廣州市信能企業管理咨詢有限公司文件編號GZXN-SCSM-01文件版本A/0供應鏈安全管理手冊生效日期2020-5-4頁碼文件號：GZXN-SCSM-01廣州市信能企業管理咨詢有限公司供應鏈安全管理手冊文件編號GZXN-SCSM-01版本號A修改次數0總頁數47編制日期2020-08-08審核日期2020-08-08批準日期2020-08-08文件發行部門行政部文件使用部門所有部門受控狀態2020-08-08發布2020-08-08實施目錄手冊條款標準條款頁碼公司概況41.1前言51.2手冊管理51.3目的范圍61.4發布令71.5管理者代表任命書81.6供應鏈安全管理方針92引用標準103術語和定義310-114.1總要求4.1124.2供應鏈安全管理方針制定4.212-134.3供應鏈安全管理目標、指標4.313-144.4供應鏈安全管理方案4.414-154.5供應鏈安全管理手冊4.5154.6供應鏈安全組織機構、職責與權限4.615-164.7供應鏈風險識別與評價4.716-174.8法律法規及其他要求4.817-194.9能力、意識和培訓4.919-204.10溝通4.1020-224.11文件和數據控制4.11234.12供應鏈安全風險和威脅的控制4.1223-314.13應急響應和恢復4.1331-334.14運行績效的監視和測量控制4.1433-344.15供應鏈安全管理體系評價的控制4.1534-364.16與供應鏈安全相關的失效、事件、不符合及糾正和預防措施的控制4.1636-394.17記錄控制4.17394.18內部審核4.18394.19管理評審及持續改進4.1940-42附：程序文件清單附錄一43手冊修改控制頁附錄二44組織架構圖附錄三45職能分配表附錄四46供應鏈安全過程流程圖附錄五47序號章節版本修改次數更改內容審核/日期批準/日期廣州市信能企業管理咨詢有限公司概況廣州市信能企業管理咨詢有限公司——前言本公司《供應鏈安全管理手冊》是依據ISO28000:2007標準《供應鏈安全管理體系規范》的要求，根據公司的實際情況而制定的。本《手冊》闡述了公司的供應鏈安全方針和管理體系策劃、實施、檢查和改進的要求，概括公司供應鏈過程的風險識別、評價和控制的要求。本《手冊》由行政部負責組織編寫，管理者代表審核，總經理批準發布實施。公司全體員工必須做到管理到位、職責到位、措施到位、落實到位，確保對供應鏈過程的風險和威脅的控制，確保供應鏈安全管理體系有效運行并持續改進。本《手冊》由管理者代表負責組織實施，行政部負責管理和解釋。1.2手冊管理本《手冊》的發放：《手冊》分為“受控”和“非受控”兩種版本狀態。受控版本在封面上加蓋“受控”章，因需要提供給外部的為非受控版本，均按《文件控制程序》的規定執行。《手冊》使用期間如有修改建議，應及時反饋到行政部，確定進行適當修改。在內審、管理評審時，對《手冊》的適應性、有效性進行評審，必要時對《手冊》予以修改。1.3目的、范圍1.3.1目的本《手冊》在于公司建立供應鏈過程中風險識別、風險防范、增強抵御風險能力，并建立持續改進機制，完成公司的年度、中期和長期的經營目標和經營戰略，提高公司的商業能力和信譽度。1.3.2適用范圍本《手冊》適用于公司的整個商業活動過程的風險管理，策劃、實施、檢查及改進，覆蓋了公司所應企業管理咨詢所涉及的供應鏈安全管理活動經營活動的全部要求，也包括過程中的資金和信息等管理，適用于公司供應鏈管理的整個活動。本《手冊》也用于第三方的供應鏈安全的認證審核,以表明符合本標準的符合程度。外包過程：公司對供應鏈過程中的部分設備設施維護保養（運送車），部分運輸運送等的過程進行外包，管理要求按照相關文件進行控制。1.3.3本手冊與質量管理體系的關系是具有兼容性。發布令廣州市信能企業管理咨詢有限公司《供應鏈安全管理手冊》符合ISO28000:2007標準——《供應鏈安全管理體系規范》的要求。本《手冊》是公司整個服務運營活動中對供應鏈安全風險控制的行為準則，適用公司相關各職能部門。本人批準《供應鏈安全管理手冊》自2020年8月8日實施。本人要求公司全體員工必須認真學習、堅決貫徹并切實落實各項規定及要求；公司各職能部門嚴格履行職責，強制實施《供應鏈安全管理手冊》，保證公司供應鏈安全管理體系持續有效運行，以實現安全經營的目標。批準人：熊勵輝日期：2020-08-08管理者代表任命書為了貫徹執行ISO28000:2007標準《供應鏈安全管理體系規范》標準，加強對供應鏈安全的風險控制，提高公司的風險防御能力，確保公司供應鏈安全管理體系有效實施和保持，特任命為我公司的供應鏈安全的管理者代表。管理者代表職責：1、組織對供應鏈安全管理體系文件的編寫，并適時評價和修訂，確保文件的適宜性；2、組織對體系的貫徹實施并適時監督檢查和改進，確保管理體系的充分性和有效性；3、向最高管理者匯報供應鏈安全管理體系的運行情況和業績，為對體系評審和改進提供依據。4、負責體系運行有關事宜的外部聯絡。5、行使和履行公司總經理規定的其他體系管理的職責和權限。公司各級人員必須服從管理者代表的領導，積極配合，共同履行供應鏈安全管理的職責，以確保管理體系有效運行和持續改進。批準人：熊勵輝日期：2020-08-08供應鏈安全管理方針預防為主、技術領先持續改進、保證安全運用ISO28000:2007標準體系，以預防性的思路和措施，控制公司在企業管理咨詢所涉及的供應鏈安全管理活動的等供應鏈正常過程中存在的風險負面因素，更進一步提高公司在安保方面運行的可靠性，進一步降低供應鏈上的經營成本，使得公司的業務流程更為順暢、按時和完好，傳遞的信息更加及時、準確和保密，人員更加到位、正確和無誤的目的。批準人：熊勵輝日期：2020-08-08供應鏈安全管理目標N0.供應鏈安全管理目標供應鏈安全管理指標管理方案執行部門完成時間1訂單達成率95%采購及時率100%采購控制程序采購部全年突發事故及時處置率100%應急準備響應和安全恢復控制程序行政部全年區域服務覆蓋率100%/業務部每天2服務完成率100%服務差錯率低于0.1%/運營部全年3提高員工安全意識員工的供應鏈安全培訓覆蓋率100%/行政部全年員工操作安全事故為0/行政部全年批準人：熊勵輝日期：2020-08-082引用標準2.1ISO28004:2007《供應鏈安全管理體系——ISO28000實施指南》2.2ISO28001:2007《供應鏈安全管理體系——實現供應鏈安全的最佳實踐指南——評估和計劃》2.3ISO9001：2015《質量管理體系要求》3術語和定義3.1本《手冊》采用ISO28000:2007《供應鏈安全管理體系規范》、ISO28004:2007《供應鏈安全管理體系—ISO28000實施指南》和ISO28001:2007《供應鏈安全管理體系——實現供應鏈安全的最佳實踐指南——評估和計劃》中給出的術語和定義。3.2本《手冊》根據公司產品和服務項目特點，采用下述術語和定義：3.2.1供應鏈從原材料采購一直到通過運輸將產品或服務提供給最終顧客的一組過程和資源構成的網絡。注：供應鏈可能包括賣主、生產商、安保商、外銷中心、配送者、批發商和其他到最終用戶的實體。3.2.2下游發生在貨物到達組織的直接作業控制之后，供應鏈中涉及的行為、過程和貨物移動，包括但不僅限于保險、金融、數據管理、包裝、存儲和貨物轉移。3.2.3上游發生在貨物到達組織的直接作業控制之前，供應鏈中涉及的行為、過程和貨物移動，包括但不僅限于保險、金融、數據管理、包裝、存儲和貨物轉移。3.2.4供應鏈安全阻止了有意、未經授權而對供應鏈直接或間接造成損害和破壞行為的狀態。