ISO28000：2022供應鏈安全管理體系

國際標準 ISO28000：20222022-03安全和韌性－安全管理體系－要求參考編號28000:2022(E)ISO28000:2022(e)目錄前言簡介1.范圍2.規(guī)范性引用文件3.術語和定義4.組織環(huán)境4.1理解組織及其環(huán)境4.2理解有關相關方的需求和期望4.2.1總則4.2.2法律、監(jiān)管和其他要求4.2.3原則4.3確定安全管理體系的范圍4.4安全管理體系5領導作用5.1領導作用和承諾5.2安全方針5.2.1建立安全方針5.2.2安全方針要求5.3崗位、職責和權限6.策劃6.1應對風險和機遇的措施6.1.1總則6.1.2確定與安全有關的風險和機遇6.1.3應對與安全有關的風險和機遇6.2安全目標及目標實現(xiàn)方案的策劃6.2.1確定安全目標6.2.2實現(xiàn)安全目標6.3變更的策劃7.支持7.1資源7.2能力7.3意識7.4溝通7.5成文信息7.5.1總則7.5.2創(chuàng)建和更新7.5.3成文信息的控制8運作8.1運行策劃和控制8.2確定過程和活動8.3風險評估和處理8.4控制措施8.5安全戰(zhàn)略、程序、過程和處理8.5.1確定和選擇戰(zhàn)略和處理方法8.5.2所需資源8.5.3實施處理ISO28000:2022(e)8.6安全計劃8.6.1總則8.6.2響應組織8.6.3警告和溝通8.6.4安全計劃的內容8.6.5恢復9績效評價9.1監(jiān)測、測量、分析和評價9.2內部審核9.2.1總則9.2.2內部審核方案9.3管理評審9.3.1總則9.3.2管理評審投入9.3.3管理評審結果10.改進10.1持續(xù)改進10.2不合格和糾正措施ISO28000:2022(e)前言ISO(國際標準化組ISO/IEC指令第部分中有描述。特別要注意的是，不同類型的ISO準。本文件是根據(jù)ISO/IEC指令第2部分的編輯規(guī)則起草的\hwww.iso.or/directives)。請注意，本文件中的某些內容可能是專利權的對象。ISO不負責識別任何或所有此類專利權。在文件制定過程中發(fā)現(xiàn)的任何專利權的細節(jié)將在導言中和／或在ISO收到的專利聲明列表中（見\hwww.iso.or/patents)。本文件中使用的任何商品名稱是為方便用戶而提供的信息，不構成對其的認可。關于標準的自愿性質的解釋，與合格評定有關的ISO特定術語和表達方式的含義，以及關于ISO在技術性貿易壁壘(TBT)中遵守世界貿易組織(WTO)原則的信息，見/iso/foreword.html。本文件由ISO/TC292技術委員會（安全和復原力）編寫。第二版取消并取代了第一版(ISO28000:2007),第一版在技術上進行了修訂，但保留了現(xiàn)有的要求，為使用前一版的組織提供連續(xù)性。主要變化如下。在第4條中加入了關于原則的建議，以便與ISO31000更好地協(xié)調。在第8條中增加了建議，以便與ISO22301更好地保持一致，促進整合，包括：安全戰(zhàn)略、程序、過程和處理。安全計劃。對本文件的任何反饋或問題應直接向用戶的國家標準機構提出。這些機構的完整名單可在/members.html。VISO28000:2022(e)簡介表1--PDCA模型的解釋ISO28000:2022(e)圖1-PDCA模型應用于安全管理體系這確保了與其他管理體系標準，如ISO9001、ISO14001、ISO22301、1S0/IEC27001、ISO45001等的一定程度的一致性，從而支持與相關管理體系的一致和綜合實施和運行。