安全與韌性 安全管理體系 要求

ICS03.100.01

CCSA90

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

供應(yīng)鏈安全管理體系規(guī)范

Specificationforsecuritymanagementsystemsforthesupplychain

（ISO28000：2007,IDT）

征求意見稿

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

國家市場監(jiān)督管理總局

中國國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)則起

草。

本文件使用翻譯法等同采用了ISO28000：2007《供應(yīng)鏈安全管理系統(tǒng)體系規(guī)范》。

為了便于使用，本文件還對ISO28000：2007作了如下編輯性修改：

a)“本國際標(biāo)準(zhǔn)”一詞修改為“本文件”；

b)引用標(biāo)準(zhǔn)中的國際標(biāo)準(zhǔn)采用相應(yīng)的國家標(biāo)準(zhǔn)代替；

c)術(shù)語和定義中“3.9.1下游”和“3.9.2上游”分別修改為“3.10下游”和“3.11上游”。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布組織不承擔(dān)識(shí)別這些專利的責(zé)任。

本文件的附錄A是資料性附錄。

本文件由XXXX提出并歸口。

本文件起草單位：XXX、XXX、XXX。

本文件主要起草人：XXX、XXX、XXX。

II

GB/TXXXXX—XXXX

引言

應(yīng)行業(yè)對安全管理標(biāo)準(zhǔn)的需求，制定本文件。其最終目的為提高供應(yīng)鏈的安全。本文件為高水平管

理標(biāo)準(zhǔn)，可使組織制定全面的供應(yīng)鏈安全管理體系。本文件要求組織對其運(yùn)行的安全環(huán)境進(jìn)行評估并確

定適當(dāng)安全措施是否已經(jīng)就位或是否已經(jīng)存在適用于組織的其它監(jiān)管要求。如果通過該流程確定安全需

求，組織應(yīng)實(shí)施某些機(jī)制和流程以滿足這些需求。因?yàn)楣?yīng)鏈具有動(dòng)態(tài)性，所以一些經(jīng)營多個(gè)供應(yīng)鏈的

組織希望其服務(wù)提供商符合相關(guān)政府或者ISO供應(yīng)鏈安全標(biāo)準(zhǔn)（作為納入該供應(yīng)鏈的條件），從而簡化

圖1所示的安全管理流程。

圖1GB/TXXXX-XXXX與及其他相關(guān)標(biāo)準(zhǔn)的關(guān)系

III

GB/TXXXXX—XXXX

如果根據(jù)要求需對組織的供應(yīng)鏈進(jìn)行安全管理，則可采用本文件。安全管理的正式方法可直接有助

于提高組織的業(yè)務(wù)能力和可信性。

遵守本文件不能免除遵守法律義務(wù)的責(zé)任。對于具有如此意愿的組織，組織是否符合本文件規(guī)定的

安全管理系統(tǒng)可通過外部或內(nèi)部審計(jì)流程進(jìn)行驗(yàn)證。

由于針對管理體系采用了基于風(fēng)險(xiǎn)的方法，本文件基于GB/T24001-2004中規(guī)定的體系格式。然而，

已經(jīng)采用管理體系流程方法（如GB/T19001-2000）的組織可使用其現(xiàn)有管理體系，作為本文件規(guī)定的

安全管理體系的基礎(chǔ)。本國際標(biāo)準(zhǔn)并非旨在復(fù)制組織經(jīng)過認(rèn)證或驗(yàn)證合格供應(yīng)鏈安全管理系統(tǒng)方面的政

府要求和標(biāo)準(zhǔn)。上述驗(yàn)證可通過合格的第一方、第二方或第三方組織進(jìn)行。

注：本文件基于計(jì)劃—執(zhí)行—檢查—行動(dòng)（PDCA）的方法。PDCA內(nèi)容如下：

——計(jì)劃：建立按照組織安全策略交付結(jié)果所需的目標(biāo)和流程。

——執(zhí)行：實(shí)施流程。

——檢查：針對安全策略、目標(biāo)、指標(biāo)、法律及其它要求和報(bào)告結(jié)果，實(shí)施監(jiān)控和測量流程。

——行動(dòng)：采取措施不斷提高安全管理系統(tǒng)的性能。

IV

GB/TXXXXX—XXXX

供應(yīng)鏈安全管理體系規(guī)范

1范圍

本文件規(guī)定了供應(yīng)鏈安全管理體系的要素，包括一般要求、安全管理策略、安全風(fēng)險(xiǎn)評估和規(guī)劃、

實(shí)施與運(yùn)作、檢查和糾正、管理審查和持續(xù)改進(jìn)等。

本文件適用于在生產(chǎn)或者供應(yīng)鏈任何階段希望達(dá)成以下目標(biāo)的從制造、服務(wù)、存儲(chǔ)或者運(yùn)輸?shù)娜魏?/p>

規(guī)模的組織（從小型到跨國規(guī)模）：

a)建立、實(shí)施、維護(hù)和改進(jìn)安全管理體系；

b)確保符合規(guī)定的安全管理策略；

c)驗(yàn)證是否符合其他要求；

d)尋求通過授權(quán)的第三方認(rèn)證組織對其安全管理系統(tǒng)進(jìn)行認(rèn)證或注冊；

e)對于本文件的合規(guī)性做出自我決定和聲明。

一些法規(guī)以及監(jiān)管規(guī)范也對在本文件中某些要求進(jìn)行了闡述。

本文件并非旨在要求對合規(guī)性進(jìn)行重復(fù)驗(yàn)證。

選擇第三方認(rèn)證的組織可進(jìn)一步證明其在促進(jìn)供應(yīng)鏈安全方面的重要努力。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

