GB/T 40753.3-2024
基本信息
标准号: GB/T 40753.3-2024
中文名称:供应链安全管理体系 ISO 28000实施指南 第3部分:中小企业采用ISO 28000的附加特定指南(海港除外)
标准类别:国家标准(GB)
英文名称:Security management systems for the supply chain—Guidelines for the implementation of ISO 28000—Part 3:Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports)
标准状态:现行
发布日期:2024-03-15
实施日期:2024-07-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:5051958
相关标签: 供应链 安全 管理体系 实施 指南 中小企业 采用 附加 特定 海港 除外
标准分类号
标准ICS号:社会学、 服务、公司(企业)的组织和管理、行政、运输>>公司(企业)的组织与管理>>03.100.01公司(企业)的组织与管理综合
中标分类号:综合>>社会公共安全>>A90社会公共安全综合
关联标准
采标情况:ISO 28004-3:2014
出版信息
出版社:中国标准出版社
页数:20页
标准价格:38.0
相关单位信息
起草人:管旭琳 李军 孔肖菡 秦挺鑫 刘珏 周倩 杨天峰 林空 严佳秋 白元龙 王皖 赵玉菲 刘远 张承祥 孟祥程 张祖昊 蔡新民 张华 秦鹏 木清弘 孙庆伦 刘谨谨 孙悦嘉
起草单位:江苏省质量和标准化研究院、中国标准化研究院、南京卫岗乳业有限公司、天津大学、深圳市凯东源现代物流股份有限公司、中国物资储运协会、苏州茂力克国际贸易有限公司、新疆维吾尔自治区标准化研究院、中信戴卡股份有限公司、山东日辉电缆集团有限公司等
归口单位:全国公共安全基础标准化技术委员会(SAC/TC 351)
提出单位:全国公共安全基础标准化技术委员会(SAC/TC 351)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件作为GB/T 40753—2021的补充,为希望采用ISO 28000的中小企业(海港除外)提供附加的指导。
本文件进一步阐述了GB/T 40753—2021主体部分提供的通用指南,与通用指南不发生冲突,亦不修正ISO 28000。
标准图片预览
标准内容
ICS03.100.01
CCSA90
中华人民共和国国家标准
GB/T40753.3—2024/IS028004-3:2014供应链安全管理体系
IS028000实施
指南第3部分:中小企业采用
ISO28000的附加特定指南(海港除外)Security management systems for the supply chain-Guidelines for theimplementationofIsO28000-Part3:AdditionalspecificguidancefonadoptingIs280o0forusebymediumandsmallbusinesses(otherthanmarineports)
(ISO28004-3:2014,IDT)
2024-03-15发布
国家市场监督管理总局
国家标准化管理委员会
2024-07-01实施
规范性引用文件
术语和定义
附加指南
文件记录
中小企业获取咨询建议和认证的指南参考文献
GB/T40753.3—2024/IS028004-3.201410
本文件按照GB/T1.1一2020标准化工作导则起草。
GB/T40753.3—2024/IS028004-3:2014第1部分:标准化文件的结构和起章规则》的规定本文件是GB/T40753《供应链安全管理体系ISO28000实施指南》的第3部分。GB/T40753已经发布了以下部分:
供应链安全管理体系ISO28000实施指南(GB/T40753—2021);—第3部分:中小企业采用ISO28000的附加特定指南(海港除外)(GB/T40753.3一2024);—第4部分:以符合GB/T38702为管理目标实施ISO28000的附加特定指南(GB/T40753.42024)。bzxZ.net
本文件等同采用ISO28004-3:2014《供应链安全管理体系ISO28000实施指南
企业采用ISO28000的附加特定指南(海港除外)》。本文件增加了“术语和定义”一章。第3部分:中小
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任,本文件由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口。本文件起草单位:江苏省质量和标准化研究院、中国标准化研究院、南京卫岗乳业有限公司、天津大学、深圳市凯东源现代物流股份有限公司、中国物资储运协会、苏州茂力克国际贸易有限公司、新疆维吾尔自治区标准化研究院、中信戴卡股份有限公司、山东日辉电缆集团有限公司、南京现代服务业联合会、江苏华远企业管理咨询有限公司、南京供应链发展促进会、苏州昆环检测技术有限公司。本文件主要起草人:管旭琳、李军、孔肖菌、秦挺鑫、刘珏、周倩、杨天峰、林空、严佳秋、白元龙、王皖、赵玉菲、刘远、张承祥、孟祥程、张祖吴、蔡新民、张华、秦鹏、木清弘、孙庆伦、刘谨谨、孙悦嘉。GB/T40753.3—2024/IS028004-3:2014引言
GB/T40753是根据建立公认的供应链管理体系标准这一需求制定,可用作安全管理体系评价和认证依据,也可指导此类标准的实施。拟由四个部分构成第1部分:总则。目的是用作安全管理体系评价和认证依据,也可指导此类标准的实施,第2部分:中小港口运营使用ISO28000指南。目的是确定供应链风险和威胁场景、进行风险/威胁评估的程序,以及根据ISO28000和GB/T40753系列实施指南衡量书面安全计划的致性和有效性。
第3部分:中小企业采用ISO28000的附加特定指南(海港除外)。目的是为根据ISO28000制定的中小型企业(海港除外)安全管理计划的质量评估提供指南和依据,以便保护供应链的完整性。
第4部分:以符合GB/T38702为管理目标实施ISO28000的附加特定指南。目的是为将GB/T38702明确的最佳实践作为国际供应链管理目标的组织,提供采用ISO28000的附加指南。
本文件包含的补充信息旨在增强但不改变目前在GB/T40753中规定的一般指导原则。除了添加补充条件外,并未对GB/T40753进行修改。I
1范围
GB/T40753.3—2024/IS028004-3:2014供应链安全管理体系IS028000实施指南第3部分:中小企业采用
ISO28000的附加特定指南(海港除外)本文件作为GB/T40753一2021的补充,为希望采用ISO28000的中小企业(海港除外)提供附加的指导。
本文件进一步闸述了GB/T40753一2021主体部分提供的通用指南,与通用指南不发生冲突,亦不修正ISO28000。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而成为本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T40753—2021
ISO28000实施指南(ISO28004-1:2007,IDT)供应链安全管理体系
ISO28000:2007
the supply chain)
3术语和定义
供应链安全管理体系规范(Specificationforsecuritymanagementsystemsfor本文件没有需要界定的术语和定义。4附加指南
ISO28000旨在被希望更好地保护其供应链或为供应链运营商提供的服务的各种规模的组织所使用GB/T40753一2021旨在为希望采用ISO28000的各种规模的组织提供指导。由于GB/T40753一2021旨在为各种规模的组织提供指导,因此可能比小规模组织所需的更为复杂。本文件的目的是简化以指导小型组织使用。使用本文件作为指导的实体如需获得本文件中提供的信息之外有关特定问题的更多信息,宜参考GB/T40753一2021。本文件提供的指南不会修正ISO28000或GB/T40753一2021。本文件中讨论具体方法时,为了说明目的,可用其他方法替代使用ISO28000的组织宜做到:
说明其在供应链安全方面的目标;评估供应链的当前安全状态;
制定计划,包括现有的供应链过程和程序,以及已确定为符合规定的供应链安全目标所需的附加过程、程序或体系;
根据供应链安全计划中规定的职责对员工进行培训;一安装/维护供应链安全计划中规定的任何系统或设备:GB/T40753.3—2024/IS028004-3:2014开始执行供应链安全计划;
一监视供应链安全计划执行情况;定期重新评估供应链安全状况,以识别包括新威胁等某些条件的变化;定期测试(演练)组织计划,并调查任何供应链安全事件;根据绩效监视、重新评估、演练或调查的输人,更新目标、计划和人员培训。之前未使用过GB/T40753一2021的用户宜注意到在GB/T40753一2021中讨论的每项要求中使用的“目的”\输人”和\输出”字样。目的是指一种解释组织需要完成什么的条款;输人是指一种解释需要分析或考虑的条款;输出是指一种解释组织目标是什么或将针对该特定要求采取什么行动的条款。第一步一准备工作
在开始使用ISO28000之前,组织可考虑他们是否希望(在适用范围内)将其组织的所有特定部分纳人供应链安全管理体系。组织在作出决定时宜考虑包括但不限于以下内容:企业目标;
客户需求或期望;
政府权益,是否用该管理体系来解决政府的方针或项目;是否熟悉该管理体系。
在计划的适用范围内,安全管理体系宜扩展到与供应链相关的所有区域和功能范围。为有助于确定可涉及的区域和功能范围,组织可考虑但不限于以下内容:在装箱、上托盘或准备装船前,货物的制造、加工或搬运;一准备装运的货物在运输前的贮存或拼装;一货物的运送;
一货物从运输工具上的装卸;
一货物保管权的交接;
一有关正在装运的货物的文件或信息的处理、产生或访间;一采用不同交通工具进行运输的运输路线和方式;其他。
第二步—设置\安全管理方针”(IS028000与GB/T40753一2021中4.2)在初步确定适用范围后,下一步将确定安全管理方针。安全管理方针非常重要,是因为它将作为整个供应链安全管理体系的建立依据及用于认证时所有目标、活动和计划的评估准则尽管存在先制定安全管理方针,再执行评估方针的情况,但实际初始条件已知且资源需求已识别时,它们之间会同步进行。
安全管理方针宜包含在最高管理层认可的声明中。该方针宜有意义且明确阐述组织的总体和广泛安全管理目标。为了更有意义,该方针宜反映已知的安全威胁,并提供合理的期望,即该组织能够比没有使用主动管理方法的组织更好地管控这些威胁。同时,也能够适合该组织的规模和性质,并涵盖对持续改进的承诺。为便于说明,提供下列方针声明示例。示例:某货运公司一我们的安全方针。保持货物损失或损伤率比所服务市场的行业平均水平至少低X%。遵守适用于所服务市场的所有有关的政府运输和安全条例。满足或超过世界海关组织为授权经济运营商规定的安全措施注:如供应链中涉及进出口货物移动,可使用此方针。调查所有损失索赔和安全事件并予以调整。不断寻求提高供应链的保护措施和运营效率,并在可行的情况下予以变化。如发现或怀疑非法走私,全力配合政府部门。2
GB/T40753.3—2024/IS028004-3:2014一方针声明宜尽可能让所有可能受其影响的人员知晓,包括外部各方。如果某些方针需要保密(如发现走私,配合警方或海关时),公司可能会限制其发布。组织可以公布他们的政策声明。一方针声明宜记录在案,并根据1IS028000:2007中4.4.4的要求进行修订。修订方针声明时.最新版本宜替代所有以前的版本。
第三步——进行安全评估(IS028000:2007中4.3.1,GB/T40753—2021中4.3)使用ISO28000的组织需要对供应链及其支持服务进行安全评估,这些服务包含在管理者设定的适用范围内。安全评估是通过将现有的保护措施、操作过程和反应措施与一系列已知威胁场景(风险)列表进行比较来评估整体系统安全性,以确定风险是否得到充分管理。一般而言,如果具有中高后果的供应链中断情况仅限于在低可能性情形下发生,则认为风险处于管控下。在管理大型复杂或多个供应链时宜小心谨慎,在可能性较低的情况下,每个供应链对组织都至关重要。
