最新版沃尔玛供应链安全SCS反恐验厂清单及指引.docx
《最新版沃尔玛供应链安全SCS反恐验厂清单及指引.docx》由会员分享,可在线阅读,更多相关《最新版沃尔玛供应链安全SCS反恐验厂清单及指引.docx(51页珍藏版)》请在冰豆网上搜索。
最新版沃尔玛供应链安全SCS反恐验厂清单及指引
最新版沃尔玛供应链安全SCS反恐验厂清单及指引
更新日期:
2022年1月18日
SI:
No.
Criticality
审核问题点
PossibleAnswer
指引
●SecurityVision&Responsibility安全愿景与责任
1
High(高)
工厂是否有书面的供应链安全(SCS)计划,包括由公
司高级官员签署的安全支持声明?
YES
NO
安全计划和支持声明都应该是书面的并且是可验证的。
安全计划应识别威胁、评估风险和采取可持续措施以减轻设施中的漏洞。
2
Low(低)
是否定期审查安全计划?
YES
NO
至少每年审查一次。
●RiskAssessment风险评估
3
Medium(中)
工厂是否有关于其供应链风险的书面程序?
YES
NO
1)设施风险评估是否包括特定于合同服务提供商(例如承包商、季节性雇员等)的漏洞?
2)设施风险评估是否定期更新?
3)定义设施货物映射地图流程:
提供书面映射地图;包括从原产地到最终集装箱堆场
的运输时间;包括货物可能处于静止状态的位置;没有书面地图。
●BusinessPartners商业合作伙伴
4
High(高)
工厂是否有在选择新业务合作伙伴之前进行风险评估并在此之后定期评估现有业务合作伙伴的程序?
YES
NO
商业合作伙伴包括:
材料供应商、制造商和物流服务提供商。
验证方式可包括但不限于地址验证、地点时间、电话验证、预筛选研究、检查业务参
考资料以及对照相应政府实体的适用清单进行检查。
该检查应包括但不限于任何过去的洗钱和恐怖主义融资问题。
工厂应有适当涵盖整个流程的书面文件和/或程序。
定期基础:
这可以是任何时间增量,但至少每年一次。
5
Low(低)
工厂是否有适当的筛选程序来确定货物和客户的合法性?
YES
NO
应使用筛选程序来确定货物的合法性。
对货物和客户的适当审查可以包括:
考虑承包商的安全控制、员工招聘流程和公司历史。
其他审查机制可以在国家政府网站中标记和汇编企业信息。
6
Low(低)
工厂是否直接雇用自己的运输承运人?
NA
NA是唯一的选择(选项)。
审核员在“发现/观察”下的检查表选项卡中提供评论。
如果工厂使用任何分包运输方式,审核员在评论部分提及“否”。
还要提及有关分包的详细信息。
如果工厂中的运输零分包,审核员在评论部分提及“是”。
●Cybersecurity网络安全
7
High(高)
您的工厂是否有涵盖IT系统安全(包括网络安全)的书面综合政策/程序?
YES
NO
政策和程序需要包括IT系统的安全性,并指定允许哪些员工访问,安装的软件/硬件可以抑制/防止恶意软件,并涵盖如何共享和测试网络安全威胁。
应检查许可产品以表明它是否为假冒产品或许可不当。
工厂还应具有备份系统的机制(通过硬盘驱动器或云软件)以防止重大数据丢失。
这些必须每年检查一次,或者如果在12个月之前出现问题。
8
High(高)
是否有系统/流程仅根据工作描述或分配的职责限制
授权用户访问IT系统/数据?
YES
NO
如果是,则必须确定未授权用户的数量。
●ConveyanceandInstrumentsofInternationalTrafficSecurity国际交通安全运输工具
9
High(高)
运输工具和/或国际运输工具(IIT)是否始终存放在安
全区域?
YES
NO
IIT包括:
升降车、货车、运输罐、滑橇、托盘、垫板和纺织品芯(无论是装载的还是空的)。
10
Low(低)
是否有检查交通工具是否存在可见害虫和结构缺陷的程序?
YES
NO
必须记录发现的污染物类型、发现地点(运输地点)、害虫污染是如何消除的以及任何结构缺陷/它们是如何修复的。
工厂应有适当涵盖整个流程的书面文件和/或程序。
11
High(高)
是否有门卫或指定的工厂经理执行集装箱或拖车入站
检查并将结果记录在入站车辆日志中?
YES
NO
完整的日志应至少保存6个月。
12
High(高)
是否有门卫或指定的工厂经理执行卡车出站检查,并将检查结果记录在出站车辆日志中?
