PAS 7000 Supply Chain Risk Management – Supplier prequalification

8. November 2014

Titel:

Supply Chain Risk Management – Supplier prequalification

Herausgeber:

British Standards bsi

Veröffentlichung:

November 2014

Beschreibung:

Standard für Dienstleisteraudits

Zertifizierung:

keine Zertifizierung

Bezug:

kostenfrei bei bsi

Inhalte:

Foreword ………………………………………………………………………………………. ii 0

Introduction ………………………………………………………………………………… iii

1 Scope ………………………………………………………………………………………….. 1

2 Terms and definitions ………………………………………………………………….. 2

3 Core prequalification topic modules …………………………………………….. 4

3.0 Essential and discretionary information items …………………………….. 4

3.1 Core topic module C1 – Organizational Profile …………………………… 5

3.2 Core topic module C2 – Supplier capabilities and capacities ………… 8

3.3 Core topic module C3 – Financial Information & Insurance ………….. 10

3.4 Core topic module C4 – Business Governance ……………………………… 12

3.5 Core topic module C5 – Employment Policies ……………………………… 15

3.6 Core topic module C6 – Health and safety ………………………………….. 21

3.7 Core topic module C7 – Data protection …………………………………….. 25

3.8 Core topic module C8 – Environmental management ………………….. 29

3.9 Core topic module C9 – Quality management …………………………….. 35

4 Additional prequalification topic modules ……………………………………. 39

4.0 Essential and discretionary information items …………………………….. 39

4.1 Additional topic module A1 – Business ethics ……………………………… 40

4.2 Additional topic module A2 – Supply chain traceability ………………. 43

4.3 Additional topic module A3 – Supply chain security management .. 46

4.4 Additional topic module A4 – Equal opportunity and freedom of association …………………………………………………………………………………. 51

4.5 Additional topic module A5 – Disciplinary practices and abuse ……. 53

4.6 Additional topic module A6 – Business continuity management ….. 54

5 Rules for information provision (by suppliers) ………………………………. 58

5.1 Information to be included ……………………………………………………….. 58

5.2 Limit of application …………………………………………………………………… 58

6 Rules for information acquisition (by buyers) ……………………………….. 59

6.1 Precondition for entities intending to apply PAS 7000 ………………… 59

6.2 Use of topic modules and information items ………………………………. 59

6.3 Supplementary information ………………………………………………………. 59

6.4 Assessment criteria ……………………………………………………………………. 59

7 Declarations of compliance with PAS 7000 ……………………………………. 60

7.1 Suppliers ………………………………………………………………………………….. 60

7.2 Buyers / Procuring organizations ……………………………………………….. 60

8 Bibliography ……………………………………………………………………………….. 61

ISO 28000:2007-9

9. Januar 2014

Specification for security management systems for the supply chain

Foreword ……………………………………………………………………………………iv

Introduction …………………………………………………………………………………v

1 Scope ……………………………………………………………………………………..1

2 Normative references ………………………………………………………………………..1

3 Terms and definitions ……………………………………………………………………….1

4 Security management system elements …………………………………………………………..3
4.1 General requirements ………………………………………………………………………3
4.2 Security management policy …………………………………………………………………4
4.3 Security risk assessment and planning ……………………………………………………….4
4.4 Implementation and operation ……………………………………………………………….7
4.5 Checking and corrective action …………………………………………………………….10
4.6 Management review and continual improvement …………………………………………………12

ISO 9001:2000 ……………………………………………………………………………….13

Bibliography ………………………………………………………………………………..16

ISO/TR 31004:2013

27. Oktober 2013

Titel:

Risk management — Guidance for the implementation of ISO 31000

Inhalt:

ISO/TR 31004:2013 provides guidance for organizations on managing risk effectively by implementing ISO 31000:2009. It provides:

a structured approach for organizations to transition their risk management arrangements in order to be consistent with ISO 31000, in a manner tailored to the characteristics of the organization;
an explanation of the underlying concepts of ISO 31000;
guidance on aspects of the principles and risk management framework that are described in ISO 31000.

ISO/TR 31004:2013 can be used by any public, private or community enterprise, association, group or individual.

ISO/TR 31004:2013 is not specific to any industry or sector, or to any particular type of risk, and can be applied to all activities and to all parts of organizations.

