Сертификация ИСО 28000 — система менеджмента безопасности цепи поставок
ISO 28000 (ИСО 28000) — международный стандарт «Системы менеджмента безопасности цепи поставок», последняя редакция которого вышла в 2022 году. Стандарт устанавливает требования к системе управления, позволяющей организациям идентифицировать угрозы, оценивать риски и внедрять меры защиты на всей протяжённости логистической цепи: от поставщика сырья до конечного получателя груза.
Редакция ИСО 28000:2022 принципиально отличается от предыдущей версии 2007 года: стандарт перешёл на единую высокоуровневую структуру (HLS), совместимую с ISO 9001, ISO 14001, ISO 45001 и другими системами менеджмента. Это упростило интеграцию и сократило затраты на совмещённые аудиты для компаний, уже имеющих сертификаты по другим стандартам.
Сертификация по ИСО 28000 в России носит добровольный характер, однако крупные транснациональные грузовладельцы, международные таможенные органы и программы авторизованных экономических операторов (AEO) фактически делают её обязательным конкурентным требованием для участников рынка логистики.
Кому нужна сертификация ИСО 28000 — обязательна или добровольна
Формально в российском законодательстве нет нормы, обязывающей компании получать сертификат ISO 28000 / ИСО 28000. Тем не менее для ряда категорий организаций отсутствие сертификата равнозначно закрытым дверям на определённые рынки:
- Авторизованные экономические операторы (АЭО) — статус АЭО, дающий упрощения при таможенном контроле, требует демонстрации зрелой системы безопасности цепи поставок. ИСО 28000 является наиболее признанным инструментом такой демонстрации.
- Морские порты и терминалы — международный кодекс ISPS (безопасность судов и портовых сооружений) требует планов безопасности, которые удобно строить на основе ИСО 28000.
- Мультимодальные перевозчики и экспедиторы — партнёры из ЕС, США, ОАЭ и Китая всё чаще включают требование по ИСО 28000 в квалификационные анкеты поставщиков.
- Таможенные представители и склады временного хранения — обязательный элемент при подаче заявки на ряд таможенных упрощений ФТС России.
- Производители и дистрибьюторы с международными отгрузками — особенно в секторах FMCG, фармацевтики, электроники и автокомплектующих, где требования цепочки поставок самые жёсткие.
Добровольная сертификация по ISO 28000 / ИСО 28000 также актуальна для логистических компаний внутри страны, которые хотят снизить страховые расходы, повысить прозрачность процессов и выйти на тендеры крупных госкорпораций.
Что включает система менеджмента безопасности по ИСО 28000
Стандарт ИСО 28000:2022 построен на цикле PDCA (Plan-Do-Check-Act) и охватывает все уровни организации. Ключевые элементы системы, которые необходимо разработать и внедрить:
- Политика безопасности цепи поставок — официальный документ, закрепляющий обязательства руководства, цели и принципы защиты грузопотоков.
- Идентификация контекста и заинтересованных сторон — анализ внутренних и внешних факторов, влияющих на безопасность: геополитика, маршруты, контрагенты, регуляторные требования.
- Оценка угроз и уязвимостей — систематическое выявление источников угроз (хищение груза, контрабанда, терроризм, кибератаки на TMS/WMS, социальная инженерия) и оценка вероятности и последствий.
- Планирование мер защиты — разработка контрмер: физическая охрана, контроль доступа, проверка персонала, GPS-мониторинг, процедуры опечатывания и пломбирования.
- Управление цепочкой поставщиков — квалификационные требования к перевозчикам, субподрядчикам, экспедиторам и складским операторам; аудиты третьих сторон.
- Готовность к инцидентам и реагирование — планы действий при краже, несанкционированном вскрытии груза, киберинциденте, форс-мажоре; тренировки и учения.
- Мониторинг, измерение и анализ — KPI безопасности, внутренние аудиты, анализ инцидентов, анализ со стороны руководства.
- Постоянное улучшение — корректирующие действия по итогам аудитов и инцидентов, обновление оценки угроз при изменении маршрутов или контрагентов.
