Upload
calidad36
View
113
Download
9
Embed Size (px)
DESCRIPTION
implementación de un sistema de seguridad para la cadena de suministro.
Citation preview
NORMA ISO/PAS 28004 / 2006
Pgina 1 de 67
Sistemas de gestin de seguridad en la cadena de suministro Directrices
para la aplicacin de la norma ISO PAS 28000
PROYECTO DE LA NORMA INTERNACIONAL ISO/DIS 28004
ISO TC8 Secetaria JISC
Organizacin internacional de normalizacin
Sistemas de gestin de la seguridad de la cadena de suministro
Directrices para la aplicacin de la norma ISO/PAS 28000
NORMA ISO/PAS 28004 / 2006
Pgina 2 de 67
Prefacio
ISO (Organizacin Internacional de Normalizacin) es una federacin mundial de organismos
nacionales de normalizacin (Organismos miembros de ISO). El trabajo de preparacin de las
normas internacionales normalmente se realiza a travs de la norma ISO Comits tcnicos. Cada
organismo miembro interesado en una materia para la cual un comit tcnico ha sido establecido
tiene el derecho de estar representado en dicho comit. Las organizaciones internacionales,
gubernamentales y no gubernamental, en coordinacin con ISO, tambin participan en el trabajo.
ISO colabora estrechamente con la Comisin Electrotcnica Internacional (IEC) en todas las
materias de normalizacin electrotcnica.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas
ISO / IEC, Parte 2.
La tarea principal de los comits tcnicos es preparar Normas Internacionales. Proyecto de
Normas Internacionales adoptada por los comits tcnicos son enviados a los organismos
miembros para su votacin. La publicacin como Norma Internacional requiere la aprobacin por
al menos el 75% de los organismos miembros con derecho a voto.
En otras circunstancias, sobre todo cuando hay una necesidad urgente de mercado para este tipo
de documentos, un comit tcnico puede decidir publicar otros tipos de documentos normativos:
- ISO Especificacin Pblicamente Disponible (ISO / PAS) representa un acuerdo entre los expertos
tcnicos en un grupo de trabajo de ISO y es aceptado para su publicacin si es aprobado por ms
del 50% de los miembros del comit de padres de emitir un voto
- Una Especificacin Tcnica ISO (ISO / TS) representa un acuerdo entre los miembros de una
tcnica comit y es aceptado para su publicacin si se aprueba por 2/3 de los miembros del comit
de fundicin un voto.
Un ISO / PAS o ISO / TS es revisada despus de tres aos con el fin de decidir si va a ser confirmado
para un tres aos ms, revisados para convertirse en una norma internacional, o retirado. Si el ISO
/ PAS o ISO / TS es se confirma, se revisa de nuevo despus de otros tres aos, momento en el que
cualquiera de los dos tiene que transformarse en una Ser retirada Norma Internacional o. Se llama
la atencin la posibilidad de que algunos de los elementos de este documento puedan ser objeto
de patente los derechos. ISO no se hace responsable por la identificacin de cualquiera o todos los
derechos de patente.
ISO 28004 / PAS fue preparada por el Comit Tcnico ISO / TC 8, Embarcaciones y tecnologa
marina.
NORMA ISO/PAS 28004 / 2006
Pgina 3 de 67
Introduccin
ISO / PAS 28000: 2005, Especificacin para sistemas de gestin de la seguridad de la cadena de
suministro y de esta Empresa
Disponible Especificacin se ha desarrollado en respuesta a la necesidad de una cadena de
suministro reconocible norma de sistema de gestin contra la que sus sistemas de gestin de
seguridad pueden ser evaluados y certificado y de orientacin sobre la aplicacin de dicha norma.
ISO / PAS 28000 es compatible con la norma ISO 9001: 2000 (Calidad) e ISO 14001: 2004 (Medio
Ambiente) normas de sistemas de gestin. Facilitan la integracin de la calidad, del medio
ambiente y de la cadena de suministro sistemas de gestin de las organizaciones, si desean
hacerlo.
Esta Especificacin Disponible al Pblico incluye una caja al inicio de cada clusula / subclusula, lo
que da los requisitos completos de la norma ISO 28000 / PAS esto es seguido por la orientacin
pertinente. La numeracin clusula de esta Especificacin Disponible al Pblico est alineado con
el de la norma ISO 28000 / PAS.
Esta Especificacin Disponible al Pblico ser revisada o modificada cuando se considere
necesaria.
Esta Especificacin Disponible al Pblico no pretende incluir todas las disposiciones necesarias de
un contrato entre cadena de suministro de los operadores, proveedores y accionistas. Los usuarios
son responsables de su correcta aplicacin.
El cumplimiento de esta Especificacin Disponible al Pblico no de s misma confiere inmunidad
frente a las obligaciones legales.
1 Alcance
Esta Especificacin Disponible al Pblico ofrece asesoramiento genrico sobre la aplicacin de la
norma ISO / PAS 28000: 2005,
Especificacin para sistemas de gestin de la seguridad de la cadena de suministro.
Explica los principios subyacentes de la ISO / PAS 28000 y describe el intento, insumos tpicos,
procesos y salidas tpicas, para cada requisito de la norma ISO / PAS 28000. Esto es para ayudar a
la comprensin y la aplicacin de ISO 28000 / PAS.
Esta Especificacin Disponible al Pblico no crea requisitos adicionales a los especificados en ISO /
PAS 28000, ni prescribe enfoques obligatorios para la implementacin de la norma ISO / PAS
28000.
NORMA ISO/PAS 28004 / 2006
Pgina 4 de 67
1 Alcance
Esta Especificacin Disponible al Pblico especifica los requisitos para un sistema de gestin de la
seguridad, incluyendo aquellos aspectos crticos a la garanta de la seguridad de la cadena de
suministro. Estos aspectos incluyen, pero no se limitan a, financiacin, fabricacin, gestin de la
informacin y las instalaciones de embalaje, almacenamiento y transferencia de mercancas entre
los modos de transporte y lugares. Gestin de la seguridad est vinculada a muchos otros aspectos
de la gestin empresarial. Estos otros aspectos deben ser considerados directamente, dnde y
cundo tienen un impacto en la gestin de la seguridad, incluyendo el transporte de estas
mercancas a lo largo de la cadena de suministro.
Esta Especificacin Disponible al Pblico es aplicable a todos los tamaos de organizaciones, desde
pequeas hasta multinacionales, en fabricacin, servicios, almacenamiento o transporte en
cualquier etapa de la cadena de produccin o suministro que desea:
a) establecer, implementar, mantener y mejorar un sistema de gestin de la seguridad
Sistemas de Gestin de Seguridad de la Cadena de Suministro - Directrices Para La Aplicacin de la
norma ISO PAS 28000 /
b) asegurar el cumplimiento de la poltica de gestin de la seguridad establecido
c) demostrar dicha conformidad a los dems
d) buscar la certificacin / registro de su sistema de gestin de la seguridad por un tercero
acreditado Organismo de Certificacin o
e) hacer una autodeterminacin y auto declaracin de cumplimiento de este Especificacin
Disponible al Pblico.
Hay cdigos legislativos y normativos que abordan algunos de los requisitos de esta disposicin del
pblico.
Especificacin. No es la intencin de este Especificacin Disponible al Pblico para exigir la
demostracin duplicacin de cumplimiento.
Las organizaciones que eligen la certificacin de terceros pueden demostrar, adems, que estn
contribuyendo de manera significativa a la seguridad del suministro en cadena.
NORMA ISO/PAS 28004 / 2006
Pgina 5 de 67
2 Referencias normativas
No hay referencias normativas se citan. Esta clusula se incluye con el fin de numeracin similar a
la clusula de conservar
3 Trminos y definiciones
3.1 facilidad
Plantas, maquinaria, bienes, edificios, vehculos, buques, instalaciones portuarias y otros
elementos de la infraestructura o de la planta y los sistemas que tienen una funcin de negocio
distinto y cuantificable o servicio relacionado
NOTA: Esta definicin incluye cualquier cdigo de software que es fundamental para la prestacin
de la seguridad y la aplicacin de gestin de la seguridad.
3.2 seguridad
Resistencia a la intencional, acto (s) autorizado diseado para causar dao o dao o por, la cadena
de suministro
3.3 gestin de la seguridad
Actividades y prcticas sistemticas y coordinadas a travs del cual una organizacin gestiona de
manera ptima su los riesgos y las amenazas e impactos potenciales asociados all desde
3.4 objetivo de gestin de seguridad
Resultado o logro especfico de seguridad requerido para cumplir con la poltica de gestin de la
seguridad
NOTA: Es esencial que estos resultados estn vinculados directa o indirectamente a proporcionar
los productos, suministro o los servicios prestados por el negocio total a sus clientes o usuarios
finales.
3.5 Poltica de gestin de la seguridad
Intenciones globales y orientacin de una organizacin, relacionados con la seguridad y el marco
para el control de procesos y actividades relacionados con la seguridad que se derivan de y
coherentes con la poltica de la organizacin y los requisitos reglamentarios
3.6 programas de gestin de la seguridad
Los medios por los cuales se logra un objetivo de gestin de seguridad
3.7 Objetivo de gestin de seguridad
NORMA ISO/PAS 28004 / 2006
Pgina 6 de 67
Determinado nivel de rendimiento requerido para lograr un objetivo de gestin de la seguridad
3.8 Partes interesadas
Persona o entidad que tenga un inters personal en el desempeo, el xito de la organizacin o el
impacto de sus actividades.
NOTA: Algunos ejemplos son los clientes, los accionistas, los financieros, aseguradoras, los
reguladores, los organismos oficiales, empleados, contratistas, proveedores, organizaciones de
trabajadores o de la sociedad.
3.9 cadena de suministro
Conjunto vinculado de recursos y procesos que comienza con el abastecimiento de materia prima
y se extiende a travs de la entrega de productos o servicios al usuario final a travs de los modos
de transporte
NOTA: La cadena de suministro puede incluir proveedores, fbricas, proveedores de logstica,
distribucin interna centros, distribuidores, mayoristas y otras entidades que llevan al usuario
final.
