Sie sind auf Seite 1von 58

DEUTSCHE NORM Entwurf April 2021

DIN ISO 28000

ICS 03.100.01; 03.100.70 Einsprüche bis 2021-05-19


Vorgesehen als Ersatz für
DIN ISO 28000:2015-08
Entwurf

Sicherheit und Belastbarkeit –


Sicherheitsmanagementsysteme –
Anforderungen für die Lieferkette (ISO/DIS 28000:2021);
Text Deutsch und Englisch
Security and resilience –
Security management systems –
Requirements for the supply chain (ISO/DIS 28000:2021);
Text in German and English

Sûreté et résilience –
Systèmes de management de la sûreté –
Exigences pour la chaîne d’approvisionnement (ISO/DIS 28000:2021);
Texte en allemand et anglais

Anwendungswarnvermerk
Dieser Norm-Entwurf mit Erscheinungsdatum 2021-03-19 wird der Öffentlichkeit zur Prüfung und Stel-
lungnahme vorgelegt.
Weil die beabsichtigte Norm von der vorliegenden Fassung abweichen kann, ist die Anwendung dieses
Entwurfs besonders zu vereinbaren.
Stellungnahmen werden erbeten
— vorzugsweise online im Norm-Entwurfs-Portal von DIN unter www.din.de/go/entwuerfe bzw. für Norm-
Entwürfe der DKE auch im Norm-Entwurfs-Portal der DKE unter www.entwuerfe.normenbibliothek.de,
sofern dort wiedergegeben;

— oder als Datei per E-Mail an info@din.de möglichst in Form einer Tabelle. Die Vorlage dieser Tabelle kann
im Internet unter www.din.de/go/stellungnahmen-norm-entwuerfe oder für Stellungnahmen zu Norm-
Entwürfen der DKE unter www.dke.de/stellungnahme abgerufen werden;

— oder in Papierform an den DIN-Normenausschuss Organisationsprozesse (NAOrg), 10772 Berlin oder Saat-
winkler Damm 42/43, 13627 Berlin.

Die Empfänger dieses Norm-Entwurfs werden gebeten, mit ihren Kommentaren jegliche relevanten Patent-
rechte, die sie kennen, mitzuteilen und unterstützende Dokumentationen zur Verfügung zu stellen.

Gesamtumfang 58 Seiten
DIN-Normenausschuss Organisationsprozesse (NAOrg)
– Entwurf –
E DIN ISO 28000:2021-04

Inhalt
Seite
Nationales Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Nationaler Anhang NA (informativ) Literaturhinweise . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1 Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2 Normative Verweisungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3 Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4 Kontext der Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.1 Verstehen der Organisation und ihres Kontextes . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.2 Verstehen der Erfordernisse und Erwartungen der interessierten Parteien . . . . . . . . 12
4.2.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.2.2 Rechtliche, gesetzliche und andere behördliche Sicherheitsanforderungen . . . . . . . . 13
4.2.3 Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.3 Festlegen des Anwendungsbereichs des Sicherheitsmanagementsystems . . . . . . . . . . 15
4.4 Sicherheitsmanagementsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5 Führung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.1 Führung und Verpflichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.2 Leitlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.2.1 Festlegung der Sicherheitsleitlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.2.2 Anforderungen an die Sicherheitsleitlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation . . . . . . . . . . . . . . 17
6 Planung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
6.1 Maßnahmen zum Umgang mit Risiken und Möglichkeiten . . . . . . . . . . . . . . . . . . . 17
6.1.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
6.1.2 Bestimmung von Sicherheitsrisiken und Identifizierung von Möglichkeiten . . . . . . . . 18
6.1.3 Bestimmung von Sicherheitsrisiken und Nutzung von Möglichkeiten . . . . . . . . . . . . 18
6.2 Sicherheitsziele und Planung zu deren Erreichung . . . . . . . . . . . . . . . . . . . . . . . . 19
6.2.1 Festlegung von Sicherheitszielen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
6.2.2 Bestimmung von Sicherheitszielen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
6.3 Planung von Änderungen am Sicherheitsmanagementsystem . . . . . . . . . . . . . . . . . 19
7 Unterstützung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
7.1 Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
7.2 Kompetenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
7.3 Bewusstsein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
7.4 Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
7.5 Dokumentierte Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
7.5.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
7.5.2 Erstellen und Aktualisieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
7.5.3 Kontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
8 Betrieb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
8.1 Betriebliche Planung und Steuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
8.2 Identifikation von Prozessen und Aktivitäten . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
8.3 Risikobewertung und -behandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
8.4 Kontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
8.5 Sicherheitsstrategien, -verfahren, -prozesse und -behandlungen . . . . . . . . . . . . . . . 23
8.5.1 Identifikation und Auswahl der Strategien und Behandlungen . . . . . . . . . . . . . . . . 23
8.5.2 Festlegen des Ressourcenbedarfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
8.5.3 Umsetzung von Behandlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
8.6 Sicherheitspläne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
8.6.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
8.6.2 Reaktionsstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

2
– Entwurf –
E DIN ISO 28000:2021-04

8.6.3 Warnung und Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25


8.6.4 Inhalt des Sicherheitsplans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
8.6.5 Wiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
9 Bewertung der Leistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
9.1 Überwachung, Messung, Analyse und Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . 27
9.2 Internes Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
9.2.1 Durchführen interner Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
9.2.2 Auditprogramm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
9.3 Managementbewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
9.3.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
9.3.2 Ergebnisse der Managementbewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
9.3.3 Eingaben für die Managementbewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
10 Verbesserung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
10.1 Nichtkonformität und Korrekturmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . 29
10.2 Fortlaufende Verbesserung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Literaturhinweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Bilder
Bild 1 — PDCA-Modell, angewandt auf das Sicherheitsmanagementsystem . . . . . . . . . . . . . . 8
Bild 2 — Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Tabellen
Tabelle 1 — Erläuterung des PDCA-Modells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3
– Entwurf –
E DIN ISO 28000:2021-04

Nationales Vorwort
Dieses Dokument enthält die deutsche Übersetzung des internationalen Norm-Entwurfes
ISO/DIS 28000:2021, der vom Technischen Komitee ISO/TC 292 „Security and resilience“ erarbeitet wurde,
dessen Sekretariat von SIS (Schweden) gehalten wird.

Das zuständige nationale Normungsgremium ist der Arbeitsausschuss NA 175-00-05 GA „Sicherheit und Busi-
ness Continuity“ im DIN-Normenausschuss Organisationsprozesse (NAOrg).

Um Zweifelsfälle in der Übersetzung auszuschließen, ist die englische Originalfassung beigefügt. Die Nutzungs-
bedingungen für den deutschen Text des Norm-Entwurfes gelten gleichermaßen auch für den englischen Text.

Für die in diesem Dokument zitierten Dokumente wird im Folgenden auf die entsprechenden deutschen Doku-
mente hingewiesen:

ISO 9001 siehe DIN EN ISO 9001


ISO 14001 siehe DIN EN ISO 14001
ISO 22300 siehe DIN EN ISO 22300
ISO 22301 siehe DIN EN ISO 22301
ISO 31000 siehe DIN ISO 31000
ISO 45001 siehe DIN ISO 45001
ISO/IEC 27001 siehe DIN EN ISO/IEC 27001

Aktuelle Informationen zu diesem Dokument können über die Internetseiten von DIN (www.din.de) durch eine
Suche nach der Dokumentennummer aufgerufen werden.

Änderungen

Gegenüber DIN ISO 28000:2015-08 wurden folgende Änderungen vorgenommen:

a) ISO-Richtlinien, Anhang L, Anlage 2, wurden eingehalten;

b) Empfehlungen zu Grundsätzen wurden in Abschnitt 4 hinzugefügt, um eine bessere Koordination mit


ISO 31000 zu bieten;

c) in Abschnitt 8 wurden zur besseren Übereinstimmung mit ISO 22301 Empfehlungen hinzugefügt, die die
Integration ermöglichen, einschließlich:

— Sicherheitsstrategien, -verfahren, -prozesse und -behandlungen;

— Sicherheitspläne.

4
– Entwurf –
E DIN ISO 28000:2021-04

Nationaler Anhang NA
(informativ)

Literaturhinweise

DIN EN ISO 9001, Qualitätsmanagementsysteme — Anforderungen

DIN EN ISO 14001, Umweltmanagementsysteme — Anforderungen mit Anleitung zur Anwendung

DIN EN ISO 22300, Sicherheit und Resilienz — Vokabular

DIN EN ISO 22301, Sicherheit und Resilienz — Business Continuity Management System — Anforderungen

DIN EN ISO/IEC 27001, Informationstechnik — Sicherheitsverfahren —


Informationssicherheitsmanagementsysteme — Anforderungen

DIN ISO 31000, Risikomanagement — Leitlinien

DIN ISO 45001, Managementsysteme für Sicherheit und Gesundheit bei der Arbeit — Anforderungen mit
Anleitung zur Anwendung

5
– Entwurf –
E DIN ISO 28000:2021-04

Vorwort
ISO (die Internationale Organisation für Normung) ist eine weltweite Vereinigung nationaler Normungsinsti-
tute (ISO-Mitgliedsorganisationen). Die Erstellung von Internationalen Normen wird üblicherweise von Tech-
nischen Komitees von ISO durchgeführt. Jede Mitgliedsorganisation, die Interesse an einem Thema hat, für
welches ein Technisches Komitee gegründet wurde, hat das Recht, in diesem Komitee vertreten zu sein. Inter-
nationale staatliche und nichtstaatliche Organisationen, die in engem Kontakt mit ISO stehen, nehmen eben-
falls an der Arbeit teil. ISO arbeitet bei allen elektrotechnischen Normungsthemen eng mit der Internationalen
Elektrotechnischen Kommission (IEC) zusammen.

Die Verfahren, die bei der Entwicklung dieses Dokuments angewendet wurden und die für die weitere Pflege
vorgesehen sind, werden in den ISO/IEC-Direktiven, Teil 1 beschrieben. Es sollten insbesondere die unter-
schiedlichen Annahmekriterien für die verschiedenen ISO-Dokumentenarten beachtet werden. Dieses Doku-
ment wurde in Übereinstimmung mit den Gestaltungsregeln der ISO/IEC-Direktiven, Teil 2 erarbeitet (siehe
www.iso.org/directives).

Es wird auf die Möglichkeit hingewiesen, dass einige Elemente dieses Dokuments Patentrechte berühren kön-
nen. ISO ist nicht dafür verantwortlich, einige oder alle diesbezüglichen Patentrechte zu identifizieren. Details
zu allen während der Entwicklung des Dokuments identifizierten Patentrechten finden sich in der Einleitung
und/oder in der ISO-Liste der erhaltenen Patenterklärungen (siehe www.iso.org/patents).

Jeder in diesem Dokument verwendete Handelsname dient nur zur Unterrichtung der Anwender und bedeutet
keine Anerkennung.

Für eine Erläuterung des freiwilligen Charakters von Normen, der Bedeutung ISO-spezifischer Begriffe und
Ausdrücke in Bezug auf Konformitätsbewertungen sowie Informationen darüber, wie ISO die Grundsätze der
Welthandelsorganisation (WTO, en: World Trade Organization) hinsichtlich technischer Handelshemmnisse
(TBT, en: Technical Barriers to Trade) berücksichtigt, siehe www.iso.org/iso/foreword.html.

Dieses Dokument wurde vom Technischen Komitee ISO/TC 292, Security and resilience, erarbeitet.

Diese zweite Ausgabe ersetzt die erste Ausgabe (ISO 28000:2007), die technisch überarbeitet wurde, jedoch
bestehende Anforderungen beibehält, um Kontinuität für Organisationen zu gewährleisten, die die vorherige
Ausgabe verwenden. Die wesentlichen Änderungen im Vergleich zur Vorgängerausgabe sind folgende:

— ISO-Richtlinien, Anhang L, Anlage 2, wurden eingehalten;

— Empfehlungen zu Grundsätzen wurden in Abschnitt 4 hinzugefügt, um eine bessere Koordination mit


ISO 31000 zu bieten;

— in Abschnitt 8 wurden zur besseren Übereinstimmung mit ISO 22301 Empfehlungen hinzugefügt, die die
Integration ermöglichen, einschließlich:

— Sicherheitsstrategien, -verfahren, -prozesse und -behandlungen;

— Sicherheitspläne.

Eine Auflistung aller Teile der Normenreihe ISO 28000 ist auf der ISO-Internetseite abrufbar.

Rückmeldungen oder Fragen zu diesem Dokument sollten an das jeweilige nationale Normungsinstitut des
Anwenders gerichtet werden. Eine vollständige Auflistung dieser Institute ist unter www.iso.org/members.
html zu finden.

6
– Entwurf –
E DIN ISO 28000:2021-04

Einleitung
Die meisten Organisationen erfahren eine zunehmende Unsicherheit und Volatilität in der Sicherheitsumge-
bung. Als Folge daraus stellen sich ihnen Sicherheitsfragen, die sich auf ihre Ziele auswirken, und sie möchten
diese innerhalb ihres Managementsystems systematisch behandeln. Eine formale Herangehensweise an das
Sicherheitsmanagement kann zu den geschäftlichen Fähigkeiten und der Glaubwürdigkeit der Organisation
direkt beitragen.

Dieses Dokument legt die Anforderungen für ein Sicherheitsmanagementsystem fest, einschließlich der
Aspekte, die für die Sicherheitsgewährleistung der Lieferkette von hoher Wichtigkeit sind. Es erfordert von
der Organisation:

— Bewerten der Sicherheitsumgebung, in der es arbeitet, einschließlich ihrer Lieferkette (einschließlich


Abhängigkeiten und Wechselbeziehungen);

— Feststellen, ob angemessene Sicherheitsmaßnahmen vorhanden sind, um sicherheitsrelevante Risiken


effektiv zu behandeln;

— Einhalten von gesetzlichen, behördlichen und freiwilligen Verpflichtungen, denen sich die Organisation
unterwirft; und

— Anpassen von Sicherheitsprozessen und -steuerungen, einschließlich der relevanten vor- und nachgelager-
ten Prozesse und Kontrollen der Lieferkette, um die Ziele der Organisation zu erreichen.

