國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì) I Ⅱ 2規(guī)范性引用文件 1 3對(duì)應(yīng)關(guān)系 IⅡ1何規(guī)模的組織(從小型到跨國(guó)規(guī)模):a)建立、實(shí)施、維護(hù)和改進(jìn)安全管理體系b)確保符合規(guī)定的安全管理策略；c)驗(yàn)證是否符合其他要求；d)尋求通過(guò)授權(quán)的第三方認(rèn)證組織對(duì)其安全管理體系進(jìn)行認(rèn)證或注冊(cè)；一些法規(guī)以及監(jiān)管規(guī)范也對(duì)在本文件中某些要選擇第三方認(rèn)證的組織可進(jìn)一步證明其在促進(jìn)供應(yīng)鏈安全方面2GB/T40753—2021/ISO項(xiàng)目或者廠房和相關(guān)系統(tǒng)。注：該定義規(guī)定了對(duì)于實(shí)現(xiàn)安全和應(yīng)用安全管理至關(guān)重要的任何軟件代針對(duì)旨在對(duì)供應(yīng)鏈造成損壞或破壞或由供應(yīng)鏈造成損壞或破壞的故意行為的抵抗組織借以對(duì)風(fēng)險(xiǎn)、相關(guān)潛在威脅及其影響進(jìn)行最佳管理的系統(tǒng)性和協(xié)調(diào)性活動(dòng)。為滿足安全管理策略而要求實(shí)現(xiàn)的具體安全成果或成就。組織與安全以及安全相關(guān)流程和活動(dòng)管理用框架相關(guān)的總體目的和方向；其中，上述流程和活動(dòng)在組織效能、成功或活動(dòng)影響方面擁有既得利益的個(gè)人或?qū)嶓w。從原材料來(lái)源到通過(guò)運(yùn)輸途徑將產(chǎn)品或者服務(wù)交付至終端用戶的一系列資源和流程。在貨物離開(kāi)組織的直接運(yùn)行控制后(包括但不限于保險(xiǎn)、財(cái)務(wù)、數(shù)據(jù)管理以及貨物的包裝、儲(chǔ)存和轉(zhuǎn)運(yùn))供應(yīng)鏈中貨物的操作、流程和移動(dòng)情3在貨物進(jìn)入組織的直接運(yùn)行控制前(包括但不限于保險(xiǎn)、財(cái)務(wù)、數(shù)據(jù)管理以及貨物的包裝、儲(chǔ)存和轉(zhuǎn)運(yùn))供應(yīng)鏈中貨物的操作、流程和移動(dòng)情指導(dǎo)和控制某組織的最高層次人員或人員團(tuán)體。為了按組織安全策略改進(jìn)總體安全性能而增強(qiáng)安全管理體系的重復(fù)性流持續(xù)改進(jìn)溝通文件4a)ISO28000要求組織應(yīng)按照第4章的要求不斷提高系統(tǒng)的有效性。中實(shí)施ISO28000。c)典型輸入d)典型輸出5a)ISO28000要求1)如果出現(xiàn)影響安全管理體系的連續(xù)性或者相關(guān)性的對(duì)其他組織的收購(gòu)或兼并或改變組織經(jīng)目標(biāo)?！衽c組織總體業(yè)務(wù)相關(guān)的方針和目標(biāo)；●組織過(guò)去和當(dāng)前的安全績(jī)效；●利益相關(guān)方的需求；●持續(xù)改進(jìn)的機(jī)會(huì)和需求；●資源需求；●員工貢獻(xiàn)；1)與組織安全風(fēng)險(xiǎn)的性質(zhì)和規(guī)模相匹配；2)包括持續(xù)改進(jìn)的承諾；63)包括至少遵守當(dāng)前適用的安全法規(guī)以及組織遵守的其他要求的承諾；4)得以記錄、實(shí)施和保持；5)傳達(dá)給所有員工，旨在使其意識(shí)到個(gè)人安全義務(wù)；6)可供利益相關(guān)方所用；7)予以定期評(píng)審，以確保對(duì)于組織的相關(guān)性和適宜性。