ISO 28000 : 2022

04 พ.ย. 2020
  1. ชื่อมาตรฐาน

ภาษาอังกฤษ   :  Security and resilience — Security management systems — Requirements

  1. การประกาศใช้

ISO : 15 มีนาคม 2022

  1. หน่วยงานเจ้าของมาตรฐาน

ISO : International Organization for Standardization (ISO/TC 292 Security and resilience)

  1. ประเภทมาตรฐาน

ISO 28000 เป็นมาตรฐานระบบการจัดการความมั่นคงปลอดภัย โดยมีโครงสรางของมาตรฐานเชนเดียวกับมาตรฐานระบบการจัดการ เชน ระบบการจัดการคุณภาพ ระบบการจัดการสิ่งแวดลอม สามารถขอการรับรองจากหน่วยรับรองระบบ (Certification Body) ที่ให้บริการได้

  1. ขอบเขตและการนำมาตรฐานไปใช้

มาตรฐานนี้ระบุข้อกำหนดสำหรับระบบการจัดการความมั่นคงปลอดภัย รวมถึงประเด็นที่มีความสำคัญต่อการประกันความปลอดภัยของห่วงโซ่อุปทาน ต้องการให้องค์กร:

  • ประเมินสภาพแวดล้อมการรักษาความปลอดภัยที่ดำเนินการรวมถึงห่วงโซ่อุปทาน (รวมถึงการพึ่งพาและการพึ่งพาซึ่งกันและกัน)
  • พิจารณาว่ามีการใช้มาตรการรักษาความปลอดภัยที่เพียงพอเพื่อจัดการความเสี่ยงด้านความปลอดภัยอย่างมีประสิทธิผลหรือไม่
  • จัดการการปฏิบัติตามภาระผูกพันตามกฎหมาย ระเบียบข้อบังคับ และโดยสมัครใจที่องค์กรสมัครเป็นสมาชิก
  • จัดแนวกระบวนการและการควบคุมด้านความปลอดภัย รวมถึงกระบวนการต้นน้ำและปลายน้ำที่เกี่ยวข้องและการควบคุมของห่วงโซ่อุปทานเพื่อให้เป็นไปตามวัตถุประสงค์ขององค์กร

มาตรฐานนี้สามารถนําไปใชกับองคกรใดๆ ทุกสถานที่ตั้ง ขนาด กลุมประเภท รูปแบบการดําเนินธุรกิจ และอุตสาหกรรม (เช่น องค์กรการค้า รัฐบาลหรือหน่วยงานสาธารณะอื่นๆ และองค์กรไม่แสวงหาผลกำไร) และสามารถนำไปใช้กับกิจกรรมใดๆ ทั้งภายในและภายนอก ในทุกระดับ

องค์กรสามารถยืนยันความสอดคล้องกับมาตรโดยการตรวจสอบภายในหรือโดยหน่วยงานรับรองที่เป็นบุคคลที่สามที่ได้รับการรับรอง

 

  1. ประโยชน์ของการนำมาตรฐานไปใช้
  • องค์กรสามารถการจัดการความไม่แน่นอนและความผันผวนที่เพิ่มขึ้นในสภาพแวดล้อมความปลอดภัย

อย่างเป็นระบบภายในระบบการจัดการขององค์กร

  • องค์กรมีแนวทางอย่างเป็นทางการในการจัดการความปลอดภัยสามารถส่งผลโดยตรงต่อความสามารถทางธุรกิจและความน่าเชื่อถือขององค์กร
  • องค์กรต่าง ๆ ตั้งแต่ ผู้ผลิตวัตถุดิบ ผู้จัดส่ง ผู้ผลิต คลังสินค้า ผู้จัดจำหน่าย ผู้กระจายสินค้า ผู้ให้บริการ รวมไปถึงผู้บริโภคทำงานประสานกันอย่างมีประสิทธิภาพ สามารถผลิตสินค้า และส่งมอบไปยังแหล่งต่าง ๆ ได้ถูกต้องตามปริมาณ สถานที่ และเวลาตามเป้าหมายที่กำหนดไว้ เพื่อสร้างความพึงพอใจสูงสุดให้กับลูกค้าด้วยต้นทุนที่ต่ำที่สุด
  1. สาระสำคัญของมาตรฐาน

