A.2 识别安全评价范围
安全评价是为满足本标准要求,根据在组织应用说明中的描述,试图识别组织这部分供应链存在的安全风险。为完成这个评价,需要建立覆盖范围的边界(理论上的和实际上的)。
A.3 进行安全评价
A.3.1 总论
利用称职的人员评价下列但不限于下列的那些有潜在易受攻击安全点的现有安全安排:
在货物被装载到一个运输单元、托盘或其它准备用于装运的制造、加工或装卸货物的地方。
在运输前,为装运准备进行贮存或货物合并的地方。
运输货物的地方。
装车或卸车的地方。
货场保管转手的地方。
处理,产生或接触的适合于货物装运的文件或资料的地方。
不同模式的运输所用的内地运输途径和运输方法。
其它。
A.3.2 性能评价表
下列性能评价表提供了一个系统处理评价现有安全安排的例子。
性能评价表的那些部分适合于下列组织:
确认遵守本标准或遵守ISO/PAS 20858,或
4.3中包括的,或
已经按照国家海关局附合WCO SAFE框架决定的供应链安全程序指定作为AEO。
这些组织包含一个共同的指示强调因素,即遵守本标准,ISO/PAS 20858,或ISPS程序.
A.3.3 绩效评价
当对供应链中的一个组织进行安全评价时就可完成和考虑下列所示的A.1表。这个表不包括全部,可以加以删减,来反映风险评估和组织的商业模式。如果指示的因素已经被供应链中的组织执行, 则应当检验”是”方块项。如果指示的因素没有被供应链中的组织执行,或部分符合,则应检验“否”方块项,当需要时在评论一列中加入描述其它利用的替代措施的解释或风险是很低的解释。如果此因素不可用或在组织的覆盖说明之外,则在“评论”一栏中注不可利用(NA)。在因可用的法律/法规而不填的性能评论表中项目应当在评论栏中标出禁止。
A.1表-执行检查表
因素 |
是 |
否 |
评论 |
|
|
|
|
供应链安全管理 |
|
|
|
|
|
|
|
--组织是否有一个关于供应链安全的管理体系? |
|
|
|
|
|
|
|
--组织是否有一个人指定作为供应链安全负责人? |
|
|
|
|
|
|
|
安全计划 |
|
|
|
|
|
|
|
--组织是否有一个或几个新的安全计划? |
|
|
|
|
|
|
|
--计划是否着重于组织的上游和下游商业合伙人的安全预料? |
|
|
|
|
|
|
|
--组织是否有严格管理,商业连续性,和安全恢复计划? |
|
|
|
|
|
|
|
资产安全 |
|
|
|
|
|
|
|
--组织是否有重点的替代措施? --建筑是否物理安全? --是否监视和控制外部和内部周边? --是否应用准入控制,禁止无关人员进入设施、运输工具、装载码头和货物堆放区域,以及所属管理控制所有证件放行者(员工、参观者、卖主等)以及其它进入设备? --是否有明显加强资产保护的操作安全技术? 例如,监视闯入,或CCTV/DVS照相机记录整个供应链活动的重要区域,记录的保存时间能足够长,以便做事故调研用。 |
|
|
|
|
|
|
|
--万一发生安全突破时,是否对接触内部安全人员或外部法律执行官员有协议? |
|
|
|
|
|
|
|
--程序是否对所有货物和运输工具贮存区域都有限制,检查和无关人员进入报告程序? --发送或接收货物的人是否在发送或接收货物之前已有证书? |
|
|
|
|
|
|
|
人员安全 |
|
|
|
|
|
|
|
--组织是否在雇用雇员之前有对其首次及定期地的安全职责进行评估程序? |
|
|
|
|
|
|
|
--组织是否进行专门职业培训以帮助雇员完成他们的安全职责例如:保持货物完整,识别对安全的潜在威胁和维护准入控制? |
|
|
|
|
|
|
|
--组织是否让雇员意识到必须向公司报告可疑事故的程序? |
|
|
|
|
|
|
|
--准入控制系统是否伴有立即撤销解雇员工的通行证及不准进入敏感区域和信息系统? |