e)典型輸出策劃7的性質(zhì)和規(guī)模。評(píng)估時(shí)應(yīng)考慮到某事件及其所有后果的可能性，這a)邏輯故障威脅和風(fēng)險(xiǎn)，例如功能故障、偶然損壞、惡意損壞、恐怖事件或者刑事訴訟；b)運(yùn)營(yíng)威脅和風(fēng)險(xiǎn)，包括影響組織業(yè)績(jī)、狀況或安全的安全、人為因素和其他活動(dòng)的控制；c)可造成安全措施和設(shè)備性能降低的自然環(huán)境事件(暴雨、洪水等);d)超出組織控制范圍的因素，例如外部供應(yīng)設(shè)備和服務(wù)的故障；e)利益相關(guān)者的威脅和風(fēng)險(xiǎn)，例如無(wú)法符合監(jiān)管要求或損壞聲譽(yù)或品牌；f)安全設(shè)備的設(shè)計(jì)與安裝，包括更換、維護(hù)等；g)信息和數(shù)據(jù)管理和交流；組織應(yīng)確?？紤]到評(píng)價(jià)結(jié)果和控制效果，并在適當(dāng)情況下納a)安全管理目標(biāo)和指標(biāo)；b)安全管理計(jì)劃；c)確定設(shè)計(jì)、規(guī)范和安裝的要求；d)確定適當(dāng)資源(包括人員水平);e)確定培訓(xùn)需求和技能(見(jiàn)4.4.2);f)制定運(yùn)行控制措施(見(jiàn)4.4.6);組織進(jìn)行威脅和風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)的方法應(yīng)符a)應(yīng)確定其范圍、性質(zhì)和時(shí)間，確保其具有主動(dòng)性而非被動(dòng)性；b)收集所有與安全威脅和風(fēng)險(xiǎn)相關(guān)的所有信息；c)對(duì)威脅和風(fēng)險(xiǎn)進(jìn)行分類并區(qū)分可避免、消除或控制的威脅和風(fēng)險(xiǎn)；d)對(duì)措施進(jìn)行監(jiān)控，確保其有效、及時(shí)實(shí)施(見(jiàn)4.5.1)。8括但不限于):●法律和法規(guī)要求；●對(duì)組織所面臨的安全威脅的識(shí)別；●從相應(yīng)的監(jiān)督和情報(bào)組織獲取安全威脅和風(fēng)險(xiǎn)信息；●對(duì)以往事件和緊急情況調(diào)查反饋進(jìn)行的評(píng)價(jià)。●安全法律及其他要求(見(jiàn)4.3.2);●安全策略(見(jiàn)4.2);●事件記錄；●不符合項(xiàng)(見(jiàn)4.5.3);●安全管理體系審核結(jié)果(見(jiàn)4.5.5);●來(lái)自員工及其他相關(guān)方的溝通信息(見(jiàn)4.4.3);·與組織相關(guān)的最佳實(shí)踐和典型安全風(fēng)險(xiǎn)的信息，以及類似組織中出現(xiàn)的事件和緊急情況的●行業(yè)標(biāo)準(zhǔn)；●政府警示；●有關(guān)變更控制程序的詳細(xì)信息；●選址規(guī)劃；●過(guò)程手冊(cè)和運(yùn)行程序；●安全數(shù)據(jù)；d)過(guò)程1)安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理i)概述9●對(duì)安全威脅的識(shí)別；●對(duì)當(dāng)前和剩余風(fēng)險(xiǎn)可接受程度的評(píng)價(jià)；●對(duì)所需的附加風(fēng)險(xiǎn)管理措施的識(shí)別；2)在完成安全威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理初步評(píng)價(jià)之后(見(jiàn)4.6)●安全威脅的性質(zhì)；●風(fēng)險(xiǎn)的嚴(yán)重程度；●正常運(yùn)行的變更。