(高清版)GB∕T 38702-2020 供應鏈安全管理體系 實施供應鏈安全、評估和計劃的最佳實踐 要求和指南

GB/T38702—2020/ISO280供應鏈安全管理體系實施供應鏈安全、評估和計劃的最佳實踐要求和指南implementingsupplychainsecurity,assessmentsa國家市場監(jiān)督管理總局國家標準化管理委員會 Ⅲ 1 13術語和定義 1 4 5附錄A(資料性附錄)供應鏈安全過程 8附錄B(資料性附錄)安全風險評估方法和對策的制定 附錄C(資料性附錄)獲取咨詢建議和認證的指南 21 ⅢGB/T38702—2020/ISO28001:本標準使用翻譯法等同采用ISO28001:2007《供應鏈安全管理體系實施供應鏈安全、評估和計劃的最佳實踐要求和指南》。錄C)。VGB/T38702—2020/ISO28-—表述對供應鏈(從原料配送到成品的存貯、制造和運輸?shù)绞袌?實施風險評1GB/T38702—2020/ISO28001:2007營者(AEOs)。下列文件對于本文件的應用是必不可少的。凡是注日期的引ISO/PAS20858船舶與航海技術海運港口設施安全評估和安全計劃編制(Shipandmarinetechnology—Maritimeportfacilitysecurityassessmentsands國際海事組織國際海上生命安全公約(SOLAS),1974年，修正案[InternationalConventionfor2授權經(jīng)營者authorizedeconomicoperator以經(jīng)批準的任何職能參與國際貨物運輸并被海關當局認定符合世界海關組織或相應供應鏈安全標準的一方。業(yè)務伙伴businesspartner與組織簽訂合同并協(xié)助其成為供應鏈中的組織(3.15)的承包人、供應商及服務提供方。貨物運輸單元cargotransportunit可合理被預期由組織在供應鏈中遭受的攻擊或將供應鏈作為武器使用而造成的人員傷亡、財產(chǎn)損失或經(jīng)濟破壞，包括對運輸系統(tǒng)的破壞。運輸工具conveyance國際貿(mào)易中將貨物從一個地點運送到另一地點的工具。為降低安全威脅場景發(fā)生的可能性以實現(xiàn)目標或減小安全威脅場景造成的可能的后果(3.6)所采取的措施。供應鏈中的組織在一段時間內直接控制供應鏈中貨物的制造、加工、裝卸和運輸以及與之相關的航運信息。供應鏈中貨物不再受組織保管的情況下的搬運、加工和移動。供應鏈中在買方下單后為供買方使用或消費制造、加工、裝卸或運輸?shù)牧悴考蛟稀H供應鏈internationalsupplychain在某些環(huán)節(jié)上跨越國際或經(jīng)濟體邊界的供應鏈。安全威脅場景可能發(fā)展成安全事件的難易程度。3管理體系managementsystem組織為管理其過程或活動，將輸入的資源轉化為產(chǎn)品或服務以實現(xiàn)組織的目標的結構。供應鏈中的組織organizationinthesupplychain進行以下任一活動的實體：——在國際供應鏈中以任何方式進行貨物運輸，不管這個供應鏈中的任何環(huán)節(jié)是否跨越國界(或經(jīng)濟體邊界);或——提供、管理或實施海關部門或商業(yè)管理中所用的航運信息的生成、發(fā)布或流動。風險管理riskmanagement基于對潛在的威脅、威脅產(chǎn)生的后果以及發(fā)生的概率或可能性的分析做出管理決策的過程。服務范圍scopeofservice組織在供應鏈中執(zhí)行的且無論何時執(zhí)行的一項或多項職能。安全申明securitydeclaration業(yè)務伙伴以文件形式做出的承諾，該承諾表述由業(yè)務伙伴實施安全措施，至少包括如何保護國際貿(mào)易中的貨物和器具和相關的信息及如何證實和確認安全措施。安全計劃securityplan為確保安全得到充分管理的策劃安排。安全security針對旨在對供應鏈造成損壞或破壞或由供應鏈造成損壞或破壞的故意行為的抵抗力。產(chǎn)生后果(3.6)的任何行為或狀況。安全人員securitypersonnel供應鏈中的組織中承擔相關安全職責的人員。