ISO 28000 se concentre sur les aspects essentiels pour gérer et assurer les risques liés à la sécurité de la chaîne d’approvisionnement. Cela peut inclure le financement, la fabrication, la gestion et le transport de l'information, le stockage en transit et l'entreposage des marchandises.
Il précise les aspects permettant à l’organisation d’évaluer les menaces de sécurité et de les gérer au fur et à mesure qu’elles surviennent dans sa chaîne d’approvisionnement. La gestion de la sécurité est liée à d'autres aspects de la gestion d'entreprise. Avec la norme ISO 28000, les organisations peuvent déterminer si des mesures de sécurité appropriées sont en place et protéger leurs propriétés contre diverses menaces.
La norme ISO 28000:2007 a été initialement développée pour que les organisations de différentes tailles puissent appliquer la norme à leurs chaînes d'approvisionnement de différents degrés de complexité. Désormais, après la révision, la norme ISO 28000:2022 peut être appliquée au-delà de la chaîne d'approvisionnement à tous les aspects de l'organisation.
Cette deuxième édition de l'ISO 28000 annule et remplace la première édition de 2007. L'objectif principal de la révision était d'aligner la norme sur la structure harmonisée (SH) présentée dans l'annexe SL, appendice 2 des directives ISO pour les normes des systèmes de management ISO dans son dernière version. Cet alignement rend la norme entièrement intégrable et facile à utiliser avec d'autres normes de systèmes de gestion comme l'ISO 9001 sur la gestion de la qualité ou l'ISO 22301 pour la gestion de la continuité des activités.
La structure de la norme ISO 28000 pour les chaînes d'approvisionnement est organisée selon les principaux domaines suivants :
Plan de gestion de la sécurité défini
Plan de gestion de la sécurité mis en œuvre
Évaluation et audit du plan de gestion de la sécurité
Plan de gestion de la sécurité Recherche de communications, recommandations et mises en œuvre de solutions
Contexte de l'organisation
Au cours d'un audit, l'organisation doit déterminer les problèmes externes et internes qui sont pertinents par rapport à son objectif et qui affectent sa capacité à atteindre les résultats attendus de son plan de reprise après sinistre/de continuité des activités, notamment en définissant :
Les activités, fonctions, services, produits, partenariats, chaînes d'approvisionnement, relations avec les parties intéressées de l'organisation et l'impact potentiel lié à un incident
Liens entre la politique de continuité des activités et les objectifs et autres politiques de l'organisation, y compris sa stratégie globale de gestion des risques
Le niveau de risque que l’organisation peut assumer
Les besoins et attentes des parties intéressées concernées
Exigences légales, réglementaires et autres auxquelles l'organisation souscrit
Direction
La haute direction doit montrer un engagement continu envers les processus de reprise après sinistre et de continuité des activités. Par son leadership et ses actions, le management peut créer un environnement dans lequel les différents acteurs sont pleinement impliqués et dans lequel le système de management peut fonctionner efficacement en synergie avec les objectifs de l'organisation.
Les responsabilités de leadership comprennent :
S'assurer que le système de gestion de la sécurité de la chaîne d'approvisionnement est compatible avec l'orientation stratégique de l'organisation
Intégrer les exigences du système de gestion de la sécurité de la chaîne d'approvisionnement dans les processus métier de l'organisation
Fournir les ressources nécessaires au système de gestion de la sécurité de la chaîne d'approvisionnement
Communiquer l’importance d’une reprise après sinistre efficace et d’une gestion de la continuité des activités
S'assurer que le système de gestion de la sécurité de la chaîne d'approvisionnement atteint les résultats attendus
Piloter et accompagner l’amélioration continue
Établir et communiquer une politique de reprise après sinistre et de continuité des activités
S'assurer que les objectifs et les plans du système de gestion de la sécurité de la chaîne d'approvisionnement sont établis
S'assurer que les responsabilités et les autorités pour les rôles pertinents sont attribuées
Planification
C'est le processus par lequel l'organisation montre qu'elle a défini des objectifs stratégiques et des principes directeurs pour le système de gestion de la sécurité de la chaîne d'approvisionnement dans son ensemble. Les objectifs d'un système de gestion de la sécurité de la chaîne d'approvisionnement sont l'expression de l'intention de l'organisation de traiter les risques identifiés et/ou de se conformer aux exigences des besoins organisationnels. Les objectifs de planification doivent :
Être cohérent avec la politique de reprise après sinistre et de continuité des activités
Prendre en compte le niveau minimum de produits et services acceptable par l'organisation pour atteindre ses objectifs
Créer et appliquer des métriques
Tenir compte des exigences applicables
Être révisé en permanence et mis à jour le cas échéant
Pourquoi le système de gestion de la sécurité de la chaîne d'approvisionnement est-il important pour vous ?
Une certification ISO 28000 démontre que vous êtes un atout pour votre organisation et que vous êtes un expert digne de confiance. Il vous permet d'aider l'organisation à établir un système de gestion de la sécurité (SMS) qui garantit une gestion et un contrôle suffisants de la sécurité et des menaces provenant des opérations logistiques et des partenaires de la chaîne d'approvisionnement. Avec une certification ISO 28000, vous gagnerez en visibilité sur le marché et vous aiderez votre organisation à améliorer sa rentabilité et sa qualité.
Avantages du système de gestion de la sécurité de la chaîne d'approvisionnement ISO 28000
Un certificat ISO 28000 vous apporte de nombreux avantages :
Une reconnaissance mondiale
Avantage compétitif sur le marché
Fiabilité améliorée
Satisfaction client améliorée
Possibilité de gagner de nouvelles entreprises
La capacité de contrôler et de gérer les menaces au sein d’une organisation
Quelle est la démarche de certification ISO 28000 ?
Le processus comporte sept étapes :
Demande et devis
Analyse des compétences – identifier dès le départ les lacunes en matière d’aptitudes et de compétences
Évaluation des écarts – identifier les faiblesses avant l’audit formel
Audit de phase 1 – confirmation que la mise en œuvre est sur la bonne voie
Audit de phase 2 – confirmation que la mise en œuvre est terminée
Certification – partagez votre réussite
Amélioration continue – visites de surveillance régulières
Le coût de la certification ISO 28000 dépend de divers facteurs. Par exemple, le fait que vous ayez déjà mis en place un système de gestion certifié, tel que ISO 9001, ISO 14001 ou TAPA, joue un rôle important. De plus, la taille de votre entreprise et la complexité du système ont une influence sur la durée de l’audit et sur le prix.