NORMA INTERNACIONAL

ISO 28000:2007

SISTEMAS DE GESTIN DE LA SEGURIDAD

PARA LA CADENA DE SUMINISTRO

Introduccin

Esta norma internacional ha sido desarrollada como respuesta

a la exigencia de la industria para una norma de gestin de la
seguridad. Su objetivo principal es mejorar la seguridad en las
cadenas de suministro. Esta es una norma de Alta Direccin
que le permite a una organizacin establecer un sistema de
gestin de la seguridad de la cadena de suministro en
general.
Exige a la organizacin evaluar el ambiente de seguridad en
el que opera y determinar si se han implementado medidas
de seguridad adecuadas y si ya existen otros requisitos
reglamentarios que la Organizacin cumple. Si se determinan
necesidades de seguridad mediante este proceso, la
organizacin debera implementar mecanismos y procesos
para satisfacerlas. Puesto que las cadenas de suministro son
dinmicas por naturaleza, algunas organizaciones que
manejan mltiples cadenas de suministro pueden buscar que
sus proveedores de servicios cumplan con las normas ISO de
seguridad para la cadena de suministro o las normas
gubernamentales relacionadas, como condicin para ser
incluidos en dicha cadena de suministro a fin de simplificar la
gestin de la seguridad.
Esta norma internacional est intencionada para aplicar en
casos donde las cadenas de suministro de una organizacin,
tengan que ser manejadas de forma segura. Un acercamiento
formal a gestin de la seguridad puede contribuir
directamente con la capacidad del negocio y credibilidad de la
organizacin.
El cumplimiento con esta norma internacional no lleva en s
mismo inmunidad de las obligaciones legales. Para las
organizaciones que as lo quieran, el cumplimiento con el
sistema de gestin de la seguridad con esta norma
internacional puede ser verificado por un proceso de auditora
externa interna.

Esta norma internacional est basada en el formato ISO

adoptado por ISO 14001:2004debido a su enfoque de sistema
de gestin basado en el riesgo. Sin embargo, organizaciones
que han adoptado un proceso de acercamiento a los sistemas
de gestin(ej. ISO 9001:2000) podrn utilizar su sistema de
gestin actual como la base para un sistema de gestin de la
seguridad como se prescribe en esta norma internacional. No
es la intencin de esta norma internacional, el duplicar los
requisitos gubernamentales y normas con respecto a la
gestin de la seguridad de la cadena de suministro, por la cual
la organizacin ya ha sido certificada se ha verificado
cumplimiento. La verificacin se puede llevar a cabo por una
organizacin aceptable por primera, segunda o tercera parte.
NOTA: Esta norma internacional se basa en la metodologa
conocida como Plan-Hacer-Revisar- Actuar (PHRA). PHRA
puede ser descrito de la siguiente manera:
Plan: Establecer los objetivos y procesos necesarios para
obtener resultados acordes con la poltica de seguridad de la
organizacin.
Hacer: Implementar el Proceso.
Revisar: Monitorear y medir procesos
Actuar: Tomar acciones para mejorar continuamente el
funcionamiento del sistema de gestin de la seguridad.

Alcance
Esta norma internacional especifica los requisitos para un
sistema de gestin de la seguridad, incluyendo aquellos
aspectos crticos para garantizar la seguridad de la cadena de
suministro. La gestin de la seguridad est relacionada con
muchos otros aspectos de la gestin empresarial, que
incluyen todas las actividades controladas o influenciadas por
organizaciones que impactan en la seguridad de la cadena de
suministro.
Estos otros aspectos deberan ser considerados directamente,
dnde y cundo stos tengan un impacto en la gestin de
seguridad, incluyendo el transporte de estos bienes a lo largo
de la cadena de suministro. Esta norma internacional es
aplicable a todos los tamaos de organizaciones, de pequeas
a multinacionales, en manufactura, servicios, almacenamiento
o transporte en cualquier etapa de la cadena de produccin o
de suministro que tenga la intencin de:
a) Establecer, implementar, mantener y mejorar un sistema
de gestin de la seguridad.
b) Asegurar conformidad con la poltica de gestin de la
seguridad establecida.
c) Demostrar dicha conformidad a otros.
d) Buscar certificacin/registro de su sistema de gestin de
seguridad por parte de un organismo de certificacin de
tercera parte acreditado;

