Docstoc

SNI ISO 28000 2009 Panduan Sistem Manajemen Keamanan pada rantai pasokan

Document Sample
SNI ISO 28000 2009 Panduan Sistem Manajemen Keamanan pada rantai pasokan Powered By Docstoc
					                                                      SNI ISO 28000:2009




                                                                           “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Standar Nasional Indonesia




    Spesifikasi sistem manajemen keamanan pada
                     rantai pasokan
     Specification for security management systems for the supply chain
                             (ISO 28000:2007, IDT)




ICS 47.020.99                 Badan Standardisasi Nasional
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
                                                                                                               SNI ISO 28000:2009



                                                                Daftar isi




                                                                                                                                             “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Daftar isi .........................................................................................................................    i
Kata Sambutan ……………......…………………………………………………..................                                                                         ii
Pendahuluan …......………………………………………………………………..................                                                                          iii
1       Ruang lingkup ….........….……………………………………………………..............                                                                   1
2       Acuan Normatif ….........…………………………………………………...................                                                                1
3       Istilah dan definisi …........……………………………………………………..............                                                               1
4       Elemen sistem manajemen keamanan ….............………………………................                                                       4
4.1 Persyaratan umum ……....………………………………………...............................                                                              4
4.2 Kebijakan manajemen keamanan …...……………………………………................                                                                    5
4.3 Penilaian resiko keamanan dan perencanaan ….………………………................                                                              5
4.4 Implementasi dan operasional …....………………………………………................                                                                  8
4.5 Pengecekan dan tindakan korektif …....…………………………………….............                                                                  11
4.6 Tinjauan manajemen dan peningkatan berkesinambungan .….….... ..................                                                    14
Lampiran A (informatif) Korelasi antara SNI ISO 28000:2009, SNI 19-14001-2005
dan SNI 19-9001-2001 …………………………………....................................................                                                 15
Bibliografi ……………………………………………………………………..........................                                                                       18




                                                                     i
SNI ISO 28000:2009



                                         Prakata




                                                                                              “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Standar Nasional Indonesia (SNI), Spesifikasi sistem manajemen pada rantai pasokan
disusun dengan mengadopsi secara identik dengan metode terjemahan dari ISO
28000:2007, Specification for security management systems for the supply chain.

Beberapa istilah International Standard telah diganti dengan Standard dan diterjemahkan
menjadi standar.

SNI ini disusun sesuai dengan ketentuan yang diberikan dalam Pedoman Standardisasi
Nasional (PSN) 03.1:2007, Adopsi Standar Internasional dan Publikasi Internasional lainnya
Bagian 1: Adopsi Standar Internasional menjadi SNI (ISO/IEC Guide 21-1:2005, Regional or
national adoption of International Standards and other International Deliverables – Part 1:
Adoption of International Standards, MOD), serta PSN 08:2007, Penulisan SNI

Standar ini disusun oleh Panitia Teknis 03-02 Sistem Manajemen Mutu, dan telah dibahas
dalam rapat konsensus pada tanggal 27 Februari 2009 di Jakarta yang dihadiri oleh pihak-
pihak yang berkepentingan (stakeholder).

Beberapa dokumen ISO yang diacu dalam Standar ini telah diadopsi menjadi SNI, yaitu:
   1. ISO 9001:2000, Quality management systems — Reqiurements telah diadopsi
      menjadi SNI 19-9001-2001 Sistem manajemen mutu – Persyaratan. ISO 9001:2000
      telah direvisi menjadi ISO 9001:2008. Dan ISO 9001:2008 telah diadopsi menjadi SNI
      ISO 9001:2008.

   2. ISO 14001:2004, Environmental management systems – Requirements with
      guidance for use diadopsi menjadi SNI 19-14001-2005 Sistem manajemen
      lingkungan – Persyaratan dan panduan penggunaan.

   3. ISO 19011:2002, Guidelines for quality and/or environmental management systems
      auditing telah diadopsi menjadi SNI 19-19011-2005 Panduan audit sistem
      manajemen mutu dan/atau lingkungan

Bagi yang berkepentingan, jika dikemudian hari mengalami kesulitan dalam penggunaan dan
atau terjadi perbedaan dalam memahami Standar ini, dianjurkan untuk merujuk ke ISO
28000:2007.




                                           ii
                                                                                                                                                               SNI ISO 28000:2009



                                                                    Pendahuluan




                                                                                                                                                                                    “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Standar ini dikembangkan untuk merespon tuntutan dari kalangan industri atas
dibutuhkannya sebuah standar manajemen keamanan. Sasaran akhirnya adalah untuk
meningkatkan keamanan pada rantai pasokan. Standar merupakan standar manajemen
tingkat tinggi yang akan memudahkan organisasi menetapkan seluruh sistem manajemen
keamanan pada rantai pasokan. Sistem tersebut mewajibkan organisasi untuk menilai
kondisi lingkungan keamanan di tempat operasinya dan untuk menentukan apakah tindakan-
tindakan pengamanan diberlakukan secara memadai dan jika persyaratan regulasi lain telah
ada yang mengikat organisasi. Jika kebutuhan pengamanan diidentifikasi oleh proses ini,
organisasi seharusnya menerapkan mekanisme dan proses untuk memenuhi kebutuhan
tersebut. Oleh karena rantai pasokan sifatnya dinamis, beberapa organisasi yang menangani
berbagai rantai pasokan mungkin perlu menghubungi penyedia jasa masing-masing agar
memenuhi pula standar pemerintah atau ISO mengenai pengamanan rantai pasokan
sebagai prasyarat bisa dimasukkan dalam rantai pasokan dengan sasaran
menyederhanakan manajemen keamanan sebagaimana diilustrasikan di bawah ini.




                                                                       ISO 28000 :
                                                                   Sistem manajemen
                                                                    keamanan pada
                                                                     rantai pasokan
                          Keamanan menyangkut Keamanan Fasilitas




                                                                        ISO 28001: Tanggung Jawab Praktek terbaik




                                                                                                                    Standar-standar khusus lainnya atau yang
                             ISO 20858: Asesmen dan Rencana




                                                                             dalam Keamanan Rantai Pasokan




                                                                                                                             tengah dikembangkan
                                     Pelabuhan Laut




           Gambar 1 — Kaitan antara ISO 28000 dan standar relevan lainnya

Standar ini dimaksudkan untuk diterapkan pada rantai pasokan organisasi yang bdisyaratkan
untuk dikelola dengan cara-cara yang aman. Pendekatan formal terhadap manajemen
keamanan dapat membawa konstribusi secara langsung pada kemampuan dan kredibilitas
organisasi.

