Безопасность и устойчивость — Системы менеджмента безопасности — Требования
ИСО 28000 (ISO 28000:2022) — Менеджмент безопасности цепи поставок
Стандарт ИСО 28000 (ISO 28000) — международный документ, устанавливающий требования к системе менеджмента безопасности (СМБ) организаций, участвующих в цепи поставок. Разработан техническим комитетом ISO/TC 292 «Безопасность и устойчивость» Международной организации по стандартизации (ISO).
Актуальная версия — ИСО 28000:2022 — опубликована в марте 2022 года и представляет собой полную переработку предыдущей версии ISO 28000:2007. Ключевое отличие: стандарт переведён на структуру высокого уровня (Harmonized Structure, бывш. Annex SL), что обеспечивает интеграцию с другими системами менеджмента — ИСО 9001, ИСО 14001, ИСО 45001, ИСО 22301 и ИСО 27001.
В отличие от версии 2007 года, которая была ориентирована преимущественно на логистику, ИСО 28000:2022 применяется ко всем организациям в цепи поставок — производителям, складам, перевозчикам, таможенным операторам, ритейлерам и дистрибьюторам. Стандарт охватывает физическую безопасность, безопасность персонала и грузов, информационную безопасность и кризисное управление.
Почему ИСО 28000 важен
- Уполномоченный экономический оператор (УЭО) — сертификат ИСО 28000 подтверждает соответствие критериям безопасности, необходимым для получения статуса УЭО в ЕАЭС и ЕС (AEO)
- Таможенные преимущества — ускоренное таможенное оформление, сокращение проверок, упрощённые процедуры ФТС РФ
- Международная торговля — партнёры из ЕС, США и Азии требуют подтверждения безопасности цепи поставок; ИСО 28000 признаётся глобально
- Снижение потерь — системный подход к управлению угрозами снижает кражи, подмены грузов, контрабанду и саботаж
- Страхование — наличие сертифицированной СМБ позволяет снизить страховые премии на грузы и ответственность
- Соответствие C-TPAT (США) — требования ИСО 28000 покрывают критерии Customs-Trade Partnership Against Terrorism, необходимые для экспорта в США
- Кризисная устойчивость — стандарт включает требования к управлению кризисами и непрерывности бизнеса в цепи поставок
Структура стандарта — 10 разделов
Стандарт ИСО 28000:2022 построен по гармонизированной структуре (Harmonized Structure, HLS). Разделы 1–3 носят вводный характер, разделы 4–10 содержат обязательные требования:
| Раздел | Название | Ключевые требования |
|---|---|---|
| 4 | Контекст организации | Анализ внешних и внутренних факторов, потребности заинтересованных сторон, область применения СМБ, угрозы безопасности цепи поставок |
| 5 | Лидерство | Обязательства руководства, политика безопасности, роли и ответственность, интеграция безопасности в бизнес-процессы |
| 6 | Планирование | Оценка рисков и угроз безопасности, цели безопасности и планы их достижения, управление изменениями |
| 7 | Поддержка | Ресурсы, компетентность персонала, осведомлённость, внутренние и внешние коммуникации, документированная информация |
| 8 | Деятельность | Оперативное планирование и контроль, управление физической безопасностью, безопасность грузов, проверка персонала, ИТ-безопасность |
| 9 | Оценка результатов | Мониторинг и измерение, внутренний аудит безопасности, анализ со стороны руководства, оценка эффективности мер |
| 10 | Улучшение | Несоответствия и корректирующие действия, реагирование на инциденты безопасности, постоянное улучшение СМБ |
Ключевые нововведения версии 2022
- Полная переработка структуры — стандарт переписан с нуля по Harmonized Structure (HLS), заменив уникальную структуру версии 2007 года
- Расширение области применения — вместо фокуса на логистику стандарт теперь применим ко всем участникам цепи поставок: от производства до розничной продажи
- Риск-ориентированный подход — системная оценка угроз безопасности с учётом вероятности и последствий вместо реактивного реагирования
- Интеграция с другими системами менеджмента — единая структура позволяет объединить ИСО 28000 с ИСО 9001 (качество), ИСО 14001 (экология), ИСО 45001 (охрана труда), ИСО 22301 (непрерывность бизнеса) и ИСО 27001 (информационная безопасность)
- Кризисное управление — новые требования к планам реагирования на инциденты безопасности и обеспечению непрерывности цепи поставок
- Контекст организации — обязательный анализ внешней и внутренней среды, включая геополитические риски, санкционные ограничения, природные катастрофы
- Усиление требований к персоналу — проверка благонадёжности, управление доступом, программы осведомлённости о безопасности
Жизненный цикл стандарта
Этапы внедрения ИСО 28000
Внедрение системы менеджмента безопасности по ИСО 28000 занимает от 4 до 12 месяцев в зависимости от масштаба организации и сложности цепи поставок.
