ICS 47.020.99
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
ii
Pendahuluan ........................
iii
11
14
15
Bibliografi ..........................
18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Daftar isi
Standar Nasional Indonesia (SNI), Spesifikasi sistem manajemen pada rantai pasokan
disusun dengan mengadopsi secara identik dengan metode terjemahan dari ISO
28000:2007, Specification for security management systems for the supply chain.
Beberapa istilah International Standard telah diganti dengan Standard dan diterjemahkan
menjadi standar.
SNI ini disusun sesuai dengan ketentuan yang diberikan dalam Pedoman Standardisasi
Nasional (PSN) 03.1:2007, Adopsi Standar Internasional dan Publikasi Internasional lainnya
Bagian 1: Adopsi Standar Internasional menjadi SNI (ISO/IEC Guide 21-1:2005, Regional or
national adoption of International Standards and other International Deliverables Part 1:
Adoption of International Standards, MOD), serta PSN 08:2007, Penulisan SNI
Standar ini disusun oleh Panitia Teknis 03-02 Sistem Manajemen Mutu, dan telah dibahas
dalam rapat konsensus pada tanggal 27 Februari 2009 di Jakarta yang dihadiri oleh pihakpihak yang berkepentingan (stakeholder).
Beberapa dokumen ISO yang diacu dalam Standar ini telah diadopsi menjadi SNI, yaitu:
1. ISO 9001:2000, Quality management systems Reqiurements telah diadopsi
menjadi SNI 19-9001-2001 Sistem manajemen mutu Persyaratan. ISO 9001:2000
telah direvisi menjadi ISO 9001:2008. Dan ISO 9001:2008 telah diadopsi menjadi SNI
ISO 9001:2008.
2. ISO 14001:2004, Environmental management systems Requirements with
guidance for use diadopsi menjadi SNI 19-14001-2005 Sistem manajemen
lingkungan Persyaratan dan panduan penggunaan.
3. ISO 19011:2002, Guidelines for quality and/or environmental management systems
auditing telah diadopsi menjadi SNI 19-19011-2005 Panduan audit sistem
manajemen mutu dan/atau lingkungan
Bagi yang berkepentingan, jika dikemudian hari mengalami kesulitan dalam penggunaan dan
atau terjadi perbedaan dalam memahami Standar ini, dianjurkan untuk merujuk ke ISO
28000:2007.
ii
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Prakata
Standar ini dikembangkan untuk merespon tuntutan dari kalangan industri atas
dibutuhkannya sebuah standar manajemen keamanan. Sasaran akhirnya adalah untuk
meningkatkan keamanan pada rantai pasokan. Standar merupakan standar manajemen
tingkat tinggi yang akan memudahkan organisasi menetapkan seluruh sistem manajemen
keamanan pada rantai pasokan. Sistem tersebut mewajibkan organisasi untuk menilai
kondisi lingkungan keamanan di tempat operasinya dan untuk menentukan apakah tindakantindakan pengamanan diberlakukan secara memadai dan jika persyaratan regulasi lain telah
ada yang mengikat organisasi. Jika kebutuhan pengamanan diidentifikasi oleh proses ini,
organisasi seharusnya menerapkan mekanisme dan proses untuk memenuhi kebutuhan
tersebut. Oleh karena rantai pasokan sifatnya dinamis, beberapa organisasi yang menangani
berbagai rantai pasokan mungkin perlu menghubungi penyedia jasa masing-masing agar
memenuhi pula standar pemerintah atau ISO mengenai pengamanan rantai pasokan
sebagai prasyarat bisa dimasukkan dalam rantai pasokan dengan sasaran
menyederhanakan manajemen keamanan sebagaimana diilustrasikan di bawah ini.
ISO 28000 :
Sistem manajemen
keamanan pada
rantai pasokan
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Pendahuluan
Standar ini didasarkan pada format ISO yang diadopsi dari ISO 14001:2004 karena
pendekatan risiko dalam sistem manajemen. Namun demikian, organisasi yang telah
mengadopsi pendekatan proses dalam sistem manajemennya (misalnya SNI ISO 9001) bisa
memakai sistem manajemen yang mereka miliki sebagai dasar untuk sebuah sistem
manajemen keamanan sebagaimana yang ditetapkan dalam Standar ini. Standar ini dibuat
bukan dengan maksud menambah peraturan dan standar-standar pemerintah yang
berkaitan dengan manajemen keamanan rantai pasokan dimana organisasi telah disertifikasi
atau diverifikasi ketaatannya. Verifikasi dapat dilakukan oleh organisasi pihak pertama,
kedua atau ketiga yang diakui.