對于有此愿望的組織，可以通過外部或內部審核程序來驗證安全管理體系與本文件的一致性。Vi.i.1國際標準 ISO28000:2022(e)1安全和韌性－安全管理體系－要求1范圍本文件規(guī)定了安全管理體系的要求，包括與供應鏈相關的方面。本文件適用于所有類型和規(guī)模的組織（如商業(yè)企業(yè)、政府或其他公共機構和非營利組織），它們打算建立、實施、維護和改進安全管理體系。它提供了一個整體的、共同的方法，并不針對具體行業(yè)或部門。這份文件可以在組織的整個生命周期中使用，并且可以適用于任何活動，無論是內部的還是外部的，各級的規(guī)范性參考資料以下文件在文中被提及，其部分或全部內容構成本文件的要求。對于注明日期的參考文獻，僅適用于所引用的版本。對于未注明日期的參考文件，適用于所參考文件的最新版本（包括任何修正案）。ISO22300,安全和韌性－詞匯襲術語和定義在本文件中，適用ISO22300和下列術語和定義。國際標準化組織和國際電工委員會在以下地址維護用于標準化的術語數(shù)據(jù)庫。-ISO在線瀏覽平臺：可在https://www.iso.or/obp-IECElectropedia:可在https://www.electropedia.or/有自己的職能、責任、權限和關系以實現(xiàn)其月標的人或團體（立Z)。條目注1。組織的概念包括但不限于獨資企業(yè)、公司、企業(yè)、公司、企業(yè)、當局、合伙企業(yè)、慈善機構或其部分或組合，無論是否成立、公共或私人。條目注釋2。如果該組織是一個較大實體的一部分，“組織”一詞僅指該較大實體中屬于安全管貍體系（見5)范圍的部分。3.2利害關系人利益相關者能影響、受影響或認為自己受某一決定或活動影響的人或絹識（見1)。ISO28000:2022(e)3.3最高管理者最高層指揮和控制絹組的人或團體（立1)。條目注釋1。最高管理者有權在組織內下放權限和提供資源。條目注釋2。如果管貍你系的范圍(3_,_4._)只包括一個組織的一部分，那么最高管理者是指指導和控制該部分組織的人。3.4管理體系一套相互關聯(lián)或相互作用的絹織要素（立1),以建立政第（兇5)和啟標（立），以及實現(xiàn)這些目標的過程（沁滬。條目注釋1。一個管理體系可以解決單一學科或幾個學科的問題。條目注釋2。管理體系要素包括組織的組織、角色和責任、策劃和運行。3.5安全管理體系由協(xié)調的政策飛立6)、程序（出t)和實踐組成的體系，一個組織通過它來管理其安全呂標（立）。一個絹統(tǒng)的意圖和方向（江），由其晟高管理厲正式表達（益）。要實現(xiàn)的結果條目注釋1。一個目標可以是戰(zhàn)略的、戰(zhàn)術的、或行動的。條目注釋2。目標可以與不同的學科有關（如財務、健康和安全以及環(huán)境）。例如，它們可以是整個組織的，也可以是針對某個項目、產(chǎn)品和過程的（立2)。條目注3。目標可以用其他方式表達，例如，作為預期的結果，作為目的，作為操作標準，作為安全目標，或通過使用具有類似含義的其他詞匯（例如，目的，目標，或目標）。條目注釋4。在安全管貍系繞方面（出沙，安全目標是由坦祝制定的（江），與安全黃略（紅D一致，以實現(xiàn)具體的結果。不確定性對啟標的影響（立Z)條目注1。效果是對預期的偏離。它可以是積極的、消極的或兩者兼而有之，并且可以解決、創(chuàng)造或導致機遇和威脅。條目注釋2。目標可以有不同的方面和類別，也可以在不同的層面上應用。條目注釋3。風險通常用風險源、潛在事件、其后果和其可能性來表示。