Seguridad y cadena

ISO 28000

La norma internacional que protege tu cadena de suministro frente a robos, fraude, sabotaje y disrupciones operativas. Aplicable a cualquier organización que mueva o gestione mercancías, independientemente de su tamaño o sector.

NormaISO 28000:2022
Duración estimada4-8 meses
Perfil objetivoLogística, transporte, almacenaje, industria

La versión 2022 de ISO 28000 amplió el alcance de la norma original (2007): ya no se limita a la cadena de suministro en sentido estricto, sino que cubre cualquier aspecto de la seguridad organizativa —personas, activos físicos, información, instalaciones críticas y continuidad operativa—. Adopta la Estructura de Alto Nivel (HLS) común a ISO 9001, ISO 27001 o ISO 22301, lo que facilita enormemente la integración con sistemas de gestión que tu empresa ya tenga en marcha. La transición desde la edición 2007 es, en la mayoría de los casos, un proceso de adaptación documental y de alcance, no una reingeniería completa.

El problema que resuelve es concreto: las empresas que operan cadenas de suministro complejas —operadores logísticos, distribuidores, fabricantes con múltiples proveedores, transitarios, empresas de transporte de carga— acumulan riesgos de seguridad que las auditorías de calidad convencionales no cubren. Robos en tránsito, manipulación de mercancías, accesos no autorizados a almacenes, suplantación de identidad en entregas, o presión de grandes clientes que exigen estándares de seguridad a sus proveedores: todos estos vectores tienen respuesta sistemática en ISO 28000:2022. Para muchas empresas medianas del sector logístico, disponer del certificado es además un requisito explícito para acceder a clientes de gran cuenta o a contratos públicos de transporte.

Summum Calidad acompaña el proceso completo: desde el diagnóstico inicial de brechas y la evaluación de riesgos específicos de tu operación, hasta la implantación del sistema documental, la formación de los equipos internos y la preparación de la auditoría externa con un organismo acreditado (AENOR, Bureau Veritas, SGS u otro de tu elección). Somos consultores, no certificadores; la certificación la emite un tercero acreditado ante ENAC. Con presencia en Castilla y León (Valladolid, Burgos, Palencia, Aranda de Duero) y Las Palmas, y más de ~200 certificaciones ISO acompañadas desde 2007, llevamos la norma a empresas que necesitan resultados, no burocracia.

El proceso de ISO 28000.

El proceso · cuatro tiempos
01

Diagnóstico de seguridad

Analizamos tu cadena de suministro actual: flujos de mercancías, puntos de transferencia, accesos físicos y lógicos, controles existentes e incidentes históricos. Identificamos las brechas respecto a ISO 28000:2022 y priorizamos los riesgos por impacto y probabilidad.

02

Diseño del sistema de gestión

Definimos la política de seguridad, el alcance del sistema y los controles operativos: procedimientos de control de acceso, gestión de proveedores críticos, planes de respuesta a incidentes, clasificación de activos y roles y responsabilidades del equipo de seguridad.

03

Implantación y formación

Desplegamos el sistema documental, formamos al personal implicado —responsables de almacén, logística, compras, seguridad física— y acompañamos la primera ronda de ejercicios de respuesta ante incidentes y simulacros según los requisitos de la norma.

04

Auditoría interna y certificación

Realizamos una auditoría interna completa para detectar desviaciones antes de la auditoría de certificación. Preparamos el dossier, coordinamos con el organismo certificador y acompañamos las auditorías de fase I y fase II hasta la emisión del certificado.

Qué incluye

Qué incluye ISO 28000.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Análisis de riesgos de seguridad

    Metodología de evaluación de amenazas y vulnerabilidades específica para tu tipo de operación: transporte, almacenaje, fabricación o intermediación logística.

  • Política y objetivos de seguridad

    Documento marco alineado con la estrategia de negocio y con los requisitos legales aplicables (seguridad privada, protección de datos, normativa de transporte).

  • Procedimientos operativos de control

    Control de accesos físicos y lógicos, verificación de identidad en entregas, gestión de visitantes, precintado y custodia de mercancías de alto valor.

  • Gestión de proveedores y subcontratistas

    Criterios de selección y evaluación de proveedores desde el ángulo de la seguridad, cláusulas contractuales y seguimiento de desempeño en la cadena extendida.

  • Plan de respuesta a incidentes

    Protocolos de actuación ante robo, fraude, accidente o amenaza de seguridad, con canales de comunicación interna, notificación a autoridades y registro de incidentes.

  • Auditoría interna y revisión por dirección

    Programa anual de auditorías internas y revisión formal del sistema por la dirección, con indicadores de desempeño en seguridad y planes de mejora continua.

Cluster Summum

Cómo se cruza con las hermanas.

La seguridad de la cadena de suministro se refuerza combinando ISO 28000 con gestión de continuidad de negocio (ISO 22301, también en Summum Calidad) y, cuando hay activos digitales en juego, con ciberseguridad gestionada desde Summum Sistemas.

Preguntas frecuentes sobre ISO 28000.

¿Qué diferencia hay entre ISO 28000:2007 y ISO 28000:2022?

La edición 2022 adopta la Estructura de Alto Nivel (HLS) de ISO, lo que facilita su integración con otras normas como ISO 9001 o ISO 27001. El alcance se amplía: ya no se limita a la cadena de suministro propiamente dicha, sino a cualquier aspecto de la seguridad organizativa. Los requisitos de fondo no cambian radicalmente, pero la estructura es más clara y el lenguaje está armonizado con el resto del ecosistema ISO.

¿Qué tipos de empresas se certifican en ISO 28000?

Operadores logísticos, empresas de transporte de carga (terrestre, marítimo, aéreo), distribuidores, fabricantes con cadenas de aprovisionamiento complejas, transitarios, agentes de aduanas y empresas que manejan mercancías de alto valor o de carácter sensible. También es relevante para empresas industriales que exigen a sus proveedores estándares de seguridad documentados.

¿Es obligatoria la certificación ISO 28000?

No es una norma de obligado cumplimiento legal en España con carácter general. Sin embargo, muchos grandes clientes —especialmente en sectores de automoción, farmacia o defensa— la exigen como requisito de homologación de proveedor. También puede ser un factor diferenciador en licitaciones públicas de transporte y logística.

¿Cuánto tiempo lleva implantar ISO 28000?

Depende del tamaño y complejidad de la organización y de los sistemas de seguridad que ya tenga en marcha. Para una empresa mediana (50-200 empleados) sin sistema previo, el proceso completo hasta la auditoría de certificación suele oscilar entre 4 y 8 meses. Si ya existe ISO 9001 o ISO 22301 implantada, el plazo puede reducirse significativamente.

¿Summum Calidad emite el certificado ISO 28000?

No. Summum Calidad es una consultora de implantación: acompañamos a tu organización en todo el proceso hasta dejarte lista para la auditoría. La certificación la emite un organismo de certificación acreditado ante ENAC (AENOR, Bureau Veritas, SGS, TÜV Rheinland u otros). Tú eliges el certificador; nosotros te preparamos para pasar con garantías.