設(shè)施facility

廠房、機(jī)械、物業(yè)、建筑、車輛、船舶、港口設(shè)施及其他具有具體可量化業(yè)務(wù)功能和服務(wù)的基礎(chǔ)設(shè)

施項(xiàng)目或者廠房和相關(guān)系統(tǒng)。

注：該定義規(guī)定了對于實(shí)現(xiàn)安全和應(yīng)用安全管理至關(guān)重要的任何軟件代碼。

3.2

安全security

抵御旨在對供應(yīng)鏈造成傷害或損害的故意、未經(jīng)授權(quán)的行為。

3.3

安全管理securitymanagement

組織借以對風(fēng)險(xiǎn)、相關(guān)潛在威脅及其影響以最佳方式進(jìn)行管理的系統(tǒng)性和協(xié)調(diào)性活動(dòng)。

1

GB/TXXXXX—XXXX

3.4

安全管理目標(biāo)securitymanagementobjective

為滿足安全管理的要求而需要實(shí)現(xiàn)的具體安全成果或成就。

注：對于在客戶或者最終用戶所有業(yè)務(wù)中產(chǎn)品、供貨或服務(wù)，上述成果與這些存在直接或間接聯(lián)系。

3.5

安全管理策略securitymanagementpolicy

一個(gè)組織的總體意圖和方向，與安全和安全相關(guān)過程和活動(dòng)的控制框架有關(guān)，這些過程和活動(dòng)源自

并符合組織的政策和法規(guī)要求

3.6

安全管理計(jì)劃securitymanagementprogrammes

實(shí)現(xiàn)安全管理目標(biāo)的方式。

3.7

安全管理指標(biāo)securitymanagementtarget

實(shí)現(xiàn)安全管理目標(biāo)所需的特定性能水平。

3.8

利益相關(guān)方stakeholder

在組織的績效、成功或活動(dòng)影響方面上擁有既得利益的個(gè)人或?qū)嶓w。

注：包括客戶、股東、金融組織、保險(xiǎn)組織、監(jiān)管組織、法定組織、員工、承包商、供應(yīng)商、勞動(dòng)組織或者協(xié)會(huì)。

3.9

供應(yīng)鏈supplychain

從原材料來源到通過運(yùn)輸途徑將產(chǎn)品或者服務(wù)交付至終端用戶的一系列資源和流程。

注：供應(yīng)鏈可包括供應(yīng)商、生產(chǎn)設(shè)施、物流供應(yīng)商、內(nèi)部集散中心、經(jīng)銷商、批發(fā)商及其他通向最終用戶的實(shí)體。