e) Hacer una auto-determinacin y auto-declaracin de

conformidad con esta norma internacional.
No es la intencin de esta norma internacional exigir
demostracin duplicada de conformidad.
Las organizaciones que elijan certificacin de un tercero,
pueden demostrar adems que estn contribuyendo
significativamente con la seguridad de la cadena de
suministro.
2. Referencias Normativas No hay referencias normativas
citadas. Esta clusula est incluida para retener una
numeracin de clusulas similar al de otras normas de
sistemas de gestin.
3. Trminos y Definiciones: Para propsitos de este
documento, aplican los siguientes trminos y definiciones.
3.1 Instalacin Planta, maquinaria, propiedad, edificios,
vehculos, embarcaciones, instalaciones portuarias y otros
elementos de infraestructura plantas y sistemas
relacionados, que tienen una funcin o servicio empresarial
distintivo y cuantificable. NOTA Esta definicin incluye
cualquier cdigo de software que sea crtico para la obtencin
de seguridad y la aplicacin de gestin de la misma.
3.2 Seguridad Resistencia a actos intencionales, sin
autorizacin, diseados para causar perjuicio o dao a, o
mediante, la cadena de suministro.
3.3 Gestin de la seguridad Actividades y prcticas
sistemticas y coordinadas por medio de las cuales una
organizacin maneja de manera ptima sus riesgos y las
amenazas e impactos potenciales asociados derivados de
ellos.

3.4 Objetivo de Gestin de la seguridad Resultado logro

especfico de seguridad requerido para cumplir con la poltica
de gestin de seguridad.
3.5 Poltica de Gestin de la seguridad Intenciones y
direcciones generales de una organizacin, relacionadas con
la seguridad y estructura para el control de procesos y
actividades relacionados con seguridad, que se derivan de la
poltica y los requisitos de reglamentacin de la organizacin
y son coherentes con ellos.
3.6 Programas de gestin de la seguridad Son los medios
mediante los cuales se logra un objetivo de gestin de la
seguridad.
3.7 Meta de la Gestin de la Seguridad Nivel de
desempeo especfico requerido para lograr un objetivo de la
gestin de laseguridad.
3.8 Parte interesada Persona entidad con un inters
establecido en el desempeo de la organizacin, su xito el
impacto de sus actividades. NOTA Ejemplos incluyen clientes,
accionistas, entidades financieras, aseguradores, reguladores,
cuerpos
reglamentarios,
empleados,
contratantes,
proveedores, organizaciones laborales la sociedad.
3.9 Cadena de Suministro Conjunto relacionado de
recursos y procesos que comienza con el suministro de
materias primas y se extiende hasta la entrega de productos
servicios al usuario final, incluidos los medios de transporte.
NOTA La cadena de suministro puede incluir vendedores,
instalaciones de manufacturacin, proveedores de logstica,
centros de distribucin interna, distribuidores, mayoristas y
otras entidades que llevan al usuariofinal.
3.9.1 Aguas abajo Se refiere a las acciones,
procesos y movimientos de la carga dentro de la cadena

de suministro que ocurren despus de que la carga deja

el control directo operacional de la organizacin,
incluyendo pero no limitado al seguro, finanzas, gestin
de informacin y el empaque, almacenamiento y
transferencia de la carga.3.9.2 Aguas arriba Se refiere a
las acciones, procesos y movimientos de la carga dentro
de la cadena de suministro que ocurren antes de que la
carga se encuentre bajo el control directo operacional de
la organizacin, incluyendo pero no limitado al seguro,
finanzas, gestin de informacin y el empaque,
almacenamiento y transferencia de la carga.
3.10 Alta Direccin Es la persona grupo de personas
que dirigen y controlan una organizacin en el ms alto nivel.
NOTA: La Alta Direccin, especialmente en una organizacin
multinacional grande, puede no estar personalmente
involucrado como se menciona en esta norma internacional:
sin embargo la responsabilidad dela Alta Direccin a travs de
la cadena de mando debe ser manifiesta.
3.11 Mejora Continua Proceso recurrente de fortalecer el
sistema de gestin de la seguridad, para lograr
mejoramientos en el desempeo general de la seguridad, de
manera coherente con la poltica de seguridad de la
organizacin. Otras definiciones importantes:
Amenaza: Cualquier posible accin o serie de acciones
intencionales con dao potencia la cualquiera de las partes
interesadas, a las instalaciones, al funcionamiento, a la
cadena de suministro, a la sociedad, a la economa o a la
continuidad e integridad del negocio
Riesgo: Probabilidad de materializacin de una amenaza
a la seguridad y sus consecuencias
Elementos del Sistema de Gestin de la Seguridad