3.2.5安全管理方針與安全相關過程控制有關的、與組織的宗旨和法規要求保持一致的組織的總體意圖和方向。3.2.6安全管理目標為滿足安全管理方針所要達到的具體效果或要求的安全績效。注：這些具體效果直接或間接與產品采購、生產或由總商提供給顧客或終端用戶的服務有關。3.2.7安全管理指標為實現安全管理目標所需規定的具體表現程度。3.2.8相關方關注組織的業績、成就或活動效果的個人或團體。注：例如包括顧客、股東、金融機構、保險公司、法人團體、監管機構、雇員、合同方、供應商、勞工組織和一些社會團體等。3.2.9供應鏈設施生產基地、財產、建筑、汽車基礎設施或與之相關的計量、服務的系統。注：此定義包括用于判定安全交付和安全管理的任何軟件。3.2.10安全管理方案實現安全管理目標的手段。3.2.11供應鏈風險供應鏈安全威脅發生的可能性和后果的組合。3.2.12供應鏈威脅對相關方、設施、運行、供應鏈、社會、經濟或業務的持續性和完整性有可能故意的行為或潛在破壞的活動。3.2.13商業合伙人這些承包人、供應商或服務提供商，它是與組織簽訂合同來幫助組織完成其作為供應鏈中一員的作用。3.2.14貨物運輸單元公路貨運車輛、鐵路貨運車、貨物集裝箱、公路槽車、鐵路槽車或輕便槽車。3.2.15運輸工具將貨物從一個地點運送到另一地點的國際貿易的實體工具。例如：貨箱、貨盤、貨運槽車、貨物、裝卸設備、警車、船舶、飛機和軌道車。3.2.16供應鏈中的組織進行以下任一活動的實體：--在買方訂單規定的，某些環節跨越國際或地區邊界位置的制造、保安、加工、裝載、加固、卸載或收貨；--在國際供應鏈中以任何方式進行貨物運輸，不管這個供應鏈中的任何階段是否跨越國界或經濟邊界；--提供，管理或實行被海關人員或在商業實踐中使用的裝運信息的產生、分配或流轉。3.2.17安全敏感信息；安全敏感材料由供應鏈安全過程所產生的或伴有的，包含有關安全過程，裝運或政府指令不得用于公眾場合而對某些希望激發安全事故的人有用的信息和材料。3.2.17世界海關組織WCO獨立的政府間的團體，它的任務是增強海關接待功能和效率。3.2.18其他定義和術語(略)4供應鏈安全管理體系4.1總要求4.1.1本公司從自身實際情況出發，按照ISO28000:2007《供應鏈安全管理體系規范》標準要求，建立系統化、結構化、文件化的供應鏈安全管理體系（按照界定其管理體系的范圍）；4.1.2公司應達到識別威脅、評價風險，控制和減輕風險的后果，持續改進體系的有效性；4.1.3針對公司所選擇的任何影響符合性要求的外包過程，確保對其實施控制；4.1.4以過程方法，實施PDCA循環的原則，建立、實施、保持和持續改進供應鏈安全管理體系。4.24.2安全方針4.6管理評審4.5檢查和糾正措施4.3安全風險策劃和評價4.4實施和運行總要求安全管理體系4.2供應鏈安全管理方針制定4.2.1公司應有清晰定義的、文件化的并經批準的供應鏈安全管理方針。4.2.2具體制定要求：1）與公司總體經營方針、戰略目標及其他方針保持一致；與總體安全威脅和風險管理框架一致；2）適用于公司活動、過程及服務的性質、規模，及實際情況；3）與組織的特性及受威脅的程度所采取的行動相適宜；4）體現對持續改進供應鏈安全管理體系有效性、預防事故和降低風險作出的承諾；5）體現對遵守相關法律法規及其他要求作出的承諾；6）提供目標、指標制定和評審的框架；7）供應鏈安全管理方針應由最高管理者批準，并傳達到公司各部門，以便員工溝通、理解和執行；8）也包括傳達到公司第三方的合同方或參觀人員，并適當為相關方所獲取；并確保樹立與個人安全管理相關的責任和意識；9）當內外部條件變化時（如，組織的經營范圍變更時）應對供應鏈安全管理方針進行評審，判定其適宜性，必要時進行修訂。4.2.3公司供應鏈安全管理方針為：專業管理咨詢、現場流程再造、提供優質服務；保證安全方針涵義: 預防為主公司認識到供應鏈的安全保障不僅是公司自身權益的基礎,更是對相關方利益的保護,對促進社會安定、和諧的責任，為此，公司承諾：在組織結構和內部治理上確保對供應鏈安全的職責明確，崗位落實；通過不斷提升人員的供應鏈安全意識，提高全體人員的應對各類風險的潛能。技術領先建立信息數據庫的網上客戶查詢系統，實現對公司供應鏈管理的信息優化。引進高科技技術監視和報警系統，及時、準確發現可疑問題，增加雙預警、報警功能。具備先進的安保管理程序，進行制衡控制，加強風險動態識別與控制，有效跟蹤、考核工作流程，及時發現問題隱患，并予以消除，防意外事故，提升抵御人為失誤風險的能力。完備的警用基礎設施以及防護結構，消滅薄弱環節，提高安保環境條件。建立與社會、公安聯防組織的協作措施和通道,公司認真遵守并模范執行適用的、現行的有關安保風險管理的法律、法規和其他要求。持續改進公司通過體系的建立、實施、保持和改進，不斷完善和健全識別運營過程中的風險。保證安全目前，黨中央、國務院充分認識到了當前食品安全的重要性，制定了許多這方面的法律法規。公司將嚴格在各個環節把控，保證食品的安全。4.3供應鏈安全管理目標、指標4.3.1公司應有具體的、文件化的、分相關層次的并經批準的供應鏈安全管理目標、指標。4.3.2具體制定要求：1）目標、指標是供應鏈安全管理方針的展開，是公司實現減少風險、提高商業能力、提高信譽的具體落實，并與供應鏈安全管理方針（包括對持續改進的承諾）保持一致；2）滿足過程風險控制的需求：應包含滿足經營過程的控制（如風險控制目標值、過程運作要求、合理的相關方要求，以及法律法規和安全規章的要求）；3）目標、指標應分解到具體的層次和量化，是可測量的或者盡可能作出定量要求，使風險預防、威脅和風險管理水平得以保持并持續改進；4）體現其技術方案、財務及實施的可行性；5）體現預防為主和持續改進的機會；6）供應鏈安全管理目標、指標應符合公司實際，具有可操作性，經所規定時間的努力，盡力可以實現；7）供應鏈安全管理目標、指標應傳達全體員工，以便及時溝通、理解和執行；包括對公司第三方等人員的溝通；溝通形式：通過文件分發、會議和宣傳欄等方式；8）公司體系歸口部門應定期檢查和考核目標、指標執行情況，進行定期評審，以便修訂和改進。批準應由最高管理者進行；9）當供應鏈安全管理方針、相關法律法規及其他要求，質量、環境、職業健康安全管理方案的進度狀況以及其他外界因素（包括市場、活動和生產服務發生變化等）發生變更時，目標和指標應重新評審和修訂；批準應由最高管理者進行；4.3.3供應鏈安全管理目標、指標完成情況的檢查和考核1)公司辦負責組織各公司/部門對所屬員工進行目標和指標的培訓，確保全體員工清楚公司及本部門的目標和指標，并付諸實施。2)公司辦負責公司各部門目標、指標完成情況的監督檢查和考核。3)公司各部門負責本部門目標、指標完成情況的檢查和報告。4)對目標和指標實施中存在的問題，相關部門應分析原因、采取糾正和預防措施。4.4供應鏈安全管理方案4.4.1公司應制定具體的、文件化的、為進一步實現供應鏈安全目標和指標有關的管理方案。4.4.2具體制定要求：1）當涉及需制定和落實相關的管理方案才能實現其目標和指標的情況，其相關部門應建立、實施和保持相應的管理方案（優先采用合理化的）；2）管理方案應包括實施目的、要求、責任人員及權限配置、設備、技術手段、預箅經費、后勤保障、完成時限/計劃步驟等內容；3）管理方案由管理者代表審核，總經理批準后形成文件，傳遞到實施和考核部門進行溝通與落實；4）管理方案的實施和有效性的驗證，以實現目標指標為基礎；同時，可利用管理評審會進行更新，確保其適宜性；4.5供應鏈安全管理手冊4.5.1公司應制定符合ISO28000:2007標準要求和適合于本公司的供應鏈安全管理手冊，以描述公司對供應鏈風險控制承諾及控制思路。