ISO 28000: Security Management als commerciële troef
White paper
© GET
ISO 28000 – security management als commerciële troef
INHOUDSOPGAVE
Trend naar Security certificatie ................................................................................ 3 Voor wie is ISO 28000 van toepassing? .................................................................... 4 ISO 28000 of AEO ? ............................................................................................... 5 Besluit ................................................................................................................. 6 Contact ................................................................................................................ 6 Bijlage: de ISO 28000 serie .................................................................................... 7 A.
ISO 28000:2007 .......................................................................................... 7
B.
ISO 28002:2011 .......................................................................................... 7
© GET
2
ISO 28000 – security management als commerciële troef
Heeft u reeds een AEO-certificaat en vraagt u zich af wat ISO 28000 voor uw bedrijf dan nog kan betekenen? Kan ISO 28000 u helpen bij een AEO-certificatietraject? Lonen de kosten en inspanningen van een security management certificatietraject voor uw organisatie überhaupt de moeite? Deze white paper helpt om een stap dichter te komen bij de antwoorden op deze vragen.
Trend naar Security certificatie Wij trappen een open deur in met de vaststelling dat de aanslagen op de Twin Towers onze leefwereld hebben veranderd. Sedert 9/11 staat het thema ‘security’ prominent op de agenda van alle overheden wereldwijd, maar evenzeer van het bedrijfsleven. In onze geglobaliseerde economie willen bedrijven die internationaal actief zijn liefst nog alleen samenwerken met betrouwbare zakenpartners die zich conformeren aan strikte en algemeen erkende veiligheidsnormen. Deze manifeste behoefte weerspiegelt zich in de recente trend naar security certificatie, zoals uit onderstaande voorbeelden blijkt:
ISPS code (International Ship & Port Security Code) (2004) is bedoeld om terroristische aanslagen op schepen en havens te voorkomen;
C-TPAT (Customs-Trade Partnership against Terrorism) (2001) voorziet een snelle douane-afhandeling en verlading voor cargo transporteurs die C-TPAT partners zijn. Het is ontwikkeld in en voor de Verenigde Staten na 9/11 via een vrijwillige samenwerking tussen vele Amerikaanse en andere bedrijven; analoog met AEO, maar dan enkel voor import langs Amerikaanse havens;
Het AEO-concept (Authorized Economic Operators) (2005) is ontwikkeld door de World Customs Organisation (WCO) als een belangrijke bouwsteen van het WCO SAFE Framework van standaarden om de wereldhandel te beveiligen en te faciliteren;
AEO Richtlijn van de E.U. waardoor de nationale douane-autoriteiten in elke lidstaat de AEO status kunnen toekennen aan deelnemers in het internationale handelsverkeer. En dit voor een snelle formaliteitenafhandeling in de Europese havens (import en export);
ISO 28000 (ISO) (2007) is een alomvattende standaard voor security in de ‘supply chain’, ontwikkeld door de International Standards Organization (ISO) op vraag van de industrie;
© GET
3
ISO 28000 – security management als commerciële troef
TAPA normering (Transported Asset Protection Association) wordt gehanteerd in de ‘high-tech’ (HP, Sony, Samsung, Intel,…) en in de logistieke sector;
STP (Secure Trade Partnerships) in Singapore;
AEO in Japan;
FAST (Free And Secure Trade program) in Canada.
ISO 28000 is, in tegenstelling tot AEO, nog weinig bekend en toegepast in de Benelux. In wat volgt vindt u meer informatie over deze kwaliteitsnorm voor Security Management die de houder een competitief voordeel kan opleveren bij zijn internationale handelsactiviteiten, niet in het minst met partners uit de snel groeiende Oosterse economieën.
ISO 28000: waarom nog eens een andere standaard? ISO 28000 is de enige ISO standaard die u als bedrijf kan toepassen om een high level security management systeem uit te bouwen. Want hoewel ISO 28000 in de eerste plaats gericht is op ‘Supply Chain Security’ kan elke organisatie die aan een wereldwijd erkende security management standaard wil gaan beantwoorden, er gebruik van maken. De kans is dan ook reëel dat in de toekomst steeds meer multinationals van hun toeleveranciers een ISO 28000 of 28002 certificaat zullen eisen. Ook verzekeraars kunnen hun klanten (fabrikanten of logistieke dienstverleners) hierop mogelijk gaan aanspreken.
