travs del
programa (s) de gestin de seguridad (ver 4.3.4 ).
e) Las salidas tpicas
Las salidas tpicas incluyen documentos, en su caso, los objetivos de seguridad viables
mensurables para cada funcin en la organizacin.
4.3.5 programas de gestin de seguridad
La organizacin debe establecer, implementar y mantener programas de gestin de la seguridad
para el logro de sus objetivos y metas.
Los programas sern optimizados y luego priorizados y la organizacin establecern la eficiencia y
el costo de la aplicacin efectiva de estos programas.
Esto incluir la documentacin que describe:
a) la responsabilidad y la autoridad designada para el logro de objetivos y metas de gestin de la
seguridad
b) los medios y el calendario por el cual los objetivos y metas de gestin de seguridad han de ser
alcanzados.
Los programas de gestin de la seguridad se revisarn peridicamente para asegurarse de que
sean eficaces y en consonancia con los objetivos y metas. En caso necesario se modificarn los
programas en consecuencia.
b) Intencin
Los programas de gestin de seguridad deben vincularse directamente con los objetivos y metas.
Cada programa de gestin debe describir cmo la organizacin se traducir sus metas y
compromisos de poltica en acciones definidas de manera que se logren los objetivos y metas de
seguridad. El programa requerir la desarrollo de estrategias y planes de accin a tomar, que debe
ser documentado y comunicado.
El progreso del programa en lo que respecta al cumplimiento del objetivo establecido (s) se debe
supervisar, revisar y grabada. La estrategia de la disuasin y la mitigacin del programa debe
basarse en los resultados de amenaza a la seguridad y la gestin de la identificacin de peligros y
evaluacin de riesgos, (tales como: anlisis de impacto, evaluacin de programas, la experiencia
operacional).
Pgina 26 de 67

Objetivos y metas de seguridad

Los requisitos legales y de otro tipo
Resultados de la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin
de riesgos
Detalles de las operaciones de la organizacin
Informacin de entrada de seguridad de los empleados, revisin y mejora de las
actividades en el lugar de trabajo (estos actividades pueden ser reactivos o proactivos en
la naturaleza)
Examinado las posibilidades disponibles de nuevas o diferentes opciones tecnolgicas
Actividades de mejora continua
La disponibilidad de los recursos necesarios para lograr los objetivos de seguridad de la
organizacin.
d) Proceso
El programa de gestin de la seguridad debe definir:
Las responsabilidades para alcanzar los objetivos

Los medios para lograr los objetivos
El plazo para el logro de esos objetivos.
El programa debe considerar la mitigacin de las amenazas a travs metodolgico y las opciones
tecnolgicas y la experiencia de otras entidades, teniendo en cuenta los requisitos financieros,
operacionales y de negocio as como las opiniones de las organizaciones asociadas y las partes
interesadas.
Se debe prever la asignacin de la responsabilidad y la autoridad adecuada para cada tarea y
asignar tiempo- escalas para cada tarea individual, con el fin de satisfacer la escala de tiempo
global del objetivo de seguridad relacionada. Debera disponerse la asignacin de recursos
adecuados (por ejemplo, financieros, humanos, equipos, logstica) para cada tarea.
Cuando se prevea que las alteraciones o modificaciones en las prcticas de trabajo, procesos,
equipos o instalaciones significativas, el programa debe prever nuevos ejercicios de identificacin
de amenaza a la seguridad y evaluacin de riesgos.
El programa de gestin de la seguridad debe prever la consulta del personal pertinente sobre los
cambios esperados.
Pgina 27 de 67

Los Salidas tpicas incluyen definido, programa de gestin de la seguridad documentada (s) para la
consecucin de los objetivos y los objetivos describe en 4.3.3 y 4.3.4.
4.4 Implementacin y operacin
Figura 4 - Implementacin y operacin

4.4.1 Estructura, autoridad y responsabilidades para la gestin de la seguridad
La organizacin debe establecer y mantener una estructura organizativa de las funciones,
responsabilidades y autoridades, consistente con el logro de sus polticas de gestin de seguridad,
objetivos, metas y programas.
Estas funciones, responsabilidades y autoridad se deben definir, documentar y comunicar a la las
personas responsables de su ejecucin y mantenimiento.
La alta direccin debe proporcionar evidencia de su compromiso con el desarrollo y la aplicacin
del sistema de gestin de la seguridad (procesos) y la mejora continua de su eficacia:
a) nombra a un miembro de la alta direccin que, con independencia de otras responsabilidades,
debe ser responsable para el diseo general, el mantenimiento, la documentacin y la mejora de
la seguridad de la organizacin sistema de gestin
b) nombrar (a) miembro (s) de la gestin de la autoridad necesaria para asegurar que los objetivos
y objetivos se implementan
c) la identificacin y seguimiento de los requerimientos y expectativas de las partes interesadas de
la organizacin y tomar las medidas adecuadas y oportunas para gestionar estas expectativas
d) Garantizar la disponibilidad de los recursos adecuados
Pgina 28 de 67

e) teniendo en cuenta el impacto negativo que la poltica de gestin de la seguridad Objetivos,
metas, programas, etc., pueden tener sobre otros aspectos de la organizacin
f) asegurando cualquier programa de seguridad generados por otras partes de la organizacin
complementan el sistema de gestin de la seguridad
g) comunicando a la organizacin la importancia de satisfacer sus requisitos de gestin de la
seguridad en Para cumplir con su poltica
h) la garanta de amenazas y riesgos relacionados con la seguridad se evalan y se incluye en la
amenaza de la organizacin y el riesgo evaluaciones, segn proceda
i) garantizar la viabilidad de las de gestin de seguridad objetivos, metas y programas.
b) Intencin
Para facilitar la gestin de seguridad eficaz es necesario que las funciones, responsabilidades y
autoridades estn definidas, documentadas y comunicadas. Slo la seguridad del personal (vase
la definicin en la Clusula 3) aclar debera ser utilizado para tareas crticas de seguridad. Los
recursos adecuados deberan tomar medidas para que las tareas de seguridad a ser realizado.
Insumos tpicos incluyen los siguientes:
Estructura organizacional
Resultados de la identificacin de riesgos de seguridad, evaluacin de riesgos y de

control de riesgos
Los objetivos de seguridad, objetivos y programas
Los requisitos legales y de otro tipo
Descripciones de los puestos
Listas de personal de seguridad calificados que necesitan y / o han recibido autorizacin

de seguridad.
d) Proceso
1) Informacin general
Las responsabilidades y autoridad de todas las personas que desempeen funciones que forman
parte de la seguridad sistema de gestin debe ser definido, incluyendo una definicin clara de
responsabilidades en las interfaces entre las diferentes funciones.
Estas definiciones pueden, entre otras cosas, ser necesarias para las siguientes categoras de
personas:
La alta direccin
Gestin de la lnea en todos los niveles de la organizacin
Los responsables de los contratistas y visitantes que tienen acceso a los locales y sus
empleados
Los responsables de la formacin en seguridad
Los responsables de los equipos y operaciones que sean fundamentales para la seguridad
Pgina 29 de 67
Empleados con autorizacin de seguridad u otros especialistas de seguridad, dentro de la

organizacin
Representantes de seguridad empleado en los foros de consulta.
Sin embargo, la organizacin debe comunicar y promover la idea de que la seguridad es

responsabilidad de todos en la organizacin, no slo la responsabilidad de aquellos que con la
gestin de seguridad definida funciones del sistema.
2) La definicin de las responsabilidades de alta direccin
La responsabilidad de la alta direccin debe incluir la definicin de la poltica de seguridad de la
organizacin y
Asegurando que el sistema de gestin de la seguridad se implementa. Como parte de este
compromiso, una especfica
Representante de la direccin con responsabilidades definidas y la autoridad de aplicacin del
Sistema de gestin seguridad debe ser designado por la alta direccin. (En organizaciones grandes
o complejas puede haber ms de un representante designado).
3) Definicin de gestin de seguridad de responsabilidades representativas
El representante de la direccin de seguridad debe tener la responsabilidad y autoridad para
asegurar que el sistema de gestin de la seguridad es implementado y documentado, tener
acceso continuo a la alta direccin y el apoyo de otros miembros del personal que han delegado
responsabilidades para supervisar el general funcionamiento de la funcin de seguridad. El
representante de la direccin debe ser informado peridicamente del rendimiento del sistema y
debe conservar una participacin activa en los exmenes peridicos y el establecimiento de los
objetivos de seguridad. Debe garantizarse que ninguna otra funcin o funciones asignadas a este
personal no entren en conflicto con el cumplimiento de sus responsabilidades de seguridad.
4) las responsabilidades de gestin de lnea Definicin
Responsabilidad de la gestin de la lnea debe incluir la garanta de que la seguridad se gestiona
dentro de su rea de operaciones. Donde responsabilidad primordial en materia de seguridad
recae en la gerencia de lnea, el papel y la responsabilidades de cualquier funcin de seguridad
especialista dentro de la organizacin deben definirse adecuadamente para evitar la ambigedad
con respecto a las responsabilidades y autoridades. Esto debe incluir disposiciones a resolver
cualquier conflicto entre las cuestiones de seguridad y las consideraciones de productividad por la
escalada a un mayor nivel de gestin.
5) Documentacin de las funciones y responsabilidades
Responsabilidades de seguridad y las autoridades deben documentarse en una forma apropiada
para la organizacin.
Pgina 30 de 67

Esto puede tomar una o ms de las siguientes formas o una alternativa a eleccin de la
organizacin:
Manuales del sistema de gestin de seguridad

Procedimientos y descripciones de las tareas de trabajo
Descripciones de los puestos
Programas de paquetes y sensibilizacin capacitacin de induccin.
Si la organizacin opta por emitir descripciones de trabajo escrito que cubra otros
aspectos de la participacin de los empleados
y responsabilidades, entonces las responsabilidades de seguridad deben ser incorporados
en esas descripciones de trabajo.
6) Comunicacin de las funciones y responsabilidades