                                                                             iii
SNI ISO 28000:2009



Ketaatan terhadap Standar ini tidak otomatis membebaskan pihak-pihak terkait dari




                                                                                           “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
kewajiban-kewajiban hukum. Bagi organisasi yang akan, memenuhi sistem manajemen
keamanan sesuai dengan Standar ini dapat diverifikasi oleh proses audit eksternal maupun
internal

Standar ini didasarkan pada format ISO yang diadopsi dari ISO 14001:2004 karena
pendekatan risiko dalam sistem manajemen. Namun demikian, organisasi yang telah
mengadopsi pendekatan proses dalam sistem manajemennya (misalnya SNI ISO 9001) bisa
memakai sistem manajemen yang mereka miliki sebagai dasar untuk sebuah sistem
manajemen keamanan sebagaimana yang ditetapkan dalam Standar ini. Standar ini dibuat
bukan dengan maksud menambah peraturan dan standar-standar pemerintah yang
berkaitan dengan manajemen keamanan rantai pasokan dimana organisasi telah disertifikasi
atau diverifikasi ketaatannya. Verifikasi dapat dilakukan oleh organisasi pihak pertama,
kedua atau ketiga yang diakui.

CATATAN    Standar ini dibuat berdasarkan metodologi yang dikenal dengan sebutan PDCA
(Plan-Do-Check-Act). PDCA bisa digambarkan sebagai berikut:

-   Rencanakan: tetapkan sasaran-sasaran dan proses yang dibutuhkan untuk mencapai
    hasil-hasil yang sesuai dengan kebijakan keamanan organisasi.

-   Lakukan: implementasikan rencana.

-   Periksa: lakukan monitor dan menilai proses-proses kebijakan keamanan, termasuk
    target, hukum dan peraturan lainnya, dan hasil-hasil laporan.

-   Tindaklanjuti: lakukan tindakan-tindakan untuk memperbaiki kinerja sistem manajemen
    keamanan.




                                         iv
                                                                            SNI ISO 28000:2009


      Spesifikasi untuk sistem manajemen keamanan pada rantai pasokan




                                                                                                 “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
1 Ruang lingkup

Standar ini menjelaskan mengenai persyaratan untuk sistem manajemen keamanan,
termasuk aspek-aspek kritis terhadap pemastian kemanan pada rantai pasokan. Manajemen
keamanan banyak terkait dengan aspek lainnya dalam manajemen bisnis. Aspek-aspek
tersebut mencakup semua kegiatan yang dikendalikan atau dipengaruhi oleh organisasi
yang berdampak pada keamanan rantai pasokan. Aspek-aspek lain tersebut harus
dipertimbangkan secara langsung, di mana dan kapan aspek-aspek tersebut memiliki
dampak pada manajemen keamanan, termasuk saat memindahkan barang-barang tersebut
di sepanjang rantai pasokan.

Standar ini dapat diterapkan pada semua ukuran organisasi, mulai dari organisasi kecil
hingga organisasi multinasional, dalam manufaktur, jasa, penyimpanan atau transportasi
pada setiap tahapan produksi atau rantai pasokan yang berkeinginan untuk :

a) menetapkan, melaksanakan, memelihara dan meningkatkan sistem manajemen
   keamanan;
b) memastikan kesesuaian dengan kebijakan manajemen keamanan yang ditetapkan;
c) memperagakan kesesuaian tersebut bagi pihak lain;
d) mengupayakan sertifikasi/registrasi sistem manajemen keamanannya dari Lembaga
   Sertifikasi pihak ketiga yang terakreditasi; atau
e) membuat penetapan-diri dan pernyataan-diri kesesuaian dengan Standar ini.

Terdapat peraturan perundangan undangan dan regulasi yang mengarahkan beberapa
persyaratan dalam Standar ini.

Standar ini tidak dimaksudkan untuk menduplikasi peragaan terhadap kesesuaian.

Organisasi yang memilih sertifikasi pihak ketiga dapat memperagakan lebih lanjut bahwa
mereka berkontribusi secara signifikan terhadap keamanan rantai pasokan.

2 Acuan Normatif

Tidak ada acuan normatif yang dikutip di sini. Klausul ini disertakan dengan maksud untuk
menyamakan penomoran dengan standar sistem manajemen lainnya.

3 Istilah dan Definisi

Untuk sasaran dokumen ini, maka istilah dan definisi berikut ini berlaku.

3.1
fasilitas
pabrik, mesin, properti, bangunan, kendaraan, kapal, fasilitas pelabuhan dan bagian dari
infrastruktur atau pabrik lainnya dan sistem terkait yang memiliki fungsi atau jasa bisnis
yang berbeda dan dapat diukur.


                                         1 dari 18
SNI ISO 28000:2009


CATATAN Definisi ini mencakup kode piranti lunak yang kritis untuk sasaran keamanan dan




                                                                                                  “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
penerapan manajemen keamanan.

3.2
keamanan
ketahanan terhadap tindakan yang disengaja dan ilegal yang dimaksudkan untuk merugikan
atau merusak rantai pasokan

3.3
manajemen keamanan
aktivitas dan praktek yang sistematis dan terkoordinasi yang bisa membantu organisasi
mengelola resiko-resiko yang dihadapinya secara optimal termasuk ancaman potensial dan
dampak yang timbul darinya

3.4
sasaran manajemen keamanan
hasil spesifik atau pencapaian keamanan yang disyaratkan untuk memenuhi kebijakan
manajemen keamanan

CATATAN       Penting diingat bahwa hasil-hasil tersebut ada kaitannya baik langsung atau tidak
langsung dengan upaya penyediaan produk, pasokan atau layanan yang disampaikan oleh bisnis
secara menyeluruh kepada pelanggannya atau pemakai akhir

3.5
kebijakan manajemen keamanan
seluruh maksud dan arah sebuah organisasi, berkaitan dengan keamanan dan kerangka
kerja pengendalian proses dan aktifitas yang terkait dengan keamanan yang berasal dari
dan konsisten dengan kebijakan organisasi dan persyaratan regulasi

3.6
program manajemen keamanan
cara untuk mencapai sasaran manajemen keamanan

3.7
target manajemen keamanan
tingkat kinerja spesifik yang disyaratkan untuk mencapai sasaran manajemen keamanan

3.8
pemangku kepentingan (stakeholder)
orang atau entitas yang memiliki kepentingan pada kinerja organisasi, keberhasilan atau
dampak dari kegiatan organisasi

CATATAN Contoh meliputi pelanggan, pemegang saham, penyedia finansial, penjamin, regulator,
lembaga perundangan, pegawai, kontraktor, pemasok, organisasi pekerja atau masyarakat

3.9
rantai pasokan




                                         2 dari 18
                                                                            SNI ISO 28000:2009


berbagai sumber daya dan proses terkait yang dimulai dengan pencarian bahan baku dan




                                                                                                      “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
berlanjut sampai dengan proses penyampaian produk atau jasa kepada pengguna akhir
dengan menggunakan berbagai jenis pengangkutan

CATATAN        Rantai pasokan bisa mencakup vendor, fasilitas manufaktur, penyedia logistik, pusat-
pusat distribusi internal, distributor, agen retail, dan badan-badan lain yang terhubung dengan
pengguna akhir.

