Norm: DIN ISO 28000 - Entwurf

Einführungsbeitrag

Dieses Dokument legt Anforderungen für ein Sicherheitsmanagementsystem fest, einschließlich der für die Lieferkette relevanten Aspekte. Dieses Dokument ist für alle Arten und Größen von Organisationen anwendbar (zum Beispiel kommerzielle Unternehmen, staatliche oder andere öffentliche Einrichtungen und gemeinnützige Organisationen), die beabsichtigen, ein Sicherheitsmanagementsystem einzurichten, zu implementieren, aufrechtzuerhalten und zu verbessern.
Es bietet einen ganzheitlichen und gemeinsamen Ansatz und ist nicht branchen- oder sektorspezifisch.

Dieses Dokument kann während der gesamten Lebensdauer der Organisation genutzt und auf alle internen und externen Aktivitäten allen Ebenen angewendet werden. Die Internationale Norm (ISO 28000) wurde vom Technischen Komitee ISO/TC 292 "Security and resilience" erarbeitet. Für die deutsche Mitarbeit ist der Gemeinschaftsausschuss NA 175-00-05 GA "Sicherheit und Business Continuity" im DIN-Normenausschuss Organisationsprozesse (NAOrg) verantwortlich.

Inhalt
Nationales Vorwort ............................................................................................................................................................ 4
Nationaler Anhang NA (informativ) Literaturhinweise ........................................................................................ 5
Vorwort .................................................................................................................................................................................. 6
Einleitung .............................................................................................................................................................................. 7
1 Anwendungsbereich............................................................................................................................................ 9
2 Normative Verweisungen .................................................................................................................................. 9
3 Begriffe .................................................................................................................................................................... 9
4 Kontext der Organisation ............................................................................................................................... 12
4.1 Verstehen der Organisation und ihres Kontextes .................................................................................. 12
4.2 Verstehen der Erfordernisse und Erwartungen der interessierten Parteien ............................... 12
4.2.1 Allgemeines ......................................................................................................................................................... 12
4.2.2 Rechtliche, gesetzliche und andere behördliche Sicherheitsanforderungen ................................ 13
4.2.3 Grundsätze........................................................................................................................................................... 13
4.3 Festlegen des Anwendungsbereichs des Sicherheitsmanagementsystems ................................... 15
4.4 Sicherheitsmanagementsystem.................................................................................................................... 16
5 Führung ................................................................................................................................................................ 16
5.1 Führung und Verpflichtung............................................................................................................................ 16
5.2 Leitlinien .............................................................................................................................................................. 17
5.2.1 Festlegung der Sicherheitsleitlinien ........................................................................................................... 17
5.2.2 Anforderungen an die Sicherheitsleitlinien ............................................................................................. 17
5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation .................................................. 17
6 Planung ................................................................................................................................................................. 18
6.1 Maßnahmen zum Umgang mit Risiken und Möglichkeiten ................................................................. 18
6.1.1 Allgemeines ......................................................................................................................................................... 18
6.1.2 Bestimmung von Sicherheitsrisiken und Identifizierung von Möglichkeiten ............................... 18
6.1.3 Bestimmung von Sicherheitsrisiken und Nutzung von Möglichkeiten ............................................ 18
6.2 Sicherheitsziele und Planung zu deren Erreichung ............................................................................... 19
6.2.1 Festlegung von Sicherheitszielen ................................................................................................................. 19
6.2.2 Bestimmung von Sicherheitszielen ............................................................................................................. 19
6.3 Planung von Änderungen am Sicherheitsmanagementsystem .......................................................... 20
7 Unterstützung ..................................................................................................................................................... 20
7.1 Ressourcen .......................................................................................................................................................... 20
7.2 Kompetenz........................................................................................................................................................... 20
7.3 Bewusstsein ........................................................................................................................................................ 20
7.4 Kommunikation ................................................................................................................................................. 21
7.5 Dokumentierte Information .......................................................................................................................... 21
7.5.1 Allgemeines ......................................................................................................................................................... 21
7.5.2 Erstellen und Aktualisieren ........................................................................................................................... 21
7.5.3 Kontrolle .............................................................................................................................................................. 22
8 Betrieb .................................................................................................................................................................. 22
8.1 Betriebliche Planung und Steuerung .......................................................................................................... 22
8.2 Identifikation von Prozessen und Aktivitäten ......................................................................................... 23
8.3 Risikobewertung und -behandlung............................................................................................................. 23
8.4 Kontrollen............................................................................................................................................................ 23
8.5 Sicherheitsstrategien, -verfahren, -prozesse und -behandlungen .................................................... 24
8.5.1 Identifikation und Auswahl der Strategien und Behandlungen ........................................................ 24
8.5.2 Festlegen des Ressourcenbedarfs................................................................................................................ 24
8.5.3 Umsetzung von Behandlungen ..................................................................................................................... 25
8.6 Sicherheitspläne ................................................................................................................................................ 25
8.6.1 Allgemeines......................................................................................................................................................... 25
8.6.2 Reaktionsstruktur ............................................................................................................................................ 25
8.6.3 Warnung und Kommunikation ..................................................................................................................... 26
8.6.4 Inhalt des Sicherheitsplans ............................................................................................................................ 26
8.6.5 Wiederherstellung ............................................................................................................................................ 27
9 Bewertung der Leistung .................................................................................................................................. 27
9.1 Überwachung, Messung, Analyse und Bewertung .................................................................................. 27
9.2 Internes Audit..................................................................................................................................................... 28
9.2.1 Durchführen interner Audits ........................................................................................................................ 28
9.2.2 Auditprogramm ................................................................................................................................................. 28
9.3 Managementbewertung .................................................................................................................................. 28
9.3.1 Allgemeines......................................................................................................................................................... 28
9.3.2 Ergebnisse der Managementbewertung .................................................................................................... 29
9.3.3 Eingaben für die Managementbewertung ................................................................................................. 29
10 Verbesserung...................................................................................................................................................... 29
10.1 Nichtkonformität und Korrekturmaßnahmen ........................................................................................ 29
10.2 Fortlaufende Verbesserung ........................................................................................................................... 30
Literaturhinweise ............................................................................................................................................................ 31

Bilder
Bild 1 — Kontinuierlicher Verbesserungsprozess (KVP), angewandt auf das Sicherheitsmanagementsystem .................................................. 8
Bild 2 — Grundsätze ....................................................................................................................................................... 14

Tabellen
Tabelle 1 — Erläuterung des PDCA-Modells .............................................................................................................. 8