當(dāng)組織內(nèi)部發(fā)生的變更導(dǎo)致對(duì)現(xiàn)有評(píng)估的有效性產(chǎn)生懷疑時(shí)，宜進(jìn)行評(píng)審。此類變更包括以下●職責(zé)的重新分配；●外源性安全威脅工作方法或行為模式的變更。e)典型輸出●安全威脅的識(shí)別；·已確定的安全威脅相關(guān)的風(fēng)險(xiǎn)的確定；●有關(guān)風(fēng)險(xiǎn)(尤其是不能接受的風(fēng)險(xiǎn))監(jiān)視和控制措●對(duì)實(shí)施控制措施的能力和培訓(xùn)要求的識(shí)別(見(jiàn)4.4.2);●上述各項(xiàng)程序產(chǎn)生的記錄。a)ISO28000要求組織應(yīng)及時(shí)更新這些信息。應(yīng)向員工及其他相關(guān)第三方(●組織供應(yīng)鏈的詳細(xì)資料；●信息來(lái)源清單；●組織內(nèi)部要求；●利益相關(guān)方要求；●供應(yīng)鏈動(dòng)態(tài)管理過(guò)程。d)過(guò)程GB/T40753—2021/ISO28004:2007●識(shí)別和獲取信息并不斷更新的程序；●識(shí)別適用的要求及其適用的情況(可采用登記表的形式);●監(jiān)視新安全法規(guī)下對(duì)控制措施實(shí)施情況的程序。符合本策略。在制定并審查其安全管理目標(biāo)時(shí)，組織應(yīng)考a)法律、法規(guī)及其他安全監(jiān)管要求；b)相關(guān)的安全威脅和風(fēng)險(xiǎn)；c)技術(shù)及其他方案；d)財(cái)務(wù)、運(yùn)營(yíng)和業(yè)務(wù)要求；a)與組織的持續(xù)改進(jìn)承諾一致；b)應(yīng)進(jìn)行量化(若可行);c)傳達(dá)給所有相關(guān)人員及第三方，包括希望獲悉其自身義務(wù)的承包商；●與組織總體業(yè)務(wù)相關(guān)的方針和目標(biāo)；●法律及其他要求(見(jiàn)4.3.2);●技術(shù)選擇方案；●員工及利益相關(guān)方關(guān)注(見(jiàn)4.4.3);●對(duì)建立的安全目標(biāo)進(jìn)行的分析；●管理評(píng)審結(jié)果(見(jiàn)4.6)?！窠档惋L(fēng)險(xiǎn)水平；●引進(jìn)安全管理體系附加特性；●改進(jìn)現(xiàn)有設(shè)施所采取的措施；●杜絕特殊意外事件或降低發(fā)生的頻率。e)典型輸出c)典型輸入●與組織整體業(yè)務(wù)相關(guān)的方針和目標(biāo)；●法律及其他要求(見(jiàn)4.3.2);●技術(shù)選擇方案；●員工和利益相關(guān)方的關(guān)注(見(jiàn)4.4.3);●對(duì)建立的安全目標(biāo)的分析；●有關(guān)安全不符合項(xiàng)和事件的以往記錄；GB/T40753—2021/ISO28004:2007●管理評(píng)審的結(jié)果(見(jiàn)4.6)。d)過(guò)程●在規(guī)定時(shí)間框架內(nèi)降低風(fēng)險(xiǎn)水平；●采取措施改進(jìn)現(xiàn)有設(shè)施及其時(shí)間范圍；●杜絕特殊意外事件或降低發(fā)生的頻率。