4.1. Requisitos Generales La organizacin debe

establecer, documentar, implementar, mantener y mejorar
continuamente un sistema de gestin de la seguridad eficaz
para identificar las amenazas de la seguridad, valorar los
riesgos y controlar y mitigar sus consecuencias. La
organizacin debe mejorar continuamente su eficacia de
acuerdo con los requisitos establecidos en toda la clusula
4.La organizacin debe definir el alcance de su sistema de
gestin de la seguridad. Cuando una organizacin opte por
contratar externamente cualquier proceso que afecte la
conformidad con estos requisitos, la organizacin debe
asegurar que dichos procesos sean controlados. Se deben
identificar dentro del sistema de gestin de la seguridad los
controles y responsabilidades necesarios para dichos procesos
contratados externamente.
4.2 Poltica de Gestin de la seguridad La Alta Direccin
de la organizacin debe autorizar una poltica de gestin de la
seguridad general. La poltica debe:
a) ser coherente con otras polticas organizacionales;
b) Proporcionar el marco de referencia para establecer
objetivos, metas y programas especficos de gestin de la
seguridad;
c) Ser coherente con la estructura de la gestin de
amenazas y riesgos de la seguridad general de la
organizacin.
d) Ser apropiada para las amenazas de la organizacin y
la naturaleza y escala de sus operaciones.
e)
Determinar
claramente
los
generales/amplios de gestin de la seguridad.

objetivos

f) Incluir un compromiso con la mejora continua del

proceso de gestin de la seguridad.

g) Incluir un compromiso de cumplir con la legislacin

aplicable actual, los requisitos reglamentarios y estatutarios y
con otros requisitos que suscribe la organizacin.
h) Tener el respaldo visible de la Alta Direccin.
i) Ser documentada, implementada y mantenida.
j) Comunicarse a todos los empleados y terceras partes
pertinentes, incluyendo contratistas y visitantes, con la
intencin de que estas personas sean conscientes de sus
obligaciones individuales relacionadas con la gestin de la
seguridad.
k) Estar disponible para las partes interesadas, cuando
sea apropiado.
l) Poderse revisar en caso de adquisicin o fusin con
otras organizaciones, u otro cambio en el alcance del negocio
de la organizacin que pueda afectar la continuidad
opertinencia del sistema de gestin de la seguridad. NOTA Las
organizaciones pueden escoger entre tener una poltica
detallada de gestin de seguridad para uso interno que podra
proporcionar suficiente informacin y direccin para manejar
el sistema de gestin de seguridad (partes que pueden ser
confidenciales) de tener una versin resumida (no
confidencial) que contenga los objetivos generales para la
diseminacin para sus partes interesadas y otras partes
involucradas.
4.3 Valoracin del Riesgo de Seguridad y Planeacin
4.3.1 Valoracin del riesgo de seguridad La
organizacin debe establecer y mantener procedimientos
para la identificacin y valoracin continua de las
amenazas a la seguridad y de las amenazas y riesgos
relacionados con la gestin de la seguridad, y la
identificacin e implementacin de medidas necesarias

de control de gestin. La identificacin, valoracin y

mtodos de control de amenazas y riesgos de la
seguridad deberan, como mnimo, ser apropiados a la
naturaleza y escala de las operaciones. Esta valoracin
debe considerar la probabilidad de un evento y de todas
sus consecuencias, que deben incluir:
a) Amenazas y riesgos de fallas fsicas, como falla
funcional, dao incidental, dao malicioso, terrorista
accin criminal;
b) Amenazas y riesgos operacionales, incluyendo el
control de la seguridad, los factores humanos y otras
actividades que afectan el desempeo, la condicin o la
seguridad de la organizacin.
c) Eventos ambientales naturales (tormenta,
inundacin, etc.), que pueden hacer que las medidas y
equipos de seguridad resulten ineficaces.
d) Factores ajenos al control de la organizacin,
tales como fallas en equipos y servicios suministrados
externamente;
e) Amenazas y riesgos de las partes interesadas,
tales como fallas para cumplir con los requisitos
reglamentarios o dao a la reputacin marca;
f) Diseo e instalacin del equipo de seguridad,
incluyendo su reemplazo, mantenimiento, etc.
g) gestin de datos e informacin y comunicaciones;
h) Una amenaza a la continuidad de las
operaciones. La organizacin debe asegurar que se
consideren los resultados de estas valoraciones y los
efectos de estos controles y, cuando sea apropiado, debe
proporcionar elementos de entrada a: a) Los Objetivos y

