ICS0310001

CCSA.10.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T43632—2024/ISO280022011

:

供應(yīng)鏈安全管理體系供應(yīng)鏈韌性的開(kāi)發(fā)

要求及使用指南

Securitymanagementsystemsforthesupplychain—Developmentof

resilienceinthesupplychain—Requirementswithguidanceforuse

ISO280022011IDT

(:,)

2024-03-15發(fā)布2024-07-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T43632—2024/ISO280022011

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

包含韌性方針的管理體系要求

4…………9

總體要求

4.1……………9

理解組織及其環(huán)境

4.2…………………10

韌性管理方針?lè)秶?/p>

4.3…………………11

韌性管理方針的資源供應(yīng)

4.4…………11

韌性管理方針

4.5………………………11

韌性方針聲明

4.6………………………11

附錄資料性關(guān)于將本文件納入管理標(biāo)準(zhǔn)的參考指南

A()……………13

附錄資料性有關(guān)本文件使用的參考指南

B()…………24

附錄資料性使用限制

C()………………42

附錄資料性術(shù)語(yǔ)慣例

D()………………43

參考文獻(xiàn)

……………………44

Ⅰ

GB/T43632—2024/ISO280022011

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件等同采用供應(yīng)鏈安全管理體系供應(yīng)鏈韌性的開(kāi)發(fā)要求及使用指南

ISO28002:2011《》。

本文件做了下列最小限度的編輯性改動(dòng)

:

增加了第章出現(xiàn)的圖的引出語(yǔ)

a)44;

刪除了中與正文無(wú)關(guān)的見(jiàn)

b)4.3“(4.4)”;

調(diào)換了資料性附錄和資料性附錄的順序

c)CD。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任

。。

本文件由全國(guó)公共安全基礎(chǔ)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC351)。

本文件起草單位中國(guó)標(biāo)準(zhǔn)化研究院江蘇省質(zhì)量和標(biāo)準(zhǔn)化研究院云南建投物流有限公司諾力智

:、、、

能裝備股份有限公司中信戴卡股份有限公司美的集團(tuán)股份有限公司新疆維吾爾自治區(qū)標(biāo)準(zhǔn)化研究

、、、

院浪潮工創(chuàng)山東供應(yīng)鏈科技有限公司貴州習(xí)酒投資控股集團(tuán)有限責(zé)任公司中國(guó)港灣工程有限責(zé)

、()、、

任公司漳州片仔癀藥業(yè)股份有限公司南京醫(yī)藥股份有限公司中武福建跨境電子商務(wù)有限責(zé)任公

、、、()

司南方電網(wǎng)大數(shù)據(jù)服務(wù)有限公司河北邯鄲叢臺(tái)酒業(yè)股份有限公司誠(chéng)天國(guó)際供應(yīng)鏈深圳有限公司

、、、()。

本文件主要起草人秦挺鑫管旭琳劉玨李軍孔肖菡王皖許歆宜蔣興祥鐘鎖銘孟祥程

:、、、、、、、、、、

陳林王少華傅煒郭鑫杜德喜黃金陳強(qiáng)周倩何燦白銀戰(zhàn)何俊彪洪緋馬云濤張金花郭珅

、、、、、、、、、、、、、、、

趙永國(guó)李鵬亮馮凌炬

、、。

Ⅲ

GB/T43632—2024/ISO280022011

:

引言

01概述

.

全球各地組織正在加快制定風(fēng)險(xiǎn)管理和韌性方案以解決各自目標(biāo)實(shí)現(xiàn)過(guò)程中的不確定性由于

,。

組織需保證自己的供應(yīng)商及擴(kuò)展供應(yīng)鏈已經(jīng)規(guī)劃并采取措施以預(yù)防和減輕其所面臨的威脅和危險(xiǎn)故

,

而迫切需要相關(guān)標(biāo)準(zhǔn)和最佳實(shí)踐為確保供應(yīng)鏈的韌性組織必須開(kāi)展全面系統(tǒng)的預(yù)防保護(hù)準(zhǔn)備減

。,、、、

緩響應(yīng)連續(xù)性和恢復(fù)等一系列工作

、、。

供應(yīng)鏈中組織的生存性在很大程度上取決于其供應(yīng)商和客戶(hù)的韌性因此在供應(yīng)鏈中融入韌性

。,

以及提高供應(yīng)鏈中組織的韌性必須集中在組織內(nèi)部及其外部供應(yīng)商和客戶(hù)

。

供應(yīng)鏈中斷期間必須強(qiáng)調(diào)對(duì)于中斷的確切性質(zhì)一開(kāi)始可能無(wú)法完全理解只能隨著時(shí)間的推移

