ISO 28000 Management de La Sûreté de La Chaîne D'aprovisionnement

ISO 28000:2007
septembre 2007
Ce document est à usage exclusif et non collectif des clients Saga Web.
Toute mise en réseau, reproduction et rediffusion, sous quelque forme que ce soit,
même partielle, sont strictement interdites.
This document is intended for the exclusive and non collective use of Saga Web customers.
All network exploitation, reproduction and re-dissemination,even partial, whatever the form
(hardcopy or other media), is strictly prohibited.
Saga Web
Pour AFNOR F2 - MARKETING COMMERCIAL
Client 00000074
le 14/6/2010 10:54
Extract from GDN - This document is a working copy

Saga Web pour AFNOR F2 - MARKETING COMMERCIAL le 14/6/2010 10:54 ISO 28000:2007:2007-09
NORME ISO
INTERNATIONALE 28000
Première édition
2007-09-15
Spécifications relatives aux systèmes

de management de la sûreté de la chaîne
d'approvisionnement
Specifications for security management systems for the supply chain
Numéro de référence
ISO 28000:2007(F)
© ISO 2007
ISO 28000:2007(F)
PDF – Exonération de responsabilité

Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT

© ISO 2007
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2008
Publié en Suisse
ii © ISO 2007 – Tous droits réservés

ISO 28000:2007(F)
Sommaire Page
Avant-propos..................................................................................................................................................... iv
Introduction ........................................................................................................................................................ v
1 Domaine d'application.......................................................................................................................... 1
2 Références normatives ........................................................................................................................ 1
3 Termes et définitions............................................................................................................................ 2
4 Éléments du système de management de la sûreté ......................................................................... 3
4.1 Exigences générales ............................................................................................................................ 4
4.2 Politique de management de la sûreté ............................................................................................... 4
4.3 Évaluation des risques et planification .............................................................................................. 5
4.4 Mise en œuvre et fonctionnement ...................................................................................................... 7
4.5 Contrôle et action corrective ............................................................................................................. 10
4.6 Revue de direction et amélioration continue ................................................................................... 12
Annexe A (informative) Correspondance entre l’ISO 28000:2007, l’ISO 14001:2004 et
l’ISO 9001:2000.................................................................................................................................... 13
Bibliographie .................................................................................................................................................... 16
© ISO 2007 – Tous droits réservés iii

ISO 28000:2007(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 28000 a été élaborée par le comité technique ISO/TC 8, Navires et technologie maritime, en
collaboration avec les autres comités techniques concernés responsables pour les nœuds spécifiques de la
chaîne d’approvisionnement.
Cette première édition de l’ISO 28000 annule et remplace l’ISO/PAS 28000:2005, qui a fait l'objet d'une
révision technique.
iv © ISO 2007 – Tous droits réservés

ISO 28000:2007(F)
Introduction
La présente Norme internationale a été élaborée en réponse à une demande de l’industrie visant à disposer
d’une norme de management de la sûreté. Son objectif ultime est d’améliorer la sûreté des chaînes
d’approvisionnement. C’est une norme de management de haut niveau qui permet à un organisme de définir
un système global de management de la sûreté de sa chaîne d’approvisionnement. Il exige de l’organisme
qu’il évalue la sûreté de l’environnement dans lequel il évolue et qu’il détermine si les mesures de sécurité
adéquates sont en place et si d’autres obligations réglementaires existent déjà auxquelles l’organisme doit
souscrire. Si le processus permet d’identifier ce genre de besoins, il convient que l’organisme mette en place
des mécanismes et des processus qui les prennent en compte. Dans la mesure où les chaînes
d’approvisionnement sont de nature dynamique, pour simplifier le management de leur sûreté tel que l’illustre
la Figure 1, certains organismes qui en gèrent de multiples peuvent attendre de leurs prestataires de services
qu’ils respectent la réglementation nationale ou les normes ISO correspondantes s’ils veulent être intégrés
dans ces chaînes.
Figure 1 — Relations entre l’ISO 28000 et d’autres normes correspondantes
© ISO 2007 – Tous droits réservés v

ISO 28000:2007(F)
La présente Norme internationale est destinée à s’appliquer dans les cas où les chaînes d’approvisionnement
d’un organisme doivent être gérées d’une manière sûre. La formalisation du management de la sûreté peut
contribuer directement à la crédibilité et à l’efficacité professionnelle de l’organisme.
La conformité à une Norme internationale n’exonère pas les organismes de leurs obligations légales. Pour
ceux qui le souhaitent, il est possible de faire vérifier la conformité de leur système de management de la
sûreté à la présente Norme internationale par un processus d’audit interne ou externe.
La présente Norme internationale est bâtie sur le modèle adopté pour l’ISO 14001:2004 en raison de
l’approche système adoptée dans cette norme fondée sur une évaluation des risques. Pour les organismes
ayant en revanche adopté pour leurs systèmes de management une approche processus (comme celle de
l’ISO 9001:2000 par exemple), il est possible de se servir de leur système en vigueur comme base d’un
système de management de la sûreté du type prescrit dans la présente Norme internationale. Il n’est pas
dans les objectifs visés par la présente Norme internationale de faire doublon avec les exigences
gouvernementales ou les normes relatives au management de la sûreté des chaînes d’approvisionnement par
rapport auxquelles l’organisme a déjà été certifié ou vérifié conforme. La vérification peut être faite par une
première, une seconde ou une tierce partie.
NOTE La présente Norme internationale est bâtie sur la méthodologie dite PDCA (Plan-Do-Check-Act), qui peut être
décrite comme suit:
• Planifier (Plan): établir les objectifs et les processus nécessaires pour fournir des résultats correspondant à la
politique de sûreté de l’organisme.
• Faire (Do): mettre en œuvre les processus.
• Vérifier (Check): surveiller et mesurer les processus par rapport aux politiques, objectifs et exigences légales et
autres de sûreté et rendre compte des résultats.
• Agir (Act): entreprendre les actions pour améliorer en permanence les performances du système de
management de la sûreté.
vi © ISO 2007 – Tous droits réservés