Responsabilidades de seguridad y las autoridades deben comunicarse adecuadamente a aquellos a
quienes afectan dentro de la organizacin. Esto debera garantizar que las personas a entender el
alcance y las interfaces entre las diversas funciones y los canales que se utiliza para iniciar la
accin.
7) Recursos
La administracin debe asegurar que los recursos adecuados estn disponibles para el
mantenimiento de un seguro cadena de suministro, incluyendo equipamiento, recursos humanos,
conocimientos y formacin.
Los recursos pueden ser considerados adecuados si son suficientes para llevar a cabo los
programas de seguridad y actividades, incluyendo la medicin y monitoreo del desempeo.
Para las organizaciones con sistemas de gestin de seguridad establecidos, la adecuacin de los
recursos puede ser a menos parcialmente evaluado mediante la comparacin del rendimiento
previsto de los objetivos de seguridad con los resultados reales.
8) Compromiso de la direccin
Los gerentes deben proporcionar demostracin visible de su compromiso con la seguridad.
Medios de demostracin pueden incluir la visita y la inspeccin de los sitios, la participacin en la
investigacin de incidentes de seguridad y proporcionar recursos en el contexto de las medidas
correctivas, la asistencia a las reuniones de seguridad y los mensajes que emiten de apoyo.
Los Entradas tpicas incluyen los siguientes:

Definiciones de las responsabilidades de seguridad y autoridades para todo el personal
pertinente
Pgina 31 de 67
Documentacin de roles / responsabilidades en manuales / procedimientos / mdulos de

capacitacin
Proceso de comunicacin de los roles y responsabilidades a todos los empleados y otras
partes interesadas
Participacin activa de gestin y apoyo a la seguridad, a todos los niveles.
4.4.2 Competencia, formacin y sensibilizacin

La organizacin debe asegurarse de que el personal responsable del diseo, operacin y gestin
de equipos y procesos de seguridad estn debidamente cualificados en materia de educacin,
formacin y / o experiencia.
La organizacin debe establecer y mantener procedimientos para que las personas que trabajan
para ella o en su nombre consciente de:
a) la importancia del cumplimiento de la poltica de gestin de la seguridad y procedimientos, ya la
requisitos del sistema de gestin de la seguridad
b) sus funciones y responsabilidades en el logro del cumplimiento con la poltica de gestin de la
seguridad y procedimientos y con los requisitos del sistema de gestin de la seguridad, incluyendo
emergencia requisitos de preparacin y respuesta
c) las consecuencias potenciales para la seguridad de la organizacin por apartarse de
funcionamiento especificado procedimientos.
Registros de competencia y entrenamiento se mantendrn.
b) Intencin
Las organizaciones deben contar con procedimientos efectivos para asegurar que el personal es
competente para llevar a cabo su designado funciones de seguridad y estar al tanto de los riesgos
de seguridad.

Definiciones de roles y responsabilidades
Descripciones de trabajo (con los detalles de las tareas de seguridad que se deben
realizar)
Las evaluaciones de desempeo de los empleados
Resultados de la identificacin de riesgos de seguridad, evaluacin de riesgos y de control
de riesgos
Procedimientos e instrucciones de funcionamiento
Pgina 32 de 67
La poltica de seguridad y de seguridad objetivos

Programas de seguridad.
d) Proceso
Los siguientes elementos deben ser incluidos en el proceso:
Una identificacin sistemtica de la conciencia y de las competencias de seguridad

necesarias en cada nivel y funcionar dentro de la organizacin
Medidas para detectar y remediar las deficiencias entre el nivel actualmente posee el
La conciencia y la competencia individual y la seguridad requerida
Prestacin de cualquier entrenamiento identificado como necesarias, de manera oportuna
y sistemtica
Evaluacin de los individuos para garantizar que se han adquirido y que mantienen, el
conocimiento y la
Competencia requerida
Mantenimiento de registros apropiados de formacin y competencia de un individuo.
NOTA Fuerte nfasis en la concienciacin sobre la seguridad en toda la organizacin es importante

para una seguridad xito sistema de gestin y su aplicacin efectiva.
Una conciencia de seguridad y programa de formacin deben establecerse y mantenerse para
abordar las siguientes reas:
Conciencia permanente de los riesgos de seguridad y amenazas
La comprensin de las disposiciones de seguridad de la organizacin y las funciones especficas de
los individuos y responsabilidades
Un programa sistemtico de induccin y capacitacin continua para los empleados y los que
transferir entre divisiones, sitios, departamentos, reas, trabajos o tareas dentro de la
organizacin
Formacin en la organizacin local de seguridad y riesgo para la seguridad, los riesgos, las
precauciones que deben tomarse y los procedimientos a seguir, esta formacin se proporciona
antes de que comience el trabajo
Capacitacin para realizar la identificacin de riesgos de seguridad, evaluacin de riesgos y control
de riesgos (ver 4.3.1d )
Especfica en formacin interna o externa que puede ser necesaria para los trabajadores con
funciones especficas en el sistema de seguridad, incluidos los representantes de seguridad de los
empleados
La capacitacin de todas las personas que manejan los empleados, contratistas y otros (por
ejemplo, trabajadores temporales), en sus responsabilidades de seguridad. Esto es para asegurar
Pgina 33 de 67

que tanto ellos como los que estn bajo su control a entender las amenazas a la seguridad y los
riesgos de las operaciones de las que son responsables, all donde se produzcan.
Adems, esto es para garantizar que el personal tenga las competencias necesarias para llevar a
cabo las actividades con seguridad, siguiendo los procedimientos de seguridad
Las funciones y responsabilidades (incluyendo responsabilidades legales corporativos e
individuales) de la alta direccin para garantizar que las funciones del sistema de gestin de la
seguridad para controlar los riesgos y minimizar enfermedad, lesin y otras prdidas para la
organizacin
Programas de formacin y sensibilizacin para los contratistas, trabajadores temporales y
visitantes, de acuerdo con el nivel de riesgo al que estn expuestos.
La eficacia de los programas de formacin y sensibilizacin debe ser evaluada. Esto puede incluir la
evaluacin como parte del ejercicio de entrenamiento y / o cheques de campo apropiados para
establecer si la competencia y suficiente la conciencia se ha alcanzado o para monitorear el
impacto a largo plazo de la formacin impartida.
Los Salidas tpicas incluyen los siguientes elementos:
Requisitos de competencia para los roles individuales

Anlisis de las necesidades de formacin
Programas / planes de formacin
Gama de cursos de capacitacin y / productos disponibles para su uso dentro de la
organizacin
Registro de entrenamiento y actas de la evaluacin de la eficacia y de la formacin
Programas de sensibilizacin sobre la seguridad
Evaluacin de concienciacin sobre la seguridad.
4.4.3 Comunicacin
La organizacin debe tener procedimientos para garantizar que la informacin de gestin de la
seguridad pertinente es comunicada desde y hacia los empleados pertinentes, contratistas y otras
partes interesadas.
Debido a la naturaleza sensible de cierta informacin relacionada con la seguridad, la debida
consideracin se debe dar a la sensibilidad de la informacin antes de su difusin.
b) Intencin
Pgina 34 de 67

La organizacin debe fomentar la participacin en las buenas prcticas de seguridad y el apoyo a
su poltica de seguridad y los objetivos de seguridad, de todos los afectados por sus operaciones a
travs de un proceso de consulta y la comunicacin.

Documentacin del sistema de gestin de seguridad pertinentes
Los procedimientos de identificacin de riesgos de seguridad, evaluacin de riesgos y de
control de riesgos
Definiciones de los roles y responsabilidades de seguridad resultados de las consultas
formales e informales de seguridad de los empleados con la administracin
Los detalles del programa de capacitacin
Informacin relevante de fuentes externas.
d) Proceso
La organizacin debe documentar y promover las condiciones que permitan consultar y
comunicar la informacin de seguridad pertinente y de sus empleados y otras partes interesadas
(por ejemplo, contratistas, visitantes, partes interesadas, socios comerciales, autoridades).
Esto debe incluir disposiciones para involucrar a los empleados en los siguientes procesos:
Consulta sobre el desarrollo y la revisin de las polticas, el desarrollo y la revisin de la seguridad
Objetivos y decisiones sobre la aplicacin de los procesos y procedimientos para la gestin de
riesgos, incluyendo.
Realizacin de evaluaciones de riesgos de seguridad y controles de riesgo relevantes para sus
propias actividades
Consulta sobre los cambios que afectan a la seguridad del lugar de trabajo, tales como la
introduccin de nuevas o modificadas, equipos, instalaciones, productos qumicos, tecnologas,
procesos, procedimientos o pautas de trabajo.
Los empleados deben ser alentados a comentar sobre asuntos de seguridad y deben ser
informados de la gestin de la cadena de suministro de mando de la seguridad.
e) Los Salidas tpicas
Los salidas tpica sincluyen los siguientes:
Gestin y empleados de consultas formales a travs de consejos de seguridad u

organismos similares
Pgina 35 de 67
Participacin de los empleados en la identificacin de riesgos de seguridad, evaluacin de

riesgos y control de riesgos
Iniciativas para fomentar las consultas de seguridad de los empleados, revisin y
actividades de mejora de la lugar de trabajo y la retroalimentacin de la gestin en
materia de seguridad
Representantes de seguridad de los empleados con roles definidos y mecanismos de
comunicacin con la administracin, incluyendo, por ejemplo, la participacin en
accidentes e incidentes, inspecciones de seguridad del sitio, etc .
Sesiones informativas de seguridad para los empleados y otras partes interesadas, por
ejemplo, contratistas o visitantes
Tablones de anuncios que contienen informacin de seguridad
Boletn de seguridad
Programa cartel de la seguridad
Otros medios para el intercambio de informacin sensible de la seguridad y los informes
con las autoridades y suministro adecuados socios de la cadena.
4.4.4 Documentacin
La organizacin debe establecer y mantener un sistema de gestin de la documentacin de
seguridad que incluye, pero no se limita a lo siguiente:
a) la poltica de seguridad, objetivos y metas,
b) la descripcin del alcance del sistema de gestin de la seguridad,
c) descripcin de los principales elementos del sistema de gestin de la seguridad y su interaccin
y la referencia a los documentos relacionados,
d) los documentos, incluyendo los registros requeridos en esta norma internacional, y
e) determinados por la organizacin como necesarios para asegurar la eficaz planificacin,
operacin y control de los procesos que se relacionan con sus importantes amenazas y riesgos de
seguridad.
La organizacin debe determinar la sensibilidad de seguridad de la informacin y tomar las
medidas necesarias para prevenir el acceso no autorizado.
b) Intencin
La organizacin debe documentar y mantener hasta al da la documentacin para asegurarse de
que su seguridad sistema de gestin puede ser entendido e implementado y operado de manera
efectiva.
Pgina 36 de 67