3.9.1 ro abajo
Se refiere a las acciones, procesos y movimientos de la carga en la cadena de suministro que se
producen despus de la carga salga del control operacional directo de la organizacin, incluyendo
pero no limitado a los seguros, las finanzas, los datos gestin y el embalaje, el almacenamiento y la
transferencia de la carga
3.9.2 ro arriba
Se refiere a las acciones, procesos y movimientos de la carga en la cadena de suministro que se
producen antes de la carga viene bajo el control operacional directo de la organizacin. Incluyendo
pero no limitado a los seguros, las finanzas, gestin de datos y el embalaje, el almacenamiento y la
transferencia de la carga
3.10 la alta direccin
Persona o grupo de personas que dirige y controla una organizacin al ms alto nivel
NOTA: La alta direccin, especialmente en una gran organizacin multinacional, no puede estar
implicado personalmente, como se describe en las Especificaciones Sin embargo la parte superior
de rendicin de cuentas a travs de la gestin de la cadena de mando ser manifiesta.
3.11 mejora continua
NORMA ISO/PAS 28004 / 2006
Pgina 7 de 67
Proceso recurrente de mejorar el sistema de gestin de la seguridad con el fin de lograr mejoras
en ms de garanta de cumplimiento de conformidad con la poltica de seguridad de la
organizacin
3.1 riesgo
Probabilidad de que se materialice una amenaza a la seguridad y las consecuencias
3.2 la habilitacin de seguridad
Proceso de verificacin de la fiabilidad de las personas que tendrn acceso a material sensible de
seguridad
3.3 amenaza
Cualquier accin intencional posible o serie de acciones con potencial daino para cualquiera de
las partes interesadas, las instalaciones, las operaciones, la cadena de suministro, la sociedad, la
economa o la continuidad del negocio y la integridad
4 elementos del sistema de gestin de seguridad
4.1 Requisitos generales
a) ISO / PAS 28000 requisito
Revisin por la direccin
4.6
Poltica y
Estrategia
4.2
riesgo de seguridad Seguridad y AM Info, riskassessmentrisk valoracin la planificacin y la planificacin 4,3 4,3
Implementacin
y operacin
4.4
Comprobacin y Accin correctiva
4.5
Sistema de gestion de la seguridad
NORMA ISO/PAS 28004 / 2006
Pgina 8 de 67
La organizacin debe establecer, documentar, implementar, mantener y mejorar continuamente
un sistema eficaz sistema de gestin de la seguridad para la identificacin de los riesgos de
seguridad y de control y mitigacin de sus consecuencias.
La organizacin debe mejorar continuamente su eficacia de acuerdo con los requisitos
establecidos en la totalidad de la clusula 4.
La organizacin debe definir el alcance de su sistema de gestin de la seguridad. Cuando una
organizacin decide por contratar externamente cualquier proceso que afecte la conformidad con
estos requisitos, la organizacin debe asegurarse de que tales procesos estn controlados. Los
controles y las responsabilidades necesarias de los procesos externalizados debern identificarse
en el sistema de gestin de la seguridad.
b) Intencin
La organizacin debe establecer y mantener un sistema de gestin que cumple con todos los
requisitos de la norma ISO / PAS 28000. Esto puede ayudar a la organizacin en el cumplimiento
de los reglamentos, requisitos de seguridad y las leyes.
El nivel de detalle y la complejidad del sistema de gestin de seguridad, el alcance de la
documentacin y los recursos dedicados a ella dependen del tamao y la complejidad de una
organizacin y la naturaleza de sus actividades.
Una organizacin tiene la libertad y flexibilidad para definir sus lmites y puede elegir implementar
ISO / PAS 28000 con respecto a toda la organizacin o de las unidades o actividades de la
operacin especficas organizacin.
Se debe tener cuidado al definir los lmites y el alcance del sistema de gestin. Organizaciones no
debe tratar de limitar su alcance a fin de excluir de la evaluacin, una operacin o actividad
necesaria para el funcionamiento global de la organizacin o aquellos que pueden tener un
impacto en la seguridad de sus empleados y otros Sistemas de Gestin de Seguridad de la Cadena
de Suministro partes interesadas.
Si ISO 28000 / PAS es implementado por una unidad de operacin o actividad especfica, las
polticas y procedimientos de seguridad desarrollado por otras partes de la organizacin puede ser
capaz de ser utilizado por la unidad de operacin o actividad especfica de ayudar a cumplir los
requisitos de la norma ISO / PAS 28000. Esto puede requerir que estas polticas de seguridad o
procedimientos estn sujetas a revisin menor o enmienda, para asegurarse de que son aplicables
a la especfica unidad de operacin o actividad.
c) de entrada tpica
Todos los requisitos de entrada se especifican en la norma ISO 28000 / PAS.
d) La salida tpica
NORMA ISO/PAS 28004 / 2006
Pgina 9 de 67
Un resultado tpico es un sistema de gestin de seguridad implementado y se mantiene de manera
efectiva que ayuda a la organizacin en continua bsqueda de mejoras.
4.2 La poltica de gestin de seguridad
a) ISO / PAS 28000 requisito
La alta direccin de la organizacin debe autorizar a una poltica general de gestin de la
seguridad. La poltica deber:
a) ser coherente con otras polticas de la organizacin
b) proporcionar un marco que, permite la gestin de seguridad objetivos, metas especficas y
programas que se produzcan
c) ser compatibles con el marco general de amenaza a la seguridad y la gestin de riesgos de la
organizacin
d) ser adecuado a las amenazas a la organizacin y la naturaleza y escala de sus operaciones
Sistemas de Gestin de Seguridad de la Cadena de Suministro
e) establecer claramente los objetivos generales / amplio de gestin de la seguridad
f) incluir un compromiso de mejora continua del proceso de gestin de la seguridad
g) incluye un compromiso de cumplir con la normativa legal aplicable, regulatorio y legal
requisitos y con otros requisitos que la organizacin suscriba
h) se aprob visiblemente por la alta direccin y/o ser documentado, implementado y mantenido
NORMA ISO/PAS 28004 / 2006
Pgina 10 de 67
j) ser comunicada a todos los empleados pertinentes y terceros incluyendo contratistas y visitantes
con la intencin de que estas personas sean conscientes de sus obligaciones relacionadas con la
gestin de seguridad individual
k) a disposicin de los interesados en su caso
l) Proveer para su revisin en el caso de la adquisicin de o fusin con otras organizaciones o otro
cambio el mbito de actividad de la organizacin que puedan afectar a la continuidad o la
pertinencia de la seguridad sistema de gestin.
NOTA: Las organizaciones pueden optar por tener una poltica de gestin de la seguridad detallada
para uso interno que lo hara proporcionar informacin y orientacin suficiente para impulsar el
sistema de gestin de la seguridad (algunas de cuyas partes pueden ser confidenciales) y tienen
una versin resumida (no confidencial) que contiene los objetivos generales para la difusin de sus
grupos de inters y otras partes interesadas.
b) Intencin
Una poltica de seguridad es una declaracin concisa de compromiso de la alta direccin con la
seguridad. Una poltica de seguridad establece un sentido general de direccin y establece los
principios de accin de una organizacin. Establece la seguridad objetivos de responsabilidad y
rendimiento de seguridad necesarios en toda la organizacin.
Una poltica de seguridad documentado debe ser producida y autorizada por la alta direccin de la
organizacin.
c) Las entradas tpicas
En el establecimiento de la poltica de seguridad, la administracin debe considerar los siguientes
elementos, especialmente en relacin con su cadena de suministro:
Poltica y objetivos relacionados con las actividades de la organizacin en su conjunto
rendimiento de seguridad histrica y actual de la organizacin
Las necesidades de las partes interesadas
Oportunidades y necesidades para la mejora continua
Los recursos necesarios
Contribuciones de los empleados
Contribuciones de los contratistas, de los interesados y dems personal externo.
d) Proceso
Al establecer y autorizar una poltica de seguridad, la alta direccin debe tener en cuenta los
puntos que se enumeran a continuacin. Una poltica de seguridad efectiva formulada y
comunicada debe:
Ser adecuado a la naturaleza y escala de los riesgos de seguridad de la organizacin
NORMA ISO/PAS 28004 / 2006
Pgina 11 de 67
La identificacin de amenazas, evaluacin de riesgos y gestin de riesgos estn en el
corazn de una garanta de xito sistema de gestin y debe reflejarse en la poltica de
seguridad de la organizacin.
La poltica de seguridad debe ser coherente con una visin de futuro de la organizacin.
Debe ser realista y tampoco debe exagerar la naturaleza de los riesgos que enfrenta la
organizacin, ni trivializar ellos.
2) incluir un compromiso de mejora continua
Amenazas de seguridad globales aumentan la presin sobre las organizaciones a reducir el riesgo
de incidentes en el suministro cadena. Adems de cumplir con las responsabilidades jurdicas,
nacionales y regulatorios, y otros reglamentos y orientacin preparado por organizaciones como la
Organizacin Mundial de Aduanas (OMA), la organizacin debera aspirar a mejorar su desempeo
de seguridad y su sistema de gestin de la seguridad, eficacia y de manera eficiente, para
satisfacer las necesidades de cambio de comercio mundial, los negocios y las necesidades
reglamentarias.
Mejora del rendimiento planificado debe ser expresada en los objetivos de seguridad (ver 4.3.2) y
gestionada a travs del programa de gestin de la seguridad (ver 4.3.5), si bien la poltica de
seguridad declaracin puede incluir reas generales de accin.
3) incluir un compromiso de por lo menos cumplir con la normativa vigente de seguridad
aplicables y con otros requisitos que la organizacin suscriba
Las organizaciones deben cumplir con los requisitos reglamentarios de seguridad aplicables. La
poltica de seguridad el compromiso es un reconocimiento pblico por el organismo que tiene el
deber de cumplir con, si no exceder, cualquier legislacin u otros requisitos, ya sea por mandato
legal o adoptado voluntariamente suscrito que, como el Marco Normativo de la OMA.
