Sni Iso 28001 2009 PDF

SNI ISO 28001:2009
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Standar Nasional Indonesia
Sistem manajemen keamanan pada rantai

pasokan — Praktek terbaik untuk implementasi
keamanan rantai pasokan, asesmen dan
perencanaan — Persyaratan dan panduan
Security management systems for the supply chain – Best practices for
implementing supply chain security, assessments and plans –
Requirements and guidance
(ISO 28001:2007, IDT)
ICS 47.020.99 Badan Standardisasi Nasional

SNI ISO 28001:2009
DAFTAR ISI
Daftar isi ………………………………………………………….………….............. i
Kata sambutan ………………………………………………………….………….... iii
Pendahuluan ………………………………………………………….……………... iv
1 Ruang lingkup …………………………………………………….………….. 1
2 Acuan Normatif ………………………………………………………...…..... 1
3 Istilah dan definisi ……………………………………………….…………... 1
4 Bidang Penerapan …………………………………………………………... 6
4.1 Pernyataan Penerapan ………………………........................................ 6
4.2 Mitra Bisnis ………………………………………………………...…………. 6
4.3 Sertifikat atau kesepakatan yang diterima secara internasional ............ 6
4.4 Mitra Bisnis yang dikecualikan dari persyaratan deklarasi keamanan .... 6
4.5 Tinjauan keamanan mitra bisnis ………………….....……………............. 7
5 Proses keamanan rantai pasokan ……………………….………………… 7
5.1 Umum ……………………………………………………………………….... 7
5.2 Identifikasi cakupan asesmen keamanan …………..............……...…... 7
5.3 Pelaksanaan asesmen keamanan ………………………………………… 7
5.4 Pengembangan rencana keamanan rantai pasokan …………………..... 8
5.5 Pelaksanaan rencana keamanan rantai pasokan ……………………… 8
5.6 Dokumentasi dan pemantauan terhadap proses keamanan rantai pasokan . 8
5.7 Tindakan yang disyaratkan setelah terjadinya insiden keamanan …… 8
5.8 Perlindungan terhadap informasi keamanan …………………………... 10
Lampiran A (informatif) Prosedur keamanan rantai pasokan .................................... 11
A.1 Umum ...................................................................................................... 11
A.2 Identifikasi lingkup asesmen keamanan ............................................... 12
A.3 Pelaksanaan asesmen keamanan .......................................................... 12
A.4 Pengembangan rencana keamanan ....................................................... 16
A.5 Pelaksanaan rencana keamanan ........................................................... 18
A.6 Dokumentasi dan pemantauan proses keamanan ................................. 18
A.7 Perbaikan berkelanjutan ............................................................... 18
Lampiran B (informatif) Metodologi untuk asesmen resiko keamanan dan 19
pengembangan tindakan pencegahannya ........................................................
B.1 Umum ...................................................................................................... 19
B.2 Tahap pertama —Pertimbangan skenario ancaman keamanan ............. 20
B.3 Tahap dua — Klasifikasi konsekuensi (akibat) ................................................ 22
B.4 Tahap tiga — Klasifikasi probabilitas insiden keamanan ......................... 23
i
SNI ISO 28001:2009
B.5 Tahap empat — Penetapan skor insiden keamanan .............................. 24
B.6 Tahap lima — Pengembangan countermeasure ............................ 24
B.7 Tahap enam — Implementasi countermeasure ............................. 25
B.8 Tahap tujuh — Evaluasi countermeasure ...................................... 25
B.9 Tahap delapan — Pengulangan proses ................................................. 25
B.10 Kelanjutan proses ................................................................................... 25
Lampiran C (informatif) Panduan untuk memperoleh saran dan sertifikasi ....... 26
C.1 Umum ...................................................................................................... 26
C.2 Menunjukkan ketaatan terhadap ISO 28001 melalui audit ..................... 26
C.3 Sertifikasi ISO 28001 oleh badan sertifikasi pihak ketiga ...................... 27
Bibliografi ……………………………………………………………………. 28
ii
SNI ISO 28001:2009
Prakata
Standar Nasional Indonesia (SNI) Sistem manajemen keamanan pada rantai pasokan –
Praktek terbaik untuk implementasi keamanan rantai pasokan, asesmen dan perencanaan –
Persyaratan dan panduan" disusun mengadopsi identik dengan metode terjemahan dari ISO
28001:2007, Security management systems for the supply chain – Best practices for
implementing supply chain security, assessments and plans – Requirements and guidance.
.
a) tanda titik telah diganti dengan tanda koma dan sebaliknya untuk penulisan
bilangan,
b) beberapa istilah International Standard diganti dengan Standard dan
diterjemahkan menjadi standar.
c) beberapa istilah ISO diganti dengan SNI ISO
SNI ini disusun sesuai dengan ketentuan yang diberikan dalam Pedoman Nasional PSN 03.1,
Adopsi Standar Internasional dan Publikasi Internasional lainnya Bagian 1: Adopsi Standar
Internasional menjadi SNI (ISO/IEC Guide 21-1:2005, Regional or national adoption of
International Standards and other International Deliverables – Part 1: Adoption of
International Standards, MOD).
SNI ini juga disusun sesuai dengan ketentuan yang diberikan dalam Pedoman Badan
Standardisasi Nasional (PSN) 08:2007 Penulisan SNI.
Standar ini disusun oleh Panitia Teknis PK 03-02 Sistem Manajemen Mutu, dan telah
dibahas dalam rapat konsensus lingkup panitia teknis di 23 Januari 2009 di Jakarta yang
dihadiri oleh wakil dari pemangku kepentingan (stakeholder).
Mengingat standar ini merupakan terjemahan langsung dari naskah bahasa Inggris dan
meski sudah melalui rapat konsensus, mungkin masih dapat terjadi masalah dalam
menginterpretasikannya. Apabila timbul interpretasi yang berbeda, maka penyelesaiannya
lebih dahulu memperhatikan naskah asli ISO 28001:2007 yang berbahasa Inggris.
Beberapa dokumen ISO yang diacu dalam Standar ini telah diadopsi menjadi SNI, yaitu:
1. ISO 9001:2000, Quality management systems — Reqiurement diadopsi menjadi SNI

19-9001-2001 Sistem manajemen mutu – Persyaratan
2. ISO 14001:2004, Environmental management systems – Requirements with

guidance for use diadopsi menjadi SNI 19-14001-2005 Sistem manajemen
lingkungan – Persyaratan dan panduan penggunaan
3. ISO/IEC 17021:2006, Conformity Assessment — Requirements for bodies providing

audit and certification of management systems diadopsi menjadi SNI ISO/IEC
17021:2008 Penilaian kesesuaian – Persyaratan lembaga audit dan sertifikasi sistem
manajemen
4. ISO 19011:2002, Guidelines for quality and/or environmental management systems

auditing diadopsi menjadi SNI 19-19011-2005 Panduan audit sistem manajemen
mutu dan/atau lingkungan
iii
SNI ISO 28001:2009
Pendahuluan
Insiden keamanan yang terjadi pada rantai pasokan internasional merupakan ancaman
terhadap perdagangan dan pertumbuhan ekonomi negara pelaku dagang. Orang, barang,
infrastruktur dan peralatan — termasuk sarana transportasi — perlu dilindungi terhadap
insiden keamanan dan akibat-akibatnya yang merugikan. Perlindungan semacam itu
membawa manfaat bagi ekonomi dan masyarakat secara keseluruhan.
Rantai pasokan internasional sangat dinamis dan terdiri atas banyak entitas dan mitra bisnis.
Standar ini mengakui adanya kompleksitas tersebut. Standar ini telah dikembangkan untuk
memungkinkan organisasi individu dalam rantai pasokan menerapkan persyaratan yang
berkenaan dengan model bisnis organisasi tertentu dan peran serta fungsinya dalam rantai
pasokan .
Standar ini memberikan pilihan bagi organisasi untuk menetapkan dan mendokumentasikan
tingkat keamanan pada rantai pasokan dan komponennya. Standar ini memungkinkan
organisasi untuk membuat keputusan yang lebih baik ketika menghadapi resiko berkaitan
dengan keamanan dalam rantai pasokan internasional.
Standar ini bersifat multimodal dan dimaksudkan untuk diseleraskan dan melengkapi
Kerangka Organisasi Kepabeanan Dunia (World Customs Organization’s Framework)
tentang Standar guna mengamankan dan memfasilitasi kerangka kerja perdagangan global.
Standar ini dibuat bukan untuk mengungguli, menggantikan atau menyingkirkan program
keamanan rantai pasokan lembaga kepabeanan individual serta persyaratan sertifikasi dan
validasinya.
Penggunaan Standar ini akan membantu organisasi dalam menetapkan tingkat keamanan
yang cukup pada bagian rantai pasokan internasional yang dikendalikannya. Standar ini juga
merupakan dasar untuk menetapkan atau memvalidasi tingkat keamanan yang ada dalam
rantai pasokan organisasi bersangkutan oleh auditor internal atau eksternal atau oleh
lembaga pemerintah yang memilih untuk menggunakan ketaatan dengan Standar ini sebagai
landasan penerimaan untuk dimasukkan ke dalam program keamanan rantai pasokan nya.
Pelanggan, mitra bisnis, lembaga pemerintah dan pihak lainnya meminta organisasi yang
mengklaim memenuhi Standar iini untuk melaksanakan audit atau meminta validasi untuk
menunjukkan ketaatan tersebut. Lembaga pemerintah dapat mengakui saling pengakuan
untuk menerima validasi yang dilakukan oleh lembaga pemerintah lain. Jika audit organisasi
oleh pihak ketiga harus dilakukan, maka organisasi tersebut perlu mempertimbangkan
lembaga sertifikasi pihak ketiga yang diakreditasi oleh sebuah lembaga kompeten anggota
Forum Akreditasi (lihat Lampiran C).
Standar ini tidak dimaksudkan untuk menduplikasi persyaratan pemerintah dan standar
yang berkaitan dengan keamanan rantai pasokan dari Kerangka Kerja WCO SAFE.
Organisasi yang telah disertifikasi atau divalidasi oleh pemerintah yang saling mengakui,
telah sesuai dengan Standar ini.
Keluaran dari Standar ini adalah sebagai berikut:
- Pernyataan cakupan yang menjelaskan batasan rantai pasokan yang dicakup dalam
rencana keamanan.
- Asesmen keamanan yang mendokumentasikan kerentanan rantai pasokan terhadap

ancaman keamanan. Asesmen keamanan juga menjelaskan mengenai dampak yang
mungkin timbul dari setiap potensi ancaman keamanan.
iv
SNI ISO 28001:2009
- Rencana keamanan yang menguraikan tindakan pengamanan untuk menangani
ancaman resiko yang teridentifikasi dalam proses asesmen keamanan.
- Program pelatihan yang menguraikan bagaimana seorang personel keamanan akan

dilatih menjalankan tugas-tugasnya dalam menjaga keamanan.
Dalam melaksanakan asesmen keamanan perlu dibuat rencana keamanan, suatu organisasi
yang menggunakan Standar ini akan:
- mengidentifikasi ancaman-ancaman yang timbul (ancaman keamanan);

