GB_T 40753.3-2024 供应链安全管理体系 ISO 28000实施指南 第3部分：中小企业采用ISO 28000的附加特定指南（海港除外）.docx

《GB_T 40753.3-2024 供应链安全管理体系 ISO 28000实施指南 第3部分：中小企业采用ISO 28000的附加特定指南（海港除外）.docx》由会员分享，可在线阅读，更多相关《GB_T 40753.3-2024 供应链安全管理体系 ISO 28000实施指南 第3部分：中小企业采用ISO 28000的附加特定指南（海港除外）.docx（17页珍藏版）》请在课桌文档上搜索。

1、ICS03.100.01CCS90三中华人民共和家标准GB/T40753.32024/ISO28004-3:2014供应链安全管理体系ISO28000实施指南第3部分：中小企业采用ISO28000的附加特定指南（海港除外）Securitymanagementsystemsforthesupplychain-GuidelinesfortheimplementationofISO28000Part3:AdditionalspecificguidanceforadoptingISO28000forusebymediumandsmallbusinesses(otherthanmarineports)(

2、ISO28004-3:2014,IDT)2024-03-15发布2024HJ7-01实施国家市场监督管理总局国家标准化管理委员会发布引力iv1范阳I2规范性引用文件I3术谱和定义I4附加指南I5文件记录106中小企业获取咨询建议和认证的指南11参考文献12木文件按照GBT1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则卜的规定起草.本文件是GB/T40753供应琏安全管理体系ISO28000实施指向的第3部分.GB/T40753已经发布了以下部分：一一供应链安全哲理体系ISO28000实施指两(GB/T4O7532021)：第3部分：中小企业采用ISo28000的附加特定指南

3、(海港除外)(GB/T-10753.32024)：第4部分：以符合GB,T38702为管理目标实施ISO28000的附加特定指南(GB/I40753.42024).本文件等同采用ISO28004-3:2014供应族安全管理体系ISO28000实猫指南第3部分：中小企业采用ISO28000的附加特定指南(海港除外冷.本文件增加1“术语和定义”一章。请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的di任.本文件由全国公共安全基础标准化技术委员会(SACTC351)提出并归口.本文件起草单位：江苏省质fit和标准化研究院、中国标准化研究趺、南京卫冏乳业有限公司、天津大学深圳市凯东

4、源现代物流股份有限公司、中国物资储运协会、苏州茂力克想际贸易审限公司、新疆难百尔自治区标掂化研究院、中信或P股份有限公司、山东日辉电缆集团有限公司、南京现代服务业联合会、江苏华远企业管理咨询有限公司、南京供应锌发展促进会、苏州昆环桧测技术有限公司。本文件主要起草人；管丛琳、李军、孔肖蔚、茶挺鑫.大i、周信、杨天峰，林空、严佳秋、白元龙、王皖，赵玉根刘远、张承祥、孟祥程、张祖吴、蔡新民、兆华、案初、木清如孙庆伦、文谦、孙悦默GB/T10753是根据建立公认的供应能管理体系标准这一茄求制定，可用作安全管理体系评价和认证依据，也可指导此类标准的实能，拟出四个部分构成第1部分：总则.目的是用作安全管理

5、体系评价和认证依据.也可指导此类标准的实施.一一第2部分：中小港口运营使用ISO28000指南.目的是确定供应魅风险和威胁场景、进行风险/威胁评估的程序，以及根据ISo28000和GB/T40753系列实施指两衡址竹面安全计划的一致性和有效性。第3部分：中小企业采用ISo28000的附加特定指南（海港除外）目的是为根据ISO28000制定的中小型企业（海港除外）安全管理计划的质盘评砧提供指南和依据,以便保护供应链的完整性.第4部分；以符合GB/T38702为管理目标实施ISO28000的附加特定指南。目的是为将GB38702明确的量佳实践作为国际供应链管理目标的祖织，提供采用ISo28000的