3.9.1
bagian hilir (downstream)
mengacu pada tindakan, proses dan pergerakan kargo dalam rantai pasokan yang
berlangsung setelah kargo lepas dari pengendalian operasional organisasi secara langsung,
termasuk tetapi tidak terbatas hanya pada, asuransi, pembiayaan, manajemen data dan
pengepakan, penyimpanan dan pemindahan kargo

3.9.2
bagian hulu (upstream)
mengacu pada tindakan, proses dan pergerakan kargo dalam rantai pasokan yang
berlangsung sebelum kargo masuk berada di bawah pengendalian operasional organisasi
secara langsung, termasuk, tetapi tidak terbatas hanya pada, asuransi, pembiayaan,
manajemen data dan pengepakan, penyimpanan dan pemindahan kargo

3.10
manajemen puncak
orang atau kelompok orang yang mengarahkan dan mengendalikan sebuah organisasi pada
tingkat tertinggi

CATATAN         Manajemen puncak, terutama dalam organisasi multinasional yang besar, mungkin
tidak terlibat secara personal sebagaimana yang diuraikan dalam Standar ini; namun demikian
akuntabilitas manajemen puncak pada seluruh rantai komando (kewenangan) harus tertulis.

3.11
peningkatan berkesinambungan
proses berulang-ulang yang dilakukan untuk meningkatkan sistem manajemen keamanan
untuk mencapai peningkatan kinerja keamanan secara menyeluruh yang konsisten dengan
kebijakan keamanan organisasi




                                           3 dari 18
SNI ISO 28000:2009


4   Elemen sistem manajemen keamanan




                                                                                        “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
                                          PENINGKATAN
                                       BERKESINAMBUNGAN



                     Tinjauan manajemen                     Kebijakan
                       dan peningkatan                      manajemen
                      berkesinambungan                      keamanan

                                                        Perencanaan keamanan
                Pengecekan dan tindakan                 Penilaian resiko
                korektif                                Persyaratan perundangan
                Pengukuran dan pemantauan               Sasaran dan target keamanan
                Evaluasi sistem                         Program manajemen
                Ketidaksesuaian dan tindakan korektif
                                                        keamanan
                dan tindakan pencegahan
                Rekaman
                Audit                                   Implementasi dan operasional
                                                        Tanggung jawab dan kompetensi
                                                        Komunikasi
                                                        Dokumentasi
                                                        Pengendalian operasional
                                                        Kesiapan darurat




                 Gambar 2 — Elemen sistem manajemen keamanan

4.1 Persyaratan umum

Organisasi harus menetapkan, mendokumentasikan, menerapkan, memelihara, dan
meningkatkan secara berkesinambungan sistem manajemen keamanan yang efektif untuk
mengidentifikasi ancaman keamanan, menilai resiko, dan mengendalikan serta mengurangi
akibat-akibatnya.

Organisasi harus secara terus menerus meningkatkan efektivitasnya sesuai dengan
persyaratan yang ditetapkan dalam seluruh Klausul 4.

Organisasi harus menetapkan ruang lingkup sistem manajemen keamanannya. Apabila
sebuah organisasi memilih untuk mensubkontrakkan proses apapun yang mempengaruhi
kesesuaian dengan persyaratan ini, organisasi harus memastikan bahwa proses tersebut
dikendalikan. Pengendalian dan tanggung jawab yang dibutuhkan terhadap proses yang
disubkontrakkan tersebut harus diidentifikasi di dalam sistem manajemen keamanan.




                                          4 dari 18
                                                                        SNI ISO 28000:2009


4.2 Kebijakan manajemen keamanan




                                                                                                 “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Manajemen puncak organisasi harus mengesahkan seluruh kebijakan manajemen
keamanan. Kebijakan tersebut harus:

a) konsisten dengan kebijakan organisasi yang lain ;
b) memberikan kerangka kerja yang memungkinkan disusunnya sasaran, target dan
   program manajemen keamanan yang spesifik ;
c) konsisten dengan kerangka kerja manajemen resiko dan ancaman keamanan pada
   organisasi secara menyeluruh;
d) memadai untuk menghadapi ancaman-ancaman pada organisasi dan sifat serta skala
   operasionalnya;
e) menjabarkan sasaran manajemen keamanan secara menyeluruh/luas dengan jelas;
f) mencakup komitmen untuk peningkatan berkesinambungan proses manajemen
   keamanan;
g) mencakup komitmen untuk mentaati ketentuan-ketentuan hukum, peraturan dan undang-
   undang yang berlaku serta peraturan lainnya yang mengikat organisasi;
h) disetujui oleh manajemen puncak;
i) didokumentasikan, diimpelementasikan dan dipelihara ;
j) dikomunikasikan kepada semua pegawai dan pihak ketiga yang relevan termasuk
   kontraktor dan pengunjung dengan maksud agar mereka memahami tanggung jawabnya
   masing-masing terkait masalah keamanan;
k) tersedia bagi pemangku kepentingan jika perlu;
l) melakukan tinjauan bila terjadi akuisisi atau penggabungan dengan organisasi lain atau
   perubahan lain pada ruang lingkup bisnis organisasi yang mungkin mempengaruhi
   keberlangsungan atau relevansi dari sistem manajemen keamanan.

CATATAN        Organisasi boleh memilih untuk memiliki kebijakan manajemen keamanan yang lebih
rinci untuk penggunaan internal yang akan menyediakan informasi dan arahan yang cukup untuk
menggerakkan sistem manajemen keamanan (bagian diantaranya mungkin bersifat rahasia) dan
memiliki versi ringkasannya (yang tidak rahasia) yang memuat sasaran umum untuk diseminasi
kepada permangku kepentingan dan pihak terkait lainnya.