- menentukan bagaimana individu dapat menangani setiap skenario ancaman keamanan
yang teridentifikasi oleh Asesmen Keamanan menjadi insiden keamanan;
Penentuan ini dilakukan dengan cara mengkaji kondisi keamanan rantai pasokan saat ini.
Berdasarkan hasil kajian tersebut, ambil penilaian profesional untuk menentukan seberapa
rentan rantai pasokan terhadap suatu skenario ancaman keamanan.
Apabila rantai pasokan dinilai sangat rentan terhadap suatu skenario ancaman keamanan,
organisasi akan mengembangkan prosedur tambahan atau perubahan operasional untuk
memperkecil probabilitasnya, konsenkuensi atau kedua-duanya. Ini yang disebut tindakan
pencegahan (countermeasures). Berdasarkan sistem prioritas, tindakan pencegahan perlu
dimasukkan ke dalam rencana keamanan untuk mengurangi ancaman ke tingkat yang bisa
diterima.
Lampiran A dan B memberikan ilustrasi mengenai contoh-contoh manajemen resiko

berdasarkan prosedur keamanan untuk melindungi orang, aset dan operasi rantai pasokan.
Kedua lampiran tersebut memfasilitasi pendekatan makro untuk rantai pasokan yang lebih
kompleks dan/atau pendekatan yang lebih khusus untuk bagian-bagian di dalam rantai
pasokan.
Lampiran ini dibuat juga dengan maksud:
- memudahkan pemahaman, adopsi dan implementasi metodologi, yang bisa disesuaikan

oleh organisasi;
- memberikan panduan dasar dalam manajemen keamanan untuk melakukan perbaikan
secara berkelanjutan
- membantu organisasi untuk mengelola sumber daya dalam menangani resiko keamanan
yang ada dan yang akan muncul;
- menjelaskan cara yang mungkin dilakukan untuk melakukan asesmen resiko dan
menghilangkan ancaman resiko pada rantai pasokan yang dimulai dari alokasi bahan
baku melalui proses penyimpanan, pabrikasi dan pengangkutan barang jadi hingga
penempatannya di pasar.
Lampiran C adalah panduan untuk mendapatkan saran dan sertifikasi Standar ini untuk
organisasi yang ingin menerapkannya dengan memilih opsi ini.
v
SNI ISO 28001:2009
Sistem manajemen keamanan pada rantai pasokan — Praktek terbaik untuk
penerapan keamanan rantai pasokan, asesmen dan rencana — Persyaratan
dan panduan
1 Ruang Lingkup
Standar ini memberikan persyaratan dan panduan bagi organisasi dalam rantai pasokan
untuk :
- mengembangkan dan menerapkan proses keamanan rantai pasokan;

- menetapkan dan mendokumentasikan tingkat keamanan minimal dalam rantai pasokan
atau bagian rantai pasokan;
- membantu terpenuhinya kriteria Authorized Economic Operator (AEO) dalam World
Customs Organization Framework of Standard yang berlaku dan sesuai dengan program
keamanan rantai pasokan nasional.
CATATAN Hanya lembaga bea cukai nasional yang bisa menunjuk organisasi sebagai AEO
sesuai dengan program keamanan rantai pasokan dan persyaratan sertifikasi dan validasi.
Selain itu, Standar ini menetapkan beberapa persyaratan dokumentasi yang akan
mengizinkan verifikasi.
Pengguna Standar ini akan:
- menetapkan porsi keamanan dalam rantai pasokan (lihat 4.1);

- melakukan asesmen keamanan atas porsi rantai pasokan tersebut dan mengembangkan
tindakan pencegahan yang cukup;
- mengembangkan dan menerapkan rencana keamanan rantai pasokan;
- melatih personel keamanan mengenai tugas nya yang berkaitan dengan keamanan.
2 Acuan Normatif
Dokumen referensi berikut sangat penting dalam penerapan Standar ini. Untuk acuan
bertanggal, berlaku edisi yang dikutip di sini. Sementara untuk acuan yang tidak bertanggal,
berlaku edisi terakhir (termasuk amendemen apapun).
ISO 20858:— 1 , Ships and marine technology — Maritime port facility security
assessments and security plan development
SOLAS (International Convention for the Safety of Life at Sea), 1974, setelah diubah,
International Maritime Organization
3 Istilah dan Definisi
Untuk tujuan dokumen ini, maka istilah dan definisi berikut ini yang berlaku.
3.1
penegak hukum dan petugas pemerintah lainnya yang sesuai
1
Segera dipublikasikan. Revisi dari ISO/PAS 20858:2004
1 dari 28
SNI ISO 28001:2009
personel pemerintah dan penegak hukum yang memiliki yurisdiksi legal khusus atas rantai
pasokan internasional atau bagian darinya
3.2
aset
pabrik, mesin, properti, bangunan, kendaraan, kapal, kapal terbang, conveyance dan jenis
infrastruktur lainnya atau pabrik dan sistem terkait lainnya yang memiliki fungsi bisnis atau
jasa teknis yang berlainan
CATATAN Definisi ini mencakup sistem informasi apapun yang merupakan bagian yang integral
dalam penyediaan keamanan dan penerapan manajemen keamanan.
3.3
authorized economic operator (AEO)
pihak yang terlibat dalam pergerakan barang secara internasional dalam berbagai fungsinya
yang telah disetujui oleh atau atas nama administrasi bea cukai nasional sesuai persyaratan
WCO atau standar keamanan rantai pasokan yang setara.
CATATAN 1 AEO adalah istilah yang ditetapkan dalam World Customs Organization Framework of
Standards.
CATATAN 2 AEO termasuk diantaranya pabrikan, importir, eksportir, broker, pengangkut,

konsolidator, perantara, pelabuhan, bandar udara, operator terminal, operator terpadu, pergudangan
dan distributor.
3.4
mitra bisnis
kontraktor, pemasok atau penyedia jasa yang terikat kontrak dengan organisasi yang
membantu organisasi dalam menjalankan fungsinya sebagai organisasi dalam rantai
pasokan (3.15)
3.5
unit pengangkutan kargo
kendaraan kargo darat, gerbong kereta barang, kontainer kargo, kendaraan tangki darat,
gerbong kereta tangki atau tangki portabel
3.6
konsekuensi
hilangnya nyawa, kerusakan pada properti atau gangguan di bidang ekonomi, termasuk
gangguan terhadap sistem transportasi, yang diakibatkan oleh adanya serangan terhadap
organisasi dalam rantai pasokan atau memanfaatkan rantai pasokan sebagai senjata
3.7
conveyance
instrumen fisik perdagangan internasional yang mengangkut barang dari satu lokasi ke
lokasi lainnya
CONTOH : Kotak, palet, unit pengangkut kargo, peralatan penanganan kargo, truk, kapal,
pesawat udara dan kereta
3.8
tindakan pencegahan (countermeasure)
tindakan yang dilakukan untuk menurunkan peluang terjadinya keberhasilan skenario
ancaman keamanan, atau mengurangi konsekuensi yang mungkin timbul dari skenario
ancaman keamanan
2 dari 28
SNI ISO 28001:2009
3.9
custody
periode waktu dimana sebuah organisasi pada rantai pasokan mengendalikan secara
langsung pabrikasi, pemrosesan, penanganan dan pengangkutan barang dan informasi
pengapalan nya di dalam rantai pasokan
3.10
bagian hilir
penanganan, pemrosesan dan pergerakan barang yang tidak lagi berada dalam
pengawasan organisasi pada rantai pasokan
3.11
barang
barang atau material yang, pada saat penempatan order pembelian, yang tengah dibuat,
diproses, ditangani atau diangkut dalam rantai pasokan untuk digunakan atau dikonsumsi
oleh pembeli
3.12
rantai pasokan internasional
rantai pasokan yang melintasi batas internasional atau batas ekonomi
CATATAN 1 Seluruh bagian rantai ini dipertimbangkan sebagai internasional mulai dari order
pembelian diselesaikan sampai di tempat dimana barang dilepas dari pengendalian beacukai di
negara atau ekonomi tujuan.
CATATAN 2 Jika kesepakatan atau perjanjian regional telah bebas beacukai atas barang dari
negara atau ekonomi tertentu, maka akhir rantai pasokan adalah pelabuhan yang menjadi pintu
masuk di negara tujuan dimana barang bisa bebas beacukai jika perjanjian atau kesepakatan belum
tersedia.
3.13
peluang kejadian (likelihood)
mudah atau sulitnya skenario ancaman keamanan berlanjut menjadi insiden keamanan
CATATAN peluang kejadian dievaluasi berdasarkan resistensi proses keamanan di tempat yang
menyebabkan insiden keamanan yang melibatkan skenario ancaman keamanan yang sedang diuji
dan dinyatakan secara kuantitatif atau kualitatif.
3.14
sistem manajemen
struktur organisasi untuk mengelola proses atau aktifitasnya yang mengubah masukan
sumber daya menjadi produk atau jasa, yang memenuhi sasaran organisasi
CATATAN Standar ini dibuat bukan untuk menetapkan sistem manajemen khusus atau
mengharuskan dibuatnya sistem manajemen keamanan tersendiri. ISO 9001 (QMS/Sistem
Manajemen Mutu), ISO 14001 (EMS/Sistem Manajemen Lingkungan), ISO 28000 (sistem manajemen
keamanan untuk rantai pasokan), dan Code ISM (International Maritime Organization’s International
Safety Management) merupakan contoh sistem manajemen
3.15
organisasi dalam rantai pasokan
entitas apapun yang
3 dari 28
SNI ISO 28001:2009
- membuat, menangani, memproses, memuat, menyatukan, melakukan bongkar atau
menerima barang setelah penempatan suatu order pembelian yang pada hal tertentu
melintasi batas internasional atau ekonomi;
- mengangkut barang dengan moda apapun dalam rantai pasokan tanpa melihat apakah
segmen rantai pasokan tersebut melintas batas nasional (atau ekonomi); atau
- memberikan, mengelola atau melakukan generasi, distribusi atau alir informasi
pengapalan yang digunakan oleh lembaga bea cukai atau dalam praktek bisnis.
3.16
manajemen risiko
proses pengambilan keputusan manajemen berdasarkan analisis atas ancaman yang
mungkin, konsekuensi dan probabilitas kejadiannya.
CATATAN Proses manajemen risiko biasanya diawali untuk tujuan mengoptimalkan alokasi
sumber daya organisasi yang dibutuhkan untuk mengoperasikan dalam suatu lingkungan tertentu
3.17
ruang lingkup jasa
fungsi yang dilaksanakan organisasi dalam rantai pasokan, dan dimana organisasi
melakukan fungsi tersebut
3.18
deklarasi keamanan
komitmen terdokumentasi oleh mitra bisnis, yang menetapkan tindakan keamanan yang
dilaksanakan oleh mitra bisnis tersebut, termasuk, sekurang-kurangnya, bagaimana barang
dan instrumen fisik dalam kegiatan perdagangan internasional dilindungi, informasi terkait
telah dilindungi dan ukuran keamanan diperagakan dan diverifikasi.
CATATAN Digunakan oleh organisasi dalam rantai pasokan untuk mengevaluasi kecukupan
tindakan keamanan yang berkaitan dengan keamanan barang.
3.19
rencana keamanan
pengaturan terencana untuk memastikan bahwa keamanan dikelola secara cukup.
CATATAN 1 Rencana keamanan dirancang untuk memastikan penerapan tindakan untuk