NORME INTERNATIONALE ISO 28000:2007(F)
Spécifications relatives aux systèmes de management

de la sûreté de la chaîne d'approvisionnement
1 Domaine d'application
La présente Norme internationale prescrit les exigences applicables à un système de management de la
sûreté, y compris les aspects cruciaux pour l’assurance sûreté de la chaîne d’approvisionnement. Le
management de la sûreté est lié à beaucoup d’autres aspect de la gestion des entreprises. Ces aspects
comprennent toutes les activités contrôlées par les organismes ayant un impact sur la sûreté de la chaîne
d’approvisionnement ou sur lesquelles ils ont une influence. Il convient de prendre tous ces aspects en
considération directement, où et quand ils ont une influence sur le management de la sûreté, y compris
pendant le transport des marchandises le long de la chaîne d’approvisionnement.
La présente Norme internationale est applicable à toutes les tailles d’organismes, de la petite entreprise à
l’entreprise multinationale souhaitant, pendant la fabrication, la maintenance, le stockage ou le transport des
marchandises à quelque stade que ce soit de la chaîne de production ou d’approvisionnement:
a) définir, mettre en place, maintenir et améliorer un système de management de la sûreté;
b) s’assurer de sa conformité à la politique de sûreté qu’il a définie;
c) démontrer cette conformité à autrui;
d) faire certifier ou enregistrer son système de management de la sûreté auprès d’un organisme de
certification par tierce partie accrédité; ou
e) réaliser une autoévaluation et une autocertification de conformité à la présente Norme internationale.
Certaines exigences de la présente Norme internationale sont régies par des codes législatifs ou
réglementaires.
Il n’est pas prévu dans la présente Norme internationale d’exiger une double démonstration de conformité.
Les organismes qui choisissent la certification par tierce partie peuvent également démontrer qu’ils
contribuent grandement à la sûreté de la chaîne d’approvisionnement.
2 Références normatives
Aucune référence normative n’est donnée. Le présent article est conservé uniquement pour avoir une
numérotation similaire à celle des autres normes de systèmes de management.
© ISO 2007 – Tous droits réservés 1

ISO 28000:2007(F)
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.1
installation
usine, machine, bien, bâtiment, véhicule, navire, installation portuaire ou autre élément d’infrastructure,
d’usine ou de système connexe assurant une fonction ou un service distinct et quantifiable
NOTE Cette définition inclut tout code logiciel important pour la sûreté et l’application du management de cette
sûreté.
3.2
sûreté
résistance à un ou des actes intentionnels non autorisés destinés à endommager la chaîne d’approvisionnement
ou à nuire à son fonctionnement
3.3
management de la sûreté
ensemble des activités et pratiques coordonnées systématiques par lesquelles un organisme gère ses risques
et les menaces et impacts potentiels qui leur sont associés
3.4
objectif du management de la sûreté
résultat ou réalisation spécifique du système de sûreté nécessaire pour mettre en œuvre la politique de
management de la sûreté
NOTE Il est essentiel que ces résultats soient liés de façon directe ou indirecte à la fourniture des produits,
approvisionnements ou services offerts par la totalité de l’entreprise à ses clients ou utilisateurs finals.
3.5
politique de management de la sûreté
ensemble des intentions et orientations d’un organisme s’agissant de la sûreté et du cadre de contrôle des
processus et activités relatifs à la sûreté qui découlent de la politique de l’organisme et des exigences
réglementaires et sont cohérents avec ces derniers
3.6
programme de management de la sûreté
moyen permettant d’atteindre un objectif de management de la sûreté
3.7
cible de management de la sûreté
niveau spécifique de performance requis pour atteindre un objectif de management de la sûreté
3.8
partie prenante
personne physique ou morale ayant un intérêt direct à la performance, au succès ou à l’impact des activités
de l’organisme
NOTE Par exemple les clients, les actionnaires, les financiers, les assureurs, les autorités de réglementation, les
organismes institutionnels, les employés, les sous-traitants, les fournisseurs, les organisations syndicales ou la société en
général.
3.9
chaîne d’approvisionnement
ensemble lié de ressources et de processus qui commence avec l’identification de l’origine des matières
premières et qui va jusqu’à la livraison des produits ou services à l’utilisateur final en passant par les divers
modes de transport
NOTE La chaîne d’approvisionnement peut inclure les vendeurs, les fabricants, les prestataires de logistique, les
centres de distribution interne, les distributeurs, les grossistes et toutes les autres entités qui conduisent à l’utilisateur final.
2 © ISO 2007 – Tous droits réservés

ISO 28000:2007(F)
3.9.1
aval
qualifie dans la chaîne d’approvisionnement les actions, processus et mouvements de la marchandise qui
interviennent dès que celle-ci sort de la zone de maîtrise opérationnelle directe de l’organisme et qui
comprennent les assurances, les finances, le traitement des données, l’emballage, l’entreposage et le
transfert de la marchandise sans s’y limiter
3.9.2
amont
qualifie dans la chaîne d’approvisionnement les actions, processus et mouvements de la marchandise qui
interviennent avant que celle-ci ne sorte de la zone de maîtrise opérationnelle directe de l’organisme et qui
comprennent les assurances, les finances, le traitement des données, l’emballage, l’entreposage et le
transfert de la marchandise sans s’y limiter
3.10
direction
personne ou groupe de personnes qui dirige(nt) et contrôle(nt) un organisme au plus haut niveau
NOTE La direction, notamment dans un grand organisme multinational, peut ne pas être impliquée personnellement
de la manière décrite dans la présente Norme internationale, mais sa responsabilité tout au long de la chaîne de
commandement doit être manifeste.
3.11
amélioration continue
processus récurrent d’enrichissement du système de management de la sûreté qui permet de progresser
dans la performance globale de sûreté en cohérence avec la politique de sûreté de l’organisme
4 Éléments du système de management de la sûreté
Figure 2 — Éléments du système de management de la sûreté