metas de la gestin de la seguridad; b) Los Programas de

gestin de la seguridad; c) La determinacin de
requisitos para el diseo, especificacin e instalacin; d)
La Identificacin de recursos adecuados, incluyendo los
niveles de contratacin de personal; e) La Identificacin
de necesidades de formacin y habilidades (ver 4.4.2); f)
El Desarrollo de controles operacionales (ver 4.4.6); g) La
estructura general de gestin de amenazas y de riesgos
de la organizacin; La organizacin debe documentar y
mantener actualizada la anterior informacin. La
metodologa de la organizacin para la identificacin de
la amenaza y valoracin delriesgo debe: a) Estar definida
con respecto a su alcance, naturaleza y programacin en
el tiempo para asegurar que sea proactiva en lugar de
ser reactiva; b) Incluir la recoleccin de informacin
relacionada con amenazas y riesgos de laseguridad; c)
Proporcionar la clasificacin de amenazas y riesgos y la
identificacin de los que deben evitarse, eliminarse
controlarse; d) Proporcionar el seguimiento de las
acciones
para
asegurar
su
eficacia
y
oportunaimplementacin (ver 4.5.1).

4.3.2 Requisitos legales y reglamentarios de seguridad La

organizacin debe establecer, implementar y mantener un
procedimiento:
a) para identificar y tener acceso a los requisitos
legales aplicables y otros requisitos a los que se suscribe
la organizacin relacionados con las amenazas y riesgos
para laseguridad y
b) para determinar cmo se aplican estos requisitos
a sus amenazas y riesgos para la seguridad. La
organizacin
debe
mantener
esta
informacin

actualizada y debe comunicar la informacin pertinente

sobre requisitos legales y otros requisitos a sus
empleados y otras terceras partes pertinentes,
incluyendo contratistas.

4.3.3 Objetivos de Gestin de la Seguridad La

organizacin debe establecer, implementar y mantener
objetivos de gestin de la seguridad documentados, en las
funciones y niveles pertinentes dentro de la organizacin. Los
objetivos deben derivarse y ser coherentes con la poltica. Al
establecer y revisar sus objetivos, la organizacin debe tener
en cuenta:
a) Requisitos legales, estatutarios
reglamentacin sobre seguridad;
b) Amenazas
seguridad;

riesgos

otros

de

con

la

operacionales

relacionados

c) opciones tecnolgicas y otras;

d)
Requisitos
empresariales;

financieros,

e) Puntos de vista de las partes interesadas

apropiadas. Los objetivos de gestin de la seguridad
deben: a) Ser coherentes con el compromiso de la
organizacin con la mejora continua; b) Cuantificarse
(cuando sea posible); c) Comunicarse a todos los
empleados y terceras partes pertinentes, incluyendo los
contratistas, con la intencin que estas personas sean
conscientes de sus obligaciones individuales; d)
Revisarse peridicamente para asegurar que sigan
siendo pertinentes y coherentes con la poltica de gestin

de la seguridad. Cuando sea necesario, los objetivos de

gestin de la seguridad deben ser corregidos.

4.3.4 Metas de Gestin de la Seguridad La organizacin

debe establecer, implementar y mantener las metas de
gestin de seguridad documentadas, apropiadas para las
necesidades de la organizacin. Las metas deben derivarse de
los objetivos de la gestin de la seguridad y ser coherentes
con ellos. Estas metas deben:
a) tener un nivel de detalle apropiado;
b) ser especficas, medibles, alcanzables, pertinentes y
basadas en el tiempo (cuando seaaplicable);
c) Comunicarse a todos los empleados y terceros
pertinentes, incluyendo contratistas, con la intencin de que
estas personas estn conscientes de sus obligaciones
individuales;
d) Revisarse peridicamente para asegurar que se
mantengan pertinentes y coherentes con la poltica y
objetivos de gestin de la seguridad. Donde sea necesario, las
metas de gestin de seguridad deben ser ajustadas
consecuentemente.