melindungi organisasi dari insiden keamanan
CACATAN 2 Rencana tersebut dapat digabungkan dengan rencana operasional lainnya.
3.20
keamanan
resistensi terhadap tindakan yang sengaja dirancang untuk menyebabkan bahaya atau
kerusakan terhadap rantai pasokan
3.21
insiden keamanan
tindakan atau situasi apapun yang menyebabkan timbulnya konsekuensi (3.6)
3.22
personel keamanan
orang-orang di organisasi dalam rantai pasokan yang telah ditunjuk untuk melakukan tugas
yang terkait dengan keamanan
4 dari 28
SNI ISO 28001:2009
CATATAN Orang ini bisa pegawai atau bukan pegawai organisasi tersebut
3.23
informasi yang peka terhadap keamanan
material yang peka terhadap keamanan
informasi atau material, yang dibuat oleh atau dimasukkan ke dalam proses keamanan rantai
pasokan, yang memuat informasi tentang proses keamanan, pengapalan atau ketetapan
pemerintah yang tidak tersedia untuk publik dan mungkin berguna bagi seseorang yang
menginginkan terjadinya insiden keamanan
3.24
rantai pasokan
rangkaian sumber daya dan proses setelah order pembelian yang dimulai dari pencarian
bahan baku dan berlanjut sampai pada proses manufaktur, pemrosesan, penanganan dan
pengiriman barang dan jasa terkait kepada pembeli
CATATAN Rantai pasokan bisa mencakup vendor, fasilitas pabrik, pemasok logistik, pusat
distribusi internal, distributor, grosir dan entitas lainnya yang terlibat dalam pabrikasi, pemrosesan,
penanganan dan pengiriman barang dan jasa terkait.
3.25
target
personel, sarana transportasi, barang, aset fisik, proses dan penanganan pabrikasi,
pengendalian atau sistem dokumentasi dalam organisasi rantai pasokan
3.26
skenario ancaman keamanan
cara dimana potensi insiden keamanan dapat terjadi
3.27
bagian hulu
penanganan, pemrosesan dan pergerakan barang yang terjadi sebelum organisasi dalam
rantai pasokan yang melakukan pengawasan barang tersebut
3.28
World Customs Organization
WCO
badan antar-pemerintah independen yang memiliki misi untuk meningkatkan efektifitas dan
efisiensi administrasi bea cukai.
CATATAN Merupakan organisasi dunia yang kompeten dalam masalah kepabeanan.
4 Bidang Penerapan
4.1 Pernyataan Penerapan
Organisasi dalam rantai pasokan harus menjelaskan bagiannya pada rantai pasokan
internasional dengan mengklaim ketaatan terhadap persyaratan Standar ini dalam suatu
Pernyataan Penerapan. Pernyataan Penerapan tersebut minimal memuat informasi berikut
ini:
a) rincian mengenai organisasi;

b) ruang lingkup layanan;
5 dari 28
SNI ISO 28001:2009
c) nama dan informasi penghubung dari semua mitra bisnis di dalam cakupan layanan yang
ada ;
d) tanggal diselesaikannya asesmen keamanan dan periode validitas asesmen keamanan,
dan
e) tanda tangan dari individu berwenang untuk menandatangani atas nama organisasi itu.
Organisasi dalam rantai pasokan bisa memperluas Pernyataan Penerapan untuk menambah
bagian lain dari rantai pasokan, seperti termasuk tujuan akhir.
4.2 Mitra Bisnis
Apabila dalam rantai pasokan yang dijelaskan dalam Pernyataan Penerapan organisasi
menggunakan mitra bisnis, maka organisasi harus, berdasarkan klausul 4.3 dan 4.4,
mensyaratkan mitra bisnis tersebut menyediakan deklarasi keamanan. Organisasi harus
mempertimbangkan pernyataan keamanan ini dalam asesmen keamanannya dan dapat
mensyaratkan tindakan pencegahan (countermeasure) khusus yang dibuat.
4.3 Sertifikat atau persetujuan yang diterima secara internasional
Perusahaan dan fasilitas transportasi, yang memiliki sertifikasi atau persetujuan yang
diterima secara internasional, yang diterbitkan sesuai dengan konvensi internasional wajib
yang mengatur keamanan berbagai sektor transportasi, perlu memiliki praktek, rencana, dan
proses keamanan yang memenuhi persyaratan yang berlaku dalam Standar ini dan tidak
disyaratkan diaudit untuk mengkonfirmasikan ketaatannya. Bagi perusahaan perkapalan,
kapal dan fasilitas pelabuhan, sertifikat atau persetujuan tersebut harus diterbitkan sesuai
dengan SOLAS XI-2/4 atau SOLAS XI-2/10, jika dapat diterapkan.
Sesuai dengan Klausul 1, lembaga bea cukai nasional bisa, selain memiliki sertifikat atau
persetujuan keamanan yang diterima secara internasional, mensyaratkan tindakan dan
praktek keamanan tambahan untuk diterapkan oleh perusahaan dan fasilitas transportasi
sebagai syarat penunjukkan AEO.
4.4 Mitra bisnis yang dikecualikan dari persyaratan deklarasi keamanan
Mitra bisnis yang menyatakan kepada organisasi bahwa mereka
a) diverifikasi kesesuaiannya terhadap Standar ini atau ISO 20858.

b) dicakup dalam ketentuan 4.3, atau
c) telah ditunjuk sebagai AEO sesuai dengan program keamanan rantai pasokan dari
lembaga kepabeaan nasional yang telah ditentukan agar sesuai dengan WCO SAFE
Framework
harus dimasukkan dalam daftar Pernyataan Penerapan. Namun, organisasi tidak perlu
melakukan asesmen keamanan untuk mitra bisnis semacam itu atau mensyaratkan mereka
menyediakan deklarasi keamanannya.
4.5 Tinjauan keamanan mitra bisnis
Kecuali untuk mitra bisnis yang dicakup dalam ketentuan 4.3 atau 4.4, organisasi dalam
rantai pasokan harus melakukan tinjauan terhadap proses dan fasilitas mitra bisnisnya untuk
memastikan validitas deklarasi keamanannya. Cakupan dan frekuensi kajian ini harus
ditentukan melalui analisis resiko yang terkait. Organisasi harus memelihara hasil tinjauan
tersebut.
6 dari 28
SNI ISO 28001:2009
CATATAN Untuk memberikan kemudahan dalam membaca pernyataan kesesuaian organisasi,
termasuk bagian dalam rantai pasokan yang dioperasikan oleh mitra bisnis, apakah taat terhadap
Standar ini atau tidak, dalam alinea selanjutnya disebut sebagai “organisasi” kecuali diperlukan
penjelasan lebih lanjut.
5. Proses keamanan rantai pasokan
5.1 Umum
Organisasi dalam rantai pasokan yang telah mengadopsi Standar ini diminta untuk
mengelola keamanan sesuai porsinya dalam rantai pasokan dan memiliki sistem manajemen
untuk mendukung pencapaian tujuan tersebut. Standar ini mensyaratkan praktek dan/atau
prosedur keamanan untuk ditetapkan dan dilaksanakan dengan tujuan untuk mengurangi
resiko terhadap rantai pasokan dari aktifitas-aktifitas yang bisa mengarah pada terjadinya
insiden keamanan.
Organisasi dalam rantai pasokan yang menyatakan kesesuaian terhadap Standar ini, harus
memiliki rencana keamanan berdasarkan hasil dari asesmen keamanan yang
didokumentasikan dalam tindakan dan prosedur keamanan yang ada dan memasukkan
tindakan pencegahan (countermeasure) jika dapat diterapkan untuk bagian rantai pasokan
internasional yang telah dicakup dalam Pernyataan Penerapannya.
5.2 Identifikasi cakupan asesmen keamanan
Ruang lingkup (scope) asesmen keamanan harus mencakup seluruh aktifitas yang dilakukan
oleh organisasi sebagaimana dijelaskan dalam Pernyataan Penerapannya (lihat 4.1).
Asesmen harus dilakukan secara berkala dan rencana keamanan harus direvisi secukupnya.
Hasil-hasil asesmen harus didokumentasikan dan disimpan.
Asesmen keamanan harus mencakup pula sistem, dokumen dan jaringan informasi yang
berkaitan dengan penanganan dan pergerakan barang saat masih berada dalam
pengawasan organisasi. Pengaturan pengamanan yang berlaku saat ini harus, menurut
ketentuan 4.3 dan 4.4, diases di semua lokasi dan untuk mitra bisnis bila terdapat
kerentanan keamanan.
5.3 Pelaksanaan asesmen keamanan
5.3.1 Asesmen personel
Individu atau tim yang melakukan asesmen keamanan semuanya harus memiliki ketrampilan
dan pengetahuan yang mencakup, tetapi tidak terbatas hanya pada, hal-hal berikut :
— teknik asesmen resiko yang berlaku pada semua aspek pada rantai pasokan mulai dari
tempat di mana organisasi dalam rantai pasokan mengawasi barang hingga di tempat
dimana barang tidak berada dalam pengawasan organisasi atau keluar dari rantai
pasokan ;
— melakukan tindakan yang dibutuhkan untuk mencegah pengungkapan yang tidak sah
atau akses terhadap keamanan materi yang sensitif;
— operasional dan prosedur yang terkait dengan proses pabrikasi, penanganan,
pemrosesan, pergerakan dan/atau dokumentasi barang secara memadai;
— tindakan pengamanan yang berkaitan dengan consignment, conveyance, personel,
tempat, dan sistem informasi pada rantai pasokan yang bersangkutan;
— pemahaman mengenai ancaman keamanan dan metodologi mitigasi;
— memahami Standar ini.
7 dari 28
SNI ISO 28001:2009
Nama-nama individu atau anggota tim yang melakukan asesmen serta kualifikasi harus
didokumentasikan.
5.3.2 Proses asesmen
Organisasi harus menetapkan, menerapkan dan memelihara prosedur untuk mengidentifikasi