NOTA: "Otros requisitos" puede significar, por ejemplo, las polticas de la empresa o del grupo, el
propio interior de la organizacin normas o especificaciones o cdigos de prcticas para que la
organizacin suscriba.
4) estar documentado, implementado y mantenido
Planificacin y preparacin son la clave para una implementacin exitosa. A menudo, las
declaraciones de poltica de seguridad y objetivos de seguridad no son realistas porque hay
recursos insuficientes o inadecuadas disponibles para entregarlos. Antes de realizar las
declaraciones pblicas de la organizacin debe asegurarse de que cualquier necesario finanzas,
habilidades y recursos estn disponibles y que todos los objetivos de seguridad son realistas y
factibles dentro de este marco.
Para que la poltica de seguridad para ser eficaz, debe ser documentado y ser revisado
peridicamente para continua adecuacin y enmiende o revise si es necesario.
NORMA ISO/PAS 28004 / 2006
Pgina 12 de 67
5) ser comunicados a todos los empleados con la intencin de que los empleados sean
conscientes de su persona obligaciones de seguridad
La participacin y el compromiso de los empleados son vitales para la seguridad y xito del sistema
de seguridad.
Los empleados tienen que ser conscientes de los efectos de la gestin de la seguridad de la calidad
de su propio trabajo
Debe fomentarse el medio ambiente y contribuir activamente a la gestin de seguridad.
Es improbable que los empleados (en todos los niveles, incluyendo los niveles de gestin) sean
capaces de hacer una efectiva contribucin a la gestin de la seguridad a menos que entiendan la
poltica y de la organizacin de su responsabilidades y sean competentes para desempear sus
tareas requeridas.
Esto requiere la organizacin para comunicar sus polticas de seguridad y objetivos de seguridad a
su empleados con claridad, para que puedan tener un marco con los que puedan medir su propio
rendimiento de la seguridad individual.
6) estar a disposicin de los interesados
Cualquier individuo o grupo (ya sea interno o externo) interesados o afectados por la seguridad
desempeo de la organizacin sera particularmente interesados en la declaracin de poltica de
seguridad.
Por lo tanto, un proceso debe existir para comunicar la poltica de seguridad a ellos. El proceso
debe garantizar que los interesados reciban la poltica de seguridad en su caso.
7) revisarse peridicamente para garantizar que siga siendo pertinente y apropiada para la
organizacin.
El cambio es inevitable, reglamentos y legislacin evolucionar y expectativas aumento de los
interesados.
En consecuencia, la poltica y la gestin de la seguridad del sistema de la organizacin deben ser
revisadas regularmente para asegurar su adecuacin y eficacia.
Si se introducen cambios, stos deben ser comunicados tan pronto como sea posible.
e) La salida tpica
Una salida tpica es una poltica integral, concisa, comprensible seguridad que se comunica en
todo la organizacin y las partes interesadas, segn sea necesario.
4.3 Seguridad y planificacin Evaluacin de riesgos
NORMA ISO/PAS 28004 / 2006
Pgina 13 de 67
4.3.1 evaluacin de riesgos de seguridad
a) ISO / PAS 28000 requisito
La organizacin debe establecer y mantener procedimientos para la identificacin continua y la
evaluacin de amenazas a la seguridad y las amenazas relacionadas con la gestin de seguridad y
los riesgos y la identificacin y aplicacin de las medidas de control necesarias de gestin. Las
amenazas de seguridad y la identificacin de riesgos, la evaluacin y el control, los mtodos
deberan como mnimo ser adecuadas a la naturaleza y la escala de las operaciones. Esta
evaluacin deber considerar la probabilidad de un evento y todas sus consecuencias, que
incluirn:
a) las amenazas y los riesgos de fracaso fsicas, como la insuficiencia funcional, daos incidentales,
daos maliciosos o terrorista o accin penal
b) las amenazas y los riesgos operacionales, incluyendo el control de la seguridad, los factores
humanos y otras actividades que afectan el rendimiento de las organizaciones, el estado o la
seguridad
c) los eventos ambientales naturales (tormentas, inundaciones, etc.), que pueden hacer que las
medidas y equipos de seguridad ineficaz
d) factores fuera del control de la organizacin, tales como fallos en los equipos y se suministra
externamente servicios
NORMA ISO/PAS 28004 / 2006
Pgina 14 de 67
e) las amenazas de las partes interesadas y los riesgos, tales como incumplimiento de los
requisitos reglamentarios o daos a la reputacin o marca
f) Diseo e instalacin de equipos de seguridad incluyendo el reemplazo, mantenimiento, etc.
g) La informacin y gestin de datos y comunicaciones.
h) una amenaza para la continuidad de las operaciones.
La organizacin debe asegurarse de que los resultados de estas evaluaciones y los efectos de estos
controles son considerado y en su caso, proporcionar informacin en:
a) los objetivos y metas de gestin de la seguridad
b) programas de gestin de la seguridad
c) la determinacin de los requisitos para el diseo, especificacin e instalacin
d) la identificacin de los recursos adecuados, incluyendo los niveles de dotacin de personal
e) la identificacin de las necesidades y habilidades (ver 4.4.2) de formacin
f) desarrollo de controles operacionales (vase 4.4.6)
g) el marco general de amenazas y gestin de riesgos de la organizacin.
La organizacin debe documentar y mantener la informacin anterior al da.
La metodologa de la organizacin para la identificacin y evaluacin cubrir amenazas y riesgos:
a) definir con respecto a su alcance, la naturaleza y el momento para asegurarse de que es
proactivo en lugar de reactivo
b) incluir la recopilacin de informacin relacionada con las amenazas y riesgos de seguridad
c) prever la clasificacin de amenazas y riesgos y la identificacin de las personas que deben ser
evitados, eliminado o controlada
d) asegurar el seguimiento de las acciones para garantizar la eficacia y la puntualidad de su
ejecucin (Ver 4.5.1).
b) Intencin
La organizacin debe tener una apreciacin total de seguridad significativa de riesgo, las amenazas
y vulnerabilidades en su dominio, despus de usar los procesos de identificacin de amenazas de
seguridad, evaluacin de riesgos y gestin de riesgos.
Los procesos de identificacin de amenazas a la seguridad, evaluacin de riesgos y gestin de
riesgos y sus salidas deberan ser la base de todo el sistema de seguridad. Es importante que los
NORMA ISO/PAS 28004 / 2006
Pgina 15 de 67
vnculos entre la amenaza de seguridad los procesos de identificacin, evaluacin y gestin de
riesgos y los dems elementos de la seguridad sistema de gestin estn claramente establecidos y
aparente.
El propsito de esta gua es establecer principios por los cuales la organizacin puede determinar
si los procesos de identificacin de amenaza a la seguridad dada, evaluacin de riesgos y gestin
de riesgos son adecuados y suficientes. No es el propsito de hacer recomendaciones sobre cmo
deben llevarse a cabo estas actividades.
Los procesos de gestin de identificacin de amenazas de seguridad, evaluacin de riesgos y de
riesgo deben permitir a la organizacin para identificar, evaluar y controlar los riesgos de
seguridad de forma continua.
En todos los casos, se debe considerar a las operaciones normales y anormales dentro de la
organizacin y para posibles situaciones de emergencia.
La complejidad de los procesos de identificacin de amenazas de seguridad, evaluacin de riesgos
y gestin de riesgos en gran medida depende de factores tales como el tamao de la organizacin,
las situaciones de trabajo dentro de la organizacin y la naturaleza, la complejidad y la importancia
del riesgo para la seguridad. No es el propsito de la norma ISO / PAS 28000: 2005, 4.3.1, para
obligar a las organizaciones pequeas con riesgo de seguridad muy limitada para emprender
compleja la identificacin de amenazas de seguridad, ejercicios de evaluacin de riesgos y gestin
de riesgos.
Los procesos de gestin de identificacin de amenazas de seguridad, evaluacin de riesgos y de
riesgo deben tener en cuenta el costo y el tiempo de realizacin de estos tres procesos y la
disponibilidad de datos fiables. La informacin ya desarrollado para fines reglamentarios u otros
pueden ser utilizados en estos procesos. La organizacin tambin puede tomar en cuenta el grado
de control prctico que puede tener sobre las amenazas a la seguridad estn considerando. La
organizacin debe determinar cules son sus amenazas a la seguridad son, teniendo en cuenta las
entradas y salidas asociada a sus actividades pasadas actuales y relevantes, procesos, productos y
/ o servicios.
La evaluacin de riesgos de seguridad debe ser realizada por personal cualificado, utilizando
metodologas reconocidas que puede ser documentado.
Una organizacin sin un sistema de gestin de la seguridad existente puede establecer su situacin
actual con respecto a los riesgos de seguridad por medio de una evaluacin de riesgos. El objetivo
debe ser tener en cuenta las amenazas de seguridad que enfrenta la organizacin, como base para
establecer el sistema de gestin de la seguridad. Una organizacin debera considerar incluyendo
(pero sin limitarse a) los siguientes elementos dentro de su revisin inicial:
Requisitos legales y reglamentarios
Identificacin de las amenazas de seguridad que enfrenta la organizacin
NORMA ISO/PAS 28004 / 2006
Pgina 16 de 67
La bsqueda de amenaza a la seguridad y la informacin sobre los riesgos de los organismos
policiales y de inteligencia apropiados
Un examen de todas las prcticas de gestin de seguridad, procesos y procedimientos existentes
Una evaluacin de la informacin de la investigacin de incidentes y emergencias anteriores.
Un enfoque adecuado para la evaluacin puede incluir listas de comprobacin, entrevistas,
inspecciones y mediciones directas,
Resultados de anteriores auditoras de sistemas de gestin o de otras opiniones en funcin de la
naturaleza de las actividades. Todas estas actividades deben seguir una metodologa repetible
documentado.