a)ISO28000要求組織宜制定并實(shí)施安全管理計(jì)劃，以實(shí)現(xiàn)其各項(xiàng)上述計(jì)劃宜在優(yōu)化后予以優(yōu)先考慮；同時(shí)，組織宜確保上述計(jì)劃得以經(jīng)濟(jì)a)規(guī)定了實(shí)現(xiàn)各項(xiàng)安全管理目標(biāo)和指標(biāo)的職責(zé)和權(quán)力b)規(guī)定了實(shí)現(xiàn)各項(xiàng)安全管理目標(biāo)和指標(biāo)的實(shí)施和運(yùn)行業(yè)績(jī)考檢查和糾正a)ISO28000要求同時(shí)，這些作用、職責(zé)和權(quán)力宜予以規(guī)定、記錄，并傳達(dá)給負(fù)責(zé)實(shí)a)指定最高管理者內(nèi)某成員(無(wú)論是否有其他職責(zé))負(fù)責(zé)組織安全管理體系的總體記錄和改善工作；b)向管理層內(nèi)某成員授予必要權(quán)力，以確保各項(xiàng)目標(biāo)和指標(biāo)得以實(shí)施；c)確定和監(jiān)測(cè)組織利益相關(guān)者是否符合要求和預(yù)期目標(biāo)，并及時(shí)采取適當(dāng)措施實(shí)現(xiàn)這些預(yù)期d)確保能夠獲取足夠的資源；e)考慮到安全管理策略及各項(xiàng)目標(biāo)、指標(biāo)和計(jì)劃等可能對(duì)組織的其他方面產(chǎn)生的不利影響；f)確保組織其他部門(mén)制定的任何安全計(jì)劃均能夠?qū)Π踩芾眢w系進(jìn)行互補(bǔ)；g)向組織傳達(dá)滿足其安全管理要求以符合其策略的重要性；h)確保對(duì)安全相關(guān)威脅和風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，并根據(jù)具體情況將其納入組織威c)典型輸入●組織結(jié)構(gòu)；●法律及其他要求；●需要和/或已接受安全審查的合格安全人員名單?！褡罡吖芾碚撸弧窠M織的各級(jí)管理人員；●負(fù)責(zé)接待可進(jìn)入場(chǎng)所和接觸員工的承包商和●安全培訓(xùn)負(fù)責(zé)人員；●組織內(nèi)經(jīng)安全審查的員工或其他安全專家；●負(fù)責(zé)協(xié)商論壇的員工安全代表。2)明確最高管理者的職責(zé)3)明確安全管理者代表的職責(zé)4)明確各級(jí)管理者的職責(zé)5)角色和職責(zé)的文件化安全職責(zé)和權(quán)限宜以適合組織的形式形成文件?？刹扇∫韵乱环N或多種形式或組織選用的其他●安全管理體系手冊(cè)；●工作程序和任務(wù)說(shuō)明；●工作說(shuō)明●入門(mén)培訓(xùn)成套方案和理念培訓(xùn)方案。6)角色和職責(zé)的溝通8)管理者的承諾e)典型輸出c)典型輸入●工作說(shuō)明(包括擬執(zhí)行的安全任務(wù)詳情);●員工業(yè)績(jī)?cè)u(píng)估；●程序和運(yùn)行說(shuō)明；●安全策略和安全目標(biāo)；●安全方案?！裉峁┘皶r(shí)且系統(tǒng)的必要培訓(xùn)；●維護(hù)適當(dāng)?shù)膫€(gè)人培訓(xùn)和能力記錄?！駥?duì)安全風(fēng)險(xiǎn)和威脅的不斷認(rèn)識(shí)；●針對(duì)管理員工、承包商和其他人(如臨時(shí)工)的人員的各自安全職責(zé)的培訓(xùn)。