3.10

下游downstream

指貨物在離開組織的直接操作控制后在供應(yīng)鏈中發(fā)生的貨物的動(dòng)作、過程和運(yùn)動(dòng)，包括但不限于保

險(xiǎn)、財(cái)務(wù)、數(shù)據(jù)管理以及貨物的包裝、儲(chǔ)存和轉(zhuǎn)移。

3.11

上游upstream

指貨物在進(jìn)入組織的直接操作控制前在供應(yīng)鏈中發(fā)生的貨物的動(dòng)作、過程和運(yùn)動(dòng)，包括但不限于保

險(xiǎn)、財(cái)務(wù)、數(shù)據(jù)管理以及貨物的包裝、儲(chǔ)存和轉(zhuǎn)移。

3.12

2

GB/TXXXXX—XXXX

最高管理層topmanagement

指導(dǎo)和控制某組織的最高層次人員或人員團(tuán)體

注：尤其在大型跨國組織，最高管理層并非如本文件所述親自參與；同時(shí)，應(yīng)明確最高管理層在行政管理系統(tǒng)中的

職責(zé)。

3.13

持續(xù)改進(jìn)continualimprovement

為實(shí)現(xiàn)與組織安全策略一致的整體安全性能改進(jìn)而加強(qiáng)安全管理系統(tǒng)的循環(huán)過程。

4安全管理體系要素

要素如圖2所示：

圖2安全管理體系要素

4.1一般要求

4.1.1組織應(yīng)建立、制定、實(shí)施、維護(hù)和不斷改進(jìn)有效的安全管理體系，以確定安全威脅、評估風(fēng)險(xiǎn)、

控制并減輕其后果。

4.1.2組織應(yīng)按照第4章的要求不斷提高體系的有效性。

4.1.3組織應(yīng)確定其安全管理體系的范圍。若某組織選擇將影響滿足這些要求的任何流程外包，則該

組織應(yīng)保證這些流程處于管控下。在安全管理體系之內(nèi)，應(yīng)確定對這些外包流程的必要控制措施和責(zé)任。

4.2安全管理策略

組織的最高管理層應(yīng)授權(quán)全面的安全管理策略。策略應(yīng)符合以下要求：

a)符合其它組織策略；

b)提供能確保具體安全管理目標(biāo)、指標(biāo)和計(jì)劃得以實(shí)現(xiàn)的框架；

3

GB/TXXXXX—XXXX

c)符合組織的總體安全威脅和風(fēng)險(xiǎn)管理框架；

d)適用于對組織造成的威脅以及組織的運(yùn)營性質(zhì)和規(guī)模；

e)明確闡述總體、全面的安全管理目標(biāo)；

f)對安全管理流程持續(xù)改進(jìn)的承諾；

g)承諾遵守當(dāng)前適用法律、法規(guī)和監(jiān)管要求以及組織同意的其他要求；

h)應(yīng)獲得最高管理層的支持；

i)應(yīng)持續(xù)改進(jìn)和維護(hù)，并記錄在案；

j)向希望獲悉個(gè)人安全管理義務(wù)的相關(guān)員工和第三方（包括承包商和訪客）傳達(dá)；

k)風(fēng)險(xiǎn)承擔(dān)者可以獲得（視情況而定）；

l)在收購或與其他組織合并，或該組織的業(yè)務(wù)范圍發(fā)生可能影響安全管理體系的連續(xù)性或相關(guān)性

的其他變化時(shí)，可對其進(jìn)行審查。

注：組織可選擇制定詳細(xì)的內(nèi)部安全管理策略，以便提供充足的信息和指示，從而推動(dòng)安全管理體系（部門內(nèi)容可

能為機(jī)密信息），并制定包含如下信息的簡述版本（非機(jī)密信息）：向利益相關(guān)方及其他相關(guān)方傳播的廣義目

標(biāo)。

4.3安全風(fēng)險(xiǎn)評估和規(guī)劃

4.3.1安全風(fēng)險(xiǎn)評估

組織應(yīng)制定并維護(hù)一系列程序，以便對安全威脅、安全管理相關(guān)威脅和風(fēng)險(xiǎn)進(jìn)行持續(xù)識(shí)別和評估，

以及對必要管理控制措施進(jìn)行識(shí)別和實(shí)施。安全威脅和風(fēng)險(xiǎn)識(shí)別、評估和控制方式應(yīng)至少適合于運(yùn)營的

性質(zhì)和規(guī)模。評估時(shí)應(yīng)考慮到某事件及其所有后果的可能性，這些后果應(yīng)包括：

a)物理故障威脅和風(fēng)險(xiǎn)，例如功能故障、意外損壞、惡意損壞、恐怖主義或犯罪行為；

b)運(yùn)營威脅和風(fēng)險(xiǎn)，包括對安全、人為因素和其他影響組織績效、狀況或安全的活動(dòng)的控制；；

c)自然災(zāi)害事件（風(fēng)暴、洪水等），可能導(dǎo)致安全措施和設(shè)備失效；

d)組織無法控制的因素，例如外部提供的設(shè)備和服務(wù)出現(xiàn)故障；

e)利益相關(guān)者的威脅和風(fēng)險(xiǎn)，例如無法符合監(jiān)管要求或損壞聲譽(yù)或品牌；

f)安全設(shè)備的設(shè)計(jì)與安裝，包括更換、維護(hù)等；

g)信息和數(shù)據(jù)的管理和交流；

h)對運(yùn)營連續(xù)性造成的威脅。

組織應(yīng)確保考慮到評估結(jié)果和控制效果，并在適當(dāng)情況下納入以下內(nèi)容中：

a)安全管理目標(biāo)和指標(biāo)；

b)安全管理計(jì)劃；

c)確定設(shè)計(jì)、規(guī)范和安裝的要求；

d)確定適當(dāng)資源（包括人員水平）；

e)確定培訓(xùn)需求和技能（見4.4.2）；

f)制定運(yùn)行控制措施（見4.4.6）；

g)組織的全面威脅和風(fēng)險(xiǎn)管理框架。

組織應(yīng)記錄上述信息，并保持更新。

組織進(jìn)行威脅和風(fēng)險(xiǎn)識(shí)別與評估的方法應(yīng)符合以下要求：

a)應(yīng)確定其范圍、性質(zhì)和時(shí)間，確保其具有主動(dòng)性而非被動(dòng)性；

b)收集所有與安全威脅和風(fēng)險(xiǎn)相關(guān)的所有信息；

c)對威脅和風(fēng)險(xiǎn)進(jìn)行分類并區(qū)分可避免、消除或控制的威脅和風(fēng)險(xiǎn)；

d)對措施進(jìn)行監(jiān)控，確保其有效、及時(shí)實(shí)施（見4.5.1）。

4

GB/TXXXXX—XXXX

4.3.2法律、法規(guī)及其他安全監(jiān)管要求

組織應(yīng)制定、實(shí)施并維護(hù)滿足以下要求的程序：

a)確定并使用適用的法律要求及組織采用的有關(guān)安全威脅和風(fēng)險(xiǎn)的其他要求；

b)確定這些要求應(yīng)用于安全威脅和風(fēng)險(xiǎn)的方式。

組織應(yīng)及時(shí)更新這些信息。應(yīng)向員工及其他相關(guān)第三方（承包商）傳達(dá)有關(guān)法律及其它要求的相關(guān)

信息。

4.3.3安全管理目標(biāo)

組織應(yīng)在內(nèi)部在相關(guān)職能和層面上制定、實(shí)施和維護(hù)文件化安全管理目標(biāo)。這些目標(biāo)應(yīng)該源于并符