Se insiste en que se recomienda una revisin inicial para crear una lnea de base, pero no es un
sustituto de la aplicacin del enfoque sistemtico estructurado establecido en el resto de 4.3.1.
c) Las entradas tpicas
Entrada incluyen los siguientes elementos:
Legal de seguridad y otros requisitos (vase 4.3.2)
Poltica de seguridad (ver 4.2)
Registros de los incidentes
No conformidades (vase 4.5.2)
Resultados de la auditora del sistema de gestin de seguridad (vase 4.5.4)
Las comunicaciones de los empleados y otras partes interesadas (vase 4.4.3)
Informacin de consultas de seguridad de los empleados, revisin y actividades de mejora en el
lugar de trabajo
(Estas actividades pueden ser reactivos o proactivos en la naturaleza) informacin sobre las
mejores prcticas, los riesgos de seguridad tpico relacionados con la organizacin, incidentes y
emergencias haber ocurrido en otras organizaciones similares estndares de la industria las
advertencias del gobierno informacin sobre las instalaciones, procesos y actividades de la
organizacin, incluyendo los siguientes:
Detalles de los procedimientos de control de cambios
Plan de sitio (s)
Manuales de procesos y procedimientos operativos
NORMA ISO/PAS 28004 / 2006
Pgina 17 de 67
Datos de seguridad
Datos de seguimiento (vase 4.5.1).
d) Proceso
1) la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de riesgos
i) General
Medidas para la gestin de riesgo deben reflejar el principio de la eliminacin o reduccin a un
riesgo de seguridad mnimo posible, siempre que sea posible, ya sea mediante la reduccin de la
probabilidad de ocurrencia o la posible gravedad de los impactos de los incidentes relacionados
con la seguridad). La identificacin de amenazas de seguridad, el riesgo los procesos de evaluacin
y gestin de riesgos son herramientas clave en la gestin del riesgo.
Procesos de identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de riesgos
varan enormemente entre industrias, que van desde las evaluaciones simples para anlisis
cuantitativo complejo con amplia documentacin. Es por la organizacin para planificar e
implementar la identificacin de amenazas de seguridad adecuado, los procesos de evaluacin y
gestin del riesgo que se adapten a sus necesidades y sus situaciones laborales y a ayudar a
cumplir con los requisitos legales de seguridad.
Procesos de identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de riesgos
deben llevarse a cabo como medidas proactivas, en lugar de los tan reactivos, es decir, deben
preceder a la introduccin de nuevos o actividades o procedimientos revisados. Todas las medidas
de reduccin de riesgos y de control necesarios que se identifican deben aplicarse antes de
introducir los cambios.
La organizacin debe mantener su metodologa, cualificacin del personal, documentacin, datos
y registros relativa a la identificacin de amenazas, evaluacin de riesgos y gestin de riesgos
hasta al da respecto de curso actividades y tambin extenderlas a examinar las novedades y
actividades nuevas o modificadas, antes de que stos se introduzcan.
Procesos de identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de riesgos
no slo deben aplicarse a las operaciones "normales" de instalaciones y procedimientos, sino
tambin para operaciones / procedimientos peridicos u ocasionales.
Adems de considerar el riesgo para la seguridad y los riesgos que entraan las actividades
llevadas a cabo por su propio personal, la organizacin debera considerar los riesgos de seguridad
y los riesgos derivados de las actividades de los contratistas y visitantes y del uso de los productos
o servicios que le sean suministrados por otros.
ii) Procesos
NORMA ISO/PAS 28004 / 2006
Pgina 18 de 67
Los procesos de identificacin de amenazas a la seguridad, evaluacin de riesgos y gestin de
riesgos deben ser documentada y debe incluir los siguientes elementos:
Identificacin de las amenazas a la seguridad
Evaluacin de riesgos con las medidas de control existente (o propuestas) en el lugar
(teniendo en cuenta la exposicin a las amenazas de seguridad especficos, la probabilidad
de fracaso de las medidas de control y la potencial gravedad de las consecuencias de las
lesiones, daos y continuidad operacional) evaluar la tolerabilidad del riesgo actual y
residual
Identificacin de las medidas adicionales de gestin de riesgos necesarios
Evaluacin de si las medidas de gestin de riesgos son suficientes para reducir el riesgo a
un tolerable nivel.
Adems, los procesos deben tratar los siguientes puntos:
- La naturaleza, oportunidad, alcance y metodologa para cualquier forma de identificacin de
amenazas de seguridad, el riesgo, evaluacin y gestin del riesgo de que se va a utilizar
Legislacin de seguridad aplicable u otros requisitos
Las funciones y autoridad del personal responsable de la realizacin de los procesos
- Los requisitos de competencia y las necesidades de capacitacin (ver 4.4.2 ) para el personal que
vaya a realizar los procesos. (Dependiendo de la naturaleza o el tipo de procesos para ser utilizado,
puede ser necesario para la organizacin a utilizar asesoramiento externo o servicios)
- El uso de la informacin de las entradas de seguridad de los empleados, opiniones y actividades
de mejora (estas actividades pueden ser reactivos o proactivos en la naturaleza).
iii) Las acciones posteriores
Tras la actuacin de la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de
procesos:
- No debe haber pruebas claras de que las acciones correctivas o preventivas (vase 4.5.2 )
identificados como siendo necesario son monitoreados para su finalizacin a tiempo (estos
pueden exigir mayor seguridad llevarn a cabo evaluaciones de identificacin de amenazas y
riesgos, para reflejar los cambios propuestos a riesgo medidas de gestin y para determinar las
estimaciones revisadas de los riesgos residuales)
- Informacin sobre los resultados y sobre los progresos en la realizacin de acciones correctivas o
preventivas, en caso de proporcionar a la administracin, como insumo para la revisin por la
direccin (vase 4.6 ) y para el establecimiento de revisadas o nuevas objetivos de seguridad
NORMA ISO/PAS 28004 / 2006
Pgina 19 de 67
- La organizacin debe estar en condiciones de determinar si la competencia del personal, la
realizacin de tareas especficas de seguridad es coherente con lo especificado por el proceso de
evaluacin de riesgos en el establecimiento de la gestin de riesgos es necesario
- Los comentarios de la experiencia operativa posterior se deben utilizar para modificar los
procesos o los datos en el que se basan, segn corresponda.
2) Despus de la evaluacin inicial de identificacin de amenazas de seguridad, evaluacin de
riesgos y el riesgo gerencial (vase tambin 4.6)
El proceso de gestin de la identificacin de amenazas de seguridad, evaluacin de riesgos y el
riesgo debe ser revisada en un tiempo o perodo predeterminado que figura en el documento de
poltica de seguridad o en un momento predeterminado por gestin que puede formar parte del
proceso de revisin por la direccin (vase 4.6). Este perodo puede variar dependiendo de las
siguientes consideraciones:
La naturaleza de las amenazas a la seguridad
La magnitud del riesgo
Cambios con respecto a la operacin normal.
La revisin tambin deber tener lugar si los cambios dentro de la llamada organizacin en tela de
juicio la validez de la las evaluaciones existentes. Tales cambios pueden incluir los siguientes
elementos:
Expansin, contraccin, la reestructuracin, cambios en las instalaciones o aspectos de la cadena
de suministro
Reasignar las responsabilidades
Cambios en los mtodos de trabajo o patrones de comportamiento de las amenazas a la seguridad
de fuentes externas.
e) Los productos tpicos
Deben existir procedimiento (s) para los siguientes elementos documentados:
Identificacin de las amenazas a la seguridad
Determinacin de los riesgos asociados con las amenazas a la seguridad identificadas
Indicacin del nivel de los riesgos relacionados con cada una amenaza a la seguridad y si son o no
son, tolerables
Descripcin o referencia de las medidas de vigilancia y control de los riesgos (vase 4.4.6 y 4.5.1 ),
en particular los riesgos que no son tolerables en su caso, los objetivos y las medidas de seguridad
NORMA ISO/PAS 28004 / 2006
Pgina 20 de 67
para reducir los riesgos identificados (ver 4.3.3 ) y cualquier actividad de seguimiento para
monitorear el progreso en su reduccin
Identificacin de los requisitos de competencia y capacitacin para implementar las medidas de
control (vase 4.4.2 )
Medidas de control necesarias detallan como parte del elemento de control de funcionamiento
del sistema ( 4.4.6 )
Registros generados por cada uno de los procedimientos anteriormente mencionados.
4.3.2 Los requisitos legales, reglamentarios y de otras garantas reguladoras
a) ISO / PAS 28000 requisito
La organizacin debe establecer, implementar y mantener un procedimiento
a) identificar y tener acceso a los requisitos legales aplicables y otros requisitos que la
Organizacin suscriba relacionados con sus amenazas y riesgos de seguridad, y
b) determinar cmo se aplican estos requisitos a sus amenazas y riesgos de seguridad.
La organizacin debe mantener esta informacin actualizada. Se comunicar la informacin
pertinente sobre cuestiones jurdicas y otros requisitos a sus empleados y otras terceras partes
pertinentes, incluidos los contratistas.
b) Intencin
La organizacin debe tener en cuenta y comprender cmo sus actividades estn o sern, afectados
por aplicable los requisitos legales y de otro tipo y se comuniquen esta informacin al personal
pertinentes.