Идентификация активов цепи поставок, картирование потоков грузов, определение уязвимостей. Оценка текущего уровня безопасности относительно требований ИСО 28000:2022.
Политика безопасности цепи поставок, процедуры оценки рисков, планы реагирования на инциденты, регламенты физической и информационной безопасности.
Программы осведомлённости о безопасности для всех сотрудников. Углублённое обучение ответственных за безопасность. Подготовка внутренних аудиторов СМБ.
Установка систем контроля доступа, видеонаблюдения, пломбирования грузов. Внедрение проверки благонадёжности персонала. Настройка ИТ-безопасности.
Проверка работоспособности планов реагирования на инциденты. Моделирование угроз: кража, подмена, несанкционированный доступ. Корректировка процедур по результатам.
Полная проверка СМБ на соответствие всем требованиям ИСО 28000:2022. Выявление и устранение несоответствий до сертификационного аудита.
Двухэтапный аудит: анализ документации (этап 1) + аудит на месте с проверкой объектов, складов, транспорта (этап 2). Выдача сертификата ИСО 28000.
Типичные ошибки при внедрении
| Ошибка | Последствие | Правильный подход |
|---|---|---|
| Фокус только на физическую безопасность | Игнорируются информационные угрозы и безопасность персонала | Комплексный подход: физика + ИТ + персонал + грузы |
| Копирование документов версии 2007 | Несоответствие новой структуре HLS, провал аудита | Разработка с нуля по 10-разделной структуре 2022 |
| Формальная оценка рисков | Реальные угрозы не выявлены, инциденты повторяются | Методичная идентификация угроз по каждому звену цепи |
| Нет вовлечённости партнёров | Безопасность нарушается на стороне контрагентов | Требования безопасности в договорах с поставщиками |
| Отсутствие учебных тревог | Персонал не готов к реальным инцидентам | Регулярные учения и тестирование планов реагирования |
ИСО 28000 в России
В России действует ГОСТ Р ИСО 28000-2019, основанный на международном стандарте ISO 28000:2007. После выхода ISO 28000:2022 ведётся разработка нового ГОСТ, гармонизированного с актуальной версией. До утверждения нового ГОСТ сертификация проводится по международному стандарту ИСО 28000:2022.
УЭО и таможня
Сертификация по ИСО 28000 тесно связана со статусом уполномоченного экономического оператора (УЭО). Требования ФТС РФ к обеспечению безопасности цепи поставок (Федеральный закон № 289-ФЗ «О таможенном регулировании в РФ», глава 61) во многом совпадают с положениями ИСО 28000. Наличие сертифицированной СМБ упрощает прохождение проверок ФТС и получение статуса УЭО, который даёт право на сокращение таможенных проверок, ускоренное оформление деклараций и снижение обеспечения уплаты пошлин.
Требования ИСО 28000 также соответствуют критериям программы AEO (Authorized Economic Operator) в ЕАЭС и программы C-TPAT (Customs-Trade Partnership Against Terrorism) для экспорта в США. Организации с сертификатом ИСО 28000 получают преимущества во взаимном признании УЭО/AEO между таможенными органами.
Сроки и стоимость
Средний срок подготовки к сертификации: 4–8 месяцев. При наличии действующей системы менеджмента (ИСО 9001, ИСО 22301) — от 2 месяцев благодаря интеграции по HLS. Стоимость сертификации по ИСО 28000: от 70 000 ₽ для малых организаций, от 120 000 ₽ для средних (склады, логистические центры), от 200 000 ₽ для крупных (порты, мультимодальные операторы). Подробный расчёт стоимости.