tindakan pencegahan yang ada untuk memitigasi ancaman keamanan. Organisasi harus
membuat daftar mengenai skenario ancaman keamanan yang relevan termasuk yang
dianggap perlu oleh aparat pemerintah terkait. Apabila aparat pemerintah tidak ikut serta, hal
ini harus didokumentasikan dalam asesmen keamanan.
Untuk setiap skenario ancaman keamanan, organisasi harus mengevaluasi tindakan

pencegahan yang ada serta menentukan peluang kejadian dan konsekuensi yang terkait
dengan masing-masing skenario ancaman keamanan dan mengevaluasi kebutuhan
tindakan pencegahan tambahan untuk mengurangi resiko keamanan ke tingkat yang bisa
diterima.
Organisasi harus mengkaji pernyataan keamanan yang diberikan oleh masing-masing mitra
bisnis, sebagaimana ditetapkan dalam 4.2, dan menggunakan penilaian profesional
(profesional judgment), pengetahuan entitas dan/atau persyaratan yang ditetapkan
pemerintah. Organisasi juga bisa mendapatkan dan menggunakan informasi lain yang
tesedia, dalam menentukan keberterimaan pernyataan keamanan.
Organisasi harus mempertimbangkan rincian dan validitas setiap pernyataan keamanan

ketika melakukan asesmen keamanan dan menentukan seluruh kerentanan dari rantai
pasokan sebagaimana dijelaskan dalam Pernyataan Penerapannya.
Mitra bisnis yang tercakup dalam ketentuan 4.3 atau 4.4 tidak perlu diases lebih lanjut.
Informasi berikut ini harus didokumentasikan:
a) seluruh skenario ancaman keamanan yang dipertimbangkan;

b) proses yang digunakan dalam mengevaluasi ancaman tersebut; dan
c) semua tindakan pencegahan yang diidentifikasi dan diprioritaskan.
5.4 Pengembangan rencana keamanan rantai pasokan
Organisasi harus mengembangkan dan memelihara rencana keamanan pada seluruh rantai
pasokan sebagaimana dijelaskan dalam Pernyataan Penerapannya. Rencana tersebut bisa
dipisahkan ke dalam lampiran dimana setiap lampiran menjelaskan mengenai pengamanan
yang diberlakukan pada segmen rantai pasokan tertentu, termasuk tindakan keamanan yang,
menurut ketentuan 4.3 atau 4.4, akan dipelihara oleh mitra bisnis organisasi sesuai deklarasi
keamanannya . Rencana/lampiran harus menetapkan pula bagaimana organisasi akan
memantau atau mengkaji secara berkala deklarasi keamanan tersebut.
Organisasi harus mengkaji dan mempertimbangkan penggunaan panduan dalam Lampiran A

dan B saat mengembangkan rencana keamanannya.
5.5 Pelaksanaan rencana keamanan rantai pasokan
Organisasi harus menetapkan sistem manajemen yang memungkinkan proses keamanan

rantai pasokan tertentu diterapkan.
5.6 Dokumentasi dan pemantauan terhadap proses keamanan rantai pasokan
8 dari 28
SNI ISO 28001:2009
5.6.1 Umum
Organisasi harus menetapkan dan memelihara prosedur untuk mendokumentasikan,

memantau dan mengukur kinerja sistem manajeme yang diacu di atas. Organisasi harus
melakukan audit sistem manajemen pada interval waktu yang ditetapkan untuk memastikan
bahwa sistem manajemen telah dilaksanakan dan dipelihara secara memadai. Hasil audit
harus didokumentasikan dan disimpan.
5.6.2 Perbaikan secara berkelanjutan
Organisasi harus melakukan asesmen peluang untuk perbaikan pengaturan keamanannya

sebagai sarana peningkatan keamanan sesuai porsinya dalam rantai pasokan.
5.7 Tindakan yang disyaratkan setelah terjadinya insiden keamanan
Organisasi harus melakukan kajian terhadap rencana keamanan setelah terjadinya insiden
keamanan yang berkaitan dengan rantai pasokan yang diawasi organisasi. Kajian tersebut
harus
a) menentukan penyebab insiden dan tindakan korektif yang dibutuhkan;

b) menentukan efektifitas tindakan dan prosedur untuk memulihkan keamanan; dan
c) mempertimbangkan ketentuan tersebut, melakukan asesmen ulang atas porsi pada rantai
pasokan tersebut sesuai ketetapan 5.3.2.
Jika terjadi pelanggaran keamanan, organisasi harus mengikuti prosedur pelaporan ke

Kepabeanan dan/atau lembaga hukum terkait secara memadai, sebagaimana ditetapkan
dalam rencana keamanan dan kontrak.
Organisasi harus menyimpan data mengenai consignment dan data rantai pasokan lainnya
yang disyaratkan dalam batasan waktu sebagaimana dijelaskan dalam undang-undang dan
peraturan perundangan yang berlaku.
5.8 Perlindungan informasi keamanan
Rencana keamanan, tindakan, proses, prosedur dan rekaman mengenai organisasi harus
dianggap sebagai informasi keamanan yang sifatnya sensitif dan harus dilindungi dari akses
atau pengungkapan yang tidak sah. Informasi semacam itu hanya boleh diungkapkan pada
individual yang memiliki “hak untuk mengetahui”. Selain aparat dari lembaga hukum atau
wakil yang ditunjuknya, seorang individu dianggap “memiliki hak untuk mengetahui” jika
a) individu bersangkutan membutuhkan akses atas informasi keamanan yang sensitif

tertentu untuk menjalankan aktifitas keamanan sebagaiman tercakup dalam rencana
keamanan;
b) individu yang bersangkutan sedang dalam pelatihan untuk menjalankan aktifitas yang
tercakup dalam rencana keamanan;
c) informasi dibutuhkan bagi individu bersangkutan untuk melakukan supervisi terhadap
orang lain yang menjalankan aktifitas keamanan yang tercakup dalam rencana
keamanan; atau
d) individu yang bersangkutan, atau yang bertindak atas nama suatu pihak, yang
menurut hubungan kontrak dengan organisasi telah diberikan akses terhadap
informasi keamanan yang sensitif yang dikendalikan oleh organisasi sesuai dengan
syarat dan aturan yang disepakati.
9 dari 28
SNI ISO 28001:2009
CATATAN Jika organisasi disertifikasi sesuai dengan SNI ISO 28001 oleh badan sertifikasi pihak
ketiga yang diakreditasi oleh badan akreditasi yang kompeten atau telah disertifikasi atau divalidasi
kesesuaiannya dengan SNI ISO 28001 melalui saling pengakuan pemerintah, maka akses informasi
keamanan yang bersifat sensistif dari organisasi tidak diperlukan kontrak lagi, dan tergantung pada
peraturan organisasi setara. Pada kenyataannya, informasi keamanan yang sensitif yang dilindungi
terhadap akses atau pengungkapan yang tidak sah, tidak menghalangi organisasi untuk memberikan
pengarahan kepada mitra bisnis dan pihak-pihak lain mengenai pengaturan dan sistem keamanan
rantai pasokannya.
10 dari 28
SNI ISO 28001:2009
Lampiran A
(informatif)
Prosedur keamanan rantai pasokan
A.1 Umum
Lampiran ini memberikan panduan mengenai pengembangan proses keamanan rantai

pasokan yang bisa diterapkan organisasi dengan sistem manajemen yang sudah ada.
Gambar A.1 memperlihatkan uraian grafik mengenai proses tersebut.
Identifikasi ruang lingkup asesmen keamanan
Lakukan asesmen keamanan Pilih skenario ancaman
Identifikasi tindakan pengamanan yang ada Evaluasi tindakan pengamanan
Buat daftar skenario ancaman yang ada Tentukan konsekuensinya
Perbaikan
Berkelanjutan
Tidak Tentukan probabilitasnya
Diases
Ya Ya
Cukup
Kembangkan Rencana Keamanan Tidak
Kembangkan tindakan pencegahan

Lakukan Rencana Keamanan Rantai Pasokan
Ya
Cukup
Dokumentasikan & Pantau Proses Keamanan
Rantai Pasokan
Tidak
Gambar A.1 — Deskripsi umum proses keamanan rantai pasokan
11 dari 28
SNI ISO 28001:2009
A.2 Identifikasi lingkup asesmen keamanan
Asesmen keamanan merupakan upaya untuk mengidentifikasi resiko keamanan yang ada
dalam rantai pasokan dimana organisasi, sesuai dengan Pernyataan Penerapannya,
berkeinginan untuk memenuhi Standar ini. Dalam melakukan asesmen, harus ditetapkan
batasan lingkup cakupannya (baik fisik dan virtual).
A.3 Pelaksanaan asesmen keamanan
A.3.1 Umum
Dengan menggunakan personel yang berkualifikasi, pengaturan keamanan yang ada di

seluruh lokasi yang berpotensi rentan terhadap keamanan harus dinilai, tempat tersebut
sebaiknya mencakup tetapi tidak terbatas pada hal-hal berikut :
— lokasi berlangsungnya barang dibuat, diproses atau ditangani sebelum dimuat dalam unit
pengangkut, dikemas, atau dipersiapkan untuk pengiriman;
— lokasi barang akan dikapalkan/disimpan atau dikonsolidasi sebelum diangkut;
— lokasi barang sedang diangkut;
— lokasi barang dimuat ke atau dikeluarkan dari conveyance;
— lokasi pengawasan atas barang berpindah tangan;
— lokasi dokumen atau informasi mengenai barang yang dikirimkan tengah diurus, dibuat
atau diperoleh;
— rute transportasi darat dan sarana pengangkut yang digunakan dengan berbagai cara
transportai;
— lain-lainnya.
A.3.2 Daftar kajian kinerja
Daftar kajian kinerja berikut menyediakan contoh mengenai pendekatan sistematis untuk
mengkaji pengaturan keamanan yang ada.
Porsi daftar kajian kinerja yang berkaitan dengan mitra bisnis yang telah dikonfirmasikan
kepada organisasi bahwa mereka
a) diverifikasi sesuai persyaratan Standar ini atau ISO 20858;

b) tercakup dalam ketetapan 4.3, atau
c) telah ditunjuk sebagai AEO sesuai dengan program keamanan rantai pasokan dari
lembaga kepabean nasional yang telah ditentukan sesuai dengan WCO SAFE
Framework,
sebaiknya memuat komentar yang menunjukkan bagaimana faktor tersebut dipenuhi,

misalnya terhadap persyaratan Standar ini atau ISO 20858, atau ISPS Code.
A.3.3 Kajian kinerja
Daftar kajian kinerja berikut yang ditunjukkan pada Tabel A.1 bisa dilengkapi dan
dipertimbangkan ketika melakukan asesmen keamanan untuk organisasi dalam rantai
pasokan. Daftar ini sifatnya tidak inklusif, dan bisa disesuaikan untuk mencerminkan
asesmen resiko dan model bisnis organisasi. Apabila faktor tersebut telah diterapkan oleh
organisasi dalam rantai pasokan, maka jawaban ”Ya“ sebaiknya diperiksa kembali. Apabila
faktor tersebut belum diterapkan atau baru sebagian yang tercapai, maka jawaban “Tidak”
harus diperiksa kembali dan, bila perlu, tambahkan penjelasan pada kolom komentar untuk
menjelaskan tindakan alternatif lain yang digunakan, atau bahwa resiko sangat rendah
12 dari 28
SNI ISO 28001:2009
tingkatnya. Jika faktor ketaatan tidak berlaku atau berada di luar pernyataan cakupan
organisasi, beri tanda dengan NA (not applicable) pada kolom ”Komentar“. Butir dalam daftar
kajian kinerja yang tidak dapat diterapkan disebabkan karena undang-undang/peraturan
yang berlaku, sebaiknya diberi tanda ”dilarang” pada kolom komentar.
Tabel A.1 — Daftar kajian kinerja
Faktor Ya Tidak Komentar