合本策略。在制定并審查其安全管理目標(biāo)時(shí)，組織應(yīng)考慮以下問題：

a)法律、法規(guī)及其他安全監(jiān)管要求；

b)相關(guān)的安全威脅和風(fēng)險(xiǎn)；

c)技術(shù)及其他方案；

d)財(cái)務(wù)、運(yùn)營和業(yè)務(wù)要求；

e)風(fēng)險(xiǎn)承擔(dān)者的觀點(diǎn)。

安全管理目標(biāo)應(yīng)滿足下列要求：

a)與組織的持續(xù)改進(jìn)承諾一致；

b)應(yīng)進(jìn)行量化（若可行）；

c)傳達(dá)給所有相關(guān)人員及第三方，包括希望獲悉其自身義務(wù)的承包商；

d)定期審查，以確保與安全管理策略的相關(guān)性和一致性。必要時(shí)，應(yīng)對上述目標(biāo)進(jìn)行相應(yīng)修改。

4.3.4安全管理指標(biāo)

組織應(yīng)制定、實(shí)施并記錄適合其需要的安全管理指標(biāo)。上述指標(biāo)不僅應(yīng)根據(jù)安全管理目標(biāo)制定，而

且應(yīng)與安全管理目標(biāo)一致。

上述指標(biāo)應(yīng)滿足如下要求：

a)細(xì)節(jié)層次適當(dāng)；

b)符合具體性、衡量性、可達(dá)性、相關(guān)性和時(shí)限性（若可行）原則；

c)傳達(dá)給所有相關(guān)人員及第三方，包括希望獲悉其自身義務(wù)的承包商；

d)定期審查，以確保與安全管理目標(biāo)的相關(guān)性和一致性。必要時(shí)，應(yīng)對上述指標(biāo)進(jìn)行相應(yīng)修改。

4.3.5安全管理計(jì)劃

組織應(yīng)制定并實(shí)施安全管理計(jì)劃，以實(shí)現(xiàn)其各項(xiàng)目標(biāo)和指標(biāo)。

上述計(jì)劃應(yīng)在優(yōu)化后予以優(yōu)先考慮；組織還應(yīng)確保上述計(jì)劃得以經(jīng)濟(jì)、高效地實(shí)施。

安全管理計(jì)劃應(yīng)包括滿足下列要求的文件：

a)規(guī)定了實(shí)現(xiàn)各項(xiàng)安全管理目標(biāo)和指標(biāo)的職責(zé)和權(quán)力；

b)規(guī)定了實(shí)現(xiàn)各項(xiàng)安全管理目標(biāo)和指標(biāo)的手段和時(shí)效。

應(yīng)對各項(xiàng)安全管理計(jì)劃進(jìn)行定期審查，以確保其有效，且符合各項(xiàng)目標(biāo)和指標(biāo)。必要時(shí)，應(yīng)對上述

計(jì)劃進(jìn)行相應(yīng)修改。

4.4實(shí)施與運(yùn)作

4.4.1安全管理結(jié)構(gòu)、職責(zé)和權(quán)力

組織應(yīng)確立一個(gè)有關(guān)角色、職責(zé)和權(quán)力的組織，并符合其安全管理策略及各項(xiàng)目標(biāo)、指標(biāo)和計(jì)劃的

5

GB/TXXXXX—XXXX

要求。

涉及的角色、職責(zé)和權(quán)力應(yīng)予以規(guī)定、記錄，并傳達(dá)給負(fù)責(zé)實(shí)施和維護(hù)工作的相關(guān)人員。

最高管理層應(yīng)通過以下方式說明其在安全管理體系（流程）制定和實(shí)施方面以及不斷增強(qiáng)有效性方

面的承諾：

a)指定最高管理層內(nèi)某成員（無論是否有其它職責(zé)）負(fù)責(zé)組織安全管理系統(tǒng)的總體設(shè)計(jì)、維護(hù)、

記錄和改善工作；

b)向管理層內(nèi)某成員授予必要權(quán)力，以確保各項(xiàng)目標(biāo)和指標(biāo)得以實(shí)施；

c)確定和監(jiān)測組織利益相關(guān)者是否符合要求和預(yù)期目標(biāo)，并及時(shí)采取適當(dāng)措施實(shí)現(xiàn)這些預(yù)期目標(biāo)；

d)確保能夠獲取足夠的資源；

e)考慮到安全管理策略及各項(xiàng)目標(biāo)、指標(biāo)和計(jì)劃等可能對組織的其它方面產(chǎn)生的不利影響；

f)確保組織其它部門制定的安全計(jì)劃均能夠?qū)Π踩芾眢w系進(jìn)行互補(bǔ)；

g)向組織傳達(dá)滿足其安全管理要求以符合其策略的重要性；

h)確保對安全相關(guān)威脅和風(fēng)險(xiǎn)進(jìn)行評估，并根據(jù)具體情況將其納入到組織威脅和風(fēng)險(xiǎn)評估范圍內(nèi)；

i)確保安全管理目標(biāo)、指標(biāo)和計(jì)劃的可行性。

4.4.2勝任能力、培訓(xùn)和意識(shí)

組織應(yīng)確保負(fù)責(zé)安全設(shè)備和工藝設(shè)計(jì)、操作和管理的人員有相應(yīng)資格和經(jīng)驗(yàn)且經(jīng)過適當(dāng)培訓(xùn)。同時(shí)，