มาตรฐาน ISO 28000 นี้ พัฒนาเพื่อให้มีความสอดคล้องกับมาตรฐานระบบการจัดการอื่นๆ เช่น ISO 9001, ISO 14001, ISO 22301, ISO/IEC 27001, ISO 45001 เป็นต้น ซึ่งจะช่วยสนับสนุนการใช้งานและการดำเนินงานที่สอดคล้องและบูรณาการกับระบบการจัดการที่เกี่ยวข้อง โดยพัฒนาตาม PDCA Model

 

 

 

 

PDCA Model applied to the security management systems

     มาตรฐานนี้ ประกอบด้วย ส่วนที่เป็นข้อกำหนดทั่วไป คือ ข้อ 1 – ข้อ 3 และส่วนที่เป็นข้อกำหนดสำหรับนำไปปฏิบัติ คือ ข้อ 4 – ข้อ 10 และภาคผนวก (Annex) ดังนี้

บทนํา

  1. ขอบข่าย
  2. เอกสารอ้างอิง (Informative reference) : ISO 22300, Security and resilience — Vocabulary
  3. ศัพท์และนิยามศัพท์ : มีจำนวน 21 ข้อ ตาม ISO 22300, Security and resilience — Vocabulary
  4. บริบทองค์กร: การทําความเข้าใจและกําหนดระบบการจัดการความมั่งคงปลอดภัย ที่เหมาะสม โดยองค์กรต้องมี

4.1 การเข้าใจบริบทองค์กร

4.2 การเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้เสีย (ตาม Principles of Value Creation and Protection)

4.3 การกําหนดขอบข่ายของระบบการจัดการความมั่งคงปลอดภัยขององค์กร

4.4 ระบบการจัดการความมั่งคงปลอดภัยสําหรับองค์กร โดยองค์กรต้องจัดทํา นําไปปฏิบัติ คงไว้ และปรับปรุงอย่างต่อเนื่อง

Principles of Value Creation and Protection

ความเป็นผู้นํา: การทําความเข้าใจบทบาท หน้าที่ความรับผิดชอบ นโยบาย และอํานาจหน้าที่ขององค์กร ต้องรวมถึง

5.1 ความเป็นผู้นําและความมุ่งมั่น โดยผู้บริหารระดับสูงขององค์กรต้องแสดงให้เห็นถึงภาวะผู้นําและความมุ่งมั่นในการยอมรับต่อระบบการจัดการความมั่นคงปลอดภัย

5.2 นโยบาย โดยผู้บริหารระดับสูงต้องกําหนดนโยบายการจัดการความมั่นคงปลอดภัย

5.3 บทบาท ความรับผิดชอบ และอํานาจหน้าที่ โดยผู้บริหารระดับสูงต้องทําให้มั่นใจว่ามีการมอบหมายหน้าที่ความรับผิดชอบและอํานาจหน้าที่ตามบทบาทเกี่ยวข้อง และสื่อสารภายในองค์กร

การวางแผน: การทําความเข้าใจความเสี่ยง วัตถุประสงค์เชิงกลยุทธ์ และนโยบายในปัจจุบัน ครอบคลุมถึง

6.1 การดําเนินการเพื่อจัดการกับความเสี่ยงและโอกาส

  • วัตถุประสงค์ความมั่นคงปลอดภัย และการวางแผนเพื่อบรรลุตามวัตถุประสงค์
  • แผนของการเปลี่ยนแปลง เมื่อระบบการจัดการความมั่นคงปลอดภัยมีการเปลี่ยนแปลงจะต้องดำเนินการในลักษณะที่วางแผนไว้

การสนับสนุน:

7.1 ทรัพยากร : กําหนดและจัดหาทรัพยากรทั้งหมดที่จําเป็น สําหรับการจัดทํา นําไปปฏิบัติ รักษาไว้ และการปรับปรุงอยางตอเนื่องสําหรับระบบการจัดการความมั่นคงปลอดภัย

7.2 ความรู้ ความสามารถของบุคลากร : ต้องกําหนดความรู้ ความสามารถที่จําเป็นของบุคลากรที่ปฏิบัติงานภายใตการควบคุมขององคกรทีมีผลกระทบต่อผลการดำเนินงานด้านความมั่นคงปลอดภัย ต้องทำให้มั่นใจว่าความสามารถอยู่บนพื้นฐานการศึกษา การฝึกอบรม และประสบการณ์ที่เหมาะสม และต้องมีการประเมินผลความสามารถของบุคลากร