Es erfordert von der Organisation, die Sicherheitsumgebung, in der sie arbeitet, zu bewerten und festzustellen,
ob angemessene Sicherheitsmaßnahmen vorhanden sind, um sicherheitsrelevante Risiken effektiv zu behan-
deln, und ob bereits andere gesetzliche sicherheitsrelevante Anforderungen bestehen, die die Organisation
erfüllt.

Wenn Sicherheitsziele identifiziert sind, implementiert die Organisation Kontrollen, um diese Ziele zu errei-
chen.

Sicherheitsmanagement ist mit vielen Aspekten der Geschäftsführung verbunden. Sie beinhalten alle Aktivi-
täten, die von Organisationen kontrolliert oder beeinflusst werden, einschließlich, aber nicht beschränkt auf
diejenigen, die sich auf die Lieferkette auswirken. Alle Aktivitäten, Funktionen und Tätigkeiten sollten berück-
sichtigt werden, die eine Auswirkung auf das Sicherheitsmanagement der Organisation haben, einschließlich
(aber nicht beschränkt auf) dessen Lieferkette.

Hinsichtlich der Lieferkette muss berücksichtigt werden, dass Lieferketten dynamischer Natur sind. Daher dür-
fen einige Organisationen, die mehrere Lieferketten verwalten, von ihren Anbietern verlangen, dass sie die
entsprechenden Sicherheitsstandards als Bedingung für die Aufnahme in diese Lieferkette erfüllen, um die
Anforderungen an das Sicherheitsmanagement zu erfüllen.

Dieses Dokument wendet das „Plan-Do-Check-Act“-Modell (PDCA, de: Planen-Durchführen-Prüfen-Handeln)


an, um die Effektivität des Sicherheitsmanagementsystems einer Organisation zu planen, einzurichten, umzu-
setzen, zu betreiben, zu überwachen, zu überprüfen, aufrechtzuerhalten und fortlaufend zu verbessern.

Tabelle 1 — Erläuterung des PDCA-Modells

Planen Einführen von Sicherheitsleitlinie, -zielen, -einzelzielen, -kontrollen,


(Einführen) -prozessen und -verfahren, die für die Verbesserung der Sicherheit
relevant sind, um Ergebnisse zu erzielen, die sich mit der
übergeordneten Leitlinie und den übergeordneten Zielen der
Organisation in Übereinstimmung befinden.

7
– Entwurf –
E DIN ISO 28000:2021-04

Tabelle 1 ( fortgesetzt)

Durchführen Umsetzen und Betreiben der Sicherheitsleitlinie, -kontrollen, -prozesse


(Umsetzen und Betreiben) und -verfahren.

Prüfen Überwachen und Überprüfen der Leistung vor dem Hintergrund von
(Überwachen und Überprüfen) Sicherheitsleitlinie und -zielen, Berichten der Ergebnisse an die
Leitung zum Zweck der Überprüfung, Festlegung und Autorisierung
von Maßnahmen zur Korrektur und Verbesserung.
Handeln Aufrechterhalten und Verbessern des Sicherheitsmanagementsystems
(Aufrechterhalten und (SMS) durch die Ergreifung von Korrekturmaßnahmen, basierend auf
Verbessern) den Ergebnissen der Managementbewertung und der Neubewertung
des Anwendungsbereichs des SMS sowie der Sicherheitsleitlinie und
-ziele.

Bild 1 — PDCA-Modell, angewandt auf das Sicherheitsmanagementsystem

Dies gewährleistet eine gewisse Übereinstimmung mit anderen Managementsystem-Normen, wie z. B.


ISO 9001, Quality management systems — Requirements, ISO 14001, Environmental management systems —
Requirements with guidance for use, ISO 22301, Security and resilience — Business continuity management
systems — Requirements, ISO/IEC 27001, Information technology — Security techniques — Information
security management systems — Requirement, ISO 45001, Occupational health and safety management
systems — Requirements with guidance for use, usw., wodurch die konsistente und integrierte Umsetzung
und der Betrieb mit verwandten Managementsystemen unterstützt wird.

Die Einhaltung einer Internationalen Norm verleiht an sich keine Immunität hinsichtlich rechtlicher Pflich-
ten. Für Organisationen, die dies wünschen, kann die Einhaltung des Sicherheitsmanagementsystems dieser
Internationalen Norm durch einen externen oder internen Audit-Prozess verifiziert werden.

8
– Entwurf –
E DIN ISO 28000:2021-04

1 Anwendungsbereich
Diese Internationale Norm legt Anforderungen für ein Sicherheitsmanagementsystem fest, einschließlich der
für die Lieferkette relevanten Aspekte.

Dieses Dokument ist für alle Arten und Größen von Organisationen anwendbar (z. B. kommerzielle Unterneh-
men, staatliche oder andere öffentliche Einrichtungen und gemeinnützige Organisationen), die beabsichtigen,
ein Sicherheitsmanagementsystem einzurichten, zu implementieren, aufrechtzuerhalten und zu verbessern.
Es bietet einen ganzheitlichen und gemeinsamen Ansatz und ist nicht branchen- oder sektorspezifisch.

Dieses Dokument kann während der gesamten Lebensdauer der Organisation genutzt und auf alle internen
und externen Aktivitäten allen Ebenen angewendet werden.

2 Normative Verweisungen
Die folgenden Dokumente werden im Text in solcher Weise in Bezug genommen, dass einige Teile davon oder
ihr gesamter Inhalt Anforderungen des vorliegenden Dokuments darstellen. Bei datierten Verweisungen gilt
nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte Ausgabe des in Bezug
genommenen Dokuments (einschließlich aller Änderungen).

ISO 22300, Security and resilience — Vocabulary

ISO 31000, Risk management — Guidelines

3 Begriffe
Für die Anwendung dieses Dokuments gelten die Begriffe nach ISO 22300 und die folgenden Begriffe.

ISO und IEC stellen terminologische Datenbanken für die Verwendung in der Normung unter den folgenden
Adressen bereit:

— ISO Online Browsing Platform: verfügbar unter https://www.iso.org/obp

— IEC Electropedia: verfügbar unter http://www.electropedia.org/

3.1
Organisation
Person oder Personengruppe, die eigene Funktionen mit Verantwortlichkeiten, Befugnissen und Beziehungen
hat, um ihre Ziele (3.8) zu erreichen

Anmerkung 1 zum Begriff: Der Begriff Organisation umfasst unter anderem Einzelunternehmer, Gesellschaft, Konzern,
Firma, Unternehmen, Behörde, Handelsgesellschaft, Wohltätigkeitsorganisation, Institution, oder Teile oder eine Kombi-
nation der genannten, ob eingetragen oder nicht, öffentlich oder privat.

3.2
interessierte Partei (bevorzugter Begriff)
Anspruchsgruppe (zulässige Benennung)
Person oder Organisation (3.1), die eine Entscheidung oder Tätigkeit beeinflussen kann, die davon beeinflusst
sein kann, oder die sich davon beeinflusst fühlen kann

3.3
Anforderung
Erfordernis oder Erwartung, das oder die festgelegt, üblicherweise vorausgesetzt oder verpflichtend ist

Anmerkung 1 zum Begriff: „Üblicherweise vorausgesetzt“ bedeutet, dass es für die Organisation und andere interes-
sierte Parteien übliche oder allgemeine Praxis ist, dass das entsprechende Erfordernis oder die entsprechende Erwartung
vorausgesetzt wird.

9
– Entwurf –
E DIN ISO 28000:2021-04

Anmerkung 2 zum Begriff: Eine festgelegte Anforderung ist eine, die z. B. in dokumentierter Information enthalten ist.

3.4
Managementsystem
Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation (3.1), um Leitli-
nien (3.7), Ziele (3.8) und Prozesse (3.12) zum Erreichen dieser Ziele festzulegen

Anmerkung 1 zum Begriff: Ein Managementsystem kann eine oder mehrere Disziplinen behandeln.

Anmerkung 2 zum Begriff: Die Elemente des Systems beinhalten die Struktur der Organisation, Rollen und Verantwort-
lichkeiten, Planung sowie Betrieb.

Anmerkung 3 zum Begriff: Der Anwendungsbereich eines Managementsystems kann die ganze Organisation bestimmte
Funktionen der Organisation, bestimmte Bereiche der Organisation oder eine oder mehrere Funktionen über eine Gruppe
von Organisationen hinweg umfassen.

3.5
oberste Leitung
Person oder Personengruppe, die eine Organisation (3.1) auf der obersten Ebene führt und steuert

Anmerkung 1 zum Begriff: Die oberste Leitung ist innerhalb der Organisation in der Lage, Verantwortung zu delegieren
und Ressourcen bereitzustellen.

Anmerkung 2 zum Begriff: Wenn der Anwendungsbereich des Managementsystems (3.4) nur einen Teil einer Organisa-
tion umfasst, bezieht sich „oberste Leitung“ auf diejenigen, die diesen Teil führen und steuern.

3.6
Wirksamkeit
Ausmaß, in dem geplante Tätigkeiten verwirklicht und geplante Ergebnisse erreicht werden

3.7
Leitlinie
Absichten und Ausrichtung einer Organisation (3.1), wie sie von der obersten Leitung (3.5) formell ausgedrückt
sind

3.8
Ziel
zu erreichendes Ergebnis

Anmerkung 1 zum Begriff: Ein Ziel kann strategisch, taktisch oder operativ sein.

Anmerkung 2 zum Begriff: Ziele können sich auf verschiedene Disziplinen beziehen (z. B. Finanz-, Gesundheits- und
Sicherheits- und Umweltziele) und auf verschiedenen Ebenen gelten (z. B. strategisch, organisationsweit, Projekt, Produkt
und Prozess (3.12)).

Anmerkung 3 zum Begriff: Ein Ziel kann auf andere Weise ausgedrückt werden, z. B. als beabsichtigtes Ergebnis, als
Zweck, als betriebliches Kriterium, als Sicherheitsziel oder durch die Verwendung anderer Wörter mit ähnlicher Bedeu-
tung (en: aim, goal, target).

Anmerkung 4 zum Begriff: Im Kontext von Sicherheitsmanagementsystemen werden Sicherheitsziele von Organisatio-
nen im Einklang mit ihren Sicherheitsleitlinien gesetzt, um bestimmte Ergebnisse zu erreichen.

10
– Entwurf –
E DIN ISO 28000:2021-04

3.9
Risiko
Auswirkung von Unsicherheit auf Ziele

Anmerkung 1 zum Begriff: Eine Auswirkung ist eine Abweichung vom Erwarteten. Sie kann positiv, negativ oder beides
sein und Möglichkeiten und Bedrohungen ansprechen, schaffen oder zu ihnen führen.

Anmerkung 2 zum Begriff: Ziele können unterschiedliche Aspekte und Kategorien haben und auf verschiedenen Ebenen
angewendet werden.

Anmerkung 3 zum Begriff: Das Risiko wird üblicherweise anhand der Risikoquellen, der potenziellen Ereignisse, ihrer
Folgen und ihrer Wahrscheinlichkeit dargestellt.

3.10
Kompetenz
Fähigkeit, Wissen und Fertigkeiten anzuwenden, um beabsichtigte Ergebnisse zu erzielen

3.11
dokumentierte Information
Information, die von einer Organisation (3.1) gelenkt und aufrechterhalten werden muss, und das Medium, auf
dem sie enthalten ist

Anmerkung 1 zum Begriff: Dokumentierte Information kann in jeglichem Format oder Medium vorliegen sowie aus
jeglicher Quelle stammen.

Anmerkung 2 zum Begriff: Dokumentierte Information kann sich beziehen auf:

— das Managementsystem (3.4), einschließlich damit verbundener Prozesse (3.12);

— Informationen, die für den Betrieb der Organisation (3.1) geschaffen wurden (Dokumentation);

— Nachweise erreichter Ergebnisse (Aufzeichnungen).

[QUELLE: ISO/IEC 27000, 3.19]

3.12
Prozess
Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse
umwandelt

3.13
Leistung
messbares Ergebnis

Anmerkung 1 zum Begriff: Leistung kann sich entweder auf quantitative oder qualitative Feststellungen beziehen.

Anmerkung 2 zum Begriff: Leistung kann sich auf das Führen und Steuern von Tätigkeiten, Prozessen (3.12), Produkten
(einschließlich Dienstleistungen), Systemen oder Organisationen (3.1) beziehen.

3.14
ausgliedern (Verb)
Treffen einer Vereinbarung, bei der eine externe Organisation (3.1) einen Teil einer Funktion oder eines Pro-
zesses (3.12) einer Organisation wahrnimmt bzw. durchführt

Anmerkung 1 zum Begriff: Eine externe Organisation befindet sich außerhalb des Anwendungsbereichs des Manage-
mentsystems (3.4), obwohl die ausgegliederte Funktion oder der ausgegliederte Prozess im Rahmen des Anwendungsbe-
reichs liegen.

11
– Entwurf –
E DIN ISO 28000:2021-04

3.15
Überwachung
Bestimmung des Zustands eines Systems, eines Prozesses (3.12) oder einer Tätigkeit

Anmerkung 1 zum Begriff: Zur Bestimmung des Zustands kann es erforderlich sein, zu prüfen, zu beaufsichtigen oder
kritisch zu beobachten.