Standar ini dibuat berdasarkan metodologi yang dikenal dengan sebutan PDCA
(Plan-Do-Check-Act). PDCA bisa digambarkan sebagai berikut:
CATATAN
iv
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Ketaatan terhadap Standar ini tidak otomatis membebaskan pihak-pihak terkait dari
kewajiban-kewajiban hukum. Bagi organisasi yang akan, memenuhi sistem manajemen
keamanan sesuai dengan Standar ini dapat diverifikasi oleh proses audit eksternal maupun
internal
1 Ruang lingkup
Standar ini menjelaskan mengenai persyaratan untuk sistem manajemen keamanan,
termasuk aspek-aspek kritis terhadap pemastian kemanan pada rantai pasokan. Manajemen
keamanan banyak terkait dengan aspek lainnya dalam manajemen bisnis. Aspek-aspek
tersebut mencakup semua kegiatan yang dikendalikan atau dipengaruhi oleh organisasi
yang berdampak pada keamanan rantai pasokan. Aspek-aspek lain tersebut harus
dipertimbangkan secara langsung, di mana dan kapan aspek-aspek tersebut memiliki
dampak pada manajemen keamanan, termasuk saat memindahkan barang-barang tersebut
di sepanjang rantai pasokan.
Standar ini dapat diterapkan pada semua ukuran organisasi, mulai dari organisasi kecil
hingga organisasi multinasional, dalam manufaktur, jasa, penyimpanan atau transportasi
pada setiap tahapan produksi atau rantai pasokan yang berkeinginan untuk :
a) menetapkan, melaksanakan, memelihara dan meningkatkan sistem manajemen
keamanan;
b) memastikan kesesuaian dengan kebijakan manajemen keamanan yang ditetapkan;
c) memperagakan kesesuaian tersebut bagi pihak lain;
d) mengupayakan sertifikasi/registrasi sistem manajemen keamanannya dari Lembaga
Sertifikasi pihak ketiga yang terakreditasi; atau
e) membuat penetapan-diri dan pernyataan-diri kesesuaian dengan Standar ini.
Terdapat peraturan perundangan undangan dan regulasi yang mengarahkan beberapa
persyaratan dalam Standar ini.
Standar ini tidak dimaksudkan untuk menduplikasi peragaan terhadap kesesuaian.
Organisasi yang memilih sertifikasi pihak ketiga dapat memperagakan lebih lanjut bahwa
mereka berkontribusi secara signifikan terhadap keamanan rantai pasokan.
2 Acuan Normatif
Tidak ada acuan normatif yang dikutip di sini. Klausul ini disertakan dengan maksud untuk
menyamakan penomoran dengan standar sistem manajemen lainnya.
3 Istilah dan Definisi
Untuk sasaran dokumen ini, maka istilah dan definisi berikut ini berlaku.
3.1
fasilitas
pabrik, mesin, properti, bangunan, kendaraan, kapal, fasilitas pelabuhan dan bagian dari
infrastruktur atau pabrik lainnya dan sistem terkait yang memiliki fungsi atau jasa bisnis
yang berbeda dan dapat diukur.