如对每个供应链进行单独评估,中断可能性的实际严重程度可能并不明显。安全评估的所有方面都宜被记录下来,具体包括:参与人员及其进行评估的资格;一对所用方法的描述,包括该方法中用来说明概率、可能性、后果、关键性或有效性的任何术语、数字或字母字符的定义;
-评估期间使用的威胁场景;
对适用范围的描述;
一作为评估的一部分评审的现有计划或程序的清单:所作的假设(如有);
足够证明评估结果正确性的解释、照片、图表或其他论述:供应链中需要增加安全措施的各个方面(所需对策);一评估完成日期。
ISO28000和GB/T40753一2021的正文中均未详细规定评估人员的所需资格。但是,根据预期的结果,使用ISO28000的组织可能希望在组建其评估组时可使用以下通用指南。进行安全评估的个人或团队宜具备相关技能和知识,包括但不限于以下内容:适用于供应链各方面的风险评估技巧;采取适当的措施规避对安全性敏感材料进行未授权的泄露和侵人的风险;涉及货物的搬运、加工、移动和/或记录的运行和程序;一在供应链相应环节中的托管、运输、人员、经营场所和信息系统有关的安全措施:理解安全威胁与减缓方法;
一了解适用的法律、法规、法律政策和相关的政府机构:理解ISO28000和GB/T40753—2021。比起较简单的供应链,更复杂或跨越多种运营环境的供应链将需要更多符合条件的人员进行评估。第四步—识别安全威胁(威胁场景)每一项安全评估都无法处理所有威胁场景,因此评估组最重要的工作是制定合理的威胁场景列表并记录其在评估过程中使用的场景。在制定一系列威胁场景时,评估组可从众多来源获得输人信息,包括:公司记录、具有供应链相关知识的人员、行业协会、保险公司和相应的政府机构。虽然ISO28000不要求,但威胁场景可能包括事故和自然力量。为便于说明,提供了以下威胁场景(见表1)。3
GB/T40753.3—2024/ISO28004-3:2014威胁场景
威胁场景
损坏/破坏资产(包括交通工具);1)
侵人和/或控制供应链内的资产
(包括运输工具)
利用供应链走私
算改信息
货物完整性
通过恐吓,使员工从事违法行为第五步一
一后果
损坏/破坏使用资产或货物的外靶;引起社会或经济动荡;
扣留人质/谋杀
在供应链内运输非法武器、货物或货币从本地或远程入侵供应链信息系统或文件系统,干扰运行或从事非法活动算改、破坏或盗窃供应链中的货物或运输工其犯罪分子向供应链员工施压,以完成在供应链中的违法活动在确定适用范围和威胁场景并记录后,评估组需要记录每个威胁场景的预期后果。虽然有许多结
果定义或分级的方法,但下列方法在许多情况下相当简单和有效(也可使用其他方法)。对后果的评估宜考虑到可能的伤亡和经济损失。供应链中被评价的安全事件后果宜分为高、中、低三个等级(见表2)。若数值结果可转化为定性的系统,则可在评估过程中采用数值系统。针对所有安全事件的后果进行分级的依据宜予以记录。确定高、中、低等级后果的数值时宜予以注意,采用过低的阅值可能导致针对安全威胁场景采取的应对措施高于实际需求。然而,采用过高的阅值则会忽略针对涉及组织或监管组织运行的政府不能容忍的安全威胁场景采取应对措施。后果分级为“高”可被视为仅在发生的可能性较低的情况下才可接受的后果。后果分级为“中”可被视为在发生的可能性较高的情况下不可接受的后果。后果分级为“低”可被视为通常可接受的后果。可接受性不宜与可取性或认同性相混淆。可接受性可理解为判断组织或监管组织运行的政府在某种与概率有关的情况下愿意接受的可能遭受的损害的数量。组织或政府可以决定,遭受一定程度的损害的可能性是不情愿的但却是可接受的。表2
选定等级
死亡和受伤:一定规模的死亡人数和/或
后果分级
经济影响:对资产和/或基础设施的严重破坏而阻止进一步运行和/或
环境影响:生态系统受到大面积、多方面的毁灭性破坏死亡和受伤:例如死亡
和/或
经济影响:对资产和/或基础设施的破坏而需要予以维修和/或