YES
NO
完整的日志应至少保存6个月。
13
Critical(严重)
在装载集装箱或拖车之前,是否通过执行7点检查来验证完整性和安全性?
YES
NO
如果该设施没有冷藏运输工具,则不需要覆盖8)。
工厂必须显示每个步骤是如何完成的,以便标记为“是”。
任何“否”都必须在评论中注明。
必须记录在清单上,包括:
集装箱/拖车/仪表国际运输编号;
1)检验日期;
2)检验时间;
3)进行检查的员工姓名;和
4)被检查的国际运输工具的特定区域。
如果监督检查,监督员还应在检查表上签字。
在装载/填充之前,必须对所有空集装箱和集装设备(ULD)进行七点检查,并对所有空冷藏集装箱和ULD进行8点检查,包括:
1)前壁
2)左侧
3)右侧
4)地板
5)天花板/屋顶
6)内/外门,包括门锁定机构的可靠性
7)外部/底盘
8)冷藏集装箱上的风扇罩。
运输工具和IIT的检查必须是系统的,并且必须在运输工具堆场进行。
在可行的情况下,必须在进入和离开堆场以及装载/填充点时进行检查。
14
Low(低)
7点检查的记录是否至少保存45天?
YES
NO
记录应在45天内进行审查。
如果记录少于45天,则应注明“否”,并应在评论中作出调查结果。
15
Low(低)
是否在运输工具/容器上使用了机制/外部硬件来防止试图移除锁定机制(门、把手、杆、搭扣、支架
等),并进行检查以检测篡改或硬件不一致的情况?
YES
NO
该设施将需要有机制/外部硬件和一种检查这些的方法,以便标记为“是”。
16
Medium(中)
运输工具/集装箱的安全检查是否在受控进入区域进行?
YES
NO
应在评论中注明该区域如何识别为受控区域(受限访问、锁等)以及是否使用CCTV。
17
Medium(中)
是否有清洁/清除可见虫害污染载体的程序,包括检查和记录发现的污染物、位置以及害虫是如何消灭的
过程中的清洗/吸尘?
YES
NO
记录发现的污染物类型、发现地点(运输地点)以及如何消除害虫污染以防止未来发生害虫污染。
工厂应有适当涵盖整个流程的书面文件和/或程序。
18
Low(低)
在运输人员完成初步搜索后,是否有管理人员随机对交通工具进行第二次搜索的流程?
YES
NO
管理人员可以是安全经理,对安全负责的高级管理人员或其他指定的管理人员。
作为最佳实践,主管可以在运输工具中隐藏物品(如玩具或彩色盒子),以确定现场测试筛选员/运输工具操作员是否找到了它。
第二次搜索应每季度进行一次并记录在案。
19
Medium(中)
是否有跟踪和监控技术(即GPS、电话验证跟踪)用于
在途中跟踪运输工具?
YES
NO
N/A
N/A仅适用于工厂不使用自己的交通工具的情况。
应包括传感器耦合/连接器的照片证据。
20
Low(低)
从牵引车到拖车是否使用传感器耦合/连接器或类似
技术来确保拖车得到适当跟踪?
YES
NO
N/A
N/A仅适用于工厂不使用自己的交通工具的情况。
21
Low(低)
运输路线是否预先设计并在出发前记录了预期的运输时间,并且该计划的任何重大偏差都被发送到最终目的地?
YES
NO
N/A
N/A仅适用于工厂不使用自己的交通工具的情况。
22
Low(低)
是否进行并记录了对跟踪和监控程序的随机审查?
YES
NO
N/A
应每季度进行一次随机审查。
N/A仅适用于工厂不使用自己的交通工具的情况。
23
Low(低)
该设施是否可以从始发地到目的地访问运营商的GPS监控系统?
YES
NO
N/A
N/A仅适用于工厂不使用自己的交通工具的情况。
24
Low(低)
是否有解决“不停车”程序(计划外停车)并在计划停
车期间检查锁的政策?
YES
NO
N/A
N/A仅适用于工厂不使用自己的交通工具的情况。
25
Low(低)
运输商是否需要电子调度日志(行程详情)?
YES
NO
N/A
必须对日志的保存方式发表评论。
日志应至少保存6个月。
N/A仅适用于工厂不使用自己的交通工具的情况。
●SealSecurity封条(铅封)安全
26
Critical(严重)
工厂是否遵循封条(铅封)程序中的所有要求,包括:
是否有访问封条(铅封)件的控制流程?
YES
NO
N/A
每个问题都必须单独解决才能标记为“是”。
如果存在任何“否”,请在评论中指出。
1)是否有新封条(铅封)的收据和签发记录?
