GB_T 40753.3-2024 供应链安全管理体系 ISO 28000实施指南 第3部分：中小企业采用ISO 28000的附加特定指南（海港除外）.docx

ICS03.100.01CCS90三中华人民共和家标准GB/T40753.32024/ISO28004-3:2014供应链安全管理体系ISO28000实施指南第3部分：中小企业采用ISO28000的附加特定指南（海港除外）Securitymanagementsystemsforthesupplychain-GuidelinesfortheimplementationofISO28000Part3:AdditionalspecificguidanceforadoptingISO28000forusebymediumandsmallbusinesses(otherthanmarineports)(ISO28004-3:2014,IDT)2024-03-15发布2024HJ7-01实施国家市场监督管理总局国家标准化管理委员会发布引力iv1范阳I2规范性引用文件I3术谱和定义I4附加指南I5文件记录106中小企业获取咨询建议和认证的指南11参考文献12木文件按照GBT1.1-2020£标准化工作导则第1部分：标准化文件的结构和起草规则卜的规定起草.本文件是GB/T40753供应琏安全管理体系ISO28000实施指向的第3部分.GB/T40753已经发布了以下部分：一一供应链安全哲理体系ISO28000实施指两(GB/T4O7532021)：第3部分：中小企业采用ISo28000的附加特定指南(海港除外)(GB/T-10753.32024)：第4部分：以符合GB,T38702为管理目标实施ISO28000的附加特定指南(GB/I40753.42024).本文件等同采用ISO28004-3:2014供应族安全管理体系ISO28000实猫指南第3部分：中小企业采用ISO28000的附加特定指南(海港除外冷.本文件增加1'“术语和定义”一章。请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的di任.本文件由全国公共安全基础标准化技术委员会(SACTC351)提出并归口.本文件起草单位：江苏省质fit和标准化研究院、中国标准化研究趺、南京卫冏乳业有限公司、天津大学'深圳市凯东源现代物流股份有限公司、中国物资储运协会、苏州茂力克想际贸易审限公司、新疆难百尔自治区标掂化研究院、中信或P股份有限公司、山东日辉电缆集团有限公司、南京现代服务业联合会、江苏华远企业管理咨询有限公司、南京供应锌发展促进会、苏州昆环桧测技术有限公司。本文件主要起草人；管丛琳、李军、孔肖蔚、茶挺鑫.大i、周信、杨天峰，林空、严佳秋、白元龙、王皖，赵玉根刘远、张承祥、孟祥程、张祖吴、蔡新民、兆华、案初、木清如孙庆伦、文谦、孙悦默GB/T10753是根据建立公认的供应能管理体系标准这一茄求制定，可用作安全管理体系评价和认证依据，也可指导此类标准的实能，拟出四个部分构成第1部分：总则.目的是用作安全管理体系评价和认证依据.也可指导此类标准的实施.一一第2部分：中小港口运营使用ISO28000指南.目的是确定供应魅风险和威胁场景、进行风险/威胁评估的程序，以及根据ISo28000和GB/T40753系列实施指两衡址竹面安全计划的一致性和有效性。第3部分：中小企业采用ISo28000的附加特定指南（海港除外）目的是为根据ISO28000制定的中小型企业（海港除外）安全管理计划的质盘评砧提供指南和依据,以便保护供应链的完整性.第4部分；以符合GB/T38702为管理目标实施ISO28000的附加特定指南。目的是为将GB38702明确的量佳实践作为国际供应链管理目标的祖织，提供采用ISo28000的附加指南.本文件包含的补充信息旨在增强但不改变目WffGBZT10753中规定的一般指导原则.除了添加补充条件外，并未对GB，TIO753进行修改.I、供应链安全管理体系ISo28000实施指南第3部分：中小企业采用ISO28000的附加特定指南（海港除外）1«本文件作为GB/T407532。21的补充，为布他采用ISo28000的中小企业（海港除外）提供附加的指导.本文件进步阐述了GB/T4O7532021主体部分提供的通用指南，与通用指南不发生冲突,亦不修正ISO28000.2提范住W用文件下列文件中的内容通过文中的现他性引用而成为本文件必不可少的条款.其中,注日期的引用文件，仅该口期对应的版本适用于本文件:不注日期的引用文件,其最新版本（包括所有的修改单）适用于本文件.GB/T40753-2021供应展安全管理体系ISO28000实施指南（ISo28004-1:2007,IDT）ISO28000:2007供应链安全管理体系规范（SPeCifiCatiOnforsecuritymanagementsystemsforthesupplychain）3术事和定义本文件没忏离要界定的术语和定义。4ISO28000旨在被希望更好地保护其供应链或为供应Si运管商提供的果务的各种规模的祖枳所使用.GB/T10753-2021旨在为希望采刖ISO28M0的各种煨模的组织提供指导，illFGB/T10753-2021旨在为各种嫌根的组短提佻指导，因此可能比小爆根如纵所褥的史为以杂本文件的目的是简化以指导小型组织使Jl1.使用本文件作为指导的实体如需获得本文件中提供的信息之外有关特定问题的更多信息，宜冬考GB/T40753-2021.本文件提供的指南不会修正ISO28000成GBT40753-202k本文件中讨论具体方法时，为了说明目的，可用其他方法普代.