环境影响;对生态系统的某一部分造成长期破坏选定等级
第六步
死亡和受伤:有受伤但无死亡
和/或
GB/T40753.3—2024/ISO28004-3:2014后果分级(续)
经济影响:对资产和/或基础设施和系统造成轻微损害和/或
环境影响:局部环境破坏
现状评审
在确定并记录了后果之后,评估组通常会对适用范围内所有供应链中的运行、功能、流程(包括信息系统)、计划和措施进行评审。上述评审宜采用如下方式正确记录,以便能够使未参与评审但具备相关知识的人员理解评估组得出的结论、评估时宜考虑以下内容。
对以下事项的访问控制:
供应链中组织的营业场所,包括邻近地区;交通工具(卡车、铁路货车、航空器、驳船、船舶等);信息系统;
其他。
交通方式(卡车、铁路、驳船、飞机、船舶等),宜考虑:正常运行;
维修厂(如修车厂);
由于故障等导致的变更;
交通方式的变更;
停用期间的运输工具;
使用运输工具作为武器;
其他。
搬运:
装载;
制造;
贮存(包括中间储存器);
转运;
卸载;
分装/合并;
—其他。
货物的运输方式:
空运;
公路运输;
-铁路运输;
内陆水运;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCSA90
中华人民共和国国家标准
GB/T40753.3—2024/IS028004-3:2014供应链安全管理体系
IS028000实施
指南第3部分:中小企业采用
ISO28000的附加特定指南(海港除外)Security management systems for the supply chain-Guidelines for theimplementationofIsO28000-Part3:AdditionalspecificguidancefonadoptingIs280o0forusebymediumandsmallbusinesses(otherthanmarineports)
(ISO28004-3:2014,IDT)
2024-03-15发布
国家市场监督管理总局
国家标准化管理委员会
2024-07-01实施
规范性引用文件
术语和定义
附加指南
文件记录
中小企业获取咨询建议和认证的指南参考文献
GB/T40753.3—2024/IS028004-3.201410
本文件按照GB/T1.1一2020标准化工作导则起草。
GB/T40753.3—2024/IS028004-3:2014第1部分:标准化文件的结构和起章规则》的规定本文件是GB/T40753《供应链安全管理体系ISO28000实施指南》的第3部分。GB/T40753已经发布了以下部分:
供应链安全管理体系ISO28000实施指南(GB/T40753—2021);—第3部分:中小企业采用ISO28000的附加特定指南(海港除外)(GB/T40753.3一2024);—第4部分:以符合GB/T38702为管理目标实施ISO28000的附加特定指南(GB/T40753.42024)。bzxZ.net
本文件等同采用ISO28004-3:2014《供应链安全管理体系ISO28000实施指南
企业采用ISO28000的附加特定指南(海港除外)》。本文件增加了“术语和定义”一章。第3部分:中小
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任,本文件由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口。本文件起草单位:江苏省质量和标准化研究院、中国标准化研究院、南京卫岗乳业有限公司、天津大学、深圳市凯东源现代物流股份有限公司、中国物资储运协会、苏州茂力克国际贸易有限公司、新疆维吾尔自治区标准化研究院、中信戴卡股份有限公司、山东日辉电缆集团有限公司、南京现代服务业联合会、江苏华远企业管理咨询有限公司、南京供应链发展促进会、苏州昆环检测技术有限公司。本文件主要起草人:管旭琳、李军、孔肖菌、秦挺鑫、刘珏、周倩、杨天峰、林空、严佳秋、白元龙、王皖、赵玉菲、刘远、张承祥、孟祥程、张祖吴、蔡新民、张华、秦鹏、木清弘、孙庆伦、刘谨谨、孙悦嘉。GB/T40753.3—2024/IS028004-3:2014引言