Detalles de los sistemas de informacin y documentacin de la organizacin desarrolla para
apoyar su sistema de gestin de seguridad y actividades de seguridad y cumplir con los requisitos
de la norma ISO 28000 / PAS;
Responsabilidades y autoridades
Informacin sobre las instalaciones en las que se utiliza la documentacin o informacin y las
limitaciones que esto puede poner en la naturaleza fsica de la documentacin o el uso de
electrnica u otros medios.
d) Proceso
La organizacin debe identificar los datos y la informacin que se necesita para que el sistema de
gestin de seguridad, antes de desarrollar la documentacin necesaria para apoyar sus procesos
de seguridad y sistema de gestin de la seguridad.
No hay ningn requisito para desarrollar la documentacin en un formato particular con el fin de
ajustarse a ISO / PAS 28000, ni es necesario sustituir la documentacin existente, como manuales,
procedimientos o instrucciones de trabajo si stos describen adecuadamente los acuerdos
actuales. Si la organizacin ya ha establecido una, documentacin del sistema de gestin de la
seguridad, puede resultar ms conveniente y eficaz para que se desarrolle, para ejemplo, un
documento de referencia cruzada que describe la interrelacin entre sus procedimientos
existentes y los requisitos de la norma ISO 28000 / PAS.
Debe tenerse en cuenta lo siguiente:
Las responsabilidades y las autorizaciones de los usuarios de la documentacin e informacin, ya
que esto debe conducir a la determinacin del grado de seguridad y accesibilidad que debe
imponerse
La manera en que se utiliza documentacin fsica y el medio ambiente en el que se utiliza. Similar
se debe considerar en relacin con el uso de equipos electrnicos para sistemas de informacin.
e) Los salidas tpicas
Las salidas tpicas incluyen los siguientes elementos:
Documentacin del sistema de gestin de seguridad de documento general

Los registros de documentos, listas de maestros o ndices
procedimientos
Instrucciones de trabajo.
4.4.5 Documentos y datos de control
Pgina 37 de 67

La organizacin debe establecer y mantener procedimientos para controlar todos los documentos,
datos e informacin requerida por la clusula 4 de la presente especificacin disponible al pblico
para asegurar que:
a) estos documentos, datos e informacin pueden ser localizados y accesibles por las personas
autorizadas
b) estos documentos, datos e informacin son revisadas peridicamente, revisada cuando sea
necesario y aprobados, por personal autorizado
c) las versiones actualizadas de los documentos pertinentes, los datos y la informacin estn
disponibles en todos los lugares donde se llevan a cabo operaciones esenciales para el
funcionamiento eficaz del sistema de gestin de la seguridad
d) los documentos obsoletos, los datos y la informacin se retiran rpidamente de todos los
puntos de emisin y los puntos de usar o asegurado de otro modo ellos un uso inadecuado
e) archivsticas documentos, datos e informacin retenidos con fines de conservacin legal o el
conocimiento o ambos son adecuadamente identificados
f) estos documentos, los datos y la informacin son seguros y si en formato electrnico estn
suficientemente apoyadas y puede ser recuperado.
b) Intencin
Todos los documentos y datos que contienen informacin crtica para el funcionamiento del
sistema de gestin de la seguridad y el desempeo de las actividades de seguridad de la
organizacin, debe ser identificado y controlado.
Detalles de los sistemas de documentacin y datos de la organizacin desarrolla para apoyar la
seguridad del sistema de gestin y las actividades de seguridad y cumplir con los requisitos de la
norma ISO 28000 / PAS
Detalles de las responsabilidades y autoridades.
d) Proceso
Los procedimientos escritos deben definir los controles para la identificacin, aprobacin, emisin,
acceso y eliminacin de documentacin de seguridad, junto con el control de seguridad de los
datos. Estos procedimientos deben definir claramente las categoras de documentacin y datos a
los que se aplican y el nivel de clasificacin basado en la seguridad y sensibilidad.
Pgina 38 de 67

Documentacin y datos deben estar disponibles y accesibles al personal autorizado cuando sea
necesario, bajo condiciones rutinarias y no rutinarias, incluidas las emergencias.
Los Entradas tpicas incluyen los siguientes elementos:
Documentar procedimiento de control, incluyendo responsabilidades y autoridades

asignadas
Los registros de documentos, listas de maestros o ndices
Lista de la documentacin controlada y su ubicacin
Los registros de archivos.
4.4.6 Control operacional

La organizacin debe identificar aquellas operaciones y actividades que son necesarias para lograr:
a) su poltica de gestin de la seguridad
b) el control de las amenazas y riesgos de seguridad identificados
c) el cumplimiento de los requisitos de seguridades reglamentarias legales, estatutarias y de otro
tipo
d) sus objetivos de gestin de la seguridad
e) la ejecucin de sus programas de gestin de la seguridad
f) el nivel requerido de seguridad de la cadena de suministro.
La organizacin debe asegurarse de que estas operaciones y actividades se llevan a cabo en las
condiciones especificadas por:
a) establecer, implementar y mantener procedimientos documentados para controlar situaciones
en las que su ausencia podra llevar al fracaso para lograr las operaciones y actividades que
figuran en 4.4.6 a) al f) anterior
b) evaluar las amenazas planteadas por las actividades de la cadena de suministro de aguas arriba
y la aplicacin de controles para mitigar los impactos a las tesis de la organizacin y otros
operadores de la cadena de suministro de aguas abajo;
c) establecer y mantener los requisitos para los productos o servicios que tienen un impacto sobre
la seguridad y comunicarlas a los proveedores y contratistas.
Pgina 39 de 67

Estos procedimientos deben incluir controles para el diseo, instalacin, operacin, renovacin y
modificacin de los artculos relacionados con la seguridad de los equipos, instrumentacin, etc.,
segn el caso. Cuando los acuerdos existentes son revisadas o nuevas disposiciones introducidas,
que podran tener un impacto en las operaciones y actividades de gestin de la seguridad, la
organizacin debe considerar las amenazas de seguridad asociadas y los riesgos antes de su
aplicacin. Las nuevas o revisadas arreglos que deben considerarse incluirn:
a) revisado de organizacin estructura, roles o responsabilidades
b) la poltica de gestin de seguridad revisada, objetivos, metas y programas
c) los procesos y procedimientos revisados
d) la introduccin de la nueva infraestructura, equipamiento o tecnologa de seguridad, que puede
incluir hardware y / o software
e) la introduccin de nuevos contratistas, proveedores o personal, segn corresponda.
b) Intencin
La organizacin debe establecer y mantener medidas para asegurar la aplicacin efectiva de las
medidas de control y de venta libre, siempre que stas sean necesarias para controlar los riesgos
de seguridad operacional, cumplir con la poltica y objetivos de seguridad, lograr los objetivos de
seguridad y cumplir con los requisitos legales y de otro tipo.

Resultados identificacin de amenazas de seguridad y evaluacin de riesgos
Requisitos legales, reglamentarios y otros identificados.
d) Proceso
La organizacin debe establecer procedimientos para controlar sus riesgos identificados (incluidos
los que podran ser introducidos por los contratistas, los otros socios comerciales de la cadena de
suministro o visitantes), la documentacin de stos en los casos en que un fracaso no hacerlo
puede dar lugar a incidentes, emergencias u otras desviaciones de la poltica de seguridad y los
objetivos de seguridad. Los procedimientos de gestin de riesgos deben ser revisados de forma
regular por su idoneidad y eficacia y los cambios que se han identificado como necesarias deben
aplicarse.
Los procedimientos deben tener en cuenta las situaciones en las que los riesgos se extienden a los
clientes 'u otras partes externas locales o reas de control en otras partes de la cadena de
suministro; por ejemplo, cuando los empleados de la organizacin estn trabajando en el lugar de
Pgina 40 de 67

un cliente. A veces puede ser necesario entrar en consulta con la parte externa de la seguridad en
este tipo de circunstancias.
Algunos ejemplos de reas en las que los riesgos suelen surgir y algunos ejemplos de medidas de
control contra ellos se dan a continuacin.
1) La compra o transferencia de bienes y servicios y el uso de recursos externos
Esto incluye, por ejemplo, los siguientes elementos:
Evaluacin y reevaluacin peridica de las competencias de seguridad de los contratistas
Aprobacin del diseo de normas de seguridad en la nueva planta o equipo.
2) tareas sensibles de seguridad
Esto incluye por ejemplo la siguiente:
Identificacin de tareas sensibles de seguridad

Predeterminacin y aprobacin de los mtodos de trabajo seguros
Precalificacin de personal para tareas sensibles de seguridad
Procedimientos que controlan el ingreso de personal a zonas sensibles de seguridad.
3) Mantenimiento de equipos de seguridad

Esto incluye lo siguiente:
Segregacin y control de acceso

Inspeccin y pruebas de equipos de seguridad relacionados con los sistemas de alta
integridad.

procedimientos
Instrucciones de uso y mantenimiento.
4.4.7 Preparacin para emergencias, respuesta y recuperacin de seguridad