4.3     Penilaian resiko keamanan dan perencanaan

4.3.1   Penilaian resiko keamanan

Organisasi harus menetapkan dan memelihara prosedur untuk melakukan identifikasi dan
penilaian terhadap ancaman keamanan secara terus menerus dan ancaman serta resiko
yang berkaitan dengan manajemen keamanan, dan identifikasi serta pelaksanaan tindakan
pengendalian manajemen yang diperlukan. Identifikasi ancaman dan resiko keamanan,
metode penilaian dan pengendaliannya sebaiknya, secara minimal, sesuai dengan sifat dan
skala operasional. Penilaian ini harus mempertimbangkan kemungkinan timbulnya suatu
kejadian dan seluruh akibat-akibatnya yang harus dicakup :

a) ancaman dan resiko kegagalan fisik, seperti kegagalan fungsional, kerusakan insidental,
   kerusakan parah atau ancaman teroris atau tindakan kriminal;
b) ancaman dan resiko operasional, termasuk pengendalian keamanan, faktor manusia dan
   aktivitas lainnya yang mempengaruhi kinerja, kondisi atau keselamatan organisasi;

                                        5 dari 18
SNI ISO 28000:2009


c) kejadian alam (badai, banjir, dsb.) yang mungkin menyebabkan tidak efektifnya peralatan




                                                                                              “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
   dan tindakan pengamanan;
d) faktor di luar pengendalian organisasi, seperti gagalnya peralatan dan jasa yang dipasok
   dari luar;
e) ancaman dan resiko terhadap pemangku kepentingan seperti kegagalan untuk
   memenuhi persyaratan perundangan atau rusaknya reputasi atau merk dagang;
f) desain atau instalasi peralatan keamanan termasuk penggantian, pemeliharaan, dsb;
g) manajemen informasi dan data serta komunikasi;
h) ancaman terhadap kelangsungan operasional.

Organisasi harus memastikan bahwa hasil penilaian ini dan dampak pengendalian ini
dipertimbangkan dan, bila dianggap memadai, memberikan input terhadap :

a)   sasaran dan target manajemen keamanan;
b)   program manajemen keamanan;
c)   penetapan persyaratan untuk desain, spesifikasi dan instalasi;
d)   identifikasi sumber daya yang memadai termasuk tingkatan staf;
e)   identifikasi kebutuhan pelatihan dan ketrampilan (lihat 4.4.2);
f)   pengembangan pengendalian operasional (lihat 4.4.6);
g)   kerangka kerja manajemen resiko dan ancaman organisasi secara keseluruhan;

Organisasi harus mendokumentasikan dan menjaga agar informasi di atas diperbaharui.
Metodologi organisasi untuk identifikasi dan penilaian ancaman dan resiko harus :

a) ditetapkan sesuai dengan ruang lingkup, sifat dan waktu untuk memastikan bahwa
   metodologinya proaktif dan bukan reaktif;
b) mencakup pengumpulan informasi yang berkaitan dengan ancaman dan resiko
   keamanan;
c) membuat klasifikasi ancaman dan resiko dan mengidentifikasi mana yang harus dihindari,
   dihilangkan atau dikendalikan;
d) melakukan pemantauan atas tindakan untuk memastikan efektivitas dan jangka waktu
   pelaksanaannya (lihat 4.5.1).

4.3.2 Persyaratan hukum, peraturan perundangan dan persyaratan keamanan lainnya

Organisasi harus menetapkan, menerapkan dan memelihara prosedur

a) untuk mengidentifikasi dan mengakses persyaratan perundang-undangan yang berlaku
   serta persyaratan lainnya yang mengikat organisasi yang terkait dengan ancaman dan
   resiko keamanannya, dan
b) untuk menentukan bagaimana persyaratan ini diterapkan pada ancaman dan resiko
   keamanannya.

Organisasi harus menjaga agar informasi ini selalu mutakhir. Organisasi harus
mengkomunikasikan informasi relevan mengenai ketentuan hukum dan persyaratan lainnya
kepada pegawainya dan pihak ketiga terkait lainnya termasuk kontraktor.



                                       6 dari 18
                                                                    SNI ISO 28000:2009




                                                                                            “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
4.3.3   Sasaran manajemen keamanan

Organisasi harus menetapkan, menerapkan dan memelihara sasaran manajemen keamanan
yang terdokumentasi pada fungsi dan tingkatan yang relevan di dalam organisasi. Sasaran
tersebut harus diturunkan dari dan konsisten dengan kebijakan. Saat menetapkan dan
meninjau sasarannya, organisasi harus memperhatikan :

a)   persyaratan hukum, peraturan perundangan dan peraturan keamanan lainnya;
b)   ancaman dan resiko keamanan;
c)   pilihan teknologi dan pilihan lainnya;
d)   persyaratan keuangan, operasional dan bisnis;
e)   pandangan pemangku kepentingan.

Sasaran manajemen keamanan harus :

a) konsisten dengan komitmen organisasi terhadap peningkatan berkesinambungan;
b) bisa dihitung (bila memungkinkan);
c) dikomunikasikan kepada semua pegawai dan pihak ketiga terkait, termasuk kontraktor,
   dengan maksud agar mereka menyadari kewajiban masing-masing;
d) ditinjau secara berkala untuk memastikan bahwa sasaran tersebut masih tetap relevan
   dan konsisten dengan kebijakan manajemen keamanan. Bila dianggap perlu sasaran
   manajemen keamanan harus diubah sesuai kondisi yang ada.

4.3.4 Target manajemen keamanan

Organisasi harus menetapkan, menerapkan dan memelihara target manajemen keamanan
yang terdokumentasi sesuai dengan kebutuhan organisasi. Target tersebut harus diturunkan
dari, dan konsisten dengan sasaran manajemen keamanan.

Target-target ini harus :

a) terinci di setiap tingkatan yang sesuai;
b) spesifik, terukur, bisa dicapai, relevan dan berjangka waktu (bila memungkinkan);
c) dikomunikasikan kepada seluruh pegawai dan pihak-pihak ketiga terkait termasuk
   kontraktor dengan maksud agar mereka menyadari tanggung jawabnya masing-masing;
d) ditinjau secara berkala untuk memastikan bahwa target tetap relevan dan konsisten
   dengan sasaran manajemen keamanan. Bila perlu target tersebut harus diubah sesuai
   kondisi yang ada.

4.3.5   Program manajemen keamanan

Organisasi harus menetapkan, menerapkan dan memelihara program manajemen
keamanan untuk mencapai sasaran dan targetnya.

Program tersebut harus dioptimasi dan selanjutnya ditetapkan prioritasnya, dan organisasi
harus menjamin bahwa program tersebut diterapkan secara efisien dan efektif dalam biaya.


                                      7 dari 18
SNI ISO 28000:2009


Program tersebut harus mencakup dokumentasi yang menjelaskan :




                                                                                               “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
a) tanggung jawab dan wewenang yang telah ditetapkan untuk mencapai sasaran dan
   target manajemen keamanan;
b) cara dan skala waktu kapan sasaran dan target manajemen keamanan harus tercapai.

Program manajemen keamanan harus ditinjau secara berkala untuk memastikan bahwa
program tersebut tetap efektif dan konsisten dengan sasaran dan target. Bila dianggap perlu,
program harus diubah sesuai kondisi yang ada.