組織應(yīng)制定并貫徹相關(guān)程序，以使其工作人員或代表意識(shí)到：

a)遵守安全管理策略和程序以及符合安全管理體系要求的重要性；

b)在遵循安全管理策略和程序及安全管理體系要求（包括應(yīng)急準(zhǔn)備和響應(yīng)要求）期間的角色和職

責(zé)；

c)違背規(guī)定操作程序?qū)M織安全造成的潛在后果；

應(yīng)對勝任能力和培訓(xùn)情況予以記錄。

4.4.3交流

組織應(yīng)制定有相關(guān)程序，以確保向或從相關(guān)員工、承包商及其它利益相關(guān)者處傳達(dá)相關(guān)安全管理信

息。

由于某些安全相關(guān)信息具有敏感性，因此應(yīng)在傳播之前適當(dāng)考慮到信息的敏感性。

4.4.4文件

組織應(yīng)制定并貫徹安全管理文件體系，該體系包括但不限于以下內(nèi)容：

a)安全策略、目標(biāo)和指標(biāo)；

b)安全管理體系的范圍說明；

c)安全管理體系的主要部分及其與相關(guān)文件的相互關(guān)系和引用關(guān)系；

d)本文件規(guī)定的記錄等文件；

e)組織為了確保對與其重大安全威脅和風(fēng)險(xiǎn)相關(guān)的流程進(jìn)行有效地規(guī)劃、操作和控制而確定的記

錄等文件。

組織應(yīng)確定信息的安全敏感性，并應(yīng)采取措施防止在未經(jīng)批準(zhǔn)的情況進(jìn)行使用。

4.4.5文件和資料管理

組織應(yīng)制定用于控制本文件第4章中規(guī)定的所有文件、資料和信息的各種程序，以確保：

a)只有授權(quán)個(gè)人才可找到并使用這些文件、資料和信息；

b)定期對這些文件、資料和信息進(jìn)行審查，必要時(shí)進(jìn)行修訂，且其充分性應(yīng)獲得授權(quán)人員的批準(zhǔn)；

6

GB/TXXXXX—XXXX

c)能夠在進(jìn)行安全管理體系有效運(yùn)行所需操作的所有地點(diǎn)獲取現(xiàn)行相關(guān)文件、資料和信息；

d)及時(shí)從所有發(fā)行地點(diǎn)和使用地點(diǎn)處移除作廢文件、資料和信息，或者以其它方式避免非預(yù)期使

用；

e)為法律或/和知識(shí)保護(hù)所保存的所有檔案文件、數(shù)據(jù)和信息予以適當(dāng)標(biāo)識(shí)；

f)這些文件、資料和信息的安全性、電子備份充裕度和恢復(fù)性。

4.4.6操作控制

組織應(yīng)確定滿足下列要求所需的各項(xiàng)運(yùn)作和活動(dòng)：

a)安全管理策略；

b)控制具有重大風(fēng)險(xiǎn)的各項(xiàng)活動(dòng)和減輕具有重大風(fēng)險(xiǎn)的各項(xiàng)威脅；

c)遵守法律、法規(guī)及其它安全監(jiān)管要求；

d)安全管理目標(biāo)；

e)安全管理計(jì)劃交付；

f)供應(yīng)鏈達(dá)到規(guī)定安全程度。

組織應(yīng)確保能夠通過下列方式在特定條件下進(jìn)行這些運(yùn)作和活動(dòng)：

a)制定并貫徹實(shí)施書面控制程序，以防止出現(xiàn)導(dǎo)致4.4.6a）至I）中所列明運(yùn)作和活動(dòng)無法實(shí)現(xiàn)

的情況；

b)對從上游供應(yīng)鏈活動(dòng)產(chǎn)生的任何威脅進(jìn)行評估，控制并降低對組織及其它下游供應(yīng)鏈操作人員

的影響；

c)針對影響安全的商品服務(wù)制定并實(shí)施相關(guān)要求，并告知各供應(yīng)商。

這些程序中應(yīng)包括針對設(shè)備和儀表等（根據(jù)具體情況）有關(guān)安全項(xiàng)目的設(shè)計(jì)、安裝、運(yùn)行、改造和

改良工作的控制情況。在改進(jìn)現(xiàn)有布局或引入新布局時(shí)，如果可能會(huì)對安全管理運(yùn)作和活動(dòng)產(chǎn)生影響，

則組織應(yīng)在實(shí)施之前考慮到相關(guān)安全威脅和風(fēng)險(xiǎn)。有待考慮的新型或改進(jìn)后布局應(yīng)包括：

a)改進(jìn)后組織結(jié)構(gòu)、角色或職責(zé)；

b)改進(jìn)后安全管理策略、目標(biāo)、指標(biāo)或計(jì)劃；

c)改進(jìn)后流程和程序；

d)引入新型基礎(chǔ)設(shè)施和安全設(shè)備或技術(shù)（可包括軟件和/或硬件）；

e)根據(jù)具體情況引入新承包商、供應(yīng)商或人員。

4.4.7應(yīng)急準(zhǔn)備、響應(yīng)和安全恢復(fù)

組織應(yīng)建立并貫徹實(shí)施適當(dāng)?shù)挠?jì)劃和程序，以確定安全事件和緊急情況的潛在可能性及對策，并預(yù)

防和減輕可能與其相關(guān)的后果。計(jì)劃和程序中應(yīng)包括有關(guān)在事件或緊急情況期間或之后所需標(biāo)識(shí)設(shè)備、

設(shè)施或服務(wù)的提供和維護(hù)信息。

組織應(yīng)定期審查其應(yīng)急準(zhǔn)備、響應(yīng)和安全恢復(fù)計(jì)劃和程序的有效性，特別是發(fā)生在由安全漏洞和威

脅所引起的事件或緊急情況之后?？尚袝r(shí)，組織應(yīng)定期對這些程序進(jìn)行測試。

4.5檢查和改進(jìn)