1 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
3.2
keamanan
ketahanan terhadap tindakan yang disengaja dan ilegal yang dimaksudkan untuk merugikan
atau merusak rantai pasokan
3.3
manajemen keamanan
aktivitas dan praktek yang sistematis dan terkoordinasi yang bisa membantu organisasi
mengelola resiko-resiko yang dihadapinya secara optimal termasuk ancaman potensial dan
dampak yang timbul darinya
3.4
sasaran manajemen keamanan
hasil spesifik atau pencapaian keamanan yang disyaratkan untuk memenuhi kebijakan
manajemen keamanan
CATATAN
Penting diingat bahwa hasil-hasil tersebut ada kaitannya baik langsung atau tidak
langsung dengan upaya penyediaan produk, pasokan atau layanan yang disampaikan oleh bisnis
secara menyeluruh kepada pelanggannya atau pemakai akhir
3.5
kebijakan manajemen keamanan
seluruh maksud dan arah sebuah organisasi, berkaitan dengan keamanan dan kerangka
kerja pengendalian proses dan aktifitas yang terkait dengan keamanan yang berasal dari
dan konsisten dengan kebijakan organisasi dan persyaratan regulasi
3.6
program manajemen keamanan
cara untuk mencapai sasaran manajemen keamanan
3.7
target manajemen keamanan
tingkat kinerja spesifik yang disyaratkan untuk mencapai sasaran manajemen keamanan
3.8
pemangku kepentingan (stakeholder)
orang atau entitas yang memiliki kepentingan pada kinerja organisasi, keberhasilan atau
dampak dari kegiatan organisasi
CATATAN Contoh meliputi pelanggan, pemegang saham, penyedia finansial, penjamin, regulator,
lembaga perundangan, pegawai, kontraktor, pemasok, organisasi pekerja atau masyarakat
3.9
rantai pasokan
2 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
CATATAN Definisi ini mencakup kode piranti lunak yang kritis untuk sasaran keamanan dan
penerapan manajemen keamanan.
CATATAN
Rantai pasokan bisa mencakup vendor, fasilitas manufaktur, penyedia logistik, pusatpusat distribusi internal, distributor, agen retail, dan badan-badan lain yang terhubung dengan
pengguna akhir.
3.9.1
bagian hilir (downstream)
mengacu pada tindakan, proses dan pergerakan kargo dalam rantai pasokan yang
berlangsung setelah kargo lepas dari pengendalian operasional organisasi secara langsung,
termasuk tetapi tidak terbatas hanya pada, asuransi, pembiayaan, manajemen data dan
pengepakan, penyimpanan dan pemindahan kargo
3.9.2
bagian hulu (upstream)
mengacu pada tindakan, proses dan pergerakan kargo dalam rantai pasokan yang
berlangsung sebelum kargo masuk berada di bawah pengendalian operasional organisasi
secara langsung, termasuk, tetapi tidak terbatas hanya pada, asuransi, pembiayaan,
manajemen data dan pengepakan, penyimpanan dan pemindahan kargo
3.10
manajemen puncak
orang atau kelompok orang yang mengarahkan dan mengendalikan sebuah organisasi pada
tingkat tertinggi
CATATAN
Manajemen puncak, terutama dalam organisasi multinasional yang besar, mungkin
tidak terlibat secara personal sebagaimana yang diuraikan dalam Standar ini; namun demikian
akuntabilitas manajemen puncak pada seluruh rantai komando (kewenangan) harus tertulis.
3.11
peningkatan berkesinambungan
proses berulang-ulang yang dilakukan untuk meningkatkan sistem manajemen keamanan
untuk mencapai peningkatan kinerja keamanan secara menyeluruh yang konsisten dengan
kebijakan keamanan organisasi
3 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
berbagai sumber daya dan proses terkait yang dimulai dengan pencarian bahan baku dan
berlanjut sampai dengan proses penyampaian produk atau jasa kepada pengguna akhir
dengan menggunakan berbagai jenis pengangkutan
PENINGKATAN
BERKESINAMBUNGAN
Tinjauan manajemen
dan peningkatan
berkesinambungan
Kebijakan
manajemen
keamanan
Perencanaan keamanan
Penilaian resiko
Persyaratan perundangan
Sasaran dan target keamanan
Program manajemen
keamanan
4 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
4.3
4.3.1
Organisasi harus menetapkan dan memelihara prosedur untuk melakukan identifikasi dan
penilaian terhadap ancaman keamanan secara terus menerus dan ancaman serta resiko
yang berkaitan dengan manajemen keamanan, dan identifikasi serta pelaksanaan tindakan
pengendalian manajemen yang diperlukan. Identifikasi ancaman dan resiko keamanan,
metode penilaian dan pengendaliannya sebaiknya, secara minimal, sesuai dengan sifat dan
skala operasional. Penilaian ini harus mempertimbangkan kemungkinan timbulnya suatu
kejadian dan seluruh akibat-akibatnya yang harus dicakup :
a) ancaman dan resiko kegagalan fisik, seperti kegagalan fungsional, kerusakan insidental,
kerusakan parah atau ancaman teroris atau tindakan kriminal;
b) ancaman dan resiko operasional, termasuk pengendalian keamanan, faktor manusia dan
aktivitas lainnya yang mempengaruhi kinerja, kondisi atau keselamatan organisasi;
5 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Organisasi harus memastikan bahwa hasil penilaian ini dan dampak pengendalian ini
dipertimbangkan dan, bila dianggap memadai, memberikan input terhadap :
a)
b)
c)
d)
e)
f)
g)
6 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
c) kejadian alam (badai, banjir, dsb.) yang mungkin menyebabkan tidak efektifnya peralatan
dan tindakan pengamanan;
d) faktor di luar pengendalian organisasi, seperti gagalnya peralatan dan jasa yang dipasok
dari luar;
e) ancaman dan resiko terhadap pemangku kepentingan seperti kegagalan untuk
memenuhi persyaratan perundangan atau rusaknya reputasi atau merk dagang;
f) desain atau instalasi peralatan keamanan termasuk penggantian, pemeliharaan, dsb;
g) manajemen informasi dan data serta komunikasi;
h) ancaman terhadap kelangsungan operasional.
