颐卓咨询
颐卓咨询总公司
  • 关注微信
    • 公司总机: 020-38860656
    业务咨询: 134 3393 3194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢
    新闻动态
    NEWS CENTER
     
    N 新闻中心 News center 最专业的品牌服务,为您创造更高的价值

    ISO 28000最新要求:从静态合规到动态韧性的五大升级

    来源: 网络
    日期: 2026-06-01
    浏览次数: 1013

    ISO 28000(供应链安全管理体系)最新的动态主要有两个层面:一是标准本身在2024年发布了一份关于气候行动的修订案(Amendment 1),二是审核实践在2026年迎来了重大焦点转移,对企业的要求更加务实和深入。


    标准本身的最新变化:2024年修订案

    ISO 28000的现行版本是 ISO 28000:2022,于2022年3月发布。之后,国际标准化组织(ISO)又在2024年发布了它的第1号修订案 ISO 28000:2022/Amd 1:2024

    这次修订最核心的变化是增加了与气候行动相关的内容。具体来说,为了让ISO所有管理体系标准(如ISO 9001、ISO 14001)在结构上保持一致(即采用统一的“高层结构”),ISO 28000也同步新增了要求,强调组织需要考虑气候变化对供应链安全风险的影响

    简而言之,企业在进行供应链安全的风险评估时,需要将极端天气、海平面上升等气候因素作为潜在的风险源之一纳入考量。


    2026年审核实践的重点变化

    虽然标准本身没有发布2026年全新版本,但基于2025年的全球供应链动荡(如地缘政治、网络攻击频发),2026年的审核关注点发生了深刻变化。审核员不再只看“有没有文件”,而是更看重体系在真实动荡环境下的适应能力

    根据最新的审核动态,企业在2026年面临的新要求主要集中在以下五个方面:

    1. 从“静态风险评估”升级为“动态风险情报”
    过去,许多企业的风险评估是一年更新一次的“死文档”,这在当前快速变化的环境下已行不通

    • 审核新要求:审核员会重点考察你们是否有实时或高频更新的情报来源(如政府预警、行业威胁情报),以及是否有明确的触发机制(如某港口突发罢工),一旦触发就能立即启动风险再评估。审核问题从“你有风险评估吗?”变成了“你如何证明你的风险评估反映的是今天的现实?”

    2. 供应商安全管控从“一级”下沉到“多级”
    仅仅管好直接供应商(Tier 1)已经不够了,2025年的许多安全事件源头在二级甚至三级供应商

    • 审核新要求:审核员会要求你们展示对整个供应链(包括分包商、服务商)的可见度。你们需要建立基于风险的供应商分级机制,对高风险的关键供应商,不能只有合同条款约束,还需要有供应商审计、自我评估或绩效审查等实质性验证证据

    3. 必须整合“物理安全”与“网络安全”
    这是一个重大变化。虽然ISO 28000不是专门的网络安全标准,但供应链的中断往往始于一次网络入侵(如货运系统被黑、供应商门户被攻击)

    • 审核新要求:审核员将检查你们的供应链安全体系是否与ISO/IEC 27001等网络安全框架对齐。他们希望看到公司的安全部门与IT/网络安全部门有明确的协调机制,共同识别“通过网络攻击破坏实体供应链”的风险,并协同进行应急响应

    4. “纸上谈兵”不再被接受,必须有实战演练
    拥有完善的业务连续性计划(BCP)文档是远远不够的

    • 审核新要求:你们必须提供供应链中断场景的实战演练证据。例如,是否模拟过“主要港口关闭”、“边境封锁”、“关键供应商突然破产”等情景?审核员不仅要看演练计划,更要看演练后的“经验总结”和“体系改进”记录

    5. 领导层的参与成为审核焦点
    供应链安全不再是运营部门自己就能兜底的事

    • 审核新要求:审核员会关注最高管理者的参与度。他们会检查管理评审会议的输出,查看董事会或高层是否知晓关键风险,以及是否为此分配了必要的资源(预算、人力等)


    一个重要的时间节点提醒

    另外还有一个重要的时间节点需要关注:ISO 28000:2022版替换旧版ISO 28000:2007的三年过渡期已于2025年3月15日截止

    这意味着:

    • 如果你的企业目前持有的仍是2007版的认证证书,该证书现在已经失效或已被撤销

    • 目前所有有效的认证都必须是基于 2022版 标准。如果你们还未完成换版,需要立即联系认证机构启动换版审核。


    对你及企业的行动建议

    面对这些变化,无论你是审核员还是企业管理者,都可以从以下角度着手准备:

    • 对企业(尤其是已获证或准备认证的企业)

      1. 立刻检查证书:确认你的认证依据是ISO 28000:2022,而非2007版。

      2. 升级风险评估方法:引入动态风险评估机制,将气候变化网络威胁明确写入风险源清单。

      3. 做实供应链穿透管理:对关键的二、三级供应商建立安全管理档案。

      4. 开展实战演练:今年至少组织一次针对供应链中断的桌面推演或实战演习,并保留完整记录。

    • 对审核员/内部审计人员

      1. 提升跨领域知识,尤其是在网络物理安全融合方面的评估能力。

      2. 调整审核思路,从“检查符合性”转向“评估韧性”,使用“压力测试”式的提问方法。

      3. 增加对管理层访谈的深度和时间,验证其领导作用的实际落地情况。

    颐卓咨询管理集团-广州总部
    总部地址:广州市海珠区琶洲数字科技产业园A15-2栋
    联系方式:13622221264(张小姐)或13433933194(廖经理)
    邮     箱:eyzo@chinakec.com
    公司官网:www.chinakec.com
    集团分支机构:深圳、成都、重庆、佛山、东莞、长沙、武汉、北京、昆山、厦门等

    公司地址:广州海珠琶洲数字科技产业园A15-2栋

    热线电话:020-38860656

    体系认证:13433933194

    课程培训:020-38864322


    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市海珠区琶洲数字科技产业园A15-2栋
    X
    1

    QQ设置

    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38864322
    6

    二维码管理

    展开