4.5.1安全性能評估和監(jiān)測

組織應(yīng)制定并貫徹相關(guān)程序，以便對安全管理體系的性能及安全性能進(jìn)行監(jiān)測。在確定關(guān)鍵性能參

數(shù)的監(jiān)測頻率時(shí)，組織應(yīng)考慮到相關(guān)安全威脅和風(fēng)險(xiǎn)，應(yīng)包括：

a)滿足組織需求的定性和定量測定；

b)滿足組織安全管理策略、目標(biāo)和指標(biāo)要求的監(jiān)測范圍；

7

GB/TXXXXX—XXXX

c)監(jiān)測是否遵守安全管理計(jì)劃、運(yùn)行控制標(biāo)準(zhǔn)、適用法律法規(guī)及其它安全監(jiān)管要求時(shí)的主動(dòng)措施；

d)監(jiān)測以下安全相關(guān)情況的反應(yīng)措施：惡化、故障、事件、不符合項(xiàng)（包括漏報(bào)和虛假警報(bào)）及

其它表明安全管理體系性能有缺陷的歷史記錄；

e)足以推進(jìn)隨后進(jìn)行糾正和預(yù)防行為分析的記錄數(shù)據(jù)及監(jiān)測結(jié)果。如果性能和/或測量和監(jiān)測工

作需要監(jiān)測設(shè)備，則組織應(yīng)要求制定并貫徹設(shè)備校準(zhǔn)和維護(hù)程序。此外，應(yīng)按照法律法規(guī)和組

織策略規(guī)定的時(shí)間，保存校準(zhǔn)、維護(hù)活動(dòng)和結(jié)果記錄。

4.5.2體系評估

組織應(yīng)通過定期審查、測試、事后報(bào)告、經(jīng)驗(yàn)教訓(xùn)、性能評估和演練來評估安全管理計(jì)劃、程序和

能力。同時(shí)，如果上述因素發(fā)生任何重大變化，則必須立即在相關(guān)程序中予以說明。

組織應(yīng)定期評估是否符合相關(guān)法律法規(guī)、行業(yè)最佳實(shí)踐及自身策略和目標(biāo)的要求。

組織應(yīng)對定期評估結(jié)果做好記錄。

4.5.3安全相關(guān)故障、事件、不符合項(xiàng)及糾正和預(yù)防措施

組織應(yīng)制定并貫徹實(shí)施用于確定以下職責(zé)和權(quán)力的程序：

a)評估和啟動(dòng)預(yù)防性措施，以確定潛在安全故障，從而防止發(fā)生；

b)安全相關(guān)調(diào)查：

c)故障（包括漏報(bào)和虛假警報(bào)）；

d)事件和緊急情況；

e)不符合項(xiàng)；

f)采取措施減輕上述故障、事件或不符合項(xiàng)造成的后果；

g)啟動(dòng)和完成糾正措施；

h)確認(rèn)所采取糾正措施的效果。

根據(jù)這些程序的規(guī)定，在實(shí)施之前應(yīng)通過安全威脅和風(fēng)險(xiǎn)評估流程對提出的所有糾正和預(yù)防措施進(jìn)

行審查，除非立即實(shí)施可即時(shí)防止對生命或公共安全造成影響。

為了消除實(shí)際和潛在不符合項(xiàng)而采取的任何糾正或預(yù)防措施應(yīng)與問題的嚴(yán)重性相適合，并與可能遭

受的安全管理相關(guān)威脅和風(fēng)險(xiǎn)相稱。組織應(yīng)實(shí)施并記錄糾正和預(yù)防措施所帶來的書面程序變化，并在必

要時(shí)進(jìn)行必要培訓(xùn)。

4.5.4記錄管理

組織在必要時(shí)應(yīng)建立并保存記錄，以證明符合其安全管理體系和本文件的要求并證明各項(xiàng)結(jié)果滿足

要求。

組織應(yīng)制定并貫徹實(shí)施記錄標(biāo)識(shí)、存儲(chǔ)、保護(hù)、檢索、保留和銷毀相關(guān)程序。

各記錄應(yīng)清晰可辨，且具有可追蹤性。

電子和數(shù)字文件應(yīng)防止篡改、安全備份，并且只能為授權(quán)人士所用。

4.5.5審計(jì)

組織應(yīng)制定并貫徹實(shí)施安全管理審計(jì)計(jì)劃，并應(yīng)確保按照所計(jì)劃的間隔時(shí)間對安全管理體系進(jìn)行審

計(jì)，以便：

a)確定安全管理體系是否滿足下列要求：

1)是否符合安全管理的計(jì)劃安排要求，包括本文件第4章全部要求；

2)是否正確貫徹實(shí)施；

3)在遵守組織安全管理策略和目標(biāo)時(shí)是否有效；

8

GB/TXXXXX—XXXX

b)審查以往的審計(jì)結(jié)果以及不符合項(xiàng)的糾正措施；

c)向管理層提供有關(guān)審計(jì)結(jié)果的信息；

d)驗(yàn)證相關(guān)安全設(shè)備和人員是否正確部署。

審計(jì)計(jì)劃（包括任何計(jì)劃表）應(yīng)以組織活動(dòng)的威脅和風(fēng)險(xiǎn)評估結(jié)果及以往的審計(jì)結(jié)果為基礎(chǔ)。審計(jì)

