(지난호에 이어)
9.11 항공기테러 사건 이후 미국의 물류보안 개념은 자국의 범위를 벗어나 자국으로 수입되는 물품의 해외 출발지로 확대하게 되었다.
미국은 이러한 변화된 물류보안의 개념을 WCO등 여러 국제기구에 호소하여 자국의 기준(C-TPAT)이 반영된 WCO SAFE Framework와 같은 물류 보안프로그램의 탄생을 촉진하였으며 SAFE Framework의 국가 대민간 협력부문은 AEO 인증과 같은 물류보안인증제도로 발전하게 되었다.
한편 민간부문에서도 이러한 추세에 맞추어 ISO28000과 같은 물류보안경영인증 시스템이 탄생하게 되었고 이외에도 ISPS Code(선박보안인증 및 항만시설 적합인증 제도), 상용화주제, TAPA(첨단기술제품 보관 및 운송보안 인증제도),OSHAS 18001(국제안전보건인증)등과 같은 각종 민·관주도의 물류보안인증 시스템이 있다.
물류보안은 양면의 동전과 같아서 Supply Chain상의 위험요소를 경감하고자 물류 보안을 강화하면 할수록 무역과 물류의 흐름과 서비스는 지연될 수 밖에 없는 양면성이 존재한다.
그러나 물류보안인증제도를 통해 인증된 기업 또는 물류주체에 신속한 통관, 검사율 저감등의 혜택을 부여함으로써 공급망의 리스크를 경감함과 동시에 무역물류의 흐름을 원활히 할 수 있는 해결점을 찾을 수 있을 것이다.
물류보안인증은 물류보안의 유용한 도구로서 보안위협의 예방책이자 상반된 가치 추구의 난제를 풀어주는 열쇠인 것이다.
물류보안인증의 양대산맥이라 할 수 있는 AEO와 ISO 28000에 대한 상세한 내용은 다음과 같다.
ISO 28000(공급사슬보안경영시스템)
AEO가 정부주도의 물류인증제도라면 ISO28000은 민간 기구의 물류보안인증 제도라 할 수 있다.
ISO(International Organization for Standardization; 국제표준화기구)에서는 공급사슬의 보안에 관한 신뢰성을 확보 할 수 있는 공인된 제도의 도입에 필요성에 따라 2007년 ISO28000(공급사슬보안경영시스템) 규격을 제정하였다.
우리나라에는 2008년4월 기술표준원(지식경제부)에서 KS V ISO 28000으로 해당 규격을 국내에 도입 하였다.
ISO(국제표준화기구)는 ISO기술위원회를 통하여 규격을 작성하게 되는데 KS V ISO 28000은 ISO/TC8(선박 및 해양기술위원회)에서 Supply Chain상의 책임이 있는 다른 기술위원회와 협력하여 한국산업규격으로 채택 한 것이다.
기술표준원에서는 TUV, Lloyd, 한국선급 등 인증기관을 통하여 인증사업을 추진하고 있는데 2010년 9월 현재 우리나라에서는 유일하게 한국선급만이 인증 자격을 보유하고 있다.
현재(9월 15일 기준) 국내 ISO28000 인증 획득업체는 포항제철 광양제철소와 부산 신항만(주) 2개사다.
(주)한진의 경우는 9월초 최종 심사를 마쳤으며, (주)범한판토스 또한 9월중 최종심사가 있을 예정이다.
그외에 CJ GLS, DTC, A.C.E. Express 등 업체가 ISO28000 인증심사를 준비 중에 있다.
ISO28000의 궁극적인 목적은 공급사슬의 보안을 개선하는 것으로서 조직이 전체적인 공급사슬의 보안경영시스템을 수립 할 수 있는 높은 수준의 경영규격이다.
조직의 보안환경을 평가하고 보안요구가 식별되면 보안요구를 충족하기 위한 구조 및 프로세스를 실행하여야 한다.
이러한 ISO28000 인증을 획득하기 위해서는 보안경영시스템의 요구사항을 충분히 이해하고 실행하여야 하는데 ISO28000의 보안경영시스템은 기본적으로 PDCA(Plan-Do-Check-Act) 방식에 기초를 두고 있다.
주요 내용은 다음과 같다.
●…일반요구사항(General Requirement) : 조직의 보안위협을 찾아내어 위험성을 평가하고 관리하며 위험성을 경감시키기 위한 효과적인 보안경영시스템을 수립, 문서화, 실행, 유지 및 지속적으로 개선하여야 한다.
●…보안경영방침(Security Management Policy) : 물류보안경영을 위한 최고경영자의 선언으로서 관련 법률, 규정, 강제요구 사항 등을 준수하겠다는 의지를 표명하여야 한다.
