Sni Iso 28001 2009 PDF
Sni Iso 28001 2009 PDF
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Standar Nasional Indonesia
DAFTAR ISI
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Daftar isi ………………………………………………………….………….............. i
Kata sambutan ………………………………………………………….………….... iii
Pendahuluan ………………………………………………………….……………... iv
1 Ruang lingkup …………………………………………………….………….. 1
2 Acuan Normatif ………………………………………………………...…..... 1
3 Istilah dan definisi ……………………………………………….…………... 1
4 Bidang Penerapan …………………………………………………………... 6
4.1 Pernyataan Penerapan ………………………........................................ 6
4.2 Mitra Bisnis ………………………………………………………...…………. 6
4.3 Sertifikat atau kesepakatan yang diterima secara internasional ............ 6
4.4 Mitra Bisnis yang dikecualikan dari persyaratan deklarasi keamanan .... 6
4.5 Tinjauan keamanan mitra bisnis ………………….....……………............. 7
5 Proses keamanan rantai pasokan ……………………….………………… 7
5.1 Umum ……………………………………………………………………….... 7
5.2 Identifikasi cakupan asesmen keamanan …………..............……...…... 7
5.3 Pelaksanaan asesmen keamanan ………………………………………… 7
5.4 Pengembangan rencana keamanan rantai pasokan …………………..... 8
5.5 Pelaksanaan rencana keamanan rantai pasokan ……………………… 8
5.6 Dokumentasi dan pemantauan terhadap proses keamanan rantai pasokan . 8
5.7 Tindakan yang disyaratkan setelah terjadinya insiden keamanan …… 8
5.8 Perlindungan terhadap informasi keamanan …………………………... 10
Lampiran A (informatif) Prosedur keamanan rantai pasokan .................................... 11
A.1 Umum ...................................................................................................... 11
A.2 Identifikasi lingkup asesmen keamanan ............................................... 12
A.3 Pelaksanaan asesmen keamanan .......................................................... 12
A.4 Pengembangan rencana keamanan ....................................................... 16
A.5 Pelaksanaan rencana keamanan ........................................................... 18
A.6 Dokumentasi dan pemantauan proses keamanan ................................. 18
A.7 Perbaikan berkelanjutan ............................................................... 18
Lampiran B (informatif) Metodologi untuk asesmen resiko keamanan dan 19
pengembangan tindakan pencegahannya ........................................................
B.1 Umum ...................................................................................................... 19
B.2 Tahap pertama —Pertimbangan skenario ancaman keamanan ............. 20
B.3 Tahap dua — Klasifikasi konsekuensi (akibat) ................................................ 22
B.4 Tahap tiga — Klasifikasi probabilitas insiden keamanan ......................... 23
i
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
B.6 Tahap lima — Pengembangan countermeasure ............................ 24
B.7 Tahap enam — Implementasi countermeasure ............................. 25
B.8 Tahap tujuh — Evaluasi countermeasure ...................................... 25
B.9 Tahap delapan — Pengulangan proses ................................................. 25
B.10 Kelanjutan proses ................................................................................... 25
Lampiran C (informatif) Panduan untuk memperoleh saran dan sertifikasi ....... 26
C.1 Umum ...................................................................................................... 26
C.2 Menunjukkan ketaatan terhadap ISO 28001 melalui audit ..................... 26
C.3 Sertifikasi ISO 28001 oleh badan sertifikasi pihak ketiga ...................... 27
Bibliografi ……………………………………………………………………. 28
ii
SNI ISO 28001:2009
Prakata
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Standar Nasional Indonesia (SNI) Sistem manajemen keamanan pada rantai pasokan –
Praktek terbaik untuk implementasi keamanan rantai pasokan, asesmen dan perencanaan –
Persyaratan dan panduan" disusun mengadopsi identik dengan metode terjemahan dari ISO
28001:2007, Security management systems for the supply chain – Best practices for
implementing supply chain security, assessments and plans – Requirements and guidance.
.
a) tanda titik telah diganti dengan tanda koma dan sebaliknya untuk penulisan
bilangan,
b) beberapa istilah International Standard diganti dengan Standard dan
diterjemahkan menjadi standar.
c) beberapa istilah ISO diganti dengan SNI ISO
SNI ini disusun sesuai dengan ketentuan yang diberikan dalam Pedoman Nasional PSN 03.1,
Adopsi Standar Internasional dan Publikasi Internasional lainnya Bagian 1: Adopsi Standar
Internasional menjadi SNI (ISO/IEC Guide 21-1:2005, Regional or national adoption of
International Standards and other International Deliverables – Part 1: Adoption of
International Standards, MOD).
SNI ini juga disusun sesuai dengan ketentuan yang diberikan dalam Pedoman Badan
Standardisasi Nasional (PSN) 08:2007 Penulisan SNI.
Standar ini disusun oleh Panitia Teknis PK 03-02 Sistem Manajemen Mutu, dan telah
dibahas dalam rapat konsensus lingkup panitia teknis di 23 Januari 2009 di Jakarta yang
dihadiri oleh wakil dari pemangku kepentingan (stakeholder).
Mengingat standar ini merupakan terjemahan langsung dari naskah bahasa Inggris dan
meski sudah melalui rapat konsensus, mungkin masih dapat terjadi masalah dalam
menginterpretasikannya. Apabila timbul interpretasi yang berbeda, maka penyelesaiannya
lebih dahulu memperhatikan naskah asli ISO 28001:2007 yang berbahasa Inggris.
Beberapa dokumen ISO yang diacu dalam Standar ini telah diadopsi menjadi SNI, yaitu:
iii
SNI ISO 28001:2009
Pendahuluan
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Insiden keamanan yang terjadi pada rantai pasokan internasional merupakan ancaman
terhadap perdagangan dan pertumbuhan ekonomi negara pelaku dagang. Orang, barang,
infrastruktur dan peralatan — termasuk sarana transportasi — perlu dilindungi terhadap
insiden keamanan dan akibat-akibatnya yang merugikan. Perlindungan semacam itu
membawa manfaat bagi ekonomi dan masyarakat secara keseluruhan.
Rantai pasokan internasional sangat dinamis dan terdiri atas banyak entitas dan mitra bisnis.
Standar ini mengakui adanya kompleksitas tersebut. Standar ini telah dikembangkan untuk
memungkinkan organisasi individu dalam rantai pasokan menerapkan persyaratan yang
berkenaan dengan model bisnis organisasi tertentu dan peran serta fungsinya dalam rantai
pasokan .
Standar ini memberikan pilihan bagi organisasi untuk menetapkan dan mendokumentasikan
tingkat keamanan pada rantai pasokan dan komponennya. Standar ini memungkinkan
organisasi untuk membuat keputusan yang lebih baik ketika menghadapi resiko berkaitan
dengan keamanan dalam rantai pasokan internasional.
Standar ini bersifat multimodal dan dimaksudkan untuk diseleraskan dan melengkapi
Kerangka Organisasi Kepabeanan Dunia (World Customs Organization’s Framework)
tentang Standar guna mengamankan dan memfasilitasi kerangka kerja perdagangan global.