GB/T40753是根据建立公认的供应链管理体系标准这一需求制定,可用作安全管理体系评价和认证依据,也可指导此类标准的实施。拟由四个部分构成第1部分:总则。目的是用作安全管理体系评价和认证依据,也可指导此类标准的实施,第2部分:中小港口运营使用ISO28000指南。目的是确定供应链风险和威胁场景、进行风险/威胁评估的程序,以及根据ISO28000和GB/T40753系列实施指南衡量书面安全计划的致性和有效性。
第3部分:中小企业采用ISO28000的附加特定指南(海港除外)。目的是为根据ISO28000制定的中小型企业(海港除外)安全管理计划的质量评估提供指南和依据,以便保护供应链的完整性。
第4部分:以符合GB/T38702为管理目标实施ISO28000的附加特定指南。目的是为将GB/T38702明确的最佳实践作为国际供应链管理目标的组织,提供采用ISO28000的附加指南。
本文件包含的补充信息旨在增强但不改变目前在GB/T40753中规定的一般指导原则。除了添加补充条件外,并未对GB/T40753进行修改。I
1范围
GB/T40753.3—2024/IS028004-3:2014供应链安全管理体系IS028000实施指南第3部分:中小企业采用
ISO28000的附加特定指南(海港除外)本文件作为GB/T40753一2021的补充,为希望采用ISO28000的中小企业(海港除外)提供附加的指导。
本文件进一步闸述了GB/T40753一2021主体部分提供的通用指南,与通用指南不发生冲突,亦不修正ISO28000。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而成为本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T40753—2021
ISO28000实施指南(ISO28004-1:2007,IDT)供应链安全管理体系
ISO28000:2007
the supply chain)
3术语和定义
供应链安全管理体系规范(Specificationforsecuritymanagementsystemsfor本文件没有需要界定的术语和定义。4附加指南
ISO28000旨在被希望更好地保护其供应链或为供应链运营商提供的服务的各种规模的组织所使用GB/T40753一2021旨在为希望采用ISO28000的各种规模的组织提供指导。由于GB/T40753一2021旨在为各种规模的组织提供指导,因此可能比小规模组织所需的更为复杂。本文件的目的是简化以指导小型组织使用。使用本文件作为指导的实体如需获得本文件中提供的信息之外有关特定问题的更多信息,宜参考GB/T40753一2021。本文件提供的指南不会修正ISO28000或GB/T40753一2021。本文件中讨论具体方法时,为了说明目的,可用其他方法替代使用ISO28000的组织宜做到:
说明其在供应链安全方面的目标;评估供应链的当前安全状态;
制定计划,包括现有的供应链过程和程序,以及已确定为符合规定的供应链安全目标所需的附加过程、程序或体系;
根据供应链安全计划中规定的职责对员工进行培训;一安装/维护供应链安全计划中规定的任何系统或设备:GB/T40753.3—2024/IS028004-3:2014开始执行供应链安全计划;
一监视供应链安全计划执行情况;定期重新评估供应链安全状况,以识别包括新威胁等某些条件的变化;定期测试(演练)组织计划,并调查任何供应链安全事件;根据绩效监视、重新评估、演练或调查的输人,更新目标、计划和人员培训。之前未使用过GB/T40753一2021的用户宜注意到在GB/T40753一2021中讨论的每项要求中使用的“目的”\输人”和\输出”字样。目的是指一种解释组织需要完成什么的条款;输人是指一种解释需要分析或考虑的条款;输出是指一种解释组织目标是什么或将针对该特定要求采取什么行动的条款。第一步一准备工作