4.5.2具體制定要求：1）供應鏈安全管理手冊應明確控制風險覆蓋的范圍，與風險控制相關過程之間的相互作用的表述；2）標準所涉及的多個要素基本控制文件的程序或對其引用，重要文件清單或索引等；3）管理手冊由管理者代表審核，總經理批準后形成文件下發到公司相關部門或現場；同時，確保全體員工清楚并執行所規定的內容；4）管理手冊也包括適當時為相關方所獲取（非機密部分）；5）當內外部風險過程、人員、設備設施、法律法規、市場環境等條件變化時，應對供應鏈安全管理手冊進行評審，判定其適宜性，必要時進行修訂或換版。4.6供應鏈安全組織機構、職責與權限4.6.1公司應制定與供應鏈安全相關的組織結構，明確和清楚的各部門和安全風險重要崗位職責，并使之文件化（見公司組織結構圖及公司部門職責）。4.6.2具體制定要求：1）公司各部門和安全風險重要崗位職責應與其安全管理方針、目標指標和方案相一致。2）供應鏈安全風險重要崗位如高層領導、管理者代表、各部門主管領導、保安或客服人員、押運或特勤人員、財務人員、信息管理、與相關方（含顧客）接觸的人員等等；對職能機構、職責和權限作出明確規定，形成文件，如公司組織機構圖、職能分配表、與供應鏈安全相關崗位職責等；3）最高管理層應確保實施和持續改進安全管理體系的有效性的承諾，使其全體員工清楚理解自己的職責，并且有監督它們運作有效性的管理制度；4）最高管理者應指定一名管理者代表（無論其是否還擔有其他方面的職責），并進行必要的授權，確保目標指標的實施和完成；同時，明確其為公司的安全管理體系總體建立、保持和改進體系，以及其他形成文件所負有的職責；5）公司應確保涉及供應鏈安全風險的關鍵崗位的人員明確自己的崗位職責，實施和保持職責的個人進行溝通；以及在滿足其安全管理要求的重要性、符合方針方面進行溝通；并且當主要負責人不在現場時也能正常運轉；6）公司應確保：有效保障各崗位職責充分的資源條件、動態監督和考核實施有效性的管理機制；7）公司應識別和關注相關方的要求和期望，并采取適當和及時的措施對這些要求和期望進行管理；8）在確保安全管理目標、指標和方案的可行性的同時，公司應考慮安全管理方針、目標指標、方案等可能對組織的其他方面造成的負面影響；9）公司應確保通過任何由組織其他部分形成的安全管理方案完善安全管理體系，如ISO9001:2008管理體系；10）適宜時，確保評價與安全相關的威脅和風險并將其納入組織的威脅和風險評價中，如，按控制文件要求，定期或及時組織開展對供應鏈安全風險和威脅進行評價的活動；11）當內外部風險過程的要求、部門或人員的崗位增加、法律法規新要求等情況變化時應對各崗位職責進行評審，判定其適宜性，必要時進行修訂或完善。4.7供應鏈風險識別與評價1).應以公司所有的供應鏈安全相關的服務活動全過程，識別與各項活動有關的所有威脅，考慮存在的風險和潛在的風險隱患；2).業務活動內容包括：服務的提供、安全技術防范、人員及資質、資金管理、信息管理等；3).對安全威脅和風險識別、評價和控制方法應與公司的特性、運行規模相適宜；4).評價活動應考慮到某個事件及其所有后果的可能性。包括：a)客觀失效的威脅與風險，如功能失效、附帶損壞、惡意傷害、恐怖分子或犯罪行為；b)作業的威脅和風險，包括安全控制、人為因素和其他影響組織績效、條件或安全性的活動；c)自然環境事件(風暴、洪水等)致使安全措施和設備失效；d)超出組織控制的因素，如外部供應的設備和服務失效；e)相關方的威脅和風險，如未能滿足法規要求或對名譽、品牌的影響；f)安全設備的設計和安裝包括更新、維護保養等；g)信息、數據管理和溝通；h)對運行持續性的某種威脅。5).組織應考慮到這些評價結果和控制的效果，適宜時，為以下內容提供輸入：a)安全管理目標和指標；b)安全管理方案；c)設計、運行和安裝要求中的規定；d)識別足夠的資源，包括全員的水平；e)識別培訓需求和技巧(見4.4.2)；f)強化運行控制(見4.4.6)；g)組織總體的威脅和風險管理框架；6).組織應記錄并保持以上信息的更新。7).組織對威脅和風險識別和評價的方法，應：a)依據風險的范圍、性質和時限進行確定，以確保該方法是主動性而不是被動性的；b)包括收集與安全威脅和風險相關的信息；c)提供威脅、風險和識別的分類，使之能被規避、消除和控制；d)規定對所要求的活動進行監視，以確保其及時有效的實施(見4.5.1)。4.8法律法規及其他要求4.8.1目的建立獲取法律法規及其他要求的渠道，以便及時獲取、識別并更新公司供應鏈安全風險和威脅控制的適用的法律、法規及其他要求。4.8.2適用范圍本程序適用于公司獲取、更新供應鏈相關的法律、法規和其他要求以及適用性確認。4.8.3職責4.8.3.1行政部：1)負責適用的法律、法規、標準及相關要求的識別、獲取和更新，并填寫公司《適用的法律法規與其他要求清單》，將信息傳遞到各相關部門，并確保實施。2)負責法律、法規、標準和相關要求的發放及歸檔管理。4.8.3.2各部門負責將本部門適用的相關法律、法規和其他要求傳遞給員工并遵照執行。4.8.3.3管理者代表：負責法律、法規適用性審批。4.8.4工作程序4.8.4.1法律法規及其他要求的獲取范圍4.8.4.1.1與供應鏈相關的基本法律1)供應鏈相關的基本法律：《公司法》、《民法通則》、《合同法》、《票據法》、《對外貿易法》、《進出口商品檢驗法》、《保險法》、《海商法》、《中華人民共和國安全生產法》等法規；2)與供應鏈安全生產相關的基本法律:《中華人民共和國道路交通安全法實施條例》、《消防法》等；3)與供應鏈爭議相關的法律：《民事訴訟法》、《仲裁法》、《海事訴訟特別程序法》等；4)與供應鏈安全有關人為風險相關的法律：《刑法》等；5)與供應鏈安全有關自然環境風險相關的法律：《防洪法》等；4.8.4.1.2與供應鏈活動相關的法規1)與安保環節相關的法規：《中華人民共和國治安管理處罰法》等；2)與配送環節相關的法規：《中華人民共和國道路運輸條例》等；3)與國際公約及規則相關的法規：《海牙規則》等；4.8.4.1.3與供應鏈安全活動相關的法規1）與供應鏈活動有關設備和設施風險相關的法規：《廠內機動車輛安全管理規定》、《機動車運行安全技術條件》、《工業企業廠內運輸安全規程》、《特種設備安全監察條例》、《電力設施保護條例》等；2）與供應鏈活動有關消防安全風險相關的法規：《機關、團體、企業、事業單位消防安全管理規定》、《消防監督檢查規定》等；3）與供應鏈風險有關應急措施相關的法規：《生產經營單位安全生產事故應急預案編制導則》等；4）與供應鏈有關安全生產風險相關的法規：《倉庫防火安全管理規則》等；5)與供應鏈安全有關自然環境風險相關的法規：《防汛條例》等；6)與供應鏈風險有關反恐斗爭相關的法規：《廣州市社會治安綜合治理條例》等；7)與供應鏈安全有關財務風險相關的法規：《支付結算管理辦法》、《企業會計準則》及其通則、《稅收征收管理法》等；8)與供應鏈信息安全相關的法規：《計算機信息系統安全保護條例》等；4.8.4.2法律法規及其他要求的獲取途徑1)行政部/各相關職能部門通過安保行業協會、網絡、相關方及其他途徑獲取相關法律法規與其他要求的文件予以補充。2)各相關職能部門通過國家、地方及行政主管部門（如：勞動局、工商局、環保局、勞動安全局、消防大隊等部門）獲取相關法律法規與其他要求的文件。3)行政部/各相關職能部門保持對相關法律法規與其他要求變化的及時跟蹤。4.8.4.3法律法規及其他要求的識別確定、轉化和發放1)各部門對收集到的法規和其他要求逐一確定其適用性并報行政部。2)行政部負責對收集到的相關法規和其他要求進行識別確定、轉化，以明確其適用性。