La organizacin debe establecer, implementar y mantener planes y procedimientos adecuados
para identificar el potencial y la respuesta ante incidentes de seguridad y las situaciones de
emergencia y para prevenir y mitigar las posibles consecuencias que pueden estar asociados con
ellos. Los planes y procedimientos debern incluir informacin sobre el suministro y
Pgina 41 de 67

mantenimiento de cualquier equipo, instalaciones o servicios identificados que pueden ser
necesarias durante o despus de los incidentes o situaciones de emergencia.
La organizacin debe revisar peridicamente la efectividad de sus planes y procedimientos de
preparacin, respuesta y recuperacin de la seguridad, en particular despus de la ocurrencia de
incidentes o situaciones de emergencia causadas por las violaciones de seguridad y amenazas. La
organizacin debe realizar pruebas peridicas de estos procedimientos cuando ello sea posible.
b) Intencin
Preparacin, respuesta y recuperacin despus de un incidente de seguridad estn cubiertas por
esta seccin. El trmino preparacin para emergencias significa planes, preparativos y medidas de
precaucin que se implementan tras los sucesos de seguridad no planificados o crisis.
La organizacin debe evaluar activamente posibles necesidades del incidente y de respuesta para
todos los eventos de seguridad potenciales identificados a travs del proceso de evaluacin de la
identificacin de amenazas y riesgos (vase 4.3.1). Los planes de respuesta, procedimientos y
procesos para hacer frente a ellos, prueban respuestas planificadas y buscan mejorar la eficacia de
sus respuestas debe ser desarrollado.
La identificacin de amenazas de seguridad y evaluacin de riesgos
La disponibilidad de los servicios locales de emergencia y los organismos de seguridad y los
detalles de cualquier respuesta de emergencia o
Mecanismos de consulta que se han acordado
Los requisitos reglamentarios, legales o de otro tipo
Experiencias y revisin de incidentes anteriores y situaciones de emergencia y los resultados de la
posterior
acciones
Experiencias organizaciones similares "de los incidentes anteriores y situaciones de emergencia
(lecciones aprendidas, mejores prcticas)
Polica, inteligencia y socorristas de entrada
Revisin de prcticas, ejercicios y simulacros de realizar.
d) Proceso
Pgina 42 de 67

La organizacin debe desarrollar un plan (s) de emergencia, identificar y proveer de emergencia
apropiado arreglos y regularmente probar su capacidad a travs de ejercicios de prctica. La
preparacin para emergencias, la respuesta y planes de recuperacin de proteccin deben incluir
medidas para restablecer la seguridad, la proteccin de los datos y las instalaciones y asegurar la
continuidad de la seguridad.
Simulacros deben probar la efectividad de las partes ms crticas del plan de respuesta de
seguridad (s) y el integridad del proceso de planificacin de emergencia. Mientras que los
ejercicios de escritorio pueden ser tiles en la planificacin proceso, simulacros realistas y
ejercicios deben realizarse. Los resultados de las emergencias y la prctica ejercicios deben ser
evaluados y los cambios que se han identificado como necesarias deben ser implementadas.
1) La respuesta de emergencia y recuperacin seguridad del plan
El plan (s) de respuesta de emergencia y recuperacin seguridad deben delinear las acciones a
tomar cuando situaciones que se especifican surgen y deben incluir lo siguiente:
Identificacin de incidentes y emergencias potenciales
Identificacin de la persona que se haga cargo durante la emergencia
Detalles de las medidas que deben adoptarse por el personal durante una emergencia, incluyendo
aquellas acciones que se deben tomar por personal externo que estn en el lugar de la
emergencia, como contratistas o visitantes (que puede ser necesario, por ejemplo, para pasar a
especificado montaje de puntos de evacuacin)
La responsabilidad, la autoridad y deberes del personal con funciones especficas durante la
emergencia (por ejemplo, seguridad,
Procedimientos de evacuacin
Procedimientos que describen cmo las medidas de seguridad y las condiciones de seguridad sean
reintegrados en el corto y medio plazo
Identificacin, localizacin y proteccin de materiales de seguridad, registros, datos y equipos y
accin de emergencia requiere
Interfaz con los servicios de emergencia y primeros auxilios
Comunicacin con las partes interesadas
Disponibilidad de la informacin necesaria en los dibujos de diseo de plantas de emergencia, por
ejemplo, los datos de seguridad, procedimientos, instrucciones de trabajo y nmeros de telfono
de contacto
Interfaz y comunicacin con otros socios de negocios / comerciales de la cadena de suministro
Pgina 43 de 67

Asegurar la integridad de los sistemas de comunicacin.
La participacin de los organismos externos en la planificacin y la respuesta de emergencia debe
ser claramente documentado. Estos organismos deben ser advertidos de las posibles
circunstancias de su participacin y siempre con la informacin que stas requieren para facilitar
su participacin en las actividades de respuesta.
2) Equipo de seguridad
Las necesidades de equipo de seguridad deben ser identificadas y el equipo deben ser
proporcionados en cantidad adecuada.
Esto se debe probar a intervalos especificados para la operatividad continua.
3) ejercicios de prctica y ejercicios
Simulacros y ejercicios deben llevarse a cabo de acuerdo a un horario predeterminado. Donde
apropiado y posible, la participacin de los servicios de seguridad externos en ejercicios de
prctica debe ser alentado.
Los Entradas tpicas incluyen los siguientes:
Documentado respuesta y recuperacin de seguridad planes y procedimientos de emergencia
Lista de equipos de seguridad
Registros de prueba para equipos de seguridad
Simulacros y ejercicios prcticos
Opiniones de simulacros y ejercicios
Acciones recomendadas derivadas de las revisiones
El progreso en funcin del logro de las acciones recomendadas
Acciones completadas.
Pgina 44 de 67

4.5 Verificacin y accin correctiva
4.5.1 Medicin y monitoreo de desempeo de seguridad

La organizacin debe establecer y mantener procedimientos para monitorear y medir el
desempeo de su
Sistema de gestin de la seguridad. Adems, establecer y mantendr procedimientos para
controlar y medir el
Rendimiento de seguridad. La organizacin debe tener en cuenta las amenazas y los riesgos de
seguridad asociados, incluyendo
Mecanismos de deterioro potenciales y sus consecuencias, al establecer la frecuencia de medicin
y el seguimiento de los parmetros de rendimiento clave. Estos procedimientos prevern:
a) ambas mediciones cualitativas y cuantitativas, adecuadas a las necesidades de la organizacin
b) controlar el grado en que las polticas de gestin de seguridad, objetivos y metas de la
organizacin son cumplido
c) medidas proactivas de desempeo que monitorean el cumplimiento de la gestin de la
seguridad programas, criterios operativos de control y legislacin aplicable, legales y otros de
seguridad los requisitos reglamentarios
Pgina 45 de 67

d) medidas reactivas de desempeo para monitorear deterioros relacionados con la seguridad, los
fracasos, los incidentes, no conformidades (incluyendo cuasi accidentes y las falsas alarmas) y
otras evidencias histricas de deficiente rendimiento del sistema de gestin de la seguridad
e) registrar los datos y resultados de monitoreo y medicin suficientes para facilitar la posterior
correccin y el anlisis de la accin preventiva. Si se requiere un equipo de supervisin de
rendimiento y / o medicin y seguimiento, la organizacin deber requerir el establecimiento y
mantenimiento de procedimientos para la calibracin y mantenimiento de dichos equipos. Los
registros de calibracin y actividades de mantenimiento y los resultados debern conservarse
durante el tiempo suficiente para cumplir con la legislacin y la poltica de la organizacin.
b) Intencin
La organizacin debe identificar los indicadores clave de rendimiento para su desempeo de
seguridad en toda la organizacin y de la cadena de suministro que tampoco controla o tiene
influencia sobre. Estos deben incluir, pero no limitarse a, indicador mensurable que determinar si:
Se estn logrando los objetivos de la poltica de seguridad y de seguridad
Amenazas estn siendo controlados y / o mitigados, segn proceda si las contramedidas han sido
implementadas y son eficaces
Lecciones estn siendo aprendidas de los fallos del sistema de gestin de seguridad, incluyendo los
incidentes de seguridad y perdidas
Programas de sensibilizacin, formacin, comunicacin y consulta para los empleados y las partes
interesadas estn efectiva
Informacin que se puede utilizar para revisar y mejorar los aspectos del sistema de gestin de la
seguridad est siendo producido y que se utiliza.
Insumos tpicos incluyen los siguientes:
La identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de riesgos (vase
4.3.1)
Requisitos de la legislacin, los reglamentos, las mejores prcticas (en su caso)
Procedimiento para tratar las no conformidades
Pgina 46 de 67

Ensayo y calibracin registros del equipo de seguridad (incluyendo los pertenecientes a
contratistas)
Registros de formacin (incluidos los pertenecientes a contratistas)
Informes de gestin.
d) Proceso
1) La supervisin proactiva y reactiva
Sistema de gestin de la seguridad de una organizacin debera incorporar tanto la supervisin
proactiva y reactiva de la siguiente manera:
Supervisin proactiva debe utilizarse para comprobar la conformidad con las actividades
de seguridad de la organizacin, por ejemplo, mediante el control de la frecuencia y
eficacia de las inspecciones de seguridad monitoreo reactivo se debe utilizar para
investigar, analizar y registrar sistema de gestin de la seguridad
Monitoreo reactivo se debe utilizar para investigar, analizar y registrar las fallas del
sistema de gestin de seguridad - incluyendo las emergencias e incidentes de seguridad.
Tanto los datos de monitoreo proactivos y reactivos se utilizan a menudo para determinar si se
cumplen los objetivos de seguridad.
2) Tcnicas de medicin
Los siguientes son algunos ejemplos de mtodos que pueden utilizarse para medir el rendimiento
de seguridad:
Resultados de la identificacin de riesgos de seguridad, los procesos de evaluacin y control de
riesgos, como el cumplimiento con la OMA Marco Normativo y Aduanas de los Estados Unidos Comercio contra Terrorismo (CTPAT)
Inspecciones sistemticas utilizando listas de comprobacin
Inspecciones de seguridad
Evaluacin de nuevos sistemas de logstica de la cadena de suministro
Revisin y evaluacin resultante logstica patrones estadsticos
Inspecciones de equipos de seguridad para comprobar que estn en buen estado
Disponibilidad y eficacia de utilizacin de personal con experiencia en seguridad reconocida o
formal
Muestreo comportamiento: evaluar el comportamiento de los trabajadores para identificar las
prcticas de seguridad pobres que podran requerir la correccin
Pgina 47 de 67