4.3.5 Programas de Gestin de la Seguridad La

organizacin debe establecer, mantener e implementar
programas de gestin de la seguridad para lograr sus
objetivos y metas. Estos programas deben optimizarse y luego
priorizarse, y la organizacin debe prever el uso de los costos
de manera eficiente y eficaz para la implementacin de estos
programas. Esto debe incluir documentacin que describa:

a) La responsabilidad y autoridad designada para

lograr los objetivos y metas de la gestin de la
seguridad;
b) Los medios y la escala en el tiempo mediante los
cuales las metas y objetivos sern logrados. Los
programas de gestin de la seguridad deben revisarse
peridicamente para asegurar que se mantienen
efectivos y coherentes con los objetivos y metas. Los
programas deben ser ajustados cuando sea necesario.

4.4 Implementacin y Operacin

4.4.1 Estructura, Autoridad y responsabilidades para la
gestin de la seguridad La organizacin debe establecer y
mantener una estructura organizacional de funciones,
responsabilidades y autoridades, coherente con el logro de su
poltica de gestin de seguridad, objetivos, metas y
programas. Estas funciones, responsabilidades y autoridades
se deben definir, documentar y comunicar a los individuos
responsables por la implementacin y mantenimiento.
La Alta Direccin debe proporcionar evidencia de su
compromiso con el desarrollo e implementacin de los
procesos del sistema de gestin de la seguridad y mejorar
continuamente su eficacia, mediante las siguientes acciones:
a) Nombrar un miembro de la Alta Direccin quien,
independientemente de sus otras responsabilidades,
debe ser responsable por el diseo, mantenimiento,
documentacin y mejora generales del sistema de
gestin de la seguridad de la organizacin.
b) Nombrar un miembro (o varios) de la direccin,
con la autoridad necesaria para asegurar que los
objetivos y metas sean implementados.

c) Identificar y hacer seguimiento a los requisitos y

expectativas de las partes interesadas de la organizacin
y tomar acciones apropiadas y oportunas para manejar
estas expectativas;
d)
Asegurar
adecuados.

la

disponibilidad

de

recursos

e) Considerar el impacto adverso que la poltica,

objetivos, metas, programas de gestin de seguridad,
etc. puedan tener sobre otros aspectos de la
organizacin;
f) Asegurar que otros programas de seguridad
generados por otras partes de la organizacin
complementen el sistema de gestin de la seguridad;
g) Comunicar a la organizacin la importancia de
cumplir con los requisitos de gestin dela seguridad para
cumplir con su poltica;
h) Asegurar que las amenazas y riesgos
relacionados con la seguridad sean evaluados y se
incluyan en las valoraciones de amenazas y riesgos de la
organizacin de forma apropiada;
i) Asegurar la viabilidad de los objetivos, metas y
programas de gestin de la seguridad.

4.4.2 Competencia, Formacin y Toma de Conciencia La

organizacin debe asegurar que el personal responsable por
el diseo, operacin y gestin de los equipos de seguridad y
procesos est calificado de manera adecuada en trminos de
educacin, formacin y/o experiencia. La organizacin debe
establecer y mantener procedimientos para que las personas
que trabajan para ella o en su nombre sean conscientes de:

a) La importancia del cumplimiento de la poltica y

procedimientos de gestin de la seguridad, y los
requisitos del sistema de gestin de la seguridad;
b) Sus funciones y responsabilidades en el logro de
la conformidad con la poltica y procedimientos de
gestin de la seguridad y con los requisitos del sistema
de gestin dela seguridad, incluyendo los requisitos de
preparacin y de respuesta ante emergencias;
c) Las consecuencias potenciales que tiene para la
seguridad de la organizacin desviarse de los
procedimientos de operacin especificados. Se deben
mantener registros de competencia y formacin.
4.4.3 Comunicacin La organizacin debe tener
procedimientos para asegurar que la informacin pertinente
de gestin de la seguridad se comunica hacia y desde los
empleados
pertinentes,
contratistas
y
otras
partes
interesadas.
Debido a la naturaleza confidencial de cierta informacin
relacionada con la seguridad, se debera considerar
adecuadamente la sensibilidad de la informacin antes de
sudivulgacin.
4.4.4 Documentacin La organizacin debe establecer y
mantener un sistema de documentacin de gestin dela
seguridad que incluya, pero sin limitarse, a lo siguiente:
a) la poltica, objetivos y metas de seguridad,
b) la descripcin del alcance del sistema de gestin
de la seguridad,
c) la descripcin de los elementos principales del
sistema de gestin de la seguridad y su interaccin, y
referencia a documentos relacionados,