Este requisito de 4.3.2 de la norma ISO / PAS 28000: 2005 tiene como objetivo promover el
conocimiento y la comprensin de responsabilidades legales y regulatorios. No tiene la intencin
de exigir a la organizacin a establecer bibliotecas del legal o otros documentos que rara vez se
hace referencia o utiliza.
c) Las entradas tpicas
Entrada incluyen los siguientes elementos:
Detalles de la cadena de suministro de la organizacin
Resultados de la identificacin amenaza a la seguridad, evaluacin de riesgos y gestin de riesgos
(vase 4.3.1 )
Mejores prcticas (por ejemplo, cdigos, directrices asociacin de la industria)
NORMA ISO/PAS 28004 / 2006
Pgina 21 de 67
Requisitos legales, gubernamentales, intergubernamentales, asociaciones de comercio, los cdigos
y las prcticas y reglamentos
Lista de fuentes de informacin
Normas nacionales, regionales o internacionales
Los requisitos de organizacin interna
Requisitos de las partes interesadas
Procesos para gestionar la dinmica de la cadena de suministro.
d) Proceso
La legislacin pertinente y otros requisitos deben ser identificados. Las organizaciones deben
identificar a los ms los medios adecuados para el acceso a la informacin, incluyendo los medios
de comunicacin el apoyo a la informacin (por ejemplo, papel, CD, disco, Internet). La
organizacin tambin debe evaluar las disposiciones aplicables y dnde aplicar y que necesita para
recibir la informacin.
e) Los productos tpicos
Los Entradas tipicasincluyen los siguientes elementos:
Procedimientos para identificar y acceder a la informacin y mantenerla al da
Identificacin de los requisitos que se aplican y que [esto puede tomar la forma de un registro (s)]
Requisitos (texto real, sumarias o anlisis, en su caso), disponibles en lugares que han de ser
Decidido por la organizacin
Procedimientos de seguimiento de la implementacin de controles como consecuencia de la
nueva legislacin de seguridad.
4.3.3 objetivos de gestin de seguridad
a) ISO / PAS 28000 requisito
La organizacin debe establecer, implementar y mantener los objetivos de gestin de seguridad
documentadas en funciones y niveles pertinentes dentro de la organizacin. Los objetivos se
derivan de y consistente con la poltica. Cuando se establezcan y revisen estos objetivos, la
organizacin debe tener en cuenta:
a) los requisitos reglamentarios de seguridad legal, estatutaria y de otro tipo
b) las amenazas y los riesgos relacionados con la seguridad
NORMA ISO/PAS 28004 / 2006
Pgina 22 de 67
c) las opciones tecnolgicas y de otro tipo
d) los requisitos financieros, operacionales y de negocio
e) puntos de vista de las partes interesadas pertinentes.
Los objetivos de la gestin de seguridad sern las siguientes:
a) en consonancia con el compromiso de la organizacin con la mejora continua
b) cuantificado (cuando sea posible)
c) comunicarse a todos los empleados pertinentes y terceras partes, incluyendo contratistas, con
la intencin de que estas personas sean conscientes de sus obligaciones individuales
d) revisarse peridicamente para garantizar que sigan siendo pertinentes y coherentes con la
gestin de la seguridad poltica. Cuando sea necesario los objetivos de gestin de seguridad se
modificarn en consecuencia.
b) Intencin
Es necesario asegurarse de que, en toda la organizacin (cuando sea factible), los objetivos de
seguridad son medibles establecido de conformidad con la poltica de seguridad.
c) Las entradas tpicas
Entrada incluyen los siguientes elementos:
Poltica y objetivos relacionados con las actividades de la organizacin en su conjunto
La poltica de seguridad, incluyendo el compromiso de mejora continua (vase 4.2 )
Resultados de la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin
de riesgos (vase 4.3.1 )
Requisitos legales y otros (vase 4.3.2 )
Opciones tecnolgicas
Requisitos financieros, operacionales y de negocio
Empleados y preocupaciones de los interesados (vase 4.4.3 )
Informacin de las entradas de seguridad de los empleados, las evaluaciones y las
actividades de mejora en el lugar de trabajo
(Estas actividades pueden ser reactivos o proactivos en la naturaleza)
Anlisis de los objetivos de seguridad establecidos
Registros anteriores de no conformidades de seguridad, incidentes y daos a la propiedad
resultados de la revisin por la direccin (vase 4.6 ).
d) Proceso
NORMA ISO/PAS 28004 / 2006
Pgina 23 de 67
El uso de la informacin o los datos de los insumos, la gestin adecuada debe identificar,
establecer y priorizar los objetivos de seguridad.
Durante el establecimiento de objetivos de seguridad, prestando especial atencin se debe dar a
la informacin o los datos de los ms propensos a ser afectados por los objetivos de seguridad
individuales, ya que esto puede ayudar a garantizar que sean razonables y ms ampliamente
aceptada. Tambin es til tener en cuenta la informacin o datos de fuentes externas a la
organizacin, por ejemplo, de contratistas, proveedores, socios comerciales, la polica y las
agencias de inteligencia o grupos de inters.
Reuniones por los niveles adecuados de gestin para el establecimiento de objetivos de seguridad
deben mantenerse regularmente (por ejemplo, al menos una vez al ao). Para algunas
organizaciones, puede haber una necesidad de documentar la proceso de establecer los objetivos
de seguridad.
Los objetivos de seguridad deben abordar tanto los problemas de seguridad de las empresas
grandes y las cuestiones de seguridad que son especficos para la cadena (s) de alimentacin, las
funciones individuales y los niveles dentro de la organizacin.
Indicadores adecuados deben definirse para cada objetivo de seguridad, siempre que sea posible.
Estos indicadores deberan permitir el seguimiento de la aplicacin de los objetivos de seguridad.
Objetivos de seguridad deben ser razonables y alcanzables, en tanto que la organizacin debe
tener la capacidad para llegar a ellos y monitorear el progreso. Una escala de tiempo razonable y
alcanzable debe definirse para la realizacin de cada objetivo de seguridad.
Objetivos de seguridad se pueden dividir en objetivos distintos, dependiendo del tamao de la
organizacin, la complejidad del objetivo de seguridad y su escala de tiempo. Debe haber vnculos
claros entre los distintos niveles de las metas y objetivos de seguridad.
Ejemplos de tipos de objetivos de seguridad incluyen:
Reduccin de los niveles de riesgo
La introduccin de caractersticas adicionales en el sistema de gestin de la seguridad
Las medidas adoptadas para mejorar las instalaciones existentes
La eliminacin o la reduccin en la frecuencia de incidente en particular no deseado (s).
Los objetivos de seguridad deben comunicarse (por ejemplo, a travs de sesiones de
formacin o de informacin de grupo vase 4.4.2 ) para personal y relevantes desplegarse
a travs del programa (s) de gestin de seguridad (ver 4.3.4 ).
e) Salidas tpicas
Los salidas tpicas incluyen documentos, en su caso, los objetivos de seguridad viables
mensurables para cada funcin en la organizacin.
NORMA ISO/PAS 28004 / 2006
Pgina 24 de 67
4.3.4 objetivos de gestin de seguridad
a) ISO / PAS 28000 requisito
La organizacin debe establecer, implementar y mantener los objetivos de gestin de seguridad
documentada adecuada a las necesidades de la organizacin. Los objetivos se derivan de y ser
coherentes con los objetivos de gestin de la seguridad.
Estos objetivos tendrn:
a) a un nivel de detalle apropiado
b) especficos, medibles, alcanzables, relevantes y basados en el tiempo (cuando sea posible)
c) comunicarse a todos los empleados pertinentes y terceros, incluyendo contratistas y con la
intencin de que las personas sean conscientes de sus obligaciones individuales
d) revisarse peridicamente para garantizar que sigan siendo pertinentes y coherentes con la
gestin de la seguridad objetivos. Cuando sea necesario los objetivos sern modificados en
consecuencia.
b) Intencin
Objetivos de seguridad se establecen para alcanzar el objetivo dentro del marco de tiempo
especificado.
c) Las entradas tpicas
Poltica y objetivos relacionados con las actividades de la organizacin en su conjunto
La poltica de seguridad, incluyendo el compromiso de mejora continua (vase 4.2 )
Resultados de la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin de
riesgos (vase 4.3.1 )
Requisitos legales y otros (vase 4.3.2 )
Opciones tecnolgicas
Requisitos financieros, operacionales y de negocio
Empleados y preocupaciones de los interesados (vase 4.4.3 )
Informacin de las entradas de seguridad de los empleados, las evaluaciones y las actividades de
mejora en el lugar de trabajo (Estas actividades pueden ser reactivos o proactivos en la
naturaleza)
Anlisis de los objetivos de seguridad establecidos
NORMA ISO/PAS 28004 / 2006
Pgina 25 de 67
Registros anteriores de no conformidades e incidentes de seguridad
Resultados de la revisin por la direccin (vase 4.6 ).
d) Proceso
El proceso se define en los programas de seguridad y es las metas alcanzables para cumplir el
objetivo (s).
El uso de la informacin o los datos de los insumos, la gestin adecuada debe identificar,
establecer y priorizar los objetivos de seguridad. Los objetivos deben ser especficos, basados y
medibles.
Durante el establecimiento de objetivos de seguridad, prestando especial atencin se debe dar a
la informacin o los datos de los ms propensos a ser afectados por los objetivos de seguridad
individuales, ya que esto puede ayudar a garantizar que sean razonable y ms ampliamente
aceptada. Tambin es til tener en cuenta la informacin o datos de fuentes externas a la
organizacin, por ejemplo, de contratistas, proveedores, socios comerciales, la polica y la
inteligencia o las partes interesadas.
Reuniones por los niveles adecuados de gestin para el establecimiento de objetivos de seguridad
deben ser revisadas despus modificados los objetivos de seguridad. Para algunas organizaciones,
puede haber una necesidad de documentar el proceso de de establecer los objetivos de seguridad.
Los objetivos de seguridad deben abordar tanto los problemas de seguridad de las empresas
grandes y las cuestiones de seguridad que son especficos a la cadena de suministro (s), funciones
individuales y los niveles dentro de la organizacin.
Indicadores adecuados deben definirse para cada objetivo de seguridad. Estos indicadores deben
permitir el monitoreo de la aplicacin de los objetivos de seguridad.
Objetivos de seguridad deben ser razonables y alcanzables, en que la organizacin debe tener la
capacidad de llegar ellos y monitorear el progreso. Una escala de tiempo razonable y alcanzable
debe definirse para la realizacin de cada objetivo de seguridad.