45XI-2/4或XI-2/10的規(guī)定予c)已依據(jù)國家海關部門的供應鏈安全方案被指定為授權經(jīng)營者(AEOs),該方部場所內現(xiàn)有的安全安排(4.3和4.4所提及的)進行評估，并對存在潛在安全脆弱點的業(yè)務伙伴進行67GB/T38702—2020/ISO28001d)根據(jù)與組織的合同關系依照所約定的條款和條件經(jīng)授權訪8GB/T38702—2020/ISO28001:2007(資料性附錄)供應鏈安全過程本附錄提供了創(chuàng)建供應鏈安全過程的指南，該過程可在已建立管理體系的組織中實施。圖A.1提供了有關此過程的圖形描述。是是是否否圖A.1供應鏈安全過程的圖形描述A.2識別安全評估范圍安全評估旨在識別組織在供應鏈中所處環(huán)節(jié)的安全風險。組織在其《申請書》中希望其所處環(huán)節(jié)符合本標準。為了完成這項評估，需確定評估范圍的邊界(包括實際的和虛擬的)。9A.3實施安全評估具有資質的人員需要對存在潛在安全脆弱性的所有場所的現(xiàn)有安全布置進行評估，包括但不限于：——準備裝運的貨物在運輸前的貯存或拼裝；—貨物的運送；—貨物從運輸工具上的裝卸；-—貨物保管權的交接；-—有關正在裝運的貨物的文件或信息的處理、產(chǎn)生或訪問；——其他。A.3.2績效評審清單下面的績效評審清單提供了采用系統(tǒng)的方法評審現(xiàn)有安全布置的示例。該部分績效評審清單適用于已向組織證實過以下各項的合作伙伴：a)已經(jīng)過驗證符合本標準或ISO20858;b)符合4.3要求；或c)已按照國家海關根據(jù)世界海關組織《全球貿(mào)易安全與便利標準框架》確定的供應鏈安全方案被指定為授權經(jīng)營者(AEOs)。宜包含因素如何得到解決的注解，如符合本標準、ISO20858,或者國際船舶和港口設施安全規(guī)則(ISPS規(guī)則)。A.3.3績效評審對供應鏈中的組織實施安全評估時，可填寫和參考表A.1所示的績效評審清單。該清單并非詳盡的，可根據(jù)風險評估和組織的商業(yè)模式進行調整。若所顯示的因素已由供應鏈中的組織實施，宜選則他替代措施，或注明風險很低。如果因素不適用或不在組織的覆蓋范圍內，宜在“備注”欄中注明“不適用(NA)”。根據(jù)相關的法律法規(guī)要求在績效評審清單中不能實施的項目，宜在備注欄中標識為禁止。表A.1績效評審清單●組織是否建立了用于解決供應鏈安全問題的管理●組織是否指定專人負責供應鏈的安全?●組織是否有現(xiàn)成的安全計劃?●策劃是否包括了組織對上游和下游合作伙伴的安●組織是否制定了危機管理、業(yè)務連續(xù)性和安全恢復計劃?——建筑物的物理安全性；——對場所內外部環(huán)境的監(jiān)視和控制；●是否存在可顯著加強資產(chǎn)保護的運行安全技術?的CCTV/DVS影像記錄，記錄保留期應足夠長以●是否制定了聯(lián)絡內部安全員或外部執(zhí)法部門的協(xié)●是否制定了程序，限定、檢測和報告未授權進入所●在貨物發(fā)放和接收前，是否有人員對貨物的發(fā)放●組織是否建立了程序，在雇用前對人員的誠信進●組織是否開展崗位培訓，幫助員工履行其安全職●組織是否使員工了解公司所制定的報告可疑事件的程序?●訪問控制系統(tǒng)是否包含了立即清除合約到期的員工的身份識別卡和進入敏感區(qū)和信息系統(tǒng)的訪問權的功能?●是否執(zhí)行程序確保用于貨物加工的所有信息(電●在組織運送或接收貨物時是否核對貨物與相應的●組織是否確保從業(yè)務伙伴那里收到的信息得到準●是否通過使用存儲系統(tǒng)保護了相關的數(shù)據(jù)，不論●是否所有用戶都有唯一的標識碼(用戶ID)且僅供●是否建立了一套有效的密碼管理系統(tǒng)用于鑒定用戶的真?zhèn)?，是否要求這些用戶至少每年更改一次●是否制定了保護措施以防止未經(jīng)授權訪問和不當●是否建立了程序以限制、檢測和報告對所有運輸、授權的訪問?●是否指定合格人員負責監(jiān)督貨運業(yè)務?●當檢測出或懷疑有異?