3.16
Messung
Prozess (3.12) zum Bestimmen eines Wertes

3.17
Audit
systematischer, unabhängiger und dokumentierter Prozess (3.12) zum Erlangen von Auditnachweisen und zu
deren objektiver Auswertung, um zu bestimmen, inwieweit Auditkriterien erfüllt sind

Anmerkung 1 zum Begriff: Ein Audit kann ein internes Audit (Erstparteien-Audit) oder externes Audit (Zweit- oder
Drittparteien-Audit) sein und es kann ein kombiniertes Audit sein (Verbindung zweier oder mehrerer Disziplinen).

Anmerkung 2 zum Begriff: Ein internes Audit wird von der Organisation selbst durchgeführt, oder von einer externen
Stelle in ihrem Auftrag.

Anmerkung 3 zum Begriff: „Auditnachweis“ und „Auditkriterium“ sind in ISO 19011 definiert.

3.18
Konformität
Erfüllung einer Anforderung (3.3)

3.19
Nichtkonformität
Nichterfüllung einer Anforderung (3.3)

3.20
Korrekturmaßnahme
Maßnahme zum Beseitigen der Ursache einer Nichtkonformität (3.19) und zum Verhindern des erneuten Auf-
tretens

3.21
fortlaufende Verbesserung
wiederkehrende Tätigkeit zum Steigern der Leistung (3.13)

4 Kontext der Organisation


4.1 Verstehen der Organisation und ihres Kontextes

Die Organisation muss externe und interne Themen bestimmen, die für ihren Zweck relevant sind und sich auf
ihre Fähigkeit auswirken, die beabsichtigten Ergebnisse ihres Sicherheitsmanagementsystems zu erreichen.

4.2 Verstehen der Erfordernisse und Erwartungen der interessierten Parteien

4.2.1 Allgemeines

Die Organisation muss

— die interessierten Parteien, die für ihr Sicherheitsmanagementsystem relevant sind,

— die relevanten Anforderungen dieser interessierten Parteien

12
– Entwurf –
E DIN ISO 28000:2021-04

bestimmen.

4.2.2 Rechtliche, gesetzliche und andere behördliche Sicherheitsanforderungen

Die Organisation muss:

a) einen Prozess umsetzen und aufrechterhalten, um die geltenden rechtlichen und behördlichen Anforde-
rungen in Bezug auf die Sicherheit zu ermitteln, und Zugang zu diesen rechtlichen und behördlichen Anfor-
derungen erhalten und diese bewerten;

b) sicherstellen, dass diese anzuwendenden rechtlichen, behördlichen und anderen Anforderungen bei der
Umsetzung und Aufrechterhaltung ihres Sicherheitsmanagements berücksichtigt werden;

c) diese Informationen dokumentieren und auf dem aktuellen Stand halten; und

d) diese Informationen gegenüber relevanten interessierten Parteien kommunizieren.

4.2.3 Grundsätze

4.2.3.1 Allgemeines

Der Zweck des Sicherheitsmanagements innerhalb der Organisation ist die Erschaffung und insbesondere der
Schutz von Wert.

Die Organisation sollte die folgenden Grundsätze anwenden:

13
– Entwurf –
E DIN ISO 28000:2021-04

Bild 2 — Grundsätze

4.2.3.2 Führung

Führungskräfte auf allen Ebenen sollten einen einheitlichen Zweck und eine einheitliche Richtung festlegen
und Bedingungen schaffen, um die Strategien, Leitlinien, Prozesse und Ressourcen der Organisation auf das
Erreichen ihrer Ziele auszurichten. Abschnitt 5 über Führung erläutert die Anforderungen in Bezug auf dieses
Prinzip.

4.2.3.3 Strukturierter und umfassender Prozessansatz basierend auf den besten verfügbaren
Informationen

Eine strukturierte und umfassende Herangehensweise an das Sicherheitsmanagement einschließlich der Lie-
ferkette muss zu konsistenten und vergleichbaren Ergebnissen beitragen, die effektiver und effizienter erreicht
werden, wenn Aktivitäten verstanden und als zusammenhängende, als kohärentes System funktionierende
Prozesse verstanden werden.

14
– Entwurf –
E DIN ISO 28000:2021-04

4.2.3.4 Individuelle Anpassung

Das Sicherheitsmanagementsystem sollte an den externen und internen Zusammenhang und an die Bedürf-
nisse einer Organisation individuell angepasst und diesen angemessen sowie mit den Zielen der Organisation
verbunden sein

4.2.3.5 Einbeziehung von Personen

Die Organisation sollte interessierte Parteien angemessen und rechtzeitig einbeziehen und deren Kenntnisse,
Ansichten und Wahrnehmungen angemessen berücksichtigen, um das Bewusstsein für ein informiertes Sicher-
heitsmanagement zu verbessern und es zu erleichtern. Die Organisation sollte sicherstellen, dass jeder auf allen
Ebenen respektiert und einbezogen wird.

4.2.3.6 Integrierter Ansatz

Das Sicherheitsmanagement ist ein integraler Bestandteil aller Aktivitäten einer Organisation. Es sollte mit
allen anderen Managementsystemen der Organisation integriert werden.

Das Risikomanagement der Organisation – ob formell, informell oder intuitiv – sollte in das Sicherheitsmanage-
mentsystem integriert werden.

4.2.3.7 Dynamische und fortlaufende Verbesserung

Die Organisation sollte einen Fokus fortlaufend auf Verbesserung durch Lernen und Erfahrung richten, um das
Leistungsniveau zu halten, auf Veränderungen zu reagieren und neue Möglichkeiten zu schaffen, wenn sich der
externe und interne Kontext der Organisation ändert.

4.2.3.8 Berücksichtigen menschlicher und kultureller Faktoren

Das menschliche Verhalten und kulturelle Faktoren haben einen wesentlichen Einfluss auf alle Aspekte des
Sicherheitsmanagements und sollten auf allen Ebenen und in jeder Phase berücksichtigt werden. Entscheidun-
gen sollten auf der Analyse und Bewertung von Daten und Informationen basieren, um sicherzustellen, dass sie
zu mehr Objektivität und Vertrauen in die Entscheidungsfindung führen und mit größerer Wahrscheinlichkeit
zu den gewünschten Ergebnissen führen. Individuelle Wahrnehmungen sollten berücksichtigt werden.

4.2.3.9 Beziehungsmanagement

Für nachhaltigen Erfolg sollte die Organisation ihre Beziehungen zu allen relevanten interessierten Parteien
pflegen, da sie die Leistung der Organisation beeinflussen könnten.

4.3 Festlegen des Anwendungsbereichs des Sicherheitsmanagementsystems

Die Organisation muss die Grenzen und die Anwendbarkeit des Sicherheitsmanagementsystems bestimmen,
um dessen Anwendungsbereich festzulegen.

Bei der Festlegung des Anwendungsbereichs muss die Organisation

— die unter 4.1 aufgeführten externen und internen Themen,

— die unter 4.2 aufgeführten Anforderungen

berücksichtigen.

Der Anwendungsbereich muss als dokumentierte Information verfügbar sein.

Wenn sich eine Organisation für einen Prozess entscheidet, der die Konformität mit ihrem Sicherheitsmanage-
mentsystem beeinflusst, muss die Organisation die Kontrolle derartiger Prozesse sicherstellen. Die notwendi-

15
– Entwurf –
E DIN ISO 28000:2021-04

gen Kontrollen für derartige ausgegliederte Prozesse und die Verantwortlichkeiten für diese müssen im Sicher-
heitsmanagementsystem festgelegt sein.

4.4 Sicherheitsmanagementsystem

Die Organisation muss entsprechend den Anforderungen dieses Dokuments ein


Sicherheitsmanagementsystem aufbauen, verwirklichen, aufrechterhalten und fortlaufend verbessern,
einschließlich der benötigten Prozesse und ihren Wechselwirkungen.

5 Führung
5.1 Führung und Verpflichtung

Die oberste Leitung muss in Bezug auf das Sicherheitsmanagementsystem Führung und Verpflichtung zeigen,
indem sie:

— sicherstellt, dass die Sicherheitsleitlinie und die Sicherheitsziele festgelegt und mit der strategischen Aus-
richtung der Organisation vereinbar sind;

— sicherstellt, dass die Anforderungen und Erwartungen der interessierten Parteien der Organisation fest-
gelegt und überwacht werden und dass angemessene und rechtzeitige Maßnahmen ergriffen werden, um
diese Erwartungen zu erfüllen, wobei die Integration der Anforderungen an das Sicherheitsmanagement-
system in die Geschäftsprozesse der Organisation sichergestellt wird;

— sicherstellt, dass die für das Sicherheitsmanagementsystem erforderlichen Ressourcen zur Verfügung ste-
hen;

— die Bedeutung eines wirksamen Sicherheitsmanagements sowie die Wichtigkeit der Erfüllung der Anfor-
derungen des Sicherheitsmanagements vermittelt;

— sicherstellt, dass das Sicherheitsmanagementsystem sein beabsichtigtes Ergebnis bzw. seine beabsichtig-
ten Ergebnisse erzielt;

— sicherstellt, dass die Ziele, Einzelziele und Programme des Sicherheitsmanagements realisierbar sind;

— sicherstellt, dass jegliche von anderen Teilen der Organisation entwickelten Programme das Sicherheits-
managementsystem ergänzen;

— Personen anleitet und unterstützt, damit diese zur Wirksamkeit des Sicherheitsmanagementsystems bei-
tragen können;

— die fortlaufende Verbesserung des Sicherheitsmanagementsystems der Organisation fördert; und

— andere relevante Führungskräfte unterstützt, um deren Führungsrolle in deren jeweiligen Verantwor-


tungsbereichen deutlich zu machen.

ANMERKUNG Wenn in diesem Dokument das Wort „Geschäft“ (en: business) verwendet wird, kann dieses im weite-
ren Sinne verstanden werden und bezieht sich auf Tätigkeiten, die für den Zweck der Organisation bzw. deren Existenz
entscheidend sind.

5.2 Leitlinien

5.2.1 Festlegung der Sicherheitsleitlinien

Die oberste Leitung muss eine Sicherheitsleitlinie vorgeben, die:

a) für den Zweck der Organisation angemessen ist;

16
– Entwurf –
E DIN ISO 28000:2021-04

b) einen Rahmen zum Festlegen von Sicherheitszielen bietet;

c) eine Verpflichtung zur Erfüllung anwendbarer Anforderungen enthält;

d) eine Verpflichtung zur fortlaufenden Verbesserung des Sicherheitsmanagementsystems enthält; und

e) die negative Auswirkung berücksichtigt, die die Leitlinie, Ziele, Einzelziele, Programme usw. zum Sicher-
heitsmanagement auf andere Aspekte der Organisation haben kann.

5.2.2 Anforderungen an die Sicherheitsleitlinien

Die Sicherheitsleitlinien muss:

— mit anderen Leitlinien der Organisation im Einklang stehen;

— mit der allgemeinen Bewertung der Sicherheitsrisiken des Unternehmens im Einklang stehen;

— ihre Prüfung im Falle einer Übernahme von oder einer Fusion mit anderen Organisationen, oder anderer
Änderungen des Geschäftsrahmens der Organisation vorsehen, die das Fortbestehen oder die Relevanz des
Sicherheitsmanagementsystems beeinflussen können;

— die primäre Rechenschaftspflicht und Verantwortlichkeit für Ergebnisse beschreiben und zuweisen;

— als dokumentierte Information verfügbar sein;

— innerhalb der Organisation bekanntgemacht werden;

— für interessierte Parteien verfügbar sein, soweit angemessen.

ANMERKUNG Organisationen können sich für eine detaillierte Sicherheitsmanagement-Leitlinie für den internen
Gebrauch entscheiden, die ausreichend Informationen und Leitung bietet, um das Sicherheitsmanagementsystem (von
dem Teile vertraulich sein können) zu fördern und über eine zusammenfassendende (nicht vertrauliche) Version zu
verfügen, die zur Weitergabe an ihre Anspruchsgruppe und andere interessierte Parteien die allgemeinen Zielsetzungen
umfasst.

5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

Die oberste Leitung muss sicherstellen, dass die Verantwortlichkeiten und Befugnisse für relevante Rollen
zugewiesen und innerhalb der Organisation bekannt gemacht werden.

Die oberste Leitung muss die Verantwortlichkeit und Befugnis zuweisen für:

a) das Sicherstellen, dass das Sicherheitsmanagementsystem die Anforderungen dieses Dokuments erfüllt;

b) das Berichten an die oberste Leitung über die Leistung des Sicherheitsmanagementsystems.

6 Planung
6.1 Maßnahmen zum Umgang mit Risiken und Möglichkeiten

6.1.1 Allgemeines

Bei Planungen für das Sicherheitsmanagementsystem muss die Organisation die in 4.1 genannten Themen
und die in 4.2 genannten Anforderungen berücksichtigen sowie die Risiken und Möglichkeiten bestimmen, die
behandelt werden müssen, um:

— sicherzustellen, dass das Sicherheitsmanagementsystem seine angestrebten Ergebnisse erzielen kann;

17
– Entwurf –
E DIN ISO 28000:2021-04

— unerwünschte Auswirkungen zu verhindern oder zu verringern;

— fortlaufende Verbesserung zu erreichen.

Die Organisation muss planen:

a) Maßnahmen zum Umgang mit diesen Risiken und Möglichkeiten;

b) wie:

— die Maßnahmen in die Sicherheitsmanagementsystem-Prozesse der Organisation integriert und dort


umgesetzt werden;

— die Wirksamkeit dieser Maßnahmen bewertet wird.

ANMERKUNG Der Zweck des Risikomanagements ist die Erschaffung und der Schutz von Wert, und das Risiko-
management muss in das Sicherheitsmanagementsystem integriert werden. Risiken in Bezug auf die Sicherheit der
Organisation und ihrer interessierten Parteien werden in 8.3 behandelt.