4.4     Implementasi dan Operasional


4.4.1   Struktur, wewenang dan tanggung jawab untuk manajemen keamanan

Organisasi harus menetapkan dan memelihara struktur organisasi dari peran, tanggung
jawab dan wewenang, konsisten dengan pencapaian kebijakan, sasaran, target dan program
manajemen keamanan.

Peran, tanggung jawab dan wewenang tersebut harus ditetapkan, didokumentasikan dan
dikomunikasikan kepada individu yang bertanggungjawab terhadap penerapan dan
pemeliharaannya.

Manajemen puncak harus memberikan bukti komitmennya terhadap pengembangan dan
penerapan sistem manajemen keamanan dan meningkatkan efektifitasnya secara
berkesinambungan dengan cara :

a) menunjuk seorang anggota manajemen puncak yang, diluar tanggung jawab lainnya,
   harus bertanggung jawab atas seluruh desain, pemeliharaan, dokumentasi, dan
   peningkatan sistem manajemen keamanan organisasi;
b) menunjuk seorang atau lebih dari manajemen dengan wewenang yang diperlukan untuk
   memastikan bahwa sasaran dan target tersebut diterapkan;
c) mengidentifikasi dan memantau persyaratan dan harapan pemangku kepentingan
   organisasi dan mengambil tindakan yang diperlukan serta tepat waktu untuk mengelola
   harapan tersebut;
d) memastikan ketersediaan sumber daya secara memadai;
e) mempertimbangkan dampak yang merugikan yang mungkin ditimbulkan oleh kebijakan
   manajemen keamanan, sasaran, target, program dan lain-lain terhadap aspek lain dalam
   organisasi
f) memastikan setiap program keamanan yang bersumber dari bagian lain dalam
   organisasi yang melengkapi sistem manajemen keamanan;
g) mengkomunikasikan kepada organisasi mengenai pentingnya memenuhi persyaratan
   manajemen keamanan agar sesuai dengan kebijakannya;
h) memastikan bahwa ancaman dan resiko terkait keamanan dievaluasi dan dicakup di
   dalam penilaian ancaman dan resiko organisasi, sebagaimana mestinya;
i) memastikan kelayakan dari sasaran, target dan program manajemen keamanan.


                                        8 dari 18
                                                                     SNI ISO 28000:2009




                                                                                             “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
4.4.2   Kompetensi, pelatihan dan kepedulian

Organisasi harus memastikan bahwa personel yang bertangungjawab atas desain, operasi
dan manajemen keamanan peralatan dan proses dikualifikasi secara memadai dalam segi
pendidikan, pelatihan dan/atau pengalaman. Organisasi harus menetapkan dan memelihara
prosedur untuk membuat personel atau pihak yang bekerja untuk organisasi, peduli atas hal-
hal berikut :

a) pentingnya kesesuaian terhadap kebijakan dan prosedur manajemen keamanan dan
   persyaratan sistem manajemen keamanan;
b) peran dan tanggung jawab mereka dalam mencapai kesesuaian dengan kebijakan dan
   prosedur manajemen keamanan dan dengan persyaratan sistem manajemen keamanan,
   termasuk persyaratan kesiapan dan tanggap darurat;
c) akibat potensial terhadap keamanan organisasi apabila keluar dari prosedur operasional
   yang telah ditetapkan.

Rekaman kompetensi dan pelatihan harus disimpan.

4.4.3   Komunikasi

Organisasi harus mempunyai prosedur untuk memastikan bahwa informasi manajemen
keamanan yang relevan dikomunikasikan kepada dan dari pegawai terkait, kontraktor dan
pemangku kepentingan lainnya.

Dikarenakan sifat peka dari informasi tertentu terkait keamanan, pertimbangan sebaiknya
diberikan terhadap kepekaan informasi tersebut sebelum disebarluaskan.

4.4.4   Dokumentasi

Organisasi harus menetapkan dan memelihara suatu sistem dokumentasi manajemen
keamanan yang mencakup, tetapi tidak terbatas hanya pada, hal berikut :

a) kebijakan, sasaran dan target keamanan;
b) Uraian mengenai ruang lingkup sistem manajemen keamanan;
c) Uraian mengenai elemen utama dalam sistem manajemen keamanan dan interaksi serta
   acuan pada dokumen terkait;
d) dokumen, termasuk rekaman, yang disyaratkan dalam Standar ini, dan
e) dokumen, termasuk rekaman yang ditetapkan oleh organisasi yang diperlukan untuk
   memastikan perencanaan, operasi dan pengendalian proses secara efektif yang
   berkaitan dengan ancaman dan resiko keamanan yang signifikan.

Organisasi harus menentukan kepekaan keamanan informasi dan harus mengambil langkah
untuk mencegah akses oleh pihak-pihak yang tidak berwenang.

4.4.5   Pengendalian dokumen dan data




                                       9 dari 18
SNI ISO 28000:2009


Organisasi harus menetapkan dan memelihara prosedur untuk mengendalikan seluruh




                                                                                             “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
dokumen, data dan informasi yang disyaratkan pada Klausul 4 dalam Standar ini untuk
memastikan bahwa :

a) dokumen, data dan informasi tersebut dapat ditempatkan dan diakses hanya oleh
   individu yang berwenang;
b) dokumen, data dan informasi tersebut ditinjau secara berkala, direvisi sesuai keperluan
   dan disahkan kecukupannya oleh personel yang berwenang;
c) versi terkini dari dokumen, data dan informasi yang relevan tersedia di seluruh lokasi
   operasi yang penting untuk pelaksanaan sistem manajemen keamanan secara efektif;
d) dokumen, data dan informasi yang tidak berlaku segera disingkirkan dari semua tempat
   penerbitan dan tempat pengunaannya, atau dijamin dari penggunaan yang tidak
   semestinya;
e) dokumen, data dan informasi arsip yang disimpan untuk keperluan hukum atau
   pengetahuan atau keduanya harus diidentifikasi dengan sesuai;
f) dokumen, data dan informasi tersebut diamankan, dan apabila dalam bentuk elektronik
   dibuatkan cadangan dan dapat dipulihkan (back up).

4.4.6   Pengendalian operasional

Organisasi harus mengidentifikasi operasi dan aktifitas yang dibutuhkan untuk mencapai :

a) kebijakan manajemen keamanannya;
b) pengendalian aktifitas dan mitigasi terhadap ancaman yang teridentifikasi mempunyai
   resiko yang signifikan;
c) ketaatan terhadap ketentuan hukum, perundangan dan peraturan keamanan lainnya;
d) sasaran manajemen keamanan;
e) pelaksanaan program manajemen keamanan;
f) tingkat keamanan rantai pasokan yang disyaratkan.