2一組相互關聯(lián)或相互作用的活動，使用或改變輸入以提供一個結果。條目注釋1。一個過程的結果是否被稱為產(chǎn)出、產(chǎn)品或服務，取決于背景。2ISO28000:2022(e)3.10能力運用知識和技能來實現(xiàn)預期結果的能力3.11記載的信息一個絹祝需要控制和維護的信息（立1)以及包含這些信息的媒介條目注釋1：記錄的信息可以是任何格式和媒體，以及來自任何來源。條目注釋2：記載的信息可以指。管理體系（華），包括相關過程（華?)。為組織運作而創(chuàng)建的信息（文件）。取得成果的證據(jù)（記錄）。3.12業(yè)績可衡量的結果條目注釋1。業(yè)績可以與定量或定性的調查結果有關。條目注釋2?？冃Э梢陨婕暗焦芾砘顒?、流程（立2)、產(chǎn)品、服務、體系或絹鄉(xiāng)(ll_)。3.13持續(xù)改進提高業(yè)績的經(jīng)常性活動（立拉）。3.14效益計劃活動的實現(xiàn)程度和計劃成果的實現(xiàn)程度3.15陳述的、總則暗示的或強制性的需要或期望條目注釋1：“總則暗示“是指該絹組的習慣或通常做法（立1)和有關各方（華），所考慮的需要或期望是隱含的。條目注釋2：規(guī)定的要求是指在文心伴資科中說明的要求(.3..,_旦）。3.16符合性滿足一項要求3.17不符合不符合要求（立臣）。3.18糾正措施3采取行動，消除不符合要表的原因（立遼），防止再次發(fā)生。3ISO28000:2022(e)3.19審核體系和?立的程序（塵初，以獲得證據(jù)和客觀地評價證據(jù)，以確定審核標準得到滿足的程度。條目注釋1。審核可以是內部審核（第一方）或外部審核（第二方或第三方），也可以是聯(lián)合審核（結合兩個或條目注釋2。內部審核由絹組（立1)自己進行，或由外部單位代表組織進行。條目注釋3。"審核證據(jù)“和“審核標準”在ISO19011中定義。盂過枉（洶）來確定一個值確正一個體系、一個過程（出t)或一項活動的狀態(tài)條目注1。為了確定狀況，可能需要檢查、監(jiān)督或嚴格觀察。4組織環(huán)境4.1理解組織及其環(huán)境組織應確定與其目的相關的、影響其實現(xiàn)安全管理體系預期結果能力的外部和內部問題，包括其供應鏈的要求4.2理解有關相關方的需求和期望4.2.1總則組織應確定：a)與安全管理體系有關的有關各方。b)這些相關方的相關要求。c)這些要求中的哪些將通過安全管理體系來解決。4.2.2法律法規(guī)和其他要求該組織應：a)實施和維護一個程序，以確定、獲取和評估與其安全有關的適用法律、法規(guī)和其他要求。b)確保在實施和維護其安全管理體系時考慮到這些適用的法律、法規(guī)和其他要求。c)記錄這些信息并保持更新。d)酌情向有關方面?zhèn)鬟_這一信息。ISO28000:2022(e)4.2.3原則總則組織內安全管理的目的是創(chuàng)造，特別是保護價值。組織應采用圖2中給出的、至中描述的原則。55圖2-原則領導作用各級領導應建立統(tǒng)一的目標和方向。他們應，創(chuàng)造條件，使組織的戰(zhàn)略、政策、程序和資源協(xié)調一致，以實現(xiàn)其目標?；@立給解釋了與此原則有關的要求?；诂F(xiàn)有最佳信息的組織化和全面的程序方法包括供應鏈在內的組織化和全面的安全管理方法應有助于取得一致和可比較的結果，當各項活動被理解為作為一個連貫的體系運作的相互關聯(lián)的過程并加以管理時，這些結果會更加有效和高效。定制的安全管理體系應該是定制的，與組織的外部和內部環(huán)境和需求相稱。它應該與組織的目標相關。