Voor wie is ISO 28000 van toepassing? ISO 28000 is van toepassing voor zowel kleine en grote organisaties in sectoren als industrie, dienstverlening, opslag of transport voor zover die een security management systeem willen invoeren en dit willen integreren met hun algemene kwaliteitsbeheerssystemen. Vooral in Azië zijn al vele grote supply chain spelers gecertificeerd, maar ook organisaties als DB Schenker, TNT Express, Sony en DHL Express. Toch is het succes van ISO 28000 tot nu toe eerder beperkt. De economische recessie die begon in 2007 heeft vele bedrijven de investering doen uitstellen. En ISO 28000 is uiteindelijk niet als enige norm in de plaats gekomen van de Europese (AEO) en Amerikaanse (C-TPAT) normen. In Nederland en België is men nog niet bezig met ISO 28000, wellicht omdat recent al veel geïnvesteerd is in AEO.
© GET
4
ISO 28000 – security management als commerciële troef
ISO 28000 of AEO ? Het AEO-certificaat is ondertussen wijd verspreid in de Benelux. Begin 2011 waren 453 organisaties in Nederland en 128 organisaties in België erkend als AEO. Een AEO (Authorized Economic Operator) is elke organisatie die betrokken is bij internationaal goederentransport en die door een nationale douane administratie is erkend als conform met de WCO (World Customs Organisation) of daaraan equivalente ‘supply chain security’ standaarden. AEO’s kunnen zowel fabrikanten, importeurs, exporteurs, transporteurs, tussenpersonen, havens, luchthavens, terminal operators, opslagbedrijven als distributeurs zijn. Het AEO-certificaat heeft één bijzonder kenmerk: elk bedrijf beoordeelt zelf in hoeverre het de risico’s kan beperken (‘self assessment’). In feite overlappen AEO en ISO 28000 mekaar in belangrijke mate. Security is, naast de dimensies douane, financiën en boekhouding (administratie/logistiek) een belangrijk onderdeel van de (full) AEO-certificering. Security aspecten in de AEO certificering behelzen vnl.:
toegangscontrole tot bedrijfsruimten en laadeenheden
fysieke beveiliging van de perimeter, sluiten en bewaken van deuren, poorten; procedures voor toegang tot sleutels; procedures voor parkeren van voertuigen
controle op binnenkomende transporten
bevoegde toegang tot opslagruimten en productieruimte
Security is nochtans de dimensie die het minst concreet is omschreven in de richtlijnen. De Europese Commissie verwijst evenwel expliciet naar ISO 28000 & 28001 met betrekking tot security assessments, procedures, plannen en management van de supply chain. Oorspronkelijk begon de International Standards Organization met de ontwikkeling van ISO 28000 om te komen tot één norm die de brug zou slaan tussen C-TPAT (Verenigde Staten) en AEO (Europa). Dit is (voorlopig?) niet gelukt. Ondermeer omdat de VS argwanend staan tegenover de interpretatievrijheid van individuele EU-lidstaten en omdat C-TPAT enkel slaat op import naar de VS, terwijl AEO zowel op import als export betrekking heeft. ISO heeft wel nauw samengewerkt met de WCO (World Customs Organisation), met als resultaat dat landen die AEO-programma’s opzetten zeker kunnen zijn dat ISO 28000 certificering een opstap is naar AEO-certificering.
© GET
5
ISO 28000 – security management als commerciële troef
Een onderzoeksproject van een Taiwanese universiteit bestudeerde de implementatie van ISO 28000 en AEO in éénzelfde bedrijf. Het bleek dat de ISO 28000 implementatie eenvoudiger is, zodat het niet onlogisch is om eerst ISO 28000 in te voeren en dan naar AEO te kijken. Voor wie eerst het AEO-parcours heeft afgelegd, vergt ISO 28000:2007 nog een relatief kleine inspanning. ISO 28002:2011 kan daarnaast een belangrijke aanvulling zijn op vlak van disaster recovery management.