|
|
|
|
|
|
|
信息安全 |
|
|
|
|
|
|
|
--所用程序是否保证所有用于货物加工的,无论电动还是手动的情报都是合法,适时正确及防交换损失或引入错误数据? |
|
|
|
|
|
|
|
--组织装运或接收货物是否配有合适的装运文件? |
|
|
|
|
|
|
|
--组织是否保证从商业合伙人所得的资料是准确的和及时的? |
|
|
|
|
|
|
|
--整个贮存系统中保护的相关数据是否在主要数据处理系统操作中不发生意外(是否有数据恢复处理)? |
|
|
|
|
|
|
|
--是否所有使用者在个人和单独使用中有一个唯一的身份证(使用者ID),以保证他们的活动可被跟踪? |
|
|
|
|
|
|
|
--是否有效的通行证管理系统至少每年一次鉴别使用者和需要变更的使用者变更通行证? |
|
|
|
|
|
|
|
--是否有预防无关人员进入和滥用信息的措施? |
|
|
|
|
|
|
|
货物及运输工具安全 |
|
|
|
|
|
|
|
--是否有限制,监视和报告无关人员进入所有装运区,装载码头区和关闭的货物运输单元仓库的程序? |
|
|
|
|
|
|
|
--是否有指定的称职人员指导货物操作? |
|
|
|
|
|
|
|
--一旦组织检查或怀疑到非正常和非法活动时,程序是否能及时通知合适的法律执行人员? |
|
|
|
|
|
|
|
--当货物/装运物发送到供应链中另一组织(承运人,加固中心,中间设施等)时,程序是否能保证货物/装运物的完整性? |
|
|
|
|
|
|
|
--是否过程沿运输途径跟踪威胁水平的变化? --是否有提供给运输工具操作者用的安全法规、程序或指南? |
|
|
|
|
|
|
|
封闭的货物运输单元 |
|
|
|
|
|||
(WCO SAFE框架包括一个在附件中附录1所述的”铅封完整性纲要”, 这个纲要中制定了有关高级安全铅封的附件和证书以及临时的检测装置. 填在表格中的人应评论框架中的这一段) |
|
|
|
|
|||
--如果使用一个封闭的货物运输单元, 是否有满足ISO/PAS 17712要求的,用于粘贴和记录高级安全机械密封的, 写成文件的程序和/或有装填货物单元的团体给的其它临时检测 |
|
|
|
|
|
|
|
--如果使用一个铅封的密闭的货物运输单元, 是否有写成文件的程序用于检测密封符号在装运过程中运输工具变化时的损坏和处理检测的矛盾? |
|
|
|
|
|
|
|
--如果使用一个封闭的货物运输单元,在装运之前是否装运单位立即检测到装运引起的污染? |
|
|
|
|
|
|
|
--如果使用一个封闭的货物运输单元, 在装运之前是否装运单位立即检测到装运引起的物理完整性的改变的写成文件的程序, 包括单元锁机构的可靠性?这里推荐七点检测过程: --前面 --左侧 --右侧 --地板 --天花板/顶板 --内/外封口 --外部/车下 |
|
|
A.3.4安全威胁情况
在安全评估期间考虑威胁情况,包括但不限于表A.2中所列的那些情况.安全评估还应当考虑另外的由进行评估的政府授权人,组织管理人或安全职业人确定的情况。
表A.2—供应链的威胁情况
安全威胁情况 |
应用 |
1 侵入和/或控制供应链中的资产(包括运输工具) |
破坏/损毁资产(包括运输工具)。 利用资产或货物破坏/损毁外部目标。 引起社会或经济扰乱。 绑架人质/杀人。 |
2 使用供应链作为一个走私的方法 |
非法武器进出国家/经济体 恐怖分子进出国家/经济体 |
3 信息破坏 |
当地或远距获得侵入供应链资料/文件系统用于中断运行或利于非法活动目的。 |
4 货物完整性 |
为恐怖主义目的的干预,破坏和/或偷盗。 |
5 非授权使用 |
操纵国际供应链制造恐怖主义活动,包括使用运输模型作为武器。 |
6 其它 |