6SO28000:2022(e)全員積極參與組織應適當?shù)?、及時地讓有關各方參與進來。它應該適當考慮他們的知識、觀點和看法，以提高對安全管理的認識并促進知情的安全管理。組織應確保所有級別的人都得到尊重和參與。系統(tǒng)方法安全管理是所有組織活動的一個組成部分。它應該與組織的所有其他管理體系相結合。組織的風險管理－－無論是正式的、非正式的還是直觀的－－都應該被納入安全管理體系。組織應持續(xù)關注通過學習和經(jīng)驗進行改進，以保持績效水平，對變化做出反應，并隨著組織的外部和內部充滿活力并持續(xù)改進環(huán)境的變化創(chuàng)造新的機遇?？紤]到人類和文化因素人的行為和文化對安全管理的所有方面都有很大的影響，應該在每個層次和階段都考慮到。決策應基于對數(shù)據(jù)和信息的分，對決策有信心，更有可能產(chǎn)生預期的結果。應考慮個人的看法。關系管理為了持續(xù)的成功，組織應管理好與所有相關利益方的關系，因為他們可能會影響組織的績效。4.3確定安全管理體系的范圍組織應確定安全管理體系的邊界和適用性，以確定其范圍。在定這一范圍，應考考慮：－4.1提到的外部和內部問題。。該范圍應作為文件信息提供。如果一個組織選擇由外部提供影響其安全管理體系符合性的任何流程，該組織應確保此類流程得到控制。應在安全管理體系中確定對這種外部提供的流程的必要控制和責任。7ISO28000:2022(e)7的要求納入組織的業(yè)務流程。確保安全管理體系所需的資源是可用的。傳達有效安全管理和符合安全管理體系要求的重要性。確保安全管理體系實現(xiàn)其預期結果。確保安全管理目標、指標和方案的可行性。5.2安全方針5.2.1建立安全方針最高管理者應制定一項安全方針，以：一個設定安全目標的框架。包括對持續(xù)改進安全管理體系的承諾?？紤]安全方針、、、影響。ISO28000:2022(e)5.2.2安全方針要求5.2.2安全方針要求安全方針應。與其他組織政策相一致。與組織的整體安全風險評估相一致。化時，。描述并分配主要的間責制和成果責任。文件信息提供。在組織內部進行交流。提供。注意組織可以選擇制定詳細的安全管理政策供內部使用，該政策將提供足夠的信息和方向來驅動安全管理體系（其中部分內容可以保密），并有一個包含廣泛目標的摘要（非保密）版本，以便向其有關各方傳播。最高管理者應指定以下責任和權限：?？冃?。6.1應對風險和機遇的行動6.1總則在策劃安全管理體系時，組織應考慮生1中提到的間題和生2中提到的要求，并確定需要應對的風險和保證安全管理體系能夠實現(xiàn)其預期結果。防止或減少不期望的影響。劃：a)應對這些風險和機遇的行動。將這些行動納入其安全管理體系流程并加以實施。8—評估這些行動的有效性。8ISO28000:2022(e)管理風險的目的是創(chuàng)造和保護價值。管理風險應被納入安全管理體系。與本組織及其相關方的安全有關的風險在釭3中述及。確定與安全有關的風險和機遇應包括考慮但不限。物理或功能故障以及惡意或犯罪行。環(huán)境、人類和文化因素以及其他內部。安全設備的設計、安裝、維護和更換。組織的信息、數(shù)據(jù)、與安全威脅和漏洞有關的信息。供應商之間的相互依存關系。應對與安全有關的風險和機遇對已確定的安全相關風險的評價應提供以下投入（但不限于此）。a)本組織的整體風險管理。b)風險處理。c)安全管理目標。d)安全管理流程。e)安全管理體系的設計、規(guī)范和實施； f)確定足夠的資源，包括人員配置。g)確定培訓需求和所需的能力水平。6.2安全目標和實現(xiàn)這些目標的策劃6.2.1確定安全目標相關的職能和級別上確立安全目。