使用ISo28000的组织宜做到：一一说明其在供应糙安全方面的目标：一一评估供血链的当优安全状态：一一制定计划，包括现有的供应链过程和程序，以及1.i确定为符合规定的供应链安全目标所需的附加过程、程序或体系：一一根据供应展安全计划中妙定的职责对员工进行培Ulh一一安装/推护供应链安全计划中规定的任何系统或设务：开始执行供应链安全计划：一一监视供应链安全计划执行情况：一一定期重新评估供应健安全状况.以识别包括新或胁等某些条件的变化：一一定期测试（演练）组织计划，并谡杳任何供应链安全事件；根据绩效监视、业新评估、演练或调杳的fi入.更新目标、计划和人力培训.之前未使用过GB/T4O753-2O21的用户文注:®到在GR/J40753-2021中讨论的每项要求中使用的“目的”“输入”和“输出”字样.目的是指种解降组织需要完成什么的条款：输入是指一种解择需要分析或考出的条款：输出是指种解年组织目标是什么或将针对该特定要求采取什么行动的条次.第一步一设备工作在开始使用ISO28000Zlltf,组织可考虑他们是否泠里（在适用范围内）将其组织的所有特定部分纳入供应健安全管理体系，俎织在作出法定时在考虑包括但不限于以下内容：企业目标：一客户离求成期里：一一政府权益.是否用该管理体系来解决政府的方竹或项目：是否熟悉该管理体系.在计划的适用范阳内,安全管理体系直扩展到与供应链相关的所有区域和功能范憎.为有助于确定可涉及的区域和功能范假，机织可考虑但不限于以下内容I在装箱、上托盘或求备装船前，货物的制造、加工或搬运：一一准备装运的货物在运输前的贮存或拼装：一一货物的运送：货物从运输工具上的装卸：货物保管权的交接：一一杓.关正在装运的货物的文件或侑息的处理、产生或访问：采用不同交通工具进行运输的运粕路找和方式；其他”*x*_ft1（ISO28000与WT40753-2021中42）在初步确定适用范围后，F步珞确定安全检理方针.安全管理方针非常正要,是因为它将作为整个供应健安全管理体系的建立依据及用于认证时所有目标、活动和计划的评侑准则.尽管存在先制定安全管理方针，再执行评估方甘的情况，但实际初始条件己知旦资源需求已识别时,它In之间会同步进行.安全管理方针在包含在最高管理层认可的声明中,该方针在有意义且明施削述殂织的总体和广泛安全管理目标,为了更有意义，该方针宜反映己知的安全威胁，并提供合理的期望，即该组织能终比没6使用主动管理方法的如织史好地管控这些域胁,同时,也能够适合该如织的规模和性质,井涵盖对持续改进的承诺.为便于说明,提供下列方计声明示例，示例I某货运公司一我的安全型匕持货物第W损伤率比所服务市场的行业平均水平至少低X%,遵守适用J所服务市场的所有有关的政府运输和安全条例。满疝姻过世界海坳场区腰梃济运苦商班工的安全措瓯注I如0咳链涉网出。犍购，可侧切昉hi冏有所忏损失葡Ift和安全事件并予以祖整。不断沿R提诲的，淑的保则存他和团，效率,J陈可m况内予以制匕%Bet¾fct.全力配标府湘工方针声明宜尽可能il厮有可能受其彤W的人员知晓，包括外部各方.如咽侬方针淘要保密（如发现走私,配告警方或海关时）,公司可能会限制其发布.组织可以公布他fl的政策声明.Zm"声明在记录在案.并根据150困0:206|44.4的要求进行倏订,修订方声明时，地新成本之替代所有以前的版本.*三*三fC±<f½（SO280z20074,11,B407532021中43）使用ISO28000的祖织制要对供应社及其支持股务进行安全评俯，这些眼务包含在管理不设定的适用范围内。安全评估是通过将现有的保护措施、操作过程和反应措施与一系列己切威胁场景（风险）列表进行比较来评估整体系统安全性，以价定风降是否得到充分管网，一般而方,如果再有中高后果的供应燧中断情况仅限于在低可使性情形下发生.则认为风险处于管控下。在管理大型复杂或多个供应法时宜小心逆慎.在可能性较低的情况下,每个供应链对组织都至关里要.如对的个供应链进行取独评估，中断可能性的实际严正程度可使并不明显.安全评估的所有方面都在被记录下来，具体包括：一一参与人M及其进行评估.的资格：一一对所用方法的描述，包括该方法中用来说明概率、可能性、后果、关键性或有效性的任何术语、数字或字母字符的定义：一一评估期间使用的威胁场景：一一对适用疝围的描述：一一作为评估的一部分评审的现有计划或程序的消通;一一所作的假设（如有）：足墟证明评估结果正确性的解择、照片、图表或其他i仑述：一一供应链中需要增加安全措施的各个方面（所需对策）：一一评估完成日期.ISO28000和GB/T40753-2021的正文中均未详细规定评估人员的所衢费格.但是,楹甥预期的站果，使刖Iso28000的组织可能希里在出建K评估组时可使用以下通用指南，进行安全评估的个人或团队宜具在相关技能和知识，包括但不限于以下内容：一一适用于供应链各方面的风险if估技巧；一一采取适当的措施规避对安全性敝感材料进行未授权的泄露和侵入的风险：一一涉及货物的搬运、加工、移动和/或记求的运行和程序：一一在供应链相应环节中的托管、运输、人员、羟甘场所和信息系统有关的安全措施；一一理解安全威胁与减獴方法：一一了解适用的法律、法规.法律政策和相关的政府机构：理解ISO28000和GB/T107532021.比起较简单的供应性,史奴朵或两雄多种运昔环境的供应健将需瞿更多符合条件的人员进行评估.第四步一次剔安全"（AMM）每一项安全评估都无法处理所有威胁场景,因此评估如城很整的工作是制定合理的成物场景列表并记录其在评估过程中使用的场景.在制定一系列威胁场景时,评估组可从众多来源狭得怆入信息.包括：公司记录、具行