6、附加指南.本文件包含的补充信息旨在增强但不改变目WffGBZT10753中规定的一般指导原则.除了添加补充条件外，并未对GB，TIO753进行修改.I、供应链安全管理体系ISo28000实施指南第3部分：中小企业采用ISO28000的附加特定指南（海港除外）1本文件作为GB/T407532。21的补充，为布他采用ISo28000的中小企业（海港除外）提供附加的指导.本文件进步阐述了GB/T4O7532021主体部分提供的通用指南，与通用指南不发生冲突,亦不修正ISO28000.2提范住W用文件下列文件中的内容通过文中的现他性引用而成为本文件必不可少的条款.其中,注日期的引用文件，仅该口期对应的

7、版本适用于本文件:不注日期的引用文件,其最新版本（包括所有的修改单）适用于本文件.GB/T40753-2021供应展安全管理体系ISO28000实施指南（ISo28004-1:2007,IDT）ISO28000:2007供应链安全管理体系规范（SPeCifiCatiOnforsecuritymanagementsystemsforthesupplychain）3术事和定义本文件没忏离要界定的术语和定义。4ISO28000旨在被希望更好地保护其供应链或为供应Si运管商提供的果务的各种规模的祖枳所使用.GB/T10753-2021旨在为希望采刖ISO28M0的各种煨模的组织提供指导，illFGB/

8、T10753-2021旨在为各种嫌根的组短提佻指导，因此可能比小爆根如纵所褥的史为以杂本文件的目的是简化以指导小型组织使Jl1.使用本文件作为指导的实体如需获得本文件中提供的信息之外有关特定问题的更多信息，宜冬考GB/T40753-2021.本文件提供的指南不会修正ISO28000成GBT40753-202k本文件中讨论具体方法时，为了说明目的，可用其他方法普代.使用ISo28000的组织宜做到：一一说明其在供应糙安全方面的目标：一一评估供血链的当优安全状态：一一制定计划，包括现有的供应链过程和程序，以及1.i确定为符合规定的供应链安全目标所需的附加过程、程序或体系：一一根据供应展安全计划中妙

9、定的职责对员工进行培Ulh一一安装/推护供应链安全计划中规定的任何系统或设务：开始执行供应链安全计划：一一监视供应链安全计划执行情况：一一定期重新评估供应健安全状况.以识别包括新或胁等某些条件的变化：一一定期测试（演练）组织计划，并谡杳任何供应链安全事件；根据绩效监视、业新评估、演练或调杳的fi入.更新目标、计划和人力培训.之前未使用过GB/T4O753-2O21的用户文注:到在GR/J40753-2021中讨论的每项要求中使用的“目的”“输入”和“输出”字样.目的是指种解降组织需要完成什么的条款：输入是指一种解择需要分析或考出的条款：输出是指种解年组织目标是什么或将针对该特定要求采取什么行动

10、的条次.第一步一设备工作在开始使用ISO28000Zlltf,组织可考虑他们是否泠里（在适用范围内）将其组织的所有特定部分纳入供应健安全管理体系，俎织在作出法定时在考虑包括但不限于以下内容：企业目标：一客户离求成期里：一一政府权益.是否用该管理体系来解决政府的方竹或项目：是否熟悉该管理体系.在计划的适用范阳内,安全管理体系直扩展到与供应链相关的所有区域和功能范憎.为有助于确定可涉及的区域和功能范假，机织可考虑但不限于以下内容I在装箱、上托盘或求备装船前，货物的制造、加工或搬运：一一准备装运的货物在运输前的贮存或拼装：一一货物的运送：货物从运输工具上的装卸：货物保管权的交接：一一杓.关正在装运的

11、货物的文件或侑息的处理、产生或访问：采用不同交通工具进行运输的运粕路找和方式；其他”*x*_ft1（ISO28000与WT40753-2021中42）在初步确定适用范围后，F步珞确定安全检理方针.安全管理方针非常正要,是因为它将作为整个供应健安全管理体系的建立依据及用于认证时所有目标、活动和计划的评侑准则.尽管存在先制定安全管理方针，再执行评估方甘的情况，但实际初始条件己知旦资源需求已识别时,它In之间会同步进行.安全管理方针在包含在最高管理层认可的声明中,该方针在有意义且明施削述殂织的总体和广泛安全管理目标,为了更有意义，该方针宜反映己知的安全威胁，并提供合理的期望，即该组织能终比没6使用主