6.1.2 Bestimmung von Sicherheitsrisiken und Identifizierung von Möglichkeiten

Die Bestimmung von Sicherheitsrisiken und die Identifizierung und Nutzung von Möglichkeiten erfordert eine
proaktive Risikobewertung, die folgende Punkte berücksichtigen sollte, ohne auf diese beschränkt zu sein:

a) physische oder funktionale Ausfälle und böswillige oder kriminelle Handlungen;

b) Umwelt-, menschliche und kulturelle Faktoren und andere interne oder externe Zusammenhänge,
einschließlich Faktoren außerhalb der Kontrolle der Organisation, die die Sicherheit der Organisation
beeinträchtigen;

c) die Auslegung, Installation, Wartung und den Austausch von Sicherheitseinrichtungen;

d) das Informations-, Daten-, Wissens- und Kommunikationsmanagement der Organisation;

e) Informationen in Bezug auf Sicherheitsbedrohungen und Schwachstellen.

6.1.3 Bestimmung von Sicherheitsrisiken und Nutzung von Möglichkeiten

Die Bewertung der identifizierten Sicherheitsrisiken muss einen Beitrag leisten zu (ohne darauf beschränkt zu
sein):

a) dem gesamten Risikomanagement der Organisation;

b) der Risikobehandlung;

c) den Zielen des Sicherheitsmanagements;

d) den Sicherheitsmanagement-Prozessen;

e) der Auslegung, Spezifikation und Umsetzung des Sicherheitsmanagementsystems;

f) der Bestimmung angemessener Ressourcen, einschließlich Personalbeständen; und

g) der Identifikation von Schulungsbedarf und dem erforderlichen Kompetenzniveau.

18
– Entwurf –
E DIN ISO 28000:2021-04

6.2 Sicherheitsziele und Planung zu deren Erreichung

6.2.1 Festlegung von Sicherheitszielen

Die Organisation muss Sicherheitsziele für relevante Funktionen und Ebenen festlegen.

Die Sicherheitsziele müssen:

a) im Einklang mit der Sicherheitsleitlinie stehen;

b) messbar sein (sofern machbar);

c) anwendbare Anforderungen berücksichtigen;

d) überwacht werden;

e) vermittelt werden;

f) soweit erforderlich, aktualisiert werden.

Die Organisation muss dokumentierte Informationen zu den Sicherheitszielen aufbewahren.

6.2.2 Bestimmung von Sicherheitszielen

Bei der Planung zum Erreichen der Sicherheitsziele muss die Organisation bestimmen:

— was getan wird;

— welche Ressourcen erforderlich sind;

— wer verantwortlich ist;

— wann es abgeschlossen wird;

— wie die Ergebnisse bewertet werden.

Bei der Festlegung und Prüfung ihrer Sicherheitsziele muss eine Organisation Folgendes berücksichtigen:

a) technologische, menschliche, administrative und andere Optionen; und

b) Ansichten von und Auswirkungen auf entsprechende interessierte Parteien.

Die Sicherheitsziele müssen mit der Verpflichtung der Organisation zur fortlaufenden Verbesserung überein-
stimmen.

6.3 Planung von Änderungen am Sicherheitsmanagementsystem

Wenn die Organisation feststellt, dass Änderungen am Sicherheitsmanagementsystem erforderlich sind, ein-
schließlich der in Abschnitt 10 genannten, müssen diese Änderungen geplant durchgeführt werden.

Die Organisation muss Folgendes berücksichtigen:

a) den Zweck der Änderungen und deren mögliche Konsequenzen;

b) die Integrität des Sicherheitsmanagementsystems;

c) die Verfügbarkeit von Ressourcen; und

19
– Entwurf –
E DIN ISO 28000:2021-04

d) die Zuweisung oder Neuzuweisung von Verantwortlichkeiten und Befugnissen.

7 Unterstützung
7.1 Ressourcen

Die Organisation muss die erforderlichen Ressourcen für den Aufbau, die Verwirklichung, die Aufrecht-
erhaltung und die fortlaufende Verbesserung des Sicherheitsmanagementsystems bestimmen und
bereitstellen.

7.2 Kompetenz

Die Organisation muss:

— für Personen, die unter ihrer Aufsicht Tätigkeiten verrichten, welche die Sicherheitsleistung der Organisa-
tion beeinflussen, die erforderliche Kompetenz bestimmen;

— sicherstellen, dass diese Personen auf Grundlage angemessener Ausbildung, Schulung oder Erfahrung kom-
petent sind und über eine entsprechende Sicherheitsfreigabe verfügen;

— wenn erforderlich, Maßnahmen einleiten, um die benötigte Kompetenz zu erwerben, und die Wirksamkeit
der getroffenen Maßnahmen bewerten;

— angemessene dokumentierte Information als Nachweis der Kompetenz aufbewahren.

ANMERKUNG Geeignete Maßnahmen können zum Beispiel sein: Schulung, Mentoring oder Versetzung von gegenwärtig
angestellten Personen; oder Anstellung oder Beauftragung kompetenter Personen.

7.3 Bewusstsein

Personen, die unter Aufsicht der Organisation Tätigkeiten verrichten, müssen sich

— der Sicherheitsleitlinie,

— ihres Beitrags zur Wirksamkeit des Sicherheitsmanagementsystems, einschließlich der Vorteile einer ver-
besserten Sicherheitsleistung,

— der Folgen einer Nichterfüllung der Anforderungen des Sicherheitsmanagementsystems und

— ihrer Aufgaben und Verantwortlichkeiten bei der Erfüllung der Sicherheitsmanagement-Leitlinie und -Ver-
fahren und der Anforderungen des Sicherheitsmanagementsystems, einschließlich Anforderungen zu Not-
fallvorsorge und Gefahrenabwehr

bewusst sein.

7.4 Kommunikation

Die Organisation muss die interne und externe Kommunikation in Bezug auf das Sicherheitsmanagementsys-
tem bestimmen, einschließlich:

— zu welchen Themen sie kommunizieren wird;

— wann zu kommunizieren ist;

— mit wem zu kommunizieren ist;

— wie zu kommunizieren ist; und

20
– Entwurf –
E DIN ISO 28000:2021-04

— der Sensitivität der Informationen vor der Weitergabe.

7.5 Dokumentierte Information

7.5.1 Allgemeines

Das Sicherheitsmanagementsystem der Organisation muss beinhalten:

a) die von diesem Dokument geforderte dokumentierte Information;

b) dokumentierte Information, welche die Organisation als notwendig für die Wirksamkeit des Sicherheits-
managementsystems bestimmt hat.

Die dokumentierte Information muss die Verantwortlichkeiten und Befugnisse zum Erreichen der Ziele und
Einzelziele des Sicherheitsmanagements beschreiben, einschließlich der Mittel und Zeitpläne zum Erreichen
dieser Ziele und Einzelziele.

ANMERKUNG Der Umfang dokumentierter Information für ein Sicherheitsmanagementsystem kann sich von Organi-
sation zu Organisation unterscheiden, und zwar aufgrund:

— der Größe der Organisation und der Art ihrer Tätigkeiten, Prozesse, Produkte und Dienstleistungen;

— der Komplexität ihrer Prozessen und deren Wechselwirkungen;

— der Kompetenz der Personen.

Die Organisation muss den Wert der Information bestimmen sowie den erforderlichen Grad an Integrität und
die Sicherheitskontrollen zur Verhinderung von unautorisiertem Zugriff festlegen.

7.5.2 Erstellen und Aktualisieren

Beim Erstellen und Aktualisieren dokumentierter Informationen muss die Organisation:

— angemessene Kennzeichnung und Beschreibung (z. B. Titel, Datum, Autor oder Referenznummer);

— angemessenes Format (z. B. Sprache, Softwareversion, Graphiken) und Medium (z. B. Papier, elektronisch);

— angemessene Überprüfung und Genehmigung im Hinblick auf Eignung und Angemessenheit.

7.5.3 Kontrolle

Die für das Sicherheitsmanagementsystem und von diesem Dokument geforderte dokumentierte Information
muss gelenkt werden, um sicherzustellen, dass sie:

a) verfügbar und für die Verwendung geeignet sind, wo und wann sie benötigt wird;

b) angemessen geschützt wird (z. B. vor Verlust der Vertraulichkeit, unsachgemäßem Gebrauch oder Verlust
der Integrität);

c) nach Bedarf regelmäßig überprüft und überarbeitet werden und von autorisiertem Personal hinsichtlich
Angemessenheit genehmigt werden;

d) dass veraltete Dokumente, Daten und Informationen sofort an allen Herausgabe- und Einsatzorten entfernt
oder anderweitig gegen unbeabsichtigtes Verwenden abgesichert werden; und

e) archivierte Dokumente, Daten und Informationen, die zu rechtlichen Zwecken oder zur Bewahrung des
Wissensstandes oder beidem aufbewahrt werden, angemessen gekennzeichnet sind.

21
– Entwurf –
E DIN ISO 28000:2021-04

Zur Lenkung dokumentierter Information muss die Organisation, falls zutreffend, folgende Tätigkeiten berück-
sichtigen:

— Verteilung, Zugriff, Auffindung und Verwendung;

— Ablage/Speicherung und Erhaltung, einschließlich Erhaltung der Lesbarkeit;

— Überwachung von Änderungen (z. B. Versionskontrolle);

— Aufbewahrung und Verfügung über den weiteren Verbleib.

Dokumentierte Informationen externer Herkunft, die von der Organisation als notwendig für Planung und
Betrieb des Sicherheitsmanagementsystems bestimmt wurden, müssen angemessen gekennzeichnet und kon-
trolliert werden.

ANMERKUNG Zugriff kann eine Entscheidung voraussetzen, mit der die Erlaubnis erteilt wird, dokumentierte Informa-
tion lediglich zu lesen oder die Erlaubnis und Befugnis zum Lesen und Ändern dokumentierter Information.

8 Betrieb
[Redaktionelle Anmerkung: Farbcodierung (nur in Abschnitt 8):

Verbindlicher Text von ANHANG SL Anlage 2 (HLS)

Text aus ISO 28000:2007 (in einigen Fällen wurde der Wortlaut aktualisiert, aber der Inhalt blieb erhalten)

Neuer Text von WG 8 bei der Bearbeitung der Kommentare zu WD 1 und WD 2 genehmigt

Text von WG 8 bei deren 4. Sitzung genehmigt, um eine Anpassung an ISO 22301 zu erreichen – „muss“ in
„sollte“ geändert entsprechend der Entscheidung aus der 5. Sitzung]

8.1 Betriebliche Planung und Steuerung

Die Organisation muss die Prozesse zur Erfüllung der Anforderungen und zur Durchführung der unter 6.1
bestimmten Maßnahmen planen, verwirklichen und steuern, indem sie:

— Kriterien für die Prozesse festlegt;

— die Steuerung der Prozesse in Übereinstimmung mit den Kriterien durchführt;

— dokumentierte Information im notwendigen Umfang bereithält, so dass darauf vertraut werden kann, dass
die Prozesse wie geplant durchgeführt wurden.

8.2 Identifikation von Prozessen und Aktivitäten

Die Organisation muss die Prozesse und Aktivitäten festlegen, die notwendig sind, um Folgendes zu erreichen:

a) Übereinstimmung mit der Sicherheitsleitlinie;

b) Erfüllung rechtlicher, gesetzlicher und anderer behördlicher Sicherheitsanforderungen;

c) Zielsetzungen ihres Sicherheitsmanagements;

d) Durchführung ihres Sicherheitsmanagementsystems; und

e) erforderliches Sicherheitsniveau der Lieferkette.

22
– Entwurf –
E DIN ISO 28000:2021-04

8.3 Risikobewertung und -behandlung

Die Organisation muss einen Risikobewertungs- und -behandlungsprozess umsetzen und aufrechterhalten.

ANMERKUNG Dieser Prozess zur Risikobewertung und -behandlung wird in ISO 31000 behandelt.

Die Organisation sollte:

— ihre Sicherheitsrisiken identifizieren und ihnen ihrer Priorität entsprechend die für ihr Sicherheits-
management 102 erforderlichen Ressourcen zuzuordnen;

— die ermittelten Risiken analysieren und beurteilen;

— beurteilen, welche Risiken eine Behandlung erfordern;

— Optionen zur Bewältigung dieser Risiken auswählen und umsetzen; und

— Risikobehandlungspläne erstellen und umsetzen.

ANMERKUNG Risiken in diesem Unterabschnitt beziehen sich auf die Sicherheit der Organisation und ihrer interessier-
ten Parteien. Risiken und Möglichkeiten im Zusammenhang mit der Effektivität des Managementsystems werden in 6.1
behandelt.

8.4 Kontrollen

Die in 8.2 aufgeführten Prozesse müssen je nach Erfordernis Kontrollen für das Personalmanagement sowie für
den Entwurf, die Installation, den Betrieb, die Aufarbeitung und die Änderung von sicherheitsrelevanten Aus-
rüstungsgegenständen, Instrumenten und Informationstechnologie beinhalten. Wenn bestehende Regelungen
überarbeitet oder neue Regelungen eingeführt werden, die sich das Sicherheitsmanagement auswirken könn-
ten, muss die Organisation die entsprechenden Sicherheitsrisiken vor deren Verwirklichung berücksichtigen.
Die zu berücksichtigenden neuen oder überarbeiteten Regelungen müssen Folgendes einschließen:

a) überarbeitete Organisationsstruktur, Aufgaben oder Verantwortlichkeiten;

b) Schulung, Bewusstsein und Personalmanagement;

c) überarbeitete Leitlinie, Ziele, Einzelziele oder Programme zum Sicherheitsmanagement;

d) überarbeitete Prozesse und Verfahren;

e) die Einführung neuer Infrastruktur, Sicherheitsausrüstung oder -technologie, die Hardware und/oder Soft-
ware umfassen kann; und

f) die Einführung neuer Auftragnehmer, Zulieferer oder Mitarbeiter, soweit erforderlich.