d) los documentos, incluyendo registros, requeridos

por esta norma internacional, y
e)
los
documentos,
incluyendo
registros,
determinados por la organizacin como necesarios para
asegurar la planeacin operacin y control eficaces de
los procesos que se relacionan a sus amenazas y riesgos
de seguridad significativos La organizacin debe
determinar la confidencialidad de la informacin de
seguridad y tomar las medidas para evitar el acceso no
autorizado a ella.

4.4.5 Control de documentos y datos La organizacin

debe establecer y mantener procedimientos para controlar
todos los documentos, datos e informacin requerida por la
clusula 4 de esta norma internacional para asegurar que:
a) slo individuos autorizados puedan localizar y
tener acceso a estos documentos, datos e informacin;
b) personal autorizado revise peridicamente estos
documentos, datos e informacin, los actualice segn
sea necesario y apruebe su conveniencia;
c) estn disponibles versiones actuales de
documentos, datos e informacin pertinentes en todas
las locaciones donde se realicen operaciones esenciales
para el funcionamiento efectivo del sistema de gestin
de la seguridad;
d) los documentos, datos e informacin obsoletos
retenidos por propsitos de preservacin legal de
conocimiento son identificados, adems que se asegure
que no se haga uso indeseado de ellos;

e) Se identifiquen adecuadamente los documentos

de archivo, datos e informacin que se conservan con
propsitos legales o de preservacin de conocimiento;
f) estos documentos, datos e informacin sean
seguros y si son archivados de forma electrnica, deben
tener copia de seguridad y se pueden ser recuperados.

4.4.6 Control Operacional La organizacin debe

identificar aquellas operaciones y actividades que son
necesarias para lograr lo siguiente:
a) su poltica de gestin de la seguridad;
b) el control de las actividades y la mitigacin de
amenazas identificadas como de alto riesgo (riesgo
significativo);
c) el cumplimiento con requisitos legales,
estatutarios y otros requisitos de reglamentacin de
seguridad;
d) sus objetivos de gestin de la seguridad;
e) la ejecucin de sus programas de gestin de la
seguridad;
f) el nivel requerido de seguridad de la cadena de
suministro; La organizacin debe asegurar de que estas
operaciones y actividades se lleven a cabo bajo
condiciones especificadas al: a) establecer, implementar
y mantener procedimientos documentados para controlar
situaciones donde su ausencia podra llevar a no lograr
las operaciones y actividades listadas en 4.4.6 a) a f); b)
evaluar cualquier amenaza que surja de las actividades
Aguas arriba de la cadena de suministro y aplicar
controles para mitigar estos impactos en la organizacin

y otros operadores de la cadena de suministro Aguas

abajo; c) establecer y mantener los requisitos para
bienes y servicios que tengan impacto sobre la seguridad
y comunicarlas a proveedores y contratistas; Estos
procedimientos deben incluir controles para el diseo,
instalacin, operacin, renovacin y modificacin de
elementos
de
equipos,
instrumentacin,
etc.
Relacionados con la seguridad, segn resulte apropiado.
Cuando se actualicen las disposiciones existentes, o se
introduzcan nuevas que puedan causar impacto en las
operaciones y actividades de gestin de la seguridad, la
organizacin debe considerar las amenazas y riesgos de
la seguridad asociados antes de su implementacin. Las
disposiciones nuevas o actualizadas que se vayan a
considerar deben incluir: a) la estructura organizacional,
funciones responsabilidades revisadas y actualizadas;
b) la poltica, metas, objetivos y programas de gestin de
seguridad revisados y actualizados; c) los procedimientos
y procesos revisados y actualizados; d) la introduccin de
nueva infraestructura, equipos tecnologa de
seguridad, que puedan incluir hardware y/ software; e)
la introduccin de nuevos contratistas, proveedores
personal, segn sea apropiado.