12、动管理方法的如织史好地管控这些域胁,同时,也能够适合该如织的规模和性质,井涵盖对持续改进的承诺.为便于说明,提供下列方计声明示例，示例I某货运公司一我的安全型匕持货物第W损伤率比所服务市场的行业平均水平至少低X%,遵守适用J所服务市场的所有有关的政府运输和安全条例。满疝姻过世界海坳场区腰梃济运苦商班工的安全措瓯注I如0咳链涉网出。犍购，可侧切昉hi冏有所忏损失葡Ift和安全事件并予以祖整。不断沿R提诲的，淑的保则存他和团，效率,J陈可m况内予以制匕%Betfct.全力配标府湘工方针声明宜尽可能il厮有可能受其彤W的人员知晓，包括外部各方.如咽侬方针淘要保密（如发现走私,配告警方或海关时）,公司

13、可能会限制其发布.组织可以公布他fl的政策声明.Zm声明在记录在案.并根据150困0:206|44.4的要求进行倏订,修订方声明时，地新成本之替代所有以前的版本.*三*三fCf（SO280z20074,11,B407532021中43）使用ISO28000的祖织制要对供应社及其支持股务进行安全评俯，这些眼务包含在管理不设定的适用范围内。安全评估是通过将现有的保护措施、操作过程和反应措施与一系列己切威胁场景（风险）列表进行比较来评估整体系统安全性，以价定风降是否得到充分管网，一般而方,如果再有中高后果的供应燧中断情况仅限于在低可使性情形下发生.则认为风险处于管控下。在管理大型复杂或多个供应法时宜

14、小心逆慎.在可能性较低的情况下,每个供应链对组织都至关里要.如对的个供应链进行取独评估，中断可能性的实际严正程度可使并不明显.安全评估的所有方面都在被记录下来，具体包括：一一参与人M及其进行评估.的资格：一一对所用方法的描述，包括该方法中用来说明概率、可能性、后果、关键性或有效性的任何术语、数字或字母字符的定义：一一评估期间使用的威胁场景：一一对适用疝围的描述：一一作为评估的一部分评审的现有计划或程序的消通;一一所作的假设（如有）：足墟证明评估结果正确性的解择、照片、图表或其他i仑述：一一供应链中需要增加安全措施的各个方面（所需对策）：一一评估完成日期.ISO28000和GB/T40753-2

15、021的正文中均未详细规定评估人员的所衢费格.但是,楹甥预期的站果，使刖Iso28000的组织可能希里在出建K评估组时可使用以下通用指南，进行安全评估的个人或团队宜具在相关技能和知识，包括但不限于以下内容：一一适用于供应链各方面的风险if估技巧；一一采取适当的措施规避对安全性敝感材料进行未授权的泄露和侵入的风险：一一涉及货物的搬运、加工、移动和/或记求的运行和程序：一一在供应链相应环节中的托管、运输、人员、羟甘场所和信息系统有关的安全措施；一一理解安全威胁与减獴方法：一一了解适用的法律、法规.法律政策和相关的政府机构：理解ISO28000和GB/T107532021.比起较简单的供应性,史奴朵

16、或两雄多种运昔环境的供应健将需瞿更多符合条件的人员进行评估.第四步一次剔安全（AMM）每一项安全评估都无法处理所有威胁场景,因此评估如城很整的工作是制定合理的成物场景列表并记录其在评估过程中使用的场景.在制定一系列威胁场景时,评估组可从众多来源狭得怆入信息.包括：公司记录、具行供应链相关知识的人彷、行业协会、保险公司和相应的政府机构.虽然ISO28000不要求，但威胁场景可能包括事故和自然力fit.为便于说明,提供了以下威胁场景（见表D.1喊胁场景应用1）fi入和，成控IW供应6J内的资产（包括运依工具）搅环ZK坏资产（包括交边工具）;损环/破坏住用资产或收物的外把：引起社会或经济动帮：扣留人