2)是否只有经过培训的授权人员才能在IIT上完成封条(铅封)?
3)是否有流程来验证封条(铅封)完好无损,并且在运输完成之前和之后没有明显的篡改?
4)封条(铅封)是否与装运单据匹配和验证?
5)是否有损坏封条(铅封)的通知和流程,包括通知、重新封条(铅封)和记录?
6)如果封条(铅封)被篡改或涂改,是否有没收封条(铅封)、协助调查并将调查结果通知适当的领导/政府实体的程序?
4)N/A仅适用于载体不是满载的情况。
27
Medium(中)
是否有安全锁定集装箱的机制?
YES
NO
您应该实时评估此过程,并评论所使用的机制。
如果在审核期间无法对此进行评估,则必须制定详细的书面程序,包括如何锁定运输工具/集装箱以及使用何种机制进行锁定,以便标记为“是”。
这将适用于满载和小于集装箱(LTL)的情况。
28
High(高)
是否有确保封条(铅封)符合/超过ISO17712标准的流程?
YES
NO
29
High(高)
是否对安全封条(铅封)进行了审核,包括存储封条(铅
封)的盘点和与盘点日志的核对?
YES
NO
审核应该是内部的,并且需要(每6个月)记录并保存6个月。
30
Medium(中)
在锁上安全封条(铅封)时,是否遵循了所有必需的步骤?
YES
NO
在锁上安全封条(铅封)时,所有步骤都需要审核以标记“是”:
1)检查/查看安全封条(铅封)上锁机制以确保其正常工作;
2)验证装运文件的封条(铅封)号码;
3)对集装箱进行一次封条(铅封)测试,确认封条(铅封)是否正确固定且无任何损坏或松动;
4)日志和数字文件应至少保存6个月。
所有步骤必须完整完成才能标记为“是”。
如果有差异,必须注明并标记为“否”。
●ProceduralSecurity程序安全
31
High(高)
货物的装载和装货过程是否由授权人员妥善监督?
YES
NO
货物如需长时间暂存,应采取必要的保护措施,防止他人擅自进入。
32
Medium(中)
是否有适当的流程来确定存储的集装箱或拖车是否可能被篡改,以及如何将其报告给安全主管或工厂经
理?
YES
NO
为了适当地检查这一点,必须有某种形式的日志/跟踪已提交给主管/管理层的问题。
工厂应有适当涵盖整个流程的书面文件和/或程序。
33
High(高)
工厂是否有书面程序来确保货物文件和舱单上的信息准确、清晰、完整并防止篡改或丢失?
YES
NO
为了适当地检查程序的存在和程序的执行情况,必须对文件进行审核以检查所需的信息。
34
Low(低)
是否指定了适当的人员来审查进出口文件中的信息?
YES
NO
相关人员必须接受培训,了解如何识别运输文件(例如舱单)中可能表明可疑货物的信息,例如:
1)来源地和目的地是不寻常的地方;
2)以现金或保付支票支付;
3)使用异常路由方式;
4)表现出异常的运输/接收行为;
5)提供含糊、笼统或缺乏信息。
35
Low(低)
是否对指定人员进行适当培训,以审查进出口文件,
从而识别可疑和非法行为?
YES
NO
必须对如何进行培训、多久进行一次培训以及此人需要向谁报告调查结果发表评论。
36
Low(低)
工厂是否有详细的书面程序,用于应要求向CBP和其他适用机构报告事件和可疑活动或安全事件的升级?
CBP:
CustomsandBorderProtection美国海关和边境保护局
YES
NO
书面程序应包括如何记录通知。
需要通知CBP的事件示例包括(但不限于)以下情况:
1)发现篡改容器/IIT或高安全封条(铅封);
2)发现交通工具或IIT中的隐藏隔间;
3)IIT中使用了不明的新封条(铅封);
4)走私违禁品包括人;偷渡者;
5)擅自进入交通工具、机车、船舶、大型航运船;
6)勒索、支付保护费、威胁和/或恐吓;
7)XX使用商业实体标识符(即记录进口商(IOR)编号、标准承运人Alpha代码(SCAC)等)。
37
Medium(中)
是否有程序来识别、质疑和解决限制区域内XX/身份不明的人员?
YES
NO
程序应说明如何识别、移除人员,并在违反后(重新)检查区域的安全性。
38
Low(低)
现场是否有经过培训的人员阻止XX的人员进入限制区域?
YES
NO
应记录进入/现有限制区域的人员。
日志应至少保存6个月。
39
Low(低)
是否有工人匿名报告安全问题的机制,工厂的管理团队应在报告后采取必要的行动?