7 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
4.3.3
a) tanggung jawab dan wewenang yang telah ditetapkan untuk mencapai sasaran dan
target manajemen keamanan;
b) cara dan skala waktu kapan sasaran dan target manajemen keamanan harus tercapai.
Program manajemen keamanan harus ditinjau secara berkala untuk memastikan bahwa
program tersebut tetap efektif dan konsisten dengan sasaran dan target. Bila dianggap perlu,
program harus diubah sesuai kondisi yang ada.
4.4
4.4.1
Organisasi harus menetapkan dan memelihara struktur organisasi dari peran, tanggung
jawab dan wewenang, konsisten dengan pencapaian kebijakan, sasaran, target dan program
manajemen keamanan.
Peran, tanggung jawab dan wewenang tersebut harus ditetapkan, didokumentasikan dan
dikomunikasikan kepada individu yang bertanggungjawab terhadap penerapan dan
pemeliharaannya.
Manajemen puncak harus memberikan bukti komitmennya terhadap pengembangan dan
penerapan sistem manajemen keamanan dan meningkatkan efektifitasnya secara
berkesinambungan dengan cara :
a) menunjuk seorang anggota manajemen puncak yang, diluar tanggung jawab lainnya,
harus bertanggung jawab atas seluruh desain, pemeliharaan, dokumentasi, dan
peningkatan sistem manajemen keamanan organisasi;
b) menunjuk seorang atau lebih dari manajemen dengan wewenang yang diperlukan untuk
memastikan bahwa sasaran dan target tersebut diterapkan;
c) mengidentifikasi dan memantau persyaratan dan harapan pemangku kepentingan
organisasi dan mengambil tindakan yang diperlukan serta tepat waktu untuk mengelola
harapan tersebut;
d) memastikan ketersediaan sumber daya secara memadai;
e) mempertimbangkan dampak yang merugikan yang mungkin ditimbulkan oleh kebijakan
manajemen keamanan, sasaran, target, program dan lain-lain terhadap aspek lain dalam
organisasi
f) memastikan setiap program keamanan yang bersumber dari bagian lain dalam
organisasi yang melengkapi sistem manajemen keamanan;
g) mengkomunikasikan kepada organisasi mengenai pentingnya memenuhi persyaratan
manajemen keamanan agar sesuai dengan kebijakannya;
h) memastikan bahwa ancaman dan resiko terkait keamanan dievaluasi dan dicakup di
dalam penilaian ancaman dan resiko organisasi, sebagaimana mestinya;
i) memastikan kelayakan dari sasaran, target dan program manajemen keamanan.
8 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Organisasi harus memastikan bahwa personel yang bertangungjawab atas desain, operasi
dan manajemen keamanan peralatan dan proses dikualifikasi secara memadai dalam segi
pendidikan, pelatihan dan/atau pengalaman. Organisasi harus menetapkan dan memelihara
prosedur untuk membuat personel atau pihak yang bekerja untuk organisasi, peduli atas halhal berikut :
a) pentingnya kesesuaian terhadap kebijakan dan prosedur manajemen keamanan dan
persyaratan sistem manajemen keamanan;
b) peran dan tanggung jawab mereka dalam mencapai kesesuaian dengan kebijakan dan
prosedur manajemen keamanan dan dengan persyaratan sistem manajemen keamanan,
termasuk persyaratan kesiapan dan tanggap darurat;
c) akibat potensial terhadap keamanan organisasi apabila keluar dari prosedur operasional
yang telah ditetapkan.