確保這些人員及●最高管理者在確保安全管理體系職能以控制風(fēng)險(xiǎn)和減少弊端、傷害和對(duì)組織造成的其他損失e)典型輸出●針對(duì)個(gè)人角色的能力要求；●培訓(xùn)需求的分析；●培訓(xùn)方案/計(jì)劃；●組織內(nèi)部可提供的培訓(xùn)課程/產(chǎn)品的范圍；●培訓(xùn)記錄和培訓(xùn)有效性評(píng)價(jià)記錄；●安全意識(shí)方案；●安全意識(shí)評(píng)價(jià)。a)ISO28000要求由于某些安全相關(guān)信息具有敏感性，因此宜在傳播之前適當(dāng)考慮到c)典型輸入●安全策略和安全目標(biāo)；●相關(guān)的安全管理體系文件；●安全角色和職責(zé)的確定；●正式和非正式的員工與管理層安全協(xié)商的結(jié)果；●培訓(xùn)方案詳情；●來(lái)自外部的相關(guān)信息。d)過(guò)程●通過(guò)安全委員會(huì)或類似組織與管理層和員工進(jìn)行協(xié)商；●對(duì)員工和其他利益方(如承包商或來(lái)訪人員)的安全介紹；●包含安全信息的告示板；●安全簡(jiǎn)訊；●安全海報(bào)方案；·與相應(yīng)政府組織及供應(yīng)鏈伙伴分享敏感安全信息的其他手段?！窠M織為支持安全管理體系和安全活動(dòng)并履行ISO28000●職責(zé)和權(quán)限；●有關(guān)承載文檔或信息的設(shè)施和限定條件的信息，其中限定條件為可呈現(xiàn)文檔的物理性質(zhì)或使d)過(guò)程●安全管理體系文檔概述文件；●工作說(shuō)明a)ISO28000要求b)定期對(duì)這些文件、資料和信息進(jìn)行審查，必要時(shí)進(jìn)行修●職責(zé)和權(quán)限詳情。d)過(guò)程e)典型輸出●受控文件及其位置的清單；a)ISO28000要求a)安全管理策略；b)控制具有重大風(fēng)險(xiǎn)的各項(xiàng)活動(dòng)和減輕具有重大風(fēng)險(xiǎn)的各項(xiàng)威脅；c)遵守法律、法規(guī)及其他安全監(jiān)管要求；d)安全管理目標(biāo)；e)安全管理計(jì)劃交付；組織宜確保能夠通過(guò)下列方式在特定條件下進(jìn)行這a)制定并貫徹實(shí)施書(shū)面控制程序，以防止出現(xiàn)導(dǎo)致4.4.6a)～f)中所的情況；b)對(duì)從上游供應(yīng)鏈活動(dòng)產(chǎn)生的任何威脅進(jìn)行評(píng)價(jià)，控制并降低對(duì)組織及其他下游c)針對(duì)影響安全的商品服務(wù)制定并實(shí)施相關(guān)要求，并告知各供應(yīng)則組織宜在實(shí)施之前考慮到相關(guān)安全威脅和風(fēng)險(xiǎn)。有待考慮的新a)改進(jìn)后組織結(jié)構(gòu)、作用或職責(zé)；b)改進(jìn)后安全管理策略、目標(biāo)、指標(biāo)或計(jì)劃；c)改進(jìn)后過(guò)程和程序；d)引入新型基礎(chǔ)設(shè)施和安全設(shè)備或技術(shù)(可包括軟件和/或硬件);c)典型輸入●安全策略和安全目標(biāo)；●安全威脅識(shí)別和風(fēng)險(xiǎn)評(píng)估結(jié)果；d)過(guò)程1)采購(gòu)或轉(zhuǎn)讓商品和服務(wù)以及外部資源的使用權(quán)●評(píng)價(jià)和定期再評(píng)價(jià)承包商的安全能力；●批準(zhǔn)對(duì)新的廠房或設(shè)備設(shè)計(jì)安全措施。2)安全敏感任務(wù)●安全敏感任務(wù)的識(shí)別；●安全工作方法的預(yù)先確定和批準(zhǔn)；●安全敏感任務(wù)人員資質(zhì)的預(yù)先評(píng)定；●安全敏感區(qū)域人員進(jìn)入控制程序。