YES
NO
安全问题,例如:
盗窃、欺诈、阴谋等。
建议保留任何报告作为证据,以记录每个报告的项目都经过调查并采取了纠正措施。
工厂还应采取行动将这些问题通知相关方,例如执法部门、政府官员和与工厂相关的企业(比如:
客户)。
40
Medium(中)
是否有政策要求工厂必须调查并解决工厂内的所有短
缺和其他重大差异或异常情况?
YES
NO
政策应包括如何调查、告知谁调查和采取的纠正措施(包括为什么会出现差异)。
41
Medium(中)
是否将所有运输信息与货物清单上的信息进行核对,
以防止盗窃和其他安全问题?
YES
NO
装运信息包括:
采购和交货订单号、封条(铅封)号和封条(铅封)图像、货物包装状态等。
42
Low(低)
工厂是否有确保国际和国内货物在装运区分开存放的
流程?
YES
NO
N/A
仅当工厂只有国内或国际装运,且没有同时存在这两种装运时,才应选择N/A。
●AgriculturalSecurity农业安全
43
Medium(中)
工厂是否有书面程序来防止可见的害虫污染?
YES
NO
必须记录所进行的检查以及用于防止虫害污染的任何化学品。
此外,记录发现的污染物类型、发现地点(实际位置)、如何消除有害生物污染。
44
Medium(中)
工厂是否检查仓库、货物暂存区及其周围环境,以确保这些区域无有害生物污染?
YES
NO
必须记录所进行的检查以及用于防止虫害污染的任何化学品。
此外,记录发现的污染物类型、发现地点(实际位置)、如何使用原始报告消除有害生物污染。
●PhysicalSecurity物理安全
45
Medium(中)
所有货物装卸和储存设施(包括拖车场和办公室)是否必须设置物理屏障和/或阻吓装置,包括封闭区域,以防止XX的进入?
YES
NO
可使用其他可接受的屏障代替围栏,如隔墙或不可穿透或以其他方式阻碍进入的自然特征,如陡峭的悬崖或茂密的灌木丛。
46
Medium(中)
车辆和/或人员进出的大门(以及其他出口点)是否有人看守或监控?
YES
NO
47
Low(低)
是否根据当地法律和劳动法对个人和车辆进行搜查?
YES
NO
如果进行搜查,则必须记录并保存搜查文件。
48
Low(低)
是否禁止私人乘用车停放在货物装卸和储存区以及运输工具内或附近?
YES
NO
49
Medium(中)
是否在设施内外提供了足够的照明,包括(视情况而定)以下区域:
入口和出口、货物装卸和存储区、围栏线和停车区?
YES
NO
50
High(高)
是否使用安全机制来监控场所并防止XX访问敏感区域?
YES
NO
安全机制可以包括但不限于:
“仅适用于某些员工”的锁和钥匙、警报、访问控制、CCTV等。
敏感区域包括:
货物装卸和储存区、进口文件存放的装运/接收区、IT服务器区、国际旅行文书存放/检查的堆场和存放区、封条(铅封)存放区。
51
Low(低)
工厂是否有管理安全技术的使用、维护和保护的书面政策和程序?
YES
NO
这些政策和程序至少必须规定:
1)只有授权人员才能进入控制/管理技术或其硬件(控制面板、视频记录装置等)的位置;
2)为定期测试/检查技术而实施的程序;
3)检查包括验证所有设备是否正常工作,以及设备是否正确定位(如适用);
4)检查和性能测试的结果记录在案;
5)如果有必要采取纠正措施,应尽快实施,并记录所采取的纠正措施;
6)这些检查的记录结果应保留足够的时间,以便进行审核。
如果使用第三方中央监测站(场外),则CTPAT成员必须具有规定关键系统功能和认证协议的书面程序,例如(但不限于)安全代码更改、增加或减少授权人员、密码修订以及系统访问或拒绝。
安全技术政策和程序必须每年审查和更新一次,或根据风险或情况的需要更频繁地进
行审查和更新。
52
Low(低)
在考虑安全技术的设计和安装时,该设施是否利用了许可/认证资源?
YES
NO
53
High(高)
是否所有安全技术基础设施都受到物理保护,免遭未经授权的访问?
YES
NO
这项要求包括:
钥匙/徽章控制、灯光控制、监控安全系统、安全技术基础设施(计算机、安全软件、电子控制面板、视频监控或CCTV摄像机、摄像机电源和硬盘组件以及录音)。
54
Low(低)
安全技术系统是否配置了备用电源(UPS),以便在发生意外直接断电时系统能够继续运行?