ISO 28000:2007(F)
4.1 Exigences générales
L’organisme doit établir, documenter, mettre en application, maintenir et améliorer en continu un système
efficace de management de la sûreté qui permet d’identifier les risques et de contrôler et d’atténuer leurs
conséquences.
L’organisme doit améliorer en continu son efficacité conformément aux exigences de l’ensemble de l’Article 4.
L’organisme doit définir l’objet de son système de management de la sûreté. Lorsqu’il choisit de sous-traiter
un quelconque des processus qui affectent la conformité à ces exigences, l’organisme doit garantir la maîtrise
de ces processus. Il doit, à l’intérieur du système de management de la sûreté, identifier les contrôles et
responsabilités nécessaires des processus sous-traités.
4.2 Politique de management de la sûreté
La direction de l’organisme au plus haut niveau doit autoriser une politique globale de management de la
sûreté. Cette politique doit avoir les caractéristiques suivantes:
a) être cohérente avec les autres politiques de l’organisme;
b) fournir le cadre permettant d’atteindre les objectifs, cibles et programmes spécifiques de management de
la sûreté;
c) être cohérente avec le cadre global de management des menaces et risques pesant sur la sûreté;
d) être proportionnée aux menaces pesant sur l’organisme et à la nature et à l’échelle de ses opérations;
e) indiquer clairement les objectifs globaux (au sens large) du management de la sûreté;
f) inclure un engagement d’amélioration continue du processus de management de la sûreté;
g) inclure un engagement de respect de la législation en vigueur, des exigences réglementaires et

statutaires et des autres exigences auxquelles l’organisme souscrit;
h) être soutenue de façon visible par la direction;
i) être documentée, mise en œuvre et maintenue;
j) être communiquée à tous les employés concernés et aux tiers, y compris les sous-traitants et les visiteurs,
dans le but de sensibiliser ces personnes aux obligations qui sont les leurs en matière de management
de la sûreté;
k) être divulguée aux parties prenantes, le cas échéant;
l) être soumise à révision dans le cas d’acquisitions ou de fusions impliquant d’autres organismes, ou de
modification du domaine traité par l’organisme, susceptible d’affecter la continuité ou la pertinence du
système de management de la sûreté.
NOTE Les organismes peuvent choisir d’avoir une politique détaillée de management de la sûreté à usage interne
qui donne des informations et des orientations suffisantes pour conduire le système de management de la sûreté (dont
une partie peut être confidentielle) et une version résumée (non confidentielle) de cette politique reprenant les grands
objectifs à diffuser à leurs parties prenantes et autres parties intéressées.

ISO 28000:2007(F)
4.3 Évaluation des risques et planification
4.3.1 Évaluation des risques
L’organisme doit établir et maintenir des procédures d’identification et d’évaluation en continu des menaces
pesant sur la sûreté et des menaces et risques liés au management de la sûreté ainsi que d’identification et
de mise en œuvre des mesures de maîtrise nécessaire de ce management. Il convient que cette identification,
cette évaluation et ce contrôle des menaces et risques pesant sur la sûreté soient au minimum adaptés à la
nature et à l’échelle des opérations. L’évaluation doit prendre en compte la probabilité d’un tel événement et
de toutes les conséquences qu’il implique, à savoir les aspects suivants:
a) les menaces et risques de défaillance physique, du type panne de fonctionnement, accident

dommageable, dommage intentionnel, action terroriste ou criminelle;
b) les menaces et risques pesant sur le fonctionnement, du type contrôle de la sûreté, facteurs humains et
autres activités qui affectent la performance de l’organisme, son état ou sa sécurité;
c) les incidents de l’environnement naturel (tempêtes, inondations, etc.) qui peuvent rendre inefficaces les
mesures et les matériels assurant la sûreté;
d) les facteurs échappant au contrôle de l’organisme, du type défaillances d’un équipement ou de services
fournis par l’extérieur;
e) les menaces et risques du fait de parties prenantes, du type non-respect des exigences réglementaires
ou atteinte à la réputation ou à la marque de l’organisme;
f) la conception et l’installation des équipements de sûreté, maintenance et remplacement compris;
g) le traitement de l’information et des données et communications;
h) la menace à la continuité des opérations.
L’organisme doit garantir que les résultats de ces évaluations et les effets de ces contrôles sont pris en
compte et, le cas échéant, utilisés comme données d’entrée pour les aspects suivants:
a) la fixation des objectifs et cibles du management de la sûreté;
b) l’établissement des programmes de management de la sûreté;
c) la détermination des exigences de conception, de spécification et d’installation;
d) l’identification des ressources nécessaires, y compris des niveaux de main-d’œuvre;
e) l’identification des besoins de formation et des compétences (voir 4.4.2);
f) la mise au point des contrôles de fonctionnement (voir 4.4.6);
g) le cadre global de management des menaces et des risques dans l’organisme.
L’organisme doit répertorier et conserver les informations ci-dessus à jour.
La méthodologie d’identification et d’évaluation des menaces et des risques de l’organisme doit avoir les
caractéristiques suivantes:
a) être définie en fonction de son objectif, de sa nature et de son calendrier, en vérifiant qu’elle est proactive
plutôt que réactive;
b) inclure le recueil des informations relatives aux menaces et risques pesant sur la sûreté;