3)安全設(shè)備的維護(hù)●隔離和訪問(wèn)控制；●安全相關(guān)的設(shè)備和高集成系統(tǒng)的檢查和測(cè)試?！襁\(yùn)行和維護(hù)說(shuō)明。c)典型輸入●安全威脅識(shí)別和風(fēng)險(xiǎn)評(píng)估；d)過(guò)程1)應(yīng)急響應(yīng)和安全恢復(fù)計(jì)劃●對(duì)潛在事件和緊急情況的識(shí)別；●緊急情況下負(fù)責(zé)人的確定；●疏散程序；●描述安全措施和安全條件如何在短期和中期內(nèi)得以●與應(yīng)急服務(wù)和急救人員的對(duì)接；●與利益相關(guān)方的溝通；●與其他供應(yīng)鏈業(yè)務(wù)/貿(mào)易伙伴的對(duì)接和溝通；●確保溝通系統(tǒng)的完整。2)安全設(shè)備e)典型輸出●文件化的應(yīng)急響應(yīng)和安全恢復(fù)計(jì)劃及程序；●安全設(shè)備清單；●安全設(shè)備的測(cè)試記錄；●實(shí)戰(zhàn)演練和演習(xí)；●對(duì)實(shí)戰(zhàn)演練和演習(xí)的評(píng)審；●評(píng)審產(chǎn)生的建議措施；●建議措施的完成情況；●已完成的措施。a)ISO28000要求組織宜制定并貫徹相關(guān)程序，以便對(duì)安全管理體系的性能及安全業(yè)績(jī)鍵性能參數(shù)的監(jiān)測(cè)頻率時(shí)，組織宜考慮到相關(guān)安全威脅和風(fēng)險(xiǎn)，包括潛在惡化機(jī)序宜對(duì)如下內(nèi)容予以規(guī)定：a)滿足組織需求的定性和定量測(cè)定b)滿足組織安全管理策略、目標(biāo)和指標(biāo)要求的監(jiān)測(cè)范圍c)監(jiān)測(cè)是否遵守安全管理計(jì)劃、運(yùn)行控制標(biāo)準(zhǔn)、適用法律法規(guī)及其他安全監(jiān)管要求時(shí)的主動(dòng)d)監(jiān)測(cè)以下安全相關(guān)情況的被動(dòng)措施：惡化、故障、事件、不符合項(xiàng)(包括漏報(bào)和虛假警報(bào))及其他表明安全管理體系性能有缺陷的歷史證明；e)足以推進(jìn)隨后進(jìn)行糾正和預(yù)防行為分析的記錄資料及監(jiān)測(cè)結(jié)果。如果性能和/或測(cè)量和監(jiān)測(cè)工作需要監(jiān)測(cè)設(shè)備，則組織宜要求制定并貫徹設(shè)備校準(zhǔn)和維護(hù)程和組織策略規(guī)定的時(shí)間，保存校準(zhǔn)、維護(hù)活動(dòng)和結(jié)果記●是否實(shí)現(xiàn)安全策略和安全目標(biāo)；●是否創(chuàng)建和使用能夠用于評(píng)審和改進(jìn)安全管理體系的信息。c)典型輸入●安全策略和安全目標(biāo)；●處理不符合項(xiàng)的程序；●(包括與承包商相關(guān)的)安全設(shè)備測(cè)試和校準(zhǔn)記錄；●(包括與承包商相關(guān)的)培訓(xùn)記錄；●管理報(bào)告。2)測(cè)量方法/技巧●使用核查表進(jìn)行的系統(tǒng)性檢查；●安全檢查；●評(píng)價(jià)新型供應(yīng)鏈物流體系；●評(píng)審和評(píng)價(jià)物流統(tǒng)計(jì)模式；●檢查安全設(shè)備以確保狀態(tài)良好；●使用具有安全經(jīng)驗(yàn)或正式資質(zhì)的人員的可行●文件和記錄分析；●其他組織中的良好安全實(shí)踐衡量基準(zhǔn)；●采用調(diào)查判斷員工態(tài)度以查明可疑行為；●利益相關(guān)方的反饋。