Необходимые документы для сертификации ISO 28000 / ИСО 28000
Перед началом работ клиент предоставляет минимальный пакет исходных данных. Всю систему документации разрабатываем мы:
- Описание структуры компании: юридические лица, филиалы, склады, транспортные подразделения
- Карта цепей поставок: основные маршруты, виды транспорта, ключевые контрагенты
- Сведения о географии деятельности (регионы присутствия, страны импорта/экспорта)
- Перечень уже имеющихся документов по безопасности (инструкции охраны, регламенты IT-безопасности)
- Действующие сертификаты ISO (при наличии) — для ускорения интеграции
На основе этих данных мы разрабатываем: политику безопасности цепи поставок, реестр угроз и уязвимостей, процедуры контроля доступа, регламент взаимодействия с перевозчиками, планы реагирования на инциденты, программу внутренних аудитов и все обязательные записи.
6 шагов к сертификату ИСО 28000 — пошаговый процесс
Получение сертификата ISO 28000 / ИСО 28000 проходит через шесть последовательных этапов. Каждый этап имеет чёткий результат и контрольную точку:
-
Шаг 1. Диагностика и планирование (GAP-анализ)
Наш консультант изучает текущее состояние процессов безопасности, составляет реестр несоответствий требованиям ИСО 28000:2022, формирует план работ и фиксирует объём в договоре. Результат: дорожная карта проекта с промежуточными контрольными точками. -
Шаг 2. Разработка системы документации
Разрабатываем полный комплект документов системы менеджмента безопасности: политику, процедуры, инструкции, формы записей, методику оценки угроз. Согласовываем с ответственными сотрудниками клиента. Результат: утверждённый пакет документации. -
Шаг 3. Внедрение и обучение персонала
Проводим обучение внутренних аудиторов и ключевых сотрудников, сопровождаем первичное применение процедур, помогаем настроить мониторинг и накопить первичные записи. Результат: работающая система, задокументированные свидетельства за период не менее 1–3 месяцев. -
Шаг 4. Внутренний аудит
Проводим полный внутренний аудит по всем разделам ИСО 28000, выявляем остаточные несоответствия и наблюдения, разрабатываем корректирующие действия. Результат: закрытый отчёт внутреннего аудита и завершённые корректирующие действия. -
Шаг 5. Сертификационный аудит (1-я и 2-я стадии)
Подбираем аккредитованный орган по сертификации, согласовываем сроки аудита, сопровождаем аудиторов на обеих стадиях. На 1-й стадии проверяется документация; на 2-й — фактическое функционирование системы. При обнаружении несоответствий помогаем оперативно их устранить. Результат: положительное решение органа по сертификации. -
Шаг 6. Выдача сертификата и поддержка
Орган выдаёт сертификат ISO 28000 / ИСО 28000 сроком на 3 года. Мы сопровождаем ежегодные надзорные аудиты и помогаем актуализировать систему при изменении маршрутов, контрагентов или регуляторных требований.
Таблица сроков сертификации ИСО 28000
Общий срок проекта зависит от размера организации, сложности цепи поставок и степени готовности текущей системы управления. Ориентировочные сроки по этапам:
| Этап работ | Малый бизнес (до 50 чел.) | Средний бизнес (51–200 чел.) | Крупная компания (201–500 чел.) |
|---|---|---|---|
| GAP-анализ и планирование | 1 неделя | 1–2 недели | 2 недели |
| Разработка документации | 2–3 недели | 3–4 недели | 4–6 недель |
| Внедрение и обучение | 3–4 недели | 4–6 недель | 6–8 недель |
| Внутренний аудит | 1 неделя | 1–2 недели | 2 недели |
| Сертификационный аудит | 3–5 дней | 5–7 дней | 7–10 дней |
| Устранение замечаний + выдача | 1–2 недели | 2–3 недели | 2–4 недели |
| Итого (минимум) | от 45 дней | от 60 дней | от 75 дней |
При наличии действующих сертификатов ISO 9001 или ISO 27001 (ИСО 27001) сроки сокращаются на 20–30% за счёт переиспользования документации и совмещения аудитов.