Rekaman kompetensi dan pelatihan harus disimpan.
4.4.3
Komunikasi
Dokumentasi
9 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
4.4.2
a) dokumen, data dan informasi tersebut dapat ditempatkan dan diakses hanya oleh
individu yang berwenang;
b) dokumen, data dan informasi tersebut ditinjau secara berkala, direvisi sesuai keperluan
dan disahkan kecukupannya oleh personel yang berwenang;
c) versi terkini dari dokumen, data dan informasi yang relevan tersedia di seluruh lokasi
operasi yang penting untuk pelaksanaan sistem manajemen keamanan secara efektif;
d) dokumen, data dan informasi yang tidak berlaku segera disingkirkan dari semua tempat
penerbitan dan tempat pengunaannya, atau dijamin dari penggunaan yang tidak
semestinya;
e) dokumen, data dan informasi arsip yang disimpan untuk keperluan hukum atau
pengetahuan atau keduanya harus diidentifikasi dengan sesuai;
f) dokumen, data dan informasi tersebut diamankan, dan apabila dalam bentuk elektronik
dibuatkan cadangan dan dapat dipulihkan (back up).
4.4.6
Pengendalian operasional
Organisasi harus mengidentifikasi operasi dan aktifitas yang dibutuhkan untuk mencapai :
a) kebijakan manajemen keamanannya;
b) pengendalian aktifitas dan mitigasi terhadap ancaman yang teridentifikasi mempunyai
resiko yang signifikan;
c) ketaatan terhadap ketentuan hukum, perundangan dan peraturan keamanan lainnya;
d) sasaran manajemen keamanan;
e) pelaksanaan program manajemen keamanan;
f) tingkat keamanan rantai pasokan yang disyaratkan.
Organisasi harus memastikan bahwa operasi dan aktivitas dilaksanakan di bawah kondisi
tertentu melalui :
a) penetapan, penerapan dan pemeliharaan prosedur terdokumentasi untuk mengendalikan
situasi bila prosedur tersebut tidak ada, dapat menyebabkan kegagalan tidak tercapainya
operasi dan aktifitas sebagaimana diuraikan pada 4.4.6 a) sampai f) di atas;
b) evaluasi ancaman apapun yang timbul dari aktivitas rantai pasokan hulu dan melakukan
pengendalian untuk memitigasi dampak tersebut pada organisasi dan operator rantai
pasokan hilir lainnya;
c) penetapan dan pemeliharaan persyaratan barang dan jasa yang berdampak pada
keamanan dan mengomunikasikannya kepada pemasok dan kontraktor.
Prosedur ini harus mencakup pengendalian atas desain, instalasi, operasi, refurbishment
dan modifikasi peralatan, instrumentasi, dsb yang terkait dengan keamanan, bila memadai.
Apabila pengaturan yang ada direvisi atau ada pengaturan baru, yang dapat berdampak
pada operasi dan aktifitas manajemen keamanan, organisasi harus mempertimbangkan
10 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
a)
b)
c)
d)
Organisasi harus menetapkan, menerapkan dan memelihara rencana dan prosedur yang
memadai untuk mengidentifikasi potensi untuk, dan tanggap terhadap, insiden keamanan
dan situasi darurat, dan untuk mencegah serta memitigasi kemungkinan akibat yang terkait.
Rencana dan prosedur tersebut harus mencakup informasi mengenai penyediaan dan
pemeliharaan peralatan, fasilitas atau jasa yang teridentifikasi dibutuhkan selama atau
setelah insiden atau situasi darurat.
Organisasi harus meninjau secara berkala efektifitas kesiapan darurat, tanggap darurat dan
rencana serta prosedur pemulihan keamanan, terutama setelah terjadinya insiden atau
situasi darurat yang disebabkan oleh pelanggaran dan ancaman keamanan. Organisasi
harus menguji secara berkala prosedur tersebut bila dapat dipraktekkan.