Manajemen Keamanan Rantai Pasokan
• Apakah organisasi memiliki sistem manajemen yang
menangani keamanan rantai pasokan?
• Apakah organisasi memiliki individu yang ditunjuk sebagai
penanggung jawab atas keamanan rantai pasokan?
Rencana Keamanan
• Apakah organisasi memiliki rencana keamanan terbaru?
• Apakah rencana tersebut menjelaskan harapan keamanan
organisasi mitra bisnis di hulu dan hilir?
• Apakah organisasi memiliki rencana manajemen krisis,
rencana kelanjutan bisnis dan rencana pemulihan
keamanan?
Keamanan Aset
• Apakah organisasi memiliki perangkat untuk menangani
— keamanan fisik bangunan,
— pemantauan dan pengendalian perimeter eksterior dan
interior,
— penerapan pengendalian akses yang tidak sah orang
yang tidak berwenang memasuki fasilitas, conveyance,
dermaga muat dan area kargo, dan pengendalian
managerial untuk penerbitan identifikasi (karyawan,
pengunjung, vendor, dsb.) dan akses lainnya?
• Apakah ada teknologi keamanan operasional yang bisa
meningkatkan perlindungan aset secara signifikan? Sebagai
contoh, deteksi terhadap adanya gangguan, atau kamera
rekam CCTV/DVS yang mencakup area yang penting dalam
aktifitas rantai pasokan, dengan rekaman disimpan untuk
periode waktu yang cukup lama untuk digunakan dalam
investigasi insiden.
• Apakah ada prosedur yang diterapkan untuk bisa
menghubungi personel keamanan internal atau pihak
penegak hukum eksternal jika terjadi pelanggaran
keamanan?
• Apakah ada protokol yang diterapkan untuk melarang,
mendeteksi dan melaporkan akses oleh orang yang tidak
berwenang untuk semua area kargo dan area penyimpanan
barang kiriman?
• Apakah individu yang menerima atau mengirim kargo sudah
diidentifikasi sebelum kargo diterima atau dikeluarkan?
Keamanan Personel
• Apakah organisasi memiliki prosedur untuk mengevaluasi
integritas karyawan sebelum mengkaryakannya dan
dievaluasi secara periodik dalam melakukan tugas-tugas
keamanannya?
• Apakah organisasi melakukan pelatihan pekerjaan secara
13 dari 28
SNI ISO 28001:2009
khusus untuk membantu karyawan menjalankan tugas
keamanannya, sebagai contoh: menjaga keutuhan kargo,
mengenali potensi ancaman internal yang mengancam
keamanan internal dan melindungi akses yang diawasi?
• Apakah organisasi membuat karyawan peduli terhadap
prosedur perusahaan untuk melaporkan insiden yang
mencurigakan?
• Apakah sistem pengendalian akses memuat pemusnahan
dengan segera identifikasi dan akses bagi karyawan yang
diberhentikan perusahaan ke area yang sensitif dan sistem
informasi?
Keamanan Informasi
• Apakah prosedur diberlakukan untuk memastikan bahwa
semua informasi yang digunakan untuk pemrosesan kargo,
baik informasi elektronik dan manual, sudah jelas, tepat
waktu, akurat dan terlindungi dari resiko diubah, hilang atau
memuat data yang salah?
• Apakah organisasi yang mengirimkan atau menerima kargo
sudah mencocokkan kargo dengan dokumen pengiriman
yang sesuai?
• Apakah organisasi memastikan bahwa informasi kargo yang
diterima dari mitra bisnis dilaporkan secara akurat dan
diterima tepat waktu?
• Apakah data relevan dilindungi dalam sistem penyimpanan
yang tidak terikat operasional sistem penanganan data utama
(apakah ada proses back up data yang diterapkan)?
• Apakah semua pemakai (user) memiliki identifikasi unik (ID
untuk user) untuk pemakaian pribadi, untuk memastikan
bahwa kegiatannya bisa terlacak?
• Apakah ada sistem pengelolaan password yang efektif yang
diberlakukan untuk memeriksa otensitas user dan apakah
user diminta untuk mengubah password-nya minimal setiap
tahun?
• Apakah ada perlindungan terhadap akses yang tidak sah dan
penyalahgunaan informasi?
Keamanan Barang dan Conveyance
• Apakah prosedur diberlakukan untuk membatasi, mendeteksi
dan melaporkan akses yang tidak sah untuk memasuki
semua area pengiriman, area dermaga muat dan unit
penyimpanan transportasi kargo tertutup?
• Apakah ada individu berkualifikasi yang ditunjuk untuk
mensupervisi kegiatan kargo?
• Apakah prosedur diberlakukan untuk memberitahu pihak
penegak hukum dalam kasus kondisi yang tidak normal atau
ada kegiatan ilegal yang dideteksi atau dicurigai oleh
organisasi?
• Apakah prosedur diberlakukan untuk menjamin keutuhan
barang/kargo ketika barang/kargo dikirimkan ke organisasi
lain (penyedia jasa transportasi, pusat pengumpulan barang,
fasilitas intermodal, dsb.) dalam rantai pasokan?
• Apakah ada proses untuk melacak adanya perubahan tingkat
ancaman sepanjang rute transportasi?
• Apakah ada peraturan keamanan, prosedur atau panduan
14 dari 28
SNI ISO 28001:2009
yang diberikan kepada operator conveyance (misalnya, untuk
menghindari rute yang berbahaya)?
Unit Transportasi Kargo Tertutup
(WCO SAFE Framework mencakup „Seal Integrity Program“ sebagaimana dijelaskan
dalam Appendix pada lampiran 1 yang menjelaskan prosedur yang berkaitan dengan
pemasangan dan verifikasi atas segel pengaman dan/atau alat deteksi kerusakan
lain. Personel yang mengisi formulir ini sebaiknya mengkaji bab dalam Framework
tersebut)
• Jika digunakan unit pengangkutan kargo tertutup, apakah
ada prosedur terdokumentasi untuk pemasangan dan
pencatatan segel pengaman mekanis yang memenuhi
ISO/PAS 17712 dan/atau perangkat deteksi kerusakan
lainnya oleh pihak yang menyusun unit kargo?
• Jika digunakan unit pengangkutan kargo tertutup bersegel,
apakah ada prosedur terdokumentasi untuk memeriksa
adanya tanda-tanda kerusakan segel ketika ada penggantian
conveyance selama masa pengapalan dan untuk menangani
adanya ketidaksesuaian yang terdeteksi ?
ada inspeksi dengan segera terhadap kontaminasi oleh pihak
yang menyusun kargo sebelum penyusunan dilakukan?
ada prosedur terdokumentasi untuk inspeksi dengan segera
oleh pihak yang menyusun sebelum penyusunan untuk
memverifikasi keutuhan fisiknya, termasuk kehandalan
mekanisme penguncian unit? Tujuh proses inspeksi yang
dianjurkan:
— Dinding muka
— Sisi kiri
— Sisi kanan
— Lantai
— Langit-langit/Atap
— Tutup dalam/luar
— Bagian Luar/Bawah
A.3.4 Skenario ancaman keamanan
Selama melakukan asesmen keamanan, pertimbangkan skenario ancaman keamanan,

termasuk namun tidak terbatas pada yang tercantum dalam Tabel A.2. Asesmen keamanan
juga harus mempertimbangkan skenario lain yang bisa ditentukan oleh otoritas pemerintah,
manajemen organisasi atau profesional keamanan yang melakukan asesmen.
Tabel A.2 — Skenario ancaman keamanan pada rantai pasokan
Skenario ancaman keamanan Penerapan

1. Mencampuri dan/atau Merusak/meghancurkan aset (termasuk
mengambil alih pengendalian aset conveyance)
(termasuk conveyance) dalam Merusak/menghancurkan target di luar dengan
rantai pasokan menggunakan aset atau barang.
Menyebabkan gangguan sipil atau ekonomi.
Menyandera orang/membunuh orang.
2. Menggunakan rantai pasokan Senjata ilegal dibawa masuk atau keluar
sebagai sarana penyelundupan. negara/ekonomi.
Teroris masuk atau keluar negara/ekonomi.
15 dari 28
SNI ISO 28001:2009
3. Menyalahgunakan informasi. Mendapatkan informasi/dokumentasi mengenai
rantai pasokan baik secara lokal atau jarak jauh
yang bertujuan mengganggu operasi atau
memudahkan aktifitas yang ilegal.
4. Keutuhan kargo Penyalahgunaan, sabotase dan/atau pencurian
untuk tujuan terorisme.
5. Penggunaan oleh pihak yang tak Melakukan operasi dalam rantai pasokan dengan
berwenang tujuan memudahkan insiden teroris termasuk
menggunakan moda transportasi sebagai senjata.
6. Lain-lain
A.4 Pengembangan rencana keamanan
A.4.1 Umum
Rencana keamanan dan/atau lampiran dapat dimasukkan ke dalam rencana operasional