ISO 28000:2007(F)
c) permettre une classification des menaces et des risques et une identification de ceux qu’il faut éviter,
éliminer ou maîtriser;
d) permettre un suivi des actions garantissant l’efficacité et l’opportunité de leur mise en œuvre (voir 4.5.1).
4.3.2 Exigences légales, statutaires et autres exigences réglementaires liées à la sûreté
L’organisme doit établir, mettre en œuvre et maintenir une procédure lui permettant ce qui suit:
a) identifier les exigences légales et autres exigences applicables auxquelles il souscrit en fonction des
menaces et risques qu’il affronte, et y avoir accès;
b) déterminer la manière dont ces exigences s’appliquent aux menaces et risques qui sont les siens.
L’organisme doit tenir ces informations à jour. Il doit communiquer les informations pertinentes quant aux
exigences légales et autres à ses employés et aux tiers concernés, y compris les sous-traitants.
4.3.3 Objectifs du management de la sûreté
L’organisme doit établir, mettre en œuvre et maintenir des objectifs documentés de management de la sûreté
aux fonctions et niveaux pertinents de son organisation. Les objectifs doivent découler de la politique et être
en cohérence avec elle. Lorsqu’il établit et revoit ses objectifs, l’organisme doit tenir compte des aspects
suivants:
a) des exigences légales, statutaires et autres exigences réglementaires liées à la sûreté;
b) des menaces et risques pesant sur la sûreté;
c) des options technologiques et autres;
d) des exigences financières, opérationnelles et commerciales;
e) du point de vue des parties prenantes concernées.
Les objectifs de management de la sûreté doivent être les suivants:
a) cohérents avec les engagements d’amélioration continue de l’organisme;
b) quantifiés (si possible);
c) communiqués à tous les employés et à tous les tiers concernés, y compris les sous-traitants, dans le but
que ces personnes prennent conscience de leurs obligations individuelles;
d) revus périodiquement pour garantir qu’ils demeurent pertinents et en cohérence avec la politique de
management de la sûreté. Ils doivent être modifiés si besoin est.
4.3.4 Cibles de management de la sûreté
L’organisme doit établir, mettre en œuvre et maintenir des cibles documentées de management de la sûreté
adaptées à ses besoins. Ces cibles doivent découler des objectifs de management de la sûreté et être
cohérentes avec ces derniers.
Ces cibles doivent être comme suit:
a) d’un niveau de détail approprié;
b) spécifiques, mesurables, atteignables, pertinentes et échelonnées dans le temps (si possible);

ISO 28000:2007(F)
c) communiquées à tous les employés et à tous les tiers concernés, y compris les sous-traitants, dans le but
que ces personnes prennent conscience de leurs obligations individuelles;
d) revues périodiquement pour garantir qu’elles demeurent pertinentes et cohérentes avec la politique de
management de la sûreté. Elles doivent être modifiées si besoin est.
4.3.5 Programmes de management de la sûreté
L’organisme doit établir, mettre en œuvre et maintenir des programmes de management de la sûreté lui
permettant d’atteindre ses objectifs et ses cibles.
Les programmes doivent être optimisés puis déclinés en priorités et l’organisme doit assurer leur mise en
application efficace et rentable.
Les programmes doivent inclure une documentation qui décrit:
a) les responsables et les autorités désignées pour la réalisation des objectifs et cibles du management de
la sûreté;
b) les moyens et les calendriers permettant de réaliser les objectifs et cibles du management de la sûreté.
Les programmes de management de la sûreté doivent être revus périodiquement pour vérifier qu’ils
demeurent efficaces et en cohérence avec les objectifs et cibles. Ils doivent être modifiés si besoin est.
4.4 Mise en œuvre et fonctionnement
4.4.1 Structure, autorité et responsabilités du management de la sûreté
L’organisme doit établir et maintenir une structure organisationnelle de rôles, responsabilités et autorités, en
cohérence avec la réalisation de la politique, des objectifs, des cibles et des programmes de management de
la sûreté.
Ces rôles, responsabilités et autorités doivent être définis, documentés et communiqués aux individus
responsables de la mise en œuvre et de la maintenance.
La direction doit fournir la preuve de son engagement en matière de mise au point et de mise en œuvre du
système de management de la sûreté (processus) et d’amélioration continue de l’efficacité de ce dernier en
faisant ce qui suit:
a) nommant l’un de ses membres responsable, entre autres responsabilités, de la conception globale, de la
maintenance, de la documentation et de l’amélioration du système de management de la sûreté de
l’organisme;
b) conférant à un ou plusieurs membres du management l’autorité nécessaire pour garantir la bonne mise
en œuvre des objectifs et des cibles;
c) identifiant et contrôlant les exigences et les attentes des parties prenantes de l’organisme et en prenant
en temps opportun les mesures nécessaires pour gérer ces attentes;
d) assurant la mise à disposition de ressources suffisantes;
e) considérant les effets négatifs que la politique, les objectifs, les cibles, les programmes, etc. de
management de la sûreté peuvent avoir sur d’autres aspects de l’organisme;
f) vérifiant que les programmes liés à la sûreté mis en œuvre par d’autres parties de l’organisme
complètent le programme de management de la sûreté;

ISO 28000:2007(F)
g) communiquant à l’organisme l’importance de respecter ses exigences de management de la sûreté pour