Anlisis de la documentacin y los registros
Evaluacin comparativa de las buenas prcticas de seguridad en otras organizaciones
Encuestas para determinar las actitudes de los empleados para detectar comportamientos
sospechosos
La retroalimentacin de las partes interesadas.
Las organizaciones necesitan para decidir qu monitorear y con qu frecuencia los controles
deberan efectuarse en funcin del nivel de riesgo (vase 4.3.1). Un programa de inspeccin
basado en la identificacin de amenazas de seguridad y evaluacin de riesgos resultados, la
legislacin y los reglamentos deben estar preparados como parte del sistema de gestin de la
seguridad.
La supervisin de seguridad de rutina de los procesos, nodos logsticos, socios comerciales,
actividades de la cadena de suministro y las prcticas debe llevarse a cabo de acuerdo con un
esquema de monitoreo documentado por personal autorizado, que tambin deberan realizar
controles sobre el terreno de las tareas crticas para asegurar la conformidad con los
procedimientos de seguridad y cdigos de la prctica. Para ayudar en la realizacin de
inspecciones y controles sistemticos, se pueden utilizar las listas de verificacin.
3) Equipo de seguridad
Equipo de seguridad que se utiliza para controlar y garantizar la seguridad (por ejemplo, cmaras,
vallas, puertas, alarmas, etc.) debe aparecer, identificada y controlada. La precisin de este equipo
debe ser conocido.
Cuando sea necesario, los procedimientos escritos deben estar disponibles que describe cmo se
llevan a cabo medidas de seguridad. El equipo utilizado para la seguridad debe mantenerse de
forma adecuada y debe ser capaz de realizar lo necesario.
Cuando sea necesario, un plan de calibracin y mantenimiento debe ser documentado e
implementado por el equipo de seguridad. Este plan debera incluir los siguientes elementos:
La frecuencia de calibracin y mantenimiento
Referencia a los mtodos de prueba, en su caso
Identidad del equipo a utilizar para la calibracin
Medidas que deben adoptarse cuando el equipo de seguridad especificado se encuentra fuera de
calibracin.
Calibracin y mantenimiento deben llevarse a cabo en condiciones apropiadas. Los
procedimientos deben ser preparados para calibraciones crticos o difciles.
Pgina 48 de 67

El equipo utilizado para la calibracin debe realizarse de acuerdo con las normas nacionales
cuando existen dichas normas.
Si no existen tales normas, la base de los niveles utilizados debe ser documentada.
Se deben mantener registros de todas las calibraciones, las actividades de mantenimiento y
resultados. Los registros deberan dar detalles de las mediciones antes y despus del ajuste.
El estado de la calibracin de equipos de seguridad debe estar claramente identificado para los
usuarios.
Equipo de seguridad cuya calibracin o mantenimiento de estado es desconocido o que se sabe
que es de calibracin, no debe utilizarse. Adems, debe ser removido de uso y estar claramente
etiquetado, o marcado de otro modo, para evitar el mal uso. Dicha seal debera ser de acuerdo
con escrito procedimientos. Los procedimientos deben incluir la identificacin del estado de la
calibracin del producto. La no conformidad se debe emitir para documentar las acciones
tomadas. Los procedimientos deberan incluir un plan de accin si el equipo fuera de calibracin se
descubre.
4) Inspecciones
i) Equipo
Un inventario (con identificacin nica de todos los elementos) debe elaborarse de todos los
equipos de seguridad. Tal equipo debe ser inspeccionado segn sea necesario y se debe incluir en
los planes de inspeccin.
ii) Inspecciones de seguridad
Inspecciones de seguridad deben llevarse a cabo, pero stas no deben absolver a personal
autorizado de la realizacin de inspecciones peridicas o de la identificacin de las amenazas de
seguridad.
iii) Los registros de inspeccin
Un registro debe mantenerse de todas las inspecciones de seguridad realizadas. Los registros
deben indicar si o no los procedimientos de seguridad documentados fueron llegando a ser como.
Los registros de las inspecciones de seguridad, viajes, estudios y auditoras de sistemas de gestin
de la seguridad deben tomarse muestras para identificar las causas subyacentes de la no
conformidad y riesgo de seguridad repetitiva. Se debe tomar todas las medidas preventivas
necesarias. Seguridad situaciones y equipo no conforme identificadas durante las inspecciones que
amenaza debe ser documentado como no conformidades, evaluados en cuanto a riesgo y
corregidas de acuerdo con el procedimiento de no conformidad.
5) equipos de Proveedor (contratista)
Pgina 49 de 67

Equipo de seguridad utilizado por los contratistas debe estar sujeto a los mismos controles que el
equipo de la casa.
Los contratistas deben estar obligados a dar garantas de que su equipo cumple con estos
requisitos.
Antes de iniciar el trabajo, el proveedor debe proporcionar una copia de su prueba y
mantenimiento de equipos registros para cualquier equipo crtico identificado que requiere este
tipo de registros. Si las tareas requieren un entrenamiento especial, los registros de capacitacin
correspondientes deberan ser proporcionados al cliente para su revisin.
6) las tcnicas de anlisis tericos estadsticos u otros
Cualquier tcnica analtica terica estadstico u otro utilizado para evaluar la situacin de
seguridad, para investigar un incidente de seguridad o el fracaso o para ayudar en la toma de
decisiones en materia de seguridad deben basarse en sonido principios cientficos. La alta
direccin debe asegurarse de que la necesidad de tales tcnicas se identifica. Donde Sistemas de
Gestin de Seguridad de la Cadena de Suministro necesario, las directrices para su uso deben ser
documentados, junto con las circunstancias en que se encuentran apropiado.
Procedimiento (s) para el seguimiento de la eficacia de las medidas de seguridad

Calendarios y listas de verificacin de inspeccin
Listas de verificacin de inspeccin de equipos
Listas de equipos de seguridad
Arreglos de calibracin y los registros de calibracin
Actividades y resultados de mantenimiento
Listas de verificacin completadas, los informes de inspeccin (salidas de auditora del
sistema de gestin de seguridad, ver 4.5.4 )
Informes de no conformidad
Evidencia de los resultados de la aplicacin de dicho procedimiento (s).
4.5.2 Evaluacin del Sistema

La organizacin debe evaluar los planes de gestin, procedimientos y capacidades de seguridad a
travs de peridicos opiniones, ensayos, informes posteriores a los incidentes y lecciones
aprendidas evaluaciones de desempeo y ejercicios.
Los cambios significativos en estos factores deben reflejarse de inmediato en el procedimiento (s).
Pgina 50 de 67

La organizacin debe evaluar peridicamente el cumplimiento de leyes y reglamentos pertinentes,
la industria mejores prcticas y conformidad con su propia poltica y los objetivos.
La organizacin debe mantener los registros de los resultados de las evaluaciones peridicas.
b) Intencin
Las organizaciones deben contar con procedimientos eficaces para la revisin y evaluacin de los
planes de gestin de seguridad, procedimientos y capacidades de su organizacin para cumplir con
sus polticas y objetivos y metas.
La organizacin tambin debe revisar peridicamente el cumplimiento de los requisitos
reglamentarios aplicables.
El propsito principal de estos procedimientos es asegurar que los planes y procedimientos de
seguridad se mantienen hasta la fecha y de acuerdo con las cambiantes exigencias y necesidades.
Estos cambios deben ser oportunas y tener plenamente en cuenta cualquier cambio en las
regulaciones de la cadena de suministro, las mejores prcticas y lecciones aprendidas.
Insumos tpicos deben incluir:
Informes de incidentes
Los resultados de la planificacin de incidentes y ejercicios de preparacin
Informes de identificacin de amenazas, la evaluacin de riesgos y de control de riesgos
Seguridad de auditora del sistema de gestin de informes, incluidos los informes de no
conformidad
Informes de incidentes y / o del peligro
Informes y acciones de revisin por la direccin (vase 4.6)
Avances en el logro de los objetivos
Cambios en los requisitos reglamentarios
Cambios en las expectativas de las partes interesadas y los interesados
Cambios en el alcance del trabajo, actividades y organizaciones de base de clientes.
d) Proceso
La gerencia de la organizacin debe a intervalos apropiados a cabo revisiones de su gestin de la
seguridad sistema para establecer y garantizar su adecuacin y eficacia. Los intervalos deben ser
suficientemente corto para que los fallos de los sistemas pueden ser identificados antes de que
surjan los daos consecuentes.
El resultado de sistemas eficaces y su aplicacin, la consecucin del objetivo y la poltica con EB
Pgina 51 de 67

Mejora Continua, uno de los principios desanclaje de la norma ISO / PAS 28000. El proceso y los
procedimientos requerida por la clusula 4.5.2 se asegurar de que esto se logra.
Los salidas tpicas y los resultados son:
Mejora de los procesos y el rendimiento

Reduccin de los informes de no conformidad
Cumplimiento legal
Actualiza la identificacin de amenazas, los informes de evaluacin de riesgos y registros
de riesgos
Mejora de los procesos
Evidencia de las evaluaciones de la eficacia de las acciones correctivas y preventivas
adoptadas.
4.5.3 fallos relacionados con la seguridad, incidentes, no conformidades y acciones correctivas y

preventivas
La organizacin debe establecer, implementar y mantener procedimientos para definir la
responsabilidad y autoridad para:
a) la evaluacin y la marcha de acciones preventivas para identificar posibles fallas de seguridad a
fin de que pueda evitar que se produzca
b) relacionadas con la seguridad de la investigacin:
1) fallas incluyendo cuasi accidentes y las falsas alarmas
2) incidentes y situaciones de emergencia
3) no conformidades
c) tomar medidas para mitigar las consecuencias derivadas tales fallas, incidentes o no
conformidades
d) el inicio y la finalizacin de las acciones correctivas
e) la confirmacin de la eficacia de las acciones correctivas tomadas.
Estos procedimientos deben exigir que todas las acciones correctivas y preventivas propuestas son
revisadas a travs de la amenaza a la seguridad y el proceso de evaluacin de riesgos antes de su
aplicacin a menos que la aplicacin inmediata anticipa exposiciones inminente para la vida o la
seguridad pblica.
Pgina 52 de 67

Cualquier accin correctiva o preventiva tomada para eliminar las causas de no conformidades
reales y potenciales debe ser proporcional a la magnitud de los problemas detectados y ajustada la
seguridad de administracin de amenazas y riesgos probables relacionadas a ser encontrados. La
organizacin debe implantar y registrar cualquier cambio en los procedimientos documentados
que resulta de acciones correctivas y preventivas, y comprender la requerida formacin cuando
sea necesario.
b) Intencin
Las organizaciones deben contar con procedimientos eficaces para la presentacin de informes y
la evaluacin y / o la investigacin de las situaciones de emergencia, incidentes de seguridad y no
conformidades. El propsito principal del procedimiento (s) es para evitar una mayor ocurrencia
de la situacin mediante la identificacin y el tratamiento de la causa (s) raz. Adems, los
procedimientos deberan permitir la deteccin, anlisis y eliminacin de las causas potenciales de
no conformidades incluidas las resultante de humano, sistema, proceso o fracasos y errores del
equipo.
Procedimientos (en general)