這些安全目標應： 與安全方針相一致。（）。。酌情更新。酌情更新。99ISO28000:2022(e)6.2.2 確定安全目標在計劃如何實現(xiàn)其安全目標時，組織應確定。將要做什么。負責。成。如何對結果進行評估。在建立和評審其安全目標時，一個組織應考慮到：a)技術、人力、。b)對有關方的意見和影響。安全目標應符合組織對持續(xù)發(fā)展的承諾。改進。6.3變化的策劃當組織確定需要對安全管理體系進行變更時，包括第且降：中所確定的變更，應以有計劃的方式進行。該組織應考慮：a)變化的目的及其潛在的后果。b)安全管理體系的完整性。c)資源的可用性。d)職責和權限的分配或重新分配。支持資源組織應確定并提供建立、實施、維護和持續(xù)改進安全管理體系所需的資源。能力該組織應：確定在其控制下從事影響其安全性能的工作的人員的必要能力。確保這些人在適當?shù)慕逃?、或雇用或簽約合格人員。1(ISO28000:2022(e)7.3uj在組織控制下從事工作的人應了解。安全方針。他們對安全管理體系的有效性的貢獻，包括改進安全性能的好處。不符合安全管理體系要求的影響。溝通組織應確定與安全管理體系相關的內部和外部溝通，包括：1:關于它將傳達什么。何時溝通。與誰溝通。如何溝通。在傳播之前，對信息的敏感性進行評估。記錄的信息總則該組織的安全管理體系應包括。本文件所要求的文件化信息。安全管理體系有效性所必需的文件化信息。記載的信息應說明實現(xiàn)安全管理目標和指標的責任和權限，包括實現(xiàn)這些目標和指標的手段和時限。注意安全管理體系的文件化信息的范圍可能因不同的組織而不同。、流程、務的類。過程的復雜性和它們的相互作用。人的能力。組織應確定信息的價值，并確定所需的完整性水平和安全控制，以防止未經(jīng)授權的訪問。創(chuàng)建和更新文件化的信息在創(chuàng)建和更新記錄的信息時，組織應確保適當?shù)?。識（例如，標題、期、作者考號）。11ISO28000:2022(e)格式（如語言、軟件版本、圖形）和媒體（如紙張、電子）。評審和批準是否合適和充分。對文件資料的控制安全管理體系和本文件所要求的文件化信息應是控制，以確保。它得到充分的保護（例如，防止失去保密性、不當使用或失去）。過時的文件、數(shù)據(jù)和信息被迅速從所有發(fā)放點和使用點刪除，或目的或兩者保留的檔案文件、數(shù)據(jù)和信息得到適當?shù)淖R別。制，分發(fā)、訪間、檢索和使用。儲存和保存，包括保存可讀性。對變化的控制（如版本控制）。保留和處置。注意訪問權可以意味著關于只查看文件信息的權限，或查看和改變文件信息的權限和權限的決定。運作運行策劃和控制組織應通過以下方式策劃、實施和控制滿足要求所需的過程，并實施第6條中確定的措施。。應在必要的范圍內提供有記錄的信息，以使人們確信這些過程已按策劃進行。確定過程和活動實現(xiàn)以下目符合其安全方針。符合法律、法規(guī)和監(jiān)管的安全要求。l?ISO28000:2022(e)其安全管理目標。其安全管理體系的交付。供應鏈安全所需的水平。風險評估和處理組織應實施并保持風險評估和處理過程程序。注意：風險評估和處理的過程在ISO31000中涉及。組織應該：確定其與安全有關的風險，。確定哪些風險需要處理。注：本子條款中的風險與組織及其相關方的安全有關。與管理體系的有效性（6.1）中涉及有關的風險和機遇的處理?？刂拼胧?.2中所列的過程應包括對人力資源管理的控制，以及與安全有關的設備、儀器和信息技術項目的設計、安裝、運行、翻新和修改。