être conforme à la politique affichée;
h) vérifiant que les menaces et les risques liés à la sûreté sont évalués et inclus, selon les besoins, dans les
évaluations des menaces et risques organisationnels;
i) garantissant la viabilité des objectifs, cibles et programmes de management de la sûreté.
4.4.2 Compétences, formation et sensibilisation
L’organisme doit garantir que le personnel responsable de la conception, du fonctionnement et du

management des équipements et processus liés à la sûreté est convenablement qualifié en termes
d’éducation, formation et/ou expérience. L’organisme doit établir et maintenir des procédures pour sensibiliser
les personnes travaillant pour lui ou en son nom aux aspects suivants:
a) l’importance du respect de la politique et des procédures de management de la sûreté, et des exigences

relatives au système de management de la sûreté;
b) leur rôle et leurs responsabilités en matière de respect de la politique et des procédures de management
de la sûreté, et de conformité aux exigences relatives au système de management de la sûreté, y
compris les exigences de préparation et de réponse aux urgences;
c) les conséquences potentielles sur la sécurité de l’organisme de tout écart par rapport aux procédures de
fonctionnement spécifiées.
Des enregistrements des compétences et des formations doivent être conservés.
4.4.3 Communication
L’organisme doit avoir des procédures garantissant que les informations pertinentes concernant le
management de la sûreté sont communiquées aux employés, sous-traitants et autres parties prenantes, et
par eux également.
En raison de la nature sensible de certaines informations relatives à la sûreté, il convient de tenir compte de
cette sensibilité avant diffusion des informations.
4.4.4 Documentation
L’organisme doit établir et maintenir un système de documentation sur le management de la sûreté qui inclut
les éléments suivants mais ne s’y limite pas:
a) la politique, les objectifs et les cibles en matière de sûreté;
b) la description de l’étendue du système de management de la sûreté;
c) la description des principaux éléments du système de management de la sûreté, de leurs interactions et

de la référence à des documents connexes;
d) les documents, notamment les enregistrements, exigés par la présente Norme internationale et
e) considérés par l’organisme comme étant nécessaires à l’efficacité de la planification, du fonctionnement

et du contrôle des processus liés aux menaces et risques qu’il juge significatifs.
C’est l’organisme qui détermine la sensibilité des informations liées à la sûreté et qui doit prendre les mesures
nécessaires pour empêcher qu’on puisse y accéder sans autorisation.

ISO 28000:2007(F)
4.4.5 Maîtrise des documents et des données
L’organisme doit établir et maintenir des procédures lui permettant de maîtriser tous les documents, toutes les
données et toutes les informations spécifiées à l’Article 4 de façon à garantir ce qui suit:
a) ces documents, ces données et ces informations ne sont accessibles qu’à des individus autorisés;
b) ces documents, ces données et ces informations sont revus périodiquement, révisés si nécessaire et
approuvés par un personnel autorisé;
c) les versions en vigueur des documents, données et informations pertinents sont disponibles en tous
emplacements où sont réalisées des opérations essentielles au bon fonctionnement du système de
management de la sûreté;
d) les documents, données et informations obsolètes sont rapidement éliminés de tous les points d’émission
et d’utilisation, ou qu’il est garanti qu’on ne peut plus les utiliser;
e) les archives de documents, données et informations conservés à des fins légales ou de conservation des
connaissances ou des deux sont convenablement identifiées;
f) ces documents, données et informations sont en sécurité, et s’ils sont sous forme électronique, sont
convenablement sauvegardés et peuvent être récupérés.
4.4.6 Maîtrise opérationnelle
L’organisme doit identifier les opérations et les activités qui sont nécessaires pour assurer ce qui suit:
a) sa politique de management de la sûreté;
b) la maîtrise des menaces et risques identifiés pesant sur la sûreté;
c) la conformité aux exigences de sûreté légales, statutaires et autres exigences réglementaires;
d) ses objectifs de management de la sûreté;
e) la fourniture de ses programmes de management de la sûreté;
f) le niveau requis de sûreté de la chaîne d’approvisionnement.
L’organisme doit garantir que ces opérations et activités se déroulent dans les conditions spécifiées:
a) en établissant, mettant en œuvre et maintenant des procédures documentées pour contrôler les
situations où leur absence pourrait entraîner l’impossibilité de mener à bien les opérations et activités
répertoriées en 4.4.6 a) à f) ci-dessus;
b) en évaluant les menaces éventuelles posées par les activités en amont de la chaîne d’approvisionnement
et en appliquant les contrôles nécessaires pour en atténuer les effets sur son organisation et sur les
autres opérateurs de la chaîne d’approvisionnement en aval;
c) en établissant et en maintenant les exigences applicables aux biens et services qui jouent sur la sûreté et
en les communiquant aux fournisseurs et sous-traitants.

ISO 28000:2007(F)
Ces procédures doivent comprendre les contrôles applicables à la conception, à l’installation, au

fonctionnement, à la rénovation et à la modification des équipements, instruments, etc. liés à la sûreté, selon
les besoins. En cas de révision des dispositions existantes ou d’introduction de nouvelles dispositions qui
pourraient avoir un effet sur les opérations et activités de management de la sûreté, l’organisme doit tenir
compte, avant toute mise en œuvre, des menaces et risques qui y sont associés. Les dispositions nouvelles
ou révisées à prendre en compte sont les suivantes:
a) la structure, les rôles ou les responsabilités révisés;
b) la politique, les objectifs, les cibles ou les programmes de management de la sûreté révisés;
c) les processus et procédures révisés;
d) l’introduction d’une nouvelle infrastructure, de nouveaux équipements ou de nouvelles technologies de