Plan de emergencia
La identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de riesgos
Los informes de auditora del sistema de gestin de seguridad, incluidos los informes de
no conformidad
Los incidentes de seguridad y los informes de amenazas a la seguridad
Informes de mantenimiento y servicio de equipos de seguridad.
d) Proceso
Se requiere que la organizacin para preparar procedimientos documentados para asegurar que
los incidentes de seguridad y no conformidades se investigan y las acciones correctivas y / o
preventivas iniciadas. El progreso en la realizacin de las acciones correctivas y preventivas deben
ser monitoreados y la eficacia de este tipo de acciones revisadas.
1) Procedimientos
Los procedimientos deben incluir la consideracin de los siguientes elementos:
i) General
El procedimiento debera:
Definir las responsabilidades y autoridad de las personas que participan en ejecucin,
comunicacin, investigacin,
Pgina 53 de 67

Seguimiento y monitoreo de las acciones correctivas y preventivas
Requieren que todas las no conformidades, se reportaron incidentes de seguridad y amenazas de
seguridad
Aplicar a todo el personal (es decir, empleados, trabajadores temporales, personal de los
contratistas, visitantes y cualquier otra persona involucrada en la cadena de suministro)
Tener en cuenta los impactos a los interesados
Asegurar que ningn empleado se le critica por la comunicacin de incidentes de seguridad
Definir claramente el curso de accin a tomar despus de las no conformidades identificadas en la
seguridad Sistema de gestin.
ii) La accin inmediata
La accin inmediata para corregir el incidente de seguridad se deben tomar cuando no
conformidades, la seguridad incidentes o amenazas se identifican en primer lugar. Los
procedimientos deben:
Definir el proceso de notificacin
En su caso, incluir la coordinacin con los planes y procedimientos de emergencia
Definir la escala del esfuerzo de investigacin en relacin con la amenaza potencial o real (por
ejemplo, incluya gestin en la investigacin de los incidentes de seguridad graves).
iii) Grabacin
Medios apropiados deben ser utilizados para registrar la informacin sobre los hechos y los
resultados de la inmediata la investigacin y la investigacin detallada posterior. La organizacin
debe asegurarse de que los procedimientos se siguen para:
Registrar los detalles de la no-conformidad, incidentes de seguridad o amenazas a la seguridad
definir dnde se van a almacenar y responsabilidad para el almacenamiento de los registros.
iv) Investigacin
Los procedimientos deben definir cmo se debe manejar el proceso de investigacin. Los
procedimientos deben identificar:
El tipo de actos que se han investigado (por ejemplo, los incidentes que podran haber conducido a
la amenaza grave)
El objetivo de las investigaciones
Pgina 54 de 67

Que es investigar, la autoridad de los investigadores, las calificaciones requeridas (incluyendo la
lnea Cuando la direccin apropiada)
La causa de la no conformidad arreglos para entrevistas de testigos
Cuestiones prcticas tales como la disponibilidad de cmaras y almacenamiento de pruebas
Arreglos de presentacin de informes de investigacin, incluyendo la presentacin de informes a
las partes interesadas pertinentes.
Personal de investigacin deben comenzar su anlisis preliminar de los hechos, mientras que hay
ms informacin recogida. Recogida y anlisis de datos deben continuar hasta que una adecuada y
suficientemente completo se obtiene explicacin.
v) La accin correctiva
Las acciones correctivas se toman acciones para identificar la causa raz (s) de las no
conformidades y de seguridad
Incidentes y tomen medidas con el fin de prevenir la repeticin. Ejemplos de elementos a
considerar en establecer y mantener procedimientos de acciones correctivas incluyen:
La identificacin y aplicacin de medidas correctivas y preventivas, tanto para el corto plazo, ya
que as como a largo plazo (esto tambin puede incluir el uso de fuentes de informacin
adecuadas, como el asesoramiento de empleados con experiencia en seguridad)
Evaluacin de impacto sobre amenazas a la seguridad y los resultados de evaluacin de
identificacin de riesgos y cualquier necesidad para actualizar la identificacin de amenazas de
seguridad, evaluacin de riesgos y el informe de gestin del riesgo (s)]
Grabar los cambios necesarios en los procedimientos que resultan de la accin correctiva o
amenaza a la seguridad
Identificacin, evaluacin y gestin de riesgos
Aplicacin de la gestin de riesgos o la modificacin de la gestin del riesgo existente, para
asegurar que correctiva se toman acciones y que son eficaces.
vi) La accin preventiva
Las acciones preventivas son las medidas adoptadas para impedir que los no conformidades de
seguridad potencial que se produzcan.
Ejemplos de elementos a considerar para establecer y mantener procedimientos de actuacin
preventivas incluyen:
Pgina 55 de 67

Uso de fuentes adecuadas de informacin como los resultados de las acciones correctivas,
incidente de seguridad
Las tendencias, los informes de auditora del sistema de gestin de seguridad, evaluaciones de
riesgos actualizadas, informacin nueva sobre
La seguridad, el asesoramiento de los empleados y las partes interesadas con experiencia en
seguridad, etc.
Grabacin de cualquier cambio en los procedimientos que resultan de la accin preventiva y la
presentacin para su aprobacin.
vii) Seguimiento
La accin correctiva o preventiva tomada debe ser lo ms eficaz posible. Los cheques deben
hacerse en la eficacia de las acciones correctivas / preventivas tomadas. Actuaciones destacadas /
atrasados deben ser reportados al principio de la gestin en la primera oportunidad.
2) Anlisis no-conformidad y de incidentes de seguridad
Las causas de las no conformidades e incidentes de seguridad deben ser clasificados y analizados
de forma regular base para permitir un anlisis de las causas que se realizar. Frecuencia y
gravedad de calificaciones deben ser banco marcada con otros actores de la cadena de suministro.
Lo siguiente debe ser incluido en la categorizacin y anlisis:
Tasas de frecuencia o gravedad de incidentes de seguridad notificables

Ubicacin, actividad involucrada, agencia involucrada, el da, la hora del da (segn sea el
caso)
Tipo y el grado o el impacto a las instalaciones, la cadena de suministro, etc
Causas directas y races.
Debido debera prestarse atencin a incidentes de seguridad. Todos los incidentes de
seguridad podran ser un indicador de una garanta amenaza o vulnerabilidad.
Conclusiones vlidas sern dibujadas y acciones correctivas tomadas. Este anlisis debera
distribuirse al principio gestin e incluido en la revisin por la direccin (vase 4.6 ).
3) Los resultados del monitoreo y la comunicacin

La eficacia de las investigaciones y la presentacin de informes de seguridad se deben evaluar. La
evaluacin debe ser objetiva y debe producir un resultado cuantitativo que sea posible.
La organizacin, habiendo aprendido de la investigacin, debe:
Pgina 56 de 67

Identificar las causas originarias de las deficiencias en el sistema de gestin de la seguridad y la
gestin general - de la organizacin, en su caso
Comunicar las conclusiones y recomendaciones a la administracin y las partes interesadas
pertinentes (vase 4.4.3 )
Incluir las conclusiones y recomendaciones pertinentes de las investigaciones en la revisin de la
seguridad de continuar proceso
Supervisar la aplicacin oportuna de los controles correctivos y su posterior eficacia con el tiempo
Aplicar las lecciones aprendidas de la investigacin de los no conformidades e incidentes de
seguridad a travs de toda su organizacin, la cadena de suministro que controla y tiene influencia
sobre, centrndose en los principios generales involucrados, en lugar de limitarse a la accin
especfica diseada para evitar la repeticin de una precisin similares evento en la misma rea de
la organizacin.
4) Mantenimiento de registros
Esto se puede lograr rpidamente y con un mnimo de planificacin formal o puede ser una
actividad ms complejo y largo plazo. La documentacin correspondiente debe ser apropiada para
el nivel de la accin correctiva.
Informes y sugerencias debern enviarse al representante de la alta direccin para el anlisis y la
retencin (ver 4.5.4).
La organizacin debe mantener un registro de los incidentes de seguridad. Tal registros pueden ser
requeridos por los reguladores de la cadena de suministro.
Los Entradas salidas tpicas incluyen los siguientes elementos:
Incidente de seguridad y procedimiento de no conformidad

Registro de no conformidad
Informes de investigacin
Informes de identificacin de riesgos de seguridad actualizado, evaluacin de riesgos y
gestin de riesgos
Entrada de revisin por la direccin
Evidencia de las evaluaciones de la eficacia de las acciones correctivas y preventivas
adoptadas.
4.5.4 Control de los registros

Pgina 57 de 67

La organizacin debe establecer y mantener los registros que sean necesarios para demostrar la
conformidad con los requisitos de su sistema de gestin de la seguridad y de la presente norma y
los resultados obtenidos.
La organizacin debe establecer, implementar y mantener un procedimiento (s) para la
identificacin, almacenamiento, proteccin, recuperacin, retencin y disposicin de los registros.
Los registros deben ser y permanecer legibles, identificables y trazables.
Documentacin electrnica y digital, se dictarn a prueba de manipulaciones, de forma segura con
copia de seguridad y accesible slo para personal autorizado.
b) Intencin
Se deben mantener registros para demostrar que el sistema de gestin de la seguridad opera con
eficacia. Registros de seguridad que admiten el sistema de gestin y su conformidad con los
requisitos deben estar preparados, mantenido, sean legibles y debidamente identificados.
Records (utilizados para demostrar la conformidad con los requisitos) que debe mantenerse
incluye los siguientes elementos:
Registros de formacin y competencia