●…보안위험 평가와 기획(Security Risk Assessment and Planning) : 조직내의 보안 위험요소를 찾아내서 이를 평가하고 보안경영목표, 보안 경영 세부목표, 보안경영 프로그램 등의 관리수단을 수립하고 강구하여야 한다.
●…실행 및 운영(Implementation and Operation) : 보안위험요소를 경감하기 위한 관리수단을 실행하고 이를 일관성 있게 유지할 수 있도록 조직의 역할과 책임, 권한등을 규정하여야 하며, 보안 인원에 대한 적격성 관리와 교육훈련을 실시하여야 한다.
또한 모든 실행 과정을 문서화하고 관리 하여야 하며 비상시 대응 및 보안 복구에 대한 절차를 수립하고 이행 및 유지하여야 한다.
●…점검 및 시정조치(Checking and Corrective Action) : 보안경영시스템의 성과를 모니터링하고 측정 할 수 있는 절차를 수립 유지 하여야 하며 주기적으로 법규, 요구사항 등의 준수여부와 보안경영능력에 대한 절차와 능력을 평가하여야 한다.
아울러 보안관련 부적합 사항이나 사건에 대해 시정조치 및 예방 조치를해야 하며 모든 관련사항을 기록으로 남겨야 한다.
또한, 보안경영심사 프로그램을 수립하여 주기적으로 실행하여야 한다.
●…경영검토 및 지속적 개선(management Review and Continual Improvement) : 최고경영자는 주기적으로 보안경영시스템을 검토하고 기록하며 지속적 개선에 대한 의지와 일관성을 유지하여야 한다.
ISO 28000 보안경영시스템 요건구비의 가장 중요한 부분은 문서화이다.
ISO28000의 문서는 보안방침과 보안매뉴얼, 보안절차서와 보안지침서로 구성되며 각기업의 실정과 상황에 따라 형식과 분량이 달라 질 수 있다.
보안방침은 ‘헌법’과 같은 존재이며 최고경영자의 보안경영시스템에 대한 의지의 표현으로서 선언적 성격이 강하다.
보안매뉴얼은 법률에서 ‘법’ 비할 수 있으며 보안경영의 종합적 범위와 원칙을 명시한다. 보안절차서는 ‘시행령’과 같으며 업무의 수행방법이나 절차등을 규정한다. 보안지침서는 특정부서의 상세업무에 대한 수행방법이나 프로세스를 나타내는 ‘시행규칙’과 같은 존재이다.
우리나라에서 ISO28000인증은 아직 초기단계이고 많이 알려지지 않아 확산에 시간이 다소 소요될 전망이다.
대부분 인증이 그러 하듯이 필요성이 적극적으로 요구되는 시점에서는 인증능력의 공급보다 인증희망에 대한 수요가 초과 할 가능성이 많으므로 아직 적극적으로 확산이 되지 않은 시점에서 인증을 준비 하는 것도 앞서가는 기업의 표상이 될 수 있을 것이다.
ISO28000 인증을 받기 위해서는 적절한 컨설팅 업체를 찾아 사전에 충분히 상담을 하는것이 무엇보다 중요하다.
물류로 통칭되는 물류업계의 분야가 워낙 광범위하고 다양하며 전문적인 지식이 요구되는 분야가 많은 만큼 대상기업의 업무특성을 잘 이해하지 못하는 경우 인증 준비작업에 필요이상의 시간과 자원이 낭비 될 수 있기 때문이다.
일반적인 ISO28000인증 획득을 위한 절차와 내역은 다음과 같다.
①ISO28000인증 획득의 필요성 인식, ②인증획득에 소요되는 시간과 경비 검토, ③컨설팅 업체 선정 및 컨설팅 계약, ④ TFT구성, ⑤마인드 교육, ⑥ 분석 및 개선,
⑦ISO28000 요구사항 해설교육, ⑧ISO28000문서 작성, 검토, 배포 및 교육, ⑨기록작성 및 유지, ⑩내부심사자 양성교육, ⑪경영검토, ⑫인증기관에 심사신청, ⑬인증기관 심사(1차), ⑭1차 심사 시정조치 및 이행상태점검, ⑮본 심사 대비 최종점검 등의 순으로 진행된다.
이러한 절차에 소요되는 시간은 기업의 여건이나 TFT의 역량에 따라 달라지므로 단적으로 규정 할 수는 없으나 통상 6개월 정도 소요되며 지속적인 진행이 어려울 경우 1년 이상 소요 될 수도 있다.
다만, 최고경영자의 확고한 의지와 조직원들의 적극적인 협조 그리고 TFT의 집중적인 노력이 합치 된다면 단기간내에 인증을 획득 하는것도 가능하므로 이를 통해 시간과 비용을 최소화 할 수 있는 방안을 마련하는 것이 중요하다.(다음호에 계속)
9.11 항공기테러 사건 이후 미국의 물류보안 개념은 자국의 범위를 벗어나 자국으로 수입되는 물품의 해외 출발지로 확대하게 되었다.