,:,,

才能充分理解因此制定的韌性計(jì)劃和方針宜強(qiáng)調(diào)對(duì)新信息的適應(yīng)和持續(xù)評(píng)估以確保所采取措施的

。,,

適當(dāng)性供應(yīng)鏈中斷程度嚴(yán)重時(shí)很有可能引起新聞媒體的關(guān)注若未能妥善管理與新聞媒體的關(guān)

。,。

系則可能會(huì)對(duì)恢復(fù)響應(yīng)活動(dòng)產(chǎn)生負(fù)面影響進(jìn)而使利益相關(guān)方失去信心這種信心喪失可能導(dǎo)致客戶(hù)

,,。

流失政府或金融組織對(duì)信息的需求增加以及外部組織設(shè)定限制條件本文件適用于私營(yíng)非營(yíng)利非

、,。、、

政府和公共部門(mén)環(huán)境它是行動(dòng)計(jì)劃和決策的管理框架可用于預(yù)測(cè)和預(yù)防如可行中斷性事件緊急

,,()(

情況危機(jī)災(zāi)害及針對(duì)該類(lèi)事件做好準(zhǔn)備和應(yīng)對(duì)在管理體系中執(zhí)行本文件能夠提高組織在相關(guān)事

、、)。,

件中的管理和生存能力并能通過(guò)采取一切適當(dāng)措施幫助確保組織的持續(xù)生存能力無(wú)論哪類(lèi)組織其

,。,

領(lǐng)導(dǎo)層都有責(zé)任制定生存計(jì)劃確保利益相關(guān)方的權(quán)益本文件正文部分提供了可審核性標(biāo)準(zhǔn)用于建

,。,

立檢查保持和改進(jìn)管理體系中執(zhí)行的韌性方針以加強(qiáng)針對(duì)中斷性事件的預(yù)防準(zhǔn)備預(yù)備減緩響

、、,、()、、

應(yīng)連續(xù)性和恢復(fù)工作

、。

本文件旨在成為供應(yīng)鏈安全管理體系的組成部分此外對(duì)于遵循策劃實(shí)施檢查處置

。,“———”

模式的組織其內(nèi)部其他管理體系中也可融入本文件如果選擇第三方獨(dú)

(Plan-Do-Check-Act:PDCA),。

立認(rèn)證則將對(duì)包含本文件在內(nèi)的整體管理體系標(biāo)準(zhǔn)進(jìn)行認(rèn)證

,。

通過(guò)采用具有適應(yīng)性主動(dòng)性和被動(dòng)性的綜合恢復(fù)方法可以利用組織內(nèi)各部門(mén)和個(gè)人的觀(guān)點(diǎn)知

、,、

識(shí)和能力由于組織面臨的許多自然有意或無(wú)意的威脅和危險(xiǎn)的概率相對(duì)較低但造成的后果可能十

。、,

分嚴(yán)重綜合方法允許組織在經(jīng)濟(jì)合理的情況下確定處理自身風(fēng)險(xiǎn)管理需求時(shí)的優(yōu)先順序

,。

02供應(yīng)鏈環(huán)境

.

對(duì)供應(yīng)鏈中的風(fēng)險(xiǎn)進(jìn)行管理時(shí)需要了解組織環(huán)境以及整個(gè)供應(yīng)鏈的全球環(huán)境背景組織供應(yīng)鏈

,。

中的各個(gè)節(jié)點(diǎn)涉及了計(jì)劃原料制造交付和退貨等一系列風(fēng)險(xiǎn)和管理過(guò)程所有這些管理過(guò)程都宜

、、、。

包含在組織的整體韌性方針中在此條件下組織將確定其供應(yīng)鏈中包含韌性方案的級(jí)別和層級(jí)

。,。

Ⅳ

GB/T43632—2024/ISO280022011

:

圖1供應(yīng)鏈中的韌性管理方針資料來(lái)源國(guó)際供應(yīng)鏈協(xié)會(huì)SCC2007年

[:()]

03過(guò)程方法

.

管理體系方法鼓勵(lì)組織進(jìn)行組織需求和利益相關(guān)方需求分析并確定有助于成功的各類(lèi)過(guò)程管理

。

體系提供了持續(xù)改進(jìn)框架以提高在加強(qiáng)安全性準(zhǔn)備響應(yīng)性連續(xù)性和韌性方面的可能性同時(shí)管

,、、、。,

理體系還為組織及其客戶(hù)提供了信心即組織能夠提供滿(mǎn)足組織和利益相關(guān)方要求的安全可靠的

,、

環(huán)境

。

本文件采用過(guò)程方法用于建立執(zhí)行運(yùn)行監(jiān)視評(píng)審保持和改進(jìn)組織對(duì)供應(yīng)鏈中斷的韌性組

,、、、、、。

織需要對(duì)許多活動(dòng)加以確認(rèn)和管理以確保有效運(yùn)作任何包含資源利用并進(jìn)行管理并將輸入轉(zhuǎn)化為

,。,

輸出的活動(dòng)都可視為一個(gè)過(guò)程通常一個(gè)過(guò)程的輸出會(huì)直接成為下一過(guò)程的輸入

。,。

組織內(nèi)一套過(guò)程的應(yīng)用以及這些過(guò)程的識(shí)別和相互作用及其管理可以稱(chēng)為過(guò)程方法

,“”。

圖描述了本文件中提出的供應(yīng)鏈韌性管理過(guò)程方法鼓勵(lì)使用者強(qiáng)調(diào)下列各方面的重要性

2,:

了解組織的風(fēng)險(xiǎn)安全性準(zhǔn)備響應(yīng)連續(xù)性和恢復(fù)要求

a)、、、、;

制定風(fēng)險(xiǎn)管理方針和目標(biāo)

b);

執(zhí)行控制措施以便在組織目標(biāo)背景下對(duì)組織風(fēng)險(xiǎn)進(jìn)行管理

c),;

監(jiān)視并評(píng)審韌性管理方針的績(jī)效和有效性

d);

根據(jù)目標(biāo)測(cè)評(píng)持續(xù)改進(jìn)

e)。

Ⅴ

GB/T43632—2024/ISO280022011

:

圖2供應(yīng)鏈韌性管理過(guò)程方法

031制定供應(yīng)鏈韌性方案并應(yīng)用資源

..:

將供應(yīng)鏈風(fēng)險(xiǎn)管理視為重中之重

———;

確保最高管理者支持供應(yīng)鏈韌性方案

———;

確保方案執(zhí)行所需的資源到位

———。

032確立供應(yīng)鏈和韌性目標(biāo)

..:

確立供應(yīng)鏈范圍并映射到供應(yīng)鏈

———;

確立主題供應(yīng)鏈中的風(fēng)險(xiǎn)管理目標(biāo)

———。

033識(shí)別供應(yīng)鏈風(fēng)險(xiǎn)

..:

全面評(píng)審供應(yīng)鏈以識(shí)別風(fēng)險(xiǎn)

———;

盡可能記錄已識(shí)別的風(fēng)險(xiǎn)

———。

034風(fēng)險(xiǎn)量化和區(qū)分優(yōu)先級(jí)

..:

根據(jù)發(fā)生的可能性和潛在影響量化每個(gè)風(fēng)險(xiǎn)

———;

根據(jù)確定的目標(biāo)使用風(fēng)險(xiǎn)量化來(lái)區(qū)分風(fēng)險(xiǎn)優(yōu)先級(jí)

———。

035執(zhí)行風(fēng)險(xiǎn)應(yīng)對(duì)方案

..:

根據(jù)每個(gè)風(fēng)險(xiǎn)的優(yōu)先級(jí)制定風(fēng)險(xiǎn)管理措施

———;

根據(jù)降低風(fēng)險(xiǎn)發(fā)生的可能性和影響來(lái)定義每項(xiàng)措施的價(jià)值

———;

針對(duì)確定的措施制定并執(zhí)行計(jì)劃

———。

036監(jiān)視供應(yīng)鏈環(huán)境以識(shí)別風(fēng)險(xiǎn)

..,:

持續(xù)監(jiān)視供應(yīng)鏈環(huán)境以識(shí)別風(fēng)險(xiǎn)事件或前兆

———,;

當(dāng)閾值被觸發(fā)時(shí)執(zhí)行適用的減緩措施

———,;

記錄采取措施后的評(píng)審和方案結(jié)果

———。

04策劃—實(shí)施—檢查—處置PDCA模式

.“”()

本文件旨在納入使用策劃實(shí)施檢查處置模式的管理體系該模式反過(guò)來(lái)又將指

“———”(PDCA),

導(dǎo)韌性管理方針流程的實(shí)施和整合圖說(shuō)明了管理體系中如何納入韌性管理方針該方針能夠接收

。3;

相關(guān)方的要求和期望并通過(guò)必要的行動(dòng)和流程產(chǎn)生符合這些要求和期望的風(fēng)險(xiǎn)管理結(jié)果圖還說(shuō)

,。3

Ⅵ

GB/T43632—2024/ISO280022011

:

明了本文件第章中介紹的各流程間的關(guān)聯(lián)

4。

圖3包含韌性方針的管理體系流程圖

建立與管理風(fēng)險(xiǎn)和提高安全性準(zhǔn)備減緩響應(yīng)連續(xù)性和恢復(fù)相

策劃、、、、

關(guān)的管理體系方針目標(biāo)流程和程序以便按照組織的總體方針

建立管理體系、、,

()和目標(biāo)交付結(jié)果

實(shí)施

執(zhí)行和運(yùn)行管理體系方針控制措施過(guò)程和程序

執(zhí)行和運(yùn)行管理體系、、

()

檢查根據(jù)管理體系方針目標(biāo)和實(shí)踐經(jīng)驗(yàn)對(duì)過(guò)程性能進(jìn)行測(cè)評(píng)并將結(jié)

、,

監(jiān)視和評(píng)審管理體系果上報(bào)管理者評(píng)審

()

處置根據(jù)內(nèi)部管理體系審核和管理評(píng)審結(jié)果采取糾正和預(yù)防措施持

,,

保持和改進(jìn)行管理體系續(xù)改進(jìn)管理體系

()

對(duì)于將本文件作為一項(xiàng)方針納入其中的管理體系可通過(guò)與

,ISO28000:2007、ISO14001:2004

和或的方法及模式相兼容且相符合的審核過(guò)程驗(yàn)證其合規(guī)性

/ISO/IEC27001:2005PDCA。

有關(guān)本文件使用的參考指南見(jiàn)附錄有關(guān)本文件的使用限制的更多信息見(jiàn)附錄本文件所使

B。C。

用的術(shù)語(yǔ)慣例見(jiàn)附錄

D。

本文件提供了通用要求作為框架適用于組織或組織部門(mén)而與組織規(guī)模及其在供應(yīng)鏈中的功能

,(),

無(wú)關(guān)本文件為組織在制定自身具體績(jī)效標(biāo)準(zhǔn)時(shí)提供指導(dǎo)使得組織能夠制定和執(zhí)行適合本組織及其

。,

利益相關(guān)方需求的韌性管理方針

。

本文件強(qiáng)調(diào)組織在復(fù)雜多變環(huán)境中的韌性和適應(yīng)能力以及對(duì)關(guān)鍵供應(yīng)鏈資產(chǎn)和過(guò)程的保護(hù)應(yīng)

,。

用本文件組織能更容易地預(yù)防各種有意無(wú)意和或自然造成的中斷性事件并做好相應(yīng)準(zhǔn)備如有可

,、/(

能和應(yīng)對(duì)而這類(lèi)事件如不加以管理可能會(huì)升級(jí)為緊急狀況危機(jī)或?yàn)?zāi)害本文件涵蓋了中斷性事件

),,、。

發(fā)生前發(fā)生期間和發(fā)生后的事件管理的所有階段

、。

本文件為組織提供了一個(gè)框架用于

,:

制定一套預(yù)防保護(hù)準(zhǔn)備減緩和響應(yīng)連續(xù)性韌性方針

a)、、、//;

建立實(shí)現(xiàn)方針承諾的目標(biāo)程序和過(guò)程

b)、;

Ⅶ

GB/T43632—2024/ISO280022011

:

確保具備相關(guān)能力意識(shí)和培訓(xùn)

c)、;

設(shè)置衡量績(jī)效及證明成功的標(biāo)準(zhǔn)

d);

根據(jù)需要采取行動(dòng)措施以提高績(jī)效

e),;

本文件是證明管理體系合格的必要條件

f);

建立持續(xù)改進(jìn)過(guò)程并予以應(yīng)用

g)。

附錄提供了關(guān)于體系策劃執(zhí)行測(cè)試保持和改進(jìn)的參考指南

A、、、。

Ⅷ

GB/T43632—2024/ISO280022011

:

供應(yīng)鏈安全管理體系供應(yīng)鏈韌性的開(kāi)發(fā)

要求及使用指南

1范圍

本文件規(guī)定了供應(yīng)鏈韌性管理方針的要求以便相關(guān)組織制定并執(zhí)行相關(guān)方針目標(biāo)和方案同時(shí)

,、;

考慮到

:

組織需遵守的法律法規(guī)及其他要求

a);

關(guān)于可能對(duì)組織及其利益相關(guān)方和供應(yīng)鏈造成影響的重大風(fēng)險(xiǎn)危害和威脅的信息

b)、;

對(duì)組織資產(chǎn)和流程的保護(hù)

c);

中斷性事件管理

d)。

本文件適用于被組織識(shí)別為可控制改變或降低的風(fēng)險(xiǎn)以及無(wú)法預(yù)測(cè)的風(fēng)險(xiǎn)本文件本身并未說(shuō)

、。

明具體的績(jī)效標(biāo)準(zhǔn)本文件中的所有要求旨在