Die Organisation muss geplante Änderungen kontrollieren, die Auswirkungen unabsichtlicher Änderungen
überprüfen und, falls notwendig, Maßnahmen zur Eindämmung nachteiliger Auswirkungen ergreifen.

Die Organisation muss sicherstellen, dass ausgegliederte Prozesse kontrolliert werden.

8.5 Sicherheitsstrategien, -verfahren, -prozesse und -behandlungen

8.5.1 Identifikation und Auswahl der Strategien und Behandlungen

Die Organisation sollte systematische Prozesse zur Analyse von Schwachstellen und Bedrohungen im Zusam-
menhang mit der Sicherheit einführen und aufrechterhalten. Auf der Grundlage dieser Schwachstellen- und
Bedrohungsanalyse und der daraus folgenden Risikobewertung sollte die Organisation eine Sicherheitsstra-

23
– Entwurf –
E DIN ISO 28000:2021-04

tegie identifizieren und auswählen, die aus einem oder mehreren Verfahren, Prozessen und Behandlungen
besteht.

Die Festlegung sollte auf Grundlage des Umfangs erfolgen, in dem die Strategien, Verfahren, Prozesse und
Behandlungen:

a) die Sicherheit der Organisation aufrechterhalten;

b) die Wahrscheinlichkeit von Sicherheitsschwachstellen verringern;

c) die Wahrscheinlichkeit verringern, dass eine Bedrohung tatsächlich eintritt;

d) die Dauer von Mängeln in der Sicherheitsbehandlung verkürzen und deren Auswirkungen begrenzen; und

e) die Verfügbarkeit angemessener Ressourcen sicherstellen.

Die Auswahl sollte auf Grundlage des Umfangs erfolgen, in dem die Strategien, Prozesse und Behandlungen:

a) die Anforderungen erfüllen, um die Sicherheit der Organisation zu schützen;

b) die Höhe und Art des Risikos berücksichtigen, das die Organisation eingehen darf oder nicht eingehen darf;
und

c) die damit verbundenen Kosten und Nutzen berücksichtigen.

8.5.2 Festlegen des Ressourcenbedarfs

Die Organisation sollte den Ressourcenbedarf zur Umsetzung der gewählten Sicherheitsverfahren, -prozesse
und Behandlungen ermitteln.

8.5.3 Umsetzung von Behandlungen

Die Organisation sollte ausgewählte Sicherheitsbehandlungen umsetzen und aufrechterhalten, damit sie bei
Bedarf aktiviert werden können.

8.6 Sicherheitspläne

8.6.1 Allgemeines

Die Organisation sollte eine Reaktionsstruktur umsetzen und aufrechterhalten, die eine rechtzeitige und
effektive Warnung und Kommunikation von sicherheitsrelevanten Schwachstellen und drohenden Sicher-
heitsbedrohungen oder laufenden Sicherheitsverletzungen an relevante interessierte Parteien ermöglicht. Die
Reaktionsstruktur sollte Pläne und Verfahren bereitstellen, um die Organisation während einer drohenden
Sicherheitsbedrohung oder einer laufenden Sicherheitsverletzung zu lenken. Identifizierte und dokumentierte
Sicherheitspläne und -verfahren sollten auf den ausgewählten Strategien und Behandlungen basieren.

8.6.2 Reaktionsstruktur

Die Organisation sollte eine Struktur umsetzen und aufrechterhalten und eine Person oder ein oder mehrere
Teams bestimmen, die für die Reaktion auf Schwachstellen und Bedrohungen der Sicherheit verantwortlich
sind. Die Rollen und Verantwortlichkeiten für die bestimmte Person oder jedes Team und die Beziehung zwi-
schen der Person oder den Teams sollten klar identifiziert, kommuniziert und dokumentiert werden.

Gemeinsam sollten die Teams in der Lage sein:

a) die Beschaffenheit und das Ausmaß einer Sicherheitsbedrohung und dessen potentiellen Einfluss zu bewer-
ten;

24
– Entwurf –
E DIN ISO 28000:2021-04

b) den Einfluss anhand zuvor festgelegter Schwellenwerte zu bewerten, die die Einleitung einer formalen
Reaktion rechtfertigen;

c) eine geeignete Sicherheitsreaktion zu aktivieren;

d) Maßnahmen zu planen, die durchgeführt werden müssen;

e) Prioritäten zu setzen, wobei der Sicherung von Menschenleben als oberste Priorität eingeräumt wird;

f) die Auswirkungen jeglicher Veränderung von Schwachstellen in Bezug auf die Sicherheit, Änderungen der
Absichten und Fähigkeiten von Bedrohungsakteuren oder Sicherheitsverletzungen und die Reaktion der
Organisation zu überwachen;

g) die Sicherheitsbehandlungen zu aktivieren;

h) mit relevanten interessierten Parteien, Behörden und den Medien zu kommunizieren; und

i) zum Kommunikationsplan mit Kommunikationsmanagement beizutragen.

Für jede bestimmte Person oder jedes Team sollte es Folgendes geben:

a) festgelegtes Personal einschließlich Stellvertretern, die über die erforderliche Verantwortung, Befugnis und
Kompetenz verfügen, um ihre festgelegte Funktion auszuüben; und

b) dokumentierte Verfahren, die ihre Handlungen leiten, einschließlich der Handlungen zur Aktivierung, zum
Betrieb, zur Koordination und zur Kommunikation der Reaktion.

8.6.3 Warnung und Kommunikation

Die Organisation sollte Verfahren dokumentieren und aufrechterhalten für:

a) interne und externe Kommunikation mit relevanten interessierten Parteien, einschließlich was, wann, mit
wem und wie zu kommunizieren ist;

ANMERKUNG Die Organisation kann Verfahren dokumentieren und aufrechterhalten, wie und unter welchen
Umständen die Organisation mit Mitarbeitern und deren Notfallkontakten kommuniziert.

b) Empfang, Dokumentation und Reaktion auf Meldungen von interessierten Parteien, darunter auch natio-
nale oder regionale Risikobewertungssysteme oder gleichartige Systeme;

c) Sicherstellung der Verfügbarkeit von Kommunikationsmitteln während einer Sicherheitsverletzung,


-schwachstelle oder -bedrohung;

d) Ermöglichung strukturierter Kommunikation mit den Ansprechpartnern bei Sicherheitsbedrohungen


und/oder -verletzungen;

e) Bereitstellen von Einzelheiten zur medialen Antwort der Organisation nach einer Sicherheitsverletzung,
einschließlich einer Kommunikationsstrategie; und

f) Aufzeichnen der Einzelheiten der Sicherheitsverletzung, der ergriffenen Maßnahmen und der getroffenen
Entscheidungen.

Gegebenenfalls sollte auch Folgendes berücksichtigt und umgesetzt werden:

a) Herausgabe von Warnmeldungen an interessierte Parteien, die potentiell von den Auswirkungen einer ein-
getretenen oder drohenden Sicherheitsverletzung betroffen sein können; und

25
– Entwurf –
E DIN ISO 28000:2021-04

b) Sicherstellung einer angemessenen Koordination und Kommunikation zwischen mehreren reagierenden


Organisationen.

Die Warn- und Kommunikationsverfahren sollten als Teil des Prüfung- und Übungsprogramms der Organi-
sation durchgeführt werden.

8.6.4 Inhalt des Sicherheitsplans

Die Organisation sollte Sicherheitspläne dokumentieren und aufrechterhalten. Diese Pläne sollten Anleitun-
gen und Informationen bereitstellen, um Teams bei der Reaktion auf eine Schwachstelle, Bedrohung und/oder
Sicherheitsverletzung zu unterstützen und die Organisation bei der Reaktion und Wiederherstellung ihrer
Sicherheit zu unterstützen.

Insgesamt sollten Sicherheitspläne Folgendes enthalten:

a) Einzelheiten zu den Maßnahmen, die die Teams ergreifen werden, um:

1) den vereinbarten Sicherheitsstatus beizubehalten oder wiederherzustellen; und

2) die Auswirkung der tatsächlichen oder bevorstehenden Sicherheitsbedrohungen, -schwachstellen oder


-verletzungen und die Reaktion der Organisation darauf zu überwachen;

b) Verweisungen auf den/die zuvor festgelegten Schwellenwert(e) und den Prozess zur Aktivierung der Reak-
tion;

c) Verfahren zur Wiederherstellung der Sicherheit der Organisation; und

d) Einzelheiten zur Bewältigung der unmittelbaren Folgen einer Sicherheitsschwachstelle und -bedrohung
oder einer tatsächlichen oder drohenden Sicherheitsverletzung unter Berücksichtigung:

1) des Wohlergehens von Personen;

2) des Werts der potenziell gefährdeten Vermögenswerte, Informationen und Mitarbeiter; und

3) des Schutzes vor (weiteren) Verlusten oder vor Nichtverfügbarkeit der Kernaktivitäten.

Jeder Plan sollte Folgendes enthalten:

a) dessen Zweck, Anwendungsbereich und Ziele;

b) die Funktionen und Verantwortlichkeiten des Teams, das den Plan umsetzen wird;

c) die Maßnahmen zur Umsetzung der Lösungen;

d) die erforderlichen Informationen zur Aktivierung (einschließlich Aktivierungskriterien), zum Bedienen,


Koordinieren und Kommunizieren der Aktionen des Teams;

e) interne und externe Wechselbeziehungen;

f) dessen Ressourcenbedarf;

g) dessen Berichtsanforderungen; und

h) einen Beendigungsprozess.

Jeder Plan sollte an dem Zeitpunkt und Ort verfügbar sein, an dem er benötigt wird.

26
– Entwurf –
E DIN ISO 28000:2021-04

8.6.5 Wiederherstellung

Die Organisation sollte über dokumentierte Prozesse zur Wiederherstellung der Sicherheit der Organisation
nach jeglichen vor, während oder nach einer Sicherheitsverletzung vorübergehend eingeführten Maßnahmen
verfügen.

9 Bewertung der Leistung


9.1 Überwachung, Messung, Analyse und Bewertung

Die Organisation muss bestimmen:

— was überwacht und gemessen werden muss;

— die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergeb-
nisse sicherzustellen;

— wann die Überwachung und Messung durchzuführen ist;

— wann die Ergebnisse der Überwachung und Messung zu analysieren und zu bewerten sind.

Die Organisation muss geeignete dokumentierte Informationen als Nachweis der Ergebnisse aufbewahren.

Die Organisation muss die Sicherheitsleistung und die Wirksamkeit des Sicherheitsmanagementsystems
bewerten.

9.2 Internes Audit

9.2.1 Durchführen interner Audits

Die Organisation muss in geplanten Abständen interne Audits durchführen, um Informationen darüber zu
erhalten, ob das Sicherheitsmanagementsystem

a) die Anforderungen

— der Organisation an ihr Sicherheitsmanagementsystem,

— dieses Dokuments
erfüllt;

b) wirksam verwirklicht und aufrechterhalten wird.

9.2.2 Auditprogramm

Die Organisation muss:

a) ein oder mehrere Auditprogramme planen, aufbauen, verwirklichen und aufrechterhalten, einschließlich
der Häufigkeit von Audits, Methoden, Verantwortlichkeiten, Anforderungen an die Planung sowie Bericht-
erstattung, welche die Bedeutung der betroffenen Prozesse und die Ergebnisse vorheriger Audits berück-
sichtigen;

b) für jedes Audit die Auditkriterien sowie den Umfang festlegen;

c) Auditoren so auswählen und Audits so durchführen, dass die Objektivität und Unparteilichkeit des Audit-
prozesses sichergestellt ist;

d) sicherstellen, dass die Ergebnisse der Audits gegenüber der zuständigen Leitung berichtet werden;

27
– Entwurf –
E DIN ISO 28000:2021-04

e) dokumentierte Informationen als Nachweis der Verwirklichung des Auditprogramms und der Ergebnisse
der Audits aufbewahren; und

f) verifizieren, dass die Sicherheitsausrüstung und die Mitarbeiter angemessen eingesetzt werden.

Das Auditprogramm, einschließlich jeglicher Zeitpläne, muss auf den Ergebnissen der Risikoanalysen der Akti-
vitäten der Organisation sowie den Ergebnissen vorheriger Audits basieren. Die Auditverfahren müssen den
Umfang, die Häufigkeit, die Methoden und die Kompetenzen sowie die Verantwortlichkeiten und Anforderun-
gen zur Durchführung von Audits und die Berichterstattung von Ergebnissen abdecken.

9.3 Managementbewertung

9.3.1 Allgemeines

Die oberste Leitung muss das Sicherheitsmanagementsystem der Organisation in geplanten Abständen bewer-
ten, um dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen.

Die Managementbewertung muss folgende Aspekte behandeln:

a) den Status von Maßnahmen vorheriger Managementbewertungen;

b) Veränderungen bei externen und internen Themen, die das Sicherheitsmanagementsystem betreffen;

c) Informationen über die Sicherheitsleistung, einschließlich Entwicklungen bei:

— Nichtkonformitäten und Korrekturmaßnahmen;

— Ergebnissen von Überwachungen und Messungen;

— Auditergebnissen; und

d) Möglichkeiten zur fortlaufenden Verbesserung.

9.3.2 Ergebnisse der Managementbewertung

Die Ergebnisse der Managementbewertung müssen Entscheidungen zu Möglichkeiten der fortlaufenden Ver-
besserung sowie zu jeglichem Änderungsbedarf am Sicherheitsmanagementsystem enthalten.

Die Organisation muss dokumentierte Informationen als Nachweis der Ergebnisse der Management-
bewertungen aufbewahren.

9.3.3 Eingaben für die Managementbewertung

Eingaben in Managementbewertungen müssen Folgendes enthalten:

a) Ergebnisse von Audits und Bewertungen der Einhaltung rechtlicher und anderer Anforderungen, denen
sich die Organisation verschrieben hat;

b) Aussagen externer interessierter Parteien, einschließlich Beschwerden;

c) die Sicherheitsleistung der Organisation;

d) inwiefern Ziele und Einzelziele erreicht wurden;

e) den Status von Korrekturmaßnahmen;

f) Folgemaßnahmen aus vorhergehenden Managementbewertungen;

28
– Entwurf –
E DIN ISO 28000:2021-04

g) sich ändernde Umstände, einschließlich Entwicklungen rechtlicher und anderer Anforderungen in Bezug
auf ihre Sicherheitsaspekte; und

h) Empfehlungen zur Verbesserung.

10 Verbesserung
10.1 Nichtkonformität und Korrekturmaßnahmen

Wenn eine Nichtkonformität auftritt, muss die Organisation:

a) darauf reagieren und, falls zutreffend:

— Maßnahmen zur Überwachung und zur Korrektur ergreifen;

— mit den Folgen umgehen;

b) die Notwendigkeit von Maßnahmen zur Beseitigung der Ursachen von Nichtkonformitäten bewerten, damit
diese nicht erneut oder an anderer Stelle auftreten, und zwar durch:

— Überprüfen der Nichtkonformität;

— Bestimmen der Ursachen der Nichtkonformität;

— Bestimmen, ob vergleichbare Nichtkonformitäten bestehen oder möglicherweise auftreten können;

c) jegliche erforderliche Maßnahme einleiten;

d) die Wirksamkeit jeglicher ergriffener Korrekturmaßnahmen überprüfen;

e) sofern erforderlich, das Sicherheitsmanagementsystem ändern.

Korrekturmaßnahmen müssen den Auswirkungen der aufgetretenen Nichtkonformitäten angemessen sein.

Die Organisation muss dokumentierte Informationen aufbewahren, als Nachweis:

— der Art der Nichtkonformität sowie jeder daraufhin getroffenen Maßnahme;

— der Ergebnisse jeder Korrekturmaßnahme;

— der Ermittlung sicherheitsbezogener:

— Störungen, einschließlich Nichterkennung und falsche Alarme;

— Zwischenfälle und Notsituationen;

— Nichtkonformitäten; und

— der Ergreifung von Maßnahmen zur Minderung von Auswirkungen, die aufgrund solcher Störungen, Zwi-
schenfälle und Nichtkonformitäten entstehen.

Diese Verfahren müssen erfordern, dass alle vorgeschlagenen Korrekturmaßnahmen mittels Analyse von
Sicherheitsrisiken vor Verwirklichung geprüft werden, es sei denn, die unmittelbare Umsetzung verhindert
eine bevorstehende Auswirkung auf Menschenleben oder öffentliche Sicherheit.

29
– Entwurf –
E DIN ISO 28000:2021-04

Jegliche eingeleitete Korrekturmaßnahme zur Beseitigung der Ursachen von tatsächlichen und potenziellen
Nichtkonformitäten muss dem Ausmaß der Probleme angemessen sein und den Sicherheitsmanagement-
bezogenen Risiken entsprechen, die wahrscheinlich auftreten werden.

10.2 Fortlaufende Verbesserung

Die Organisation muss die Eignung, Angemessenheit und die Wirksamkeit des Sicherheitsmanagementsystems
fortlaufend verbessern.

30
– Entwurf –
E DIN ISO 28000:2021-04

Literaturhinweise

[1] ISO 9001, Quality management systems — Requirements

[2] ISO 14001, Environmental management systems — Requirements with guidance for use

[3] ISO 22301, Security and resilience — Business continuity management systems — Requirements

[4] ISO/IEC 27001, Information technology — Security techniques — Information security management
systems — Requirements

[5] ISO 28001, Security management systems for the supply chain — Best practices for implementing supply
chain security, assessments and plans — Requirements and guidance

[6] ISO 28002, Security management systems for the supply chain — Development of resilience in the supply
chain — Requirements with guidance for use

[7] ISO 28003, Security management systems for the supply chain — Requirements for bodies providing
audit and certification of supply chain security management systems

[8] ISO 28004-1, Security management systems for the supply chain — Guidelines for the implementation of
ISO 28000 — Part 1: General principles

[9] ISO 28004-3, Security management systems for the supply chain — Guidelines for the implementation of
ISO 28000 — Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small
businesses (other than marine ports)

[10] ISO 28004-4, Security management systems for the supply chain — Guidelines for the implementation of
ISO 28000 — Part 4: Additional specific guidance on implementing ISO 28000 if compliance with
ISO 28001 is a management objective

[11] ISO 45001, Occupational health and safety management systems — Requirements with guidance for use

31
– Entwurf –
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

Contents Page

Foreword ..........................................................................................................................................................................................................................................v
Introduction................................................................................................................................................................................................................................ vi
1 Scope ................................................................................................................................................................................................................................. 1
2 Normative references ...................................................................................................................................................................................... 1
3 Terms and definitions ..................................................................................................................................................................................... 1
4 Context of the organization ....................................................................................................................................................................... 4
4.1 Understanding the organization and its context ....................................................................................................... 4
4.2 Understanding the needs and expectations of interested parties .............................................................. 4
4.2.1 General...................................................................................................................................................................................... 4
4.2.2 Legal, statutory and other security regulatory requirements .................................................. 4
4.2.3 Principles................................................................................................................................................................................ 4
4.3 Determining the scope of the security management system .......................................................................... 6
4.4 Security management system .................................................................................................................................................... 7
5 Leadership .................................................................................................................................................................................................................. 7
5.1 Leadership and commitment ..................................................................................................................................................... 7
5.2 Policy ............................................................................................................................................................................................................... 7
5.2.1 Establishing the security policy .......................................................................................................................... 7
5.2.2 Security policy requirements................................................................................................................................ 8
5.3 Roles, responsibilities and authorities ............................................................................................................................... 8
6 Planning......................................................................................................................................................................................................................... 8
6.1 Actions to address risks and opportunities ................................................................................................................... 8
6.1.1 General...................................................................................................................................................................................... 8
6.1.2 Determining security risks and identifying opportunities.......................................................... 9
6.1.3 Addressing security risks and exploiting opportunities ............................................................... 9
6.2 Security objectives and planning to achieve them ................................................................................................... 9
6.2.1 Establishing security objectives ......................................................................................................................... 9
6.2.2 Determining security objectives...................................................................................................................... 10
6.3 Planning changes to the security management system .................................................................................... 10
7 Support ........................................................................................................................................................................................................................ 10
7.1 Resources.................................................................................................................................................................................................. 10
7.2 Competence ............................................................................................................................................................................................ 10
7.3 Awareness ................................................................................................................................................................................................ 11
7.4 Communication ................................................................................................................................................................................... 11
7.5 Documented information............................................................................................................................................................ 11
7.5.1 General................................................................................................................................................................................... 11
7.5.2 Creating and updating .............................................................................................................................................. 11
7.5.3 Control ................................................................................................................................................................................... 12
8 Operation .................................................................................................................................................................................................................. 12
8.1 Operational planning and control ....................................................................................................................................... 12
8.2 Identi ication of processes and activities ...................................................................................................................... 13
8.3 Risk assessment and treatment ............................................................................................................................................ 13
8.4 Controls ...................................................................................................................................................................................................... 13
8.5 Security strategies, procedures, processes and treatments.......................................................................... 14
8.5.1 Identi ication and selection of strategies and treatments ........................................................ 14
8.5.2 Resource requirements ........................................................................................................................................... 14
8.5.3 Implementation of Treatments ........................................................................................................................ 14
8.6 Security plans ........................................................................................................................................................................................ 14
8.6.1 General................................................................................................................................................................................... 14
8.6.2 Response structure ..................................................................................................................................................... 14
8.6.3 Warning and communication ............................................................................................................................ 15
8.6.4 Content of the Security plans ............................................................................................................................. 16

iii
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

8.6.5 Recovery............................................................................................................................................................................... 16
9 Performance evaluation ............................................................................................................................................................................ 16
9.1 Monitoring, measurement, analysis and evaluation ............................................................................................ 16
9.2 Internal audit ......................................................................................................................................................................................... 17
9.2.1 Conducting internal audits................................................................................................................................... 17
9.2.2 Audit program ................................................................................................................................................................. 17
9.3 Management review ........................................................................................................................................................................ 17
9.3.1 General................................................................................................................................................................................... 17
9.3.2 Management review output ................................................................................................................................ 18
9.3.3 Management review input ................................................................................................................................... 18
10 Improvement ......................................................................................................................................................................................................... 18
10.1 Nonconformity and corrective action .............................................................................................................................. 18
10.2 Continual improvement ............................................................................................................................................................... 19
Bibliography ............................................................................................................................................................................................................................. 20

iv
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identi ied during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO speci ic terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/
iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292 Security and resilience.
This second edition cancels and replaces the irst edition (ISO 28000:2007), which has been technically
revised but maintains existing requirements to provide continuity for organizations using the previous
edition. The main changes compared with the previous edition are as follows:
— ISO directives Annex L, Appendix 2 has been followed
— Recommendations on principles have been added in clause 4 to give better coordination with
ISO 31000
— Recommendations have been added in clause 8 for better consistency with ISO 22301 facilitating
integration including:
o security strategies, procedures, processes and treatments,
o security plans
A list of all parts in the ISO 28000 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.

v
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

Introduction
There is an increasing uncertainty and volatility in the security environment experienced by most
organizations. As a consequence, they face security issues impacting on their objectives and want
to address them systematically within their management system. A formal approach to security
management can contribute directly to the business capability and credibility of the organization.
This document speci ies requirements for a security management system, including those aspects
critical to security assurance of the supply chain. It requires the organization to:
— Assess the security environment in which it operates including its supply chain (including
dependencies and interdependencies);
— Determine if adequate security measures are in place to effectively manage security related risks;
— Manage compliance with statutory, regulatory, and voluntary obligations to which the organization
subscribes; and,
— Align security processes and controls, including the relevant upstream and downstream processes
and controls of the supply chain to meet the organization’s objectives.
It requires the organization to assess the security environment in which it operates and to determine
if adequate security measures are in place to effectively manage security related risks and if other
regulatory security related requirements already exist with which the organization complies.
If security objectives are identi ied, the organization implements controls to meet these objectives.
Security management is linked to many aspects of business management. They include all activities
controlled or in luenced by organizations including but not limited to those that impact on the supply
chain. All activities, functions, and operations should be considered that have an impact on the security
management of the organization including (but not limited to) its supply chain.
With regard to the supply chain it has to be considered that supply chains are dynamic in nature.
Therefore, some organizations managing multiple supply chains may look to their providers to meet
related security standards as a condition of being included in that supply chain in order to meet
requirements for security management.
This document applies the “Plan-Do-Check-Act” (PDCA) model to planning, establishing, implementing,
operating, monitoring, reviewing, maintaining and continually improving the effectiveness of an
organization’s security management system.

Table 1 — Explanation of the PDCA model


P l a n Establish security policy, objectives, targets, controls, processes and pro-
(Establish) cedures relevant to improving security in order to deliver results that align
with the organization’s overall policies and objectives.
D o Implement and operate the security policy, controls, processes and procedures.
(Implement and operate)
C h e c k Monitor and review performance against security policy and objectives,
(Monitor and review) report the results to management for review, and determine and authorize
actions for remediation and improvement.
A c t Maintain and improve the Security Management system (SMS) by taking cor-
(Maintain and improve) rective action, based on the results of management review and reappraising
the scope of the SMS and security policy and objectives.

vi
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

Figure 1 — PDCA model applied to the security management system

This ensures a degree of consistency with other management systems standards, such as ISO 9001,
Quality management systems – Requirements, ISO 14001, Environmental management systems
- Requirements with guidance for use, ISO 22301, Security and resilience - Business continuity
management systems – Requirements, ISO/IEC 27001, Information technology - Security techniques -
Information security management systems – Requirement, ISO 45001, Occupational health and safety
management systems - Requirements with guidance for use, etc. thereby supporting consistent and
integrated implementation and operation with related management systems.
Compliance with an International Standard does not in itself confer immunity from legal obligations.
For organizations that so wish, compliance of the security management system with this International
Standard may be veri ied by an external or internal auditing process.
[editorial note to the DIS:
NSBs are invited to discuss for part three of the title the desirable degree of alignment with the scope
agreed to by TMB and TC 292 in the justi ication study - part three of the title would read:
»Requirements including aspects relevant for the supply chain«]

vii
– Entwurf –
– Entwurf – E DIN ISO 28000:2021 04
DRAFT INTERNATIONAL STANDARD ISO/DIS 28000:2021(E)

Security and resilience - Security management systems –


Requirements for the supply chain

1 Scope
This International Standard speci ies requirements for a security management system, including
aspects relevant to the supply chain.
This document is applicable to all types and sizes of organizations (e.g. commercial enterprises,
government or other public agencies and non-pro it organizations) which intend to establish, implement,
maintain and improve a security management system. It provides an holistic and common approach
and is not industry or sector speci ic.
This document can be used throughout the life of the organization and can be applied to any activity,
internal and external at all levels.

2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience – Vocabulary
ISO 31000, Risk management — Guidelines

3 Terms and definitions


For the purposes of this document, the terms and de initions in ISO 22300 and the following terms and
de initions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https://www.iso.org/obp
— IEC Electropedia: available at http://www.electropedia.org/
3.1
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives (3.8)
Note 1 to entry: The concept of organization includes, but is not limited to, sole-trader, company, corporation, irm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated
or not, public or private.

3.2
interested party (preferred term)
stakeholder (admitted term)
person or organization (3.1) that can affect, be affected by, or perceive itself to be affected by a decision
or activity

1
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

3.3
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization and
interested parties that the need or expectation under consideration is implied.

Note 2 to entry: A speci ied requirement is one that is stated, e.g. in documented information.

3.4
management system
set of interrelated or interacting elements of an organization (3.1) to establish policies (3.7) and
objectives (3.8) and processes (3.12) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.

Note 2 to entry: The system elements include the organization’s structure, roles and responsibilities, planning
and operation.

Note 3 to entry: The scope of a management system can include the whole of the organization, speci ic and
identi ied functions of the organization, speci ic and identi ied sections of the organization, or one or more
functions across a group of organizations.

3.5
top management
person or group of people who directs and controls an organization (3.1) at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the
organization.

Note 2 to entry: If the scope of the management system (3.4) covers only part of an organization, then top
management refers to those who direct and control that part of the organization.

3.6
effectiveness
extent to which planned activities are realized and planned results achieved
3.7
policy
intentions and direction of an organization (3.1), as formally expressed by its top management (3.5)
3.8
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.

Note 2 to entry: Objectives can relate to different disciplines (such as inancial, health and safety, and
environmental goals) and can apply at different levels (such as strategic, organization-wide, project, product and
process (3.12)).

Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an
operational criterion, as a security objective, or by the use of other words with similar meaning (e.g. aim, goal, or
target).

Note 4 to entry: In the context of security management systems, security objectives are set by the organization,
consistent with the security policy, to achieve speci ic results.

3.9
risk
effect of uncertainty on objectives
Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address,
create or result in opportunities and threats.

2
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.

Note 3 to entry: Risk is usually expressed in terms of risk sources, potential events, their consequences and their
likelihood.

3.10
competence
ability to apply knowledge and skills to achieve intended results
3.11
documented information
information required to be controlled and maintained by an organization (3.1) and the medium on
which it is contained
Note 1 to entry: Documented information can be in any format and media, and from any source.

Note 2 to entry: Documented information can refer to:

— the management system (3.4), including related processes (3.12);

— information created in order for the organization (3.1) to operate (documentation);

— evidence of results achieved (records).

[SOURCE: ISO/IEC 27000, 3.19]


3.12
process
set of interrelated or interacting activities which transforms inputs into outputs
3.13
performance
measurable results
Note 1 to entry: Performance can relate either to quantitative or qualitative indings.

Note 2 to entry: Performance can relate to managing activities, processes (3.12), products (including services),
systems or organizations (3.1).

3.14
outsource (verb)
make an arrangement where an external organization (3.1) performs part of an organization’s function
or process (3.12)
Note 1 to entry: An external organization is outside the scope of the management system (3.4), although the
outsourced function or process is within the scope.

3.15
monitoring
determining the status of a system, a process (3.12) or an activity
Note 1 to entry: To determine the status, there can be a need to check, supervise or critically observe.

3.16
measurement
process (3.12) to determine a value
3.17
audit
systematic, independent and documented process (3.12) for obtaining audit evidence and evaluating it
objectively to determine the extent to which the audit criteria are ful illed
Note 1 to entry: An audit can be an internal audit ( irst party) or an external audit (second party or third party),
and it can be a combined audit (combining two or more disciplines).

3
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

Note 2 to entry: An internal audit is conducted by the organization itself, or by an external party on its behalf.

Note 3 to entry: “Audit evidence” and “audit criteria” are de ined in ISO 19011.

3.18
conformity
ful ilment of a requirement (3.3)
3.19
nonconformity
non-ful ilment of a requirement (3.3)
3.20
corrective action
action to eliminate the cause(s) of a nonconformity (3.19) and to prevent recurrence
3.21
continual improvement
recurring activity to enhance performance (3.13)

4 Context of the organization

4.1 Understanding the organization and its context


The organization shall determine external and internal issues that are relevant to its purpose and that
affect its ability to achieve the intended outcome(s) of its security management system.

4.2 Understanding the needs and expectations of interested parties

4.2.1 General

The organization shall determine:


— the interested parties that are relevant to the security management system;
— the relevant requirements of these interested parties.

4.2.2 Legal, statutory and other security regulatory requirements

The organization shall:


a) implement and maintain a process to identify, have access to, and assess the applicable legal and
regulatory requirements related to its security;
b) ensure that these applicable legal, regulatory and other requirements are taken into account in
implementing and maintaining its security management system;
c) document this information and keep it up to date; and
d) communicate this information to relevant interested parties as appropriate.

4.2.3 Principles

4.2.3.1 General

The purpose of security management within the organization is the creation and in particular
protection of value.
The organization should apply the following principles:

4
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

Figure 2 — Principles

4.2.3.2 Leadership

Leaders at all levels should establish unity of purpose and direction and create conditions to align
the organizations strategies, policies processes and resources to achieve its objectives. Clause 5 on
Leadership explains the requirements with regard to this principle.

4.2.3.3 Structured and comprehensive process approach based on best available information

A structured and comprehensive approach to security management including the supply chain shall
contribute to consistent and comparable results which are achieved more effectively and ef iciently
when activities are understood and managed as interrelated processes functioning as a coherent system.

5
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

4.2.3.4 Customized

The security management system should be customized and proportionate to the organization’s
external and internal context and needs and be related to its objectives

4.2.3.5 Inclusive engagement of people

The organization should involve interested parties appropriately and in a timely manner and consider
their knowledge, views and perceptions appropriately to improve awareness of and facilitate informed
security management. The organization should ensure that everybody at all levels is respected and
involved.

4.2.3.6 Integrated approach

Security management is an integral part of all organizational activities. It should be integrated with all
other management systems of the organization.
The organization’s risk management – whether formal, informal or intuitive should be integrated into
the security management system.

4.2.3.7 Dynamic and continually improved

The organization should have an ongoing focus on improvement through learning and experience to
maintain the level of performance, to react to changes and to create new opportunities as the external
and internal context of the organization changes.

4.2.3.8 Considering human and cultural factors

Human behavior and culture signi icantly in luence all aspects of security management and should be
considered at each level and stage. Decisions should be based on the analysis and evaluation of data and
information to ensure they result in greater objectivity, con idence in decision making and are more
likely to produce desired results. Individual perceptions should be considered.

4.2.3.9 Relationship management

For sustained success the organization should manage its relationships with all relevant interested
parties as they might in luence the performance of the organization.

4.3 Determining the scope of the security management system


The organization shall determine the boundaries and applicability of the security management system
to establish its scope.
When determining this scope, the organization shall consider:
— the external and internal issues referred to in 4.1;
— the requirements referred to in 4.2.
The scope shall be available as documented information.
Where an organization chooses to have any process that affect conformity with its security management
system externally provided, the organization shall ensure that such processes are controlled. The
necessary controls for and responsibilities of such externally provided processes shall be identi ied
within the security management system.

6
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

4.4 Security management system


The organization shall establish, implement, maintain and continually improve a security management
system, including the processes needed and their interactions, in accordance with the requirements of
this document.

5 Leadership

5.1 Leadership and commitment


Top management shall demonstrate leadership and commitment with respect to the security
management system by:
— ensuring that the security policy and security objectives are established and are compatible with
the strategic direction of the organization;
— ensuring that the requirements and expectations of the organization’s interested parties are
identi ied and monitored and appropriate and timely action is taken to manage these expectations
ensuring the integration of the security management system requirements into the organization’s
business processes;
— ensuring that the resources needed for the security management system are available;
— communicating the importance of effective security management and of conforming to the security
management system requirements;
— ensuring that the security management system achieves its intended outcome(s);
— ensuring the viability of the security management objectives, targets and programmes;
— ensuring any security programs generated from other parts of the organization complement the
security management system;
— directing and supporting persons to contribute to the effectiveness of the security management
system;
— promoting continual improvement of the organization’s security management system; and
— supporting other relevant managerial roles to demonstrate their leadership as it applies to their
areas of responsibility.
NOTE Reference to “business” in this document can be interpreted broadly to mean those activities that are
core to the purposes of the organization’s existence.

5.2 Policy

5.2.1 Establishing the security policy

Top management shall establish a security policy that:


a) is appropriate to the purpose of the organization;
b) provides a framework for setting security objectives;
c) includes a commitment to satisfy applicable requirements;
d) includes a commitment to continual improvement of the security management system; and
e) considers the adverse impact that the security policy, objectives, targets, programmes, etc. may
have on other aspects of the organization.

7
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

5.2.2 Security policy requirements

The security policy shall:


— be consistent with other organizational policies;
— be consistent with the organization’s overall security risk assessment;
— provide for its review in case of the acquisition of, or a merger with other organizations, or other
changes to the business scope of the organization which may affect the continuity or relevance of
the security management system;
— describe and allocate primary accountability and responsibility for outcomes;
— be available as documented information;
— be communicated within the organization;
— be available to interested parties, as appropriate.
NOTE Organizations may choose to have a detailed security management policy for internal use which
would provide suf icient information and direction to drive the security management system (parts of which
may be con idential) and have a summarized (non-con idential) version containing the broad objectives for
dissemination to its stakeholders and other interested parties.

5.3 Roles, responsibilities and authorities


Top management shall ensure that the responsibilities and authorities for relevant roles are assigned
and communicated within the organization.
Top management shall assign the responsibility and authority for:
a) ensuring that the security management system conforms to the requirements of this document;
b) reporting on the performance of the security management system to top management.

6 Planning

6.1 Actions to address risks and opportunities

6.1.1 General

When planning for the security management system, the organization shall consider the issues referred
to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to
be addressed to:
— give assurance that the security management system can achieve its intended outcome(s);
— prevent, or reduce, undesired effects;
— achieve continual improvement.
The organization shall plan:
a) actions to address these risks and opportunities;
b) how to:
— integrate and implement the actions into its security management system processes;
— evaluate the effectiveness of these actions.

8
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

NOTE The purpose of managing risks is the creation and protection of value and managing risk shall be
integrated in to the security management system. Risks related to the security of the organization and its
interested parties are addressed in 8.3.

6.1.2 Determining security risks and identifying opportunities

Determining security risks and identifying and exploiting opportunities requires a proactive risk
assessment which should include consideration of but not be limited to:
a) physical or functional failures and malicious or criminal acts;
b) environmental, human and cultural factors and other internal or external context including factors
outside the organization’s control affecting the organization’s security;
c) the design, installation, maintenance and replacement of security equipment;
d) the organization’s information, data, knowledge and communication management;
e) information related to security threats and vulnerabilities.

6.1.3 Addressing security risks and exploiting opportunities

The evaluation of the identi ied security risk shall provide input to (but not be limited to):
a) the organization’s overall risk management;
b) risk treatment;
c) security management objectives;
d) security management processes;
e) the design, speci ication and implementation of the security management system;
f) identi ication of adequate resources including staf ing; and
g) identi ication of training needs and the required level of competence.

6.2 Security objectives and planning to achieve them

6.2.1 Establishing security objectives

The organization shall establish security objectives at relevant functions and levels.
The security objectives shall:
a) be consistent with the security policy;
b) be measurable (if practicable);
c) take into account applicable requirements;
d) be monitored;
e) be communicated;
f) be updated as appropriate.
The organization shall retain documented information on the security objectives.

9
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

6.2.2 Determining security objectives

When planning how to achieve its security objectives, the organization shall determine:
— what will be done;
— what resources will be required;
— who will be responsible;
— when it will be completed;
— how the results will be evaluated.
When establishing and reviewing its security objectives, an organization shall take into account:
a) technological, human, administrative and other options; and
b) views of and impacts on appropriate stakeholders.
The security objectives shall be consistent with the organization’s commitment to continual
improvement.

6.3 Planning changes to the security management system


When the organization determines the need for changes to the security management system, including
those identi ied in Clause 10, the changes shall be carried out in a planned manner.
The organization shall consider:
a) the purpose of the changes and their potential consequences;
b) the integrity of the security management system;
c) the availability of resources; and
d) the allocation or reallocation of responsibilities and authorities.

7 Support

7.1 Resources
The organization shall determine and provide the resources needed for the establishment,
implementation, maintenance and continual improvement of the security management system.

7.2 Competence
The organization shall:
— determine the necessary competence of person(s) doing work under its control that affects its
security performance;
— ensure that these persons are competent on the basis of appropriate education, training, or
experience and are appropriately security cleared;
— where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness
of the actions taken;
— retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example, the provision of training to, the mentoring of, or the re-
assignment of currently employed persons; or the hiring or contracting of competent persons.

10
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

7.3 Awareness
Persons doing work under the organization’s control shall be aware of:
— the security policy;
— their contribution to the effectiveness of the security management system, including the bene its of
improved security performance;
— the implications of not conforming with the security management system requirements; and
— their roles and responsibilities in achieving compliance with the security management policy and
procedures and with the requirements of the security management system, including emergency
preparedness and response requirements.

7.4 Communication
The organization shall determine the internal and external communications relevant to the security
management system, including:
— on what it will communicate;
— when to communicate;
— with whom to communicate;
— how to communicate; and
— the sensitivity of information prior to dissemination.

7.5 Documented information

7.5.1 General

The organization’s security management system shall include:


a) documented information required by this document;
b) documented information determined by the organization as being necessary for the effectiveness
of the security management system.
The documented information shall describe the responsibilities and authorities for achieving security
management objectives and targets, including the means and time-lines to achieve those objectives and
targets.
NOTE The extent of documented information for a security management system can differ from one
organization to another due to:

— the size of organization and its type of activities, processes, products and services;
— the complexity of processes and their interactions;
— the competence of persons.
The organization shall determine the value of information, establish the level of integrity required and
the security controls to prevent unauthorized access.