4.4.7 Preparacin y respuesta ante emergencias y

recuperacin de la seguridad La organizacin debe establecer,
implementar y mantener planes y procedimientos apropiados
para identificar el potencial y las respuestas ante incidentes
de seguridad y situaciones de emergencia, y para prevenir y
mitigar las consecuencias probables que puedan estar
asociadas con las mismas. Los planes y procedimientos deben
incluir informacin acerca de la disposicin y mantenimiento
de cualquier equipo, servicios e instalaciones identificados

que puedan necesitarse durante despus de situaciones de

emergencia incidentes.
La organizacin debe revisar peridicamente la eficacia de
sus planes y procedimientos de preparacin y respuesta ante
emergencias y recuperacin de la seguridad, particularmente
despus de la ocurrencia de incidentes situaciones de
emergencia causadas por infracciones y amenazas a la
seguridad.
La
organizacin
debe
poner
aprueba
peridicamente estos procedimientos, cuando sea aplicable.

4.5 Verificacin y accin correctiva

4.5.1 Medicin y monitoreo del desempeo de la
seguridad La organizacin debe establecer y mantener
procedimientos para hacer seguimiento y medir el desempeo
de su sistema de gestin de la seguridad. Adems, debe
establecer y mantener procedimientos para el seguimiento y
medicin del desempeo de la seguridad. La organizacin
debe considerar las amenazas y riesgos asociadas con la
seguridad, incluyendo mecanismos de deterioro potencial y
sus consecuencias, cuando se establece la frecuencia para
hacer el seguimiento y medicin de los parmetros de
desempeo claves. Estos procedimientos deben proporcionar:
a) tanto medidas cuantitativas como cualitativas,
apropiadas para las necesidades de la organizacin;
b) seguimiento del grado en que se cumplen los
objetivos, metas y polticas de gestin dela seguridad;
c) medidas proactivas de desempeo que
monitorean la conformidad con los programas de gestin
de la seguridad, los criterios de control operacionales y la
legislacin aplicable, los requisitos estatutarios otros
requisitos de reglamentacin sobre seguridad;

d) medidas reactivas de desempeo para hacer el

seguimiento de deterioros, prdidas, fallas, incidentes,
no
conformidades
relacionados
con
seguridad
(incluyendo casi fallas y falsas alarmas) y otra evidencia
histrica de desempeo deficiente del sistema de gestin
de la seguridad;
e) Registro de datos y resultados de seguimiento y
medicin suficientes para facilitar el anlisis de las
acciones preventivas y correctivas posteriores. Si se
requiere equipo de seguimiento para el desempeo y la
medicin o seguimiento, la organizacin debe exigir que
se establezcan y mantengan procedimientos para la
calibracin y mantenimiento de dicho equipo. Se deben
conservar registros de las actividades de calibracin y
mantenimiento, y sus resultados sern retenidos por el
tiempo suficiente para cumplir con la legislacin y
poltica de la organizacin.
4.5.2 Evaluacin del sistema La organizacin debe
evaluar los planes, procedimientos y capacidades de gestin
de la seguridad por medio de revisiones peridicas, ensayos,
reportes despus de incidentes, lecciones aprendidas,
evaluaciones de desempeo y ejercicios. Los cambios
significativos en estos factores deben ser reflejados
inmediatamente en el procedimiento(s).
La organizacin debe evaluar peridicamente la conformidad
con la legislacin y las reglamentaciones pertinentes, las
mejores prcticas de la industria y la conformidad con su
propia poltica y objetivos. La organizacin debe mantener
registros de los resultados de las evaluacionesperidicas.