如果對現(xiàn)有的安排進行了修訂，或引入了可能對安全管理產(chǎn)生影響的新安排，組織應在實施之前考慮相關的安全相關風險。要考慮的新的或修訂的安排應包括：培訓、宣傳和人力資源管理。修訂安全管理政策、標、。引入新的基礎設施、安全設備或技術，其。組織應控制計劃中的變更，并評審非預期變更的后果，必要時采取行動以減輕任何不利影響。組織應確保與安全管理體系相關的外部提供的過程、產(chǎn)品或服務得到控制。13ISO28000:2022(e)8.5安全戰(zhàn)略、程序、過程和處理8.5.1戰(zhàn)略和處理的確定和選擇組織應實施并保持系統(tǒng)程序，以分析與安全有關的脆弱性和威脅。在這種脆弱性和威脅分析以及隨之而來的風險評估的基礎上，組織應確定并選擇一種安全戰(zhàn)略，其中包括一個或多個程序、過程和處理方法。識別的依8.5.2資源要求組織應確定并實施所選安全程序、過程和處理方法的資源要求。8.5.3實施處理組織應實施并維護選定的安全處理。8.6安全計劃8.6.1總則組織應根據(jù)選定的戰(zhàn)略和處理方法，制定并形成文件化的安全計劃和程序。組織應實施并維護一個響應組織，以便能夠及時有效地警告并向有關方面通報與安全和迫在眉睫的安全威脅或正在發(fā)生的安全違規(guī)行為有關的漏洞。響應組織應提供計劃和程序，以便在迫在眉睫的安全威脅或正在發(fā)生的安全違規(guī)行為期間管理組織。8.6.2響應組織組織應實施并保持一種組織，確定一個指定的人或一個或多個團隊負責應對與安全有關的漏洞和威脅。指定人員或每個小組的作用和責任以及這些人員或小組之間的關系應明確確定、溝通和記錄?？偠灾?，各小組應能做到：a)評估安全威脅的性質和程度及其潛在影響。14ISO28000:2022(e)b)根據(jù)預先確定的闕值評估影響，以證明啟動正式回應的合理性。c)啟動適當?shù)陌踩憫?。d)需要采取的計劃行動。e)以生命安全為第一優(yōu)先，確定優(yōu)先事項。f)監(jiān)測與安全有關的漏洞的任何變化的影響，威脅者的意圖和能力的變化或安全侵犯，以及組織的反應。g)啟動安全處理。h)與有關各方、當局和媒體溝通。i)為溝通管理的溝通計劃做出貢獻。對于每個指定的人或團隊來說，應該有確定的工作人員，包括具有履行其指定職責的必要責任、權限和能力的候補人員?！笇湫袆拥某晌某绦颍☉獙Υ胧┑膯?、運作、協(xié)調和溝通的程序。8.6.3警告和溝通該組織應記錄并維護以下程序：a)向有關各方進行內部和外部溝通，包括溝通的內容、時間、對象和方式。注：組織可以將如何以及在何種情況下與員工及其緊急聯(lián)系人進行溝通的 程序記錄下來，并加以維護。b)接收、記錄和回應有關各方的來文，包括任何國家或區(qū)域風險咨詢體系或同等機構。c)確保在違反安全規(guī)定、出現(xiàn)漏洞或威脅時通信手段的可用性。d)促進與安全威脅和／或違規(guī)行為應對者的組織化溝通。e)提供本組織在發(fā)生安全違規(guī)事件后的媒體反應細節(jié)，包括溝通策略。f)記錄違反安全規(guī)定的細節(jié)、采取的行動和作出的決定。在適用的情況下，還應該考慮并執(zhí)行以下內容：-提醒可能受到實際或即將發(fā)生的安全違規(guī)事件影響的有關各方。－確保多個響應組織之間的適當?shù)膮f(xié)調和溝通。警告和通信程序應作為組織的測試和培訓計劃的一部分進行演練。8.6.4安全計劃的內容組織應記錄并維護安全計劃。這些計劃應提供指導和信息，以協(xié)助團隊應對安全漏洞、威脅和／或違規(guī)行為，并協(xié)助組織進行應對和恢復其安全。