Standar ini dibuat bukan untuk mengungguli, menggantikan atau menyingkirkan program
keamanan rantai pasokan lembaga kepabeanan individual serta persyaratan sertifikasi dan
validasinya.
Penggunaan Standar ini akan membantu organisasi dalam menetapkan tingkat keamanan
yang cukup pada bagian rantai pasokan internasional yang dikendalikannya. Standar ini juga
merupakan dasar untuk menetapkan atau memvalidasi tingkat keamanan yang ada dalam
rantai pasokan organisasi bersangkutan oleh auditor internal atau eksternal atau oleh
lembaga pemerintah yang memilih untuk menggunakan ketaatan dengan Standar ini sebagai
landasan penerimaan untuk dimasukkan ke dalam program keamanan rantai pasokan nya.
Pelanggan, mitra bisnis, lembaga pemerintah dan pihak lainnya meminta organisasi yang
mengklaim memenuhi Standar iini untuk melaksanakan audit atau meminta validasi untuk
menunjukkan ketaatan tersebut. Lembaga pemerintah dapat mengakui saling pengakuan
untuk menerima validasi yang dilakukan oleh lembaga pemerintah lain. Jika audit organisasi
oleh pihak ketiga harus dilakukan, maka organisasi tersebut perlu mempertimbangkan
lembaga sertifikasi pihak ketiga yang diakreditasi oleh sebuah lembaga kompeten anggota
Forum Akreditasi (lihat Lampiran C).
Standar ini tidak dimaksudkan untuk menduplikasi persyaratan pemerintah dan standar
yang berkaitan dengan keamanan rantai pasokan dari Kerangka Kerja WCO SAFE.
Organisasi yang telah disertifikasi atau divalidasi oleh pemerintah yang saling mengakui,
telah sesuai dengan Standar ini.
- Pernyataan cakupan yang menjelaskan batasan rantai pasokan yang dicakup dalam
rencana keamanan.
iv
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
ancaman resiko yang teridentifikasi dalam proses asesmen keamanan.
Dalam melaksanakan asesmen keamanan perlu dibuat rencana keamanan, suatu organisasi
yang menggunakan Standar ini akan:
Penentuan ini dilakukan dengan cara mengkaji kondisi keamanan rantai pasokan saat ini.
Berdasarkan hasil kajian tersebut, ambil penilaian profesional untuk menentukan seberapa
rentan rantai pasokan terhadap suatu skenario ancaman keamanan.
Apabila rantai pasokan dinilai sangat rentan terhadap suatu skenario ancaman keamanan,
organisasi akan mengembangkan prosedur tambahan atau perubahan operasional untuk
memperkecil probabilitasnya, konsenkuensi atau kedua-duanya. Ini yang disebut tindakan
pencegahan (countermeasures). Berdasarkan sistem prioritas, tindakan pencegahan perlu
dimasukkan ke dalam rencana keamanan untuk mengurangi ancaman ke tingkat yang bisa
diterima.
Lampiran C adalah panduan untuk mendapatkan saran dan sertifikasi Standar ini untuk
organisasi yang ingin menerapkannya dengan memilih opsi ini.
v
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
penerapan keamanan rantai pasokan, asesmen dan rencana — Persyaratan
dan panduan
1 Ruang Lingkup
Standar ini memberikan persyaratan dan panduan bagi organisasi dalam rantai pasokan
untuk :
CATATAN Hanya lembaga bea cukai nasional yang bisa menunjuk organisasi sebagai AEO
sesuai dengan program keamanan rantai pasokan dan persyaratan sertifikasi dan validasi.
Selain itu, Standar ini menetapkan beberapa persyaratan dokumentasi yang akan
mengizinkan verifikasi.
2 Acuan Normatif
Dokumen referensi berikut sangat penting dalam penerapan Standar ini. Untuk acuan
bertanggal, berlaku edisi yang dikutip di sini. Sementara untuk acuan yang tidak bertanggal,
berlaku edisi terakhir (termasuk amendemen apapun).
ISO 20858:— 1 , Ships and marine technology — Maritime port facility security
assessments and security plan development
SOLAS (International Convention for the Safety of Life at Sea), 1974, setelah diubah,
International Maritime Organization
Untuk tujuan dokumen ini, maka istilah dan definisi berikut ini yang berlaku.
3.1
penegak hukum dan petugas pemerintah lainnya yang sesuai
1
Segera dipublikasikan. Revisi dari ISO/PAS 20858:2004
1 dari 28
SNI ISO 28001:2009
personel pemerintah dan penegak hukum yang memiliki yurisdiksi legal khusus atas rantai
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
pasokan internasional atau bagian darinya
3.2
aset
pabrik, mesin, properti, bangunan, kendaraan, kapal, kapal terbang, conveyance dan jenis
infrastruktur lainnya atau pabrik dan sistem terkait lainnya yang memiliki fungsi bisnis atau
jasa teknis yang berlainan
CATATAN Definisi ini mencakup sistem informasi apapun yang merupakan bagian yang integral
dalam penyediaan keamanan dan penerapan manajemen keamanan.
3.3
authorized economic operator (AEO)
pihak yang terlibat dalam pergerakan barang secara internasional dalam berbagai fungsinya
yang telah disetujui oleh atau atas nama administrasi bea cukai nasional sesuai persyaratan
WCO atau standar keamanan rantai pasokan yang setara.
CATATAN 1 AEO adalah istilah yang ditetapkan dalam World Customs Organization Framework of
Standards.
3.4
mitra bisnis
kontraktor, pemasok atau penyedia jasa yang terikat kontrak dengan organisasi yang
membantu organisasi dalam menjalankan fungsinya sebagai organisasi dalam rantai
pasokan (3.15)
3.5
unit pengangkutan kargo
kendaraan kargo darat, gerbong kereta barang, kontainer kargo, kendaraan tangki darat,
gerbong kereta tangki atau tangki portabel
3.6
konsekuensi
hilangnya nyawa, kerusakan pada properti atau gangguan di bidang ekonomi, termasuk
gangguan terhadap sistem transportasi, yang diakibatkan oleh adanya serangan terhadap
organisasi dalam rantai pasokan atau memanfaatkan rantai pasokan sebagai senjata
3.7
conveyance
instrumen fisik perdagangan internasional yang mengangkut barang dari satu lokasi ke
lokasi lainnya
CONTOH : Kotak, palet, unit pengangkut kargo, peralatan penanganan kargo, truk, kapal,
pesawat udara dan kereta
3.8
tindakan pencegahan (countermeasure)
tindakan yang dilakukan untuk menurunkan peluang terjadinya keberhasilan skenario
ancaman keamanan, atau mengurangi konsekuensi yang mungkin timbul dari skenario
ancaman keamanan
2 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
3.9
custody
periode waktu dimana sebuah organisasi pada rantai pasokan mengendalikan secara
langsung pabrikasi, pemrosesan, penanganan dan pengangkutan barang dan informasi
pengapalan nya di dalam rantai pasokan
3.10
bagian hilir
penanganan, pemrosesan dan pergerakan barang yang tidak lagi berada dalam
pengawasan organisasi pada rantai pasokan
3.11
barang
barang atau material yang, pada saat penempatan order pembelian, yang tengah dibuat,
diproses, ditangani atau diangkut dalam rantai pasokan untuk digunakan atau dikonsumsi
oleh pembeli
3.12
rantai pasokan internasional
rantai pasokan yang melintasi batas internasional atau batas ekonomi
CATATAN 1 Seluruh bagian rantai ini dipertimbangkan sebagai internasional mulai dari order
pembelian diselesaikan sampai di tempat dimana barang dilepas dari pengendalian beacukai di
negara atau ekonomi tujuan.
