ISO 28000 Sicherheitsmanagement in der Lieferkette

ISO 28000 folgt der harmonisierten Struktur für Managementsystemnormen. Die Anforderungen des Sicherheitsmanagementsystems (SeMS) werden in den Abschnitten 4 bis 10 beschrieben, wodurch Organisationen das SeMS leichter mit anderen ISO‑Managementsystemen wie ISO 9001 oder ISO 14001 integrieren können. Die Neuauflage enthält zusätzliche Empfehlungen; Abschnitt 4 ergänzt acht Sicherheitsprinzipien zur besseren Ausrichtung an der Risikomanagementnorm ISO 31000, während Abschnitt 8 Empfehlungen zu Sicherheitsstrategien, Verfahren, Prozessen und Plänen enthält, die die Kohärenz mit der Norm für Business Continuity ISO 22301 sicherstellen. Der Standard folgt dem Plan‑Do‑Check‑Act‑Modell (PDCA) und fordert eine zyklische Verbesserung des Sicherheitsmanagements.

Die Norm schärft damit den Fokus auf Risikobewertung, Präventionsstrategien und Reaktionsplanung. Sie wurde ursprünglich für die Lieferkette entwickelt, ist aber in der Version 2022 auf sämtliche organisatorische Sicherheitsaspekte ausgeweitet. Neben der physischen Sicherheit bezieht ISO 28000 auch Aspekte wie Finanzierung, Informationsmanagement und Lagerhaltung ein.

ISO 28000 verlangt von Organisationen, ihre Sicherheitsumgebung und Lieferkette zu analysieren und die bestehenden und erforderlichen Sicherheitsmaßnahmen zu dokumentieren. Gemäß der ANSI‑Analyse definiert die Norm ein Sicherheitsmanagementsystem als ein System aus koordinierten Richtlinien, Prozessen und Verfahren, mit dem eine Organisation ihre Sicherheitsziele verfolgt.

• Bewertung der Sicherheitsumgebung: Die Organisation muss das Sicherheitsumfeld, einschließlich Abhängigkeiten in der Lieferkette, untersuchen. Sie soll herausfinden, ob ausreichende Maßnahmen vorhanden sind, um sicherheitsrelevante Risiken zu bewältigen.

• Risikobasierte Planung: ISO 28000 verlangt eine proaktive Risikobewertung, die physische oder funktionale Ausfälle, böswillige Handlungen, Umwelt‑, human‑ und kulturelle Faktoren, Design und Wartung von Sicherheitstechnik, Informationsmanagement sowie Interdependenzen zwischen Lieferanten umfasst.

• Leitung und Strategie: Das Top‑Management muss Engagement zeigen, indem es eine Sicherheitsstrategie formuliert, Sicherheitsziele festlegt und die Sicherheitsprozesse in die betrieblichen Abläufe integriert.

• Sicherheitskontrollen und ‑pläne: Die Organisation muss Sicherheitsstrategien, ‑prozesse und ‑pläne entwickeln, um Sicherheitsrisiken zu verhindern, zu mildern oder zu behandeln.

• Überwachung und Verbesserung: ISO 28000 verlangt die fortlaufende Überwachung und Messung des Sicherheitsmanagementsystems, um Schwachstellen zu erkennen, rechtliche Anforderungen einzuhalten und Risiken zu minimieren.

• Audit und regelmäßige Überprüfung: Die Norm sieht interne Audits und Managementbewertungen vor, um die Wirksamkeit des Systems zu bestätigen und Verbesserungsmaßnahmen abzuleiten.

Diese Anforderungen gelten für jede Art von Organisation. ISO 28000 bietet einen ganzheitlichen Ansatz, der sowohl interne als auch externe Aktivitäten abdeckt.

Facility Manager arbeiten häufig mit mehreren Managementsystemen, etwa für Qualität (ISO 9001), Umwelt (ISO 14001), Arbeitsschutz (ISO 45001) und Energiemanagement. ISO 28000 lässt sich dank seiner harmonisierten Struktur mit diesen Systemen verzahnen. Die Norm ist Teil des integrierten Managementsystems und ergänzt die Bereiche Qualität, Umwelt und Arbeitssicherheit in der Lieferkette. Organisationen, die bereits ein prozessorientiertes Managementsystem eingeführt haben – zum Beispiel nach ISO 9001 – können dieses als solide Basis für die Implementierung von ISO 28000 nutzen. Auch die risikobasierte Vorgehensweise ähnelt der von ISO 14001 und unterstützt eine kohärente Integration. Die ANSI betont, dass ISO 28000 problemlos mit anderen Managementnormen wie ISO 22301 (Business Continuity), ISO/IEC 27001 (Informationssicherheit) und ISO 45001 (Arbeitssicherheit) kombinierbar ist.