15ISO28000:2022(e)總的來說，安全計劃應包含。a)各小組將采取的行動的細節(jié)，以。1)繼續(xù)或恢復可接受的安全狀態(tài)。2)監(jiān)測實際或即將發(fā)生的安全威脅、漏洞或違規(guī)行為的影響以及組織對其的響應。b)參考預定義的閾值(s)和啟動響應的過程；c)恢復組織安全的程序。d)管理安全漏洞和威脅或實際或即將發(fā)生的安全違規(guī)行為的直接后果的細節(jié)，并適當考慮到： 1:1)個人的福利。2)可能受到損害的資產(chǎn)、信息和人員的價值。3)防止核心活動的（進一步）損失或無法使用。每項計劃應包括：－其目的、范圍和目標。－實施該計劃的團隊的作用和責任。－實施解決方案的行動。－啟動（包括啟動準則）、操作、協(xié)調和溝通團隊行動所需的信息。－內部和外部的相互依存關系。－其資源的需求。－其報告的需求。一個退出的過程。每個計劃應在需要的時間和地點可用和可行。8.6.5恢復組織應記錄相關過程，以恢復組織在違反安全規(guī)定之前、期間和之后采取的任何臨時措施。9績效評價9.1監(jiān)測、測量、分析和評價該組織應確定：需要監(jiān)測和測量的內容。監(jiān)測、測量、分析和評價的方法（如適用），以確保有效的結果。應在何時進行監(jiān)測和測量。應對監(jiān)測和測量的結果進行分析和評估。16ISO28000:2022(e)應提供有記錄的資料作為結果的證據(jù)。組織應評估安全管理體系的性能和有效性。9.2內部審核9.2.1總則組織應按計劃的時間間隔進行內部審核，以提供關于安全管理體系是否存在的信息。a)符合。1)組織本身對其安全管理體系的要求。2)本標準的要求。b）有效地實施和維護。9.2.2內部審核方案該組織應計劃、建立、實施和維持（一個）審核方案，包括頻率、方法、責任、策劃要求和報告。在制定內部審核方案時，組織應考慮相關流程的重要性和以往審核的結果。該組織應：a)確定每項審核的審核目標、標準和范圍。b)選擇審核員并進行審核，以確保審核過程的客觀性和公正性。c)確保將審核結果報告給相關管理人員。d)核實安全設備和人員是否得到適當?shù)牟渴?。e)確保無不當拖延地采取任何必要的糾正措施，以消除所發(fā)現(xiàn)的不符合要求的情況及其原因。f)確保后續(xù)審核行動包括對所采取的行動進行核查并報告核查結果。應提供有記錄的信息，作為實施審核方案和審核結果的證據(jù)。審核方案，包括任何時間表，應基于對組織活動的風險評估結果和以往審核的結果。審核程序應涵蓋范圍、頻率、方法和能力，以及進行審核和報告結果的責任和要求。9.3管理評審9.3.1總則最高管理者應按策劃的時間間隔評審組織的安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。17ISO28000:2022(e)組織應考慮分析和評價的結果以及管理評審的結果，以確定是否存在與業(yè)務或安全管理體系有關的需求或機遇，并作為持續(xù)改進的一部分加以解決。注：組織可以利用安全管理體系的流程，如領導、計劃和績效評估，來實現(xiàn)改進。9.3.2管理評審輸入管理評審應包括。a)以往管理評審的行動狀況。b)與安全管理體系有關的外部和內部間題的變化。c)與安全管理體系有關的有關各方的需求和期望的變化。d)關于安全性能的信息，包括以下方面的趨勢。1)不符合要求的情況和糾正措施。2)監(jiān)測和測量結果。3)審核結果。e)持續(xù)改進的機遇。f)對遵守法律要求和本組織同意的其他要求的審核和評估結果。g)來自外部相關方的通信，