CATATAN 2 Jika kesepakatan atau perjanjian regional telah bebas beacukai atas barang dari
negara atau ekonomi tertentu, maka akhir rantai pasokan adalah pelabuhan yang menjadi pintu
masuk di negara tujuan dimana barang bisa bebas beacukai jika perjanjian atau kesepakatan belum
tersedia.
3.13
peluang kejadian (likelihood)
mudah atau sulitnya skenario ancaman keamanan berlanjut menjadi insiden keamanan
CATATAN peluang kejadian dievaluasi berdasarkan resistensi proses keamanan di tempat yang
menyebabkan insiden keamanan yang melibatkan skenario ancaman keamanan yang sedang diuji
dan dinyatakan secara kuantitatif atau kualitatif.
3.14
sistem manajemen
struktur organisasi untuk mengelola proses atau aktifitasnya yang mengubah masukan
sumber daya menjadi produk atau jasa, yang memenuhi sasaran organisasi
CATATAN Standar ini dibuat bukan untuk menetapkan sistem manajemen khusus atau
mengharuskan dibuatnya sistem manajemen keamanan tersendiri. ISO 9001 (QMS/Sistem
Manajemen Mutu), ISO 14001 (EMS/Sistem Manajemen Lingkungan), ISO 28000 (sistem manajemen
keamanan untuk rantai pasokan), dan Code ISM (International Maritime Organization’s International
Safety Management) merupakan contoh sistem manajemen
3.15
organisasi dalam rantai pasokan
entitas apapun yang
3 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
menerima barang setelah penempatan suatu order pembelian yang pada hal tertentu
melintasi batas internasional atau ekonomi;
- mengangkut barang dengan moda apapun dalam rantai pasokan tanpa melihat apakah
segmen rantai pasokan tersebut melintas batas nasional (atau ekonomi); atau
- memberikan, mengelola atau melakukan generasi, distribusi atau alir informasi
pengapalan yang digunakan oleh lembaga bea cukai atau dalam praktek bisnis.
3.16
manajemen risiko
proses pengambilan keputusan manajemen berdasarkan analisis atas ancaman yang
mungkin, konsekuensi dan probabilitas kejadiannya.
CATATAN Proses manajemen risiko biasanya diawali untuk tujuan mengoptimalkan alokasi
sumber daya organisasi yang dibutuhkan untuk mengoperasikan dalam suatu lingkungan tertentu
3.17
ruang lingkup jasa
fungsi yang dilaksanakan organisasi dalam rantai pasokan, dan dimana organisasi
melakukan fungsi tersebut
3.18
deklarasi keamanan
komitmen terdokumentasi oleh mitra bisnis, yang menetapkan tindakan keamanan yang
dilaksanakan oleh mitra bisnis tersebut, termasuk, sekurang-kurangnya, bagaimana barang
dan instrumen fisik dalam kegiatan perdagangan internasional dilindungi, informasi terkait
telah dilindungi dan ukuran keamanan diperagakan dan diverifikasi.
CATATAN Digunakan oleh organisasi dalam rantai pasokan untuk mengevaluasi kecukupan
tindakan keamanan yang berkaitan dengan keamanan barang.
3.19
rencana keamanan
pengaturan terencana untuk memastikan bahwa keamanan dikelola secara cukup.
3.20
keamanan
resistensi terhadap tindakan yang sengaja dirancang untuk menyebabkan bahaya atau
kerusakan terhadap rantai pasokan
3.21
insiden keamanan
tindakan atau situasi apapun yang menyebabkan timbulnya konsekuensi (3.6)
3.22
personel keamanan
orang-orang di organisasi dalam rantai pasokan yang telah ditunjuk untuk melakukan tugas
yang terkait dengan keamanan
4 dari 28
SNI ISO 28001:2009
CATATAN Orang ini bisa pegawai atau bukan pegawai organisasi tersebut
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
3.23
informasi yang peka terhadap keamanan
material yang peka terhadap keamanan
informasi atau material, yang dibuat oleh atau dimasukkan ke dalam proses keamanan rantai
pasokan, yang memuat informasi tentang proses keamanan, pengapalan atau ketetapan
pemerintah yang tidak tersedia untuk publik dan mungkin berguna bagi seseorang yang
menginginkan terjadinya insiden keamanan
3.24
rantai pasokan
rangkaian sumber daya dan proses setelah order pembelian yang dimulai dari pencarian
bahan baku dan berlanjut sampai pada proses manufaktur, pemrosesan, penanganan dan
pengiriman barang dan jasa terkait kepada pembeli
CATATAN Rantai pasokan bisa mencakup vendor, fasilitas pabrik, pemasok logistik, pusat
distribusi internal, distributor, grosir dan entitas lainnya yang terlibat dalam pabrikasi, pemrosesan,
penanganan dan pengiriman barang dan jasa terkait.
3.25
target
personel, sarana transportasi, barang, aset fisik, proses dan penanganan pabrikasi,
pengendalian atau sistem dokumentasi dalam organisasi rantai pasokan
3.26
skenario ancaman keamanan
cara dimana potensi insiden keamanan dapat terjadi
3.27
bagian hulu
penanganan, pemrosesan dan pergerakan barang yang terjadi sebelum organisasi dalam
rantai pasokan yang melakukan pengawasan barang tersebut
3.28
World Customs Organization
WCO
badan antar-pemerintah independen yang memiliki misi untuk meningkatkan efektifitas dan
efisiensi administrasi bea cukai.
4 Bidang Penerapan
Organisasi dalam rantai pasokan harus menjelaskan bagiannya pada rantai pasokan
internasional dengan mengklaim ketaatan terhadap persyaratan Standar ini dalam suatu
Pernyataan Penerapan. Pernyataan Penerapan tersebut minimal memuat informasi berikut
ini:
5 dari 28
SNI ISO 28001:2009
c) nama dan informasi penghubung dari semua mitra bisnis di dalam cakupan layanan yang
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
ada ;
d) tanggal diselesaikannya asesmen keamanan dan periode validitas asesmen keamanan,
dan
e) tanda tangan dari individu berwenang untuk menandatangani atas nama organisasi itu.
Organisasi dalam rantai pasokan bisa memperluas Pernyataan Penerapan untuk menambah
bagian lain dari rantai pasokan, seperti termasuk tujuan akhir.
Apabila dalam rantai pasokan yang dijelaskan dalam Pernyataan Penerapan organisasi
menggunakan mitra bisnis, maka organisasi harus, berdasarkan klausul 4.3 dan 4.4,
mensyaratkan mitra bisnis tersebut menyediakan deklarasi keamanan. Organisasi harus
mempertimbangkan pernyataan keamanan ini dalam asesmen keamanannya dan dapat
mensyaratkan tindakan pencegahan (countermeasure) khusus yang dibuat.