YES
NO
备用电源(UPS)可以包括但不限于:
发电机、备用电池等。
55
High(高)
安全检查区、集装箱/拖车装载区和电子调度日志是否使用CCTV并保存记录,是否符合相应要求?
YES
NO
N/A
如果部署了摄像头系统,它们是否满足以下要求:
1)定位覆盖与进出口流程、周边/围栏、包装、成品相关的设施关键区域(包括限制和敏感区域)。
2)编程为以合理可用的最高画质设置进行录制,并设置为24/7全天候录制。
3)具有报警/通知功能,可发出“无法操作/记录”情况的信号。
如果警报不可用,则应进行手动检查以确保摄像机正常工作。
4)必须(由管理人员、保安人员或其他指定人员)对摄像机镜头进行定期、随机的审查,以验证货物安全程序是否依法得到正确遵守。
审查结果必须以书面形式进行总结,以包括所采取的任何纠正措施。
5)涵盖关键进出口过程的录像记录应保留足够的时间,以便受监控的货物能够完成调查。
6)定期审查以确保员工遵循流程(至少每年一次)。
所有步骤必须完整完成才能标记为“是”。
如果有差异,必须注明。
●PhysicalAccessControls物理访问控制
56
Low(低)
是否有书面程序管理如何授予、更改和移除识别徽章以及访问设备?
YES
NO
访问设备包括员工身份卡、访客和供应商临时胸卡、生物识别系统、感应钥匙卡、代码和钥匙。
当员工与公司分开时,使用退出清单有助于确保所有访问设备都已归还和/或停用。
对于员工相互认识的小型公司,不需要识别系统。
一般来说,对于员工超过50人的公司,需要有身份识别系统。
57
High
(高)
是否所有访客、供应商和服务提供商(包括送货司机、货物托运人等)在抵达时都必须出示带照片的合法身份证明?
YES
NO
访客、供应商和服务提供商的文件必须保存在访客登记日志中,并至少保存6个月。
58
Medium(中)
是否保存了访问工厂的所有访客、供应商、服务提供商的日志?
YES
NO
记录必须至少保存45天。
注册日志必须包括以下内容:
1)访问日期;
2)访客姓名;
3)照片身份验证(类型验证,如许可证或国民身份证)。
经常性的知名访客(例如常规供应商)可以放弃带照片的身份证明,但进出工厂时仍必须登记;
4)到达时间;
5)公司联系人;
6)出发时间。
59
Medium(中)
是否有货物提取日志(包括进出记录)供驾驶员在提取货物时记录其运输工具的详细信息?
YES
NO
记录必须保存至少45天。
货物提取日志应记录以下项目:
1)司机姓名;
2)到达日期和时间;
3)雇主;
4)卡车号码;
5)拖车编号;
6)出发时间;
7)启运时贴在货物上的封条(铅封)号。
60
Low(低)
是否有一个程序,由承运人通知工厂计划提货的预计
到达时间、驾驶员姓名和卡车号码?
YES
NO
应记录到达时间的通知。
61
High(高)
是否有适当的流程,在接收到的包裹和邮件之前定期检查违禁品?
YES
NO
流程必须包括确定可以检查这些包裹的适当员工以及记录检查包裹的系统。
62
Low(低)
货物或货物的交付是否仅限于特定的监控区域?
YES
NO
被监控区域应由授权人员和/或CCTV监控。
63
Low(低)
是否有书面政策和程序供保安人员用作工作指导?
YES
NO
保安人员应定期接受有关政策和程序的培训(至少每年一次)。
64
Medium(中)
管理层是否通过审核和政策审查定期验证其书面安全
程序的合规性和适当性?
YES
NO
应每年进行审核和政策审查。
审核应记录在案并保存以供审查。
65
Low(低)
工厂是否有书面政策确保只有授权员工才能进入敏感或受限区域?
YES
NO
在修改雇佣/安全访问权限时,应记录和更新授权员工。
66
Low(低)
工厂管理层是否审查和更新授权访问敏感和受限工作区域的员工名单?
YES
NO
应在就业/安全访问更改后立即(一天内)更新列表。
67
Low(低)
工厂是否有管理所有控制门、锁的钥匙和卡片的程序。
卡/钥匙持有人应定期审查和检查?
YES
NO
除非违反安全规定,否则应每年进行一次审查。
所有审查应记录并保存。
68
Low(低)
设施建筑物、围栏和其他区域是否由防止非法进入的材料构成?
YES
NO
材料包括但不限于:
石材、水泥、木材、电线等。
69
Low(低)
设施通道门、外门和窗户是否用锁定装置固定?
YES
NO
锁定装置应使用钥匙、密码或其他打开机制固定。
70
High(高