GSV审核条款(2.0版)管理参考资料.xlsVIP

Sheet3 Sheet2 Sheet1 编号 标准 必须/应该 应该 为了构建完善的供应链安全计划，公司应将所有相关部门代表纳入跨部门团队。 这些新的安全措施应纳入到公司现有的程序中，创造一个更加可持续的结构，并强调确保供应链安全人人有责。 供应链安全计划必须通过适当的明文审查规定来设计、支持和实施。审核的目的是为了要记录系统执行时，有关人员对职责负责，并且按照安全计划的设计执行所有安全程序。审查计划必须根据公司运营和风险等级的相关变化进行更新。 必须(Must) 公司内部的CTPAT联系人必须对CTPAT计划的规定充分了解。这些人员需要就与计划相关的问题定期向上级管理层提供最新情况，包括任何审核的进度或结果、与安全相关的演练以及CTPAT认证。 CTPAT成员必须对其供应链中的风险等级进行评估和记录。CTPAT成员必须进行总体风险评估(risk assessment，RA)，以识别可能存 在安全漏洞的环节。RA必须识别威胁、评估风险并采用可持续措施来减少漏洞。成员必须考虑CTPAT对其在供应链角色中的具体要求。 - 在适用的情况下，流程图应包括记 录货物如何进出运输设施/货物枢 纽，并注明货物是否会在某定点 “静待”多时。货物在“静待”状 态等待下一个行程时，更容易出问 题。 风险评估必须每年审查一次，或者根据风险因素进行更频繁的审核。 CTPAT成员应制定书面程序，以处理危机管理、业务连续性、安全恢 复计划和业务恢复。 CTPAT成员必须备有基于风险的书面流程，以筛选新的业务伙伴和监督当前的合作伙伴。此过程应包括检查有关洗钱和资助恐怖分子的活动。为了协助完成此过程，请查阅CTPAT的基于贸易的洗钱和恐怖主义融资活动的警告指标(Warning Indicators for Trade-Based Money Laundering and Terrorism Financing Activities)。 当CTPAT成员将供应链环节外包或分包时，该成员必须进行尽职调查(通过访查、问卷调查等)，以确保其业务伙伴已采取符合或超过CTPAT最低安全标准(Minimum Security Criteria，MSC)的安全措施。 如果在业务伙伴的安全评估过程中发现了弱点，则必须尽 快处理，并且必须及时进行更正。成员必须通过书面证据 确认缺失已得到解决。 为确保其业务伙伴继续遵守CTPAT的安全标准，成员应 定期或根据情况/风险更新其对业务伙伴的安全评估。 货物输往美国时，如果成员将运输服务分包给另一家公路 承运人，则必须使用CTPAT认证的公路承运人或通过书 面合同，列明其为向成员直接提供服务的公路承运人。合 同必须规定遵守所有最低安全标准的要求。 CTPAT成员应备有社会合规计划，明文规定至少确保公司 进口到美国的商品均非通过被禁止的劳工形式，无论全 部或部分，来开采、生产或制造的，即强迫劳动、监狱劳 工、契约劳工或契约童工。 CTPAT成员必须备有全面的书面网络安全政策和/或程序，以保护IT系统。书面的IT政策至少必须涵盖所有个别的网络安全标准。 为了保护IT系统免受常见的网络安全威胁，公司必须在成员的计算机系统中安装足够的软件/硬件来，以防止恶意软件(病毒、间谍软件、蠕虫、特洛伊木马等)和内部/外部入侵(防火墙)。成员 必须确保其安全软件是最新的，并定期进行安全更新。成员必须制定政策和程序以防止通过社交工程 进行的攻击。如果发生数据泄露或匿名攻击事件导致数据和/或设备损失，该程序必须包括恢复(或取代)IT系统和/或数据的规定。 使用网络系统的CTPAT成员必须定期测试其IT基础设施的安全性。如果发现漏洞，则必须尽快采取 纠正措施。 网络安全政策应解决成员如何与政府和其他业务伙伴共享有关网络安全威胁信息的问题。 必须建立一个系统来识别未经授权的IT系统/数据访问或滥用政策和程序的情况，包括对内部系统或外部网站的不当访问以及员工或合同员工对业务数 据的窜改或变更。所有违规者都必须受到适当的纪 律处分。 网络安全政策和程序必须根据风险或情况，每年进行一次或更频繁的审查。审查之后，如有必要，必须更新政策和程序。 必须根据职务描述或所分配的职责来限制用户访问权限。必须定期审查访问权限，以确保对敏感系统 的访问是根据工作要求进行的。员工离职后，必须取消计算机和网络访问权限。 有权访问IT系统的个人必须使用单独分配的帐户。 必须通过使用加强密码、密码短语或其他形式的身份认证来保护对IT系统的访问，使其免受渗透。必须保障IT系统用户访问的安全 。 如果有证据显示密码和/或密码短语被窃或合理怀疑遭窃取，变必须尽快更改。 允许用户远程连接到网络的成员必须使用安全技术，例如虚拟专用网(virtual private networks，VPN)，让员