atau prosedur dan tidak perlu dibuat menjadi dokumen tersendiri. Jika rencana keamanan
dimasukkan ke dalam rencana lain, organisasi sebaiknya memelihara tabel acuan silang
untuk memudahkan verifikasi bahwa semua persyaratan rencana keamanan telah dipenuhi.
Rencana tersebut dapat dipisahkan ke dalam lampiran dimana setiap lampiran menguraikan
keamanan yang diberlakukan untuk segmen rantai pasokan tertentu, termasuk tindakan
pengamanan yang akan dipelihara mitra bisnisnya sesuai deklarasi keamanannya (jika
berlaku). Rencana/lampiran tersebut sebaiknya menjelaskan pula bagaimana organisasi
akan memantau atau mengkaji secara berkala deklarasi keamanannya. Rencana/lampiran
keamanan tersebut sebaiknya mencakup, tetapi tidak terbatas pada, penjelasan berikut:
— Bagian pada rantai pasokan yang dicakup di dalam rencana atau lampiran.
— Tugas-tugas keamanan untuk semua personel keamanan.
— Struktur manajemen keamanan termasuk nama individu yang ditunjuk sebagai manager
keamanan.
— Informasi mengenai kontak keamanan internal dan eksternal pada situasi darurat yang
harus digunakan oleh personel untuk melaporkan suatu insiden keamanan.
— Keterampilan dan pengetahuan yang harus dimiliki personel dengan tanggung jawab di
bidang keamanan.
— Program pelatihan mengenai keamanan.
— Proses kualifikasi untuk personel yang ditunjuk menangani keamanan dipastikan mereka
memiliki pengetahuan dan keterampilan untuk melaksanakan tugas keamanan tersebut.
— Bagaimana unsur-unsur dalam rencana keamanan dijalankan. Partisipasi dalam
pemerintahan yang memberikan pelatihan atau melakukan uji coba keamanan oleh
personel organisasi bisa digunakan untuk memenuhi persyaratan ini.
— Proses untuk memenuhi, minimal, persyaratan keamanan yang ditetapkan pemerintah
mengenai kontigensi atau tingkat keamanan tertinggi.
Rencana keamanan sebaiknya mencakup prosedur termasuk namun tidak terbatas pada
pengaturan hal-hal berikut ini:
— Memastikan bahwa informasi mengenai pengapalan barang diterima sebelum barang

yang dikapalkan tersebut diterima oleh organisasi transportasi berikutnya.
— Memastikan bahwa barang/kargo yang diterima untuk konsolidasi/dekonsolidasi disertai
informasi akurat mengenai manifest/daftar barang/kargo. Unit barang/kargo yang
diberangkatkan sebaiknya diverifikasi terhadap order pembelian atau order pengiriman.
— Memastikan bahwa pengemudi yang mengirim atau menerima barang/kargo diidentifikasi
dengan jelas sebelum unit barang atau kargo diterima atau dikeluarkan.
16 dari 28
SNI ISO 28001:2009
— Memastikan bahwa ada identifikasi jelas mengenai penumpang kendaraan selain
pengemudi.
— Memastikan bahwa semua bentuk kekurangan, kelebihan dan ketidaksesuaian atau
bentuk anomali lainnya yang signifikan telah ditangani dan/atau diselidiki dengan baik
dan bahwa lembaga penegak hukum yang terkait telah diberitahu jika diketahui ada
tindakan ilegal atau yang mencurigakan.
— Menjelaskan tindakan pencegahan yang telah dilakukan pada bagian rantai pasokan
yang bersangkutan.
— Menjelaskan segala tindakan dan prosedur yang telah dijalankan pada bagian rantai
pasokan yang bersangkutan untuk memulihkan keamanan jika terjadi insiden keamanan.
— Menjelaskan segala tindakan dan prosedur yang telah dilakukan ketika pengawasan
barang/kargo dialihkan ke organisasi lain.
— Menjelaskan prosedur untuk mengeluarkan informasi tambahan mengenai barang yang
dikapalkan ke personel yang berwenang. Prosedur ini sebaiknya mencakup bagaimana
pemakai (user) akan menentukan apakah permohonan untuk mendapatkan informasi
tambahan sudah sah dan bagaimana/informasi apa yang dikeluarkan.
— Menjelaskan prosedur yang ditetapkan menurut A.4.3.
A.4.2 Dokumentasi
Organisasi sebaiknya memelihara dokumen berikut yang mutakhir di lokasi dimana dokumen
bisa diakses secara aman.
— Pernyataan cakupan
— Asesmen keamanan yang sudah selesai dilakukan
— Nama dan kualifikasi personel yang melakukan asesmen keamanan
— Daftar semua tindakan pencegahan yang dipertimbangkan
— Deklarasi keamanan
— Rencana keamanan dan, jika perlu, lampiran
— Catatan mengenai sesi pelatihan dan latihan yang dilakukan, personel yang mengikuti
pelatihan, subyek pelatihan dan tanggal
— Hal lain sebagaimana ditetapkan menurut peraturan atau manajemen.
A.4.3 Komunikasi
Organisasi sebaiknya, jika dapat, menetapkan kontak dengan pihak penegak hukum dan
aparat pemerintah terkait untuk tujuan berikut:
— Menetapkan prosedur yang harus ditaati jika ada kecurigaan adanya kerusakan
barang/kargo, kondisi darurat yang terkait dengan, atau diterimanya ancaman
menyangkut rantai pasokan. Prosedur ini sebaiknya, jika ada, termasuk nomor telepon
yang bisa dihubungi di lembaga pemerintah terkait. Prosedur ini sebaiknya masuk dalam
rencana keamanan rantai pasokan organisasi.
— Berpartisipasi dalam konsultasi yang dipimpin oleh aparat pemerintah terkait di tingkat
nasional dan daerah (bila perlu) untuk mendiskusikan hal-hal kepentingan bersama
termasuk peraturan dan prosedur kepabeanan dan persyaratan untuk pengamanan
tempat dan consignment.
— Bersikap tanggap terhadap upaya-upaya pemerintah dan berkontribusi dalam dialog
yang memberikan saran bermanfaat untuk memastikan bahwa rencana keamanan
organisasi masih relevan dan efektif.
Jika pihak penegak hukum dan aparat pemerintah lainnya tidak ingin berpartisipasi dalam
dialog semacam itu, organisasi sebaiknya mencatat upayanya dan melaporkan bahwa pihak
penegak hukum dan aparat pemerintah tersebut tidak berpartisipasi pada saat itu.
17 dari 28
SNI ISO 28001:2009
A.5 Pelaksanaan rencana keamanan
Implementasi suatu rencana keamanan yang baru atau yang direvisi menggambarkan
perubahan pada praktek operasional dan perlu dilaksanakan sesuai dengan sistem
manajemen organisasi untuk memastikan bahwa sumber daya yang cukup tersedia, dampak
operasi lainnya sudah dikelola dan efektifitas rencana dipantau dan dievaluasi.
A.6 Dokumentasi dan pemantauan proses keamanan
Organisasi sebaiknya menetapkan dan memelihara prosedur untuk memantau dan

mengukur kinerja sistem manajemen keamanannya untuk memastikan kesesuaian,
kecukupan dan efektifitas secara berkesinambungan. Organisasi sebaiknya
mempertimbangkan ancaman dan resiko keamaman terkait, termasuk mekanisme potensi
kerusakan dan konsekuensinya ketika menetapkan frekuensi untuk mengukur dan
memantau parameter kinerja kunci.
A.7 Perbaikan yang berkelanjutan
Manajemen yang mengendalikan operasional bagian dari rantai pasokan sebaiknya mengkaji
sistem manajemen keamanan organisasi untuk mengases peluang perbaikan dan kebutuhan
perubahan pada sistem manajemen keamanan.
18 dari 28
SNI ISO 28001:2009
Lampiran B
(informatif)
Metodologi untuk melakukan asesmen resiko keamanan

dan pengembangan tindakan pencegahan
B.1 Umum
Lampiran ini memberikan metodologi yang bisa digunakan oleh organisasi dalam rantai
pasokan internasional untuk melakukan asesmen resiko bahwa operasionalnya rentan
terhadap insiden keamanan, untuk menetapkan tindakan pencegahan yang dibutuhkan,
efektif untuk jenis dan ukuran operasi rantai pasokannya. Metodologi ini menggunakan
urutan berikut ini:
a) Daftar semua aktifitas sebagaimana tercakup dalam ruang lingkup.

b) Identifikasi pengendalian keamanan yang dilakukan saat ini.
c) Identifikasi skenario ancaman keamanan.
d) Tetapkan konsekuensinya jika skenario ancaman keamanan telah selesai.
e) Apa kemungkinan kejadian yang akan terjadi dengan kondisi keamanan saat ini.
f) Apakah tindakan pengendalian keamanan yang dilakukan sudah memadai.
g) Jika tidak, kembangkan tindakan pengamanan tambahan.
19 dari 28
SNI ISO 28001:2009
Identifikasi tindakan pengamanan yang ada
Daftar ancaman yang mungkin

terjadi
Ya
Diases?
Tidak
Pilih skenario ancaman pengamanan
Evaluasi Tindakan pengamanan
Tetapkan konsekuensinya
Tetapkan probabilitas
Ya
cukup?
Tidak
Kembangkan tindakan pencegahan
Kembangkan
Rencana Ya
Keamanan cukup
Tidak
Gambar B.1 — Representasi grafis metodologi asesmen resiko keamanan
B.2 Tahap Pertama — Pertimbangan skenario ancaman keamanan
Asesmen keamanan minimal sebaiknya mempertimbangkan skenario ancaman yang

tercantum pada Tabel B.1. Asesmen keamanan sebaiknya juga mempertimbangkan
skenario lain yang diidentifikasi oleh otoritas pemerintah, manajemen rantai pasokan atau
profesional keamanan yang melakukan asesmen.
20 dari 28
SNI ISO 28001:2009
Tabel B.1 — Skenario ancaman keamanan pada rantai pasokan
Contoh skenario ancaman Contoh penerapan
keamanan
1. menyusup dan/atau mengambil Merusak/meghancurkan aset
alih pengendalian aset (termasuk Merusak/menghancurkan target luar dengan
conveyance dalam rantai pasokan) menggunakan aset atau barang.
Menyebabkan gangguan sipil atau ekonomi.
Menyandera/membunuh orang.
2. Menggunakan rantai pasokan Senjata ilegal dibawa masuk atau keluar
sebagai sarana penyelundupan negara/ekonomi.
Teroris masuk atau keluar negara/ekonomi.
3. Pengacauan (tampering) Mendapatkan akses di lokasi atau dari jauh
informasi terhadap sistem informasi/dokumen rantai
pasokan untuk tujuan mengganggu operasi atau
memudahkan aktifitas yang ilegal.
4. Keutuhan kargo Pengacauan, sabotase dan/atau pencurian untuk
tujuan terorisme.
5. Penggunaan oleh orang yang tak Melakukan operasi dalam rantai pasokan dengan
berwenang tujuan memudahkan insiden teroris termasuk
menggunakan sarana transportasi sebagai
senjata.
6. Lain-lain
Selama asesmen, pertimbangkan hal-hal berikut:
1) Pengendalian akses
— pada tempat-tempat organisasi dalam rantai pasokan termasuk sekelilingnya;