3)行政部對收集到的法規和其他要求匯總后制定公司《適用的法律法規與其他要求清單》，經管理者代表審批后發送各相關部門，法律法規和其他要求文件的發放、保存執行《文件、數據和信息的控制程序》相關規定。4.8.4.4法律法規及其他要求的更新1)若有法律法規與其他要求更新或廢止時，對更新的法律、法規與其他要求應重新進行識別和轉化，并審批其適用性。2)當法律法規及其他要求文件需要更新或增加時，行政部及時修正補充《適用的法律法規與其他要求清單》，并將新的法律法規補發至相關部門。3)對過期或作廢的法律法規與其他要求的文件，行政部應及時收回，按《文件控制程序》相關規定進行處理。4.8.4.5法律法規及其他要求的管理1)行政部將公司的相關法規文件、資料每年整理一次，進行適當的評審和歸檔。2)涉及相關方要求的要及時通報給相關方。3)行政部每年進行一次法律法規、標準及其他要求的獲取工作，同時進行完成對公司與法律法規及其他要求具體條款的符合性的評價工作，并寫出相關符合性的報告。4.8.5相關活動記錄：《適用的法律法規與其他要求清單》4.9能力意識和培訓4.9.1目的對承擔供應鏈安全管理體系影響的人員規定相應崗位的能力要求，并進行培訓以滿足規定要求。4.9.2適用范圍適用于承擔供應鏈安全管理體系規定影響的所有人員，包括臨時雇用的人員，必要時還應包括第三方人員進行培訓或其他措施的控制。4.9.3職責4.9.3.1行政部1)負責組織編制各部門負責人和供應鏈安全管理體系規定影響的所有人員的《崗位職責》；2)負責組織編制《年度培訓計劃》及監督實施；負責員工上崗基礎教育和考試或考核；3)負責組織對培訓效果進行有效性評估；4)負責保存培訓記錄。4.9.3.2各部門1)負責編制本部門員工《崗位職責》并匯總至行政部；2)負責組織本部門員工的崗位技能培訓。4.9.3.3總經理批準公司《崗位職責》和《年度培訓計劃》。4.9.4工作程序4.9.4.1能力意識和培訓4.9.4.1.1對員工崗位能力的確認1)應識別和確認從事影響供應鏈安全活動的人員的能力，制定出必要的《崗位職責》；2)根據《崗位職責》內容，合理配置勝任上崗人員。4.9.4.1.2培訓計劃或其他措施1)培訓方式：主要有以下幾種，但不限于此：可采取公司/部門內培訓、委外培訓等；2)供應鏈安全知識培訓應至少包括供應鏈安全基礎知識、供應鏈安全風險有關的法律法規、ISO28000標準、供應鏈安全風險和威脅的識別和控制、應急響應和恢復計劃內容的培訓等等；3)行政部于每年12月底制定下年度的《年度培訓計劃》，報管理者代表審核、經總經理批準后下發各部門，并監督實施。4）每次培訓各相關部門應填寫《培訓記錄表》，記錄培訓人員、時間、地點、培訓內容等，培訓后將有關培訓記錄等交公司行政部備案。5）對每次培訓活動，通過口試、筆試和實際操作等方法，由培訓人員在《培訓記錄表》上評價培訓的有效性，評價培訓的效果。6）因工作需要或應有關上級相關部門的要求，須外出培訓的，應填寫《計劃外培訓申請表》，必須經本部門經理確認，報行政部審核、總經理批準；培訓結果應由公司行政部存檔。7）行政部在適當時與當地公安部門聯系，組織進行對員工的5年以內的犯罪歷史核查活動，其結果，在必要時向總經理報告，最后仍由行政部負責存檔。8）行政部應為任何符合要求的員工配備：印發和佩戴帶有照片的工作證件（清楚其部門和工作崗位等內容）。9）獲準出入的員工在重要或敏感的區域應獲得經批準的門禁卡。4.9.4.1.3培訓計劃或其他措施實施應達到的意識a)符合安全管理方針、程序以及與符合和安全管理體系要求的重要性；b)在實現安全管理方針、程序以及和安全管理體系要求符合性方面的作用與職責，包括應急準備和響應方面的要求；4.9.4.2培訓記錄1)公司行政部負責建立、保存員工的經歷、教育和培訓檔案、記錄；2)各部門負責保存本部門員工的培訓記錄，不定期向公司行政部備案一次。4.9.5相關活動記錄1)《崗位職責》2)《年度培訓計劃》3)《計劃外培訓申請表》4)《培訓記錄表》4.10溝通4.10.1目的為確保公司有關的安全管理信息在相關的員工、合同方和其他相關方之間得到及時溝通，促進安全管理體系的適用性和有效性，尋求持續改進機會。4.10.2適用范圍適用于對供應鏈安全管理體系內部與外部信息的溝通和交流管理。4.10.3職責4.10.3.1行政部1)負責公司供應鏈安全管理體系內部與外部信息的統籌管理；2)負責與上級和行業主管部門以及相關方信息的接收、傳遞與處理；3)負責建立信息庫，保存和管理相關的信息； 4)負責監督處理公司內部以及相關方信息的問題總的協調工作。4.10.3.2各部門1)負責工作范圍內信息的傳遞與溝通；2)負責并監督本部門內部、以及與合同方和相關方信息的接收、傳遞與處理。4.10.3.3管理者代表：負責對供應鏈安全信息的傳遞和處理進行總的監督。4.10.4工作程序4.10.4.1信息和溝通4.10.4.1.1內部信息范圍1)內部管理制度、相關法律法規的信息和傳遞；員工有關供應鏈安全管理方面的建議和要求；2)運送、信息流和資金流所涉及的信息可能是：貨物單據、庫存信息、批量和系列號、盤點情況、運輸安排、在途數據、貨運金額、發貨/到貨地址、財務報表、現場測量和監控記錄等等；3)體系運行信息，包括：向員工傳達管理方針、目標，方針（目標）完成情況、內部審核與管理評審報告以及糾正和預防措施的驗證結果等；4)各部門之間供應鏈安全相關的聯系和口頭或書面溝通內容；5)違反供應鏈安全規定的行為或產品和服務（包括潛在）的信息，如體系內部審核的不合格報告、供應鏈安全事件或失效情況、糾正和預防措施等；6)作業場所及生產和服務活動中的供應鏈風險隱患、分析報告和風險控制措施等；7）應急預案和恢復計劃等緊急信息，包括出現重大生產和服務緊急事故及重大安全事故、火災等情況下的信息與記錄；等等。4.10.4.1.2外部信息范圍1)外部機構信息：包括如銀行、保險、稅務局、工商局、公安局、行業協會、認證機構等檢測的或檢查結果及反饋的信息（各種單據、報告、文件或簡訊等）；2）供應鏈及安全政策法規標準類信息：如法律、法規、條例、生產和服務標準等；3）相關方（顧客、外部安保商、供應商等）反饋的各種信息（各種單據、庫存信息、批量和系列號、盤點情況等）及其投訴等；4）其它外部信息：如各部門直接從外部獲取的有關供應鏈安全管理等方面改進技術的信息等；5）外部合約方有關供應鏈安全管理方面的檢查、參觀或訪問情況介紹等信息；6）對外電子信箱、賬號、電子網頁等。4.10.4.1.3關鍵數據和敏感信息范圍關鍵數據和敏感信息：是指在供應鏈安全體系運行中若出現某些信息或數據一旦出錯或失密等，會造成組織或相關方有加大的損失的狀況；但不僅限于以下內容：如，庫存狀態、計劃、運輸安排、在途數據、貨運金額、發貨/到貨地址、供應鏈安全事件或失效情況等等；4.10.4.2信息交流方式1)信息可采用口頭、電話、書面資料、記錄、討論交流等溝通的工具或方式予以收集和傳遞等；2)信息收集和傳遞還包括充分利用電子郵件、互聯網、電子數據交換（EDI）等技術手段。4.10.4.3信息收集和處理4.10.4.3.1內部信息收集和處理1)正常信息的處理：各部門依據相關程序文件和規定進行直接收集并傳遞日常正常信息；2）其它內部信息，提供者可以反饋給主管部門進行處理。 4.10.4.3.2外部信息收集和處理1）各部門根據運行需要進行直接收集并傳達與供應鏈安全相關的外部信息；2）收集的外部信息由提供者反饋主管部門進行處理。4.10.4.3.3關鍵數據和敏感信息收集和處理1）公司內部在任何情況下，不得向企業外部透露任何關鍵數據和敏感信息。若因工作需要，事先須在與授權方的合同或合作協議中，明確雙方的交換信息的內容和保密事項的條款。