미국은 이러한 변화된 물류보안의 개념을 WCO등 여러 국제기구에 호소하여 자국의 기준(C-TPAT)이 반영된 WCO SAFE Framework와 같은 물류 보안프로그램의 탄생을 촉진하였으며 SAFE Framework의 국가 대민간 협력부문은 AEO 인증과 같은 물류보안인증제도로 발전하게 되었다.
한편 민간부문에서도 이러한 추세에 맞추어 ISO28000과 같은 물류보안경영인증 시스템이 탄생하게 되었고 이외에도 ISPS Code(선박보안인증 및 항만시설 적합인증 제도), 상용화주제, TAPA(첨단기술제품 보관 및 운송보안 인증제도),OSHAS 18001(국제안전보건인증)등과 같은 각종 민·관주도의 물류보안인증 시스템이 있다.
물류보안은 양면의 동전과 같아서 Supply Chain상의 위험요소를 경감하고자 물류 보안을 강화하면 할수록 무역과 물류의 흐름과 서비스는 지연될 수 밖에 없는 양면성이 존재한다.
그러나 물류보안인증제도를 통해 인증된 기업 또는 물류주체에 신속한 통관, 검사율 저감등의 혜택을 부여함으로써 공급망의 리스크를 경감함과 동시에 무역물류의 흐름을 원활히 할 수 있는 해결점을 찾을 수 있을 것이다.
물류보안인증은 물류보안의 유용한 도구로서 보안위협의 예방책이자 상반된 가치 추구의 난제를 풀어주는 열쇠인 것이다.
물류보안인증의 양대산맥이라 할 수 있는 AEO와 ISO 28000에 대한 상세한 내용은 다음과 같다.
ISO 28000(공급사슬보안경영시스템)
AEO가 정부주도의 물류인증제도라면 ISO28000은 민간 기구의 물류보안인증 제도라 할 수 있다.
ISO(International Organization for Standardization; 국제표준화기구)에서는 공급사슬의 보안에 관한 신뢰성을 확보 할 수 있는 공인된 제도의 도입에 필요성에 따라 2007년 ISO28000(공급사슬보안경영시스템) 규격을 제정하였다.
우리나라에는 2008년4월 기술표준원(지식경제부)에서 KS V ISO 28000으로 해당 규격을 국내에 도입 하였다.
ISO(국제표준화기구)는 ISO기술위원회를 통하여 규격을 작성하게 되는데 KS V ISO 28000은 ISO/TC8(선박 및 해양기술위원회)에서 Supply Chain상의 책임이 있는 다른 기술위원회와 협력하여 한국산업규격으로 채택 한 것이다.
기술표준원에서는 TUV, Lloyd, 한국선급 등 인증기관을 통하여 인증사업을 추진하고 있는데 2010년 9월 현재 우리나라에서는 유일하게 한국선급만이 인증 자격을 보유하고 있다.
현재(9월 15일 기준) 국내 ISO28000 인증 획득업체는 포항제철 광양제철소와 부산 신항만(주) 2개사다.
(주)한진의 경우는 9월초 최종 심사를 마쳤으며, (주)범한판토스 또한 9월중 최종심사가 있을 예정이다.
그외에 CJ GLS, DTC, A.C.E. Express 등 업체가 ISO28000 인증심사를 준비 중에 있다.
ISO28000의 궁극적인 목적은 공급사슬의 보안을 개선하는 것으로서 조직이 전체적인 공급사슬의 보안경영시스템을 수립 할 수 있는 높은 수준의 경영규격이다.
조직의 보안환경을 평가하고 보안요구가 식별되면 보안요구를 충족하기 위한 구조 및 프로세스를 실행하여야 한다.
이러한 ISO28000 인증을 획득하기 위해서는 보안경영시스템의 요구사항을 충분히 이해하고 실행하여야 하는데 ISO28000의 보안경영시스템은 기본적으로 PDCA(Plan-Do-Check-Act) 방식에 기초를 두고 있다.
주요 내용은 다음과 같다.
●…일반요구사항(General Requirement) : 조직의 보안위협을 찾아내어 위험성을 평가하고 관리하며 위험성을 경감시키기 위한 효과적인 보안경영시스템을 수립, 문서화, 실행, 유지 및 지속적으로 개선하여야 한다.
●…보안경영방침(Security Management Policy) : 물류보안경영을 위한 최고경영자의 선언으로서 관련 법률, 규정, 강제요구 사항 등을 준수하겠다는 의지를 표명하여야 한다.
●…보안위험 평가와 기획(Security Risk Assessment and Planning) : 조직내의 보안 위험요소를 찾아내서 이를 평가하고 보안경영목표, 보안 경영 세부목표, 보안경영 프로그램 등의 관리수단을 수립하고 강구하여야 한다.