Таблица стоимости сертификации ISO 28000 / ИСО 28000
Стоимость складывается из двух частей: услуги нашей компании по разработке и сопровождению и стоимость услуг аккредитованного органа по сертификации. В таблице — цены на наши услуги; органы по сертификации выставляют счёт отдельно (ориентировочно от 40 000 до 100 000 ₽ в зависимости от органа и объёма аудита).
| Размер организации | Стоимость наших услуг | Срок | Что входит |
|---|---|---|---|
| До 50 сотрудников | от 70 000 ₽ | от 45 дней | GAP-анализ, документация, обучение, внутренний аудит, сопровождение сертификационного аудита |
| 51–200 сотрудников | от 94 000 ₽ | от 60 дней | То же + разработка процедур для нескольких подразделений/объектов |
| 201–500 сотрудников | от 133 000 ₽ | от 75 дней | То же + карта рисков по маршрутам, обучение внутренних аудиторов |
| Более 500 сотрудников | по запросу | индивидуально | Полный проект «под ключ», несколько площадок, интеграция с существующими ИСМ |
| Интеграция с ISO 9001 / ИСО 9001 | скидка 25% | сокращение на 20% | Совмещённый аудит, единый реестр рисков, сокращённый пакет документов |
Окончательная цена рассчитывается индивидуально — после бесплатной консультации и изучения карты цепей поставок вашей организации. Позвоните или оставьте заявку, чтобы получить расчёт в течение рабочего дня.
Срок действия сертификата и надзорные аудиты
Сертификат ISO 28000 / ИСО 28000 выдаётся на 3 года. В течение этого срока орган по сертификации проводит надзорные (инспекционные) аудиты:
- 1-й надзорный аудит — через 12 месяцев после выдачи сертификата.
- 2-й надзорный аудит — через 24 месяца.
- Ресертификационный аудит — через 36 месяцев (до истечения сертификата), при положительном результате срок действия продлевается ещё на 3 года.
В рамках надзорных аудитов проверяется актуальность оценки угроз, работоспособность мер защиты и наличие свидетельств мониторинга. Мы оказываем поддержку при каждом надзорном аудите и помогаем оперативно вносить изменения при смене маршрутов, появлении новых контрагентов или изменении геополитической обстановки.
Частые ошибки при сертификации ИСО 28000
За годы практики мы выявили типичные проблемы, которые приводят к задержке сертификации или получению замечаний на аудите:
- Формальная оценка угроз без привязки к реальным маршрутам. Шаблонный реестр угроз, скопированный из интернета, не учитывает специфику маршрутов компании. Аудиторы запрашивают конкретные данные об инцидентах на используемых маршрутах и меры по их нейтрализации.
- Игнорирование цифровых угроз. ИСО 28000:2022 явно включает кибербезопасность логистических систем (TMS, WMS, EDI-интеграции) в область оценки угроз. Компании без политики кибербезопасности получают значительные несоответствия.
- Отсутствие требований к субподрядчикам. Если перевозчики и экспедиторы не имеют проверок безопасности со стороны компании, система считается неполной.
- Недостаточный период накопления записей. Аудиторам нужны свидетельства работающей системы — журналы проверок, записи инструктажей, отчёты о внутренних аудитах. Попытка пройти сертификацию через 2–3 недели после формального внедрения почти гарантирует замечания.
- Несвоевременное обновление оценки угроз. При смене маршрутов, появлении новых поставщиков или изменении политической обстановки в регионах присутствия оценку угроз необходимо актуализировать. Устаревший реестр — типичная причина несоответствий на надзорных аудитах.
- Отсутствие анализа со стороны высшего руководства. Раздел 9.3 ИСО 28000:2022 требует задокументированного анализа системы руководством. На практике многие компании этот анализ проводят формально или не фиксируют его результаты.
Интеграция ИСО 28000 с другими стандартами
Принятие структуры HLS в редакции 2022 года делает ИСО 28000 максимально совместимым с другими системами менеджмента. Наиболее востребованные интеграции:
- ISO 9001 / ИСО 9001 — общие разделы по управлению рисками, компетентности персонала и корректирующим действиям значительно перекрываются. Совмещённый аудит экономит 20–30% стоимости.
- ISO 27001 / ИСО 27001 — кибербезопасность логистических систем естественным образом входит в область обоих стандартов. Интеграция устраняет дублирование в оценках рисков.
