ISO 28000: 2007 (Đặc điểm kỹ thuật cho các hệ thống quản lý bảo mật cho chuỗi cung ứng) là một tổ chức quốc tế về tiêu chuẩn hóa quy định các yêu cầu của hệ thống quản lý bảo mật, đặc biệt là xử lý bảo đảm an ninh trong chuỗi cung ứng. Các phần của tiêu chuẩn được coi là có sẵn công khai, trong khi toàn bộ thông số kỹ thuật có thể được mua từ Tổ chức Tiêu chuẩn Quốc tế.
ISO 28000: 2007 được phát triển để mã hóa các hoạt động bảo mật trong hệ thống quản lý chuỗi cung ứng rộng hơn. Cấu trúc hệ thống quản lý PDCA đã được áp dụng trong việc phát triển ISO 28000: 2007 để mang các yếu tố của tiêu chuẩn này phù hợp với các tiêu chuẩn liên quan như ISO 9001: 2000 và ISO 14001: 2004.[1][2]
Sự phát triển của một tiêu chuẩn quốc tế nhằm giải quyết quản lý rủi ro bảo mật cải thiện giao diện rộng hơn với quản lý rủi ro doanh nghiệp hiện có trong một nền tảng tích hợp chung. Phương pháp tích hợp này để quản lý rủi ro thường được sử dụng để phối hợp tốt hơn các cơ chế quản lý rủi ro chức năng chéo, cải thiện đo lường hiệu suất, đảm bảo cải tiến liên tục và giảm sai lệch các mục tiêu quản lý rủi ro giữa các silo.[3]
ISO 28000: 2007 được phát triển sao cho các tổ chức có quy mô khác nhau có thể áp dụng tiêu chuẩn này để cung cấp các chuỗi có mức độ phức tạp khác nhau.
Lý do chung cho các tổ chức áp dụng ISO 28000: 2007 liên quan đến:
Việc áp dụng ISO 28000 có lợi ích chiến lược, tổ chức và hoạt động rộng lớn được thực hiện trong suốt chuỗi cung ứng và thực tiễn kinh doanh.[4]
Các lợi ích bao gồm, nhưng không giới hạn ở:
ISO 28000: 2007 là một tiêu chuẩn có chứng nhận.[5]