Objetivos de seguridad pueden desglosarse en objetivos distintos, dependiendo del tamao de la
organizacin, la complejidad del objetivo de seguridad y su escala de tiempo. Debe haber vnculos
claros entre los distintos niveles de objetivos y metas de seguridad.
Ejemplos de tipos de objetivos de seguridad incluyen:
Reduccin de los niveles de riesgo dentro de un plazo determinado
La introduccin de nuevas tecnologas para reducir el riesgo o mitigar los impactos de las
amenazas de seguridad
Las medidas adoptadas para mejorar las instalaciones existentes y su calendario
NORMA ISO/PAS 28004 / 2006
Pgina 26 de 67
La eliminacin o la reduccin en la frecuencia de incidente en particular no deseado (s).
Los objetivos de seguridad deben comunicarse (por ejemplo, a travs de sesiones de formacin o
de informacin de grupo vase 4.4.2 ) para personal y relevantes desplegarse a travs del
programa (s) de gestin de seguridad (ver 4.3.4 ).
e) Las salidas tpicas
Las salidas tpicas incluyen documentos, en su caso, los objetivos de seguridad viables
mensurables para cada funcin en la organizacin.
4.3.5 programas de gestin de seguridad
a) ISO / PAS 28000 requisito
La organizacin debe establecer, implementar y mantener programas de gestin de la seguridad
para el logro de sus objetivos y metas.
Los programas sern optimizados y luego priorizados y la organizacin establecern la eficiencia y
el costo de la aplicacin efectiva de estos programas.
Esto incluir la documentacin que describe:
a) la responsabilidad y la autoridad designada para el logro de objetivos y metas de gestin de la
seguridad
b) los medios y el calendario por el cual los objetivos y metas de gestin de seguridad han de ser
alcanzados.
Los programas de gestin de la seguridad se revisarn peridicamente para asegurarse de que
sean eficaces y en consonancia con los objetivos y metas. En caso necesario se modificarn los
programas en consecuencia.
b) Intencin
Los programas de gestin de seguridad deben vincularse directamente con los objetivos y metas.
Cada programa de gestin debe describir cmo la organizacin se traducir sus metas y
compromisos de poltica en acciones definidas de manera que se logren los objetivos y metas de
seguridad. El programa requerir la desarrollo de estrategias y planes de accin a tomar, que debe
ser documentado y comunicado.
El progreso del programa en lo que respecta al cumplimiento del objetivo establecido (s) se debe
supervisar, revisar y grabada. La estrategia de la disuasin y la mitigacin del programa debe
basarse en los resultados de amenaza a la seguridad y la gestin de la identificacin de peligros y
evaluacin de riesgos, (tales como: anlisis de impacto, evaluacin de programas, la experiencia
operacional).
NORMA ISO/PAS 28004 / 2006
Pgina 27 de 67
c) Las entradas tpicas
Entrada incluyen los siguientes elementos:
Objetivos y metas de seguridad
Los requisitos legales y de otro tipo
Resultados de la identificacin de amenazas de seguridad, evaluacin de riesgos y gestin
de riesgos
Detalles de las operaciones de la organizacin
Informacin de entrada de seguridad de los empleados, revisin y mejora de las
actividades en el lugar de trabajo (estos actividades pueden ser reactivos o proactivos en
la naturaleza)
Examinado las posibilidades disponibles de nuevas o diferentes opciones tecnolgicas
Actividades de mejora continua
La disponibilidad de los recursos necesarios para lograr los objetivos de seguridad de la
organizacin.
d) Proceso
El programa de gestin de la seguridad debe definir:
Las responsabilidades para alcanzar los objetivos
Los medios para lograr los objetivos
El plazo para el logro de esos objetivos.
El programa debe considerar la mitigacin de las amenazas a travs metodolgico y las opciones
tecnolgicas y la experiencia de otras entidades, teniendo en cuenta los requisitos financieros,
operacionales y de negocio as como las opiniones de las organizaciones asociadas y las partes
interesadas.
Se debe prever la asignacin de la responsabilidad y la autoridad adecuada para cada tarea y
asignar tiempo- escalas para cada tarea individual, con el fin de satisfacer la escala de tiempo
global del objetivo de seguridad relacionada. Debera disponerse la asignacin de recursos
adecuados (por ejemplo, financieros, humanos, equipos, logstica) para cada tarea.
Cuando se prevea que las alteraciones o modificaciones en las prcticas de trabajo, procesos,
equipos o instalaciones significativas, el programa debe prever nuevos ejercicios de identificacin
de amenaza a la seguridad y evaluacin de riesgos.
El programa de gestin de la seguridad debe prever la consulta del personal pertinente sobre los
cambios esperados.
e) Las salidas tpicas
NORMA ISO/PAS 28004 / 2006
Pgina 28 de 67
Los Salidas tpicas incluyen definido, programa de gestin de la seguridad documentada (s) para la
consecucin de los objetivos y los objetivos describe en 4.3.3 y 4.3.4.
4.4 Implementacin y operacin
Figura 4 - Implementacin y operacin
4.4.1 Estructura, autoridad y responsabilidades para la gestin de la seguridad
a) ISO / PAS 28000 requisito
La organizacin debe establecer y mantener una estructura organizativa de las funciones,
responsabilidades y autoridades, consistente con el logro de sus polticas de gestin de seguridad,
objetivos, metas y programas.
Estas funciones, responsabilidades y autoridad se deben definir, documentar y comunicar a la las
personas responsables de su ejecucin y mantenimiento.
La alta direccin debe proporcionar evidencia de su compromiso con el desarrollo y la aplicacin
del sistema de gestin de la seguridad (procesos) y la mejora continua de su eficacia:
a) nombra a un miembro de la alta direccin que, con independencia de otras responsabilidades,
debe ser responsable para el diseo general, el mantenimiento, la documentacin y la mejora de
la seguridad de la organizacin sistema de gestin
b) nombrar (a) miembro (s) de la gestin de la autoridad necesaria para asegurar que los objetivos
y objetivos se implementan
c) la identificacin y seguimiento de los requerimientos y expectativas de las partes interesadas de
la organizacin y tomar las medidas adecuadas y oportunas para gestionar estas expectativas
d) Garantizar la disponibilidad de los recursos adecuados
NORMA ISO/PAS 28004 / 2006
Pgina 29 de 67
e) teniendo en cuenta el impacto negativo que la poltica de gestin de la seguridad Objetivos,
metas, programas, etc., pueden tener sobre otros aspectos de la organizacin
f) asegurando cualquier programa de seguridad generados por otras partes de la organizacin
complementan el sistema de gestin de la seguridad
g) comunicando a la organizacin la importancia de satisfacer sus requisitos de gestin de la
seguridad en Para cumplir con su poltica
h) la garanta de amenazas y riesgos relacionados con la seguridad se evalan y se incluye en la
amenaza de la organizacin y el riesgo evaluaciones, segn proceda
i) garantizar la viabilidad de las de gestin de seguridad objetivos, metas y programas.
b) Intencin
Para facilitar la gestin de seguridad eficaz es necesario que las funciones, responsabilidades y
autoridades estn definidas, documentadas y comunicadas. Slo la seguridad del personal (vase
la definicin en la Clusula 3) aclar debera ser utilizado para tareas crticas de seguridad. Los
recursos adecuados deberan tomar medidas para que las tareas de seguridad a ser realizado.
c) Las entradas tpicas
Insumos tpicos incluyen los siguientes:
Estructura organizacional
Resultados de la identificacin de riesgos de seguridad, evaluacin de riesgos y de
control de riesgos
Los objetivos de seguridad, objetivos y programas
Los requisitos legales y de otro tipo
Descripciones de los puestos
Listas de personal de seguridad calificados que necesitan y / o han recibido autorizacin
de seguridad.
d) Proceso
1) Informacin general
Las responsabilidades y autoridad de todas las personas que desempeen funciones que forman
parte de la seguridad sistema de gestin debe ser definido, incluyendo una definicin clara de
responsabilidades en las interfaces entre las diferentes funciones.
Estas definiciones pueden, entre otras cosas, ser necesarias para las siguientes categoras de
personas:
La alta direccin
Gestin de la lnea en todos los niveles de la organizacin
Los responsables de los contratistas y visitantes que tienen acceso a los locales y sus
empleados
Los responsables de la formacin en seguridad
Los responsables de los equipos y operaciones que sean fundamentales para la seguridad
NORMA ISO/PAS 28004 / 2006
Pgina 30 de 67
Empleados con autorizacin de seguridad u otros especialistas de seguridad, dentro de la
organizacin
Representantes de seguridad empleado en los foros de consulta.
Sin embargo, la organizacin debe comunicar y promover la idea de que la seguridad es
responsabilidad de todos en la organizacin, no slo la responsabilidad de aquellos que con la
gestin de seguridad definida funciones del sistema.
2) La definicin de las responsabilidades de alta direccin
La responsabilidad de la alta direccin debe incluir la definicin de la poltica de seguridad de la
organizacin y
Asegurando que el sistema de gestin de la seguridad se implementa. Como parte de este
compromiso, una especfica
Representante de la direccin con responsabilidades definidas y la autoridad de aplicacin del
Sistema de gestin seguridad debe ser designado por la alta direccin. (En organizaciones grandes
o complejas puede haber ms de un representante designado).
3) Definicin de gestin de seguridad de responsabilidades representativas
El representante de la direccin de seguridad debe tener la responsabilidad y autoridad para
asegurar que el sistema de gestin de la seguridad es implementado y documentado, tener
acceso continuo a la alta direccin y el apoyo de otros miembros del personal que han delegado
responsabilidades para supervisar el general funcionamiento de la funcin de seguridad. El
representante de la direccin debe ser informado peridicamente del rendimiento del sistema y
debe conservar una participacin activa en los exmenes peridicos y el establecimiento de los
objetivos de seguridad. Debe garantizarse que ninguna otra funcin o funciones asignadas a este
personal no entren en conflicto con el cumplimiento de sus responsabilidades de seguridad.