3)安全設(shè)備●校準(zhǔn)和維護(hù)頻次；●引用測(cè)試方法(如適用);●校準(zhǔn)設(shè)備的特性；●規(guī)定的安全設(shè)備發(fā)生校準(zhǔn)故障時(shí)所采取的措施。i)設(shè)備ii)安全檢查5)供應(yīng)商(承包商)的設(shè)備6)統(tǒng)計(jì)或其他理論分析技巧e)典型輸出●監(jiān)視安全安排有效性的程序；●檢查時(shí)間表和核查表；●設(shè)備檢查清單；●安全設(shè)備清單●校準(zhǔn)安排和記錄；●維護(hù)活動(dòng)和結(jié)果；●不符合項(xiàng)報(bào)告●以上程序執(zhí)行結(jié)果的證據(jù)。a)ISO28000要求●事件報(bào)告；●事件計(jì)劃和預(yù)備演習(xí)結(jié)果；●事件和/或危險(xiǎn)報(bào)告；●管理評(píng)審報(bào)告和措施(見(jiàn)4.6);●目標(biāo)實(shí)現(xiàn)進(jìn)程；●變更的監(jiān)管要求；●不斷變化的相關(guān)方和利益相關(guān)方的期望；d)過(guò)程●改進(jìn)的過(guò)程和性能；●不符合項(xiàng)報(bào)告數(shù)量減少；●合法性；●改進(jìn)的過(guò)程；●所采取的糾正和預(yù)防措施的有效性的評(píng)估證據(jù)。1)故障(包括漏報(bào)和虛假警報(bào));2)事件和緊急情況；●程序(總體);●應(yīng)急預(yù)案●安全事件和安全威脅報(bào)告；●安全設(shè)備維修與使用報(bào)告。d)過(guò)程i)概述●考慮對(duì)利益相關(guān)方的影響；●確保員工不會(huì)因報(bào)告安全事件而會(huì)受到指責(zé)；·確定對(duì)安全管理體系中識(shí)別的不符合項(xiàng)采取的一系列措施?！翊_定通知過(guò)程；iii)記錄●確定記錄儲(chǔ)存地點(diǎn)和存儲(chǔ)責(zé)任。iv)調(diào)查●待調(diào)查事件的類型(如可能導(dǎo)致嚴(yán)重威脅的事件);●調(diào)查目的；●不符合項(xiàng)的根本原因；●證人訪談安排；vii)后續(xù)跟蹤2)不符合項(xiàng)和安全事件分析●可報(bào)告的安全事件的頻次或嚴(yán)重性等級(jí)；●類型和程度或?qū)υO(shè)施和供應(yīng)鏈的影響等；●直接原因和根本原因。3)監(jiān)視和溝通結(jié)果●識(shí)別組織安全管理體系和綜合管理中缺陷產(chǎn)生的根本原因(適用時(shí));●向管理層和相關(guān)利益相關(guān)方溝通結(jié)果和建議(見(jiàn)4.4.3);●將相關(guān)的調(diào)查發(fā)現(xiàn)和建議納入持續(xù)的安全評(píng)審過(guò)程；●在整個(gè)組織及其控制并影響的供應(yīng)鏈范圍內(nèi)應(yīng)用從不符合項(xiàng)和安全事件調(diào)查中汲取的經(jīng)驗(yàn)，4)記錄保持施的級(jí)別●安全事件和不符合項(xiàng)程序；●不符合項(xiàng)報(bào)告；●不符合項(xiàng)記錄；●調(diào)查報(bào)告●管理評(píng)審輸入；●所采取的糾正和預(yù)防措施的有效性評(píng)價(jià)證據(jù)。a)ISO28000要求組織在必要時(shí)應(yīng)建立并保存記錄，以證明符合其安全管理體系和本文足要求。