17、质/煤第2）利用供应破走私在供应或内运输作法式卷.（4构或货13）鬼改信息从本地或远程入设供KfeiQ息系统或文件系统干扰运行或从小等法活动4）比构完处性翼茂、破坏或BiCS供应篌中的货物或运输工具5）通过恐吓.使员工从第Ifi法行为JEIF分子向供曲鼓511.施压以克成在供应俄中的通法活动第五步一后果在确定适用范围和威胁场我并记录后，评估组需要记录每个威胁场景的预期后果.显然有许多结梁定义或分级的方法，但下列方法在许多情况下相当简总和有效（也可使用我他方法对后果的评估宜考虑到可能的伤亡和经济损失。供应链中被评价的安全件后果宜分为高、中、Itt：个等级（见表2）.若数值结果可转化为定性的系统.

18、则可在评估过程中采用数（系统.针时所有安全事件的后果进行分级的依据宜予以记录.确定高、中、低等级后果的数值时宜予以注意.采用过低的网值可能导致针对安全峻胁场景采取的应对措施高于实际希求.然而,采用过高的阈值则会忽略针对涉及组织或赛管组织运行的政府不能容忍的安全威胁场景采取应对措施.后果分级为“高”可被视为仅在发生的可能性较低的情况卜才可接受的后果.后果分级为中”可被视为在发生的可能性较高的情况下不可接受的后果，后果分级为“低”可被视为遹常可接受的后果.可接受性不宜与可取性或认同性相混消.可接受性可理解为判断组织或监管组织运行的政府在某种与概率有关的情况下愿适接受的可能通受的损杏的数I上组织或政

19、郴可以决定，遭受一定程吱的损害的可能性是不情愿的但却是可接受的.2后果分级选定等级后果高死亡和受伤，一定货模的死亡人数机或妙济杉崎：对资产和，或某地议俺的芹址破爆而Hh1.送一步运行视或环境杉响：生态愿统受到大而枳、多方面的毁灭性破坏中死亡和受仿：何如死亡和/成经济影利：对资产和/或基碑议处的俄坏Ifi茶要F以雉怩机以环境膨响I时生态系统的某a:分造成K划破爆2后果分锻（续）选定等奴后果低死亡和受伤I行受物也无死亡w/t&济彰K:对资产和，或展础设施和系统造成把微指书和/或环境彰收：局部环境破坏第六步一现状m在确定并记录了后果之后，评估姐通常会对适用范用内所有供应锥中的运行、动能、流程（包括信

20、息系统八计划和措施进行评.中“上述评事宜采用如下方式正确记录,以便能够使未参与评审但具备相关l识的人员理解评估纲得出的结论.评估时宜考虑以下内容.a）对以下事项的访问控制：供应健中祖织的首业场所，包拈邻近地区：-交通工具（卡车.铁路货车、航空渊、驳船、船舶等）；信息系统：其他。b）交通方式（K车、铁路、驳船、飞机、船舶等），宜考虑：正常运行；维修厂（如修车厂）；由于故障等导致的变更；-交通方式的变更：停用期间的运输工具：使用运输工具作为武潺：其他：c）盘运：装载：制造：贮存（包括中间储存器）：转坛：卸就：分装/合并：其他。力货物的运输方式：空运；公路运输；铁路运输；内陆水运：海洋船运：其他.e

21、）适用于船运的人依检冽和预防，0检依过程，例如车辆检杳，g）员工：能力、培训和意识；诚实：其他。h）业务伙伴的使用.i）内部/外部交流：信息交换：紧急情况：其他。j）有关货物的报运、加工或运输路战的信息：数据保护：资料保证：其他。k）外部信息：法律信息：当局命令：行业规范：事故与事件：一第一反应能力与反应时间：其他。使用检查我可能会有帮助。对供应性中的组织实施安全评估时,可填写和参考表3所示的绩效评申清单。该清单并非详尽的，可根据风险评估和组织的尚业模式进行调整。若所显示的因素己由供应锥中的组织实施.宜选择“是”.若所显示的因案尚未实修或是部分符合.宜选择“否”适当时,在备注栏中补充说明所采用