Los informes de inspeccin de seguridad
No conformidades de seguridad
Resultados de las acciones preventivas y correctivas
Los informes de auditora del sistema de gestin de seguridad
Actas de las reuniones de seguridad
Informes de ejercicios de seguridad y simulacros
Revisiones de la direccin
Registros de identificacin de amenazas a la seguridad, evaluacin de riesgos y gestin de
riesgos.
d) Proceso
El requisito de la norma ISO 28000 / PAS es en gran parte explica por s mismo. Sin embargo, la
consideracin adicional debe ser tambin dado a los siguientes elementos:
La autoridad para la eliminacin de los registros de seguridad
Confidencialidad (marca de proteccin) de los registros de seguridad
Los requisitos legales y de otro tipo sobre la conservacin de los registros de seguridad
Cuestiones relacionadas con el uso de registros electrnicos.
Pgina 58 de 67

Registros de seguridad deben ser llenadas completamente, legibles y debidamente identificados.
Los tiempos de retencin de registros de la seguridad deben ser definidos. Los registros deben ser
almacenados en un lugar seguro, fcilmente recuperables y protegidos contra el deterioro.
Registros de seguridad crticas deben ser protegidos de posibles incendios y otros daos en su
caso y como exige la ley.
Procedimiento (para la identificacin, mantenimiento y disposicin de los registros de seguridad)
Adecuadamente almacenados y los registros de seguridad fcilmente recuperables.
4.5.5 Auditora
La organizacin debe establecer, implementar y mantener un programa de auditora de gestin de
la seguridad y deber
Asegurar que las auditoras del sistema de gestin de la seguridad se llevan a cabo a intervalos
planificados, con el fin de:
a) determinar si el sistema de gestin de la seguridad:
1) cumple los planes establecidos para la gestin de seguridad, incluyendo los requisitos de la toda
la Clusula 4 del presente Especificacin Disponible al Pblico
2) se ha implementado y mantenido
3) es (son) eficaz en el cumplimiento de la poltica y los objetivos de gestin de seguridad de la
organizacin
b) revisar los resultados de las auditoras previas y las medidas adoptadas para corregir las no
conformidades
c) proporcionar informacin sobre los resultados de las auditoras a la gestin
d) verificar que el equipo de seguridad y el personal se implementan adecuadamente.
El programa de auditora, incluyendo su planificacin, se basar en los resultados de las
evaluaciones de riesgos y amenazas de las actividades de la organizacin y los resultados de
auditoras previas. Los procedimientos de auditora deben cubrir el alcance, frecuencia,
metodologas y competencias, as como las responsabilidades y los requisitos para llevar a cabo
auditoras e informar de los resultados. Siempre que sea posible, las auditoras se llevarn a cabo
Pgina 59 de 67

por personal independiente de aquellos que tiene la responsabilidad directa de la actividad que se
examina.
NOTA: La frase "personal independiente" no significa necesariamente que el personal externo a la
organizacin.
b) Intencin
Las auditoras internas del sistema de gestin de seguridad de una organizacin debe llevar a cabo
a intervalos planificados para determinar y proporcionar informacin a la direccin sobre si el
sistema se ajusta a los procedimientos requisitos y las exigencias de la totalidad de la clusula 4 de
la norma ISO / PAS 28000: 2005 y ha sido correctamente implementado y mantenido. Tambin se
pueden realizar para identificar oportunidades de mejora a un sistema de gestin de seguridad de
la organizacin. En general, las auditoras del sistema de gestin de la seguridad deben tener en
cuenta la poltica de seguridad y los procedimientos y las condiciones y prcticas aplicables a la
cadena de suministro.
Un programa interno de auditora del sistema de gestin de la seguridad debe ser establecida para
permitir que la organizacin revisar su propia conformidad de su sistema de gestin de seguridad
de la norma ISO 28000 / PAS y otros requisitos como definida dentro del alcance de sus
operaciones. Auditoras de sistemas de gestin de seguridad planificada deben llevarse a cabo por
personal de dentro de la organizacin y / o por parte de personal externos seleccionados por la
organizacin, a establecer el grado de conformidad con los procedimientos de seguridad
documentados y evaluar si el sistema es eficaz en el cumplimiento de los objetivos de seguridad
de la organizacin. El personal que realice la seguridad auditoras de sistemas de gestin debe
estar en condiciones de hacerlo de manera imparcial y objetiva.
NOTA: Auditoras del sistema de gestin de la seguridad interna se centran en el rendimiento del
sistema de gestin de la seguridad.
No deben confundirse con seguridad, revisin, evaluaciones u otras inspecciones de seguridad.
Declaracin de poltica de seguridad
Objetivos de seguridad
Procedimientos e instrucciones de seguridad
Resultados de la identificacin amenaza a la seguridad, evaluacin de riesgos y gestin de riesgos
Legislacin y las mejores prcticas (si procede)
Pgina 60 de 67

Procedimientos de auditora del sistema de gestin de seguridad
Auditor competente, independiente, interno / externo (s)
Procedimiento de no conformidad
Ejercicios y simulacros de seguridad
Informacin de amenaza a la seguridad de las agencias externas.
d) Proceso
1) Auditoras
Auditoras de sistemas de gestin de seguridad proporcionan una evaluacin completa y formal de
la conformidad de la organizacin con los procedimientos y prcticas de seguridad.
Seguridad auditoras de sistemas de gestin deben llevarse a cabo de acuerdo con las
disposiciones planificadas. Adicional auditoras deben realizarse segn las circunstancias. Por
ejemplo, tras los incidentes que tienen un impacto en la seguridad sistema, cambia a la
organizacin o las instalaciones o el alcance de la cadena de suministro.
Auditoras de sistemas de gestin de seguridad deben ser realizadas nicamente por competentes,
independientes, personal con autorizacin de seguridad apropiada para las zonas objeto de la
auditora.
La salida de un sistema de auditora de gestin de la seguridad debe incluir una evaluacin
detallada de la eficacia de los procedimientos de seguridad, el nivel de cumplimiento de los
procedimientos y prcticas, y debera, en su caso, identificar las acciones correctivas. Los
resultados de las auditoras de sistemas de gestin de seguridad deben ser registrados y
reportados a la administracin, en el momento oportuno.
NOTA: Los principios generales y los mtodos descritos en la norma ISO 19011 son apropiados
para la gestin de la seguridad la auditora del sistema.
2) Programacin
Un plan, por lo general sobre una base anual, debe estar preparado que los horarios de
administracin de la seguridad interna auditoras de sistemas. Las auditoras del sistema de
gestin de la seguridad deben dirigirse a todas las acciones contempladas en el sistema de gestin
de seguridad y evaluar su conformidad con la norma ISO 28000 / PAS.
La frecuencia y la cobertura de las auditoras del sistema de gestin de seguridad deben estar
relacionados con los riesgos asociada con los diversos elementos del sistema de gestin de la
seguridad, los datos disponibles sobre la
Pgina 61 de 67

Funcionamiento del sistema de gestin de la seguridad, la salida de revisiones por la direccin y la
medida en que el sistema de gestin de la seguridad o el medio ambiente en el que opera estn
sujetos a cambios.
,, Auditoras de sistemas de gestin de seguridades no programadas, adems, deben llevarse a
cabo, si se producen situaciones que les garantiza, por ejemplo, despus de un incidente de
seguridad.
3) Apoyo a la gestin
Para la auditora de sistemas de gestin de la seguridad para ser de valor es necesario que la alta
direccin est plenamente comprometida con el concepto de auditora y su aplicacin efectiva en
la organizacin. La alta direccin debera considerar las conclusiones y recomendaciones de
auditora y tomar las medidas apropiadas en caso necesario, en un plazo adecuado. Una vez que
se ha acordado que un sistema de auditora de gestin de la seguridad debe llevarse a cabo debe
ser completado de manera imparcial. Todo el personal pertinentes deben ser informados de los
fines de la auditora y los beneficios. El personal debe ser alentado a cooperar plenamente con los
auditores y de responder a sus preguntas de manera honesta y constructiva.
4) Auditores
Una o ms personas pueden llevar a cabo auditoras de sistemas de gestin de la seguridad. Un
enfoque de equipo puede ampliar la participacin y mejorar la cooperacin. Un enfoque de
equipo puede tambin permitir una gama ms amplia de conocimientos especializados y
conocimientos para ser utilizada.
Los auditores deben ser independientes de la parte de la organizacin o de la actividad que se va a
auditar y si es necesario estar habilitado para las reas que estn siendo auditados.
Los auditores deben entender su tarea y ser competente para llevarla a cabo. Ellos necesitan tener
la experiencia y el conocimiento de las normas pertinentes, cdigos de prcticas y sistemas que
estn auditando para que puedan evaluar el desempeo e identificar deficiencias. Los auditores
deben estar familiarizados con los requisitos establecidos en la legislacin pertinente. Adems, los
auditores deben conocer y tener acceso a, normas y orientacin autorizada relevante para el
trabajo que se dedican.
5) la recoleccin e interpretacin de datos
Estn emprendiendo las tcnicas y auxiliares utilizados en la recogida de la informacin depender
de la naturaleza del sistema de control de gestin de la seguridad. El sistema de control de gestin
de seguridad debe asegurar que una muestra representativa de las actividades esenciales es
auditada y que el personal correspondiente (incluidos los representantes de seguridad de los
empleados, en su caso) son entrevistadas. La documentacin pertinente debe ser examinado. Esto
puede incluir la siguiente documentacin:
Pgina 62 de 67

Documentacin del sistema de gestin de la seguridad
Declaracin de poltica de seguridad
Objetivos de seguridad
Los resultados de los ejercicios de seguridad y simulacros
procedimientos
Actas de las reuniones de seguridad
Los informes o la comunicacin de la aplicacin de la seguridad u otros organismos reguladores
(verbal, cartas, avisos, etc.)
Registros y certificados obligatorios
Registros de formacin
Los informes de auditora del sistema de gestin de seguridad anteriores
Solicitudes de acciones correctivas
Informes de no conformidad.
Siempre que sean posibles las listas de chequeo deben ser construidos en los procedimientos de
auditora del sistema de gestin de seguridad para ayudar a evitar una interpretacin errnea o
aplicacin indebida de los datos recogidos, informacin u otros registros.
6) Resultados de la auditora
El contenido del sistema de informe final de auditora de gestin de la seguridad debe ser claro,
precisa y completa. Ella deber ir fechada y firmada por el auditor. Se debe, segn el caso,
contener los siguientes elementos:
El sistema de gestin de seguridad de objetivos de la auditora y el alcance