組織應(yīng)制定、實(shí)施并維護(hù)記錄識(shí)別、存儲(chǔ)、保護(hù)、檢索、保留和銷毀相關(guān)程序。各記錄應(yīng)清晰可辨，且具有可追蹤性。電子和數(shù)字文件宜防止篡改、進(jìn)行安全備份，并且只能為被授權(quán)人員所●培訓(xùn)和能力記錄；●安全檢查報(bào)告；●安全不符合項(xiàng)；●預(yù)防和糾正措施結(jié)果；●安全管理體系審核報(bào)告；●安全會(huì)議紀(jì)要；●安全演習(xí)和演練報(bào)告；●管理評(píng)審；●安全記錄的處理權(quán)限；●安全記錄的保密性(保護(hù)標(biāo)志);●安全記錄保留的相關(guān)法律及其他要求；●電子記錄使用相關(guān)問(wèn)題?！癖４嫱旰煤捅阌跈z索的安全記錄。組織應(yīng)制定、實(shí)施并維護(hù)安全管理審計(jì)方案，并應(yīng)確保按照所計(jì)劃的1)是否符合安全管理的計(jì)劃安排要求，包括本文件第4章全部要求；2)是否正確貫徹實(shí)施；3)在遵守組織安全管理策略和目標(biāo)時(shí)是否有效；b)審查以往的審計(jì)結(jié)果以及不符合項(xiàng)的糾正措施；c)向管理層提供有關(guān)審計(jì)結(jié)果的信息；審計(jì)方案(包括任何計(jì)劃表)應(yīng)以組織活動(dòng)的威脅和風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果及以往的審計(jì)結(jié)果為基礎(chǔ)。審計(jì)程序應(yīng)包括范圍、頻率、方法和能力，以及審計(jì)和報(bào)告結(jié)注：“與……無(wú)關(guān)的人員”未必是指組織的外部人員。b)目的c)典型輸入●安全策略聲明；●安全目標(biāo)；●安全程序和說(shuō)明；●法規(guī)和最佳實(shí)踐(如適用);●不符合項(xiàng)報(bào)告；●安全管理體系審核程序；●有能力的獨(dú)立內(nèi)部/外部審核員；●不符合項(xiàng)程序；●安全演習(xí)和演練；●來(lái)自外部組織的安全威脅信息。3)管理者的支持5)數(shù)據(jù)收集和解釋●安全管理體系文件；●安全策略聲明；●安全目標(biāo)；●安全演習(xí)和演練的結(jié)果；●安全會(huì)議紀(jì)要；●法定登記簿和證書(shū)；●以往的安全管理體系審核報(bào)告；●糾正措施要求；●不符合項(xiàng)報(bào)告。6)審核結(jié)果●安全管理體系審核的目標(biāo)和范圍；●確定不符合項(xiàng)的詳情；●安全管理體系實(shí)現(xiàn)所述安全管理目標(biāo)的能力；●最終的安全管理體系審核報(bào)告的發(fā)布?！癜踩芾眢w系審核計(jì)劃/方案；●安全管理體系審核程序；●經(jīng)簽署的/關(guān)閉的不符合項(xiàng)報(bào)告；因素因素策略脅和風(fēng)險(xiǎn))。應(yīng)保存管理審查記錄。管理審查應(yīng)包括a)審計(jì)結(jié)果以及有關(guān)是否符合法律要求及組織認(rèn)可的其他要求的評(píng)估情況；b)與外部相關(guān)方的溝通情況，包括投訴；c)組織的安全業(yè)績(jī)；d)目標(biāo)和指標(biāo)范圍；e)糾正和預(yù)防措施狀況；f)根據(jù)先前管理審查情況所采取的后續(xù)措施；g)不斷變化的情況，包括與其安全有關(guān)的法律和其他要求的發(fā)展變化情況；b)目的c)典型輸入●內(nèi)部和外部安全管理體系審核的結(jié)果；·上次評(píng)審以來(lái)針對(duì)體系采取的糾正措施；GB/T40753