Besluit ISO 28000 certificatie heeft een duidelijke toegevoegde waarde. Zoals in onze white paper “Bedrijfsbeveiliging: Management ‘by incident’ of proactief beleid?” al is aangegeven: beveiliging is een complexe problematiek. Een gedegen security beleid vereist een doelgerichte en procesmatige management aanpak. ISO 28000 reikt u een model aan om security inderdaad te beheren als een proces waarvan de effectiviteit kan worden gemeten en verbeterd. Bovendien laat de norm toe om reeds geleverde inspanningen te benchmarken tegen een internationaal erkende standaard. De risico-analyse die deel uitmaakt van het proces zal helpen om middels procesoptimalisaties onnodige schade in de toekomst mogelijk te voorkomen. U kan zich vervolgens specifiek gaan toeleggen op ‘high risk’ factoren die naar voor komen uit het risico ‘assessment’, zowel intern in uw organisatie als verderop in de ‘supply chain’. Tenslotte kan ISO 28000 voor u een verkoopsargument zijn. U bewijst tegenover derden het engagement om een gestructureerd security management beleid te voeren. U creëert een sterker bedrijfsimago als professionele partner naar klanten, overheden en investeerders.
Contact GET ontwikkelt en implementeert al ruim veertig jaar systemen voor security management en tijdregistratie. Als marktleider werken wij samen in projecten met middelgrote en grote bedrijven uit alle economische sectoren, maar ook met de meest diverse overheidsinstanties. Voor meer white papers, surf naar www.get.be of www.get.nl.
© GET
6
ISO 28000 – security management als commerciële troef
Bijlage: de ISO 28000 serie ISO 28000 is de verzamelnaam voor een familie van normen die ontwikkeld is door het ISO Technical Committee TC8. De ISO 28000 serie omvat:
ISO 28000:2007 beschrijft de specificaties van een security management systeem geplaatst in de bredere context van een logistieke keten (‘supply chain’);
ISO 28001:2007 beschrijft ‘best practices’ voor implementatie van ‘supply chain security’, bedoeld om de industrie te helpen voldoen aan de AEO criteria van het WCO Framework of Standards en aan andere nationale ‘supply chain security’ programma’s;
ISO 28002:2011 beschrijft hoe een organisatie middels een systematisch proces kan komen tot ‘resilience’ (veerkracht/robuustheid) in haar ‘supply chain security’ (risicopreventie, beveiliging, afdoende incidentbehandeling, continuïteit en recovery procedures);
ISO 28003:2007 richtlijnen voor auditing en certificatie organen;
ISO 28004:2007 implementatiegids voor ISO 28000;
ISO 28005 (norm in ontwikkeling) Electronic Port Clearance (EPC) (elektronische informatie-uitwisseling tussen computers met betrekking tot vrijgave van een schip voor aankomst en vertrek uit een haven).
A. ISO 28000:2007 ISO 28000:2007 gaat verder dan security management binnen de eigen organisatie. Het legt de verbinding met andere management processen die te maken hebben met de activiteiten van leveranciers of partners in de logistieke keten. ISO 28000 hanteert daarbij een pragmatische benadering. Security management wordt beschouwd als een proces, een ‘closed loop’ systeem volgens de klassieke ‘continuous improvement’ filosofie, met 5 etappes: 1.
security management beleidsbepaling,
2.
security risico assessment en planning,
3.
implementatie en uitvoering,
4.
controle en bijsturing,
5.
management review (en eventueel aanpassing van het beleid).
B. ISO 28002:2011 ISO 28002:2011 is een recente aanvulling op de ISO 28000:2007 norm en is gebaseerd op de ANSI/ASIS.SPC.1 Organizational Resilience Standard. Belangrijke trekkers waren ondermeer Fedex, Cisco, Boeing, GE en Coca-Cola.
© GET
7
ISO 28000 – security management als commerciële troef
ISO 28002:2011 levert voor een organisatie de basis om zowel haar interne organisatierisico’s als de externe risico’s in haar logistieke keten te evalueren. De norm laat bovendien toe om een alomvattende strategie te ontwikkelen teneinde die risico’s te beheersen die de werking van de organisatie kunnen in gevaar brengen. Centraal in ISO 28002 staat het begrip ‘resilience’, in het Nederlands te vertalen als robuustheid, weerstand of veerkracht. In de security context slaat ‘resilience’ op het vermogen van een organisatie om calamiteiten te voorkomen of hun impact te minimaliseren. En om na een incident binnen een redelijke tijdspanne terug tot een acceptabel operationeel performantieniveau te komen. Sommige risico’s als een tsunami of een terreuraanslag zijn niet te vermijden. In die gevallen moeten deugdelijke noodplannen de schok minder hard maken en het herstel naar de normale situatie (productie, leveringen, facturatie) versnellen.
© GET
8