計(jì)劃應(yīng)包括范圍、頻率、方法和能力，以及審計(jì)和報(bào)告結(jié)果的責(zé)任和要求。在可能的情況下，應(yīng)由與被

審查活動(dòng)直接責(zé)任人員無關(guān)的人員進(jìn)行審計(jì)。

注：“與……無關(guān)的人員”未必是指組織的外部人員。

4.6管理審查和持續(xù)改進(jìn)

最高管理層應(yīng)按照所計(jì)劃的時(shí)間間隔，對組織的安全管理體系進(jìn)行審查，以確保其持續(xù)性、適用性、

適當(dāng)性和有效性。審查應(yīng)包括評估安全管理體系的改善時(shí)機(jī)和變更需求（包括安全策略及安全目標(biāo)、威

脅和風(fēng)險(xiǎn)）。應(yīng)保存管理審查記錄。管理審查應(yīng)包括以下內(nèi)容：

a)審計(jì)結(jié)果以及有關(guān)是否符合法律要求及組織認(rèn)可的其它要求的評估情況；

b)與外部相關(guān)方的溝通情況，包括投訴；

c)組織的安全性能；

d)目標(biāo)和指標(biāo)范圍；

e)糾正和預(yù)防措施狀況；

f)根據(jù)先前管理審查情況所采取的后續(xù)措施；

g)不斷變化的情況，包括與其安全有關(guān)的法律和其它要求的發(fā)展變化情況；

h)改善建議。

管理審查的成果應(yīng)包括任何與安全管理體系的安全策略、目標(biāo)、指標(biāo)和其它要素潛在變化相關(guān)，且

符合持續(xù)改進(jìn)要求的決策和措施。

9

GB/TXXXXX—XXXX

AA

附錄A

（資料性附錄）

GBXXXX-XXXX、GB/T24001-2004和GB/T19001-2000之間的對應(yīng)關(guān)系

表A.1顯示了GBXXXX-XXXX、GB/T24001-2004和GB/T19001-2000之間的對應(yīng)關(guān)系。

表A.1GBXXXX-XXXX、GB/T24001-2004和GB/T19001-2000之間的對應(yīng)關(guān)系表

GBXXXX-XXXXGB/T24001-2004GB/T19001-2000

供應(yīng)鏈安全管理體系規(guī)范（僅標(biāo)4環(huán)境管理體系要求（僅標(biāo)4質(zhì)量管理體系要求（僅標(biāo)4

題）題）題）

一般要求4.1一般要求4.1一般要求4.1

安全管理策略4.2環(huán)境政策4.2管理承諾5.1

質(zhì)量策略5.3

持續(xù)改進(jìn)8.5.1

安全風(fēng)險(xiǎn)評估和規(guī)劃（僅標(biāo)題）4.3規(guī)劃（僅標(biāo)題）4.3規(guī)劃（僅標(biāo)題）5.4

安全風(fēng)險(xiǎn)評估4.3.1環(huán)境因素4.3.1客戶關(guān)注焦點(diǎn)5.2

確定產(chǎn)品相關(guān)要求7.2.1

審查產(chǎn)品相關(guān)要求7.2.2

法律、法規(guī)及其它安全監(jiān)管要求4.3.2法律及其它要求4.3.2客戶導(dǎo)向5.2

確定產(chǎn)品相關(guān)要求7.2.1

安全管理目標(biāo)4.3.3目標(biāo)、指標(biāo)和計(jì)劃4.3.3質(zhì)量目標(biāo)5.4.1

質(zhì)量管理體系規(guī)劃5.4.2

持續(xù)改進(jìn)8.5.1

安全管理指標(biāo)4.目標(biāo)、指標(biāo)和計(jì)劃4.3質(zhì)量目標(biāo)5.4

3..3.1

質(zhì)量管理體系規(guī)劃

4

5.4

.2

持續(xù)改進(jìn)8.5.1

安全管理計(jì)劃4.3.5目標(biāo)、指標(biāo)和計(jì)劃4.3.3質(zhì)量目標(biāo)5.4.1

質(zhì)量管理體系規(guī)劃5.4.2

持續(xù)改進(jìn)8.5.1

實(shí)施與運(yùn)作（僅標(biāo)題）4.4實(shí)施與運(yùn)作（僅標(biāo)題）4.4產(chǎn)品實(shí)現(xiàn)（僅標(biāo)題）7

