ISO28001认证咨询-国际供应链安全过程：管理、评价与改进要点 - 相关文章 - ISO28001认证 - 服务项目

已经采用本标准的国际供应链中的组织都要求管理供应链中他们的部分，同时也被要求有一个适当支持其目的管理系统。本标准要求建立并实施安全实践和/或过程，其目的是为了对国际供应链减小能导致安全事故活动的风险。

遵守本标准的国际供应链中的组织都要求应有一个根据安全评价输出的结果而制定的安全计划，它应当尽可能对在它们的应用说明中已包括的国际供应链的部分形成文件化的安全措施和程序以及相应的防范措施。

安全评价范围应当包括在它的应用说明(见4.1)中所述的组织完成的所有活动。评价应周期性进行，安全计划应随之进行适当地修改。评价结果应是文件化的并保存。

安全评价还应当包括信息系统，文件和在组织保管阶段适用于装卸和运动货物的网络。现存的安全安排应当用4.3和4.4要求对所有位置和存在潜在安全弱点的商业合伙人进行评价。

安全评价人或团队都应当具有熟练的技巧和知识，包括，但不仅限于以下方面：

应用于国际供应链从货物保管于供应链中组织的点到不再处于组织保管阶段或其余的国际供应链的点所有方面的风险评估技术。

应用合适的措施避免非授权的泄露或进入安全敏感性材料。

包含在制造、装卸、加工、运动和/或货物的文件的经营及程序。

与供应链中应用部分的发货、运输、人员、前提以及信息系统相关的安全措施。

对安全威胁的理解及消除方法。

对本标准的理解。

进行评价人员或团队成员的名字和评价验证情况，都应文件化。

在供应链中的组织应建立、执行和保持程序，以识别现有的为消除安全威胁的防范措施。组织应当列出现有的安全威胁情况，包括相关的政府官员认为必须列出的情况。如果政府官员没有参与，则应当在安全评价中文件化。

对每种安全威胁情况，组织应当评估现有的防范措施和决定每个安全威胁情况发生的后果和可能性，以及尽可能地对安全威胁情况进行描述，并评估是否需要任何附加措施，确定防范措施以使威胁减小到可接受的水平。

组织还应评审每个4.2中定义的商业合伙人所提供的安全申报并应用专业判断、实体的知识和/或法规代理人的要求来加以评判。该组织还可以在决定接受此安全申报中获取和使用任何现有信息。

当组织进行安全评价和决定应用说明中所述的供应链总体弱点时，应当考虑每个安全申报的细节及其可靠性。

在4.3或4.4中所述的商业合伙人不必再做进一步的评价。

文件应当包含下列资料：

组织应当制定和保持用于本标准中所述的供应链所有实体的安全计划。这个计划可以拆分到各个附录中，每个附录用专门的一个部分描述一个特别的供应链小段位置处的安全，包括4.3或4.4中所述该组织的商业合伙人按照他们的安全声明中所保留的安全措施。这种计划/附录还应规定组织怎样监视或周期性的评审这种安全声明。

组织在制定他们的安全计划时，应当评审和考虑使用在资料性附录A和B中的指南。

组织应当建立一套管理系统使其实现专门的供应链安全过程。

组织应当建立和保持程序，以便文件化、监视和测量上面所提到的管理系统的性能。组织应当在计划的时期内对管理系统进行审计，以确保它能正确地实现和维护。审核结果应写成文件并保存。

组织应当评价改进其安全管理的机会，使其扩大供应链中相关部分的安全性。

当在这个组织控制的国际供应链相关的任一部分发生任何安全事故后，组织应当对它的安全计划进行审议，这种审议应当：

在安全突破口的事故中，组织应遵守报给海关和/或合适的法律执行人並在安全计划和合同关系中规定的程序。

组织应当在现有法律和法规所述的时间范围内，保存发货和其它所需要的供应链数据。

安全计划、措施、过程、程序和组织的记录都应当考虑为敏感的安全信息。并应防止非授权的接近和透露. 这一类资料只允许透露给“需要知道”的个别人。除了相关的法律执行官员或他们任命的人之外，以下几种人为“需要知道”的个别人：

个别人需要用指定的安全信息去进行安全计划所定的活动时；

正在培训进行安全计划所定的活动的人；

根据同组织的合同关系已获准由组织控制的按照协议和条件接触安全敏感资料的人。

如果该组织被一个权威授权单位授权的第三方认证单位批准遵守ISO/PAS 28001标准或已经被相互认可的政府鉴定过或批准该组织可靠地遵守ISO/PAS 28001，则可以不必再要求这种合同同意接触组织的安全敏感资料，并在任何情况下务必都应取决于组织明确的允许。实际上它的敏感安全资料只防止非授权的接触和透露而非防止组织信任的商业合伙人和其它与供应链安全安排和系统有关的人。