2）公司內部工作人員必須按照合同和合作協議的要求嚴格執行，同時傳遞信息的內容必須至少事先得到公司管理者代表的批準。3）若公司人員違反信息保密規定，造成的后果將追究法律責任。4.10.4.4信息數據庫的建立4.10.4.4.1信息數據庫的建立和應用1）行政部負責建立公司的信息庫，不斷匯集各方面反饋回的信息，按照信息載體的不同（如紙張、磁盤、光盤等），提供相應適宜的環境分別存放，統一保存。2）行政部提供各部門所需信息相應的拷貝、調閱所需的信息。3）行政部負責組織各部門對上述各類信息進行歸納、分析，尋找體系持續改進的機會。4.10.4.4.2信息的歸檔與保存1）各部門做好信息的接收、傳遞、分類存檔工作。2）行政部作為信息控制中心，應做好信息保存管理工作，確保信息的完整、可靠和可用。3）對體系運行過程中各類記錄的控制，詳見《記錄控制程序》。4.11文件和數據控制公司建立并保持《文件控制程序》，目的：a.規定文件、數據和信息的授權查找和訪問人；b.對公司供應鏈安全管理體系文件的編制、評審、批準、發放、使用、更改、再次批準、標識、回收和作廢等全過程進行控制和管理，文件規定應與實際運作保持一致，隨著供應鏈安全管理體系的變化及方針、目標指標的變化，應及時修訂體系文件，定期評審，確保有效性、充分性和適宜性；c.確保文件使用場所及時獲得文件、數據和信息的現行版本，使對于安全管理體系有關鍵作用的操作得以執行；d.確保作廢文件、數據和信息盡快從所有發布點和使用點上去除，防止非預期使用；出于與法律有關或（和）查閱保存目的，需要保留某些文件、數據和信息時，應作出適當標識；e．確保外來文件是公司所確定的供應鏈安全管理體系策劃和運行所必須的，外來文件應根據不同用途，由相關部門收集、并對法律法規的符合性作出評定，以確保使用最新版本的文件。f.確保供應鏈安全管理體系相關的文件、數據和信息應是安全的，如果是電子形式的文件應進行充分備份和能夠得到恢復。4.12供應鏈安全風險和威脅的控制4.12.1目的為了有效的對公司供應鏈安全風險和威脅進行控制管理，確保其安保服務、信息流和資金流的提供過程按照規定的要求進行有效控制。4.12.2適用范圍適用于對公司供應鏈實現的全過程，以及適當對所涉及相關方供應鏈過程的管理和控制。4.12.3職責4.12.3.1管理者代表負責組織對公司供應鏈安全風險和威脅控制的管理工作的督導檢查工作，負責審批相關規范、規定等管理控制文件。4.12.3.2行政部1)負責組織和建立健全供應鏈安全風險和威脅控制的管理規章和制度；2）負責組織對公司的供應鏈安全風險和威脅控制工作進行管理、監督和考核；3)負責組織制定供應鏈安全管理目標指標，編制現場相關供應鏈安全管理制度和有關的供應鏈安全技術措施；4）負責監督現場供應鏈安全管理制度和供應鏈安全作業技術措施的實施；5）負責組織對公司設備的安全運行的監督和檢查。4.12.3.3各部門負責本單位供應鏈安全風險和威脅的控制具體措施和規定的實施，對員工適當地進行實施情況的檢查。4.12.4工作程序4.12.4.1供應鏈安全風險和威脅控制措施4.12.4.1.1供應鏈安全風險和威脅控制措施的依據：1)安全管理方針、管理目標指標、安全管理方案；2)安全風險和威脅識別與評價的結果、以及控制措施；3)相關的法律、法規和其他安全要求；4)供應鏈安全所達到的具體要求和程度等；4.12.4.1.2供應鏈安全風險和威脅控制措施的制定要求：1)組織對已識別的風險建立文件化的控制程序，以確保重點控制或減少那些可能因失效導致事件、突發事件、或其他偏離供應鏈安全方針和目標的情況帶來的風險（包括那些由合同方、其他從供應鏈業務伙伴帶來）；并定期評審文件的適用性和有效性，并在必要時進行修改。2)充分評價上游對供應鏈的風險性，采取控制措施以減少對組織在接受貨物過程中的安保、信息流、資金流的風險和威脅，以及減少對其下游供應鏈合作者的影響；如，在采購、接受貨物前，應明確相關的法律、法規要求和自身的供應鏈安全要求；并采取多供應商的平行策略；3）對供應鏈安全風險性的控制內容，應包括與供應商和合同方進行保持溝通的要求。4)應考慮風險可能適當會擴展到下游方或其他外部相關方的作業場所或控制區域的情況。5）從供應鏈安全風險控制的措施或方案，應盡量從設計的角度、設備或儀表的選型安裝等考慮降低或消除風險等。包括改進或完善供應鏈數據處理的信息系統。6）當公司出現：a)組織機構、作用和職責的變化；b)安全管理方針、目標、指標或方案的更改；c)專業過程或程序的修訂；d)引入新的基礎設施、安全設備或技術,包括硬件和軟件；e)適用時，當有新的合同方、雇員、供應商進入等時；公司應在實施前，考慮其對相關的安全威脅和風險影響，并對其管理文件進行適當修改或完善工作。7）針對各供應鏈安全風險和威脅，其控制方法可以是預防、減輕、轉移、回避、自留、后備等措施。4.12.4.1.3公司在工作中經常所遇情況為“新的合同方、雇員、供應商進入時”，具體應考慮：當有新的合同方、雇員、供應商進入時，信息流的保密性是重要的控制內容，并在相關的合同或協議中明確；4.12.4.2對相關環節供應鏈安全風險和威脅的控制管理要求相關環節門衛保安安檢區域人員放行貨物放行設備設施現場區域人員信息管理系統合同安全財務風險與審計安全程序預警增強安全安保安全√√√√√√√√√√√√人員安全√√√√√√√√√√貨物安全√√√√√√√√√信息安全√√√√√√√√資金安全√√√√√√√√√√4.12.4.3安全風險和威脅的具體控制管理要求4.12.4.3.1門衛守護的安全要求1)對客戶單位出入口進行值守、驗證、檢查登記，維護客戶安全；2)實施對安保的提供方或供應商進行考核，并能滿足相關合同要求；3)對出入人員、車輛及其攜帶或裝運的物品進行查驗，防止客戶單位財物流失及違禁物品流入；4)指揮、疏導出入車輛，維護出入口的正常秩序；5)及時發現不法行為，截獲贓物，做好安全防范工作；6)協助客戶單位做好來訪人員接待工作。7）對特定目標進行看護和守衛，保護客戶安全；8）維護守衛區域內正常秩序，防止無關人員進入守衛區域；9）做好防火、防盜、防搶、防爆炸、防治安災害事故的措施；4.12.4.3.2保安的安全要求1)對特定區域、地段或目標進行巡視檢查、警戒，保護客戶安全；；2)對正在發生的不法侵害行為，及時采取措施予以制止，將不法行為人送交公安機關或有關部門處理；3)檢查、發現、報告并及時消除各種安全隱患。防止火災、爆炸等災害事故，防范搶劫、盜竊等不法行為；4)對已經發生的不法侵害案件或治安災害事故，及時報告客戶單位有關部門或公安機關，并采取相應措施保護現場。4.12.4.3.3車輛管理的安全要求1)指揮車輛按指定位置正確停放，禮貌提醒車主鎖好車門窗，調好防盜報警系統，隨身帶走車內貴重物品；2)發現車輛外表有破損現象，應通知車主，做好記錄以備檢查；若是在車輛停放時發現，須請車主簽名確認；3)不準閑雜人員進入臨時車位或在他人車輛旁停留；4)保證車位良好的衛生清潔環境，不準在車位上洗車，車上垃圾不得掉于地面，不準漏油、漏水。4.12.4.3.4辦公區域的安全要求1)公司內部人員進入辦公進入點時有制度規定，并能嚴格執行；2)訪問者或其他人員進入辦公進入點時也有制度規定并能嚴格執行；3)進入特別狀態所涉及的辦公地點時，確保只允許授權的公司內部人員或訪問者進入；4）進入財務、數據信息區域等辦公地點，除允許授權人員外，其訪問人員進入時也需有其公司授權人員的陪同；5）誰保養、誰檢修、發現異常隨報告，確保辦公設備整潔、運轉正常、性能可靠6）嚴格遵守安全操作規程和各項規章制度；7）正確使用辦公設備和防護用品，積極預防事故的發生；8）落實公司有關規定，對員工進行安全宣傳、安全教育。