- ISO 45001 / ИСО 45001 — управление безопасностью персонала при транспортных операциях, проверка подрядчиков.
- ISO 22301 / ИСО 22301 — управление непрерывностью бизнеса дополняет планирование реагирования на инциденты безопасности цепи поставок.
При наличии у вашей компании двух и более действующих сертификатов ISO мы проектируем интегрированную систему менеджмента с единой документацией и совмещёнными аудитами — это снижает совокупную стоимость владения системами на 25–40%.
Оценка угроз и уязвимостей — ключевой элемент ИСО 28000
Оценка угроз — это сердце системы менеджмента безопасности цепи поставок по стандарту ИСО 28000. В отличие от классической оценки рисков ISO 31000, здесь акцент сделан не только на вероятности и последствиях, но и на намеренном характере угрозы: кто является источником угрозы, какова его мотивация и возможности.
При разработке оценки угроз мы анализируем несколько уровней цепи поставок:
- Физические угрозы на маршруте — хищение груза при транзите, вооружённые нападения на транспортные средства, несанкционированное вскрытие пломб и контейнеров. Для каждого маршрута формируется карта криминогенных участков.
- Угрозы на объектах — несанкционированный доступ на склад, подмена груза, хищение персоналом, диверсия на объекте инфраструктуры. Анализируются периметровая защита, система контроля доступа и видеонаблюдение.
- Угрозы в документообороте — фальсификация транспортных документов, подделка деклараций, фиктивные грузополучатели. Оцениваются процедуры проверки документов и верификации контрагентов.
- Киберугрозы — атаки на TMS (транспортную систему управления), WMS (складскую систему), EDI-интеграции с таможней и контрагентами. Фишинг, перехват данных о местоположении груза, подмена реквизитов в автоматических платёжных системах.
- Репутационные и регуляторные угрозы — использование цепи поставок для контрабанды или финансирования незаконной деятельности без ведома компании. Санкционные риски при работе с международными контрагентами.
По итогам оценки угроз формируется приоритизированный реестр с указанием текущего уровня риска, применяемых контрмер и остаточного риска. Этот документ становится основой для планирования защитных мероприятий и бюджета на безопасность.
Как выбрать орган по сертификации ISO 28000 / ИСО 28000
Выбор органа по сертификации — важное решение, влияющее на признание сертификата за рубежом, стоимость аудита и скорость получения документа. На что обратить внимание:
- Аккредитация — орган должен быть аккредитован в системе Росаккредитации и/или иметь международную аккредитацию по схеме IAF (International Accreditation Forum). Сертификаты, выданные органами без надлежащей аккредитации, не признаются международными партнёрами.
- Опыт в логистике и транспорте — аудиторы органа должны разбираться в специфике логистических процессов: понимать разницу между FOB и CIF, знать требования ISPS, иметь опыт аудита портовых операторов и экспедиторов.
- Региональное присутствие — если у вашей компании несколько площадок в разных городах, выбирайте орган с аудиторами в нужных регионах. Это снижает командировочные расходы при аудите.
- Сроки выдачи сертификата — у разных органов процедура принятия решения занимает от 1 до 6 недель после успешного аудита. Если сертификат нужен к конкретному тендеру, уточняйте сроки заранее.
Мы сотрудничаем с 15 аккредитованными органами по сертификации и подберём оптимальный вариант с учётом вашего бюджета, географии деятельности и требований к международному признанию сертификата.
Преимущества сертификата ISO 28000 / ИСО 28000 для бизнеса
Сертификация по ИСО 28000 приносит измеримые результаты уже в первый год после внедрения:
- Доступ к рынкам с требованиями AEO и ISPS. Без ИСО 28000 или эквивалентной системы безопасности получить статус АЭО или работать с отдельными портами становится значительно сложнее.
- Снижение страховых премий на грузы на 10–25%. Страховщики охотно предоставляют скидки компаниям с документально подтверждённой системой безопасности цепи поставок.
- Сокращение потерь от хищений и инцидентов. По данным международных ассоциаций грузоперевозчиков, компании с сертифицированной системой безопасности фиксируют на 30–50% меньше инцидентов с грузами.