4.5.3 Fallas relacionadas con seguridad, incidentes, no

conformidades y acciones correctivas y preventivas La

organizacin debe establecer, implementar y mantener

procedimientos para definir la responsabilidad y autoridad
para:
a) evaluar e iniciar acciones preventivas para
identificar fallas potenciales de seguridad y poder evitar
que ocurran;
b) la investigacin de los siguientes aspectos
relacionados con seguridad: 1) fallas incluyendo casi
fallas y falsa alarma;2) incidentes y situaciones de
emergencia;3) no conformidades;
c)
tomar
accin
para
mitigar
todas
consecuencias de dichas fallas, incidentes o
conformidades;

las
no

d) el inicio y fin de acciones correctivas;

e) la confirmacin de la eficacia de las acciones
correctivas tomadas. Estos procedimientos deben exigir
que todas las acciones correctivas y preventivas
propuestas sean revisadas a travs del proceso de
valoracin de amenaza y riesgo de seguridad antes de la
implementacin,
con
excepcin
de
que
la
implementacin
inmediata
impida
la
exposicin
inminente de la vida seguridad pblica. Cualquier
accin correctiva preventiva tomada para eliminar las
causas de no conformidades actuales y potenciales debe
ser apropiada para la magnitud de los problemas y
proporcional con las posibles amenazas y riesgos del
gestin de seguridad. La organizacin debe implementar
y registrar todos los cambios en los procedimientos
documentados que sean el resultado de una accin
correctiva y preventiva e incluir el entrenamiento
requerido donde sea necesario.

4.5.4 Control de Registros La organizacin debe

establecer y mantener los registros necesarios para demostrar
conformidad con los requisitos de su sistema de gestin de la
seguridad y de esta norma, y de sus logros. La organizacin
debe establecer, implementar y mantener procedimientos
para la identificacin, almacenamiento, proteccin, retencin,
recuperacin y disposicin de registros. Los registros deben
ser legibles, identificables y trazables. La documentacin
electrnica y digital debe tener copia de seguridad y con
acceso slo de personal autorizado.

4.5.5 Auditoria La organizacin debe establecer,

implementar y mantener un programa de auditora de gestin
de la seguridad y debe asegurar que las auditorias del
sistema de gestin de la seguridad se lleven a cabo en
intervalos planeados, para:
a) determinar si el sistema de gestin de la
seguridad:1) cumple con las disposiciones planificadas
para la gestin de la seguridad, incluyendo los requisitos
de toda la clusula 4 de esta norma;2) ha sido
implementado y mantenido adecuadamente;3) es eficaz
para cumplir la poltica y objetivos de gestin de la
seguridad de la organizacin;
b) revisar los resultados de auditoras previas y las
acciones tomadas para rectificar no conformidades;
c) proporcionar informacin a la Direccin sobre
resultados de auditorias
d) verificar el despliegue apropiado de los equipos y
el personal de seguridad El programa de auditora,
incluyendo cualquier cronograma, debe estar basado en

los resultados de la valoracin de amenazas y riesgos de

las actividades de la organizacin y de los resultados de
auditoras previas. Los procedimientos de auditoras
deben incluir el enfoque, frecuencia, metodologas y
competencias, y tambin las responsabilidades y
requisitos para conducir auditorias y reportar resultados.
Cuando sea posible, las auditorias se deben llevar a cabo
por personal independiente de aquellos con directa
responsabilidad de la actividad que est siendo
examinada.

4.6 Revisin por la direccin y mejora continua La Alta

Direccin debe revisar el sistema de gestin de la seguridad
de la organizacin, a intervalos planeados, para asegurar su
adecuacin, conveniencia y eficacia continuas. Las revisiones
deben incluir oportunidades de mejora y la necesidad de
cambios en el sistema de gestin de la seguridad, incluyendo
poltica de seguridad y objetivos, amenazas y riesgos de
seguridad. Se deben mantener registros de las revisiones por
la direccin. La Informacin de entrada de las revisiones por la
direccin, deben incluir:
a) resultados de las auditorias y evaluaciones de
conformidad con requisitos legales y con otros requisitos
a los que se suscribe la organizacin;
b)
comunicaciones
incluyendo quejas;

de

partes

interesadas,

c) el desempeo de seguridad de la organizacin;

d) el grado de cumplimiento de los objetivos y
metas,
e) estado de acciones correctivas y preventivas,

f) acciones de seguimiento de revisiones por la

direccin anteriores,
g)
circunstancias
cambiantes,
incluyendo
desarrollos en requisitos legales y otros relacionados con
sus aspectos de seguridad y
h) recomendaciones de mejora.

Las conclusiones de las revisiones de gestin deben incluir

todas las decisiones y acciones relacionadas con posibles
cambios de la poltica de seguridad, objetivos, metas y otros
elementos del sistema de gestin de la seguridad, coherente
con el compromiso con la mejora continua.