Perusahaan dan fasilitas transportasi, yang memiliki sertifikasi atau persetujuan yang
diterima secara internasional, yang diterbitkan sesuai dengan konvensi internasional wajib
yang mengatur keamanan berbagai sektor transportasi, perlu memiliki praktek, rencana, dan
proses keamanan yang memenuhi persyaratan yang berlaku dalam Standar ini dan tidak
disyaratkan diaudit untuk mengkonfirmasikan ketaatannya. Bagi perusahaan perkapalan,
kapal dan fasilitas pelabuhan, sertifikat atau persetujuan tersebut harus diterbitkan sesuai
dengan SOLAS XI-2/4 atau SOLAS XI-2/10, jika dapat diterapkan.
Sesuai dengan Klausul 1, lembaga bea cukai nasional bisa, selain memiliki sertifikat atau
persetujuan keamanan yang diterima secara internasional, mensyaratkan tindakan dan
praktek keamanan tambahan untuk diterapkan oleh perusahaan dan fasilitas transportasi
sebagai syarat penunjukkan AEO.
harus dimasukkan dalam daftar Pernyataan Penerapan. Namun, organisasi tidak perlu
melakukan asesmen keamanan untuk mitra bisnis semacam itu atau mensyaratkan mereka
menyediakan deklarasi keamanannya.
Kecuali untuk mitra bisnis yang dicakup dalam ketentuan 4.3 atau 4.4, organisasi dalam
rantai pasokan harus melakukan tinjauan terhadap proses dan fasilitas mitra bisnisnya untuk
memastikan validitas deklarasi keamanannya. Cakupan dan frekuensi kajian ini harus
ditentukan melalui analisis resiko yang terkait. Organisasi harus memelihara hasil tinjauan
tersebut.
6 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
termasuk bagian dalam rantai pasokan yang dioperasikan oleh mitra bisnis, apakah taat terhadap
Standar ini atau tidak, dalam alinea selanjutnya disebut sebagai “organisasi” kecuali diperlukan
penjelasan lebih lanjut.
5.1 Umum
Organisasi dalam rantai pasokan yang telah mengadopsi Standar ini diminta untuk
mengelola keamanan sesuai porsinya dalam rantai pasokan dan memiliki sistem manajemen
untuk mendukung pencapaian tujuan tersebut. Standar ini mensyaratkan praktek dan/atau
prosedur keamanan untuk ditetapkan dan dilaksanakan dengan tujuan untuk mengurangi
resiko terhadap rantai pasokan dari aktifitas-aktifitas yang bisa mengarah pada terjadinya
insiden keamanan.
Organisasi dalam rantai pasokan yang menyatakan kesesuaian terhadap Standar ini, harus
memiliki rencana keamanan berdasarkan hasil dari asesmen keamanan yang
didokumentasikan dalam tindakan dan prosedur keamanan yang ada dan memasukkan
tindakan pencegahan (countermeasure) jika dapat diterapkan untuk bagian rantai pasokan
internasional yang telah dicakup dalam Pernyataan Penerapannya.
Ruang lingkup (scope) asesmen keamanan harus mencakup seluruh aktifitas yang dilakukan
oleh organisasi sebagaimana dijelaskan dalam Pernyataan Penerapannya (lihat 4.1).
Asesmen harus dilakukan secara berkala dan rencana keamanan harus direvisi secukupnya.
Hasil-hasil asesmen harus didokumentasikan dan disimpan.
Asesmen keamanan harus mencakup pula sistem, dokumen dan jaringan informasi yang
berkaitan dengan penanganan dan pergerakan barang saat masih berada dalam
pengawasan organisasi. Pengaturan pengamanan yang berlaku saat ini harus, menurut
ketentuan 4.3 dan 4.4, diases di semua lokasi dan untuk mitra bisnis bila terdapat
kerentanan keamanan.
Individu atau tim yang melakukan asesmen keamanan semuanya harus memiliki ketrampilan
dan pengetahuan yang mencakup, tetapi tidak terbatas hanya pada, hal-hal berikut :
— teknik asesmen resiko yang berlaku pada semua aspek pada rantai pasokan mulai dari
tempat di mana organisasi dalam rantai pasokan mengawasi barang hingga di tempat
dimana barang tidak berada dalam pengawasan organisasi atau keluar dari rantai
pasokan ;
— melakukan tindakan yang dibutuhkan untuk mencegah pengungkapan yang tidak sah
atau akses terhadap keamanan materi yang sensitif;
— operasional dan prosedur yang terkait dengan proses pabrikasi, penanganan,
pemrosesan, pergerakan dan/atau dokumentasi barang secara memadai;
— tindakan pengamanan yang berkaitan dengan consignment, conveyance, personel,
tempat, dan sistem informasi pada rantai pasokan yang bersangkutan;
— pemahaman mengenai ancaman keamanan dan metodologi mitigasi;
— memahami Standar ini.
7 dari 28
SNI ISO 28001:2009
Nama-nama individu atau anggota tim yang melakukan asesmen serta kualifikasi harus
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
didokumentasikan.
Organisasi harus mengkaji pernyataan keamanan yang diberikan oleh masing-masing mitra
bisnis, sebagaimana ditetapkan dalam 4.2, dan menggunakan penilaian profesional
(profesional judgment), pengetahuan entitas dan/atau persyaratan yang ditetapkan
pemerintah. Organisasi juga bisa mendapatkan dan menggunakan informasi lain yang
tesedia, dalam menentukan keberterimaan pernyataan keamanan.
Mitra bisnis yang tercakup dalam ketentuan 4.3 atau 4.4 tidak perlu diases lebih lanjut.
Organisasi harus mengembangkan dan memelihara rencana keamanan pada seluruh rantai
pasokan sebagaimana dijelaskan dalam Pernyataan Penerapannya. Rencana tersebut bisa
dipisahkan ke dalam lampiran dimana setiap lampiran menjelaskan mengenai pengamanan
yang diberlakukan pada segmen rantai pasokan tertentu, termasuk tindakan keamanan yang,
menurut ketentuan 4.3 atau 4.4, akan dipelihara oleh mitra bisnis organisasi sesuai deklarasi
keamanannya . Rencana/lampiran harus menetapkan pula bagaimana organisasi akan
memantau atau mengkaji secara berkala deklarasi keamanan tersebut.
8 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
5.6.1 Umum
Organisasi harus melakukan kajian terhadap rencana keamanan setelah terjadinya insiden
keamanan yang berkaitan dengan rantai pasokan yang diawasi organisasi. Kajian tersebut
harus
Organisasi harus menyimpan data mengenai consignment dan data rantai pasokan lainnya
yang disyaratkan dalam batasan waktu sebagaimana dijelaskan dalam undang-undang dan
peraturan perundangan yang berlaku.