— pada sarana transportasi (truk, kereta api, pesawat udara, tongkang, kapal, dsb.)
— pada informasi;
— lain-lain.
2) Sarana transportasi (truk, kereta api, tongkang, pesawat udara, kapal, dsb.) dengan
memperhatikan
— operasi normal;
— bengkel pemeliharaan (contoh, lapangan)
— perubahan yang diakibatkan misalnya break downs
— perubahan sarana
— conveyance saat istirahat
— penggunaan alat transportasi sebagai senjata
— Lain-lain
3) Penanganan
— muat;
— pabrikasi;
— penyimpanan (termasuk tempat penyimpanan sementara);
— pemindahan;
— bongkar;
— dekonsolidasi/konsolidasi;
— lain-lain;
21 dari 28
SNI ISO 28001:2009
4) Pengangkutan barang-barang melalui
— udara;
— jalan darat;
— rel kereta;
— pengapalan lewat jalur sungai;
— pengapalan lewat laut;
— lain-lain;
5) Deteksi/pencegahan terhadap penyusupan yang diterapkan pada pengapalan;
6) Selama inspeksi, contoh inspeksi kendaraan
7) Karyawan
— tingkat kompetensi, pelatihan dan kepedulian;
— integritas;
— lan-lain.
8) Penggunaan mitra bisnis
9) Komunikasi internal/eksternal
— pertukaran informasi;
— situasi darurat;
— lan-lain.
10) Penanganan atau pemrosesan informasi mengenai kargo atau rute transportasi
— perlindungan data;
— jaminan data;
— lain-lain.
11) Informasi eksternal

— legal;
— pemesanan oleh pihak otoritas;
— praktek industri;
— kecelakaan dan insiden;
— kemampuan tanggap awal dan waktu tanggap;
— lain-lain.
B.3 Tahap dua — Klasifikasi konsekuensi
Evaluasi konsekuensi sebaiknya mempertimbangkan potensi hilangnya nyawa dan kerugian

ekonomi. Konsekuensi dari setiap insiden keamanan yang dievaluasi pada rantai pasokan
sebaiknya diklasifikasikan menurut tinggi, menengah atau rendahnya tingkatan (lihat Tabel
B.2). Suatu sistem numerik bisa digunakan dalam proses asesmen selama hasil numeriknya
dikonversi ke sistem kualitatif.
Dasar klasifikasi konsekuensi untuk setiap insiden keamanan sebaiknya didokumentasikan.
Sebaiknya perlu hati-hati dalam menetapkan nilai konsekuensi yang dianggap “tinggi”,
“menengah” dan “rendah”. Penggunaan nilai ambang batas rendah secara berlebihan dapat
mengakibatkan persyaratan tindakan pencegahan skenario ancaman keamanan yang
dipertimbangkan lebih dari yang dibutuhkan. Namun demikian, penggunaan nilai ambang
batas tinggi secara berlebihan mungkin mengabaikan tindakan pencegahan skenario
ancaman keamanan yang melibatkan konsekuensi organisasi atau pemerintah tidak dapat
mentolerir skenario yang dijalankan.
22 dari 28
SNI ISO 28001:2009
Klasifikasi konsekuensi “tinggi” dapat dipertimbangkan sebagai suatu konsekuensi yang
tidak diterima dalam situasi probabilitas kejadiannya rendah.
Klasifikasi konsekuensi “menengah” dapat dipertimbangkan sebagai suatu konsekuensi yang

tidak diterima dalam situasi probabilitas kejadiannya tinggi.
Klasifikasi konsekuensi “rendah” dapat dipertimbangkan sebagai suatu konsekuensi yang

dapat diterima secara normal.
Kemampuberterimaan sebaiknya tidak dirancu dengan tingkat keinginan atau persetujuan.

Lebih dari itu, kemampuberterimaan bisa dipertimbangkan sebagai suatu keputusan
terhadap banyaknya jumlah kerusakan mungkin dialami organisasi atau pemerintah dan
kesediaannya untuk menerima persyaratan tertentu yang berkaitan dengan kemungkinan
kejadian. Suatu organisasi atau pemerintah dapat menentukan kemungkinan suatu tingkat
kerusakan tertentu yang mungkin tidak diinginkan tapi masih dapat diterima.
Tabel B.2 — Klasifikasi konsekuensi
Peringkat Konsekuensi
Tinggi Kematian & Cedera – kehilangan nyawa pada skala tertentu
dan/atau
Dampak ekonomi – kerusakan besar pada aset dan/atau infrastruktur
yang menghalangi operasi selanjutnya
dan/atau
Dampak lingkungan – rusaknya aspek ekosistem secara menyeluruh
yang mencakup wilayah yang luas
Menengah Kematian & Cedera – misalnya kehilangan nyawa
dan/atau
Dampak ekonomi – kerusakan besar pada aset dan/atau infrastruktur
yang membutuhkan perbaikan
dan/atau
Dampak lingkungan – misalnya kerusakan jangka panjang terhada;p
sebagian ekosistem
Rendah Kematian & Cedera – cedera tetapi tidak ada kasus kehilangan nyawa
dan/atau
Dampak ekonomi – kerusakan minimal pada aset dan/atau infrastruktur
sistem
dan/atau
Dampak lingkungan – beberapa kerusakan lingkungan
B.4 Tahap tiga — Klasifikasi probabilitas kejadian insiden keamanan
Status fisik dan tindakan keamanan operasional pada rantai pasokan sebagaimana yang
didokumentasikan dalam daftar kajian kinerja keamanan dan dokumentasi lainnya sebaiknya
diperhitungkan dalam mengklasifikasi potensi insiden keamanan. Tindakan keamanan fisik
termasuk benda-benda yang menghambat atau diketahui adanya akses ilegal oleh orang
yang tidak berwenang. Probabilitas dari setiap insiden keamanan yang terjadi pada suatu
aset tertentu sebaiknya diklasifikasi sebagai resiko tingkat tinggi, menengah dan rendah.
— Probabilitas tinggi sebaiknya digunakan saat tindakan pengamanan yang diberlakukan

menunjukkan tingkat resistensi kecil terhadap insiden keamanan yang terjadi. Jika sistem
23 dari 28
SNI ISO 28001:2009
numerik digunakan dalam proses asesmen, hasil-hasil numerik harus dikonversikan ke
dalam sistem kualitatif.
— Probabilitas menengah sebaiknya digunakan saat tindakan pengamanan yang

diberlakukan menunjukkan tingkat resistensi menengah terhadap insiden keamanan
yang terjadi.
— Probabilitas rendah sebaiknya digunakan dalam kasus dimana tindakan pengamanan

yang diberlakukan menujukkan tingkat resistensi penting terhadap insiden keamanan
yang terjadi.
Dasar klasifikasi probabilitas untuk setiap insiden keamanan sebaiknya didokumentasikan.
B.5. Tahap empat — penetapan skor insiden keamanan
Bagan skor insiden keamanan yang ditunjukkan pada Tabel B.3 merupakan contoh yang
bisa digunakan untuk menetapkan ketika mempertimbangkan tindakan pencegahan
terhadap insiden keamanan spesifik.
Tabel B.3 — Bagan Skor Insiden Keamanan
Klasifikasi probabilitas
Tinggi Menengah Rendah

konsekuen
Tinggi Tindakan Tindakan pencegahan Pertimbangkan

Klasifikasi
pencegahan
Menengah Tindakan tindakan pencegahan Dokumentasikan
pencegahan atau pertimbangan yang
memadai
Rendah pertimbangkan Dokumentasikan Dokumentasikan
Identifikasi tindakan pencegahan disyaratkan untuk insiden keamanan yang memiliki skor
tinggi baik dalam probabilitas maupun konsekuensi begitupun skor probabilitas menengah
dan konsekuensi tinggi. Insiden keamanan lainnya tidak perlu mencakup tindakan
pencegahan, kecuali jika diminta oleh evaluator. Individu yang menilai keamanan sebaiknya
membuat daftar setiap insiden keamanan yang dipertimbangkan sebagai tindakan
pencegahan.
CATATAN Aparat penegak hukum dan aparat pemerintah lain dapat menetapkan untuk
memberlakukan tindakan pencegahan untuk skenario konsekuensi yang sangat tinggi dengan
mengabaikan probabilitas sebagai suatu kebijakan nasional. Tindakan pencegahan dikembangkan
sebagai hasil dari pengecualian ini sebaiknya ditinjau kembali oleh aparat pemerintah untuk melihat
efektifitasnya.
B.6 Tahap lima — Pengembangan tindakan pencegahan
Jika suatu tindakan pencegahan disyaratkan atau dianjurkan oleh evaluator, baik
konsekuensi dan/atau probabilitas terhadap skenario ancaman keamanan sebaiknya
dipertimbangkan dalam mitigasi. Tujuan dari pengurangan terhadap probabilitas skenario
ancaman keamanan yang melebihi atau mengurangi bahaya yang disebabkan karena
scenario ancaman keamanan ke tingkat ketika tindakan pencegahan tambahan tidak lagi
dipersyaratkan.
Tindakan pencegahan dilakukan berdasarkan hal-hal berikut ini:
24 dari 28
SNI ISO 28001:2009
— Perlakuan: bisa merupakan tindakan organisasi dan/atau tindakan fisik
— Transfer: pengalihan resiko dapat dilakukan dengan cara subkontrak, pengalihan fisik ke
lokasi-lokasi lain, waktu, dsb.
— Terminasi: berdasarkan tingkat resiko, organisasi bisa memutuskan untuk tidak

meneruskan kegiatan.
Dalam situasi tertentu, suatu organisasi mungkin harus mentolerir (lihat catatan) resiko yang
disebabkan oleh tidak praktisnya tindakan pencegahan, kurangnya otoritas untuk
memberlakukan tindakan pencegahan yang dibutuhkan atau faktor-faktor lainnya yang tidak
bisa ditangani.
CATATAN Toleransi situasi yang demikian bila tidak ada tindakan yang bisa diambil oleh
organisasi. Kegiatan dan evaluasi tersebut sebaiknya didokumentasikan dan dikajiulang secara
berkala.
B.7 Tahap enam — Implementasi tindakan pencegahan
Tindakan pencegahan baru karena adanya suatu perubahan pada praktek operasional dan
perlu dilaksanakan sesuai dengan sistem manajemen organisasi untuk memastikan
ketersediaan sumberdaya yang cukup; dampak pada operasionalnya dapat dikelola dan
perubahan yang terjadi mendapat dukungan manajemen.
B.8 Tahap tujuh — Evaluasi tindakan pencegahan
Penggunaan metode yang ditetapkan dalam Standar, setiap tindakan pencegahan