7.3 ความตระหนัก : บุคลากรที่ต้องตระหนักถึงนโยบายความมั่นคงปลอดภัย การสนับสนุนของบุคลากรเพื่อให้เกิดประสิทธิผลของระบบการจัดการความมั่นคงปลอดภัย ความหมายของความไม่สอดคล้องตามข้อกำหนดมาตรฐาน และบทบาทหน้าที่ในการทำให้บรรลุตามนโยบาย ข้อปฏิบัติ และการเตรียมความพร้อมต่อสถานการณ์ฉุกเฉินและการตอบสนอง

7.4 การสื่อสาร: กําหนดกความต้องการของสื่อสารภายในและภายนอกที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัย รวมถึง ข้อมูลอะไรที่จะสื่อสาร จะสื่อสารเมื่อไหร่ จะสื่อสารข้อมูลกับใคร วิธีการสื่อสารคืออะไร และการเรียงลำดับความสำคัญของข้อมูลที่จะสื่อสาร

7.5 เอกสารสารสนเทศ: ต้องรวมถึงเอกสารสารสนเทศที่กําหนดโดยมาตรฐานนี้ และเอกสารสารสนเทศที่กําหนดโดยองค์กรว่าจําเป็นต่อประสิทธิผลของระบบการจัดการความมั่นคงปลอดภัย การจัดทําและปรับปรุงให้ทันสมัย และการควบคุมเอกสารสารสนเทศ

การดําเนินการ

8.1 การวางแผนและควบคุมการปฏิบัติงาน: องค์กรต้องวางแผน นําไปปฏิบัติ และควบคุมกระบวนการที่จําเป็นเพื่อให้เป็นไปตามข้อกําหนดและเพื่อนําการดําเนินงานต่างๆไปปฏิบัติตามที่กําหนดไว้

8.2 การระบุกระบวนการและกิจกรรมที่จำเป็นเพื่อให้บรรลุความสอดคล้องกับนโยบายความมั่นคงปลอดภัย และกฎหมาย กฎระเบียบ และข้อกำหนดด้านความมั่นคงปลอดภัย วัตถุประสงค์ของการจัดการความมั่นคงปลอดภัย การส่งมอบของระบบการจัดการความมั่นคงปลอดภัย และระดับความต้องการด้านความปลอดภัยในห่วงโซ่อุปทาน

8.3 การประเมินความเสี่ยงและการแก้ไข โดยต้องมีกระบวนการจัดการตามที่ระบุใน ISO 31000

8.4 การควบคุม: ตามกระบวนการควบคุมในข้อ 8.2 จะต้องรวมถึงการควบคุมการจัดการทรัพยากรมนุษย์ การออกแบบ การติดตั้ง การดำเนินการ การทำใหม่ และการปรับปรุงเปลี่ยนแปลง ของอุปกรณ์ เครื่องมือ และสารสนเทศ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยอย่างเหมาะสม

8.5 กลยุทธ์ความมั่นคงปลอดภัย ขั้นตอนดำเนินการ กระบวนการ และการดูแลรักษา

8.6 แผนความมั่นคงปลอดภัย

การประเมินสมรรถนะ: การเปรียบเทียบกับมาตรฐาน การเฝ้าระวัง และการปฏิบัติตามข้อกําหนดที่เป็นเป้าหมาย ประกอบด้วย

9.1 การตรวจติดตาม การตรวจวัด การวิเคราะห์ และการประเมินผล

9.2 การตรวจประเมินภายใน

9.3 การทบทวนฝ่ายบริหาร

การปรับปรุง: ประกอบด้วย

10.1 การปรับปรุงอย่างต่อเนื่อง สําหรับความเหมาะสม ความเพียงพอ และประสิทธิผลของระบบ ความมั่นคงปลอดภัย

10.2 สิ่งที่ไม่เป็นไปตามข้อกําหนดและการปฏิบัติการแกไข (Nonconformity and corrective action) ต้องมีการจัดการที่เหมาะสม

 

  1. แหล่งข้อมูลอ้างอิง

 

ปรับปรุงข้อมูลเมื่อเดือนกันยายน 2565

มาตรฐานไอเอสโอกับเศรษฐกิจสูงวัย
18 เมษายน 2024
อ่านต่อ
“มาตรฐานไอเอสโอ” ช่วยให้ชีวิตของเราดีขึ้นอย่างไร
16 เมษายน 2024
อ่านต่อ
ISO 39001 ส่งเสริมการจัดการความปลอดภัยทางถนน
11 เมษายน 2024
อ่านต่อ