4.12.4.3.5儲存的安全要求1)公司有貨物儲存管理程序和制度文件規定，有專門的人員進行控制和管理；2)倉儲區域按國家相關安全法規，建立消防和防盜安全管理制度；并嚴格執行，及時完成檢查記錄；3)按國家相關產品儲存安全的法規，建立貨物管理制度，能控制貨損、貨差，及時完成相關記錄；4)建立運行數據的日報制度，能進行計算機統計；5)建立定期盤點管理，及時處理貨損和平衡賬目；）6)裝卸保安設備作業效率高，能達到所有的位置，機械化程度高；7)計量設備（地磅）能正確方便使用，并經周期校準，定期年檢；8）按照文件規定進行保養、檢查設備，滿足庫房儲存條件；能正確地方便操作。9）倉儲計劃的安排與倉儲空間和資金流動合理性良好。4.12.4.3.6貨物放行的安全要求1)公司建立有貨物放行方面的管理制度，并實施有效管理；2）滿足貨物放行條件時，遵守相關程序和規定，并完成書面和簽字手續等，保留其各種憑證。4.12.4.3.7設備設施的安全要求1)確保通訊設備和預警設備設施使用安全，并納入組織中重點設備進行專人維護保養等管理，并適當提供其活動證據；2)運輸車輛有接收GPS定位設備或必要時的視頻設備良好；3)在擁有圍欄、足夠光照和有守夜值班巡視人員等安全措施的停車場過夜停車；對集裝箱門鉛封完好并采取對靠臨墻體的泊車方式等安全措施。4)由繞行、堵車、侵襲、災害天氣等引起的延誤須立即向公司基地報告；5)交通工具失靈、人員生病等意外事故應向公司報告并立即檢查原因；6）管理設備，實施計算機自動化管理，建立了自動監測，保證設備安全，定期備份關鍵數據。7）庫房的設施設備完好，配置了貨物管理需要的倉庫、貨架、裝卸設備；通道平整完好；8)倉儲區域按國家相關安全法規，設置消防和防盜安全設備設施；按照貨物特性的防護要求，防潮、避光、防盜、防洪、防雷擊等，包括必要時設置必要的溫度、濕度等運作良好的控制系統；9）倉庫場所墻體和房頂的所有窗口和其他開口被保護；其所有保護或延遲用暴力工具進入或被車輛撞擊的足夠堅固設施；外部墻有抗穿透設計，能夠抵抗破壞建筑材料的工具切鑿捶撞；倉庫有加固的出口門（鋼門和框架或相配的替代品）；10）所有裝卸、保安、分揀、堆垛、倉儲場所區域及外部均覆蓋有閉路電視監控系統，以覆蓋交通工具和個人的工作行為；11)閉路電視系統能夠觀察到裝卸、保安、分揀、堆垛、倉儲場所區域的所有側面。12)對所有倉儲設備設施配置是否按規定要求定期進行維護活動，并適當提供其活動證據。4.12.4.3.8現場區域的安全要求1)公司現場區域開展了5S管理；從辦公到現場之間相關路徑沒有堵塞情況；2)安全防護設施齊全，定期檢查。3)所有產品或貨物的裝卸保安、倉儲場所應完好，在必要時的相關產品和貨物的可移動或非移動標志和標識、以及地面必要的區域標志線劃分；場地警示標識或警示語符合相關產品或貨物的安全性要求；必要時，劃出警戒區域；4)裝卸保安場所須有防盜、消防器材、防雷擊和必要時的防雨淋等措施。5)所有裝卸、運輸、分揀、堆垛、倉儲等相關設備設施不存在影響產品或貨物安全質量的部分（如，尖銳金屬角、磁場等）。6)所有圍繞裝卸、運輸、分揀、堆垛、倉儲等工作區域符合《工業企業照明設計標準》的工作場所作業面上照度標準值的照明。7)夜晚時，裝卸、運輸、分揀、堆垛、倉儲等工作場所的外部被照射。8)所有圍繞裝卸、運輸、分揀、堆垛、倉儲等工作區域有支持高質量閉路電視成像和錄像的外部和內部燈光水平。9)對公司內重大的風險點或區域有符合法規要求的相關標志或警示語。10）公司授權的員工或陪同人員準許進入產品或貨物的裝卸、運輸、分揀、堆垛、倉儲區域有制度規定，并能嚴格執行；11）在正常包裝操作時間以外，所有室內裝卸、運輸、分揀、堆垛、倉儲場所門關閉并上鎖；露天集裝箱存放采取對靠臨墻體或箱門抵門的方式，均有24小時保安人員值班巡邏。4.12.4.3.9對人員的安全要求1)公司所有員工或臨時工人的雇用和終止有書面合同；公司員工需要印發和佩戴帶有照片的工作證和必要時的門禁卡，其通訊和聯絡方式清楚，并有保障條件和措施。2）公司相關的人員（如，財務、重要數據/信息管理、接近貨物等）是否有5年以內的犯罪歷史核查（依賴于本地法律的適用性）結果；外來訪問者必須經批準和佩帶胸牌，有相關人員陪同等措施；3)至少擁有兩年的運輸/安保相關經驗，駕駛資質和經驗與車輛種類相對應；4)未授權人員不允許進入貨物倉儲區域；5)發現未授權人員進入倉儲區域阻止未果，及時報告公司行政部門或當地執法機構；6)公司能提供詳細的對所有保安、門衛、檢驗、運送人員進行正確工作指導培訓；7）有書面記錄相關員工參加安全認知培訓及后續演習的情況；8）公司應提供防止搶劫響應培訓計劃，細化當人員（如，財務、司機）受到相關威脅時的安全和解救方法；9)必要時，雇員、分包合同工人在終止流程中其工作卡、門禁卡、鑰匙和其他敏感信息的收回工作；10)必要時有對終止的員工進入公司重要數據區域保護系統的流程；4.12.4.3.10信息/票據管理系統的安全要求1)所有信息設備設施配置和軟件工具等是否符合組織供應鏈安全管理風險控制要求相匹配，如電腦、打印機、復印機、電話、傳真機、GPS衛星導航或跟蹤系統、互聯網絡等；2)所有信息設備設施配置和軟件工具等是否有專人管理和及時登記與更新；3)存放電子媒體的信息設備設施安放場所（貯存、保護等）是否完好，包括房屋及周圍無震動源、工作間噪聲≤70dB、無磁場、無潮濕、防盜、消防器材和防雷擊等；4)所有存放紙張媒體的信息設備設施場所（貯存、保護等）是否完好，包括房屋及工作間噪聲≤70dB、無潮濕、防盜、消防器材和防雷擊等。5)同運輸工具駕駛人員有清楚和明確的通訊及聯絡方式；6)使用GPS或可替代跟蹤系統跟蹤運輸工具具備良好的跟蹤和尋跡效果；7)對所有信息設備設施配置和軟件工具等是否按規定要求進行維護活動，并適當提供其活動證據；8）對于公司授權的員工或訪問者持有書面信息或單據在交接到組織相關管理人員手中時，能夠第一時間內進行準確和正確性的核對，若有不符合情況，應及時報告，或更換正確內容和數據要求；9）有文件規定電子和數字文獻記錄應防止篡改的規定內容，并嚴格進行安全備份和僅允許由授權人員進入規定；10）順暢有序的內部信息可以利用電話、紙張文件和單據、傳真、面談、電子郵件、互聯網和Internet等技術手段進行信息溝通和充分交流；11）各信息以紙張、或電子媒體等形式存在，并以適當的形式（如名稱、編號、順序號或符號等）進行標識，特別是對敏感信息，以及可追溯性要求的信息；信息控制文件中應規定各種信息的保存期限，應規定各種信息的處置方式、時機和部門。4.12.4.3.11合同的安全要求1)公司規定合同簽訂過程應有法律顧問參與，對合同文本、條文的文字表述等提供法律保障支持，防止合同欺詐風險。2)公司規定對各類別經營合同簽訂之前實施合同評審，并對簽約方實施資信調查、分析和風險評估，以減少合同方信譽風險。3)公司規定有合同文件管理制度，要求管理人員若在發生合同文本被失竊、或失密、或非法轉移時發生時應對方法和步驟，降低或消除書面合同文本丟失風險。4)公司規定有依據電子信息安全的要求，實施對電子合同的管理內容，防止出現失密風險。5)公司對擬制合同的簽訂、履行過程中遭遇詐騙行為時有應急措施，減少或消除金融詐騙風險。6)公司有針對合同違約時的應急預案和恢復計劃，減少或降低違約風險。4.12.4.3.12財務風險與審計的要求1)公司建立了資金安全管理制度，包括制定國家銀行規定的支付、轉賬、票據管理要求。2)建立了財務系統的計算機管理，有保密等安全措施。3)配置了現金、重要財務印章、財務票據管理的保險設備。4)收款票據（支票、匯票），按照要求傳遞和管理。5)已收款和應收款賬目清楚，定期核帳；開展定期的銷售賬目核算和分析。6)公司有對現金的使用范圍、庫存現金限額、坐支現金現象、保存賬外公款現象作出限定條款規定，減少或降低現金結算風險。7)公司有對電匯信用、欺詐等情況時如何確保合同方資信的內容，減少或消除涉及欺詐、信用風險作出規定。8)本組織有對如何降低合約方可能出現的拒付贖單、銀行不承擔單據真偽辨識出現的風險情況作出規定，減少或消除付款交單、托收風險。9)公司有對如何選擇和評估高資信度合作銀行（包括外資銀行）作出規定。10)公司有對如何鑒別票據真偽、防范票據風險作出規定，減少或降低假票據、假簽章風險。11)公司有對如何確保結算憑證的真偽的識別作出規定，以消除偽造存款支取憑證騙取資金的情況，降低支付風險。12)公司有對如何提高從事財務工作的人員作出規定，以減少或消除人員不足、專業知識欠缺風險。13)公司有應對因經濟環境、法規政策環境、市場環境的影響帶來的匯率變化，對外匯使用進行預測并確定規避措施內容。14）公司有建立和實施相關資產管理制度，防止導致公司資產，如設備、存貨其他資產的使用價值和變現能力的降低和消失等風險出現措施。15）組織有建立內、外部審計機制制度，在其明確審計組織機構、審計人員職責、審計范圍和項目、審計時機及審計結果處理等內容。4.12.4.3.13安全程序要求1）保持運輸工具的生產商所規范的書面保養程序。2）在保安、巡邏、運送過程中，使用配送車等具體移動設備設施，是與人員或貨物的性質和特點相符，并在相關文件中事前明確得到規定。3）對自有運輸車輛或運送工具進行安全管理，制定安全責任制，有車輛安全管理制度或運輸過程的安全管理制度。對外包車輛，制定了資質審查、車輛安全審查和人員安全審查制度；必要時，包括規定押車管理制度。4）公司有安全保衛、運送的管理程序、制度、安保說明書或操作規范；針對不可控風險應有相關安保說明書或操作規范、以及應急預案的規定要求。5)司機進入在所有裝載/卸載操作現場，均需征得同意的規定辦法；有限制公司人員、訪問者以及相關方接觸產品或貨物的規定；6)具備有關車輛在途管理控制制度或規定；有控制駕駛人員違反交通安全法規的具體措施制度；7)具有相關人員搜集/遞交貨物票據等文檔查證，以及在裝載的正式地點處運送和接收人員姓名的查證的規定；8)必要時有防止丟失的移交文檔的流程規定；9)有倉庫區域發生緊急事故（如，火災、斷電等）和信息系統發生癱瘓等事件的應急措施以及恢復計劃等規定；10）對公司內重大的風險點或區域有管理程序或制度；11）公司有供應鏈安全信息控制程序，以確保在相關的員工、合同方和其他相關方中得到溝通。4.12.4.3.15預警的安全要求1)必要時，對電子信息應有在發生被失竊、或失密、或非法轉移時的預警能力。預警地在2小時內能夠確認其發生原因，檢查報警細節是正確的。2)對紙張信息應有在發生被失竊、或失密、或非法轉移時的及時報告能力。發生地在4小時內能夠確認其發生原因，檢查報告異常情況細節是正確的。3）規定其預警時檢查細節的授權人員，有書面報告的要求。4.12.4.3.16增強安全要求1)為保安及巡邏、門衛及其他安保人員提供減少風險的安全知識和響應培訓。2）公司應詳細規定，相關管理人員在接收到書面或電子信息，或單據時，應能夠在第一時間內進行判斷其準確和完整性的內容要求；若有不符合情況，應有及時報告、或更換正確內容和數據的步驟或方法。3）公司應詳細規定，在信息管理員在得到信息若在發生被失竊、或失密、或非法轉移時響應的培訓要求和步驟。4.12.5相關活動記錄1）供應鏈安全運行控制的各類會議紀要或策劃措施、文件等2）運行控制記錄見具體各類運行控制記錄包括：數據報告、貨物單據、財務票據等；4.13應急響應和恢復4.13.1目的為確保公司供應鏈管理過程中對各種意外和突發事故、事件和潛在的緊急情況發生時采取有效的應急響應和恢復等措施，盡可能地降低或減少可能的資金、信息、安保等方面損失和其他傷害。4.13.2適用范圍適用于公司所涉及的所有可能發生的意外事故、事件和緊急情況。4.13.3職責4.13.3.1行政部1)負責組織相關部門制定重大供應鏈安全事故的應急響應預案和恢復計劃，并進行監督檢查；2)負責應急設備設施的配備和維護、保養。3)負責發生緊急突發情況時的統一指揮，以及應急時與各職能部門和外部機構的聯絡；4)負責組織對應急演練后進行評價,或緊急事故情況發生后所采取的糾正措施進行驗證，并向管理者代表提出改進建議和完善相關具體的應急響應預案和恢復計劃；5)負責保存較大以上供應鏈安全事故處理的記錄。4.13.3.2管理者代表負責該應急響應預案和恢復計劃的審批；4.13.3.3總經理1)負責成立公司應急響應預案和恢復計劃的指揮領導小組；2)負責該應急響應預案和恢復計劃相關資源配備的審批；3)負責重大應急現場和恢復計劃的統一指揮工作。4.13.3.4各部門負責制定相關的應急預案和恢復措施，可行時,按照要求完成應急演練活動。4.13.4工作程序4.13.4.1應急響應和恢復計劃的作用1）公司應積極準備在由供應鏈運行因貨運事故、災害、生產計劃的突然改變等因素所導致的突發性事件（如，貨物滅失、貨物延期到達等）情況下，迅速及時地保障供應鏈暢通的策劃、準備、預警、處置和恢復措施；2）安全恢復在供應鏈安全管理應急方面將是一個很重要的要求；在相關的安全恢復程序中必須予以明確；其應包括供應鏈安全恢復、數據保護和設施保障等活動；4.13.4.2應急響應和恢復計劃的范圍4.13.4.2.1識別潛在的事故和緊急情況1）自然災害：主要包括水澇災害、地震、海洋災害、大霧、暴雨雷電、冰雪天氣等災害等；2)運營事故災難：主要包括公司范圍內的較大以上的各類安全事故、交通運輸事故、設施設備事故(包括信息系統癱瘓等)、突發性火災、突發性斷電等；3)社會安全事件：主要包括恐怖襲擊事件、貨物偷盜安全事件等；4）合同簽訂過程/履行過程中遭遇詐騙；5）其他事件：如就餐集體中毒等。4.13.4.2.2對應急響應和恢復計劃的職責規定規定在各相關緊急突發情況時的負責人員，和具有特定角色人員的職責、權限和義務、電話號碼等（至少涉及供應鏈安全領導小組和工作小組成員、應急小組、救護小組等）；4.13.4.2.3應急設備和器材1)確定潛在的事故和緊急情況發生時區域內的應急設備、器材及數量—應急設備清單；（如，報警系統、應急照明和動力、車輛、消防設施、急救設施等等）；2)規定保證充足的提供要求；3）按時定期對其檢查或測試，以保證緊急情況的有效使用。4.13.4.2.4相關方和外部機構應清晰地明確在緊急策劃和響應中應涉及到的相關方和外部機構（110、公共安全、急救中心、消防安全、商檢方和伙伴方等），明確與其應急機構的名稱、電話和聯絡方式等溝通渠道。4.13.4.2.5應急響應步驟和程序 1）在緊急情況時涉及的全體人員（包括在緊急現場的外部人員）所采取的緊急行動和措施；2）應急響應步驟和程序的編寫原則：簡明準確、具體有效、將損失盡量降低到最低程度（應注意清晰表達：在供應鏈安全識別潛在的事故和緊急情況最初響應者的緊急聯系方式和接口）；4.13.4.2.6緊急情況發生時可利用的必要資料例如《消防器配置、逃生路線及噴淋布控示意圖》、供應鏈安全事件案例材料、關鍵處理數據和記錄；4.13.4.2.7恢復計劃1）清楚地規定供應鏈恢復計劃的步驟和要求；2)明確規定備有車輛和轉運工具、備有貨物、備用人員的投入等；3）與其它供應鏈業務涉及的相關方的接口和溝通要點和辦法，以便得到及時相關的緊急支援；4.13.4.3應急響應和恢復計劃的應急演練1）在適當時，由行政部負責組織對公司級的應急響應和恢復計劃內容進行應急演練，記錄其過程，并對其進行評價,提出改進建議，完善相關具體的應急響應預案和恢復計劃；2）演練安排：可以根據實際情況或進行整個過程，或進行分階段性的內容等。4.13.4.4緊急事故情況發生后的分析、評價與整改1）在緊急事故情況發生后，應由公司行政部負責組織對其應急響應和恢復計劃進行分析（本著“四不放過”的原則）和實際評價，提出糾正措施，向管理者代表提交應急響應和恢復計劃完善和補充內容，落實整改措施并進行驗證和記錄存檔；2）及時補充新的和數量足夠的應急設備和器材配置到規定的區域。4.13.4.5事故處理文件及記錄的存檔由公司行政部負責將相關事故的處理文件及記錄及時報管理者代表審批，并予以存檔保存。4.13.5相關活動記錄《應急響應和恢復計劃應急演練記錄》4.14運行績效的監測和測量控制4.14.1目的對公司涉及供應鏈安全績效進行進行監視和測量，以實現對供應鏈安全管理體系的有效控制。4.14.2適用范圍本程序適用于對公司供應鏈安全管理目標完成情況、運行控制等情況的監視和測量。4.14.3職責4.14.3.1行政部1)負責對各部門供應鏈安全運行控制情況、目標指標完成情況、應急響應條件等進行監督檢查；2)負責組織對供應鏈安全條件、防護措施進行監測；4.14.3.2各部門負責本部門目標指標完成情況匯總及供應鏈安全運行績效數據的監測；4.14.4工作程序4.14.4.1供應鏈安全績效監視和測量范圍1）供應鏈安全運行情況的監視和測量；2）目標指標和管理方案完成情況的檢查；3）法律法規和其他要求遵循情況的檢查；4）應急響應和恢復計劃條件的保持情況；5）對事故、事件進行監測。4.14.4.2供應鏈安全績效監視和測量方法及內容4.14.4.2.1主動的績效測量，應包括下述要求：1）對照法律法規要求，檢查是否符合國家法律法規情況；2）對照各項具體供應鏈安全控制計劃、績效和目標指標及管理方案，檢查其實施效果；3）采取如檢查表的形式，系統檢查各項供應鏈安全方面作業制度執行情況；4）核實相關供應鏈設施設備和場地等的保持情況；4.14.4.2.2被動的績效測量，應確認、報告和調查至少如下事項：1）貨差貨損、延期誤時、信息失密事件等；2）由信息流錯誤造成的貨物和財務損失情況；3）不良的供應鏈安全績效、未實現目標指標及管理方案的情況，和供應鏈安全管理體系運行的惡化、失效、事件、不符合等情況；包括未遂事件和假警報事件等；4）應急措施實施及恢復情況；5）執行法律法規以及規范過程中的失誤或失控情況；6）和其他不良安全管理體系績效的歷史證據；等等；4.14.4.3安全績效監視和測量記錄的要求1）應保持每次完成的供應鏈安全主動或被動監視和測量的記錄。記錄應涉及其抽查、巡視、調查和供應鏈安全管理系統審核等活動的證據；充分記錄其運行的不符合、或重復、或典型的供應鏈安全風險，以便于后面的分析原因、制定采取任何必要的預防措施或糾正措施。2）用于監視和確保供應鏈安全的供應鏈安全設備（如相機、柵欄、門、警報器、溫度計、壓力表等）應列臺帳，唯一識別和控制；對此類設備進行校準和維護，并保存校準和維護活動及其結果的記錄。3)監視和測量記錄的保留時間應滿足法律和公司文件要求的足夠長的時間。4.14.5相關活動記錄1)《運行情況檢查表》2）《公司及各部門目標指標匯總核查表》3）《供應鏈安全運行的失效、事件、不符合檢查表》4.15供應鏈安全管理體系評價的控制4.15.1目的評價公司供應鏈安全管理體系策劃、程序和能力。4.15.2適用范圍本程序涉及供應鏈安全進行定期的評審、測試、報告、培訓、績效評估和演習，及對適用法律、法規的遵守情況及方針和目標指標的符合情況等活動。4.15.3職責4.15.3.1行政部1）負責組織各部門評價公司供應鏈安全管理體系策劃、程序和能力和遵守適用法律法規的符合性；2）負責記錄評價過程的情況，并編制出相關的評價報告；4.15.3.2各部門：參與行政部組織的供應鏈安全管理體系評價活動；4.15.4工作程序4.15.4.1供應鏈安全管理體系評價內容(可包括但不限于)公司應針對供應鏈安全管理體系的不可接收風險和威脅的管理與控制要求，結合下列運行事實情況的過程或結果（即所取得的供應鏈安全管理績效），評價公司供應鏈安全管理體系策劃、程序和能力和遵守適用法律、法規的符合性。1）事件/或威脅報告；2）應急策劃和預案訓練的結果；3）威脅識別、風險評估和風險控制報告；4）供應鏈安全管理體系審核報告，包括不符合報告；5）管理評審報告和措施（見4.6）6）對主要適用法律、法規、行業最佳實踐的具體遵守情況；7）實現目標指標的進程或結果；4.15.4.2供應鏈安全管理體系評價方法和依據管理體系評價活動可采用現場檢查、會議評審、文件審核、檢查記錄等方式進行；4.15.4.2.1定期評價相關管理體系的控制文件的符合性情況，作為評價公司供應鏈安全管理體系策劃、程序和能力活動之一；4.15.4.2.2評價公司是否遵守適用法律、法規的要求符合性，應按照本手冊4.8.4.1“法律法規及其他要求的獲取范圍”相關法律及法規的其他要求的條款規定內容，以書面形式具體進行對照和主要的表述；4.15.4.2.3觀察現場審核不可接收受風險和威脅、其他安全風險管理控制實際情況；4.15.4.2.4與相關人員面談。如，與消防安全管理人員交談，確定其實際的消防器材管理有效性、火災應急預案的準備和獲得方面情況的準確性；再如，與基層駕駛人員交談，確定其實際緊急事件的應急響應的熟悉程度等等；4.15.4.2.5根據對公司的相關風險和威脅分析和控制措施制定與落實情況和結果進行評價。如，供應鏈安全管理體系審核報告、不符合報告、管理評審報告措施、實現目標指標的進程或結果等等；4.15.4.2.6還可通過結合公司的供應鏈相關方抱怨、地方管委會、安全監察部門通報等途徑了解公司控制供應鏈風險和威脅的實際情況，從而作為評價公司對管理體系有效性進行評價的依據之一。4.15.4.3供應鏈安全管理體系評價周期及頻次1)在公司每年進行管理評審之前，對公司供應鏈安全管理體系進行評價其策劃、程序和能力；2)特殊情況進行評價的時機或條件：a)當相關法律法規和要求發生變化或更新時；b)當發生嚴重供應鏈安全風險和威脅事故事件后；c)當供應鏈相關方的要求發生重大變化時；d)當監管要求發生較大變化時；e）當公司業務工作范圍、活動和經營地址發生的變更等。3)供應鏈安全管理體系評價結果報告將作為管理評審會議輸入的重要內容之一。4.15.4.4供應鏈安全管理體系評價中發現若有違反要求情況的處理當公司在體系運行有效性評價過程中發現存在違反規定要求的情況時，公司應分析原因，制訂相應的糾正措施，并通過審查和驗證相應的糾正措施實施的有效性。4.15.5相關活動記錄《供應鏈安全管理體系評價報告》4.16與供應鏈安全相關的失效、事件、不符合及糾正和預防措施的控制4.16.1目的為消除實際和潛在的不符合，采取任何糾正或預防措施，以增強對供應鏈管理體系的有效控制。4.16.2適用范圍本程序適用于對公司供應鏈安全管理體系的監視和測量中涉及的失效、事件、不符合及糾正和預防措施的控制。4.16.3職責4.16.3.1行政部1）負責組織相關部門對涉及的失效、事件、不符合進行現場調查，制定其改進、糾正和預防措施，對改進和糾正的實施情況負責監督和追蹤驗證；2）負責組織對公司供應鏈安全的失效、事件、不符合進行調查、處理、統計和報告；4.16.3.2管理者代表：負責組織對部門的糾正和預防措施實施情況進行檢查。4.16.3.3各部門1)負責本部門對供應鏈安全的失效、事件、不符合進行調查和控制；2)負責對本部門已發生的不符合或潛在不符合情況及時進行原因分析，制定相應的糾正預防措施，并完成整改；4.16.4工作程序4.16.4.1