22、的其他普代措施，或注明风险很低,如果因素不适用或不在组织的将荒莅用内，宣在“笛注”栏中注明“不适用（NA根据相关的法律法规要求在绩效评审清单中不能实施的项目,宜在备注栏中标识为禁止.3IMt评审清单S得注蛆织是否建立r用解决供应班安GHH的段理体系？也织是否指定。人鱼曷供应跋的安全？Sl织是古布现或的安全计划?计划是否包括/组织时上下游合作伙伴的安生期卬？蝌织是否建立了危机舒坦.业务持续性和安全慨M计划？3,效评审清单（续）wr是否备注簧产安全 Hl织是否制定措旌解决以卜月凝：一一让筑物的物现安全性I对场所内外郃环境的监视和拄M一一利用访同构制.禁止未母授权访问设地、尾的i：N.转和码头和版相

23、IK.以Zi对身价识别KW工.访客.供应商守）和H；他准入装置的发放族加管现控帧 ft否存在可M*!1：强依产保护的i&1.安全技术?例如.栗川入侵检热!或植或供应法活动正复1域的OCTvNS影便记录.械保利叨应足够K以使用于十件的调在是否制定了联系内部安全人员设外部执泣机构的协议，以防发生安全故冷？是古制定了程序,依定，检藻和报告未授权进入的所有,物和运输储存区？在货物发放和按收靛，是否盯人网对Vi物的发故和接收送确认？人员安全烟织是否建立了程序，在启用10时人员的14信越打彳价,并定命估其安全职责?!.U展商位培训1植防员工履行H安全职责.同tth维护货物完整性,识别潜在的内部安生威胁.保

24、障访问控俄指俺？组织是否使员工了卅公E所制定的报告可收小件的程序？访问养物系统是舌包含/在即稍除合的到期的员I的川击!出J1：和进入般感区和（SJB系统的访间权的功能？值安全足古推行糕序保用于货物加工的所有伯息电子的和人.的）均JeiHS的.及时的、准确的旦防止被更改、丢失或导入错误致犯？ffifflfMuRft货物时是否核财货物、州直的运送文件的-殁性？制织是杏媚保从业务合作伙伴收到的货物信息能够及时掂助地报告？足古通过使用存储系统保护相关的故框.不论在要教整处理祭线是否运行（於行建立了匕北番份过H）?足否所仃用户部行唯一的标双码（用户ID”1仅供个人使用,以保证其活动可以加到沿洲？“3”迂

25、上了一骞有效的密码管理系统用于签定用户的人伍同古鬟求这些用户至少抵年更改次密码？史古M定r保护播械以防止木经叔叔访HfU不当使用仙忠？*4SZA是否建立了程序以双制、检测和报告对所有运输.码头裳和国故内团大货物坛物柴元仁存区的未般授权的访外？3效部事清单因素是备注计否指定合格人S（iUb饵货运业务？当匕者出或怀疑有兄常或婚法活动发生时.制织型否it?用式贯脚一单元Ht界制关组织全球贸奶安全与便利标准以架，明录的附件】仗括f含封完1性方案收定/对及安全性打印的和/或箕他物改检洌装或的送行加式和验证的程序.埴月本表的人员女评审逅框架的相关他分.若使M封用式近物运脸单元,是舍能立f对符合ISO】篙1

26、2的高安全性机帆时卬和/或其他显以桢潮装贸进行加或和验证的竹面程序？若使MH团式货物运第!元是否建立口而程序椅套在船垢U程中运保善权交接时封印AJ否有被Jl改的边象以及解决己校校淘到的弟界？若使用W阳式货物运轴联元.怂否及时检逋装城方在装填玳处古”保将造成了将坏？若使用封用式货物运输单元,是否魅立在装填方装填酹对月团式货物运冷冷元进行及时检置的Hfti程序,败述货物的物理完整性，包括华元也定机制的可能性?建议采取以下7点依查步骤I梅壁，M:右0H：地面I天花枝，屋顶I内/外卡86：一外郃/底曲第七少一可催性评估&可能性是指安全做曲场景发展成为安全事件的雄林程度.而不是安全事件发生的解：如果评伯