安全管理結(jié)構(gòu)、職責(zé)和權(quán)力4.4.1資源、角色、職責(zé)和權(quán)力4.4.1管理承諾5.1

職責(zé)和權(quán)力5.5.1

管理代表5.5.2

資源供應(yīng)6.1

基礎(chǔ)設(shè)施6.3

勝任能力、培訓(xùn)和意識(shí)4.4.2勝任能力、培訓(xùn)和意識(shí)4.4.2（人力資源）概述6.2.1

勝任能力、培訓(xùn)和意識(shí)6.2.2

溝通4.4.3溝通4.4.3內(nèi)部溝通5.5.3

客戶溝通7.2.3

文件4.4.4文件4.4.4（文件要求）概述4.2.1

文件和資料管理4.4.5文件管理4.4.5文件管理4.2.3

10

GB/TXXXXX—XXXX

表A.1（續(xù)）

GBXXXX-XXXXGB/T24001-2004GB/T19001-2000

操作控制4.4.6操作控制4.4.6產(chǎn)品實(shí)現(xiàn)規(guī)劃7.1

確定產(chǎn)品相關(guān)要求7.2.1

審查產(chǎn)品相關(guān)要求7.2.2

設(shè)計(jì)開發(fā)規(guī)劃7.3.1

設(shè)計(jì)開發(fā)投入7.3.2

設(shè)計(jì)開發(fā)產(chǎn)出7.3.3

設(shè)計(jì)開發(fā)審查7.3.4

設(shè)計(jì)開發(fā)認(rèn)證7.3.5

設(shè)計(jì)開發(fā)驗(yàn)證7.3.6

設(shè)計(jì)開發(fā)變更管理7.3.7

采購流程7.4.1

采購信息7.4.2

采購產(chǎn)品驗(yàn)證7.4.3

產(chǎn)品和服務(wù)供應(yīng)管理7.5.1

產(chǎn)品和服務(wù)供應(yīng)流程驗(yàn)證7.5.2

產(chǎn)品保存7.5.5

應(yīng)急準(zhǔn)備、響應(yīng)和安全恢復(fù)4.4.7應(yīng)急準(zhǔn)備和響應(yīng)4.4.7不合格產(chǎn)品管理8.3

檢查和糾正（僅標(biāo)題）4.5檢查（僅標(biāo)題）4.5測量、分析與改進(jìn)（僅標(biāo)題）8

安全性能測定和監(jiān)測4.5.1監(jiān)測4.5.1監(jiān)控和測量裝置控制7.6

概述（測量、分析與改進(jìn)）8.1

監(jiān)測流程8.2.3

產(chǎn)品監(jiān)測8.2.4

數(shù)據(jù)分析8.4

體系評估4.5.2合規(guī)性評估4.5.2流程監(jiān)測8.2.3

產(chǎn)品監(jiān)測8.2.4

安全相關(guān)故障、事件、不符合項(xiàng)4.5.3不合格項(xiàng)及糾正和預(yù)防措4.5.3不合格產(chǎn)品管理8.3

及糾正和預(yù)防措施施數(shù)據(jù)分析8.4

糾正措施8.5.2

預(yù)防措施8.5.3

記錄管理4.5.4記錄管理4.5.4記錄管理4.2.4

審計(jì)4.5.5內(nèi)部審計(jì)4.5.5內(nèi)部審計(jì)8.2.2

管理審查和持續(xù)改進(jìn)4.6管理審查4.6管理承諾5.1

管理審查5.6

應(yīng)急準(zhǔn)備、響應(yīng)和安全恢復(fù)4.4.7應(yīng)急準(zhǔn)備和響應(yīng)4.4.7不合格產(chǎn)品管理8.3

檢查和糾正（僅標(biāo)題）4.5檢查（僅標(biāo)題）4.5測量、分析與改進(jìn)（僅標(biāo)題）8

安全性能測定和監(jiān)控4.5.1監(jiān)測4.5.1監(jiān)控和測量裝置控制7.6

概述（測量、分析與改進(jìn)）8.1

流程監(jiān)測8.2.3

產(chǎn)品監(jiān)測8.2.4

數(shù)據(jù)分析8.4

體系評估4.5.2合規(guī)性評估4.5.2流程監(jiān)測8.2.3

產(chǎn)品監(jiān)測8.2.4

安全相關(guān)故障、事件、不符合項(xiàng)4.5.3不符合項(xiàng)及糾正和預(yù)防措4.5.3不合格產(chǎn)品管理8.3

及糾正和預(yù)防措施施數(shù)據(jù)分析8.4

糾正措施8.5.2

預(yù)防措施8.5.3

記錄管理4.5.4記錄管理4.5.4記錄管理4.2.4

審計(jì)4.5.5內(nèi)部審計(jì)4.5.5內(nèi)部審計(jì)8.2.2

11

GB/TXXXXX—XXXX

表A.1（續(xù)）

GBXXXX-XXXXGB/T24001-2004GB/T19001-2000

管理審查和持續(xù)改進(jìn)4.6管理審查4.6管理承諾5.1

管理審查（僅標(biāo)題）5.6

概述5.6.1

審查輸入5.6.2

審查輸出5.6.3

持續(xù)改進(jìn)8.5.1

12

GB/TXXXXX—XXXX

參考文獻(xiàn)

[1]GB/T19001-2000質(zhì)量管理體系要求

[2]GB/T24001-2004環(huán)境管理體系要求及使用指南

[3]ISO19011:2002質(zhì)量和（或）環(huán)境管理體系審核指南

[4]ISO/PAS20858:2004船舶和海洋技術(shù)——航運(yùn)港口設(shè)施安全評估和安全發(fā)展規(guī)劃

[5]ISO/PAS28001供應(yīng)鏈安全管理體系——貫徹執(zhí)行供應(yīng)鏈安全、評估和規(guī)劃用最佳實(shí)施規(guī)程——

要求與指南

[6]ISO/PAS28004:2006供應(yīng)鏈安全管理體系——ISO28000的實(shí)施指南

_________________________________

13

GB/TXXXXX—XXXX

目次

前言...............................................................................III

引言................................................................................IV

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

4安全管理體系要素...................................................................3

4.1一般要求.......................................................................3

4.2安全管理策略...................................................................3

4.3安全風(fēng)險(xiǎn)評估和規(guī)劃.............................................................4

4.4實(shí)施與運(yùn)作.....................................................................5

4.5檢查和改進(jìn).....................................................................7

4.6管理審查和持續(xù)改進(jìn).............................................................9

附錄A（資料性）GBXXXX-XX