Facility Manager sind für Gebäude, technische Anlagen, Infrastruktur und Dienstleistungen verantwortlich – Faktoren, die unmittelbar in die Lieferkette hineinreichen. Viele sicherheitsrelevante Vorgänge wie Wareneingang, Lagerung, innerbetrieblicher Transport, Zugangskontrolle, Dateninfrastruktur und Notfallplanung fallen in ihren Zuständigkeitsbereich. Die Implementierung eines ISO‑28000‑konformen Sicherheitsmanagementsystems stärkt die Resilienz der gesamten Organisation, indem sie eine systematische Risikobewertung ermöglicht und Sicherheitsprozesse institutionalisieren. Facility Manager profitieren besonders von der integrativen Ausrichtung der Norm: sie können Sicherheitsprozesse nahtlos mit Qualitätssicherung, Umweltmanagement und Arbeitsschutz verbinden und so Effizienzsteigerungen erzielen.

Die Norm fordert zudem die Einbindung relevanter Interessierter – von Lieferanten bis hin zu externen Dienstleistern – und setzt damit Maßstäbe für die Zusammenarbeit mit Logistikpartnern. In den Lieferketten vieler Unternehmen werden externe Dienstleister eingesetzt. ISO 28000 weist darauf hin, dass einige Organisationen die Erfüllung dieser Sicherheitsstandards zur Voraussetzung für die Aufnahme in ihre Lieferkette machen. Für Facility Manager bedeutet das, dass sie entsprechende Anforderungen an Fremdfirmen definieren und deren Einhaltung überwachen müssen.

Die Implementierung eines ISO‑28000‑Sicherheitsmanagementsystems bringt zahlreiche Vorteile für Organisationen. Laut First Class Management ermöglicht die Norm die Identifizierung, Behandlung und Reduzierung von Sicherheitsrisiken, wirkt sich positiv auf Sicherheit, Qualität und Kundenzufriedenheit aus und dient als Nachweis für ein hochwertiges Sicherheitssystem. Die Norm wird von der EU‑Initiative der zugelassenen Wirtschaftsbeteiligten anerkanntf Das ANSI‑Blog führt weiter aus, dass ein ISO‑28000‑basiertes System Organisationen hilft, ihre wertvollen Assets zu sichern und gleichzeitig Reputation, Rentabilität und Effizienz zu steigern, während langfristige Kosten verringert werden.

Ein effektives Sicherheitsmanagementsystem stärkt die Geschäftsfähigkeiten, sichert die operative Umgebung, gewährleistet die Einhaltung von gesetzlichen und freiwilligen Sicherheitsauflagen, identifiziert Risiken und Chancen, ermöglicht den Umgang mit Sicherheitsverletzungen, unterstützt die Wiederherstellung nach Unterbrechungen der Lieferkette, fördert das Management von Beziehungen zu allen Interessierten, schützt Werte, richtet Sicherheitsprozesse an den Unternehmenszielen aus und verschafft einen Wettbewerbsvorteil. ISO 28000 ist ein Best‑Practice‑Rahmen, der Sicherheitsrisiken über alle Aktivitäten, Funktionen und Operationen hinweg reduziert und zur integrierten Resilienz, verbesserten Glaubwürdigkeit, Benchmarking und höherer Compliance beiträgt. Zertifizierungen erleichtern zudem den Warenverkehr, verbessern die Überwachung und Steuerung von Sicherheitsrisiken, ermöglichen Kostenersparnisse durch weniger Sicherheitsvorfälle und können Versicherungsprämien senken.

Der Erfolg eines Sicherheitsmanagementsystems steht und fällt mit dem Engagement der Führungsebene. ISO 28000 fordert von der Leitung, eine Sicherheitsstrategie zu etablieren, Ziele zu definieren und Sicherheitsmanagement in die Prozesse und Abläufe des Unternehmens zu integrieren. Im Facility Management bedeutet dies, dass das Management Sicherheit nicht nur als Compliance‑Thema betrachtet, sondern als strategischen Erfolgsfaktor. Eine gelebte Sicherheitskultur verlangt Schulungen, Sensibilisierung und die Einbindung aller Mitarbeitenden; zudem muss sichergestellt werden, dass Lieferanten und Dienstleister ähnliche Sicherheitsstandards einhalten.

Die Einführung von ISO 28000 beginnt mit einer umfassenden Gap‑Analyse, in der bestehende Sicherheitsprozesse bewertet und Risiken identifiziert werden. Anschließend werden Richtlinien, Verfahren und Kontrollen implementiert, die den Normanforderungen entsprechen. Der PDCA‑Zyklus sorgt dafür, dass das Sicherheitsmanagement systematisch geplant, umgesetzt, überprüft und verbessert wird. Regelmäßige interne Audits, Managementbewertungen und externe Zertifizierungen sind wesentliche Instrumente, um die Wirksamkeit zu prüfen und Anpassungen vorzunehmen. Organisationsübergreifende Übungen und Notfalltests tragen dazu bei, die Reaktionsfähigkeit zu erhöhen.