sûreté, y compris les logiciels et les matériels correspondants;
e) l’introduction de nouveaux sous-traitants, fournisseurs ou personnels, selon le cas.
4.4.7 Prévention des situations d’urgences, capacité à réagir et rétablissement de la sûreté
L’organisme doit établir, mettre en œuvre et maintenir des plans et procédures appropriés lui permettant
d’identifier les incidents et situations d’urgence en matière de sûreté, d’y réagir et d’empêcher ou d’atténuer
les conséquences que ceux-ci peuvent avoir. Ces plans et procédures doivent comporter des informations sur
la fourniture et la maintenance de tout équipement, installation ou service identifié dont on peut avoir besoin
après de tels incidents ou en situations d’urgence.
L’organisme doit revoir périodiquement l’efficacité de sa préparation, de sa capacité à réagir et de ses plans
et procédures de sûreté, en particulier lorsque des incidents ou des situations d’urgence se sont produits en
raison de violations ou de menaces en matière de sûreté. L’organisme doit si possible procéder à un examen
périodique de ces procédures.
4.5 Contrôle et action corrective
4.5.1 Surveillance et mesure de la performance de sûreté
L’organisme doit établir et maintenir des procédures pour surveiller et mesurer la performance de son
système de management de la sûreté. Il doit également établir et maintenir des procédures de surveillance et
de mesure de la performance de sûreté. Il doit prendre en considération les menaces et risques associés, y
compris les mécanismes de détérioration potentielle et leurs conséquences lorsqu’il fixe la fréquence des
contrôles et mesures des paramètres de performance clés. Ces procédures doivent permettre ce qui suit:
a) des mesures tant qualitatives que quantitatives appropriées aux besoins de l’organisme;
b) un contrôle du degré de respect de la politique, des objectifs et des cibles du management de la sûreté
de l’organisme;
c) des mesures proactives de performance pour contrôler la conformité aux programmes de management
de la sûreté, aux critères de contrôle opérationnels et aux exigences légales, statutaires et autres
exigences réglementaires applicables;
d) des mesures réactives de performance pour contrôler les détériorations, pannes, incidents, non-
conformités (y compris quasi-accidents et fausses alarmes) et autres preuves historisées de déficiences
de la performance du système de management de la sûreté;
e) l’enregistrement de données et de résultats des contrôles et mesures suffisant pour faciliter l’analyse
ultérieure des actions correctives et préventives. Si un équipement est nécessaire pour effectuer ces
mesures et ces contrôles, l’organisme doit établir et maintenir des procédures pour l’étalonnage et
l’entretien de cet équipement. Des enregistrements des activités d’étalonnage et d’entretien et de leurs
résultats doivent être conservés suffisamment longtemps pour respecter la législation et la politique de
l’organisme en matière de sûreté.

ISO 28000:2007(F)
4.5.2 Évaluation du système
L’organisme doit évaluer les plans, procédures et capacités du système de management de la sûreté par le
biais de revues périodiques, essais, rapports d’incidents, retours d’expérience, évaluations de performance et
exercices. Toute modification significative de ces facteurs doit être immédiatement retraduite dans la ou les
procédures.
L’organisme doit périodiquement évaluer la conformité à la législation et aux réglementations existantes, aux
bonnes pratiques de l’industrie et à ses propres politique et objectifs.
L’organisme doit conserver des enregistrements des résultats de ces évaluations périodiques.
4.5.3 Défaillances, incidents, non-conformités, actions correctives et actions préventives
L’organisme doit établir, mettre en œuvre et maintenir des procédures définissant les responsabilités et
autorités relatives aux aspects suivants:
a) évaluation et mise en place d’actions préventives permettant d’identifier les défaillances potentielles de la
sûreté et de les éliminer;
b) investigation concernant ce qui suit:
1) les défaillances, y compris les quasi-accidents et les fausses alarmes;
2) les incidents et les situations d’urgence;
3) les non-conformités;
c) actions permettant d’atténuer les conséquences éventuelles de ces défaillances, incidents ou

non-conformités;
d) mise en œuvre et réalisation des actions correctives;
e) confirmation de l’efficacité des actions correctives entreprises.
Ces procédures doivent exiger un passage en revue de toutes les actions correctives et préventives
proposées par le biais du processus d’évaluation des risques et des menaces à la sûreté avant toute mise en
œuvre à moins qu’une mise en œuvre immédiate n’élimine tout risque imminent d’exposition de la vie
humaine ou de la sécurité publique.
Toute action corrective ou préventive prise pour éliminer les causes de non-conformités réelles ou potentielles
doit être adaptée à l’étendue des problèmes et proportionnée aux menaces et risques susceptibles d’être
rencontrés. L’organisme doit mettre en œuvre et enregistrer toute modification apportée aux procédures
documentées à la suite d’actions correctives ou préventives et doit mettre en place les formations
éventuellement requises.
4.5.4 Maîtrise des enregistrements
L’organisme doit en tant que de besoin établir et maintenir des enregistrements démontrant la conformité de
son système de management de la sûreté et des résultats obtenus aux exigences et à la présente Norme
internationale.
Il doit établir, mettre en œuvre et maintenir une ou plusieurs procédures pour l’identification, le stockage, la
protection, la recherche, la conservation et la destruction des enregistrements.
Ces enregistrements doivent être et demeurer lisibles, identifiables et traçables.
Il convient d’empêcher toute violation de la documentation électronique et numérique qui doit être
soigneusement sauvegardée et accessible uniquement à des personnes autorisées.

ISO 28000:2007(F)
4.5.5 Audit
L’organisme doit établir, mettre en œuvre et maintenir un programme d’audit du management de la sûreté et
doit garantir que ces audits sont effectués à intervalles planifiés afin de faire ce qui suit:
a) déterminer si le système de management de la sûreté:
1) est ou non conforme aux dispositions planifiées de management de la sûreté, y compris toutes les
exigences de l’Article 4;
2) a ou non été convenablement mis en œuvre et maintenu;
3) est ou non efficace et conforme à la politique et aux objectifs du management de la sûreté de