Выбор органа по сертификации
Для признания сертификата за рубежом и таможенными органами выбирайте орган с аккредитацией в IAF MLA (International Accreditation Forum). Это гарантирует признание сертификата в 100+ странах. Для целей получения статуса УЭО рекомендуется сертификация в органе, аккредитованном Росаккредитацией или международным органом (UKAS, DAkkS, SAS).
Преимущества сертификации ИСО 28000
Упрощение получения статуса уполномоченного экономического оператора в ФТС РФ и ЕАЭС
Сокращение проверок, ускоренное оформление, снижение обеспечения пошлин
Системная защита от краж, подмены грузов, контрабанды и саботажа
Международный сертификат подтверждает надёжность цепи поставок для контрагентов
Признание таможенными органами США, ЕС, Китая и других стран
Единая структура HLS позволяет объединить с ИСО 9001, ИСО 14001, ИСО 45001
Часто задаваемые вопросы
ИСО 28000 (ISO 28000:2022) — международный стандарт, устанавливающий требования к системе менеджмента безопасности цепи поставок. Стандарт предназначен для всех организаций, участвующих в цепи поставок: производители, логистические компании, таможенные операторы, портовые терминалы, склады, дистрибьюторы и ритейлеры. Версия 2022 года существенно расширила область применения по сравнению с ISO 28000:2007.
ISO 28000:2022 — это полная переработка стандарта. Главные отличия: переход на гармонизированную структуру (HLS) из 10 разделов вместо уникальной структуры; расширение области применения на всю цепь поставок, а не только логистику; усиленные требования к оценке рисков и кризисному управлению; возможность интеграции с ИСО 9001, ИСО 14001, ИСО 45001 и ИСО 27001.
Требования ИСО 28000 во многом совпадают с критериями безопасности для получения статуса уполномоченного экономического оператора (УЭО) по Федеральному закону № 289-ФЗ. Сертифицированная система менеджмента безопасности упрощает прохождение проверок ФТС РФ и подтверждает соответствие критериям безопасности цепи поставок, необходимым для статуса УЭО.
Стоимость зависит от масштаба организации: для малых компаний (до 50 сотрудников) — от 70 000 ₽, для средних (склады, логистические центры) — от 120 000 ₽, для крупных (порты, мультимодальные операторы) — от 200 000 ₽. Цена включает подготовку документации, обучение персонала и сопровождение сертификационного аудита.
Да, ИСО 28000:2022 построен по той же гармонизированной структуре (HLS), что и ИСО 9001:2015, ИСО 14001:2015, ИСО 45001:2018, ИСО 22301:2019 и ИСО 27001:2022. Это позволяет создать интегрированную систему менеджмента с общей политикой, документацией и процедурами аудита, что снижает затраты на поддержание нескольких систем.
От 4 до 12 месяцев в зависимости от размера организации и сложности цепи поставок. При наличии действующей системы менеджмента (например, ИСО 9001) срок сокращается до 2–4 месяцев благодаря интеграции общих элементов. Сертификационный аудит занимает 3–5 дней для средних организаций.
C-TPAT (США) и AEO (ЕС/ЕАЭС) — программы таможенных органов по обеспечению безопасности торговли. ИСО 28000 покрывает большинство требований обеих программ. Многие таможенные администрации признают сертификат ИСО 28000 как доказательство соответствия критериям безопасности при взаимном признании статусов УЭО/AEO между странами.
На данный момент действует ГОСТ Р ИСО 28000-2019, основанный на предыдущей версии ISO 28000:2007. Разработка нового ГОСТ, гармонизированного с ISO 28000:2022, ведётся Росстандартом. До его утверждения сертификация в России проводится по международному стандарту ISO 28000:2022 через органы с международной аккредитацией.
Связанные стандарты
Бесплатная консультация по ИСО 28000
Перезвоним в течение 30 минут, ответим на вопросы и рассчитаем стоимость сертификации
Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности