【国家标准】 供应链安全管理体系 ISO 28000实施指南 第4部分：以符合GB/T 38702为管理目标实施ISO 28000的附加特定指南

ICS03.100.01
CCS A 90
中华人民共和国国家标准
GB/T40753.4—2024/IS028004-4:2014供应链安全管理体系bzxZ.net
28000实施指南
第4部分：以符合 GB/T
38702为管理目标
实施1S028000的附加特定指南
SecuritymanagementsystemsforthesupplychainGuidelinesfortheimplementationofISo28oo0Part4:Additional specificguidanceonimplementingISO28000ifcompliancewithGB/T38702isamanagementobjective(IS028004-4:2014,Securitymanagementsystemsforthesupplychain-Guidelinesfortheimplementation of ISo280o0Part4:Additional specificguidance 0on implementing IS0 28000 if compliance with IS0 28001 is amanagementobjective,IDT)
2024-03-15发布
国家市场监督管理总局
国家标准化管理委员会
2024-07-01实施
40753.42024/IS028004-4:2014
规范性引用文件
术语和定义
基本信息
本文件的结构
与世界海关组织安全框架授权经营者（AEO）要求的协同作用将GB/T38702的各种要求纳入ISO28000作为输入、过程或输出的实践指导术语注释
GB/T40753.4—2024/IS028004-4:2014本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
本文件是GB/T40753《供应链安全管理体系IS028000实施指南》的第4部分。GB/T40753经发布了以下部分：
一供应链安全管理体系
：IS028000实施指南（GB/T
40753—2021)；
第3部分：中小企业采用IS028000的附加特定指南（海港除外）（GB/T40753.3一2024)；一第4部分：以符合GB/T38702
2024)。
为管理目标实施IS028000的附加特定指南（GB/T40753.4-已
本文件等同采用IS028004-4:2014《供应链安全管理体系IS028000实施指南第4部分：若以符合IS028001为管理目标实施IS028000的附加特定指南》。本文件增加了“术语和定义”一章。本文件做了下列最小限度的编辑性改动：为与现有标准协调，将标准名称改为《供应链安全管理体系IS028000实施指南分：以符合GB/T38702为管理目标实施IS028000的附加特定指南》：第4部
一一因IS028000中不存在4.3.1安全风险策划，在综合前后文原意的基础上，将表10中的4.3.1安全风险策划更改为4.3.24.3.5安全风险策划。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口。
本文件起草单位：江苏省质量和标准化研究院、中国标准化研究院、南京卫岗乳业有限公司、厦门通程物流有限公司、重庆市质量和标准化研究院、深圳市凯东源现代物流股份有限公司、新疆维吾尔自治区标准化研究院、天津大学、中国物资储运协会、广东贸促国际商事认证中心、江苏省环境资源有限公司、中信戴卡股份有限公司、和也健康科技有限公司。本文件主要起草人：刘班、李军、万科、管旭琳、李光磊、向艳、秦挺鑫、孔肖菌、徐凤娇、杜舒雅、白元龙、张超、赵玉菲、王彬、陈乔予、屈莹、陈赛楠、张华、李希、王晓刚、方志财。GB/T40753.4—2024/IS028004-4:2014引言
GB/T40753是根据建立公认的供应链管理体系标准这一需求制定，可用作安全管理体系评价和认证依据，也可指导此类标准的实施。拟由四个部分构成。第1部分：总则。目的是用作安全管理体系评价和认证依据，也可指导此类标准的实施、第2部分：中小港口运营使用IS028000指南。目的是确定供应链风险和威胁场景、进行风险/威胁评估的程序，以及根据IS028000和GB/T40753系列实施指南衡量书面安全计划的致性和有效性。
第3部分：中小企业采用IS028000的附加特定指南（海港除外）。目的是为根据IS028000制定的中小型企业(海港除外）安全管理计划的质量评估提供指南和依据，以便保护供应链的完整性。
第4部分：以符合GB/T38702为管理目标实施IS028000的附加特定指南。目的是为将
GB/T38702明确的最佳实践作为国际供应链管理目标的组织，提供采用IS028000的附加指南。
本文件用于补充GB/T40753，作为附加指南进一步阐释了GB/T40753主体部分，但与其不冲突。在某些技术安全要求方面，GB/T38702比IS028000阐述地更详细，两者不冲突。本文件有助于符合授权经营者(AEO）的安全准则。1范围
GB/T40753.4—2024/IS028004-4:2014供应链安全管理体系1IS028000实施指南第4部分：以符合GB/T38702为管理自标实施1S028000的附加特定指南
本文件为将GB/T38702明确的最佳实践作为国际供应链管理目标的组织，提供采用IS028000的附加指南。GB/T38702的最佳实践既帮助组织建立并记录国际供应链的安全级别，又促进根据世界海关组织框架标准设计的国家授权经营者(AEO）方案的验证。本文件不是一个独立文件。GB/T40753的主体提供与所需输入、过程、输出及IS028000要求的其他有关要素的重要指导。本文件为符合GB/T38702标准是管理目标的IS028000标准实施提供附加具体指导，
世界海关组织投权经营者（AEO）计划中规定的一些要求属于政府职责，不在本文件中阐述。包括：
证实符合海关规定。当考虑针对授权经营者(AEO）的状态的请求时，海关考虑潜在授权经营者(AEO）证明的合规性历史记录。一符合要求的商业记录管理系统。授权经营者(AEO）保存与进出口有关的及时、准确、完整和经检验的记录。保存经检验的商业记录是国际贸易供应链安全性的基本要素。一一财务可行性。授权经营者（AEO）的财务可行性是保持并改进确保供应链安全性措施的重要能力指标。
一咨询、合作和信息沟通。海关、其他主管部门和各级（国际、国家和地方）授权经营者(AEO）宜定期咨询共同利益问题，包括供应链安全性和便利措施，在某种意义上不会妨得执法活动。咨询的结果宜有助于其海关发展和维护风险管理战略。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件
GB/T38702
供应链安全管理体系
实施供应链安全、评估和计划的最佳实践线要求和指南
38702—2020,IS0
40753—2021
IS028000
supply chain)
ISO/PAS
28001:2007,IDT)
供应链安全管理体系
IS028000实施指南（IS0
28004-1:2007,IDT)
供应链安全管理体系规范(Specificationforsecuritymanagementsystemsforthe20858
船舶与航海技术航运港口设施安全评估和安全计划编制（ShipandmarinetechnologyMaritime port facility security assessments and security plan development)3术语和定义
本文件没有需要界定的术语和定义。GB/T40753.4—2024/IS0
28004-4:2014
基本信息
图1表明，纳入GB/T38702
28000的合规性和潜在认证是如何补充国家、1区
最佳实践在内的ISO
域或经济授权经营者(AEO）方案及某些行业的要求，并促进验证以上计划的。组织也可在没有获得投权经营者(AEO）认证目标的情况下选用ISO世界毒关组织安全框架
Korld Custons Organizatior
(UCO)SAFE Framework
本文件的结构
欧置委员会投权经济运营者
European Cormissior
Authorixed Econonic Operator*图1
28000和GB/T38702,
海关商贸反悉饰联
Custors Trade Partnership
Against Terrorisn(CTPAT)*
IS028000
以改进和记录供应链安全管理。新加坡安全贸易伙伴
Singapore secure Trade
Partnership (STP) *
确保供应链安全的补充标准
运输资产保护协会
Transported Assets ProtectionAssociation (TAPA)*
第6章给出了系列图表，阐述了世界海关组织安全框架授权经营者（AEO）要求与ISO28000和
38702相关条款之间的协同作用。GB/T
第7章给出了将GB/T38702
的各种要求纳入IS028000作为输入、过程或输出的实践指导。第8章给出了注释以阐明IS028000和GB/T38702中使用的术语之间的差异。6
与世界海关组织安全框架授权经营者(AEO)要求的协同作用
世界海关组织授权经营者（AEO）要求用表1～表9中的AI所示，分别给出要求的概要，以及阐述该要求的IS028000和GB/T38702条款。请注意国家授权经营者（AEO）计划也包含IS028000或38702中没有阐明的其他最低准则等要求。GB/T
A教育、培训和意识
海关和投权经营者(AEO)应开发安全策略有关人员的教育与培训机制，使其认识到政策的偏差并且了解必须采取应对安全漏洞的行动
ISO28000,4.4.2(胜任力、培训和意识)GB/T38702,5.3.1（评估人员）
B.信息交流、访问和保密性
海关和授权经营者(AE0)，作为保护敏感信息综合战略的一部分，应开发或增强保护委托信息不被滥用和避免未经授权进行更改的方法
IS028000,4.2(安全管理方针)、4.4.5(文件和数据控制)、4.5.4(记录控制）GB/T38702,5.8（安全信息的保护）2
C.货物安全性
40753.4—2024/IS0
28004-4:2014
海关和授权经营者(AEO)应建立和/或加强措施来保证货物完整性得到维护，进行最高等级的访间控制以及建立有助于货物安全的例行程序
IS028000,4.4.6(运行控制）
GB/T38702，5.4（供应链安全计划的制定）表4
D.运输安全性
海关和授权经营者(AEO)应共同努力建立其他国家或国际法规要求中没有规定的有效控制制度，安全保护和保持
IS)28000,4.4.6(运行控制)
GB/T38702,5.4（供应链安全计划的制定）表5
E.场所安全性
确保运输得到有效
海关在考虑到AEO的意见及其必须遵守的强制性国际标准后，应制定实施有意义的、专门针对海关安全的增强协议
的要求，并确保对内外周边的监视和控制IS028000,4.4.6(运行控制)
GB/T38702,5.4（供应链安全计划的制定）表6
F.人员安全
海关和授权经营者（AEO)应根据其权限和能力：在可能的合法程度上筛选潜在员工的背景资料，此外：应禁止未经投权进入可能合理影响其负责的供应链区域安全的设施、运输工具、装货码头和货物区IS028000,4.4.6(运行控制）
GB/T38702.5.4（供应链安全计划的制定）表7
G.贸易伙伴安全性
海关应建立授权经营者(AEO)要求和机制，可由贸易伙伴自愿加强其安全措施的承诺而增强全球供应链的安全性IS028000,4.4.6(运行控制)
GB/T38702,4.1(申请书)、4.2(业务伙伴)、4.3(国际公认的证书或批文)、4.4(免于安全申报要求的业务伙伴)、4.5(应用范围》
40753.4—2024/IS0
H.危机管理和事故恢复
28004-4:2014
为了将灾难事故的影响降至最低程度，危机管理和恢复程序宜包含应急预案和针对紧急情况的处理措施IS028000,4.5.3(安全相关故障、事故、不符合项及纠正和预防措施）、4.4.6(运行控制）、4.4.7(应急准备、响应和安全恢复）
GB/T38702,5.7(安全事故发生后所需采取的措施）表9
工.测量、分析和改进
授权经营者(AEO)和海关宜计划并执行监视、测量、分析和改进过程，目的是评估与这些指南的一致性；
保证安全管理体系的完整性和充分性：确定潜在区域以改进安全管理体系，从而增强供应链的安全性IS028000,4.1(一般要求)、4.3(安全风险评估和策划)GB/T38702,5.1(供应链安全保障过程一—总则)、5.2(安全评估范围的识别)、5.3.2(评估过程)、5.4(供应链安全计划的制定)、5.5(供应链安全计划的执行)、5.6(供应链安全流程的记录和监视）7
将GB/T38702
将GB/T38702
ISO28000
4.2安全方针
4.3.1安全风险评估
的各种要求纳入IS028000作为输入，过程或输出的实践指导的各种要求纳入ISO
过程或输出的实践指导，如表10所示。28000作为输入、2
从GB/T38702补充的最佳实践
用于规定应用最佳实践的方针
声明。该信息可以来自GB/
T38702中4.1a)和b)中要求的
信息的文件
5.3.1规定了开展安全评估人员
的技能和知识。
5.3.2规定了除评估人员提出的
情况外，有关政府官员认为的还必须包含的安全威胁场景。所
需记录包括：
所有需考虑的安全威胁
场景：
评定威征兆程序；
所有确定和优先考虑的防
范措施
为了最终被验证为授权经营者(AEO)的组织应与有权授予授权经营者(AEO)状态的海关当局商议，确保最佳实践应用的预期范围足够适用于通过其海关局获得授权经营者(AEO)状态
对于供应链中的已持有国际公认的证书或批文见4.3)组织，或经认证符合IS020858或GB/T38702管理标准的组织，GB/T38702不要求其对供应链中已评估的部分重新进行安全评估（见4.4)。
注：如果要求投权经营者(AEO)寻求验证或认证，相关的海关当局或涉及的证明主体应确定选择国际认可的证书或批文、以及认证。
GB/T38702中4.2提到供应链中的业务伙伴通过以书面形式签署安全措施(安全声明)，替代对每个公司开展的安全评估。必须按照4.5中的规定评审这些声明的可信度IS)28000
4.3.2~4.3.5安全风
险策划
4.5.3安全相关故障、
事故、不符合项及纠
正和预防措施
术语注释
表10（续）
从GB/T38702补充的最佳实践
5.4规定了为供应链包含部分制
定的安全策划要求。开发安全
策划时，要求组织评审并考虑使用资料性附录A和B中的指南
T40753.4—2024/IS0
28004-4:2014
GB/T38702中5.5~5.6.2要求将制定的安全策划作为管理体系的一部分进行执行和监视5.7还要求如果发生安全漏洞
时，组织应遵循程序向海关
和/或适当的执法机构进行报告
28000和GB/T38702
中的术语存在一些差异。另外，发现了相关标准中使用的必须补充的部分术语资料，相关术语资料见表11。表11
IS028000和
GB/T40753中的术语
设施，3.1
安全管理计划，3.6
相关方，3.8
风险，3.10
GB/T38702中的术语
资产，3.2
业务伙伴，3.4
供应链中的组织，3.15
国际供应链，3.12
安全事故分级(B.5中第四步）
IS028000和GB/T38702中这两个术语的意义和定义同义
这是管理体系的要素。可将GB/T38702中概述的安全计划视为该计划
相关方的定义见IS028000，包括安全管理体系执行过程中诸多既得利益客体。
业务伙伴在GB/T38702中定义为供应链中存在商业关系的客体。可以将业务伙伴视为相关方集合中的一个子集
相关方的定义见IS028000，用于指述供应链中按照GB/T38702标准制造、装卸、运输或加工供应链中商品或相关信息的组织
GB/T38702将该术语定义为在某些环节上跨越国际或经济体边界的供应链。由于不是所有的供应链都在跨越该边界，因此国际供应链被认为是IS028000定义的供应链中较大的子集
虽然GB/T38702中没有定义“风险”这一术语，但GB/T38702中说明安全事故评分和防范措施开展的几个章节中将其明确描述为可能性和后果因素5
40753.4—2024/ISO0
IS028000和
GB/T40753中的术语
28004-4:2014
表11(续)
GB/T38702中的术语
虽然IS028000将“威胁”定义为对任何相关方产生潜安全威胁场景，3.26
减胁，3.3
安全事件，3.21
后果，3.6
目标，3.25
服务范围，3.17（4.1应用说明中的一个要素）
在破坏的任何可能的行动或一系列行动，但由于管理体系与安全有关，因此行动一词可能意味着犯罪行动。GB/T38702简单地将威胁一词分为四部分(3.26、3.21、3.25和3.6)，共同定义结果可能导致安全事故的潜在威胁场景和目标
GB/T38702将这一术语定义为供应链中的组织执行的功能或执行这些功能的情况。这一概念包含在GB/T40753的讨论中，指的是确定管理体系的边界和范围
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。