Los pormenores del plan de auditora del sistema de gestin de la seguridad, la
identificacin de los miembros del equipo de auditora y el auditados representantes, las
fechas de la auditora y la identificacin de las reas temticas para auditar
La identificacin de los documentos de referencia utilizada para llevar a cabo el sistema de
auditora de gestin de la seguridad (Por ejemplo, ISO / PAS 28000, gestin de seguridad
manual) detalles de las no conformidades identificadas la evaluacin del auditor del
grado de conformidad con la norma ISO 28000 / PAS la capacidad del sistema de gestin
de la seguridad para lograr los objetivos de gestin de seguridad establecidos la
distribucin del informe final de auditora del sistema de gestin de la seguridad.
Los resultados de las auditoras del sistema de gestin de la seguridad deben ser
alimentados de nuevo a todas las partes pertinentes lo antes posible, para permitir que las
Pgina 63 de 67
acciones correctivas que se tomarn. Un plan de accin con las medidas correctoras
acordadas debe ser elaborado junto con la identificacin de las personas responsables,
fechas de finalizacin y los requisitos de presentacin de informes.
Sistema de seguimiento de monitoreo se deben establecer para garantizar la aplicacin
satisfactoria de la recomendaciones.
Una revisin de los resultados debe ser llevada a cabo por la direccin y la accin
correctiva tomada efectiva (donde es necesario).
Seguimiento (no programada) las auditoras debe llevarse a cabo para examinar la
aplicacin efectiva de correctivo acciones.
La confidencialidad debera ser considerada cuando la grabacin y registro de la
informacin contenida en los informes de auditora del sistema de gestin de seguridad.

Gestin de la seguridad del plan / programa de auditora del sistema
Procedimientos de auditora del sistema de gestin de seguridad
Los informes de auditora del sistema de gestin de seguridad, incluidos los informes de no
conformidad, recomendaciones y
Solicitudes de acciones correctivas
firmadooff / informes de no conformidad cerrados a cabo
Evidencia de la notificacin de los resultados del sistema de gestin de seguridad de las auditoras.
4.6 Revisin por la Direccin y mejora contina
Pgina 64 de 67

Figura 6 - Revisin por la Direccin
La alta direccin debe revisar el sistema de gestin de seguridad de la organizacin, a intervalos
planificados, para asegurarse de su conveniencia, adecuacin y eficacia. Estas revisiones deben
incluir la evaluacin de oportunidades para la mejora y la necesidad de cambios en el sistema de
gestin de la seguridad, incluida la poltica de seguridad y los objetivos y las amenazas y riesgos de
seguridad. Los registros de las revisiones por la direccin, se conservarn. Entrada a revisiones por
la direccin deben incluir
a) los resultados de las auditoras y evaluaciones de cumplimiento con los requisitos legales y otros
requisitos que la organizacin suscriba,
b) Comunicacin (s) de las partes interesadas externas, incluidas las quejas,
c) el rendimiento de la seguridad de la organizacin,
d) el grado de cumplimiento de los objetivos y metas,
e) estado de las acciones correctivas y preventivas,
f) las acciones de seguimiento de revisiones por la direccin previas,
g) cambios en las circunstancias, incluyendo la evolucin legal y otros requisitos relacionados con
su seguridad aspectos, y
h) las recomendaciones para la mejora.
Los resultados de las revisiones por la direccin deben incluir todas las decisiones y acciones
relacionadas con posibles cambios a la poltica de seguridad, objetivos, metas y otros elementos
del sistema de gestin de la seguridad, de acuerdo con el compromiso de mejora continua.
b) Intencin
La alta direccin debe revisar el funcionamiento del sistema de gestin de la seguridad para
evaluar si sigue siendo aplicado plenamente y sigue siendo adecuado y eficaz para el logro de la
seguridad declarada de la organizacin de poltica y de seguridad objetivos.
La revisin debe tambin considerar si la poltica de seguridad sigue siendo apropiada. Se debe
establecer nuevos o actualizados los objetivos de seguridad para la mejora continua, apropiadas
para el prximo perodo y considerar si se necesitan cambios a los elementos del sistema de
gestin de la seguridad.
Pgina 65 de 67
Resultados de las auditoras del sistema de gestin de seguridad interna y externa

Acciones correctivas llevadas a cabo en el sistema desde la revisin anterior
Informes de ejercicios de seguridad y simulacros
Informar de representante de la alta direccin sobre el desempeo general del sistema
Los informes de los otros en la organizacin y las partes interesadas sobre la eficacia del
sistema, ya que los impactos en la cadena de suministro
Informes de los procesos de identificacin de amenazas de seguridad, evaluacin de
riesgos y gestin de riesgos
Eficacia de los programas de formacin y sensibilizacin
El progreso y la eficacia de los objetivos de gestin de la seguridad.
d) Proceso
El proceso de revisin por la direccin incluye normalmente una reunin llevada a cabo por la alta
direccin, de forma regular base (por ejemplo, anualmente). La revisin debe centrarse en el
rendimiento general del sistema de gestin de la seguridad y no en los detalles especficos, ya que
stos deben ser manipulados por los medios normales dentro de la seguridad sistema de gestin.
En la planificacin de un examen de la gestin, se debe tener en cuenta lo siguiente:
Los temas a tratar

Quin debe asistir (gerentes, asesores especializados de seguridad y otro personal)
Responsabilidades de los participantes individuales en el respeto de la opinin
Informacin para ser llevado a la revisin.
La revisin debe tratar los siguientes temas:
Adecuacin de la poltica de seguridad actual
Ajuste o actualizacin de los objetivos de seguridad para la mejora contina en el prximo
perodo
Adecuacin de la identificacin de amenazas de seguridad actual, evaluacin de riesgos y
los procesos de gestin de riesgos
Los niveles actuales de riesgo y la eficacia de las medidas de control existentes
Adecuacin de los recursos
La eficacia del proceso de inspeccin de seguridad
La eficacia del proceso de informacin de riesgos de seguridad
Datos relativos a la seguridad y los incidentes que se han producido
Casos registrados de procedimientos no son eficaces
Resultados de las auditoras del sistema de gestin interna y externa de seguridad llevadas
a cabo desde la revisin anterior y su eficacia
El grado de preparacin para situaciones de emergencia y mecanismos de recuperacin de
la seguridad
Mejoras en el sistema de gestin de la seguridad
Salida de cualquier investigacin sobre los incidentes de seguridad
Pgina 66 de 67
Una evaluacin de los efectos de los cambios previsibles en la legislacin, los reglamentos,
la tecnologa o la seguridad inteligencia e informacin.
La alta direccin debe asegurarse de que el rendimiento general del sistema de gestin de la
seguridad se informa en la reunin de revisin por la direccin. Opiniones parciales del
desempeo del sistema de gestin de la seguridad debe se llevar a cabo a intervalos que son ms
frecuentes, si es necesario.
Exmenes de la gestin pueden incluir una revisin de un sistema integrado de gestin, por lo que
la salida de la revisin de la seguridad, calidad y otros sistemas de gestin de elementos pueden
ser considerados en la misma reunin o durante el mismo proceso. Si se adopta este enfoque no
debe diluir la importancia de cualquiera de los constituyentes partes del sistema integrado de
gestin de una organizacin.
Minutas de cualquier reunin de revisin celebrada
Revisiones de la poltica de seguridad y objetivos de seguridad
Acciones correctivas especficas para los administradores individuales, con un calendario de
ejecucin
Acciones de mejora especficos, con responsabilidades asignadas y plazos de finalizacin
Fecha para la revisin de las medidas correctivas
reas de nfasis se reflejen en la planificacin de futuras auditoras de sistemas de gestin de la
seguridad interna.
Pgina 67 de 67

ISO 28004 Sistemas de Gestión de Seguridad en La Cadena de Suministro

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ISO 28004 Sistemas de Gestión de Seguridad en La Cadena de Suministro

Enviado por

Direitos autorais:

Formatos disponíveis

NORMA ISO/PAS 28004 / 2006

Sistemas de gestin de seguridad en la cadena de suministro Directrices

PROYECTO DE LA NORMA INTERNACIONAL ISO/DIS 28004

Organizacin internacional de normalizacin

Sistemas de gestin de la seguridad de la cadena de suministro

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

3.7 Objetivo de gestin de seguridad

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

4.1 Requisitos generales

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

a) ISO / PAS 28000 requisito

NORMA ISO/PAS 28004 / 2006

Poltica y objetivos relacionados con las actividades de la organizacin en su conjunto

Ser adecuado a la naturaleza y escala de los riesgos de seguridad de la organizacin

NORMA ISO/PAS 28004 / 2006

La identificacin de amenazas, evaluacin de riesgos y gestin de riesgos estn en el

2) incluir un compromiso de mejora continua

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

4.3.1 evaluacin de riesgos de seguridad

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

Identificacin de las amenazas a la seguridad

Adems, los procesos deben tratar los siguientes puntos:

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

Poltica y objetivos relacionados con las actividades de la organizacin en su conjunto

NORMA ISO/PAS 28004 / 2006

Reduccin de los niveles de riesgo

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

NORMA ISO/PAS 28004 / 2006

Objetivos y metas de seguridad

Las responsabilidades para alcanzar los objetivos

NORMA ISO/PAS 28004 / 2006

Figura 4 - Implementacin y operacin

NORMA ISO/PAS 28004 / 2006

Resultados de la identificacin de riesgos de seguridad, evaluacin de riesgos y de

Los objetivos de seguridad, objetivos y programas

Los requisitos legales y de otro tipo

Descripciones de los puestos

Listas de personal de seguridad calificados que necesitan y / o han recibido autorizacin

NORMA ISO/PAS 28004 / 2006

Empleados con autorizacin de seguridad u otros especialistas de seguridad, dentro de la

Sin embargo, la organizacin debe comunicar y promover la idea de que la seguridad es

NORMA ISO/PAS 28004 / 2006

Manuales del sistema de gestin de seguridad

6) Comunicacin de las funciones y responsabilidades

Los Entradas tpicas incluyen los siguientes:

NORMA ISO/PAS 28004 / 2006

Documentacin de roles / responsabilidades en manuales / procedimientos / mdulos de

4.4.2 Competencia, formacin y sensibilizacin

Entrada incluyen los siguientes elementos: