Die Internationale Norm (ISO 28000) wurde vom Technischen Komitee ISO/TC 292 "Security and resilience" erarbeitet. Für die deutsche Mitarbeit ist der Gemeinschaftsausschuss NA 175-00-05 GA "Sicherheit und Business Continuity" im DIN-Normenausschuss Organisationsprozesse (NAOrg) verantwortlich.

Gegenüber DIN ISO 28000:2015-08 wurden folgende Änderungen vorgenommen:

• a) ISO/IEC Directives, Part 1, Consolidated ISO Supplement, 2021, Procedures specific to ISO, Annex SL, Appendix 2, in der Fassung von 2021 eingehalten; die Übersetzungen der ISO Harmonized Structure aus dem Technischen Report DIN/TR 36601:2023-02 wurden angewendet;
• b) Empfehlungen zu Grundsätzen wurden in Abschnitt 4 hinzugefügt, um eine bessere Koordination mit ISO 31000 / DIN ISO 31000 zu bieten;
• c) in Abschnitt 8 wurden zur besseren Übereinstimmung mit ISO 22301 / DIN EN ISO 22301 Empfehlungen hinzugefügt, die die Integration ermöglichen, einschließlich: - Sicherheitsstrategien, -verfahren, -prozesse und -behandlungen; - Sicherheitsplänen;
• d) Norm redaktionell überarbeitet.

Dieses Dokument legt Anforderungen für ein Sicherheitsmanagementsystem fest, einschließlich der für die Lieferkette relevanten Aspekte.

Dieses Dokument ist für alle Arten und Größen von Organisationen anwendbar (zum Beispiel kommerzielle Unternehmen, staatliche oder andere öffentliche Einrichtungen und gemeinnützige Organisationen), die beabsichtigen, ein Sicherheitsmanagementsystem einzurichten, zu implementieren, aufrechtzuerhalten und zu verbessern. Es bietet einen ganzheitlichen und gemeinsamen Ansatz und ist nicht branchen- oder sektorspezifisch.

Dieses Dokument kann während der gesamten Lebensdauer der Organisation genutzt und auf alle internen und externen Aktivitäten allen Ebenen angewendet werden.

Inhaltsverzeichnis

Nationales Vorwort
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

3.1 Organisation
3.2 interessierte Partei
3.3 oberste Leitung
3.4 Managementsystem
3.5 Sicherheitsmanagementsystem
3.6 Politikverbindliche Leitlinie
3.6 Ziel
3.7 Risiko
3.8 Prozess
3.9 Kompetenz
3.10 dokumentierte Information
3.11 Leistung
3.12 fortlaufende Verbesserung
3.13 Wirksamkeit
3.14 Anforderung
3.15 Konformität
3.16 Nichtkonformität
3.17 Korrekturmaßnahme
3.18 Audit
3.19 Messung
3.20 Überwachung

4 Kontext der Organisation

4.1 Verstehen der Organisation und ihres Kontextes

4.2 Verstehen der Erfordernisse und Erwartungen der interessierten Parteien

4.2.1 Allgemeines

4.2.2 Rechtliche, gesetzliche und andere behördliche Sicherheitsanforderungen

4.2.3 Grundsätze

4.2.3.1 Allgemeines
4.2.3.2 Führung
4.2.3.3 Strukturierter und umfassender Prozessansatz basierend auf den besten verfügbaren Informationen
4.2.3.4 Individuelle Anpassung
4.2.3.5 Einbeziehung von Personen
4.2.3.6 Integrierter Ansatz
4.2.3.7 Dynamische und fortlaufende Verbesserung
4.2.3.8 Berücksichtigen menschlicher und kultureller Faktoren
4.2.3.9 Beziehungsmanagement

4.3 Festlegen des Anwendungsbereichs des Sicherheitsmanagementsystems

4.4 Sicherheitsmanagementsystem

5 Führung

5.1 Führung und Verpflichtung

5.2 Verbindliche Sicherheitsleitlinie

5.2.1 Festlegung der verbindlichen Sicherheitsleitlinie
5.2.2 Anforderungen an die verbindliche Sicherheitsleitlinie

5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

6 Planung

6.1 Maßnahmen zum Umgang mit Risiken und Chancen

6.1.1 Allgemeines
6.1.2 Bestimmung von sicherheitsbezogenen Risiken und Identifizierung von Chancen
6.1.3 Befassung mit sicherheitsbezogenen Risiken und Nutzung von Chancen

6.2 Sicherheitsziele und Planung zu deren Erreichung

6.2.1 Festlegung von Sicherheitszielen
6.2.2 Bestimmung von Sicherheitszielen

6.3 Planung von Änderungen

7 Unterstützung

7.1 Ressourcen
7.2 Kompetenz
7.3 Bewusstsein
7.4 Kommunikation
7.5 Dokumentierte Information
7.5.1 Allgemeines
7.5.2 Dokumentierte Informationen erstellen und aktualisieren
7.5.3 Kontrolle von dokumentierter Information

8 Betrieb

8.1 Betriebliche Planung und Steuerung
8.2 Identifikation von Prozessen und Aktivitäten
8.3 Risikobewertung und -behandlung
8.4 Steuerung
8.5 Sicherheitsstrategien, -verfahren, -prozesse und -behandlungen
8.5.1 Identifikation und Auswahl der Strategien und Behandlungen
8.5.2 Festlegen des Ressourcenbedarfs
8.5.3 Umsetzung von Behandlungen
8.6 Sicherheitspläne
8.6.1 Allgemeines
8.6.2 Reaktionsstruktur
8.6.3 Warnung und Kommunikation
8.6.4 Inhalt des Sicherheitsplans
8.6.5 Wiederherstellung

9 Bewertung der Leistung

9.1 Überwachung, Messung, Analyse und Bewertung

9.2 Internes Audit

9.2.1 Allgemeines
9.2.2 Internes Auditprogramm

9.3 Managementbewertung

9.3.1 Allgemeines
9.3.2 Eingaben für die Managementbewertung
9.3.3 Ergebnisse der Managementbewertung

10 Verbesserung

10.1 Fortlaufende Verbesserung
10.2 Nichtkonformität und Korrekturmaßnahmen

Literaturhinweise

Bilder

Bild 1 — Kontinuierlicher Verbesserungsprozess (KVP), angewandt auf das Sicherheitsmanagementsystem
Bild 2 — Grundsätze

Tabellen

Tabelle 1 — Erläuterung des PDCA-Modells