Bezug:

ISO

ISO 27014:2013

9. Mai 2013

Titel:

ISO/IEC 27014:2013

Information technology — Security techniques — Governance of information security

Beschreibung:

ISO/IEC 27014:2013 provides guidance on concepts and principles for the governance of information security, by which organizations can evaluate, direct, monitor and communicate the information security related activities within the organization.

ISO/IEC 27014:2013 is applicable to all types and sizes of organizations

Bezug:

ISO

ISO/IEC TR 27015:2012

29. April 2013

Information technology — Security techniques — Information security management guidelines for financial services

A new ISO/IEC technical report aims to provide additional support to the financial industry to set up an appropriate information security management system for the provisioning of their financial services while giving more confidence to their customers.

ISO/IEC TR 27015:2012 provides information security guidance complementing and in addition to information security controls defined in ISO/IEC 27002:2005 for initiating, implementing, maintaining, and improving information security within organizations providing financial services.

Bezug: ISO

ISO 27005

12. März 2013

Titel:

ISO 27005:2011 Information technology — Security techniques — Information security risk management

Herausgeber:

ISO

Veröffentlichung:

Juni 2008, Revision 2011

Beschreibung:

ISO 27005 gibt Guidelines für das Risikomanagement in der Informationssicherheit und konkretisiert die Anforderungen des ISO 27001 an den Risk Management-Prozess.

“ISO/IEC 27005:2011 provides guidelines for information security risk management.

It supports the general concepts specified in ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach.

Knowledge of the concepts, models, processes and terminologies described in ISO/IEC 27001 and ISO/IEC 27002 is important for a complete understanding of ISO/IEC 27005:2011.

ISO/IEC 27005:2011 is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that could compromise the organization’s information security.”

Zertifizierung:

Zertifizierung nach ISO 27001

Bezug:

ISO

ISO IT Security Standards

11. März 2013

IT-Security Standards der ISO finden sich in der 27000er-Reihe, die vom Technical Committee JTC 1/SC 27 “IT Security techniques” erarbeitet wird.

Das aktuelle workprogramm findet sich hier.

ISO/IEC 27002

11. März 2013

Titel:

ISO/IEC 27002 Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management

Herausgeber:

ISO

Veröffentlichung:

September 2008

Beschreibung:

Der Standard beschreibt Methoden und Verfahren zur Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.

Die ISO/IEC 27002:2008 wurde aus dem britischen Standard BS 7799-1:1999 entwickelt.

Zu den beschriebenen Überwachungsbereichen gehört auch das Business Continuity Management (Abschnitt 14):

“In der gesamten Organisation sollte ein gelenkter Prozess zur Sicherstellung des Geschäftsbetriebs entwi-ckelt und aufrechterhalten werden, der die für die Sicherstellung des Geschäftsbetriebs (Business Continuity) erforderlichen Informationssicherheitsanforderungen in der Organisation behandelt.”

Wesentliche Elemente:

Verstehen der Risiken, denen die Organisation ausgesetzt ist, und deren Wahrscheinlichkeit und zeitliche Auswirkung, sowie eine Identifikation und Feststellung der Prioritäten kritischer Geschäftsprozesse;

Identifikation aller organisationseigenen Werte (Assets), die zu kritischen Geschäftsprozessen gehören;

Verstehen der Auswirkungen, die Informationssicherheitsvorfälle wahrscheinlich auf das Geschäft haben werden (es ist wichtig, dass Lösungen gefunden werden, die kleinere Auswirkungen genauso behandeln wie größere, die die Existenz derOrganisation bedrohen könnten) und Festlegung der Organisationsziele für informationsverarbeitende Anlagen;

Erwägung, eine geeignete Versicherung abzuschließen, die Teil des gesamten Prozesses zur Sicherstellung des Geschäftsbetriebs und auch Teil des betrieblichen Risikomanagements sein könnte;

Identifikation von zusätzlichen vorbeugenden und Schadensmildernden Maßnahmen und Überlegungen zu deren Umsetzung;

Identifikation von ausreichenden finanziellen, organisatorischen, technischen und umfeldbedingten Res-sourcen, um die identifizierten Informationssicherheitsanforderungen zu erfüllen;