7.5.2 Creating and updating

When creating and updating documented information the organization shall ensure appropriate:
— identi ication and description (e.g. a title, date, author, or reference number);

11
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

— format (e.g. language, software version, graphics) and media (e.g. paper, electronic);
— review and approval for suitability and adequacy.

7.5.3 Control

Documented information required by the security management system and by this document shall be
controlled to ensure:
a) it is available and suitable for use, where and when it is needed;
b) it is adequately protected (e.g. from loss of con identiality, improper use, or loss of integrity);
c) it is periodically reviewed and revised as necessary, and approved for adequacy by authorized
personnel;
d) obsolete documents, data and information are promptly removed from all points of issue and points
of use, or otherwise assured against unintended use; and
e) archival documents, data and information retained for legal or knowledge preservation purposes
or both are suitably identi ied.
For the control of documented information, the organization shall address the following activities, as
applicable:
— distribution, access, retrieval and use;
— storage and preservation, including preservation of legibility;
— control of changes (e.g. version control);
— retention and disposition.
Documented information of external origin determined by the organization to be necessary for the
planning and operation of the security management system shall be identi ied, as appropriate, and
controlled.
NOTE Access can imply a decision regarding the permission to view the documented information only, or
the permission and authority to view and change the documented information.

8 Operation
[Editorial note: Color coding (only in clause 8):
Mandatory text of ANNEX SL appendix 2 (HLS)
Text from ISO 28000:2007 (in some cases wording updated but content remained)
New Text approved by WG 8 when resolving the comments to WD 1 and WD 2
Text approved by WG 8 at its 4th meeting to achieve alignment with ISO 22301 - »shall« changed to
»should« in accordance with the decision at the 5th meeting]

8.1 Operational planning and control


The organization shall plan, implement and control the processes needed to meet requirements, and to
implement the actions determined in 6.1, by:
— establishing criteria for the processes;
— implementing control of the processes in accordance with the criteria;

12
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

— keeping documented information to the extent necessary to have con idence that the processes
have been carried out as planned.

8.2 Identification o processes and activities


The organization shall identify those processes and activities that are necessary for achieving:
a) compliance with its security policy;
b) compliance with legal, statutory and regulatory security requirements;
c) its security management objectives;
d) the delivery of its security management system; and
e) the required level of security of the supply chain.

8.3 Risk assessment and treatment


The organization shall implement and maintain a risk assessment and treatment process.
NOTE The process for risk assessment and treatment is addressed in ISO 31000.

The organization should:


identify its security risks prioritizing them to its resources required for its security 102 management;
analyze and evaluate the identi ied risks;
determine which risks require treatment;
select and implement options to address those risks; and
prepare and implement risk treatment plans.
NOTE Risks in this subclause relate to the security of the organization and its interested parties. Risks and
opportunities related to the effectiveness of the management system are addressed in 6.1.

8.4 Controls
The processes listed in 8.2 shall include controls for human resource management, as well as the
design, installation, operation, refurbishment, and modi ication of security related items of equipment,
instrumentation, information technology, as appropriate. Where existing arrangements are revised or
new arrangements introduced, which could have impact on security management, the organization shall
consider the associated security risks before their implementation. The new or revised arrangements
to be considered shall include:
a) revised organizational structure, roles or responsibilities;
b) training, awareness, and human resource management;
c) revised security management policy, objectives, targets or programs;
d) revised processes and procedures;
e) the introduction of new infrastructure, security equipment or technology, which may include
hardware and/or software; and
f) the introduction of new contractors, suppliers or personnel, as appropriate.
The organization shall control planned changes and review the consequences of unintended changes,
taking action to mitigate any adverse effects, as necessary.

13
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

The organization shall ensure that outsourced processes are controlled.

8.5 Security strategies, procedures, processes and treatments

8.5.1 Identification and selection o strategies and treatments

The organization should implement and maintain systematic processes for analysing vulnerabilities
and threats related to security. Based on this vulnerability and threat analysis and consequent risk
assessment, the organization should identify and select a security strategy which is comprised of one or
more procedures, processes and treatments.
Identi ication should be based on the extent to which strategies, procedures, processes and treatments:
a) maintain the organization’s security;
b) reduce the likelihood of security vulnerability;
c) reduce the likelihood of a threat being actualised;
d) shorten the period of any security treatment de iciencies and limit their impact; and
e) provide for the availability of adequate resources.
Selection should be based on the extent to which strategies, processes and treatments:
a) meet the requirements to protect the organization’s security;
b) consider the amount and type of risk the organization may or may not take; and
c) consider the associated costs and bene its.

8.5.2 Resource requirements

The organization should determine the resource requirements to implement the selected security
procedures, processes and treatments.

8.5.3 Implementation of Treatments

The organization should implement and maintain selected security treatments so that they can be
activated when needed.

8.6 Security plans

8.6.1 General

The organization should implement and maintain a response structure that will enable timely and
effective warning and communication of vulnerabilities related to security and imminent security
threats or ongoing security violations to relevant interested parties. The response structure should
provide plans and procedures to manage the organization during an imminent security threat or an
ongoing security violation. Identi ied and documented security plans and procedures should be based
on the selected strategies and treatments.

8.6.2 Response structure

The organization should implement and maintain a structure, identifying a designated person or one
or more teams responsible for responding to vulnerabilities and threats related to security. The roles
and responsibilities for the designated person or each team and the relationship between the person or
teams should be clearly identi ied, communicated and documented.

14
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

Collectively, the teams should be competent to:


a) assess the nature and extent of a security threat and its potential impact;
b) assess the impact against pre-de ined thresholds that justify initiation of a formal response;
c) activate an appropriate security response;
d) plan actions that need to be undertaken;
e) establish priorities using life safety as the irst priority;
f) monitor the effects of any variation in vulnerabilities related to security, changes to the intent and
capability of threat actors or security violations and the organization’s response;
g) activate the security treatments;
h) communicate with relevant interested parties, authorities and the media; and
i) contribute to communication plan with communication management.
For each designated person or team there should be:
a) identi ied staff including alternates with the necessary responsibility, authority and competence to
perform their designated role; and
b) documented procedures to guide their actions including those for the activation, operation,
coordination and communication of the response.

8.6.3 Warning and communication

The organization should document and maintain procedures for:


a) communicating internally and externally to relevant interested parties, including what, when, with
whom and how to communicate;
NOTE The organization can document and maintain procedures for how, and under what circumstances,
the organization communicates with employees and their emergency contacts.

b) receiving, documenting and responding to communications from interested parties, including any
national or regional risk advisory system or equivalent;
c) ensuring the availability of the means of communication during a security violation, vulnerability
or threat;
d) facilitating structured communication with responders to security threats and/or violations;
e) providing details of the organization’s media response following a security violation, including a
communications strategy; and
f) recording the details of the security violation, the actions taken and the decisions made.
Where applicable, the following should also be considered and implemented:
a) alerting interested parties potentially impacted by an actual or impending security violation; and
b) ensuring appropriate coordination and communication between multiple responding organizations.
The warning and communication procedures should be exercised as part of the organization’s testing
and training program.

15
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

8.6.4 Content of the Security plans

The organization should document and maintain security plans. Those plans should provide guidance
and information to assist teams to respond to a security vulnerability, threat and/or violation and to
assist the organization with the response and restoring its security.
Collectively, security plans should contain:
a) details of the actions that the teams will take to:
1) continue or restore the agreed security status; and
2) monitor the impact of the actual or impending security threats, vulnerabilities or violation and
the organization’s response to it;
b) reference to the pre-de ined threshold(s) and process for activating the response;
c) procedures to restore the security of the organization; and
d) details to manage the immediate consequences of a security vulnerability and threat or actual or
impending security violation giving due regard to:
1) the welfare of individuals;
2) the value of the assets, information and personnel potentially compromised and
3) the prevention of (further) loss or unavailability of core activities.
Each plan should include:
a) its purpose, scope and objectives;
b) the roles and responsibilities of the team that will implement the plan;
c) the actions to implement the solutions;
d) the information needed to activate (including activation criteria), operate, coordinate and
communicate the team’s actions;
e) internal and external interdependencies;
f) its resource requirements;
g) its reporting requirements; and
h) a process for standing down.
Each plan should be usable and available at the time and place at which it is required.

8.6.5 Recovery

The organization should have documented processes to restore the organization’s security from any
temporary measures adopted before, during and after a security violation.

9 Performance evaluation

9.1 Monitoring, measurement, analysis and evaluation


The organization shall determine:
— what needs to be monitored and measured;

16
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

— the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid
results;
— when the monitoring and measuring shall be performed;
— when the results from monitoring and measurement shall be analyzed and evaluated.
The organization shall retain appropriate documented information as evidence of the results.
The organization shall evaluate the security performance and the effectiveness of the security
management system.

9.2 Internal audit

9.2.1 Conducting internal audits

The organization shall conduct internal audits at planned intervals to provide information on whether
the security management system:
a) conforms to:
— the organization’s own requirements for its security management system;
— the requirements of this document;
b) is effectively implemented and maintained.

9.2.2 Audit program

The organization shall:


a) plan, establish, implement and maintain an audit programme(s) including the frequency, methods,
responsibilities, planning requirements and reporting, which shall take into consideration the
importance of the processes concerned and the results of previous audits;
b) de ine the audit criteria and scope for each audit;
c) select auditors and conduct audits to ensure objectivity and the impartiality of the audit process;
d) ensure that the results of the audits are reported to relevant managers;
e) retain documented information as evidence of the implementation of the audit programme(s) and
the audit results; and
f) verify that the security equipment and personnel are appropriately deployed.
The audit program, including any schedule, shall be based on the results of risk assessments of the
organization’s activities, and the results of previous audits. The audit procedures shall cover the scope,
frequency, methodologies and competencies, as well as the responsibilities and requirements for
conducting audits and reporting results.

9.3 Management review

9.3.1 General

Top management shall review the organization's security management system, at planned intervals, to
ensure its continuing suitability, adequacy and effectiveness.
The management review shall include consideration of:
a) the status of actions from previous management reviews;

17
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

b) changes in external and internal issues that are relevant to the security management system;
c) information on the security performance, including trends in:
— nonconformities and corrective actions;
— monitoring and measurement results;
— audit results; and
d) opportunities for continual improvement.

9.3.2 Management review output

The outputs of the management review shall include decisions related to continual improvement
opportunities and any need for changes to the security management system.
The organization shall retain documented information as evidence of the results of management
reviews.

9.3.3 Management review input

Input to management reviews shall include:


a) results of audits and evaluations of compliance with legal requirements and with other
requirements to which the organization subscribes;
b) communication(s) from external interested parties, including complaints;
c) the security performance of the organization;
d) the extent to which objectives and targets have been met;
e) status of corrective actions;
f) follow-up actions from previous management reviews;
g) changing circumstances, including developments in legal and other requirements related to its
security aspects; and
h) recommendations for improvement.

10 Improvement

10.1 Nonconformity and corrective action


When a nonconformity occurs, the organization shall:
a) react to the nonconformity and, as applicable:
— take action to control and correct it;
— deal with the consequences;
b) evaluate the need for action to eliminate the cause(s) of the nonconformity, in order that it does not
recur or occur elsewhere, by:
— reviewing the nonconformity;
— determining the causes of the nonconformity;
— determining if similar nonconformities exist, or can potentially occur;

18
– Entwurf – E DIN ISO 28000:2021 04
ISO/DIS 28000:2021(E)

c) implement any action needed;


d) review the effectiveness of any corrective action taken;
e) make changes to the security management system, if necessary.
Corrective actions shall be appropriate to the effects of the nonconformities encountered.
The organization shall retain documented information as evidence of:
— the nature of the nonconformities and any subsequent actions taken;
— the results of any corrective action;
— the investigation of security-related:
— failures including near misses and false alarms;
— incidents and emergency situations;
— non-conformances; and
— taking action to mitigate any consequences arising from such failures, incidents or non-conformances.
These procedures shall require that all proposed corrective actions are reviewed through the security
risk assessment process prior to implementation unless immediate implementation forestalls imminent
exposures to life or public safety.
Any corrective action taken to eliminate the causes of actual and potential non-conformances shall
be appropriate to the magnitude of the problems and commensurate with the security management-
related risks likely to be encountered.

10.2 Continual improvement


The organization shall continually improve the suitability, adequacy and effectiveness of the security
management system.

19
E DIN ISO 28000:2021 04 – Entwurf –
ISO/DIS 28000:2021(E)

Bibliography

[1] ISO 9001, Quality management systems — Requirements


[2] ISO 14001, Environmental management systems — Requirements with guidance for use
[3] ISO 22301, Security and resilience — Business continuity management systems — Requirements
[4] ISO/IEC 27001, Information technology — Security techniques — Information security management
systems — Requirements
[5] ISO 28001, Security management systems for the supply chain — Best practices for implementing
supply chain security, assessments and plans — Requirements and guidance
[6] ISO 28002, Security management systems for the supply chain — Development of resilience in the
supply chain — Requirements with guidance for use
[7] ISO 28003, Security management systems for the supply chain — Requirements for bodies providing
audit and certification o supply chain security management systems
[8] ISO 28004-1, Security management systems for the supply chain — Guidelines for the implementation
of ISO 28000 — Part 1: General principles
[9] ISO 28004-3, Security management systems for the supply chain — Guidelines for the implementation
o ISO 28000 — Part 3: Additional specific guidance or adopting ISO 28000 or use by medium and
small businesses (other than marine ports)
[10] ISO 28004-4, Security management systems for the supply chain — Guidelines for the
implementation o ISO 28000 — Part 4: Additional specific guidance on implementing ISO 28000 i
compliance with ISO 28001 is a management objective
[11] ISO 45001, Occupational health and safety management systems — Requirements with guidance
for use

20

Das könnte Ihnen auch gefallen