Ny version av ISO 28000

I mitten på mars 2022 publicerade ISO en ny version av standarden för säkerhetsledningssystem ISO 28000 Security and resilience – Security management systems – Requirements. Den ersätter den tidigare standarden ISO 28000:2007 Specifications for security management systems for the supply chain. De organisationer som tillämpar andra ledningssystemstandarder t.ex. ISO 9001, ISO 22000 eller 14001 kommer att känna igen sig bättre i nya versionen av ISO 28000. Detta då ISO 28000 i stort sett nu följer samma struktur.

Ansvaret för och utvecklingen av ISO 28000 har inom ISO flyttas från ISO/TC 8 Ships and marine technology till den tekniska kommittén ISO/TC 292 Security and resilience. ISO/TC 292 bildades 2015 och det internationella sekretariatet leds av Sverige och representanter från SIS/TK 494 Samhällssäkerhet. En rad svenska aktörer har bidragit i arbetet.

I ISO 28000:2022 specificeras kraven för ett säkerhetsledningssystem inklusive aspekter som är relevanta för aktuella leveranskedjor. Standarden kan med fördel även användas tillsammans med andra standarder som rör riskhantering, säkerhet och resiliens. Dessa är bl.a. ISO 31000:2018 Riskhantering - Vägledning och ISO 22301:2019 Säkerhet och resiliens - Ledningssystem för kontinuitetshantering – Krav samt standarden med definitioner av begrepp ISO 22300:2021 Säkerhet och resiliens – Terminologi. Bland annat hänvisas till ISO 31000 vad avser processer för ’risk assessment' och 'treatment’ som bör beaktas i ett säkerhetsledningssystem enligt ISO 28000.

Nya ISO 28000 följer strukturen för det som kallats High Level Structure. Det innebär en tydligare modell för Plan-Do-Check-Act (PDCA) i standarden kombinerat med ledarskap och ledningens engagemang. En modell som i grunden vilar på förståelse av säkerhetskontexten, intressenters krav, omfattningen av säkerhetsledningssystemet, risker och möjligheter. Detta tas sedan vidare via policy och mål och riskbedömningar till planering och införande av styrning och säkerhetsarrangemang, säkerhetsstrategier, säkerhetsplaner med definierade responsåtgärder och kommunikation. Avslutningsvis sluts PDCA-cykeln med övervakning och utvärdering, ledningens genomgång, avvikelsehantering samt ständig förbättring.

Några andra skillnader i den nya versionen som kan nämnas är förändrade och nya begrepp, samt att ledningsprinciper, till skillnad från t.ex. i ISO 22000, ligger under avsnitten för krav (i kapitel 4) och är där angivna som bör-element. Den tidigare uppdelningen och relationen för mål för säkerhetsledning i 'objectives' och 'targets' har tonats ner, även om båda begreppen förekommer fortfarande i standarden.

Bergström & Hellqvist AB har under ett antal år arbetat med att utbilda och bistå våra kunder i livsmedelskedjan i arbetet med att skapa, etablera och vidareutveckla säkerhetsledningssystem baserat på ISO 28000. 

Kontakta oss om du vill veta mer.