l’organisme;
b) passer en revue les résultats des audits précédents et les mesures prises pour rectifier les
non-conformités;
c) fournir à la direction des informations sur les résultats des audits;
d) vérifier le bon déploiement des équipements et des personnels chargés de la sûreté.
Le programme d’audit, y compris son calendrier, doit se fonder sur le résultat des évaluations des menaces et
des risques présentés par les activités de l’organisme et sur le résultat des audits précédents. Les procédures
d’audit doivent englober le périmètre, la fréquence, les méthodologies et les compétences ainsi que les
responsabilités et les exigences applicables à la conduite des audits et à l’expression des résultats. Les audits
doivent si possible être conduits par un personnel indépendant des personnes directement responsables des
activités examinées.
NOTE L’expression «personnel indépendant» ne veut pas nécessairement dire personnel extérieur à l’organisme.
4.6 Revue de direction et amélioration continue
La direction au plus haut niveau doit passer en revue le système de management de la sûreté de l’organisme
à intervalles planifiés afin de s’assurer qu’il est toujours approprié, suffisant et efficace. Les revues de
direction doivent inclure une évaluation des possibilités d’amélioration et des besoins de changement
éventuel du système de management de la sûreté, et notamment de la politique de sûreté, des objectifs de
sûreté et des menaces et risques correspondants. Les enregistrements des revues de direction doivent être
conservés. Ils doivent comporter ce qui suit:
a) les résultats des audits et évaluations de conformité, accompagnés des exigences légales et autres
exigences auxquelles l’organisme souscrit;
b) les communications des parties extérieures intéressées, y compris les réclamations;
c) la performance de l’organisme en matière de sûreté;
d) le degré de conformité aux objectifs et cibles;
e) l’état des actions correctives et préventives;
f) les actions de suivi des revues de direction antérieures;
g) les changements de circonstances, y compris l’évolution de la législation ou des autres exigences

relatives aux aspects de la sûreté, et
h) les recommandations d’amélioration.
Les conclusions des revues de direction doivent inclure toutes les décisions et actions se rapportant à des
modifications possibles de la politique, des objectifs, des cibles et autres éléments du système de
management de la sûreté en cohérence avec les engagements d’amélioration continue.

ISO 28000:2007(F)
Annexe A
(informative)
Correspondance entre l’ISO 28000:2007, l’ISO 14001:2004

et l’ISO 9001:2000
ISO 28000:2007 ISO 14001:2004 ISO 9001:2000

Exigences relatives au 4 Exigences du système 4 Exigences en matière 4
système de management de management de système qualité
de la sûreté de la chaîne environnemental (titre uniquement)
d’approvisionnement (titre uniquement)
(titre uniquement)
Exigences générales 4.1 Exigences générales 4.1 Exigences générales 4.1
Politique de management 4.2 Politique environnementale 4.2 Engagement de la direction 5.1
de la sûreté
Politique qualité 5.3
Amélioration continue 8.5.1
Évaluation des risques 4.3 Planification (titre seulement) 4.3 Planification (titre 5.4
et planification seulement)
(titre uniquement)
Évaluation des risques 4.3.1 Aspects environnementaux 4.3.1 Écoute client 5.2
Détermination des 7.2.1
exigences relatives au
produit
Revue des exigences 7.2.2
relatives au produit
Exigences légales, 4.3.2 Exigences légales 4.3.2 Écoute client 5.2
statutaires et autres et autres exigences
exigences réglementaires
produit
Objectifs du management 4.3.3 Objectifs, cibles 4.3.3 Objectifs qualité 5.4.1
de la sûreté et programme(s)
Planification du système 5.4.2
de management de la
qualité
Cibles du management 4.3.4 Objectifs, cibles 4.3.3 Objectifs qualité 5.4.1
de la sûreté et programme(s)
de management de la
qualité
Programme(s) de 4.3.5 Objectifs, cibles 4.3.3 Objectifs qualité 5.4.1
management de la sûreté et programme(s)
de management de la
qualité

ISO 28000:2007(F)
ISO 28000:2007 ISO 14001:2004 ISO 9001:2000

Mise en œuvre 4.4 Mise en œuvre 4.4 Réalisation du produit 7
et fonctionnement et fonctionnement
(titre uniquement) (titre uniquement)
Structure, autorité et 4.4.1 Ressources, rôles, 4.4.1 Engagement de la direction 5.1
responsabilités du responsabilité et autorité
management de la sûreté Responsabilité et autorité 5.5.1
Représentant de la direction 5.5.2
Mise à disposition 6.1
des ressources
Infrastructures 6.3
Compétence, formation 4.4.2 Formation, sensibilisation 4.4.2 (Ressources humaines) 6.2.1
et sensibilisation et compétence Généralités
Compétence, sensibilisation 6.2.2
et formation
Communication 4.4.3 Communication 4.4.3 Communication interne 5.5.3
Communication vers le client 7.2.3
Documentation 4.4.4 Documentation 4.4.4 (Exigences relatives 4.2.1
à la documentation)
Généralités
Maîtrise des documents 4.4.5 Maîtrise de la documentation 4.4.5 Maîtrise de la documentation 4.2.3
et des données
Maîtrise opérationnelle 4.4.6 Maîtrise opérationnelle 4.4.6 Planification de la réalisation 7.1
du produit
produit
Revue des exigences 7.2.2
relatives au produit
Conception et planification 7.3.1
du développement
Entrants de la conception 7.3.2
et du développement
Sortants de la conception 7.3.3
Revue de la conception 7.3.4
Vérification de la conception 7.3.5
Validation de la conception 7.3.6
Maîtrise des modifications 7.3.7
de la conception et du
développement
Processus des achats 7.4.1
Informations relatives 7.4.2
aux achats