- Преимущество при тендерах. Крупные ретейлеры, производители и государственные заказчики включают ИСО 28000 в перечень квалификационных требований к логистическим партнёрам.
- Повышение прозрачности цепи поставок. Карта рисков и реестр контрагентов, разработанные в ходе проекта, становятся ценным управленческим инструментом.
- Соответствие требованиям международных покупателей. Корпоративные политики устойчивого развития и ответственных закупок крупных международных компаний требуют от поставщиков наличия системы безопасности цепи поставок.
Получите расчёт стоимости сертификации ИСО 28000 за 1 рабочий день
Оставьте контакты — наш консультант свяжется с вами, задаст 3–5 вопросов о вашей цепи поставок и подготовит персональное коммерческое предложение без завышенных цен.
Оставить заявку на расчётЧасто задаваемые вопросы об ИСО 28000 / ISO 28000
Чем ИСО 28000:2022 отличается от версии 2007 года?
Редакция 2022 года перешла на единую высокоуровневую структуру HLS (10 разделов вместо прежней нумерации), добавила явные требования по кибербезопасности логистических систем и усилила требования к управлению цепочкой поставщиков. Компании, сертифицированные по версии 2007 года, были обязаны перейти на новую версию до конца переходного периода.
Для каких компаний сертификат ИСО 28000 даёт наибольший эффект?
Максимальный эффект — для логистических операторов 3PL/4PL, операторов морских и речных терминалов, таможенных представителей, международных экспедиторов, крупных дистрибьюторов потребительских товаров и производителей с длинными международными цепями поставок. Для компаний, работающих исключительно на внутреннем рынке небольшого масштаба, ценность сертификата меньше.
Как ИСО 28000 соотносится со статусом АЭО?
Статус Авторизованного экономического оператора (АЭО) в России и в рамках ЕАЭС требует доказательств зрелой системы безопасности цепи поставок. Сертификат ИСО 28000 является наиболее весомым таким доказательством и существенно упрощает прохождение аудита ФТС России при подаче заявки на статус АЭО. В ряде стран ЕС сертификат ИСО 28000 признаётся достаточным основанием для присвоения статуса AEO без дополнительных проверок.
Сколько стоит сертификат ISO 28000 / ИСО 28000 под ключ?
Полная стоимость складывается из наших услуг (от 70 000 ₽ для компаний до 50 сотрудников) и услуг органа по сертификации (ориентировочно от 40 000 до 100 000 ₽). Итоговая цена «под ключ» для небольшой логистической компании — от 110 000 до 160 000 ₽. Для крупных организаций или при наличии нескольких площадок стоимость рассчитывается индивидуально. При интеграции с ISO 9001 или другими стандартами действует скидка 25%.
Можно ли пройти сертификацию ИСО 28000, если у компании несколько складов и филиалов?
Да. Область применения системы менеджмента безопасности может охватывать несколько площадок. Аудит проводится как на центральном офисе, так и на выборке объектов — порядок выборки устанавливает орган по сертификации. Мы помогаем структурировать документацию таким образом, чтобы минимизировать количество аудируемых площадок и снизить стоимость аудита.
Что произойдёт, если не пройти надзорный аудит вовремя?
Пропуск надзорного аудита или получение критических несоответствий без их устранения в установленный срок ведёт к приостановке, а затем к отзыву сертификата. Для восстановления потребуется повторный полный сертификационный аудит. Мы заблаговременно напоминаем о надзорных аудитах и помогаем клиентам подготовиться, чтобы не допустить приостановки.
Нужно ли переводить всю документацию на английский язык?
Нет. Вся документация системы менеджмента ведётся на русском языке. Сертификат выдаётся органом на русском и (при необходимости для международных контрагентов) на английском языке. Мы при необходимости обеспечиваем нотариальный перевод сертификата.
Какие органы по сертификации аккредитованы для ISO 28000 в России?
Сертификацию по ИСО 28000 в России проводят органы, аккредитованные в национальной системе аккредитации (Росаккредитация) или имеющие международную аккредитацию IAF/ILAC. Мы сотрудничаем с 15 аккредитованными органами и подберём для вас оптимальный вариант по соотношению цены, репутации и сроков выдачи сертификата.