27、Sl正在if估由自然力战冲i初游戏胁，砺制在评估磔缄卿,他可以包括或替换从历史id中楣幽概率,在评审现状期间或之后,评估如需价定各威胁场景的可能性.如涉及多位M,评估姐分别考虑各个位亶.对潜在安全事件进行分类时,在考虑安全娥效评审清维及提供的其他文件中所记录的供应链中物理安全措施和运行安全措施的状态.物理安全措施包括阻止或检测未经授权侵入目标的物体，运行安全指除包括阻止或检测未经授权侵入目标的人员和程序,针对特定资产发生的安全事件可能性在分为商、中、低三级.一一高级宜玷用J现有安全措施对安全事件的发生展现较弱抵抗能力的情况,若评估过程中使用了数（ft系统,数位结果宜转化为比定性的体系.一一II

28、级宜适用于现有安全措施对安全事件的发生履现适中抵抗能力的情况.一一低缎宜适用于现有安全措施对安全事件的发生展现强劲抵抗能力的情况。对所有安全事件的发生概率进行分级的依掘官予以记录.第八步各评估组宜根据峻胁场块列表及各自产生的后果,确定是否需采取额;外措施来管控来自威胁场块的风险的可能性。确定威胁场景可能性可使用威胁评分表（见表4）,且表4可用于确定何时针对特定安全事件考虑应对措施.后果分级可能性分被而中低孤果取向对措施果取应对播旌予以考虑中家取样对指施索取应而指施侬考电予以id录低以考出予以记录予以记录需对可施性和后果的评级均为高等级的安全事件确定应对措施,针对可能性评级为中等级且后果被评为高

29、等级的安全事件也衢如此.针对其他安全事件不需制定应对措施.除非被评估人认为是可取的。安全评估人员宜列出需采取应对措施的所有安全事什。第九步一修定应渐M若评估人员要求制定应对措施或认为可取时,则宜考虑减轻安全戒胁场景的后果和/或可能性.最终目标是将安全威胁场景消除或将UJ能有安全城胁场景造成伤者的可能性降至无需再使用额外应对措施的水平,应对措睡可归入如下措施中：处理：可能为现织的播瓶和/或物理性的措施：转移：风险可通过分包或物理性转移到其他时间和场所等：终止：可能由于风险水平的原因,组织会决定不再继续执行活动.在某些特定情况下因所需的应对措魄无法实睡缺乏推行所阁安全措施的权限或其他不可抗拒的因讹

30、，组织UJ能需容忍碉。容忍是指组织无法采取任何措脩.此类活动和评估宜予以记录并定期评审.-H0一实施应对岫采取新的应对措施表明运作规范发生了变更,因此需要与组织的管理体系协刑一致.以确保可获得充分的资源、对其他运行的影响寿到管理及变更得到管埋层的支持，m+一评价则a宜采用本文件规定的方法评估每一项应对措施在降低可能性或后果（或两者同时）直至安全风险不再需要采取额外的应对措施方面的有效性。能实现这一目标的应对措施被认为是行之有效的，且宜被列入安全评估报告中.第十二步一过程的1话在制定安全应对措施并评估有效后，继续下一个安全或胁场戏，直至所列的安全峻肺场饿全部完成为止.第十三步一过程的挎俵评估过程

31、是林续的.安全性应予叹持续监视以崩保安全搞他按除期执行,且评估过程宜在需要时予以执行.第十四步一定安金计方管理系统的工作方式以及卜列所涉及或增加的相关方面的角色和职贵均甯予以记录，这些记录会被包含在组织运营计划,作为技立文件或作为其他组织文件的附件.为筒化起见,这些记录被称作安全计划,安全计划宜包括但不限于以下说明：一一该计划所攫击的供应链中的环节；一一所有安全人员的安全相关职表：一一安全管理层的结构.包括被指定为安全管理人员的姓名以及最高管理拧的角色：一一相关人员在安全事件报告中所使用的内部和外部睡急情况安全联系方式：一一安全贵任人所能具备的知识和技能；一一安全培训计划；一一为确保被分配安全