4) las responsabilidades de gestin de lnea Definicin
Responsabilidad de la gestin de la lnea debe incluir la garanta de que la seguridad se gestiona
dentro de su rea de operaciones. Donde responsabilidad primordial en materia de seguridad
recae en la gerencia de lnea, el papel y la responsabilidades de cualquier funcin de seguridad
especialista dentro de la organizacin deben definirse adecuadamente para evitar la ambigedad
con respecto a las responsabilidades y autoridades. Esto debe incluir disposiciones a resolver
cualquier conflicto entre las cuestiones de seguridad y las consideraciones de productividad por la
escalada a un mayor nivel de gestin.
5) Documentacin de las funciones y responsabilidades
Responsabilidades de seguridad y las autoridades deben documentarse en una forma apropiada
para la organizacin.
NORMA ISO/PAS 28004 / 2006
Pgina 31 de 67
Esto puede tomar una o ms de las siguientes formas o una alternativa a eleccin de la
organizacin:
Manuales del sistema de gestin de seguridad
Procedimientos y descripciones de las tareas de trabajo
Descripciones de los puestos
Programas de paquetes y sensibilizacin capacitacin de induccin.
Si la organizacin opta por emitir descripciones de trabajo escrito que cubra otros
aspectos de la participacin de los empleados
y responsabilidades, entonces las responsabilidades de seguridad deben ser incorporados
en esas descripciones de trabajo.
6) Comunicacin de las funciones y responsabilidades
Responsabilidades de seguridad y las autoridades deben comunicarse adecuadamente a aquellos a
quienes afectan dentro de la organizacin. Esto debera garantizar que las personas a entender el
alcance y las interfaces entre las diversas funciones y los canales que se utiliza para iniciar la
accin.
7) Recursos
La administracin debe asegurar que los recursos adecuados estn disponibles para el
mantenimiento de un seguro cadena de suministro, incluyendo equipamiento, recursos humanos,
conocimientos y formacin.
Los recursos pueden ser considerados adecuados si son suficientes para llevar a cabo los
programas de seguridad y actividades, incluyendo la medicin y monitoreo del desempeo.
Para las organizaciones con sistemas de gestin de seguridad establecidos, la adecuacin de los
recursos puede ser a menos parcialmente evaluado mediante la comparacin del rendimiento
previsto de los objetivos de seguridad con los resultados reales.
8) Compromiso de la direccin
Los gerentes deben proporcionar demostracin visible de su compromiso con la seguridad.
Medios de demostracin pueden incluir la visita y la inspeccin de los sitios, la participacin en la
investigacin de incidentes de seguridad y proporcionar recursos en el contexto de las medidas
correctivas, la asistencia a las reuniones de seguridad y los mensajes que emiten de apoyo.
e) Los productos tpicos
Los Entradas tpicas incluyen los siguientes:
Definiciones de las responsabilidades de seguridad y autoridades para todo el personal
pertinente
NORMA ISO/PAS 28004 / 2006
Pgina 32 de 67
Documentacin de roles / responsabilidades en manuales / procedimientos / mdulos de
capacitacin
Proceso de comunicacin de los roles y responsabilidades a todos los empleados y otras
partes interesadas
Participacin activa de gestin y apoyo a la seguridad, a todos los niveles.
4.4.2 Competencia, formacin y sensibilizacin
a) ISO / PAS 28000 requisito
La organizacin debe asegurarse de que el personal responsable del diseo, operacin y gestin
de equipos y procesos de seguridad estn debidamente cualificados en materia de educacin,
formacin y / o experiencia.
La organizacin debe establecer y mantener procedimientos para que las personas que trabajan
para ella o en su nombre consciente de:
a) la importancia del cumplimiento de la poltica de gestin de la seguridad y procedimientos, ya la
requisitos del sistema de gestin de la seguridad
b) sus funciones y responsabilidades en el logro del cumplimiento con la poltica de gestin de la
seguridad y procedimientos y con los requisitos del sistema de gestin de la seguridad, incluyendo
emergencia requisitos de preparacin y respuesta
c) las consecuencias potenciales para la seguridad de la organizacin por apartarse de
funcionamiento especificado procedimientos.
Registros de competencia y entrenamiento se mantendrn.
b) Intencin
Las organizaciones deben contar con procedimientos efectivos para asegurar que el personal es
competente para llevar a cabo su designado funciones de seguridad y estar al tanto de los riesgos
de seguridad.
c) Las entradas tpicas
Entrada incluyen los siguientes elementos:
Definiciones de roles y responsabilidades
Descripciones de trabajo (con los detalles de las tareas de seguridad que se deben
realizar)
Las evaluaciones de desempeo de los empleados
Resultados de la identificacin de riesgos de seguridad, evaluacin de riesgos y de control
de riesgos
Procedimientos e instrucciones de funcionamiento
NORMA ISO/PAS 28004 / 2006
Pgina 33 de 67
La poltica de seguridad y de seguridad objetivos
Programas de seguridad.
d) Proceso
Los siguientes elementos deben ser incluidos en el proceso:
Una identificacin sistemtica de la conciencia y de las competencias de seguridad
necesarias en cada nivel y funcionar dentro de la organizacin
Medidas para detectar y remediar las deficiencias entre el nivel actualmente posee el
La conciencia y la competencia individual y la seguridad requerida
Prestacin de cualquier entrenamiento identificado como necesarias, de manera oportuna
y sistemtica
Evaluacin de los individuos para garantizar que se han adquirido y que mantienen, el
conocimiento y la
Competencia requerida
Mantenimiento de registros apropiados de formacin y competencia de un individuo.
NOTA Fuerte nfasis en la concienciacin sobre la seguridad en toda la organizacin es importante
para una seguridad xito sistema de gestin y su aplicacin efectiva.
Una conciencia de seguridad y programa de formacin deben establecerse y mantenerse para
abordar las siguientes reas:
Conciencia permanente de los riesgos de seguridad y amenazas
La comprensin de las disposiciones de seguridad de la organizacin y las funciones especficas de
los individuos y responsabilidades
Un programa sistemtico de induccin y capacitacin continua para los empleados y los que
transferir entre divisiones, sitios, departamentos, reas, trabajos o tareas dentro de la
organizacin
Formacin en la organizacin local de seguridad y riesgo para la seguridad, los riesgos, las
precauciones que deben tomarse y los procedimientos a seguir, esta formacin se proporciona
antes de que comience el trabajo
Capacitacin para realizar la identificacin de riesgos de seguridad, evaluacin de riesgos y control
de riesgos (ver 4.3.1d )
Especfica en formacin interna o externa que puede ser necesaria para los trabajadores con
funciones especficas en el sistema de seguridad, incluidos los representantes de seguridad de los
empleados
La capacitacin de todas las personas que manejan los empleados, contratistas y otros (por
ejemplo, trabajadores temporales), en sus responsabilidades de seguridad. Esto es para asegurar
NORMA ISO/PAS 28004 / 2006
Pgina 34 de 67
que tanto ellos como los que estn bajo su control a entender las amenazas a la seguridad y los
riesgos de las operaciones de las que son responsables, all donde se produzcan.
Adems, esto es para garantizar que el personal tenga las competencias necesarias para llevar a
cabo las actividades con seguridad, siguiendo los procedimientos de seguridad
Las funciones y responsabilidades (incluyendo responsabilidades legales corporativos e
individuales) de la alta direccin para garantizar que las funciones del sistema de gestin de la
seguridad para controlar los riesgos y minimizar enfermedad, lesin y otras prdidas para la
organizacin
Programas de formacin y sensibilizacin para los contratistas, trabajadores temporales y
visitantes, de acuerdo con el nivel de riesgo al que estn expuestos.
La eficacia de los programas de formacin y sensibilizacin debe ser evaluada. Esto puede incluir la
evaluacin como parte del ejercicio de entrenamiento y / o cheques de campo apropiados para
establecer si la competencia y suficiente la conciencia se ha alcanzado o para monitorear el
impacto a largo plazo de la formacin impartida.
e) Las salidas tpicas
Los Salidas tpicas incluyen los siguientes elementos:
Requisitos de competencia para los roles individuales
Anlisis de las necesidades de formacin
Programas / planes de formacin
Gama de cursos de capacitacin y / productos disponibles para su uso dentro de la
organizacin
Registro de entrenamiento y actas de la evaluacin de la eficacia y de la formacin
Programas de sensibilizacin sobre la seguridad
Evaluacin de concienciacin sobre la seguridad.
4.4.3 Comunicacin
a) ISO / PAS 28000 requisito
La organizacin debe tener procedimientos para garantizar que la informacin de gestin de la
seguridad pertinente es comunicada desde y hacia los empleados pertinentes, contratistas y otras
partes interesadas.
Debido a la naturaleza sensible de cierta informacin relacionada con la seguridad, la debida
consideracin se debe dar a la sensibilidad de la informacin antes de su difusin.
b) Intencin
NORMA ISO/PAS 28004 / 2006
Pgina 35 de 67
La organizacin debe fomentar la participacin en las buenas prcticas de seguridad y el apoyo a
su poltica de seguridad y los objetivos de seguridad, de todos los afectados por sus operaciones a
travs de un proceso de consulta y la comunicacin.
c) Las entradas tpicas
Entrada incluyen los siguientes elementos:
La poltica de seguridad y de seguridad objetivos
Documentacin del sistema de gestin de seguridad pertinentes
Los procedimientos de identificacin de riesgos de seguridad, evaluacin de riesgos y de
control de riesgos
Definiciones de los roles y responsabilidades de seguridad resultados de las consultas
formales e informales de seguridad de los empleados con la administracin
Los detalles del programa de capacitacin
Informacin relevante de fuentes externas.
d) Proceso
La organizacin debe documentar y promover las condiciones que permitan consultar y
comunicar la informacin de seguridad pertinente y de sus empleados y otras partes interesadas
(por ejemplo, contratistas, visitantes, partes interesadas, socios comerciales, autoridades).
