ISO 28000 Nuova edizione Security and resilience — Security management systems

Quindici anni dopo la sua pubblicazione iniziale, la norma internazionale per i sistemi di gestione della sicurezza della supply chain è stata rivista.
Oggi non si focalizza più lo standard solo sulla catena di fornitura ma abbraccia a 360° i temi della Security aziendale. La nuova versione allinea tale norma con altre norme di sistemi di gestione ISO ed aumenta la chiarezza e la coerenza.
La ISO 28000 ha più di un decennio, non era al passo con altre norme ISO correlate, come le norme dei sistemi di gestione, le norme di resilienza e sicurezza (ISO 22316), e la norma di gestione del rischio ISO 31000.

Allineamento con la struttura armonizzata ISO (HS)

A prima vista, si potrebbe pensare che i cambiamenti nella ISO 28000:2022 siano piuttosto drastici: l’intera struttura è stata riorganizzata. Tuttavia, ad un esame più attento, diventa chiaro che i requisiti stessi sono poco cambiati – sono semplicemente presentati in un nuovo formato.
Come tutte le norme dei sistemi di gestione ISO, la ISO 28000 ora utilizza la cosiddetta Struttura di Alto Livello (HLS – High Level Structure). Si tratta di una struttura con un testo centrale e definizioni comuni a tutte le norme del sistema di gestione. Con questo approccio, la ISO assicura che i sistemi di gestione siano armonizzati e possano essere facilmente integrati.
Sono state aggiunte raccomandazioni in due punti della norma.
Importante: Le raccomandazioni non sono requisiti. Nelle norme dei sistemi di gestione ISO, i requisiti sono solitamente indicati con il verbo “deve”, mentre le raccomandazioni sono descritte con “dovrebbe”.

Nella clausola 4.2.3 sono stati aggiunti alcuni principi per armonizzare la norma con le linee guida per la gestione del rischio ISO 31000. Tuttavia, molti di questi principi non sono nuovi – piuttosto, servono a fornire ulteriori chiarimenti su alcuni requisiti.
Nella sezione 8, sono state aggiunte raccomandazioni per assicurare la coerenza con la ISO 22301, la norma internazionale per i sistemi di gestione della continuità aziendale. Queste riguardano le politiche, le procedure, i processi e i trattamenti di sicurezza (8.5), così come i piani di sicurezza (8.6).

Per avere un approccio efficace la norma richiede all’organizzazione di:

• valutare l’ambiente relativo alla sicurezza in cui opera, compresa la sua catena di approvvigionamento (comprese dipendenze e interdipendenza);
• determinare se sono in atto adeguate misure per gestire efficacemente i rischi relativi alla sicurezza;
• gestire il rispetto degli obblighi legali, normativi e volontari a cui l’organizzazione è soggetta;
• allineare i processi e i controlli di sicurezza, inclusi i processi e i controlli a monte e a valle rilevanti della catena di approvvigionamento per raggiungere gli obiettivi dell’organizzazione definiti.