在开始使用ISO28000之前,组织可考虑他们是否希望(在适用范围内)将其组织的所有特定部分纳人供应链安全管理体系。组织在作出决定时宜考虑包括但不限于以下内容:企业目标;
客户需求或期望;
政府权益,是否用该管理体系来解决政府的方针或项目;是否熟悉该管理体系。
在计划的适用范围内,安全管理体系宜扩展到与供应链相关的所有区域和功能范围。为有助于确定可涉及的区域和功能范围,组织可考虑但不限于以下内容:在装箱、上托盘或准备装船前,货物的制造、加工或搬运;一准备装运的货物在运输前的贮存或拼装;一货物的运送;
一货物从运输工具上的装卸;
一货物保管权的交接;
一有关正在装运的货物的文件或信息的处理、产生或访间;一采用不同交通工具进行运输的运输路线和方式;其他。
第二步—设置\安全管理方针”(IS028000与GB/T40753一2021中4.2)在初步确定适用范围后,下一步将确定安全管理方针。安全管理方针非常重要,是因为它将作为整个供应链安全管理体系的建立依据及用于认证时所有目标、活动和计划的评估准则尽管存在先制定安全管理方针,再执行评估方针的情况,但实际初始条件已知且资源需求已识别时,它们之间会同步进行。
安全管理方针宜包含在最高管理层认可的声明中。该方针宜有意义且明确阐述组织的总体和广泛安全管理目标。为了更有意义,该方针宜反映已知的安全威胁,并提供合理的期望,即该组织能够比没有使用主动管理方法的组织更好地管控这些威胁。同时,也能够适合该组织的规模和性质,并涵盖对持续改进的承诺。为便于说明,提供下列方针声明示例。示例:某货运公司一我们的安全方针。保持货物损失或损伤率比所服务市场的行业平均水平至少低X%。遵守适用于所服务市场的所有有关的政府运输和安全条例。满足或超过世界海关组织为授权经济运营商规定的安全措施注:如供应链中涉及进出口货物移动,可使用此方针。调查所有损失索赔和安全事件并予以调整。不断寻求提高供应链的保护措施和运营效率,并在可行的情况下予以变化。如发现或怀疑非法走私,全力配合政府部门。2
GB/T40753.3—2024/IS028004-3:2014一方针声明宜尽可能让所有可能受其影响的人员知晓,包括外部各方。如果某些方针需要保密(如发现走私,配合警方或海关时),公司可能会限制其发布。组织可以公布他们的政策声明。一方针声明宜记录在案,并根据1IS028000:2007中4.4.4的要求进行修订。修订方针声明时.最新版本宜替代所有以前的版本。
第三步——进行安全评估(IS028000:2007中4.3.1,GB/T40753—2021中4.3)使用ISO28000的组织需要对供应链及其支持服务进行安全评估,这些服务包含在管理者设定的适用范围内。安全评估是通过将现有的保护措施、操作过程和反应措施与一系列已知威胁场景(风险)列表进行比较来评估整体系统安全性,以确定风险是否得到充分管理。一般而言,如果具有中高后果的供应链中断情况仅限于在低可能性情形下发生,则认为风险处于管控下。在管理大型复杂或多个供应链时宜小心谨慎,在可能性较低的情况下,每个供应链对组织都至关重要。
如对每个供应链进行单独评估,中断可能性的实际严重程度可能并不明显。安全评估的所有方面都宜被记录下来,具体包括:参与人员及其进行评估的资格;一对所用方法的描述,包括该方法中用来说明概率、可能性、后果、关键性或有效性的任何术语、数字或字母字符的定义;
-评估期间使用的威胁场景;
对适用范围的描述;
一作为评估的一部分评审的现有计划或程序的清单:所作的假设(如有);
足够证明评估结果正确性的解释、照片、图表或其他论述:供应链中需要增加安全措施的各个方面(所需对策);一评估完成日期。
ISO28000和GB/T40753一2021的正文中均未详细规定评估人员的所需资格。但是,根据预期的结果,使用ISO28000的组织可能希望在组建其评估组时可使用以下通用指南。进行安全评估的个人或团队宜具备相关技能和知识,包括但不限于以下内容:适用于供应链各方面的风险评估技巧;采取适当的措施规避对安全性敏感材料进行未授权的泄露和侵人的风险;涉及货物的搬运、加工、移动和/或记录的运行和程序;一在供应链相应环节中的托管、运输、人员、经营场所和信息系统有关的安全措施:理解安全威胁与减缓方法;