32、职责的人员具备叔行其安全职费所需的技能和知识的资质确认过程；一一安全计划的各项要素如何执行，如织的人员参与政府举行的安全演习或演练可当作符合该要求I一一满足政府加强的应急措施或提高安全水平的城低安全要求的过程：一一供应链安全管理系统如何进行监控.安全计划宜包含各相关程序,包括但不限于下列安樗：评估组评审和确定的所有程序和拮施宜适用广供应链安全以及由供应链过估所确定的必要补充性应对持施，内容可包括；确保承旭后续运输的姐织在货物运送前收到货物运行的信息：一一确保需要进行合并/拆箱的商品/收到的货物，货物资料/货物的单/清单保标准端的一致.发出商品/货物单元时应核对购买或交忖订单：一一在收到或发生货

33、物附，确保交时或接收货物的勾放员的身份己得到会证；一一除了确认驾驶员身份以外,确保车主身份得到确认：一一确保所有短缺、妞我及其他正大屋异或异常现象得到适当解决和/或调汽，并fl若检测到琴法或可疑活动时通知相应的执法机构：描述在供应性该环节已经实微的应对措施：一一描述在安全事件发生时，在供应链安全环节已实施的安全【可及措施的程序：一一描述在货物的保管权交接给另一个出织时所实施的所有措施和程序：一一描述向经授权的人员披露有关祓运送的货物的新外信息的程序,宜包括用户如何ft定要求祝供额外信息的请求是否合法，以及如何发布信息或发布什么信息，5文件记景机构宜在安全、可检索的位贸保存以F文件：a）漫盅的闱

34、说明：b）已完成的安全评估：O实施安全评估人员的姓名和资质；d）考虑过的所有应对措族的消冷；e）安全计划和附录（如适用）；D有关禁训课程和演练、参与人员、培训项目和日期的记录：g）法规或管理部门规定的其他文件：h）管理体系监控结果和己羟做出变更的记录.6中小企业禁取咨询谀和认证的奈南6.1总财有意实施ISO28000的祖织不定要获得外部咨询服务.如果确定在实施安全评估、IM定安全计划成实施所需的傀求方面霜要建议或帮助，组织可寻求外部咨询眼务然而，寻求咨询服务的出织有优任核杳并验证提供咨询服务的顾问的能力。例如，通过征求建议、听取您考意见或评审其己实施的工作进行核查和股证,向姐织提供自询的检问不

35、应参加对同一个细艰的第三方审核&2出!中证实与18028000的符合性ISO28000是一个要求规范，旨在帮助自愿实施该要求的加织确定和证实其在国乐供应链中拄制的那些坏X具有适当水平的安全性。因此，它可作为通过第方、第二方或第三方审核过程确定、确认或证实姐织供应鞋现行安全性水平的依据.或选择将符合本文件作为进入其供应健安全方案的基本要求的政杵机关.审核类型：a）第一方审核是组织自我确定自身的符合性：b）第二方审核是Ftl在供陶集的运行中有既定利益的其他组织、机构或团体询定或物证组织是否符合约定的准则Ic）第三方审核是由独立于所疔各方的组织施定或脱证组织是否符合妁定的准则.6.3第三方认证机构进

36、行ISo28000认证1W求通过第三方审核过程证实符合性，寻求认证的组织宜考虑选择由权或认可机构认可的第-：方“证机构.此类获得认可的认证机构遵守国际互认规则、实施准则和审核协议,如1SOIEC17021和ISO19011.参考文献11ISO/IEC17021Conformity於SeSMnefnRequirenKntsforbodiesprovidingaudit:tndcertificationofmanagementsystems2ISO17712FreightcontainersMechanicalseals3ISOI9()lIGuidelinesforauditingmanagementsystems4世界海关组织(WCO)全球贸易安全与便利标准架构(2012年)(SAFEframeworkofstandardstosecureandfacilitateglobaltrade)