Organisasi harus memastikan bahwa operasi dan aktivitas dilaksanakan di bawah kondisi
tertentu melalui :

a) penetapan, penerapan dan pemeliharaan prosedur terdokumentasi untuk mengendalikan
   situasi bila prosedur tersebut tidak ada, dapat menyebabkan kegagalan tidak tercapainya
   operasi dan aktifitas sebagaimana diuraikan pada 4.4.6 a) sampai f) di atas;
b) evaluasi ancaman apapun yang timbul dari aktivitas rantai pasokan hulu dan melakukan
   pengendalian untuk memitigasi dampak tersebut pada organisasi dan operator rantai
   pasokan hilir lainnya;
c) penetapan dan pemeliharaan persyaratan barang dan jasa yang berdampak pada
   keamanan dan mengomunikasikannya kepada pemasok dan kontraktor.

Prosedur ini harus mencakup pengendalian atas desain, instalasi, operasi, refurbishment
dan modifikasi peralatan, instrumentasi, dsb yang terkait dengan keamanan, bila memadai.
Apabila pengaturan yang ada direvisi atau ada pengaturan baru, yang dapat berdampak
pada operasi dan aktifitas manajemen keamanan, organisasi harus mempertimbangkan


                                       10 dari 18
                                                                     SNI ISO 28000:2009


ancaman dan resiko keamanan yang terkait sebelum diterapkan. Pengaturan baru atau




                                                                                             “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
direvisi yang dipertimbangkan harus mencakup:

a) struktur organisasi, peran atau tanggung jawab yang direvisi;
b) kebijakan, sasaran, target atau program manajemen keamanan yang direvisi;
c) proses dan prosedur yang direvisi;
d) pengenalan terhadap infrastruktur, peralatan keamanan atau teknologi baru, yang dapat
   mencakup piranti keras dan/atau piranti lunak;
e) pengenalan terhadap kontraktor, pemasok atau personel baru, bila memadai.

4.4.7   Kesiapan darurat, tanggap darurat dan pemulihan keamanan

Organisasi harus menetapkan, menerapkan dan memelihara rencana dan prosedur yang
memadai untuk mengidentifikasi potensi untuk, dan tanggap terhadap, insiden keamanan
dan situasi darurat, dan untuk mencegah serta memitigasi kemungkinan akibat yang terkait.
Rencana dan prosedur tersebut harus mencakup informasi mengenai penyediaan dan
pemeliharaan peralatan, fasilitas atau jasa yang teridentifikasi dibutuhkan selama atau
setelah insiden atau situasi darurat.

Organisasi harus meninjau secara berkala efektifitas kesiapan darurat, tanggap darurat dan
rencana serta prosedur pemulihan keamanan, terutama setelah terjadinya insiden atau
situasi darurat yang disebabkan oleh pelanggaran dan ancaman keamanan. Organisasi
harus menguji secara berkala prosedur tersebut bila dapat dipraktekkan.

4.5     Pengecekan dan tindakan korektif

4.5.1   Pengukuran dan pemantauan kinerja keamanan

Organisasi harus menetapkan dan memelihara prosedur untuk memantau dan mengukur
kinerja sistem manajemen keamanannya. Organisasi juga harus menetapkan dan
memelihara prosedur untuk memantau dan mengukur kinerja keamanan. Organisasi harus
mempertimbangkan ancaman dan resiko keamanan yang terkait, termasuk mekanisme
penurunan yang potensial dan akibatnya, saat menentukan frekuensi pengukuran dan
pemantauan parameter kinerja kunci. Prosedur tersebut harus meliputi :

a) pengukuran kualitatif dan kuantitatif sesuai dengan kebutuhan organisasi;
b) pemantauan sejauh mana kebijakan, sasaran dan target manajemen keamanan
   organisasi dipenuhi;
c) ukuran kinerja yang proaktif yang memantau ketaatan terhadap program sistem
   manajemen keamanan, kriteria pengendalian            operasi dan ketentuan peraturan
   perundangan yang berlaku serta persyaratan lainnya;
d) ukuran kinerja yang reaktif untuk memantau penurunan, kegagalan, insiden,
   ketidaksesuaian (termasuk kejadian nyaris celaka dan alarm yang keliru) di bidang
   keamanan serta bukti historis lainnya tentang adanya kelemahan dalam kinerja sistem
   manajemen keamanan;
e) perekaman data dan hasil pemantauan dan pengukuran yang cukup untuk memfasilitasi
   analisis tindakan korektif dan pencegahan secara berurutan. Jika perangkat pemantauan

                                      11 dari 18
SNI ISO 28000:2009


   dibutuhkan untuk kinerja dan/atau pengukuran dan pemantauan, organisasi harus




                                                                                                “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
   mensyaratkan penetapan dan pemeliharaan prosedur untuk kalibrasi dan pemeliharaan
   peralatan tersebut. Rekaman kalibrasi dan aktifitas dan hasil pemeliharaan harus
   disimpan dalam jangka waktu yang cukup untuk memenuhi ketentuan hukum dan
   kebijakan organisasi.

4.5.2   Evaluasi sistem

Organisasi harus mengevaluasi rencana, prosedur dan kemampuan manajemen keamanan
melalui tinjauan, pengujian, laporan pasca insiden, pembelajaran, evaluasi kinerja dan
latihan secara berkala. Perubahan yang signifikan dalam faktor ini harus segera terefleksikan
dalam prosedur.

Organisasi harus mengevaluasi ketaatan terhadap peraturan dan perundangan terkait,
praktek industri terbaik dan kesesuaian dengan kebijakan dan sasarannya secara berkala.

Organisasi harus menyimpan rekaman hasil evaluasi berkala.

4.5.3   Kegagalan, insiden, ketidaksesuaian serta tindakan korektif dan pencegahan
        yang terkait dengan keamanan

Organisasi harus menetapkan, menerapkan dan memelihara prosedur yang menjelaskan
tanggung jawab dan wewenang untuk:

a) mengevaluasi dan memulai tindakan pencegahan untuk mengidentifikasi potensi
   kegagalan keamanan untuk mencegah terulangnya kembali;
b) melakukan investigasi terkait dengan keamanan, seperti:
   1) kegagalan termasuk kejadian yang nyaris celaka dan alarm yang keliru;
   2) insiden dan situasi darurat;
   3) ketidaksesuaian;
c) melakukan tindakan mitigasi akibat apapun yang berasal dari kegagalan, insiden atau
   ketidaksesuaian;
d) memulai dan menyelesaikan tindakan korektif;
e) mengkonfirmasikan efektifitas tindakan korektif yang diambil.

Prosedur ini harus mensyaratkan bahwa seluruh tindakan korektif dan pencegahan yang
diusulkan ditinjau melalui proses penilaian resiko dan ancaman keamanan sebelum
diterapkan kecuali apabila diperlukan penerapan segera untuk mencegah paparan terhadap
kehidupan atau keamanan masyarakat disekitarnya.