Rencana keamanan, tindakan, proses, prosedur dan rekaman mengenai organisasi harus
dianggap sebagai informasi keamanan yang sifatnya sensitif dan harus dilindungi dari akses
atau pengungkapan yang tidak sah. Informasi semacam itu hanya boleh diungkapkan pada
individual yang memiliki “hak untuk mengetahui”. Selain aparat dari lembaga hukum atau
wakil yang ditunjuknya, seorang individu dianggap “memiliki hak untuk mengetahui” jika
9 dari 28
SNI ISO 28001:2009
CATATAN Jika organisasi disertifikasi sesuai dengan SNI ISO 28001 oleh badan sertifikasi pihak
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
ketiga yang diakreditasi oleh badan akreditasi yang kompeten atau telah disertifikasi atau divalidasi
kesesuaiannya dengan SNI ISO 28001 melalui saling pengakuan pemerintah, maka akses informasi
keamanan yang bersifat sensistif dari organisasi tidak diperlukan kontrak lagi, dan tergantung pada
peraturan organisasi setara. Pada kenyataannya, informasi keamanan yang sensitif yang dilindungi
terhadap akses atau pengungkapan yang tidak sah, tidak menghalangi organisasi untuk memberikan
pengarahan kepada mitra bisnis dan pihak-pihak lain mengenai pengaturan dan sistem keamanan
rantai pasokannya.
10 dari 28
SNI ISO 28001:2009
Lampiran A
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
(informatif)
A.1 Umum
Perbaikan
Berkelanjutan
Tidak Tentukan probabilitasnya
Diases
Ya Ya
Cukup
Kembangkan Rencana Keamanan Tidak
Ya
Cukup
Dokumentasikan & Pantau Proses Keamanan
Rantai Pasokan
Tidak
11 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Asesmen keamanan merupakan upaya untuk mengidentifikasi resiko keamanan yang ada
dalam rantai pasokan dimana organisasi, sesuai dengan Pernyataan Penerapannya,
berkeinginan untuk memenuhi Standar ini. Dalam melakukan asesmen, harus ditetapkan
batasan lingkup cakupannya (baik fisik dan virtual).
A.3.1 Umum
— lokasi berlangsungnya barang dibuat, diproses atau ditangani sebelum dimuat dalam unit
pengangkut, dikemas, atau dipersiapkan untuk pengiriman;
— lokasi barang akan dikapalkan/disimpan atau dikonsolidasi sebelum diangkut;
— lokasi barang sedang diangkut;
— lokasi barang dimuat ke atau dikeluarkan dari conveyance;
— lokasi pengawasan atas barang berpindah tangan;
— lokasi dokumen atau informasi mengenai barang yang dikirimkan tengah diurus, dibuat
atau diperoleh;
— rute transportasi darat dan sarana pengangkut yang digunakan dengan berbagai cara
transportai;
— lain-lainnya.
Daftar kajian kinerja berikut menyediakan contoh mengenai pendekatan sistematis untuk
mengkaji pengaturan keamanan yang ada.
Porsi daftar kajian kinerja yang berkaitan dengan mitra bisnis yang telah dikonfirmasikan
kepada organisasi bahwa mereka
Daftar kajian kinerja berikut yang ditunjukkan pada Tabel A.1 bisa dilengkapi dan
dipertimbangkan ketika melakukan asesmen keamanan untuk organisasi dalam rantai
pasokan. Daftar ini sifatnya tidak inklusif, dan bisa disesuaikan untuk mencerminkan
asesmen resiko dan model bisnis organisasi. Apabila faktor tersebut telah diterapkan oleh
organisasi dalam rantai pasokan, maka jawaban ”Ya“ sebaiknya diperiksa kembali. Apabila
faktor tersebut belum diterapkan atau baru sebagian yang tercapai, maka jawaban “Tidak”
harus diperiksa kembali dan, bila perlu, tambahkan penjelasan pada kolom komentar untuk
menjelaskan tindakan alternatif lain yang digunakan, atau bahwa resiko sangat rendah
12 dari 28
SNI ISO 28001:2009
tingkatnya. Jika faktor ketaatan tidak berlaku atau berada di luar pernyataan cakupan
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
organisasi, beri tanda dengan NA (not applicable) pada kolom ”Komentar“. Butir dalam daftar
kajian kinerja yang tidak dapat diterapkan disebabkan karena undang-undang/peraturan
yang berlaku, sebaiknya diberi tanda ”dilarang” pada kolom komentar.
13 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
keamanannya, sebagai contoh: menjaga keutuhan kargo,
mengenali potensi ancaman internal yang mengancam
keamanan internal dan melindungi akses yang diawasi?
• Apakah organisasi membuat karyawan peduli terhadap
prosedur perusahaan untuk melaporkan insiden yang
mencurigakan?
• Apakah sistem pengendalian akses memuat pemusnahan
dengan segera identifikasi dan akses bagi karyawan yang
diberhentikan perusahaan ke area yang sensitif dan sistem
informasi?
Keamanan Informasi
• Apakah prosedur diberlakukan untuk memastikan bahwa
semua informasi yang digunakan untuk pemrosesan kargo,
baik informasi elektronik dan manual, sudah jelas, tepat
waktu, akurat dan terlindungi dari resiko diubah, hilang atau
memuat data yang salah?
• Apakah organisasi yang mengirimkan atau menerima kargo
sudah mencocokkan kargo dengan dokumen pengiriman
yang sesuai?
• Apakah organisasi memastikan bahwa informasi kargo yang
diterima dari mitra bisnis dilaporkan secara akurat dan
diterima tepat waktu?
• Apakah data relevan dilindungi dalam sistem penyimpanan
yang tidak terikat operasional sistem penanganan data utama
(apakah ada proses back up data yang diterapkan)?
• Apakah semua pemakai (user) memiliki identifikasi unik (ID
untuk user) untuk pemakaian pribadi, untuk memastikan
bahwa kegiatannya bisa terlacak?
• Apakah ada sistem pengelolaan password yang efektif yang
diberlakukan untuk memeriksa otensitas user dan apakah
user diminta untuk mengubah password-nya minimal setiap
tahun?
• Apakah ada perlindungan terhadap akses yang tidak sah dan
penyalahgunaan informasi?
Keamanan Barang dan Conveyance
• Apakah prosedur diberlakukan untuk membatasi, mendeteksi
dan melaporkan akses yang tidak sah untuk memasuki
semua area pengiriman, area dermaga muat dan unit
penyimpanan transportasi kargo tertutup?
• Apakah ada individu berkualifikasi yang ditunjuk untuk
mensupervisi kegiatan kargo?
• Apakah prosedur diberlakukan untuk memberitahu pihak
penegak hukum dalam kasus kondisi yang tidak normal atau
ada kegiatan ilegal yang dideteksi atau dicurigai oleh
organisasi?
• Apakah prosedur diberlakukan untuk menjamin keutuhan
barang/kargo ketika barang/kargo dikirimkan ke organisasi
lain (penyedia jasa transportasi, pusat pengumpulan barang,
fasilitas intermodal, dsb.) dalam rantai pasokan?
• Apakah ada proses untuk melacak adanya perubahan tingkat
ancaman sepanjang rute transportasi?
• Apakah ada peraturan keamanan, prosedur atau panduan
14 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
menghindari rute yang berbahaya)?