●…실행 및 운영(Implementation and Operation) : 보안위험요소를 경감하기 위한 관리수단을 실행하고 이를 일관성 있게 유지할 수 있도록 조직의 역할과 책임, 권한등을 규정하여야 하며, 보안 인원에 대한 적격성 관리와 교육훈련을 실시하여야 한다.
또한 모든 실행 과정을 문서화하고 관리 하여야 하며 비상시 대응 및 보안 복구에 대한 절차를 수립하고 이행 및 유지하여야 한다.
●…점검 및 시정조치(Checking and Corrective Action) : 보안경영시스템의 성과를 모니터링하고 측정 할 수 있는 절차를 수립 유지 하여야 하며 주기적으로 법규, 요구사항 등의 준수여부와 보안경영능력에 대한 절차와 능력을 평가하여야 한다.
아울러 보안관련 부적합 사항이나 사건에 대해 시정조치 및 예방 조치를해야 하며 모든 관련사항을 기록으로 남겨야 한다.
또한, 보안경영심사 프로그램을 수립하여 주기적으로 실행하여야 한다.
●…경영검토 및 지속적 개선(management Review and Continual Improvement) : 최고경영자는 주기적으로 보안경영시스템을 검토하고 기록하며 지속적 개선에 대한 의지와 일관성을 유지하여야 한다.
ISO 28000 보안경영시스템 요건구비의 가장 중요한 부분은 문서화이다.
ISO28000의 문서는 보안방침과 보안매뉴얼, 보안절차서와 보안지침서로 구성되며 각기업의 실정과 상황에 따라 형식과 분량이 달라 질 수 있다.
보안방침은 ‘헌법’과 같은 존재이며 최고경영자의 보안경영시스템에 대한 의지의 표현으로서 선언적 성격이 강하다.
보안매뉴얼은 법률에서 ‘법’ 비할 수 있으며 보안경영의 종합적 범위와 원칙을 명시한다. 보안절차서는 ‘시행령’과 같으며 업무의 수행방법이나 절차등을 규정한다. 보안지침서는 특정부서의 상세업무에 대한 수행방법이나 프로세스를 나타내는 ‘시행규칙’과 같은 존재이다.
우리나라에서 ISO28000인증은 아직 초기단계이고 많이 알려지지 않아 확산에 시간이 다소 소요될 전망이다.
대부분 인증이 그러 하듯이 필요성이 적극적으로 요구되는 시점에서는 인증능력의 공급보다 인증희망에 대한 수요가 초과 할 가능성이 많으므로 아직 적극적으로 확산이 되지 않은 시점에서 인증을 준비 하는 것도 앞서가는 기업의 표상이 될 수 있을 것이다.
ISO28000 인증을 받기 위해서는 적절한 컨설팅 업체를 찾아 사전에 충분히 상담을 하는것이 무엇보다 중요하다.
물류로 통칭되는 물류업계의 분야가 워낙 광범위하고 다양하며 전문적인 지식이 요구되는 분야가 많은 만큼 대상기업의 업무특성을 잘 이해하지 못하는 경우 인증 준비작업에 필요이상의 시간과 자원이 낭비 될 수 있기 때문이다.
일반적인 ISO28000인증 획득을 위한 절차와 내역은 다음과 같다.
①ISO28000인증 획득의 필요성 인식, ②인증획득에 소요되는 시간과 경비 검토, ③컨설팅 업체 선정 및 컨설팅 계약, ④ TFT구성, ⑤마인드 교육, ⑥ 분석 및 개선,
⑦ISO28000 요구사항 해설교육, ⑧ISO28000문서 작성, 검토, 배포 및 교육, ⑨기록작성 및 유지, ⑩내부심사자 양성교육, ⑪경영검토, ⑫인증기관에 심사신청, ⑬인증기관 심사(1차), ⑭1차 심사 시정조치 및 이행상태점검, ⑮본 심사 대비 최종점검 등의 순으로 진행된다.
이러한 절차에 소요되는 시간은 기업의 여건이나 TFT의 역량에 따라 달라지므로 단적으로 규정 할 수는 없으나 통상 6개월 정도 소요되며 지속적인 진행이 어려울 경우 1년 이상 소요 될 수도 있다.
다만, 최고경영자의 확고한 의지와 조직원들의 적극적인 협조 그리고 TFT의 집중적인 노력이 합치 된다면 단기간내에 인증을 획득 하는것도 가능하므로 이를 통해 시간과 비용을 최소화 할 수 있는 방안을 마련하는 것이 중요하다.(다음호에 계속)
[ⓒ 코리아포워더타임즈 & parcelherald.com, 무단전재 및 재배포 금지]
목록 보기
NEWS - 최신 주요기사
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