4.5
4.5.1
Organisasi harus menetapkan dan memelihara prosedur untuk memantau dan mengukur
kinerja sistem manajemen keamanannya. Organisasi juga harus menetapkan dan
memelihara prosedur untuk memantau dan mengukur kinerja keamanan. Organisasi harus
mempertimbangkan ancaman dan resiko keamanan yang terkait, termasuk mekanisme
penurunan yang potensial dan akibatnya, saat menentukan frekuensi pengukuran dan
pemantauan parameter kinerja kunci. Prosedur tersebut harus meliputi :
a) pengukuran kualitatif dan kuantitatif sesuai dengan kebutuhan organisasi;
b) pemantauan sejauh mana kebijakan, sasaran dan target manajemen keamanan
organisasi dipenuhi;
c) ukuran kinerja yang proaktif yang memantau ketaatan terhadap program sistem
manajemen keamanan, kriteria pengendalian
operasi dan ketentuan peraturan
perundangan yang berlaku serta persyaratan lainnya;
d) ukuran kinerja yang reaktif untuk memantau penurunan, kegagalan, insiden,
ketidaksesuaian (termasuk kejadian nyaris celaka dan alarm yang keliru) di bidang
keamanan serta bukti historis lainnya tentang adanya kelemahan dalam kinerja sistem
manajemen keamanan;
e) perekaman data dan hasil pemantauan dan pengukuran yang cukup untuk memfasilitasi
analisis tindakan korektif dan pencegahan secara berurutan. Jika perangkat pemantauan
11 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
ancaman dan resiko keamanan yang terkait sebelum diterapkan. Pengaturan baru atau
direvisi yang dipertimbangkan harus mencakup:
4.5.2
Evaluasi sistem
12 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Pengendalian rekaman
Rekaman harus dan senantiasa dapat dibaca, dapat diidentifikasi dan tertelusur.
Dokumentasi elektronik dan digital seharusnya tidak mudah rusak, memiliki back up yang
aman dan hanya bisa diakses oleh personel yang berwenang.
4.5.5
Audit
4.6.
Manajemen puncak harus meninjau sistem manajemen keamanan organisasi, pada periode
waktu yang telah ditetapkan, untuk memastikan kesesuaian, kecukupan dan efektifitas.
13 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
4.5.4
a) hasil audit dan evaluasi mengenai ketaatan terhadap persyaratan hukum dan peraturan
lainnya yang mengikat organisasi;
b) komunikasi dari pihak eksternal terkait, termasuk keluhan;
c) kinerja organisasi menyangkut masalah keamanan;
d) sejauh mana sasaran dan target telah tercapai;
e) status tindakan korektif dan pencegahan;
f) tindak-lanjut dari tinjauan manajemen sebelumnya;
g) situasi yang berubah, termasuk perkembangan persyaratan hukum dan persyaratan
lainnya yang terkait aspek keamanan, dan
h) rekomendasi untuk peningkatan.
Keluaran dari tinjauan manajemen harus mencakup keputusan dan tindakan yang berkaitan
dengan perubahan yang mungkin terhadap kebijakan keamanan, sasaran, target dan
elemen lainnya dari sistem manajemen keamanan, konsisten dengan komitmen untuk
peningkatan berkesinambungan.
14 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Tinjauan harus mencakup penilaian terhadap peluang untuk perbaikan dan kebutuhan
perubahan terhadap sistem manajemen keamanan, termasuk kebijakan keamanan dan
sasaran keamanan serta ancaman dan resiko. Rekaman tinjauan manajemen harus
disimpan. Masukan terhadap tinjauan manajemen mencakup :
Korelasi antara SNI ISO 28000:2009, SNI 19-14001-2005 dan SNI 19-9001-2001
SNI ISO 28000:2009
Elemen sistem
4
manajemen
keamanan (hanya
judul)
Persyaratan umum 4.1
4.2
Kebijakan
manajemen
keamanan
SNI 19-14001-2005
Persyaratan sistem
4
manajemen
lingkungan (hanya
judul)
Persyaratan umum