Unit Transportasi Kargo Tertutup
(WCO SAFE Framework mencakup „Seal Integrity Program“ sebagaimana dijelaskan
dalam Appendix pada lampiran 1 yang menjelaskan prosedur yang berkaitan dengan
pemasangan dan verifikasi atas segel pengaman dan/atau alat deteksi kerusakan
lain. Personel yang mengisi formulir ini sebaiknya mengkaji bab dalam Framework
tersebut)
• Jika digunakan unit pengangkutan kargo tertutup, apakah
ada prosedur terdokumentasi untuk pemasangan dan
pencatatan segel pengaman mekanis yang memenuhi
ISO/PAS 17712 dan/atau perangkat deteksi kerusakan
lainnya oleh pihak yang menyusun unit kargo?
• Jika digunakan unit pengangkutan kargo tertutup bersegel,
apakah ada prosedur terdokumentasi untuk memeriksa
adanya tanda-tanda kerusakan segel ketika ada penggantian
conveyance selama masa pengapalan dan untuk menangani
adanya ketidaksesuaian yang terdeteksi ?
• Jika digunakan unit pengangkutan kargo tertutup, apakah
ada inspeksi dengan segera terhadap kontaminasi oleh pihak
yang menyusun kargo sebelum penyusunan dilakukan?
• Jika digunakan unit pengangkutan kargo tertutup, apakah
ada prosedur terdokumentasi untuk inspeksi dengan segera
oleh pihak yang menyusun sebelum penyusunan untuk
memverifikasi keutuhan fisiknya, termasuk kehandalan
mekanisme penguncian unit? Tujuh proses inspeksi yang
dianjurkan:
— Dinding muka
— Sisi kiri
— Sisi kanan
— Lantai
— Langit-langit/Atap
— Tutup dalam/luar
— Bagian Luar/Bawah
15 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
rantai pasokan baik secara lokal atau jarak jauh
yang bertujuan mengganggu operasi atau
memudahkan aktifitas yang ilegal.
4. Keutuhan kargo Penyalahgunaan, sabotase dan/atau pencurian
untuk tujuan terorisme.
5. Penggunaan oleh pihak yang tak Melakukan operasi dalam rantai pasokan dengan
berwenang tujuan memudahkan insiden teroris termasuk
menggunakan moda transportasi sebagai senjata.
6. Lain-lain
A.4.1 Umum
Rencana tersebut dapat dipisahkan ke dalam lampiran dimana setiap lampiran menguraikan
keamanan yang diberlakukan untuk segmen rantai pasokan tertentu, termasuk tindakan
pengamanan yang akan dipelihara mitra bisnisnya sesuai deklarasi keamanannya (jika
berlaku). Rencana/lampiran tersebut sebaiknya menjelaskan pula bagaimana organisasi
akan memantau atau mengkaji secara berkala deklarasi keamanannya. Rencana/lampiran
keamanan tersebut sebaiknya mencakup, tetapi tidak terbatas pada, penjelasan berikut:
— Bagian pada rantai pasokan yang dicakup di dalam rencana atau lampiran.
— Tugas-tugas keamanan untuk semua personel keamanan.
— Struktur manajemen keamanan termasuk nama individu yang ditunjuk sebagai manager
keamanan.
— Informasi mengenai kontak keamanan internal dan eksternal pada situasi darurat yang
harus digunakan oleh personel untuk melaporkan suatu insiden keamanan.
— Keterampilan dan pengetahuan yang harus dimiliki personel dengan tanggung jawab di
bidang keamanan.
— Program pelatihan mengenai keamanan.
— Proses kualifikasi untuk personel yang ditunjuk menangani keamanan dipastikan mereka
memiliki pengetahuan dan keterampilan untuk melaksanakan tugas keamanan tersebut.
— Bagaimana unsur-unsur dalam rencana keamanan dijalankan. Partisipasi dalam
pemerintahan yang memberikan pelatihan atau melakukan uji coba keamanan oleh
personel organisasi bisa digunakan untuk memenuhi persyaratan ini.
— Proses untuk memenuhi, minimal, persyaratan keamanan yang ditetapkan pemerintah
mengenai kontigensi atau tingkat keamanan tertinggi.
Rencana keamanan sebaiknya mencakup prosedur termasuk namun tidak terbatas pada
pengaturan hal-hal berikut ini:
16 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
pengemudi.
— Memastikan bahwa semua bentuk kekurangan, kelebihan dan ketidaksesuaian atau
bentuk anomali lainnya yang signifikan telah ditangani dan/atau diselidiki dengan baik
dan bahwa lembaga penegak hukum yang terkait telah diberitahu jika diketahui ada
tindakan ilegal atau yang mencurigakan.
— Menjelaskan tindakan pencegahan yang telah dilakukan pada bagian rantai pasokan
yang bersangkutan.
— Menjelaskan segala tindakan dan prosedur yang telah dijalankan pada bagian rantai
pasokan yang bersangkutan untuk memulihkan keamanan jika terjadi insiden keamanan.
— Menjelaskan segala tindakan dan prosedur yang telah dilakukan ketika pengawasan
barang/kargo dialihkan ke organisasi lain.
— Menjelaskan prosedur untuk mengeluarkan informasi tambahan mengenai barang yang
dikapalkan ke personel yang berwenang. Prosedur ini sebaiknya mencakup bagaimana
pemakai (user) akan menentukan apakah permohonan untuk mendapatkan informasi
tambahan sudah sah dan bagaimana/informasi apa yang dikeluarkan.
— Menjelaskan prosedur yang ditetapkan menurut A.4.3.
A.4.2 Dokumentasi
Organisasi sebaiknya memelihara dokumen berikut yang mutakhir di lokasi dimana dokumen
bisa diakses secara aman.
— Pernyataan cakupan
— Asesmen keamanan yang sudah selesai dilakukan
— Nama dan kualifikasi personel yang melakukan asesmen keamanan
— Daftar semua tindakan pencegahan yang dipertimbangkan
— Deklarasi keamanan
— Rencana keamanan dan, jika perlu, lampiran
— Catatan mengenai sesi pelatihan dan latihan yang dilakukan, personel yang mengikuti
pelatihan, subyek pelatihan dan tanggal
— Hal lain sebagaimana ditetapkan menurut peraturan atau manajemen.
A.4.3 Komunikasi
Organisasi sebaiknya, jika dapat, menetapkan kontak dengan pihak penegak hukum dan
aparat pemerintah terkait untuk tujuan berikut:
— Menetapkan prosedur yang harus ditaati jika ada kecurigaan adanya kerusakan
barang/kargo, kondisi darurat yang terkait dengan, atau diterimanya ancaman
menyangkut rantai pasokan. Prosedur ini sebaiknya, jika ada, termasuk nomor telepon
yang bisa dihubungi di lembaga pemerintah terkait. Prosedur ini sebaiknya masuk dalam
rencana keamanan rantai pasokan organisasi.
— Berpartisipasi dalam konsultasi yang dipimpin oleh aparat pemerintah terkait di tingkat
nasional dan daerah (bila perlu) untuk mendiskusikan hal-hal kepentingan bersama
termasuk peraturan dan prosedur kepabeanan dan persyaratan untuk pengamanan
tempat dan consignment.