；蜻`法活動發(fā)生時，組織●是否建立了程序確保被運送到供應鏈中其他組織●是否建立了追蹤運輸路線威脅等級變化的程序?●是否向運輸經(jīng)營者提供安全規(guī)則、程序或指南(例●若使用封閉式貨物運輸單元，是否建立了對符合ISO/PAS17712的高安全性機械封印和/或其他●若使用封閉式貨物運輸單元，是否建立書面程●若使用封閉式貨物運輸單元，是否及時檢查裝填GB/T38702—2020/ISO28安全評估時考慮安全威脅場景，包括但不限于表A.2所列的內容。安全評估也宜考慮可能由政府表A.2供應鏈的安全威脅場景應用1.侵入和/或控制供應鏈內的資產(chǎn)(包括運輸工具)損壞/破壞資產(chǎn)(包括交通工具);損壞/破壞使用資產(chǎn)或貨物的外靶；引起社會或經(jīng)濟動蕩；將武器非法運入或運出國家/經(jīng)濟體；3.篡改信息行或從事非法活動以散播恐怖主義為目的干擾、破壞和/或盜竊5.未經(jīng)授權的使用操縱國際供應鏈的運行以制造恐怖事件，包括務伙伴按照其安全聲明(如適用)所維持的安全措施。該計劃/附錄還宜說明組織將如何監(jiān)視或定期評 -—安全聲明；——響應政府做出的努力并就對話框架提出有意義的見解，以確保組織的安全GB/T38702—2020/ISO28001GB/T38702—2020/ISO28001:2007是否是是否安全威脅場景示例應用示例1.侵入和/或控制供應鏈內的資產(chǎn)(包括運輸工具)損壞/破壞資產(chǎn)；損壞/破壞使用資產(chǎn)或貨物的外靶；引起社會或經(jīng)濟動蕩；將武器非法運入或運出國家/經(jīng)濟體；或從事非法活動以散播恐怖主義為目的干擾、破壞和/或盜竊5.未經(jīng)授權的使用操縱國際供應鏈制的運行以制造恐怖主義事件，包括使用1)對以下事項的訪問控制：4)貨物的運輸方式：6)檢查過程，例如車輛檢查。10)有關貨物的搬運或加工或運輸路線的信息： 11)外部信息： —其他。表B.2后果分類分配等級高中低經(jīng)濟影響：對資產(chǎn)和/或基礎設施和系統(tǒng)造成輕微損害B.4第三步——安全事件發(fā)生可能性的分類對潛在安全事件進行分類時，宜考慮安全績效評審清單及提供的其他文件中所記錄的供應鏈中物理安全措施和運行安全措施的狀態(tài)。物理安全措施包括阻止或檢測未經(jīng)授權侵入目標的物體。運行安全措施包括阻止或檢測未經(jīng)授權侵入目標的人員和程序。針對特定資產(chǎn)發(fā)生的安全事件可能性宜分為——高級宜適用于現(xiàn)有安全措施對安全事件的發(fā)生展現(xiàn)較弱抵抗能力的情況。若評估過程中使用了數(shù)值系統(tǒng)，數(shù)值結果宜轉化為此定性的體系?！屑壱诉m用于現(xiàn)有安全措施對安全事件的發(fā)生展現(xiàn)適中抵抗能力的情況。——低級宜適用于現(xiàn)有安全措施對安全事件的發(fā)生展現(xiàn)強勁抵抗能力的情況。對所有安全事件的發(fā)送概率進行分類的依據(jù)宜予以記錄。B.5第四步——安全事件分級表B.3中給出的安全事件等級表可用于確定何時宜考慮針對特定安全事件采取應對措施。表B.3安全事件分級表高中低高中低需對可能性和后果的評級均為高等級的安全事件GB/T38702—2020/ISO28001有意實施ISO28001的組織不一定要獲得外部咨詢服務。如果確定在實施安全評估、制定安全計ISO28001是一個要求規(guī)范，旨在幫助自愿實施該要求的組織確定和證實其在國際供應鏈中控制[1]ISO9001:2000質量管理體系要求(Qualitymanagementsystems—Requirements)[2]ISO14001:2004環(huán)境管理體系要求與使用指南(Environmentalmanagementsystems—assessment—Requirementsforbodiesprovidingaud[4]ISO/PAS17712:2006貨運集裝箱機械密封(Freightcontainers—Mechanicalseals)[6]ISO/PAS20858:2004船舶和航海技術海運港口設施安全評估