Tindakan korektif atau pencegahan yang diambil untuk menghilangkan penyebab
ketidaksesuaian yang aktual dan potensial harus sesuai dengan bobot masalah dan
sepadan dengan ancaman dan resiko yang mungkin dihadapi. Organisasi harus
menerapkan dan merekam perubahan apapun dalam prosedur terdokumentasi yang berasal
dari tindakan korektif dan pencegahan dan harus mencakup pelatihan yang dibutuhkan bila
perlu.




                                       12 dari 18
                                                                              SNI ISO 28000:2009


4.5.4   Pengendalian rekaman




                                                                                                   “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Organisasi harus menetapkan dan memelihara rekaman yang diperlukan untuk
memperagakan kesesuaian terhadap persyaratan sistem manajemen keamanan dan
standar ini serta hasil yang dicapai.

Organisasi harus menetapkan,             menerapkan dan memelihara prosedur untuk
pengidentifikasian, penyimpanan,         perlindungan, pengambilan, masa simpan dan
pemusnahan rekaman.

Rekaman harus dan senantiasa dapat dibaca, dapat diidentifikasi dan tertelusur.

Dokumentasi elektronik dan digital seharusnya tidak mudah rusak, memiliki back up yang
aman dan hanya bisa diakses oleh personel yang berwenang.

4.5.5   Audit

Organisasi harus menetapkan, menerapkan dan memelihara program audit manajemen
keamanan dan harus memastikan bahwa audit sistem manajemen keamanan dilakukan
pada interval yang direncanakan, untuk :

a) menentukan apakah sistem manajemen keamanan tersebut:

    1) sesuai dengan pengaturan manajemen keamanan yang direncanakan termasuk
        seluruh persyaratan dalam Klausul 4 pada standar ini;
    2) telah diterapkan dan dipelihara secara tepat;
    3) efektif dalam memenuhi kebijakan dan sasaran manajemen keamanan organisasi.

b) meninjau hasil audit sebelumnya dan tindakan yang diambil untuk menyelesaikan
   ketidaksesuaian;
c) memberikan informasi mengenai hasil audit kepada manajemen;
d) memverifikasi bahwa peralatan dan personel keamanan ditempatkan dengan tepat.

Program audit, termasuk penjadwalan, harus berdasarkan hasil penilaian resiko dan
ancaman terhadap aktifitas organisasi termasuk hasil audit sebelumnya. Prosedur audit
harus mencakup ruang lingkup, frekuensi, metodologi serta kompetensi, termasuk tanggung
jawab dan persyaratan untuk melakukan audit serta melaporkan hasilnya. Bila
memungkinkan, audit harus dilakukan oleh personel yang independen yang tidak memiliki
tanggung jawab langsung terhadap kegiatan yang diperiksa.

Catatan Frasa “personel independen” tidak berarti personel harus berasal dari luar organisasi.




4.6.    Tinjauan manajemen dan peningkatan berkesinambungan

Manajemen puncak harus meninjau sistem manajemen keamanan organisasi, pada periode
waktu yang telah ditetapkan, untuk memastikan kesesuaian, kecukupan dan efektifitas.

                                           13 dari 18
SNI ISO 28000:2009


Tinjauan harus mencakup penilaian terhadap peluang untuk perbaikan dan kebutuhan




                                                                                         “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
perubahan terhadap sistem manajemen keamanan, termasuk kebijakan keamanan dan
sasaran keamanan serta ancaman dan resiko. Rekaman tinjauan manajemen harus
disimpan. Masukan terhadap tinjauan manajemen mencakup :

a) hasil audit dan evaluasi mengenai ketaatan terhadap persyaratan hukum dan peraturan
   lainnya yang mengikat organisasi;
b) komunikasi dari pihak eksternal terkait, termasuk keluhan;
c) kinerja organisasi menyangkut masalah keamanan;
d) sejauh mana sasaran dan target telah tercapai;
e) status tindakan korektif dan pencegahan;
f) tindak-lanjut dari tinjauan manajemen sebelumnya;
g) situasi yang berubah, termasuk perkembangan persyaratan hukum dan persyaratan
   lainnya yang terkait aspek keamanan, dan
h) rekomendasi untuk peningkatan.

Keluaran dari tinjauan manajemen harus mencakup keputusan dan tindakan yang berkaitan
dengan perubahan yang mungkin terhadap kebijakan keamanan, sasaran, target dan
elemen lainnya dari sistem manajemen keamanan, konsisten dengan komitmen untuk
peningkatan berkesinambungan.




                                    14 dari 18
                                                                     SNI ISO 28000:2009


                                     Lampiran A




                                                                                           “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
                                      (informatif)

     Korelasi antara SNI ISO 28000:2009, SNI 19-14001-2005 dan SNI 19-9001-2001

   SNI ISO 28000:2009           SNI 19-14001-2005                SNI 19-9001-2001
Elemen sistem       4      Persyaratan sistem   4          Sistem manajemen       4
manajemen                  manajemen                       mutu (hanya judul)
keamanan (hanya            lingkungan (hanya
judul)                     judul)
Persyaratan umum 4.1       Persyaratan umum     4.1        Persyaratan umum        4.1
Kebijakan           4.2    Kebijakan            4.2        Komitmen manajemen      5.1
manajemen                  lingkungan                      Kebijakan mutu          5.3
keamanan                                                   Perbaikan               8.5.1
                                                           berkesinambungan
Penilaian resiko     4.3   Perencanaan (hanya        4.3   Perencanaan (hanya      5.4
keamanan dan               judul)                          judul)
perencanaan
(hanya judul)
Penilaian resiko     4.3.1 Aspek lingkungan          4.3.1 Fokus pada pelanggan    5.2
keamanan                                                   Penetapan persyaratan   7.2.1
                                                           yang berkaitan dengan
                                                           produk
                                                           Tinjauan terhadap       7.2.2
                                                           persyaratan yang
                                                           berkaitan dengan
                                                           produk
Persyaratan          4.3.2 Persyaratan               4.3.2 Fokus pada pelanggan    5.2
hukum, Peraturan           peraturan                       Penetapan persyaratan   7.2.1
perundangan dan            perundang-                      yang berkaitan dengan
persyaratan                undangan dan                    produk
keamanan lainnya           lainnya
Sasaran              4.3.3 Tujuan, sasaran,          4.3.3 Sasaran mutu            5.4.1
manajemen                  dan program                     Perencanaan sistem      5.4.2
keamanan                                                   manajemen mutu
                                                           Perbaikan               8.5.1
                                                           berkesinambungan
Target manajemen     4.3.4 Tujuan, sasaran,          4.3.3 Sasaran mutu            5.4.1
keamanan                   dan program                     Perencanaan sistem      5.4.2
                                                           manajemen mutu
                                                           Perbaikan               8.5.1
                                                           berkesinambungan
Program              4.3.5 Sasaran, target dan       4.3.3 Sasaran mutu            5.4.1
manajemen                  program                         Perencanaan sistem      5.4.2
keamanan                                                   manajemen mutu
                                                           Perbaikan               8.5.1
                                                           berkesinambungan
Implementasi dan     4.4   Penerapan dan             4.4   Realisasi produk        7
operasional (hanya         operasi (hanya                  (hanya judul)
judul)                     judul)
Struktur, wewenang   4.4.1 Sumber daya,              4.4.1 Komitmen manajemen      5.1
dan tanggung               peran, tanggung                 Tanggung jawab dan      5.5.1
jawab untuk                jawab dan                       wewenang
manajemen                  kewenangan                      Wakil manajemen         5.5.2