— Bersikap tanggap terhadap upaya-upaya pemerintah dan berkontribusi dalam dialog
yang memberikan saran bermanfaat untuk memastikan bahwa rencana keamanan
organisasi masih relevan dan efektif.
Jika pihak penegak hukum dan aparat pemerintah lainnya tidak ingin berpartisipasi dalam
dialog semacam itu, organisasi sebaiknya mencatat upayanya dan melaporkan bahwa pihak
penegak hukum dan aparat pemerintah tersebut tidak berpartisipasi pada saat itu.
17 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Implementasi suatu rencana keamanan yang baru atau yang direvisi menggambarkan
perubahan pada praktek operasional dan perlu dilaksanakan sesuai dengan sistem
manajemen organisasi untuk memastikan bahwa sumber daya yang cukup tersedia, dampak
operasi lainnya sudah dikelola dan efektifitas rencana dipantau dan dievaluasi.
Manajemen yang mengendalikan operasional bagian dari rantai pasokan sebaiknya mengkaji
sistem manajemen keamanan organisasi untuk mengases peluang perbaikan dan kebutuhan
perubahan pada sistem manajemen keamanan.
18 dari 28
SNI ISO 28001:2009
Lampiran B
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
(informatif)
B.1 Umum
Lampiran ini memberikan metodologi yang bisa digunakan oleh organisasi dalam rantai
pasokan internasional untuk melakukan asesmen resiko bahwa operasionalnya rentan
terhadap insiden keamanan, untuk menetapkan tindakan pencegahan yang dibutuhkan,
efektif untuk jenis dan ukuran operasi rantai pasokannya. Metodologi ini menggunakan
urutan berikut ini:
19 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Identifikasi tindakan pengamanan yang ada
Ya
Diases?
Tidak
Tetapkan konsekuensinya
Tetapkan probabilitas
Ya
cukup?
Tidak
Kembangkan
Rencana Ya
Keamanan cukup
Tidak
20 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Contoh skenario ancaman Contoh penerapan
keamanan
1. menyusup dan/atau mengambil Merusak/meghancurkan aset
alih pengendalian aset (termasuk Merusak/menghancurkan target luar dengan
conveyance dalam rantai pasokan) menggunakan aset atau barang.
Menyebabkan gangguan sipil atau ekonomi.
Menyandera/membunuh orang.
2. Menggunakan rantai pasokan Senjata ilegal dibawa masuk atau keluar
sebagai sarana penyelundupan negara/ekonomi.
Teroris masuk atau keluar negara/ekonomi.
3. Pengacauan (tampering) Mendapatkan akses di lokasi atau dari jauh
informasi terhadap sistem informasi/dokumen rantai
pasokan untuk tujuan mengganggu operasi atau
memudahkan aktifitas yang ilegal.
4. Keutuhan kargo Pengacauan, sabotase dan/atau pencurian untuk
tujuan terorisme.
5. Penggunaan oleh orang yang tak Melakukan operasi dalam rantai pasokan dengan
berwenang tujuan memudahkan insiden teroris termasuk
menggunakan sarana transportasi sebagai
senjata.
6. Lain-lain
1) Pengendalian akses
2) Sarana transportasi (truk, kereta api, tongkang, pesawat udara, kapal, dsb.) dengan
memperhatikan
— operasi normal;
— bengkel pemeliharaan (contoh, lapangan)
— perubahan yang diakibatkan misalnya break downs
— perubahan sarana
— conveyance saat istirahat
— penggunaan alat transportasi sebagai senjata
— Lain-lain
3) Penanganan
— muat;
— pabrikasi;
— penyimpanan (termasuk tempat penyimpanan sementara);
— pemindahan;
— bongkar;
— dekonsolidasi/konsolidasi;
— lain-lain;
21 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
— udara;
— jalan darat;
— rel kereta;
— pengapalan lewat jalur sungai;
— pengapalan lewat laut;
— lain-lain;
7) Karyawan
— tingkat kompetensi, pelatihan dan kepedulian;
— integritas;
— lan-lain.
9) Komunikasi internal/eksternal
— pertukaran informasi;
— situasi darurat;
— lan-lain.
10) Penanganan atau pemrosesan informasi mengenai kargo atau rute transportasi
— perlindungan data;
— jaminan data;
— lain-lain.
Sebaiknya perlu hati-hati dalam menetapkan nilai konsekuensi yang dianggap “tinggi”,
“menengah” dan “rendah”. Penggunaan nilai ambang batas rendah secara berlebihan dapat
mengakibatkan persyaratan tindakan pencegahan skenario ancaman keamanan yang
dipertimbangkan lebih dari yang dibutuhkan. Namun demikian, penggunaan nilai ambang
batas tinggi secara berlebihan mungkin mengabaikan tindakan pencegahan skenario
ancaman keamanan yang melibatkan konsekuensi organisasi atau pemerintah tidak dapat
mentolerir skenario yang dijalankan.
22 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Klasifikasi konsekuensi “tinggi” dapat dipertimbangkan sebagai suatu konsekuensi yang
tidak diterima dalam situasi probabilitas kejadiannya rendah.
Peringkat Konsekuensi
Tinggi Kematian & Cedera – kehilangan nyawa pada skala tertentu
dan/atau
Dampak ekonomi – kerusakan besar pada aset dan/atau infrastruktur
yang menghalangi operasi selanjutnya
dan/atau
Dampak lingkungan – rusaknya aspek ekosistem secara menyeluruh
yang mencakup wilayah yang luas
Menengah Kematian & Cedera – misalnya kehilangan nyawa
dan/atau
Dampak ekonomi – kerusakan besar pada aset dan/atau infrastruktur
yang membutuhkan perbaikan
dan/atau
Dampak lingkungan – misalnya kerusakan jangka panjang terhada;p
sebagian ekosistem
Rendah Kematian & Cedera – cedera tetapi tidak ada kasus kehilangan nyawa
dan/atau
Dampak ekonomi – kerusakan minimal pada aset dan/atau infrastruktur
sistem
dan/atau
Dampak lingkungan – beberapa kerusakan lingkungan
Status fisik dan tindakan keamanan operasional pada rantai pasokan sebagaimana yang
didokumentasikan dalam daftar kajian kinerja keamanan dan dokumentasi lainnya sebaiknya
diperhitungkan dalam mengklasifikasi potensi insiden keamanan. Tindakan keamanan fisik
termasuk benda-benda yang menghambat atau diketahui adanya akses ilegal oleh orang
yang tidak berwenang. Probabilitas dari setiap insiden keamanan yang terjadi pada suatu
aset tertentu sebaiknya diklasifikasi sebagai resiko tingkat tinggi, menengah dan rendah.
23 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
dalam sistem kualitatif.
Bagan skor insiden keamanan yang ditunjukkan pada Tabel B.3 merupakan contoh yang
bisa digunakan untuk menetapkan ketika mempertimbangkan tindakan pencegahan
terhadap insiden keamanan spesifik.