Garantie der Sicherheit von Personen und des Schutzes von informationsverarbeitenden Einrichtungen und Anlagewerten der Organisation;

Formulierung und Dokumentation von Plänen zur Sicherstellung des Geschäftsbetriebs, die die Informa-tionssicherheitsanforderungen in Übereinstimmung mit der vereinbarten Strategie zur Sicherstellung des Geschäftsbetriebs behandeln;

regelmäßige Tests und Aktualisierungen der etablierten Pläne und Prozesse;

Sicherstellung, dass die Sicherstellung des Geschäftsbetriebs in die Prozesse und Strukturen der Orga-nisation integriert wird; die Verantwortung für die Koordination des Prozesses zur Sicherstellung des Ge-schäftsbetriebs sollte auf eine angemessene Ebene in der Organisation übertragen werden .

Zertifizierung:

Zertifizierung nach ISO/IEC 27001 möglich

Bezug:

ISO

ISO/IEC 27001

11. März 2013

Titel:

ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements

Herausgeber:

ISO

Veröffentlichung:

erstmals 2005, letzte Ausgabe 2008

Beschreibung:

Der Standard definiert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.

Die ISO/IEC 27001:2005 wurde aus dem britischen Standard BS 7799-2:2002 entwickelt.

Zu den explizit genannten Anforderungen gehört auch das Business Continuity Management (Abschnitt A.14).

Anforderungen:

Including information security in the business continuity management process
Business continuity and risk assessment
Developing and implementing continuity plans including information security
Business continuity planning framework
Testing, maintaining and re-assessing business continuity plans

Zu den genannten Anforderungen sind jeweils controls definert.

Zertifizierung:

Zertifizierung nach ISO/IEC 27001 möglich

Bezug:

ISO

ISO/IEC 20000-1:2011

9. März 2013

Titel:
Information technology — Service management — Part 1: Service management system requirements

Beschreibung:

ISO/IEC 20000 ist die Standardisierungsnorm für ITIL (IT Infrastructure Library).

Die Norm besteht aus

ISO/IEC20000-1 – requirements
ISO/IEC20000-2 – code of practice.

“ISO/IEC 20000-1:2011 is a service management system (SMS) standard. It specifies requirements for the service provider to plan, establish, implement, operate, monitor, review, maintain and improve an SMS. The requirements include the design, transition, delivery and improvement of services to fulfil agreed service requirements.”

ISO 20000 beschreibt IT-Prozesse.

In der Service Delivery Group sind folgende Prozesse beschrieben:

Capacity Management
Service Continuity & Availability Management
Service Level Management
Service Reporting
Information Security Management
Budgeting & Accounting for Services.

Hier finden sich die für BCM und ITSCM relevanten Prozesse.

Zertifizierung:

Eine Zertifizierung nach ISO/IEC 20000-1:2011 ist möglich

Verweis:

ISO

BS 45000

5. März 2013

Titel: Guidance to organizational resilience

Herausgeber: British Standards Committee: SSM/1/6/1 Drafting Group

Veröffentlichung: Under development

Beschreibung: Guidance to organizational resilience Unter Mitarbeit des BCI, Cabinet Office und weiterer namhafter Organisationen aus Großbritannien

Zertifizierung: keine Zertifizierung

Bezug: BSI

ISO/IEC 24762:2008

28. Februar 2013

Titel:

Guidelines for information and communications technology disaster recovery services

Herausgeber:

ISO

Veröffentlichung:

Februar 2008

Beschreibung:

ISO/IEC 24762:2008 provides guidelines on the provision of information and communications technology disaster recovery (ICT DR) services as part of business continuity management, applicable to both “in-house” and “outsourced” ICT DR service providers of physical facilities and services.

ISO/IEC 24762:2008 specifies:

the requirements for implementing, operating, monitoring and maintaining ICT DR services and facilities;

the capabilities which outsourced ICT DR service providers should possess and the practices they should follow, so as to provide basic secure operating environments and facilitate organizations’ recovery efforts;

the guidance for selection of recovery site; and

the guidance for ICT DR service providers to continuously improve their ICT DR services.

Zertifizierung:

keine Zertifizierung

Bezug:

ISO