                                     15 dari 18
SNI ISO 28000:2009


keamanan                                                 Penyediaan sumber        6.1




                                                                                          “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
                                                         daya
                                                         Prasarana                6.3
Kompetensi,          4.4.2 Kompetensi,           4.4.2   (Sumber daya             6.2.1
pelatihan dan              pelatihan dan                 manusia) Umum
kepedulian                 kesadaran                     Kompetensi,              6.2.2
                                                         kesadaran dan
                                                         pelatihan
Komunikasi           4.4.3 Komunikasi            4.4.3   Komunikasi internal      5.5.3
                                                         Komunikasi pelanggan     7.2.3
Dokumentasi          4.4.4 Dokumentasi           4.4.4   (Persyaratan             4.2.1
                                                         Dokumentasi) Umum
Pengendalian         4.4.5 Pengendalian          4.4.5   Pengendalian             4.2.3
dokumen dan data           dokumen                       dokumen
Pengendalian         4.4.6 Pengendalian          4.4.6   Perencanaan realisasi    7.1
operasional                operasional                   produk
                                                         Penetapan persyaratan    7.2.1
                                                         yang berkaitan dengan
                                                         produk
                                                         Tinjauan persyaratan     7.2.2
                                                         yang berkaitan dengan
                                                         produk
                                                         Perencanaan desain       7.3.1
                                                         dan pengembangan
                                                         Masukan desain dan       7.3.2
                                                         pengembangan
                                                         Keluaran desain dan      7.3.3
                                                         pengembangan
                                                         Tinjauan desain dan      7.3.4
                                                         pengembangan
                                                         Verifikasi desain dan    7.3.5
                                                         pengembangan
                                                         Validasi desain dan      7.3.6
                                                         pengembangan
                                                         Pengendalian             7.3.7
                                                         perubahan desain dan
                                                         pengembangan
                                                         Proses pembelian         7.4.1
                                                         Informasi pembelian      7.4.2
                                                         Verifikasi produk yang   7.4.3
                                                         dibeli
                                                         Pengendalian             7.5.1
                                                         produksi dan
                                                         penyediaan jasa
                                                         Validasi proses          7.5.2
                                                         produksi dan
                                                         penyediaan jasa
                                                         Preservasi produk        7.5.5
Kesiapan darurat,    4.4.7 Kesiagaan dan         4.4.7   Pengendalian produk      8.3
tanggap darurat            tanggap darurat               yang tidak sesuai
dan pemulihan
keamanan
Pengecekan dan       4.5   Pemeriksaan (hanya    4.5     Pengukuran, analisis     8
tindakan korektif          judul)                        dan perbaikan (hanya


                                    16 dari 18
                                                                    SNI ISO 28000:2009


(hanya judul)                                            judul)




                                                                                          “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
Pengukuran dan        4.5.1 Pemantauan dan         4.5.1 Pengendalian sarana      7.6
pemantauan kinerja          pengukuran                   pemantauan dan
keamanan                                                 pengukuran
                                                         Umum (pengukuran,        8.1
                                                         analisis dan perbaikan
                                                         Pemantauan dan           8.2.3
                                                         pengukuran proses
                                                         Pemantauan dan           8.2.4
                                                         pengukuran produk
                                                         Analisis data            8.4
Evaluasi sistem       4.5.2 Evaluasi penataan      4.5.2 Pemantauan dan           8.2.3
                                                         pengukuran proses
                                                         Pemantauan dan           8.2.4
                                                         pengukuran produk
Kegagalan, insiden,   4.5.3 Ketidaksesuaian,       4.5.3 Pengendalian produk      8.3
ketidaksesuaian             tindakan perbaikan           yang tidak sesuai
serta tindakan              dan tindakan                 Analisis data            8.4
korektif dan                pencegahan                   Tindakan korektif        8.5.2
pencegahan yang                                          Tindakan pencegahan      8.5.3
terkait dengan
keamanan
Pengendalian          4.5.4 Pengendalian           4.5.4 Pengendalian rekaman     4.2.4
rekaman                     rekaman
Audit                 4.5.5 Audit internal         4.5.5 Audit internal           8.2.2
Tinjauan              4.6   Tinjauan               4.6   Komitmen manajemen       5.1
manajemen dan               manajemen                    Tinjauan manajemen       5.6
peningkatan                                              (hanya judul)
berkesinambungan                                         Umum                     5.6.1
                                                         Masukan untuk            5.6.2
                                                         tinjauan manajemen
                                                         Keluaran untuk           5.6.3
                                                         tinjauan manajemen
                                                         Perbaikan                8.5.1
                                                         berkesinambungan




                                      17 dari 18
SNI ISO 28000:2009




                                                                                        “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
                                    Bibliografi

    ISO 9001:2000, Quality management systems — Requirements

    ISO 14001:2004, Environmental management systems — Requirements with guidance
    for use

    ISO 19011:2002, Guidelines for quality and/or environmental management systems
    auditing

    ISO/PAS 20858:2004, Ships and marine technology — Maritime port facility security
    assessments and security plan development

    ISO/PAS 28001, Security management systems for the supply chain — Best practices
    for implementing supply chain security — Assessments and plans

    ISO/PAS 28004:2006, Security management systems for the supply chain —
    Guidelines for the implementation of ISO/PAS 28000




                                   18 dari 18
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
“Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”
                                                                  “Hak Cipta Badan Standardisasi Nasional, Copy standar ini dibuat untuk penayangan di website dan tidak untuk dikomersialkan”




      BADAN STANDARDISASI NASIONAL - BSN
           Gedung Manggala Wanabakti Blok IV Lt. 3-4
         Jl. Jend. Gatot Subroto, Senayan Jakarta 10270
Telp: 021- 574 7043; Faks: 021- 5747045; e-mail : bsn@bsn.go.id

				
DOCUMENT INFO
Shared By:
Stats:
views:1080
posted:3/8/2011
language:Indonesian
pages:28
About Saya seorang lulusan matematika Unesa yang sangat menyukai matematika dan dunia internet