Klasifikasi probabilitas
pencegahan
Menengah Tindakan tindakan pencegahan Dokumentasikan
pencegahan atau pertimbangan yang
memadai
Rendah pertimbangkan Dokumentasikan Dokumentasikan
Identifikasi tindakan pencegahan disyaratkan untuk insiden keamanan yang memiliki skor
tinggi baik dalam probabilitas maupun konsekuensi begitupun skor probabilitas menengah
dan konsekuensi tinggi. Insiden keamanan lainnya tidak perlu mencakup tindakan
pencegahan, kecuali jika diminta oleh evaluator. Individu yang menilai keamanan sebaiknya
membuat daftar setiap insiden keamanan yang dipertimbangkan sebagai tindakan
pencegahan.
CATATAN Aparat penegak hukum dan aparat pemerintah lain dapat menetapkan untuk
memberlakukan tindakan pencegahan untuk skenario konsekuensi yang sangat tinggi dengan
mengabaikan probabilitas sebagai suatu kebijakan nasional. Tindakan pencegahan dikembangkan
sebagai hasil dari pengecualian ini sebaiknya ditinjau kembali oleh aparat pemerintah untuk melihat
efektifitasnya.
Jika suatu tindakan pencegahan disyaratkan atau dianjurkan oleh evaluator, baik
konsekuensi dan/atau probabilitas terhadap skenario ancaman keamanan sebaiknya
dipertimbangkan dalam mitigasi. Tujuan dari pengurangan terhadap probabilitas skenario
ancaman keamanan yang melebihi atau mengurangi bahaya yang disebabkan karena
scenario ancaman keamanan ke tingkat ketika tindakan pencegahan tambahan tidak lagi
dipersyaratkan.
24 dari 28
SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
— Transfer: pengalihan resiko dapat dilakukan dengan cara subkontrak, pengalihan fisik ke
lokasi-lokasi lain, waktu, dsb.
Dalam situasi tertentu, suatu organisasi mungkin harus mentolerir (lihat catatan) resiko yang
disebabkan oleh tidak praktisnya tindakan pencegahan, kurangnya otoritas untuk
memberlakukan tindakan pencegahan yang dibutuhkan atau faktor-faktor lainnya yang tidak
bisa ditangani.
CATATAN Toleransi situasi yang demikian bila tidak ada tindakan yang bisa diambil oleh
organisasi. Kegiatan dan evaluasi tersebut sebaiknya didokumentasikan dan dikajiulang secara
berkala.
Tindakan pencegahan baru karena adanya suatu perubahan pada praktek operasional dan
perlu dilaksanakan sesuai dengan sistem manajemen organisasi untuk memastikan
ketersediaan sumberdaya yang cukup; dampak pada operasionalnya dapat dikelola dan
perubahan yang terjadi mendapat dukungan manajemen.
Setelah tindakan pencegahan yang dikembangkan dan dievaluasi adalah efektif, lanjutkan
ke proses skenario ancaman keamanan berikutnya hingga skenario yang terdaftar berkurang.
Proses asesmen terus berlangsung. Sebagaimana diuraikan dalam gambar B.1. keamanan
mesti dipantau secara terus menerus untuk memastikan tindakan keamanan yang sedang
dilaksanakan dan proses asesmen sebaiknya dilaksanakan jika diperlukan.
25 dari 28
SNI ISO 28001:2009
Lampiran C
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
(informatif)
C.1 Umum
Organisasi yang bermaksud mengimplementasikan SNI ISO 28001 tidak diwajibkan untuk
meminta jasa dari konsultan di luar organisasi. Jika organisasi membutuhkan saran atau
bantuan untuk asesmen keamanan, mengembangkan rencana keamanan, atau
menjalankan persyaratan yang dibutuhkan, organisasi dapat meminta jasa konsultansi
eksternal. Namun, tanggung jawab organisasi yang meminta bantuan tersebut harus
memeriksa dan memverifikasi kompetensi konsultan yang menawarkan jasa, misalnya
dengan meminta rekomendasi, memeriksa referensi atau dengan mengkaji pekerjaan yang
dilaksanakan. Konsultan yang memberikan jasa kepada organisasi tidak boleh dilibatkan
dalam audit pihak ketiga terhadap organisasi yang sama.
SNI ISO 28001 merupakan spesifikasi persyaratan yang dimaksudkan untuk membantu
organisasi, atas kemauannya sendiri memilih untuk memenuhi persyaratan, menetapkan dan
memperagakan tingkat keamanan yang memadai pada rantai pasokan yang ditangani. Oleh
karenanya bisa dijadikan dasar untuk menentukan, memvalidasi atau memperagakan tingkat
keamanan yang ada dalam rantai pasokan organisasi melalui proses audit pihak pertama,
kedua atau ketiga, atau oleh lembaga pemerintah yang memilih Standar sebagai dasar yang
diterapkannya ke dalam program keamanan rantai pasokan.
Jenis-jenis audit:
— Audit pihak pertama merupakan penentuan sendiri mengenai kesesuaian oleh organisasi.
— Audit pihak kedua merupakan penentuan atau verifikasi mengenai kesesuaian organisasi
terhadap kriteria yang ditentukan oleh organisasi, lembaga atau badan lain yang memiliki
kepentingan pada operasional rantai pasokan organisasi.
— Audit pihak ketiga merupakan penentuan atau verifikasi mengenai kesesuaian terhadap
kriteria yang ditentukan oleh organisasi independen terhadap pihak lain.
Lembaga pemerintah yang memilih untuk menggunakan kesesuaian terhadap Standar ini
sebagai dasar keberterimaan terhadap program keamanan rantai pasokan mungkin
berkeinginan untuk mensertifikasi dan memvalidasi sendiri atau untuk menghindari duplikasi
saat dilakukannya audit oleh pihak lainnya. WCO menetapkan panduan untuk administrasi
kepabeanan menyangkut persyaratan validasi dan sertifikasi untuk program keamanan
rantai pasokan kepabeanan nasional sesuai dengan WCO SAFE Framework, dan program
saling pengakuan.
Jika dilakukan audit oleh pihak ketiga untuk menilai kesesuaian, maka organisasi yang
mengupayakan sertifikasi seharusnya menyeleksi badan sertifikasi pihak ketiga yang
diakreditasi oleh badan akreditasi yang kompeten, seperti badan-badan yang merupakan
26 dari 28
SNI ISO 28001:2009
anggota International Accreditation Forum Inc (IAF) dan terikat ketentuan IAF Multilateral
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Recognition Arrangement (MLA). Badan akreditasi tersebut harus sesuai dengan aturan,
code of practice dan protokol audit yang diakui setara, seperti SNI ISO/IEC 17021 dan SNI
19-19011. Lihat uraian pada CATATAN.
27 dari 28
SNI ISO 28001:2009
Bibliografi
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
[1] ISO 9001:2000, Quality management systems — Reqiurement
[6] ISO/PAS 20858:2004, Ships and marine technology — Maritime port facility
security assessments dan security plan development
[7] ISO 28000:2007, Specification for security management systems for the supply
chain
[8] ISO 28003:2007, Security management systems for the supply chain —
Requirements for bodies providing audit and certification of supply chains
security management systems
28 dari 28
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”