4.1
Kebijakan
4.2
lingkungan
Penilaian resiko
keamanan dan
perencanaan
(hanya judul)
Penilaian resiko
keamanan
Perencanaan (hanya
judul)
Persyaratan
hukum, Peraturan
perundangan dan
persyaratan
keamanan lainnya
Sasaran
manajemen
keamanan
Target manajemen
keamanan
Program
manajemen
keamanan
Implementasi dan
operasional (hanya
judul)
Struktur, wewenang
dan tanggung
jawab untuk
manajemen
4.3
4.3.2 Persyaratan
peraturan
perundangundangan dan
lainnya
4.3.3 Tujuan, sasaran,
dan program
4.4
Penerapan dan
operasi (hanya
judul)
4.4.1 Sumber daya,
peran, tanggung
jawab dan
kewenangan
15 dari 18
4.3
SNI 19-9001-2001
Sistem manajemen
4
mutu (hanya judul)
Persyaratan umum
Komitmen manajemen
Kebijakan mutu
Perbaikan
berkesinambungan
Perencanaan (hanya
judul)
4.1
5.1
5.3
8.5.1
5.4
5.2
7.2.1
7.2.2
5.2
7.2.1
5.4.1
5.4.2
5.1
5.5.1
8.5.1
5.4.1
5.4.2
8.5.1
5.4.1
5.4.2
8.5.1
7
5.5.2
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Lampiran A
(informatif)
Kompetensi,
pelatihan dan
kepedulian
4.4.2 Kompetensi,
pelatihan dan
kesadaran
4.4.2
Komunikasi
4.4.3 Komunikasi
4.4.3
Dokumentasi
4.4.4 Dokumentasi
4.4.4
Pengendalian
dokumen dan data
Pengendalian
operasional
4.4.5 Pengendalian
dokumen
4.4.6 Pengendalian
operasional
4.4.5
Kesiapan darurat,
tanggap darurat
dan pemulihan
keamanan
Pengecekan dan
tindakan korektif
4.4.6
4.4.7
4.5
4.5
Pemeriksaan (hanya
judul)
16 dari 18
Penyediaan sumber
daya
Prasarana
(Sumber daya
manusia) Umum
Kompetensi,
kesadaran dan
pelatihan
Komunikasi internal
Komunikasi pelanggan
(Persyaratan
Dokumentasi) Umum
Pengendalian
dokumen
Perencanaan realisasi
produk
Penetapan persyaratan
yang berkaitan dengan
produk
Tinjauan persyaratan
yang berkaitan dengan
produk
Perencanaan desain
dan pengembangan
Masukan desain dan
pengembangan
Keluaran desain dan
pengembangan
Tinjauan desain dan
pengembangan
Verifikasi desain dan
pengembangan
Validasi desain dan
pengembangan
Pengendalian
perubahan desain dan
pengembangan
Proses pembelian
Informasi pembelian
Verifikasi produk yang
dibeli
Pengendalian
produksi dan
penyediaan jasa
Validasi proses
produksi dan
penyediaan jasa
Preservasi produk
Pengendalian produk
yang tidak sesuai
6.1
Pengukuran, analisis
dan perbaikan (hanya
6.3
6.2.1
6.2.2
5.5.3
7.2.3
4.2.1
4.2.3
7.1
7.2.1
7.2.2
7.3.1
7.3.2
7.3.3
7.3.4
7.3.5
7.3.6
7.3.7
7.4.1
7.4.2
7.4.3
7.5.1
7.5.2
7.5.5
8.3
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
keamanan
Evaluasi sistem
Kegagalan, insiden,
ketidaksesuaian
serta tindakan
korektif dan
pencegahan yang
terkait dengan
keamanan
Pengendalian
rekaman
Audit
Tinjauan
manajemen dan
peningkatan
berkesinambungan
4.5.3 Ketidaksesuaian,
tindakan perbaikan
dan tindakan
pencegahan
4.5.4 Pengendalian
rekaman
4.5.5 Audit internal
4.6
Tinjauan
manajemen
17 dari 18
judul)
4.5.1 Pengendalian sarana
pemantauan dan
pengukuran
Umum (pengukuran,
analisis dan perbaikan
Pemantauan dan
pengukuran proses
Pemantauan dan
pengukuran produk
Analisis data
4.5.2 Pemantauan dan
pengukuran proses
Pemantauan dan
pengukuran produk
4.5.3 Pengendalian produk
yang tidak sesuai
Analisis data
Tindakan korektif
Tindakan pencegahan
7.6
8.1
8.2.3
8.2.4
8.4
8.2.3
8.2.4
8.3
8.4
8.5.2
8.5.3
4.2.4
8.2.2
5.1
5.6
5.6.1
5.6.2
5.6.3
8.5.1
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
(hanya judul)
Pengukuran dan
pemantauan kinerja
keamanan
18 dari 18
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Bibliografi
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan
Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan