GB/T38702—2020/ISO280供應(yīng)鏈安全管理體系實施供應(yīng)鏈安全、評估和計劃的最佳實踐要求和指南implementingsupplychainsecurity,assessmentsa國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會 Ⅲ 1 13術(shù)語和定義 1 4 5附錄A(資料性附錄)供應(yīng)鏈安全過程 8附錄B(資料性附錄)安全風(fēng)險評估方法和對策的制定 附錄C(資料性附錄)獲取咨詢建議和認(rèn)證的指南 21 ⅢGB/T38702—2020/ISO28001:本標(biāo)準(zhǔn)使用翻譯法等同采用ISO28001:2007《供應(yīng)鏈安全管理體系實施供應(yīng)鏈安全、評估和計劃的最佳實踐要求和指南》。錄C)。VGB/T38702—2020/ISO28-—表述對供應(yīng)鏈(從原料配送到成品的存貯、制造和運輸?shù)绞袌?實施風(fēng)險評1GB/T38702—2020/ISO28001:2007營者(AEOs)。下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引ISO/PAS20858船舶與航海技術(shù)海運港口設(shè)施安全評估和安全計劃編制(Shipandmarinetechnology—Maritimeportfacilitysecurityassessmentsands國際海事組織國際海上生命安全公約(SOLAS),1974年，修正案[InternationalConventionfor2授權(quán)經(jīng)營者authorizedeconomicoperator以經(jīng)批準(zhǔn)的任何職能參與國際貨物運輸并被海關(guān)當(dāng)局認(rèn)定符合世界海關(guān)組織或相應(yīng)供應(yīng)鏈安全標(biāo)準(zhǔn)的一方。業(yè)務(wù)伙伴businesspartner與組織簽訂合同并協(xié)助其成為供應(yīng)鏈中的組織(3.15)的承包人、供應(yīng)商及服務(wù)提供方。貨物運輸單元cargotransportunit可合理被預(yù)期由組織在供應(yīng)鏈中遭受的攻擊或?qū)⒐?yīng)鏈作為武器使用而造成的人員傷亡、財產(chǎn)損失或經(jīng)濟破壞，包括對運輸系統(tǒng)的破壞。運輸工具conveyance國際貿(mào)易中將貨物從一個地點運送到另一地點的工具。為降低安全威脅場景發(fā)生的可能性以實現(xiàn)目標(biāo)或減小安全威脅場景造成的可能的后果(3.6)所采取的措施。供應(yīng)鏈中的組織在一段時間內(nèi)直接控制供應(yīng)鏈中貨物的制造、加工、裝卸和運輸以及與之相關(guān)的航運信息。供應(yīng)鏈中貨物不再受組織保管的情況下的搬運、加工和移動。供應(yīng)鏈中在買方下單后為供買方使用或消費制造、加工、裝卸或運輸?shù)牧悴考蛟稀H供應(yīng)鏈internationalsupplychain在某些環(huán)節(jié)上跨越國際或經(jīng)濟體邊界的供應(yīng)鏈。安全威脅場景可能發(fā)展成安全事件的難易程度。3管理體系managementsystem組織為管理其過程或活動，將輸入的資源轉(zhuǎn)化為產(chǎn)品或服務(wù)以實現(xiàn)組織的目標(biāo)的結(jié)構(gòu)。供應(yīng)鏈中的組織organizationinthesupplychain進(jìn)行以下任一活動的實體：——在國際供應(yīng)鏈中以任何方式進(jìn)行貨物運輸，不管這個供應(yīng)鏈中的任何環(huán)節(jié)是否跨越國界(或經(jīng)濟體邊界);或——提供、管理或?qū)嵤┖ｊP(guān)部門或商業(yè)管理中所用的航運信息的生成、發(fā)布或流動。風(fēng)險管理riskmanagement基于對潛在的威脅、威脅產(chǎn)生的后果以及發(fā)生的概率或可能性的分析做出管理決策的過程。服務(wù)范圍scopeofservice組織在供應(yīng)鏈中執(zhí)行的且無論何時執(zhí)行的一項或多項職能。安全申明securitydeclaration業(yè)務(wù)伙伴以文件形式做出的承諾，該承諾表述由業(yè)務(wù)伙伴實施安全措施，至少包括如何保護(hù)國際貿(mào)易中的貨物和器具和相關(guān)的信息及如何證實和確認(rèn)安全措施。安全計劃securityplan為確保安全得到充分管理的策劃安排。安全security針對旨在對供應(yīng)鏈造成損壞或破壞或由供應(yīng)鏈造成損壞或破壞的故意行為的抵抗力。產(chǎn)生后果(3.6)的任何行為或狀況。安全人員securitypersonnel供應(yīng)鏈中的組織中承擔(dān)相關(guān)安全職責(zé)的人員。45XI-2/4或XI-2/10的規(guī)定予c)已依據(jù)國家海關(guān)部門的供應(yīng)鏈安全方案被指定為授權(quán)經(jīng)營者(AEOs),該方部場所內(nèi)現(xiàn)有的安全安排(4.3和4.4所提及的)進(jìn)行評估，并對存在潛在安全脆弱點的業(yè)務(wù)伙伴進(jìn)行67GB/T38702—2020/ISO28001d)根據(jù)與組織的合同關(guān)系依照所約定的條款和條件經(jīng)授權(quán)訪8GB/T38702—2020/ISO28001:2007(資料性附錄)供應(yīng)鏈安全過程本附錄提供了創(chuàng)建供應(yīng)鏈安全過程的指南，該過程可在已建立管理體系的組織中實施。圖A.1提供了有關(guān)此過程的圖形描述。是是是否否圖A.1供應(yīng)鏈安全過程的圖形描述A.2識別安全評估范圍安全評估旨在識別組織在供應(yīng)鏈中所處環(huán)節(jié)的安全風(fēng)險。組織在其《申請書》中希望其所處環(huán)節(jié)符合本標(biāo)準(zhǔn)。為了完成這項評估，需確定評估范圍的邊界(包括實際的和虛擬的)。9A.3實施安全評估具有資質(zhì)的人員需要對存在潛在安全脆弱性的所有場所的現(xiàn)有安全布置進(jìn)行評估，包括但不限于：——準(zhǔn)備裝運的貨物在運輸前的貯存或拼裝；—貨物的運送；—貨物從運輸工具上的裝卸；-—貨物保管權(quán)的交接；-—有關(guān)正在裝運的貨物的文件或信息的處理、產(chǎn)生或訪問；——其他。A.3.2績效評審清單下面的績效評審清單提供了采用系統(tǒng)的方法評審現(xiàn)有安全布置的示例。該部分績效評審清單適用于已向組織證實過以下各項的合作伙伴：a)已經(jīng)過驗證符合本標(biāo)準(zhǔn)或ISO20858;b)符合4.3要求；或c)已按照國家海關(guān)根據(jù)世界海關(guān)組織《全球貿(mào)易安全與便利標(biāo)準(zhǔn)框架》確定的供應(yīng)鏈安全方案被指定為授權(quán)經(jīng)營者(AEOs)。宜包含因素如何得到解決的注解，如符合本標(biāo)準(zhǔn)、ISO20858,或者國際船舶和港口設(shè)施安全規(guī)則(ISPS規(guī)則)。A.3.3績效評審對供應(yīng)鏈中的組織實施安全評估時，可填寫和參考表A.1所示的績效評審清單。該清單并非詳盡的，可根據(jù)風(fēng)險評估和組織的商業(yè)模式進(jìn)行調(diào)整。若所顯示的因素已由供應(yīng)鏈中的組織實施，宜選則他替代措施，或注明風(fēng)險很低。如果因素不適用或不在組織的覆蓋范圍內(nèi)，宜在“備注”欄中注明“不適用(NA)”。根據(jù)相關(guān)的法律法規(guī)要求在績效評審清單中不能實施的項目，宜在備注欄中標(biāo)識為禁止。表A.1績效評審清單●組織是否建立了用于解決供應(yīng)鏈安全問題的管理●組織是否指定專人負(fù)責(zé)供應(yīng)鏈的安全?●組織是否有現(xiàn)成的安全計劃?●策劃是否包括了組織對上游和下游合作伙伴的安●組織是否制定了危機管理、業(yè)務(wù)連續(xù)性和安全恢復(fù)計劃?——建筑物的物理安全性；——對場所內(nèi)外部環(huán)境的監(jiān)視和控制；●是否存在可顯著加強資產(chǎn)保護(hù)的運行安全技術(shù)?的CCTV/DVS影像記錄，記錄保留期應(yīng)足夠長以●是否制定了聯(lián)絡(luò)內(nèi)部安全員或外部執(zhí)法部門的協(xié)●是否制定了程序，限定、檢測和報告未授權(quán)進(jìn)入所●在貨物發(fā)放和接收前，是否有人員對貨物的發(fā)放●組織是否建立了程序，在雇用前對人員的誠信進(jìn)●組織是否開展崗位培訓(xùn)，幫助員工履行其安全職●組織是否使員工了解公司所制定的報告可疑事件的程序?●訪問控制系統(tǒng)是否包含了立即清除合約到期的員工的身份識別卡和進(jìn)入敏感區(qū)和信息系統(tǒng)的訪問權(quán)的功能?●是否執(zhí)行程序確保用于貨物加工的所有信息(電●在組織運送或接收貨物時是否核對貨物與相應(yīng)的●組織是否確保從業(yè)務(wù)伙伴那里收到的信息得到準(zhǔn)●是否通過使用存儲系統(tǒng)保護(hù)了相關(guān)的數(shù)據(jù)，不論●是否所有用戶都有唯一的標(biāo)識碼(用戶ID)且僅供●是否建立了一套有效的密碼管理系統(tǒng)用于鑒定用戶的真?zhèn)危欠褚筮@些用戶至少每年更改一次●是否制定了保護(hù)措施以防止未經(jīng)授權(quán)訪問和不當(dāng)●是否建立了程序以限制、檢測和報告對所有運輸、授權(quán)的訪問?●是否指定合格人員負(fù)責(zé)監(jiān)督貨運業(yè)務(wù)?●當(dāng)檢測出或懷疑有異?；蜻`法活動發(fā)生時，組織●是否建立了程序確保被運送到供應(yīng)鏈中其他組織●是否建立了追蹤運輸路線威脅等級變化的程序?●是否向運輸經(jīng)營者提供安全規(guī)則、程序或指南(例●若使用封閉式貨物運輸單元，是否建立了對符合ISO/PAS17712的高安全性機械封印和/或其他●若使用封閉式貨物運輸單元，是否建立書面程●若使用封閉式貨物運輸單元，是否及時檢查裝填GB/T38702—2020/ISO28安全評估時考慮安全威脅場景，包括但不限于表A.2所列的內(nèi)容。安全評估也宜考慮可能由政府表A.2供應(yīng)鏈的安全威脅場景應(yīng)用1.侵入和/或控制供應(yīng)鏈內(nèi)的資產(chǎn)(包括運輸工具)損壞/破壞資產(chǎn)(包括交通工具);損壞/破壞使用資產(chǎn)或貨物的外靶；引起社會或經(jīng)濟動蕩；將武器非法運入或運出國家/經(jīng)濟體；3.篡改信息行或從事非法活動以散播恐怖主義為目的干擾、破壞和/或盜竊5.未經(jīng)授權(quán)的使用操縱國際供應(yīng)鏈的運行以制造恐怖事件，包括務(wù)伙伴按照其安全聲明(如適用)所維持的安全措施。該計劃/附錄還宜說明組織將如何監(jiān)視或定期評 -—安全聲明；——響應(yīng)政府做出的努力并就對話框架提出有意義的見解，以確保組織的安全GB/T38702—2020/ISO28001GB/T38702—2020/ISO28001:2007是否是是否安全威脅場景示例應(yīng)用示例1.侵入和/或控制供應(yīng)鏈內(nèi)的資產(chǎn)(包括運輸工具)損壞/破壞資產(chǎn)；損壞/破壞使用資產(chǎn)或貨物的外靶；引起社會或經(jīng)濟動蕩；將武器非法運入或運出國家/經(jīng)濟體；或從事非法活動以散播恐怖主義為目的干擾、破壞和/或盜竊5.未經(jīng)授權(quán)的使用操縱國際供應(yīng)鏈制的運行以制造恐怖主義事件，包括使用1)對以下事項的訪問控制：4)貨物的運輸方式：6)檢查過程，例如車輛檢查。10)有關(guān)貨物的搬運或加工或運輸路線的信息： 11)外部信息： —其他。表B.2后果分類分配等級高中低經(jīng)濟影響：對資產(chǎn)和/或基礎(chǔ)設(shè)施和系統(tǒng)造成輕微損害B.4第三步——安全事件發(fā)生可能性的分類對潛在安全事件進(jìn)行分類時，宜考慮安全績效評審清單及提供的其他文件中所記錄的供應(yīng)鏈中物理安全措施和運行安全措施的狀態(tài)。物理安全措施包括阻止或檢測未經(jīng)授權(quán)侵入目標(biāo)的物體。運行安全措施包括阻止或檢測未經(jīng)授權(quán)侵入目標(biāo)的人員和程序。針對特定資產(chǎn)發(fā)生的安全事件可能性宜分為——高級宜適用于現(xiàn)有安全措施對安全事件的發(fā)生展現(xiàn)較弱抵抗能力的情況。若評估過程中使用了數(shù)值系統(tǒng)，數(shù)值結(jié)果宜轉(zhuǎn)化為此定性的體系。——中級宜適用于現(xiàn)有安全措施對安全事件的發(fā)生展現(xiàn)適中抵抗能力的情況。——低級宜適用于現(xiàn)有安全措施對安全事件的發(fā)生展現(xiàn)強勁抵抗能力的情況。對所有安全事件的發(fā)送概率進(jìn)行分類的依據(jù)宜予以記錄。B.5第四步——安全事件分級表B.3中給出的安全事件等級表可用于確定何時宜考慮針對特定安全事件采取應(yīng)對措施。表B.3安全事件分級表高中低高中低需對可能性和后果的評級均為高等級的安全事件GB/T38702—2020/ISO28001有意實施ISO28001的組織不一定要獲得外部咨詢服務(wù)。如果確定在實施安全評估、制定安全計ISO28001是一個要求規(guī)范，旨在幫助自愿實施該要求的組織確定和證實其在國際供應(yīng)鏈中控制[1]ISO9001:2000質(zhì)量管理體系要求(Qualitymanagementsystems—Requirements)[2]ISO14001:2004環(huán)境管理體系要求與使用指南(Environmentalmanagementsystems—assessment—Requirementsforbodiesprovidingaud[4]ISO/PAS17712:2006貨運集裝箱機械密封(Freightcontainers—Mechanicalseals)[6]ISO/PAS20858:2004船舶和航海技術(shù)海運港口設(shè)施安全評估