ISO 28000:2007(F)
ISO 28000:2007 ISO 14001:2004 ISO 9001:2000

Vérification du produit 7.4.3
acheté
Maîtrise de la production 7.5.1
et de la préparation des
services
Validation des processus 7.5.2
de production et de
préparation
des services
Préservation du produit 7.5.5
Prévention des situations 4.4.7 Prévention des situations 4.4.7 Maîtrise du produit 8.3
d’urgence, capacité à réagir d’urgence et capacité à non conforme
et rétablissement de la réagir
sûreté
Contrôle et action corrective 4.5 Contrôle et action corrective 4.5 Mesures, analyse 8
(titre uniquement) (titre uniquement) et amélioration (titre
uniquement)
Surveillance et mesure 4.5.1 Surveillance et mesurage 4.5.1 Maîtrise des dispositifs 7.6
de la performance de sûreté de surveillance et de mesure
Généralités (mesure, 8.1
analyse et amélioration)
Surveillance et mesure 8.2.3
des processus
du produit
Analyse des données 8.4
Évaluation du système 4.5.2 Évaluation de conformité 4.5.2 Surveillance et mesure 8.2.3
des processus
du produit
Défaillances, incidents, 4.5.3 Non-conformités, 4.5.3 Maîtrise du produit 8.3
non-conformités, actions correctives non conforme
actions correctives et actions préventives
Analyse des données 8.4
et actions préventives
Action corrective 8.5.2
Action préventive 8.5.3
Maîtrise des 4.5.4 Maîtrise des enregistrements 4.5.4 Maîtrise des 4.2.4
enregistrements enregistrements
Audit 4.5.5 Audit interne 4.5.5 Audit interne 8.2.2
Revue de direction et 4.6 Revue de direction 4.6 Engagement de la direction 5.1
amélioration continue
Revue de direction 5.6
(titre uniquement)
Généralités 5.6.1
Entrant de revue 5.6.2
Sortant de revue 5.6.3

ISO 28000:2007(F)
Bibliographie
[1] ISO 9001:2000, Systèmes de management de la qualité — Exigences
[2] ISO 14001:2004, Systèmes de management environnemental — Exigences et lignes directrices pour
son utilisation
[3] ISO 19011:2002, Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de
management environnemental
[4] ISO/PAS 20858:2004, Navires et technologie maritime — Évaluation de la sécurité des installations
portuaires maritimes et réalisation de plans de sécurité
[5] ISO/PAS 28001, Systèmes de management de la sûreté pour la chaîne d'approvisionnement —

Meilleures pratiques pour la mise en application de la sûreté de la chaîne d'approvisionnement —
Évaluations et plans
[6] ISO/PAS 28004:2006, Systèmes de management de la sûreté pour la chaîne d'approvisionnement —

Lignes directrices pour la mise en application de l'ISO/PAS 28000


ISO 28000:2007(F)
ICS 47.020.99
Prix basé sur 16 pages
© ISO 2007 – Tous droits réservés

ISO 28000 Management de La Sûreté de La Chaîne D'aprovisionnement

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

ISO 28000 Management de La Sûreté de La Chaîne D'aprovisionnement

Titre original :

Transféré par

Droits d'auteur :

ISO 28000:2007

Pour AFNOR F2 - MARKETING COMMERCIAL

Extract from GDN - This document is a working copy

Spécifications relatives aux systèmes

PDF – Exonération de responsabilité

DOCUMENT PROTÉGÉ PAR COPYRIGHT

ii © ISO 2007 – Tous droits réservés

© ISO 2007 – Tous droits réservés iii

Extract from GDN - This document is a working copy

iv © ISO 2007 – Tous droits réservés

Figure 1 — Relations entre l’ISO 28000 et d’autres normes correspondantes

© ISO 2007 – Tous droits réservés v

Extract from GDN - This document is a working copy

• Faire (Do): mettre en œuvre les processus.

vi © ISO 2007 – Tous droits réservés

NORME INTERNATIONALE ISO 28000:2007(F)

Spécifications relatives aux systèmes de management

a) définir, mettre en place, maintenir et améliorer un système de management de la sûreté;

b) s’assurer de sa conformité à la politique de sûreté qu’il a définie;

c) démontrer cette conformité à autrui;

e) réaliser une autoévaluation et une autocertification de conformité à la présente Norme internationale.

© ISO 2007 – Tous droits réservés 1

2 © ISO 2007 – Tous droits réservés

4 Éléments du système de management de la sûreté

Figure 2 — Éléments du système de management de la sûreté

© ISO 2007 – Tous droits réservés 3

4.1 Exigences générales

4.2 Politique de management de la sûreté

a) être cohérente avec les autres politiques de l’organisme;

f) inclure un engagement d’amélioration continue du processus de management de la sûreté;

g) inclure un engagement de respect de la législation en vigueur, des exigences réglementaires et

h) être soutenue de façon visible par la direction;

i) être documentée, mise en œuvre et maintenue;

k) être divulguée aux parties prenantes, le cas échéant;

4 © ISO 2007 – Tous droits réservés

4.3 Évaluation des risques et planification

4.3.1 Évaluation des risques

a) les menaces et risques de défaillance physique, du type panne de fonctionnement, accident

f) la conception et l’installation des équipements de sûreté, maintenance et remplacement compris;

g) le traitement de l’information et des données et communications;

h) la menace à la continuité des opérations.

a) la fixation des objectifs et cibles du management de la sûreté;

b) l’établissement des programmes de management de la sûreté;

c) la détermination des exigences de conception, de spécification et d’installation;

d) l’identification des ressources nécessaires, y compris des niveaux de main-d’œuvre;

e) l’identification des besoins de formation et des compétences (voir 4.4.2);

f) la mise au point des contrôles de fonctionnement (voir 4.4.6);

g) le cadre global de management des menaces et des risques dans l’organisme.

L’organisme doit répertorier et conserver les informations ci-dessus à jour.

© ISO 2007 – Tous droits réservés 5

4.3.2 Exigences légales, statutaires et autres exigences réglementaires liées à la sûreté

4.3.3 Objectifs du management de la sûreté

a) des exigences légales, statutaires et autres exigences réglementaires liées à la sûreté;

b) des menaces et risques pesant sur la sûreté;

c) des options technologiques et autres;

d) des exigences financières, opérationnelles et commerciales;

e) du point de vue des parties prenantes concernées.

Les objectifs de management de la sûreté doivent être les suivants:

a) cohérents avec les engagements d’amélioration continue de l’organisme;

b) quantifiés (si possible);

4.3.4 Cibles de management de la sûreté

Ces cibles doivent être comme suit:

a) d’un niveau de détail approprié;

b) spécifiques, mesurables, atteignables, pertinentes et échelonnées dans le temps (si possible);

6 © ISO 2007 – Tous droits réservés