sebaiknya diases untuk melihat efektifitas upaya menurunkan tingkat probabilitas atau
konsekuensinya (atau gabungan keduanya) agar tidak melebihi persyaratan tindakan
pencegahan tambahan yang dipertimbangkan. Tindakan pencegahan yang seperti ini
dianggap efektif, dan sebaiknya masuk dalam daftar pada laporan asesmen keamanan.
B.9 Tahap delapan — Pengulangan proses
Setelah tindakan pencegahan yang dikembangkan dan dievaluasi adalah efektif, lanjutkan
ke proses skenario ancaman keamanan berikutnya hingga skenario yang terdaftar berkurang.
B.10 Kelanjutan proses
Proses asesmen terus berlangsung. Sebagaimana diuraikan dalam gambar B.1. keamanan
mesti dipantau secara terus menerus untuk memastikan tindakan keamanan yang sedang
dilaksanakan dan proses asesmen sebaiknya dilaksanakan jika diperlukan.
25 dari 28
SNI ISO 28001:2009
Lampiran C
(informatif)
Panduan untuk memperoleh saran dan sertifikasi
C.1 Umum
Organisasi yang bermaksud mengimplementasikan SNI ISO 28001 tidak diwajibkan untuk
meminta jasa dari konsultan di luar organisasi. Jika organisasi membutuhkan saran atau
bantuan untuk asesmen keamanan, mengembangkan rencana keamanan, atau
menjalankan persyaratan yang dibutuhkan, organisasi dapat meminta jasa konsultansi
eksternal. Namun, tanggung jawab organisasi yang meminta bantuan tersebut harus
memeriksa dan memverifikasi kompetensi konsultan yang menawarkan jasa, misalnya
dengan meminta rekomendasi, memeriksa referensi atau dengan mengkaji pekerjaan yang
dilaksanakan. Konsultan yang memberikan jasa kepada organisasi tidak boleh dilibatkan
dalam audit pihak ketiga terhadap organisasi yang sama.
C. 2 Memperagakan kesesuaian dengan SNI ISO 28001 melalui audit
SNI ISO 28001 merupakan spesifikasi persyaratan yang dimaksudkan untuk membantu
organisasi, atas kemauannya sendiri memilih untuk memenuhi persyaratan, menetapkan dan
memperagakan tingkat keamanan yang memadai pada rantai pasokan yang ditangani. Oleh
karenanya bisa dijadikan dasar untuk menentukan, memvalidasi atau memperagakan tingkat
keamanan yang ada dalam rantai pasokan organisasi melalui proses audit pihak pertama,
kedua atau ketiga, atau oleh lembaga pemerintah yang memilih Standar sebagai dasar yang
diterapkannya ke dalam program keamanan rantai pasokan.
Jenis-jenis audit:
— Audit pihak pertama merupakan penentuan sendiri mengenai kesesuaian oleh organisasi.
— Audit pihak kedua merupakan penentuan atau verifikasi mengenai kesesuaian organisasi
terhadap kriteria yang ditentukan oleh organisasi, lembaga atau badan lain yang memiliki
kepentingan pada operasional rantai pasokan organisasi.
— Audit pihak ketiga merupakan penentuan atau verifikasi mengenai kesesuaian terhadap
kriteria yang ditentukan oleh organisasi independen terhadap pihak lain.
Validasi dan sertifikasi oleh pemerintah atau lembaga pemerintah.
Lembaga pemerintah yang memilih untuk menggunakan kesesuaian terhadap Standar ini
sebagai dasar keberterimaan terhadap program keamanan rantai pasokan mungkin
berkeinginan untuk mensertifikasi dan memvalidasi sendiri atau untuk menghindari duplikasi
saat dilakukannya audit oleh pihak lainnya. WCO menetapkan panduan untuk administrasi
kepabeanan menyangkut persyaratan validasi dan sertifikasi untuk program keamanan
rantai pasokan kepabeanan nasional sesuai dengan WCO SAFE Framework, dan program
saling pengakuan.
C.3 Sertifikasi ISO 28001 oleh badan sertifikasi pihak ketiga
Jika dilakukan audit oleh pihak ketiga untuk menilai kesesuaian, maka organisasi yang
mengupayakan sertifikasi seharusnya menyeleksi badan sertifikasi pihak ketiga yang
diakreditasi oleh badan akreditasi yang kompeten, seperti badan-badan yang merupakan
26 dari 28
SNI ISO 28001:2009
anggota International Accreditation Forum Inc (IAF) dan terikat ketentuan IAF Multilateral
Recognition Arrangement (MLA). Badan akreditasi tersebut harus sesuai dengan aturan,
code of practice dan protokol audit yang diakui setara, seperti SNI ISO/IEC 17021 dan SNI
19-19011. Lihat uraian pada CATATAN.
27 dari 28
SNI ISO 28001:2009
Bibliografi
[1] ISO 9001:2000, Quality management systems — Reqiurement
[2] ISO 14001:2004, Environmental management systems — Requirements with

guidance for use
[3] ISO/IEC 17021:2006, Conformity Assessment — Requirements for bodies

providing audit aqnd certification of management systems
[4] ISO/PAS 17712:2006, Freight containers — Mechanical seals
[5] ISO 19011:2002, Guidelines for quality and/or environmental management

systems auditing
[6] ISO/PAS 20858:2004, Ships and marine technology — Maritime port facility
security assessments dan security plan development
[7] ISO 28000:2007, Specification for security management systems for the supply
chain
[8] ISO 28003:2007, Security management systems for the supply chain —
Requirements for bodies providing audit and certification of supply chains
security management systems
[9] International Safety Management (ISM) Code, International Maritime

Organization
[10] SAFE Framework of Standards — Appendix untuk Annex 1, World Customs

Organization
28 dari 28
BADAN STANDARDISASI NASIONAL - BSN

Gedung Manggala Wanabakti Blok IV Lt. 3-4
Jl. Jend. Gatot Subroto, Senayan Jakarta 10270
Telp: 021- 574 7043; Faks: 021- 5747045; e-mail : bsn@bsn.go.id

Sni Iso 28001 2009 PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Sni Iso 28001 2009 PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

SNI ISO 28001:2009

Sistem manajemen keamanan pada rantai

ICS 47.020.99 Badan Standardisasi Nasional

B.5 Tahap empat — Penetapan skor insiden keamanan .............................. 24

1. ISO 9001:2000, Quality management systems — Reqiurement diadopsi menjadi SNI

2. ISO 14001:2004, Environmental management systems – Requirements with

3. ISO/IEC 17021:2006, Conformity Assessment — Requirements for bodies providing

4. ISO 19011:2002, Guidelines for quality and/or environmental management systems

Keluaran dari Standar ini adalah sebagai berikut:

- Asesmen keamanan yang mendokumentasikan kerentanan rantai pasokan terhadap

- Rencana keamanan yang menguraikan tindakan pengamanan untuk menangani

- Program pelatihan yang menguraikan bagaimana seorang personel keamanan akan

- mengidentifikasi ancaman-ancaman yang timbul (ancaman keamanan);

Lampiran A dan B memberikan ilustrasi mengenai contoh-contoh manajemen resiko

Lampiran ini dibuat juga dengan maksud:

- memudahkan pemahaman, adopsi dan implementasi metodologi, yang bisa disesuaikan

Sistem manajemen keamanan pada rantai pasokan — Praktek terbaik untuk

- mengembangkan dan menerapkan proses keamanan rantai pasokan;

Pengguna Standar ini akan:

- menetapkan porsi keamanan dalam rantai pasokan (lihat 4.1);

3 Istilah dan Definisi

CATATAN 2 AEO termasuk diantaranya pabrikan, importir, eksportir, broker, pengangkut,

- membuat, menangani, memproses, memuat, menyatukan, melakukan bongkar atau

CATATAN 1 Rencana keamanan dirancang untuk memastikan penerapan tindakan untuk

CACATAN 2 Rencana tersebut dapat digabungkan dengan rencana operasional lainnya.

CATATAN Merupakan organisasi dunia yang kompeten dalam masalah kepabeanan.

4.1 Pernyataan Penerapan

a) rincian mengenai organisasi;

4.2 Mitra Bisnis

4.3 Sertifikat atau persetujuan yang diterima secara internasional

4.4 Mitra bisnis yang dikecualikan dari persyaratan deklarasi keamanan

Mitra bisnis yang menyatakan kepada organisasi bahwa mereka

a) diverifikasi kesesuaiannya terhadap Standar ini atau ISO 20858.

4.5 Tinjauan keamanan mitra bisnis

CATATAN Untuk memberikan kemudahan dalam membaca pernyataan kesesuaian organisasi,

5. Proses keamanan rantai pasokan

5.2 Identifikasi cakupan asesmen keamanan

5.3 Pelaksanaan asesmen keamanan

5.3.1 Asesmen personel

5.3.2 Proses asesmen

Organisasi harus menetapkan, menerapkan dan memelihara prosedur untuk mengidentifikasi

Untuk setiap skenario ancaman keamanan, organisasi harus mengevaluasi tindakan

Organisasi harus mempertimbangkan rincian dan validitas setiap pernyataan keamanan

Informasi berikut ini harus didokumentasikan:

a) seluruh skenario ancaman keamanan yang dipertimbangkan;

5.4 Pengembangan rencana keamanan rantai pasokan

Organisasi harus mengkaji dan mempertimbangkan penggunaan panduan dalam Lampiran A

5.5 Pelaksanaan rencana keamanan rantai pasokan

Organisasi harus menetapkan sistem manajemen yang memungkinkan proses keamanan

5.6 Dokumentasi dan pemantauan terhadap proses keamanan rantai pasokan

Organisasi harus menetapkan dan memelihara prosedur untuk mendokumentasikan,

5.6.2 Perbaikan secara berkelanjutan

Organisasi harus melakukan asesmen peluang untuk perbaikan pengaturan keamanannya

5.7 Tindakan yang disyaratkan setelah terjadinya insiden keamanan

a) menentukan penyebab insiden dan tindakan korektif yang dibutuhkan;

Jika terjadi pelanggaran keamanan, organisasi harus mengikuti prosedur pelaporan ke

5.8 Perlindungan informasi keamanan

a) individu bersangkutan membutuhkan akses atas informasi keamanan yang sensitif

Prosedur keamanan rantai pasokan

Lampiran ini memberikan panduan mengenai pengembangan proses keamanan rantai

Identifikasi ruang lingkup asesmen keamanan

Lakukan asesmen keamanan Pilih skenario ancaman

Identifikasi tindakan pengamanan yang ada Evaluasi tindakan pengamanan