Esto debe incluir disposiciones para involucrar a los empleados en los siguientes procesos:
Consulta sobre el desarrollo y la revisin de las polticas, el desarrollo y la revisin de la seguridad
Objetivos y decisiones sobre la aplicacin de los procesos y procedimientos para la gestin de
riesgos, incluyendo.
Realizacin de evaluaciones de riesgos de seguridad y controles de riesgo relevantes para sus
propias actividades
Consulta sobre los cambios que afectan a la seguridad del lugar de trabajo, tales como la
introduccin de nuevas o modificadas, equipos, instalaciones, productos qumicos, tecnologas,
procesos, procedimientos o pautas de trabajo.
Los empleados deben ser alentados a comentar sobre asuntos de seguridad y deben ser
informados de la gestin de la cadena de suministro de mando de la seguridad.
e) Los Salidas tpicas
Los salidas tpica sincluyen los siguientes:
Gestin y empleados de consultas formales a travs de consejos de seguridad u
organismos similares
NORMA ISO/PAS 28004 / 2006
Pgina 36 de 67
Participacin de los empleados en la identificacin de riesgos de seguridad, evaluacin de
riesgos y control de riesgos
Iniciativas para fomentar las consultas de seguridad de los empleados, revisin y
actividades de mejora de la lugar de trabajo y la retroalimentacin de la gestin en
materia de seguridad
Representantes de seguridad de los empleados con roles definidos y mecanismos de
comunicacin con la administracin, incluyendo, por ejemplo, la participacin en
accidentes e incidentes, inspecciones de seguridad del sitio, etc .
Sesiones informativas de seguridad para los empleados y otras partes interesadas, por
ejemplo, contratistas o visitantes
Tablones de anuncios que contienen informacin de seguridad
Boletn de seguridad
Programa cartel de la seguridad
Otros medios para el intercambio de informacin sensible de la seguridad y los informes
con las autoridades y suministro adecuados socios de la cadena.
4.4.4 Documentacin
a) ISO / PAS 28000 requisito
La organizacin debe establecer y mantener un sistema de gestin de la documentacin de
seguridad que incluye, pero no se limita a lo siguiente:
a) la poltica de seguridad, objetivos y metas,
b) la descripcin del alcance del sistema de gestin de la seguridad,
c) descripcin de los principales elementos del sistema de gestin de la seguridad y su interaccin
y la referencia a los documentos relacionados,
d) los documentos, incluyendo los registros requeridos en esta norma internacional, y
e) determinados por la organizacin como necesarios para asegurar la eficaz planificacin,
operacin y control de los procesos que se relacionan con sus importantes amenazas y riesgos de
seguridad.
La organizacin debe determinar la sensibilidad de seguridad de la informacin y tomar las
medidas necesarias para prevenir el acceso no autorizado.
b) Intencin
La organizacin debe documentar y mantener hasta al da la documentacin para asegurarse de
que su seguridad sistema de gestin puede ser entendido e implementado y operado de manera
efectiva.
NORMA ISO/PAS 28004 / 2006
Pgina 37 de 67
c) Las entradas tpicas
Entrada incluyen los siguientes elementos:
Detalles de los sistemas de informacin y documentacin de la organizacin desarrolla para
apoyar su sistema de gestin de seguridad y actividades de seguridad y cumplir con los requisitos
de la norma ISO 28000 / PAS;
Responsabilidades y autoridades
Informacin sobre las instalaciones en las que se utiliza la documentacin o informacin y las
limitaciones que esto puede poner en la naturaleza fsica de la documentacin o el uso de
electrnica u otros medios.
d) Proceso
La organizacin debe identificar los datos y la informacin que se necesita para que el sistema de
gestin de seguridad, antes de desarrollar la documentacin necesaria para apoyar sus procesos
de seguridad y sistema de gestin de la seguridad.
No hay ningn requisito para desarrollar la documentacin en un formato particular con el fin de
ajustarse a ISO / PAS 28000, ni es necesario sustituir la documentacin existente, como manuales,
procedimientos o instrucciones de trabajo si stos describen adecuadamente los acuerdos
actuales. Si la organizacin ya ha establecido una, documentacin del sistema de gestin de la
seguridad, puede resultar ms conveniente y eficaz para que se desarrolle, para ejemplo, un
documento de referencia cruzada que describe la interrelacin entre sus procedimientos
existentes y los requisitos de la norma ISO 28000 / PAS.
Debe tenerse en cuenta lo siguiente:
Las responsabilidades y las autorizaciones de los usuarios de la documentacin e informacin, ya
que esto debe conducir a la determinacin del grado de seguridad y accesibilidad que debe
imponerse
La manera en que se utiliza documentacin fsica y el medio ambiente en el que se utiliza. Similar
se debe considerar en relacin con el uso de equipos electrnicos para sistemas de informacin.
e) Los salidas tpicas
Las salidas tpicas incluyen los siguientes elementos:
Documentacin del sistema de gestin de seguridad de documento general
Los registros de documentos, listas de maestros o ndices
procedimientos
Instrucciones de trabajo.
4.4.5 Documentos y datos de control
NORMA ISO/PAS 28004 / 2006
Pgina 38 de 67
a) ISO / PAS 28000 requisito
La organizacin debe establecer y mantener procedimientos para controlar todos los documentos,
datos e informacin requerida por la clusula 4 de la presente especificacin disponible al pblico
para asegurar que:
a) estos documentos, datos e informacin pueden ser localizados y accesibles por las personas
autorizadas
b) estos documentos, datos e informacin son revisadas peridicamente, revisada cuando sea
necesario y aprobados, por personal autorizado
c) las versiones actualizadas de los documentos pertinentes, los datos y la informacin estn
disponibles en todos los lugares donde se llevan a cabo operaciones esenciales para el
funcionamiento eficaz del sistema de gestin de la seguridad
d) los documentos obsoletos, los datos y la informacin se retiran rpidamente de todos los
puntos de emisin y los puntos de usar o asegurado de otro modo ellos un uso inadecuado
e) archivsticas documentos, datos e informacin retenidos con fines de conservacin legal o el
conocimiento o ambos son adecuadamente identificados
f) estos documentos, los datos y la informacin son seguros y si en formato electrnico estn
suficientemente apoyadas y puede ser recuperado.
b) Intencin
Todos los documentos y datos que contienen informacin crtica para el funcionamiento del
sistema de gestin de la seguridad y el desempeo de las actividades de seguridad de la
organizacin, debe ser identificado y controlado.
c) Las entradas tpicas
Entrada incluyen los siguientes elementos:
Detalles de los sistemas de documentacin y datos de la organizacin desarrolla para apoyar la
seguridad del sistema de gestin y las actividades de seguridad y cumplir con los requisitos de la
norma ISO 28000 / PAS
Detalles de las responsabilidades y autoridades.
d) Proceso
Los procedimientos escritos deben definir los controles para la identificacin, aprobacin, emisin,
acceso y eliminacin de documentacin de seguridad, junto con el control de seguridad de los
datos. Estos procedimientos deben definir claramente las categoras de documentacin y datos a
los que se aplican y el nivel de clasificacin basado en la seguridad y sensibilidad.
NORMA ISO/PAS 28004 / 2006
Pgina 39 de 67
Documentacin y datos deben estar disponibles y accesibles al personal autorizado cuando sea
necesario, bajo condiciones rutinarias y no rutinarias, incluidas las emergencias.
e) Los productos tpicos
Los Entradas tpicas incluyen los siguientes elementos:
Documentar procedimiento de control, incluyendo responsabilidades y autoridades
asignadas
Los registros de documentos, listas de maestros o ndices
Lista de la documentacin controlada y su ubicacin
Los registros de archivos.
4.4.6 Control operacional
a) ISO / PAS 28000 requisito
La organizacin debe identificar aquellas operaciones y actividades que son necesarias para lograr:
a) su poltica de gestin de la seguridad
b) el control de las amenazas y riesgos de seguridad identificados
c) el cumplimiento de los requisitos de seguridades reglamentarias legales, estatutarias y de otro
tipo
d) sus objetivos de gestin de la seguridad
e) la ejecucin de sus programas de gestin de la seguridad
f) el nivel requerido de seguridad de la cadena de suministro.
La organizacin debe asegurarse de que estas operaciones y actividades se llevan a cabo en las
condiciones especificadas por:
a) establecer, implementar y mantener procedimientos documentados para controlar situaciones
en las que su ausencia podra llevar al fracaso para lograr las operaciones y actividades que
figuran en 4.4.6 a) al f) anterior
b) evaluar las amenazas planteadas por las actividades de la cadena de suministro de aguas arriba
y la aplicacin de controles para mitigar los impactos a las tesis de la organizacin y otros
operadores de la cadena de suministro de aguas abajo;
c) establecer y mantener los requisitos para los productos o servicios que tienen un impacto sobre
la seguridad y comunicarlas a los proveedores y contratistas.
NORMA ISO/PAS 28004 / 2006
Pgina 40 de 67
Estos procedimientos deben incluir controles para el diseo, instalacin, operacin, renovacin y
modificacin de los artculos relacionados con la seguridad de los equipos, instrumentacin, etc.,
segn el caso. Cuando los acuerdos existentes son revisadas o nuevas disposiciones introducidas,
que podran tener un impacto en las operaciones y actividades de gestin de la seguridad, la
organizacin debe considerar las amenazas de seguridad asociadas y los riesgos antes de su
aplicacin. Las nuevas o revisadas arreglos que deben considerarse incluirn:
a) revisado de organizacin estructura, roles o responsabilidades
b) la poltica de gestin de seguridad revisada, objetivos, metas y programas
c) los procesos y procedimientos revisados
d) la introduccin de la nueva infraestructura, equipamiento o tecnologa de seguridad, que puede
incluir hardware y / o software
e) la introduccin de nuevos contratistas, proveedores o personal, segn corresponda.
b) Intencin
La organizacin debe establecer y mantener medidas para asegurar la aplicaci