一了解适用的法律、法规、法律政策和相关的政府机构:理解ISO28000和GB/T40753—2021。比起较简单的供应链,更复杂或跨越多种运营环境的供应链将需要更多符合条件的人员进行评估。第四步—识别安全威胁(威胁场景)每一项安全评估都无法处理所有威胁场景,因此评估组最重要的工作是制定合理的威胁场景列表并记录其在评估过程中使用的场景。在制定一系列威胁场景时,评估组可从众多来源获得输人信息,包括:公司记录、具有供应链相关知识的人员、行业协会、保险公司和相应的政府机构。虽然ISO28000不要求,但威胁场景可能包括事故和自然力量。为便于说明,提供了以下威胁场景(见表1)。3
GB/T40753.3—2024/ISO28004-3:2014威胁场景
威胁场景
损坏/破坏资产(包括交通工具);1)
侵人和/或控制供应链内的资产
(包括运输工具)
利用供应链走私
算改信息
货物完整性
通过恐吓,使员工从事违法行为第五步一
一后果
损坏/破坏使用资产或货物的外靶;引起社会或经济动荡;
扣留人质/谋杀
在供应链内运输非法武器、货物或货币从本地或远程入侵供应链信息系统或文件系统,干扰运行或从事非法活动算改、破坏或盗窃供应链中的货物或运输工其犯罪分子向供应链员工施压,以完成在供应链中的违法活动在确定适用范围和威胁场景并记录后,评估组需要记录每个威胁场景的预期后果。虽然有许多结
果定义或分级的方法,但下列方法在许多情况下相当简单和有效(也可使用其他方法)。对后果的评估宜考虑到可能的伤亡和经济损失。供应链中被评价的安全事件后果宜分为高、中、低三个等级(见表2)。若数值结果可转化为定性的系统,则可在评估过程中采用数值系统。针对所有安全事件的后果进行分级的依据宜予以记录。确定高、中、低等级后果的数值时宜予以注意,采用过低的阅值可能导致针对安全威胁场景采取的应对措施高于实际需求。然而,采用过高的阅值则会忽略针对涉及组织或监管组织运行的政府不能容忍的安全威胁场景采取应对措施。后果分级为“高”可被视为仅在发生的可能性较低的情况下才可接受的后果。后果分级为“中”可被视为在发生的可能性较高的情况下不可接受的后果。后果分级为“低”可被视为通常可接受的后果。可接受性不宜与可取性或认同性相混淆。可接受性可理解为判断组织或监管组织运行的政府在某种与概率有关的情况下愿意接受的可能遭受的损害的数量。组织或政府可以决定,遭受一定程度的损害的可能性是不情愿的但却是可接受的。表2
选定等级
死亡和受伤:一定规模的死亡人数和/或
后果分级
经济影响:对资产和/或基础设施的严重破坏而阻止进一步运行和/或
环境影响:生态系统受到大面积、多方面的毁灭性破坏死亡和受伤:例如死亡
和/或
经济影响:对资产和/或基础设施的破坏而需要予以维修和/或
环境影响;对生态系统的某一部分造成长期破坏选定等级
第六步
死亡和受伤:有受伤但无死亡
和/或
GB/T40753.3—2024/ISO28004-3:2014后果分级(续)
经济影响:对资产和/或基础设施和系统造成轻微损害和/或
环境影响:局部环境破坏
现状评审
在确定并记录了后果之后,评估组通常会对适用范围内所有供应链中的运行、功能、流程(包括信息系统)、计划和措施进行评审。上述评审宜采用如下方式正确记录,以便能够使未参与评审但具备相关知识的人员理解评估组得出的结论、评估时宜考虑以下内容。
对以下事项的访问控制:
供应链中组织的营业场所,包括邻近地区;交通工具(卡车、铁路货车、航空器、驳船、船舶等);信息系统;
其他。
交通方式(卡车、铁路、驳船、飞机、船舶等),宜考虑:正常运行;
维修厂(如修车厂);
由于故障等导致的变更;
交通方式的变更;
停用期间的运输工具;
使用运输工具作为武器;
其他。
搬运:
装载;
制造;
贮存(包括中间储存器);
转运;
卸载;
分装/合并;
—其他。
货物的运输方式:
空运;
公路运输;
-铁路运输;
内陆水运;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。